Berita Terbaru

Lumma Stealer: Malware Licik di Balik Iklan & CAPTCHA Palsu

Ilustrasi Cyber Security 1

Ilustrasi Cyber Security

Dunia maya kini tidak lagi sekadar menjadi ruang interaksi sosial dan bisnis, melainkan juga ladang subur bagi para pelaku kejahatan siber. Salah satu ancaman yang belakangan semakin mengkhawatirkan adalah Lumma Stealer—malware pencuri informasi yang berkembang pesat dan memanfaatkan teknik serangan baru yang lebih canggih. Dari yang awalnya mengandalkan metode phishing tradisional, kini Lumma Stealer menyusup melalui CAPTCHA palsu dan iklan berbahaya di situs yang telah dikompromikan.

Perubahan strategi ini membuktikan satu hal: pelaku ancaman tidak pernah berhenti berinovasi. Dengan menyasar berbagai sektor penting seperti kesehatan, keuangan, dan telekomunikasi, malware ini bukan hanya mengincar individu, tapi juga perusahaan dengan data bernilai tinggi.

 

Apa Itu Lumma Stealer?

Lumma Stealer adalah jenis information stealer malware, program berbahaya yang dirancang untuk mencuri informasi sensitif dari perangkat korban. Uniknya, Lumma Stealer dipasarkan menggunakan model Malware-as-a-Service (MaaS). Artinya, pembuat malware menyewakan alat ini kepada pelaku kejahatan lain dengan sistem berlangganan.

Model ini sangat memudahkan penyebaran, karena:

  • Pelaku tidak perlu memiliki keahlian teknis tinggi.
  • Cukup membayar biaya langganan, mereka sudah bisa menjalankan serangan.
  • Setiap "penyewa" bisa menyesuaikan serangan sesuai targetnya.

Setelah berhasil menginfeksi perangkat korban, Lumma Stealer akan bekerja secara senyap untuk mengumpulkan informasi seperti:

  • Password yang tersimpan di browser.
  • Riwayat pencarian dan cookie sesi.
  • Data dari dompet cryptocurrency seperti Metamask, Ledger, dan Trezor.
  • File dengan kata kunci “wallet”, “password”, atau “seed”.

Tidak hanya itu, sektor yang menjadi target juga luas mulai dari telekomunikasi, perbankan, kesehatan, hingga pemasaran. Terutama telekomunikasi, karena data pelanggan, informasi teknis, dan infrastruktur digitalnya sangat bernilai.

 

Mengapa Lumma Stealer Berbahaya?

Ada beberapa alasan mengapa Lumma Stealer termasuk ancaman serius di dunia siber:

  1. Menyasar Berbagai Sektor
    Tidak hanya individu, tetapi juga organisasi besar dengan data sensitif.
  2. Mudah Digunakan oleh Pelaku
    Model MaaS membuat siapa pun yang memiliki niat jahat dapat memanfaatkannya.
  3. Teknik Serangan Berlapis
    Menggabungkan rekayasa sosial, eksploitasi sistem bawaan Windows, dan teknik fileless yang sulit terdeteksi.
  4. Kemampuan Menghindari Deteksi
    Malware ini mampu melewati Windows Antimalware Scan Interface (AMSI) untuk menghindari pemindaian antivirus.
  5. Distribusi Global
    Kasusnya ditemukan di banyak negara, termasuk Amerika Serikat, Argentina, Kolombia, dan Filipina.

 

Teknik Penyusupan: Lewat Iklan dan CAPTCHA Palsu

Metode terbaru yang digunakan Lumma Stealer terbilang licik dan manipulatif. Mereka memanfaatkan rekayasa sosial dengan memancing korban untuk melakukan tindakan yang justru membuka pintu bagi malware.

  1. CAPTCHA Palsu

    • Korban mengunjungi situs yang sudah terinfeksi.
    • Secara otomatis diarahkan ke halaman verifikasi CAPTCHA tiruan.
    • CAPTCHA ini terlihat meyakinkan, tapi sebenarnya palsu.
    • Pengguna diminta menyalin perintah aneh ke kolom Run di Windows.
    • Perintah tersebut memanfaatkan mshta.exe—tool bawaan Windows—untuk mengunduh dan menjalankan file HTA berbahaya dari server pelaku.

    Metode ini adalah evolusi dari teknik ClickFix, yang sebelumnya menggunakan PowerShell terenkripsi untuk menyerang secara fileless.

  2. Iklan di Situs Terkompromi

    • Pelaku menyisipkan iklan berbahaya di situs yang populer.
    • Iklan ini bisa berbentuk banner atau pop-up yang jika diklik, mengarahkan korban ke halaman serangan.
    • Dari sini, skenario CAPTCHA palsu atau unduhan otomatis dijalankan.

 

Bagaimana Proses Infeksinya Terjadi?

Jika digambarkan langkah demi langkah, proses penyusupan Lumma Stealer adalah sebagai berikut:

  1. Pengalihan ke Situs Berbahaya
    Korban tanpa sadar mengunjungi situs terkompromi atau mengklik iklan berbahaya.
  2. Tampilan CAPTCHA Palsu
    Korban diarahkan ke halaman verifikasi tiruan yang terlihat resmi.
  3. Perintah yang Menjebak
    Korban diminta menyalin kode tertentu ke Windows Run, yang sebenarnya memicu eksekusi malware.
  4. Pemanggilan mshta.exe
    Tool ini mengunduh file HTA dari server pelaku.
  5. Eksekusi Payload
    File HTA menjalankan skrip untuk:
    • Mengunduh komponen tambahan.
    • Menghindari deteksi antivirus.
    • Memasang Lumma Stealer di sistem.
  6. Pencurian Data
    Malware mulai mengumpulkan informasi sensitif dan mengirimkannya ke server C2 (Command and Control) milik pelaku.


Sasaran Serangan

Kampanye Lumma Stealer telah menginfeksi korban di berbagai belahan dunia. Berdasarkan laporan, negara yang paling banyak terdampak antara lain:

  • Amerika Serikat
  • Argentina
  • Kolombia
  • Filipina

Sektor yang menjadi target utama:

  • Telekomunikasi: karena nilai data pelanggan dan infrastruktur digitalnya.
  • Kesehatan: menyimpan data medis yang sangat sensitif.
  • Perbankan: berisiko kehilangan data keuangan nasabah.
  • Pemasaran: mengelola basis data konsumen yang besar.


Mengapa Teknik Ini Efektif?

Kekuatan teknik serangan Lumma Stealer ada pada faktor manusia. Sebagian besar solusi keamanan dirancang untuk memblokir ancaman otomatis di dalam browser. Namun, ketika pengguna sendiri yang mengeksekusi perintah berbahaya di luar browser, banyak sistem keamanan yang tidak berfungsi optimal.

Dengan kata lain, manusia menjadi celah terlemah dalam rantai keamanan.

 

Mengupas Rantai Serangan Lumma Stealer: Dari CAPTCHA Palsu hingga Pencurian Data Sensitif

Rantai serangan Lumma Stealer (attack chain) menunjukkan betapa terstruktur dan berlapisnya metode yang digunakan pelaku. Mulai dari pemalsuan halaman CAPTCHA, penyalahgunaan tool bawaan Windows, hingga penghindaran deteksi antivirus, setiap tahap dirancang untuk meminimalkan kemungkinan terdeteksi dan memaksimalkan keberhasilan pencurian data.

Berikut ini adalah bagaimana rantai serangan Lumma Stealer bekerja, teknik-teknik canggih yang digunakan, metode penyebaran, serta langkah pencegahan yang dapat diambil.

  • Tahap Awal: Membangun Kepercayaan dengan CAPTCHA Palsu
    Serangan Lumma Stealer biasanya dimulai ketika korban mengunjungi situs web yang telah dikompromikan. Secara otomatis, mereka akan dialihkan ke halaman CAPTCHA palsu yang menyerupai verifikasi “I’m not a robot” pada umumnya.

    Tujuan Tahap Ini:

    • Membuat korban percaya bahwa mereka sedang menjalani prosedur keamanan biasa.
    • Mengurangi kecurigaan terhadap aktivitas yang akan terjadi selanjutnya.
    • Setelah korban mengklik tombol verifikasi, proses berbahaya mulai berjalan di balik layar.

  • Tahap Kedua: Eksekusi Perintah PowerShell dari Clipboard
    Pada tahap ini, sistem korban secara otomatis menyalin skrip PowerShell yang sudah disamarkan ke clipboard. Korban lalu diarahkan untuk menempelkan skrip tersebut ke jendela Run di Windows.

    Mengapa Ini Berbahaya?

    • PowerShell adalah tool bawaan Windows dengan kemampuan luas untuk mengakses dan mengontrol sistem.
    • Perintah ini memicu proses infeksi secara manual, tetapi tanpa korban menyadari konsekuensinya.

    Teknik ini memanfaatkan kepercayaan pengguna dan fakta bahwa sebagian besar sistem keamanan tidak memblokir tindakan yang dilakukan secara manual oleh pengguna.

  • Tahap Ketiga: Unduhan dan Eksekusi Berantai
    Perintah yang dijalankan menggunakan mshta.exe untuk mengunduh file HTA dari server jarak jauh. File ini kemudian:

    • Menjalankan skrip PowerShell tambahan.
    • Memanggil payload tahap berikutnya.
    • Memulai rantai eksekusi kompleks yang sulit dideteksi.

    Kelebihan Teknik Ini:

    • Memanfaatkan tool bawaan Windows (mshta.exe) sehingga tidak langsung mencurigakan.
    • Menggunakan metode polyglot, menyamarkan file HTA agar terlihat seperti file lain.

  • Tahap Keempat: Penghindaran Deteksi
    Sebelum payload utama diluncurkan, skrip melakukan beberapa langkah untuk mengelabui antivirus dan sistem keamanan, antara lain:

    • Bypass AMSI (Windows Antimalware Scan Interface) untuk menghindari analisis skrip berbahaya.
    • Menghindari sandbox environment, yaitu lingkungan isolasi yang digunakan untuk menganalisis malware.

    Teknik Fileless
    Payload disembunyikan dalam skrip PowerShell yang terenkripsi menggunakan AES mode CBC. Tidak ada file berbahaya yang tersimpan permanen di sistem, sehingga deteksi menjadi jauh lebih sulit.

    Process Hollowing
    Di tahap akhir, Lumma Stealer melakukan injeksi kode ke dalam proses sah seperti BitLockerToGo.exe. Dengan teknik ini, malware beroperasi di balik proses legal, membuat analisis forensik dan deteksi real-time menjadi sangat menantang.

  • Tahap Kelima: Payload dan Aksi Setelah Infeksi
    Setelah berhasil menginfeksi sistem, Lumma Stealer mengeksekusi file utama bernama VectirFree.exe, yang berfungsi sebagai loader untuk malware inti.

    File Pendukung yang Dijalankan:

    • Killing.bat
      • Memeriksa proses antivirus seperti wrsa.exe (Webroot), opssvc.exe (Quick Heal), dan bdservicehost.exe (Bitdefender).
      • Menghentikan proses perlindungan real-time agar malware bebas bergerak.
    • Voyuer.pif
      • Diduga digunakan untuk mempertahankan akses atau merekam aktivitas sistem secara diam-diam.

    Setelah sistem pertahanan dilemahkan, malware mulai mencari file dengan kata kunci seperti:

    • seed
    • wallet
    • pass
    • metamask

    Target utamanya adalah file seperti seed.txt, wallet.txt, atau metamask.txt yang sering menyimpan informasi sensitif terkait akun cryptocurrency.

  • Tahap Keenam: Komunikasi dengan Server C2
    Data yang telah dicuri dikirim ke server Command and Control (C2) milik pelaku. Dalam kampanye terbaru:

    • Domain C2 sering menggunakan akhiran “.shop” yang mudah didaftarkan dan tidak mencurigakan.
    • Data dikirim melalui Content Delivery Network (CDN) seperti Cloudflare, membuat lalu lintas terlihat seperti komunikasi normal dari layanan sah.

    Teknik Evasion Tambahan:

    • Penyembunyian file.
    • Enkripsi lalu lintas data.
    • Pemanfaatan infrastruktur legal agar sulit diblokir.

 

Metode Penyebaran Lumma Stealer

Selain teknik CAPTCHA palsu, Lumma Stealer juga menyebar melalui:

  • Pemalsuan Situs Terkenal
    Ribuan domain tiruan dibuat menyerupai situs populer seperti Reddit, WeTransfer, dan AnyDesk.
    Tujuannya: Mengelabui pengguna agar mengunduh file berbahaya yang terlihat seperti aplikasi asli.
  • Phishing dan Software Bajakan
    • Email phishing yang memancing korban mengklik tautan berbahaya.
    • Distribusi lewat software crack atau tools gratis yang sudah disusupi malware.
    • Penyisipan tautan di platform publik seperti GitHub dan YouTube.
  • Penyalahgunaan Gravatar untuk Phishing Avatar
    Profil palsu dibuat menyerupai merek terkenal (contoh: AT&T, Proton Mail) untuk meyakinkan korban dan mencuri kredensial.

 

Tips Pencegahan Lumma Stealer

Menghadapi malware yang kompleks seperti Lumma Stealer membutuhkan kombinasi perlindungan teknis dan kesadaran pengguna.

Langkah Pencegahan untuk Individu:

  • Jangan pernah menyalin atau menjalankan perintah dari sumber yang tidak jelas.
  • Waspadai CAPTCHA yang meminta Anda menjalankan instruksi tambahan.
  • Gunakan antivirus dan pastikan selalu diperbarui.
  • Gunakan ad-blocker untuk mengurangi risiko iklan berbahaya.

Langkah Pencegahan untuk Organisasi:

  • Gunakan Endpoint Detection and Response (EDR) untuk mendeteksi aktivitas PowerShell mencurigakan.
  • Blokir eksekusi mshta.exe jika tidak diperlukan.
  • Segmentasikan jaringan agar infeksi tidak menyebar luas.
  • Adakan pelatihan rutin tentang ancaman social engineering.
  • Gunakan sistem pemantauan lalu lintas jaringan untuk mendeteksi komunikasi C2.

Rantai serangan Lumma Stealer menunjukkan bahwa ancaman siber modern tidak hanya mengandalkan celah teknis, tetapi juga memanfaatkan kelemahan manusia. Dengan memadukan rekayasa sosial, penyalahgunaan tool sah, enkripsi payload, dan teknik injeksi proses, malware ini menjadi salah satu ancaman paling sulit dideteksi.

Perlindungan terhadap Lumma Stealer harus dilakukan dari dua sisi:

  • Penguatan teknologi keamanan untuk mendeteksi aktivitas mencurigakan.
  • Peningkatan kesadaran pengguna agar tidak terjebak skenario rekayasa sosial.

Di era serangan siber yang semakin canggih, kombinasi keduanya adalah benteng terkuat untuk mencegah kebocoran data yang bisa merugikan secara finansial maupun reputasi.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait