Bayangkan, lagi asyik-asyiknya nyari software gratisan di Google, eh, malah dapetnya zonk. Bukannya download aplikasi keren, malah ke-prank malware. Lebih nyesek dari ditikung teman sendiri, kan? Inilah yang namanya SEO poisoning, teknik jahat yang lagi ngetren di kalangan hacker.
Jadi, ceritanya begini. Ada sekelompok hacker yang iseng (atau emang kerjaannya?) bikin website palsu yang mirip banget sama website resmi penyedia software. Mereka manfaatin teknik SEO biar website palsu ini nongol di halaman pertama Google. Begitu ada korban yang kepincut dan download software dari website abal-abal ini, otomatis komputernya langsung kena infeksi malware.
Website Palsu Lebih Meyakinkan dari Janji Manis
Modusnya emang licik banget. Mereka daftarin domain yang namanya mirip-mirip sama domain aslinya. Misalnya, DeepL jadi Deepll (huruf “L”-nya dobel). Atau, mereka pakai karakter Unicode yang sekilas mirip huruf Latin. Begitu korban salah ketik atau kurang teliti, langsung deh masuk perangkap.
Nah, yang bikin ngeri, installer software palsu ini isinya nggak cuma malware doang. Ada juga software aslinya. Jadi, pas korban install, dia nggak sadar kalau komputernya udah disusupi virus. Ibaratnya, kayak beli nasi goreng, eh, ternyata ada bonus kecoa di dalamnya. Kan, jorok!
“Website-website palsu ini di-boost pakai teknik SEO biar rankingnya tinggi di hasil pencarian. Alhasil, banyak pengguna yang ketipu karena percaya sama hasil pencarian teratas,” kata Mayuresh Dani, manajer riset keamanan di Qualys Threat Research Unit. Padahal, ya, namanya juga internet, isinya macem-macem. Jangan langsung percaya sama yang nongol di halaman pertama Google.
“Ujung-ujungnya, ya, instalasi malware. Dalam kasus ini, ada varian Hiddengh0st dan Winos yang disisipin ke software aslinya biar nggak ketahuan sama antivirus,” lanjut Dani. Ini nih yang bikin pusing. Udah pasang antivirus, eh, masih aja kecolongan.
“Nice.js”: Dalang di Balik Layar
Salah satu senjata andalan para hacker ini adalah script bernama “nice.js”. Tugasnya, ngarahin korban dari satu website palsu ke website palsu lainnya. Ibaratnya, kayak main petak umpet, tapi yang nyariin setan. Serem, kan?
Dari hasil analisis, peneliti fokus ke installer DeepL palsu. Di dalamnya, ada komponen jahat bernama “EnumW.dll” dan file-file aneh yang disembunyiin di dalam setup package. Kalau udah gini, antivirus pun bisa kecolongan. Soalnya, virusnya pinter banget ngumpet.
Malware ini juga dilengkapi dengan fitur anti-analisis yang canggih. EnumW.dll, misalnya, bisa ngecek apakah dia dijalankan oleh Windows Installer atau bukan. Dia juga bisa ngetes integritas hardware dan ngehindarin sandbox environment. Pokoknya, dia berusaha sekuat tenaga biar nggak ketahuan.
Setelah lolos dari pemeriksaan, dia mulai deh beraksi. Dia rekonstruksi file-file yang disembunyiin, nyebarin ke berbagai direktori sistem, dan ngejalanin fungsi-fungsi yang bisa bikin infeksi makin parah. Nggak cuma itu, dia juga bikin dirinya susah dihapus.
Taktik Gerilya ala Malware: Susah Diberantas!
Malware ini punya banyak cara buat bertahan hidup di komputer korban. Mulai dari ngubah registry Windows, bikin shortcut palsu, sampai nge-hijack TypeLib lewat file XML jahat. Ibaratnya, dia udah nguasain seluruh sistem komputer korban.
Nggak cuma itu, malware ini juga pinter banget adaptasi. Kalau dia nyadar ada antivirus kayak 360 Total Security, dia bakal ngubah perilakunya biar nggak ketahuan. Licik banget, kan?
“SEO poisoning memanfaatkan teknik-teknik serangan yang paling sukses, yaitu phishing dan smishing,” kata Chad Cragle, CISO di Deepwatch. “Intinya, mereka berusaha ngarahin pengguna ke website yang penuh malware biar sistemnya bisa dikompromiin. Ini bukan barang baru, sih. Cuma, SEO poisoning bikin aksi mereka jadi lebih masif dan gampang.”
Incar Data Lebih Dalam dari Isi Dompet
Payload terakhir dari malware ini isinya modul buat monitoring terus-menerus, ngumpulin data sistem, dan komunikasi dengan command-and-control server (C2). Dia bisa ngerekam semua yang diketik korban, ngawasin clipboard, ngupdate konfigurasi, bahkan nge-hijack dompet cryptocurrency. Nggak tanggung-tanggung, kan?
Ada juga plugin tambahan yang fokus buat nyadap aktivitas Telegram dan ngawasin layar korban. Kalau udah gini, privasi udah nggak ada harganya lagi. Semua data pribadi bisa dicuri dan disalahgunain.
FortiGuard Labs nyebutin kalau keluarga malware yang dipakai dalam kampanye ini adalah varian Hiddengh0st dan Winos. Para ahli keamanan bilang kalau informasi yang dicuri bisa dipakai buat serangan lebih lanjut. Makanya, tingkat ancamannya dikategorikan tinggi.
Dani nyaranin supaya perusahaan ngadain pelatihan keamanan multi-bahasa, masang filter DNS, ngeaktifin mekanisme keamanan browser, dan bikin kebijakan download software yang ketat. Tujuannya, biar nggak gampang kena jebakan SEO poisoning. Intinya, sih, jangan gampang percaya sama semua yang ada di internet. Apalagi kalau gratisan. Biasanya, ada udang di balik batu.
