Jakarta – Dalam lanskap digital yang semakin kompleks, ancaman siber terus berevolusi, dan kini muncul serangan baru yang mengincar pengguna PC dengan memanfaatkan captcha palsu serta kesalahan peramban. Kaspersky, perusahaan keamanan siber terkemuka, baru-baru ini mengungkapkan modus operandi ini melalui rilis pers yang diterbitkan pada hari Senin.
Serangan ini menyebar melalui iklan web yang secara khusus menargetkan pengguna PC Windows. Saat berselancar di dunia maya, pengguna bisa tanpa sadar mengklik iklan yang tak terlihat menutupi layar. Iklan tersebut kemudian mengarahkan mereka ke halaman captcha palsu atau pesan kesalahan Chrome palsu, yang menginstruksikan mereka untuk mengunduh perangkat lunak pencuri data atau stealer.
Menurut data telemetri Kaspersky, lebih dari 140.000 interaksi dengan iklan berbahaya ini tercatat pada bulan September dan Oktober 2024. Lebih dari 20.000 pengguna dialihkan ke halaman palsu yang mengandung skrip berbahaya. Pengguna dari Brasil, Spanyol, Italia, dan Rusia menjadi sasaran utama serangan ini. Para ahli menyarankan agar pengguna tetap waspada dan menghindari mengikuti instruksi mencurigakan saat beraktivitas daring.
Captcha, yang biasanya digunakan sebagai fitur keamanan untuk memverifikasi apakah pengguna adalah manusia atau bot, kini disalahgunakan oleh penyerang. Awal tahun ini, terdapat laporan mengenai penyerang yang mendistribusikan Lumma stealer dengan menggunakan captcha palsu, yang terutama menargetkan para gamer. Pengguna yang menjelajahi situs web game dibujuk untuk mengeklik iklan yang menutupi layar, kemudian diarahkan ke halaman captcha palsu dengan perintah yang mengelabui mereka agar mengunduh stealer tersebut.
Saat pengguna mengeklik tombol “Saya bukan robot”, perintah Windows PowerShell yang dikodekan disalin ke clipboard PC mereka. Pengguna kemudian diminta untuk menempelkannya ke kotak terminal dan menekan enter, yang secara tidak sengaja mengunduh dan meluncurkan Lumma. Malware ini mencari file terkait aset kripto, cookie, dan data pengelola kata sandi di perangkat korban. Selain itu, malware ini juga mengunjungi halaman web berbagai platform perdagangan elektronik, meningkatkan jumlah tampilan, dan memberikan keuntungan finansial tambahan bagi penyerang.
Dalam gelombang serangan baru, peneliti Kaspersky mengidentifikasi skenario lain di mana, alih-alih captcha, pesan kesalahan halaman web ditampilkan. Pesan ini dirancang agar tampak seperti pesan layanan di peramban web Chrome. Penyerang memerintahkan pengguna untuk “menyalin perbaikan” ke jendela terminal, yang sebenarnya adalah perintah PowerShell berbahaya yang sama seperti sebelumnya.
Selain Lumma, para penyerang juga menggunakan Trojan Amadey dalam gelombang serangan ini. Trojan ini mencuri kredensial dari peramban populer dan dompet kripto. Selain itu, Trojan ini juga dapat mengambil tangkapan layar, memperoleh kredensial untuk layanan akses jarak jauh, dan mengunduh alat akses jarak jauh ke perangkat korban, memungkinkan penyerang memperoleh akses penuh.
Untuk memblokir ancaman yang terkait dengan stealer, perusahaan dapat memeriksa apakah kredensial untuk perangkat atau aplikasi web perusahaan telah disusupi oleh pencuri di halaman arahan khusus Kaspersky Digital Footprint Intelligence. Selain itu, penggunaan solusi keamanan khusus seperti Kaspersky Endpoint Security for Business dengan kontrol aplikasi dan web sangat dianjurkan. Analisis perilaku juga membantu mendeteksi aktivitas berbahaya dengan cepat.
Peningkatan literasi digital karyawan juga penting untuk meminimalkan risiko siber dari sisi manusia. Penggunaan alat daring yang menawarkan pelatihan siber komprehensif bagi staf dapat menjadi solusi efektif. Sementara itu, untuk perorangan, penggunaan solusi keamanan komprehensif seperti Kaspersky Premium di semua perangkat dapat mencegah pembukaan halaman mencurigakan atau email phishing. Penggunaan Kaspersky Password Manager juga disarankan untuk menyimpan kata sandi dengan aman.