Waspada! Situs Palsu Chrome Sebarkan Malware ValleyRAT

Serangan siber kembali mengguncang dunia digital. Kali ini, malware canggih bernama ValleyRAT digunakan oleh kelompok peretas untuk menyusup ke sistem korban melalui situs web palsu yang meniru tampilan resmi Google Chrome. Malware ini tergolong Remote Access Trojan (RAT), yang memungkinkan pelaku mengendalikan sistem target dari jarak jauh sekaligus mencuri informasi sensitif.

ValleyRAT bukanlah ancaman biasa. Ia mampu beroperasi secara diam-diam di latar belakang, tanpa disadari oleh pengguna. Begitu berhasil menginfeksi perangkat, malware ini dapat mencuri data penting, memantau aktivitas, dan mengeksekusi perintah tambahan dari server kendali peretas.

Pelaku di Balik Layar: Kelompok Silver Fox Menjadi Tersangka Utama

Kelompok peretas Silver Fox diduga kuat berada di balik penyebaran ValleyRAT. Sejak tahun 2023, kelompok ini aktif menargetkan pengguna di wilayah berbahasa Mandarin seperti Tiongkok daratan, Hong Kong, dan Taiwan. Namun kini, serangan mulai menyasar target yang lebih luas di luar wilayah tersebut.

Menurut laporan dari perusahaan keamanan siber Morphisec, serangan yang dilakukan Silver Fox menunjukkan pola peningkatan dalam hal kecanggihan dan ketelitian pemilihan korban. Mereka tidak lagi menyerang secara acak, melainkan menargetkan individu dengan akses strategis dalam perusahaan.

Sasaran Khusus: Pekerja dengan Akses ke Informasi Sensitif

Salah satu strategi Silver Fox yang paling mencolok adalah pemilihan korban yang sangat spesifik. Mereka membidik pekerja di bidang keuangan, akuntansi, dan penjualan yakni individu yang memiliki akses terhadap data penting perusahaan.

“Dengan menargetkan posisi-posisi krusial, peretas bisa mencuri informasi bernilai tinggi. Termasuk di antaranya laporan keuangan, data klien, hingga sistem internal perusahaan,” ujar Shmuel Uzan, peneliti senior di Morphisec.

Strategi ini menunjukkan bahwa serangan tidak lagi sekadar eksplorasi teknis, tetapi juga mengandalkan intelijen bisnis untuk memaksimalkan hasil.

Modus Operandi: Situs Palsu dan Teknik DLL Hijacking

Serangan siber ini dimulai dari sebuah situs tiruan yang meniru tampilan halaman resmi unduhan Google Chrome. Saat pengguna mencari Chrome di internet, mereka bisa saja diarahkan ke situs palsu ini lewat metode manipulasi yang dikenal sebagai drive-by download, di mana pengunduhan berbahaya bisa terjadi tanpa disadari.

Setelah mengunduh installer palsu, pengguna sebenarnya sedang memasukkan ValleyRAT ke dalam perangkat mereka. Installer tersebut akan memulai serangkaian proses jahat, termasuk:

• Memeriksa hak akses pengguna untuk menentukan tingkat kendali.

• Mengunduh file tambahan seperti:

  • Douyin.exe – aplikasi asli yang digunakan sebagai kedok untuk menyembunyikan malware.

  • tier0.dll – file berbahaya yang menjadi pintu masuk ValleyRAT.

  • sscronet.dll – file yang berfungsi mematikan sistem keamanan komputer korban.

Teknik ini dikenal sebagai DLL hijacking, yaitu proses di mana file jahat dimasukkan ke dalam sistem melalui aplikasi yang tampak sah, sehingga kode berbahaya dapat berjalan tanpa terdeteksi.

Kemampuan Malware ValleyRAT yang Mengkhawatirkan

ValleyRAT dirancang untuk mengintai dan mengendalikan sistem tanpa diketahui oleh pemiliknya. Malware ini memiliki berbagai fungsi berbahaya, termasuk:

• Merekam layar aktivitas korban secara terus-menerus.

• Menyimpan semua ketikan keyboard (keylogging) untuk mencuri kata sandi, data login, dan informasi sensitif lainnya.

• Berkomunikasi langsung dengan server pengendali untuk mengunduh file tambahan atau menjalankan instruksi lanjutan.

Dengan fitur ini, peretas tidak hanya bisa mengakses data pribadi, tetapi juga memperluas serangan ke seluruh jaringan perusahaan korban.

Hubungan dengan Serangan Malware Gh0st RAT

Penelusuran lebih lanjut menunjukkan adanya kemiripan metode serangan ValleyRAT dengan malware Gh0st RAT, yang telah lebih dulu digunakan oleh kelompok peretas asal Tiongkok. Kedua malware ini sama-sama menggunakan situs tiruan dan menargetkan kalangan profesional.

“Jejak digital yang kami analisis mengindikasikan bahwa pelaku di balik ValleyRAT kemungkinan juga terlibat dalam penyebaran Gh0st RAT,” jelas Michael Gorelik, CTO Morphisec.

Konsistensi metode, target, dan infrastruktur yang digunakan menunjukkan bahwa kampanye ini bukanlah aksi tunggal, melainkan bagian dari operasi siber yang lebih besar.

Ancaman Tambahan: File SVG dalam Serangan Phishing

Selain penyebaran ValleyRAT, perusahaan keamanan Sophos juga mendeteksi metode serangan baru yang memanfaatkan file Scalable Vector Graphics (SVG) dalam kampanye phishing. File ini digunakan untuk menyamarkan serangan dari sistem deteksi antivirus.

Beberapa fungsi dari file SVG berbahaya ini antara lain:

• Menyisipkan keylogger berbasis AutoIt, seperti Nymeria, yang mencatat aktivitas keyboard pengguna.

• Mengalihkan korban ke situs web palsu untuk mencuri kredensial login.

• Melewati filter keamanan email karena file SVG dianggap file gambar biasa.

Ancaman ini membuktikan bahwa peretas terus mencari cara baru untuk mengelabui sistem keamanan.

Langkah Pencegahan: Cara Melindungi Diri dari Ancaman ValleyRAT

Untuk menghadapi ancaman ValleyRAT dan serangan sejenis, pengguna disarankan untuk menerapkan beberapa langkah pencegahan, antara lain:

1. Hanya mengunduh software dari situs resmi. Misalnya, Chrome sebaiknya diunduh langsung dari google.com/chrome.

2. Cek alamat URL dengan cermat. Jika sebuah situs terlihat sedikit berbeda dari biasanya—entah dari tampilan, URL, atau tata letaknya—itu bisa menjadi tanda peringatan. Jangan abaikan perubahan sekecil apa pun.

3. Gunakan antivirus dan firewall terbaru. Sistem keamanan yang selalu diperbarui dapat mencegah malware masuk.

4. Hindari mengklik tautan mencurigakan dalam email, media sosial, atau pesan pribadi.

Jika Anda curiga perangkat telah terinfeksi, segera lakukan pemindaian menyeluruh menggunakan perangkat lunak keamanan terpercaya. Pastikan untuk memeriksa apakah ada proses asing yang berjalan tanpa izin.