Para peneliti keamanan menemukan kampanye besar-besaran yang meniru situs proyek open source dan freeware. Situs-situs palsu ini berhasil menduduki peringkat teratas hasil pencarian Google.
Baca Juga: Hacker Intai Email Eksekutif Bursa Efek Selama Lima Bulan
Ketika pengguna mengklik tombol unduh, mereka tidak mendapatkan aplikasi yang diinginkan, melainkan diarahkan ke malware melalui sistem distribusi lalu lintas atau Traffic Distribution System (TDS).
Dilansir dari The Hacker News, kampanye ini pertama kali terdeteksi pada September 2025, namun sejak Januari 2026 mulai digunakan untuk menyebarkan malware. Beberapa situs yang ditiru antara lain proyek reverse-engineering seperti Ghidra, dnSpy, dan SpiderFoot. Situs-situs tersebut dirancang sangat mirip dengan aslinya, bahkan menyertakan tautan GitHub yang asli untuk mengelabui pengguna yang melakukan pengecekan cepat.
Baca Juga: Xiaomi Jinshajiang 10000mAh Magnetic Power Bank Diskon, Harga Cuma 288 Yuan
Saat pengguna mengklik tombol “Download”, halaman akan memuat skrip JavaScript yang dihosting di CloudFront. Skrip ini kemudian mengarahkan klik ke sistem TDS yang menerapkan berbagai filter ketat. TDS akan memeriksa apakah pengunjung baru pertama kali, mewajibkan konfirmasi klik, serta mendeteksi penggunaan VPN, datacenter, atau alat analisis. Jika lolos, pengguna akan diarahkan ke rantai unduhan yang berujung pada malware.
Menariknya, saat kursor diarahkan ke tombol unduh, tautan yang muncul adalah URL asli proyek open source tersebut. Ini membuat situs palsu terlihat legitimate.
Namun, setelah diklik, pengguna tetap dialihkan ke TDS. Jika pengguna mencoba mengakses tautan yang sama dari alamat IP yang sama berulang kali, TDS justru akan mengarahkan ke perangkat lunak tak berbahaya seperti browser Opera atau ekstensi browser yang tidak diperlukan.
Ini dilakukan untuk menghindari kecurigaan.
Melalui TDS ini, tiga keluarga malware utama terdeteksi. Pertama, SessionGate, sebuah loader multi-tahap yang sangat terobfuskasi.
SessionGate digunakan untuk mengirimkan potentially unwanted applications (PUA) dengan mekanisme anti-analisis yang kuat. Jika terdeteksi berada di lingkungan sandbox, ia akan beralih ke penginstal yang tidak berbahaya.
Kedua, Remus Stealer, pencuri informasi yang dijual dengan model malware-as-a-service (MaaS). Remus dapat mencuri data dari lebih 20 browser, termasuk ekstensi browser, dompet kripto, alat autentikasi dua faktor, dan pengelola kata sandi.
Remus diyakini sebagai varian dari Lumma Stealer.
Ketiga, AnimateClipper, sebuah clipper kripto yang mampu mengganti alamat dompet yang disalin di clipboard. Dengan demikian, transaksi kripto pengguna dapat dialihkan ke dompet penyerang.
AnimateClipper bekerja di lebih dari 20 ekosistem blockchain dan disebarkan melalui umpan ClickFix.
Data dari VirusTotal menunjukkan sekitar 2.000 hingga 3.500 sampel SessionGate telah dikirimkan. Sebagian besar berasal dari Turki, Polandia, Brasil, Jerman, Prancis, Rusia, dan Inggris.
Peneliti Check Point, Alexey Bukhteyev, menjelaskan bahwa tujuan utama kampanye ini kemungkinan adalah akuisisi lalu lintas dan monetisasi. Namun, dengan menyematkan lapisan TDS yang ketat, operator kampanye juga dapat menjadi bagian dari rantai distribusi malware.
Pengguna yang tidak menaruh curiga bisa dengan mudah terjebak.
Kampanye ini masih berlangsung dan para peneliti terus memantaunya. Pengguna disarankan untuk selalu memverifikasi keaslian situs unduhan, terutama untuk tools open source yang populer.
Baca Juga: DoJ Gempur Jaringan Penipuan Kripto Asia Tenggara, Bekukan Aset Rp60 Miliar
Hindari mengklik tautan unduhan dari situs yang tidak dikenal, dan pastikan URL yang dituju benar-benar milik proyek resmi.
Leave a Comment