- Pembaruan Windows palsu mengirimkan malware tingkat lanjut yang tersembunyi di dalam gambar PNG terenkripsi
- Peretas menipu korbannya dengan layar pembaruan yang secara diam-diam menjalankan perintah jahat
- Stego Loader merekonstruksi muatan berbahaya seluruhnya di memori menggunakan rutinitas C#
Peretas semakin banyak menggunakan layar Pembaruan Windows palsu untuk mendistribusikan malware kompleks melalui taktik rekayasa sosial.
Serangan ClickFix meyakinkan pengguna untuk menjalankan perintah di Windows dengan meniru perintah pembaruan yang sah dalam layar penuh peramban web halaman, peneliti Huntress Ben Folland dan Anna Pham menemukan.
Para ahli dilaporkan bahwa dalam beberapa kasus, penyerang memerintahkan korban untuk menekan tombol tertentu, yang secara otomatis menempelkan perintah berbahaya ke dalam kotak Windows Run.
Steganografi dan muatan multi-tahap
Perintah-perintah ini kemudian memicu eksekusi malware, melewati perlindungan sistem standar dan memengaruhi sistem individu dan perusahaan.
Muatan malware disembunyikan menggunakan steganografi di dalam gambar PNG, dienkripsi dengan AES, dan direkonstruksi oleh rakitan .NET yang disebut Stego Loader.
Pemuat ini mengekstrak kode shell menggunakan rutinitas C# khusus dan mengemasnya kembali dengan alat Donut, memungkinkan eksekusi file VBScript, JScript, EXE, DLL, dan rakitan .NET seluruhnya di memori.
Analis mengidentifikasi malware yang dihasilkan sebagai varian LummaC2 dan Rhadamanthys.
Penggunaan steganografi dalam serangan ini menunjukkan bahwa pengiriman malware melampaui file tradisional yang dapat dieksekusi, sehingga menciptakan tantangan baru bagi tim pendeteksi ancaman dan respons insiden.
Penyerang juga menerapkan taktik penghindaran dinamis seperti ctrampoline, yang memanggil ribuan fungsi kosong untuk mempersulit analisis.
Salah satu varian yang menggunakan iming-iming Pembaruan Windows palsu terdeteksi pada bulan Oktober 2025, dan penegak hukum mengganggu sebagian infrastrukturnya melalui Operasi Endgame pada bulan November.
Hal ini mencegah pengiriman muatan akhir melalui domain berbahaya, meskipun halaman pembaruan palsu tetap aktif.
Serangan terus berkembang, bergantian antara perintah verifikasi manusia dan pembaruan animasi untuk mengelabui pengguna agar menjalankan perintah.
Para peneliti merekomendasikan pemantauan rantai proses untuk aktivitas mencurigakan, seperti explorer.exe yang memunculkan mshta.exe atau PowerShell.
Penyelidik juga dapat meninjau kunci registri RunMRU untuk perintah yang dijalankan.
Organisasi disarankan untuk menggabungkan penghapusan malware berlatih dengan anti Virus pemindaian dan perlindungan firewall untuk membatasi paparan.
Menonaktifkan kotak Windows Run, jika memungkinkan, dan memeriksa muatan berbasis gambar dengan hati-hati merupakan tindakan pencegahan tambahan yang disarankan.
Perusahaan harus memperhitungkan risiko yang timbul dari aset yang tampak sah, seperti gambar dan skrip, yang dijadikan senjata, sehingga mempersulit pencatatan, pemantauan, dan analisis forensik.
Hal ini juga menimbulkan kekhawatiran mengenai keamanan rantai pasokan dan potensi penyerang untuk mengeksploitasi mekanisme pembaruan tepercaya sebagai titik masuk.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
