Himbauan Keamanan Siber

>

>Bandung, 17 Maret 2026 — Pencurian kredensial berskala besar diidentifikasi menargetkan pengguna dengan memanfaatkan teknik SEO Poisoning dan perangkat lunak VPN palsu yang menggunakan tanda tangan digital (digital signature) valid. Kampanye yang diatribusikan kepada aktor ancaman Storm-2561 ini bertujuan untuk mencuri informasi login VPN seperti Pulse Secure, Fortinet, dan Ivanti guna mendapatkan akses tidak sah ke dalam jaringan perusahaan.

>Mekanisme Serangan dan Penipuan

>Aktor ancaman memanipulasi algoritma mesin pencari agar situs web palsu muncul di posisi teratas untuk kata kunci seperti "Pulse VPN download" atau "Fortinet client". Situs-situs tersebut dirancang sangat identik dengan portal resmi vendor, lengkap dengan logo dan tata letak yang meyakinkan.

>Untuk menurunkan kecurigaan sistem keamanan dan pengguna, file berbahaya tersebut dibungkus dalam paket installer yang ditandatangani secara digital oleh sertifikat resmi (yang kini telah dicabut). Hal ini memungkinkan malware melewati peringatan keamanan standar pada sistem operasi Windows.

>Analisis Teknis Infeksi

>Proses infeksi terjadi melalui beberapa tahapan teknis sebagai berikut:

  1. >Payload MSI>: Korban mengunduh file ZIP berisi installer MSI palsu.
  2. >Sideloading DLL>: Saat dijalankan, installer menjatuhkan file eksekusi Pulse.exe bersama dua file DLL berbahaya, dwmapi.dll dan inspector.dll, di direktori yang menyerupai jalur instalasi asli.
  3. >Eksekusi Malware>: dwmapi.dll berfungsi sebagai in-memory loader yang menjalankan shellcode untuk memuat Hyrax infostealer.
  4. >Pencurian Data>: Malware menangkap kredensial yang dimasukkan pengguna dan membaca data konfigurasi dari penyimpanan lokal, kemudian mengirimkannya ke server Command and Control (C2) milik peretas.

>Setelah kredensial dicuri, aplikasi palsu akan menampilkan pesan kesalahan dan mengarahkan pengguna untuk mengunduh aplikasi asli dari vendor resmi. Teknik ini membuat korban tidak menyadari bahwa informasi login mereka telah dikompromikan karena aplikasi VPN asli kemudian dapat berfungsi dengan normal.

>Dampak dan Rekomendasi Mitigasi

>Kredensial yang dicuri memberikan akses bagi penyerang untuk melakukan pergerakan lateral di dalam jaringan internal perusahaan, pencurian data, atau serangan lanjutan yang lebih destruktif.

>Sebagai langkah pencegahan dan mitigasi, sangat disarankan bagi organisasi dan pengguna untuk:

  • >Hanya mengunduh aplikasi> langsung dari situs web resmi vendor dan menghindari tautan dari hasil mesin pencari yang tidak terverifikasi.
  • >Mengaktifkan Multi-Factor Authentication (MFA)> pada seluruh akun VPN, sehingga kredensial yang dicuri tidak cukup untuk mendapatkan akses.
  • >Menerapkan Endpoint Detection and Response (EDR)> dalam mode pemblokiran untuk mendeteksi eksekusi file yang mencurigakan.
>

>Sumber Referensi:>

  • >Microsoft Threat Intelligence Report (Storm-2561)>
  • >https://cybersecuritynews.com/attackers-use-seo-poisoning-and-signed-trojans/