Infeksi LummaStealer Melonjak, Didistribusikan Lewat CastleLoader dan Teknik ClickFix

Lonjakan infeksi LummaStealer terpantau dalam beberapa bulan terakhir, dipicu oleh kampanye social engineering yang memanfaatkan teknik ClickFix untuk mendistribusikan malware loader bernama CastleLoader.

LummaStealer—juga dikenal sebagai LummaC2—merupakan operasi infostealer berbasis malware-as-a-service (MaaS). Operasi ini sempat terganggu pada Mei 2025 setelah otoritas penegak hukum bersama sejumlah perusahaan teknologi menyita sekitar 2.300 domain serta infrastruktur pusat kendali yang mendukung layanan tersebut.

Namun, aktivitas LummaStealer kembali bangkit pada Juli 2025 dan kini menunjukkan peningkatan signifikan.

Lonjakan Aktivitas Akhir 2025 hingga Awal 2026

Menurut laporan terbaru dari Bitdefender, operasi LummaStealer meningkat tajam antara Desember 2025 hingga Januari 2026. Penyebarannya kini banyak mengandalkan CastleLoader, malware loader modular yang dirancang untuk mendistribusikan berbagai jenis infostealer dan remote access trojan (RAT).

CastleLoader dikenal karena model eksekusi in-memory, teknik obfuscation berlapis, serta komunikasi command-and-control (C2) yang fleksibel—kombinasi yang membuatnya efektif untuk distribusi malware dalam skala besar.

Peran CastleLoader dalam Rantai Infeksi

CastleLoader pertama kali muncul pada awal 2025 dan telah digunakan untuk menyebarkan berbagai malware seperti Stealc, RedLine, Rhadamanthys, MonsterV2, hingga sejumlah RAT.

Loader ini berbasis skrip—menggunakan AutoIT atau Python—dan bekerja dengan mendekripsi serta mengeksekusi payload sepenuhnya di memori. Teknik ini menyulitkan deteksi berbasis file tradisional.

Untuk menghindari analisis, CastleLoader menerapkan berbagai lapisan obfuscation, termasuk:

• Penggantian nama variabel dan fungsi berbasis kamus
• String terenkripsi yang baru didekode saat runtime
• Kode sampah dan cabang mati dalam jumlah besar
• Operasi aritmatika dan logika yang menghasilkan nilai trivial

Sebelum menjalankan LummaStealer, CastleLoader melakukan pemeriksaan lingkungan dan sandbox guna mendeteksi apakah sedang dianalisis. Loader juga menyesuaikan jalur file serta lokasi persistensi berdasarkan produk keamanan yang terdeteksi di sistem korban.

Persistensi dicapai dengan menyalin skrip berbahaya ke lokasi tertentu, menyimpan interpreter di direktori terpisah, dan membuat shortcut internet pada folder Startup yang menjalankan skrip tersebut saat sistem menyala.

Menariknya, CastleLoader secara sengaja memicu kegagalan DNS dengan melakukan permintaan ke domain tidak valid. Artefak dari perilaku jaringan ini dapat dimanfaatkan sebagai indikator deteksi.

ClickFix Jadi Vektor Infeksi Utama

Teknik ClickFix menjadi salah satu metode distribusi paling efektif dalam kampanye LummaStealer. Korban diarahkan ke halaman CAPTCHA atau verifikasi palsu yang menampilkan instruksi rinci untuk menjalankan perintah PowerShell.

Perintah tersebut biasanya sudah otomatis tersalin ke clipboard korban. Ketika dijalankan, skrip akan mengambil file berbahaya dari server penyerang dan mengeksekusinya secara lokal. Dalam sejumlah kasus, payload yang diunduh adalah CastleLoader, yang kemudian menginstal LummaStealer.

Selain ClickFix, LummaStealer juga disebarkan melalui installer perangkat lunak trojan, software bajakan dari situs palsu atau torrent, serta arsip media dan game palsu.

Ancaman terhadap Data Sensitif

Sebagai infostealer, LummaStealer menargetkan berbagai data sensitif, termasuk:

• Kredensial dan cookie browser
• Informasi dompet kripto
• Token autentikasi dan session cookie
• Konfigurasi VPN
• Dokumen dan data akun

Skala kampanye menunjukkan target tersebar secara global, tanpa batasan wilayah tertentu.

Rekomendasi Keamanan

Untuk meminimalkan risiko infeksi, pengguna disarankan:

• Tidak mengunduh perangkat lunak atau media dari sumber tidak resmi, terutama file berekstensi .EXE.
• Tidak menjalankan perintah PowerShell atau command-line yang tidak dipahami, terutama jika diminta oleh halaman web verifikasi.
• Menghindari penggunaan software bajakan atau versi “cracked”.
• Menggunakan pemblokir iklan guna menyembunyikan hasil pencarian bersponsor yang berpotensi berbahaya.

Lonjakan aktivitas LummaStealer menunjukkan bahwa meski infrastruktur pusat sempat dibongkar, model MaaS memungkinkan operasi serupa kembali aktif dalam waktu singkat dengan teknik distribusi yang terus berevolusi.