Security

Lanskap Ancaman Siber: Kelompok “DriveSurge” Bajak Ribuan Situs demi Kampanye ClickFix dan FakeUpdates

1 hour ago
3 minutes read

Aksi pembajakan situs web berskala masif kembali mengancam keamanan berselancar internet. Lembaga riset keamanan siber SilentPush melaporkan adanya aktor ancaman siber yang dilacak dengan nama DriveSurge. Kelompok ini kedapatan telah mengompromikan ribuan situs web sah bereputasi tinggi guna menyebarkan malware menggunakan dua teknik rekayasa sosial terpopuler saat ini: ClickFix dan FakeUpdates.

Bertindak sebagai pialang akses awal (Initial Access Broker / IAB) yang beroperasi dengan model bisnis Pay-Per-Install (PPI), DriveSurge bertugas menyuplai infeksi awal ke komputer korban sebelum menjual akses tersebut ke kelompok peretas lain untuk meluncurkan serangan lanjutan (seperti penyebaran ransomware).

Mekanisme Penyaringan Korban Menggunakan zTDS

Salah satu kunci sukses dari masifnya operasi DriveSurge adalah pemanfaatan Traffic Distribution System (TDS) sumber terbuka bernama zTDS yang telah mereka gunakan sejak September 2025.

Ketika seorang pengguna internet mengunjungi situs web sah yang telah disusupi oleh DriveSurge, mereka tidak langsung dihujani malware. Sistem zTDS akan bertindak sebagai sirkuit penyaring pintar di latar belakang:

[Pengunjung Masuk ke Situs Sah Terinfeksi]
                       │
                       ▼
         [Sistem Penyaring zTDS (Profiling)]
                       │
         ┌─────────────┴─────────────┐
         ▼                           ▼
[Pengguna Windows/Browser]     [Pengguna macOS/Umum]
         │                           │
         ▼                           ▼
 Taktik ClickFix (PowerShell)   Taktik FakeUpdates (Malicious .exe)

zTDS akan memprofilkan karakteristik perangkat korban (seperti jenis sistem operasi dan browser yang digunakan) untuk menentukan taktik umpan mana yang paling memiliki tingkat keberhasilan tinggi antara FakeUpdates atau ClickFix.

Dua Metode Serangan Utama: FakeUpdates vs ClickFix

DriveSurge mempersiapkan paket umpan yang sangat spesifik dan adaptif untuk mengelabui korban:

1. Metode FakeUpdates (Pembaruan Palsu)

Umpan ini dirancang menyerupai jendela peringatan resmi dari berbagai browser populer di pasar, mencakup Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet, hingga UC Browser.

Dalam satu kasus yang diungkap SilentPush, pengguna browser Firefox disuguhi jendela pop-up palsu yang meminta mereka mengunduh pembaruan. File yang terunduh merupakan arsip terkompresi ZIP yang mengemas beberapa file komponen sirkuit data DLL serta satu file eksekusi malisius bernama Browser Update.exe.

2. Metode ClickFix (Modus Perbaikan Galat)

Taktik ini jauh lebih licik karena menargetkan kepanikan pengguna. Situs web akan mendadak menampilkan pesan galat palsu (misalnya masalah sertifikat keamanan atau kegagalan memuat halaman) dan memberikan instruksi “solusi” instan.

Korban dipandu untuk menekan kombinasi tombol tertentu, menyalin sebuah kode perintah otomatis ke dalam papan klip (clipboard), lalu menempelkannya (paste) langsung ke dalam aplikasi PowerShell atau Terminal Windows mereka. Begitu perintah dieksekusi, sirkuit proteksi Windows akan jebol dan skrip akan otomatis mengunduh malware ke dalam sistem.

Ekspansi ke Ekosistem Apple: SilentPush menemukan bahwa DriveSurge tidak lagi hanya mengincar Windows. Mereka mendeteksi adanya muatan (payload) JavaScript terobfuskasi yang dirancang khusus untuk menyerang sistem desktop macOS melalui skema ClickFix bertema verifikasi akun yang membajak fungsi clipboard komputer Mac.

Sidik Jari Teknis dan Indikator Kompromi (IoC)

Untuk membantu para administrator jaringan dan pemilik situs melakukan pelacakan, SilentPush membagikan beberapa pola sidik jari teknis (technical fingerprints) yang digunakan oleh DriveSurge:

  • Injeksi JavaScript Kustom: Adanya penyisipan kode JavaScript mencurigakan di dalam kode situs web yang mengikuti cetak biru format: t.js?site=<id> (di mana <id> merupakan nilai unik yang diberikan peretas untuk menandai setiap situs yang berhasil mereka kuasai).
  • Domain Siap Senjata: Analisis forensik berhasil mengisolasi lebih dari 80 domain injeksi malisius aktif serta sekelompok domain cadangan (pre-weaponized domains) yang telah dipersiapkan peretas untuk mengantisipasi pemblokiran.

Panduan Proteksi Bagi Pengguna Internet

Guna menghindari jatuhnya korban dari kampanye siber DriveSurge yang memanfaatkan reputasi situs web sah ini, pengguna diimbau untuk menerapkan disiplin keamanan siber berikut:

  1. Unduh Pembaruan Secara Legal: Jangan pernah mengunduh file pembaruan browser dari pop-up yang muncul di dalam sebuah situs web. Pembaruan browser yang aman hanya terjadi secara otomatis atau melalui menu pengaturan internal resmi aplikasi Anda (biasanya melalui menu Settings > About > Check for Updates).
  2. Jangan Asal Tempel Perintah Terminal: Jangan pernah menyalin dan menjalankan kode perintah apa pun ke dalam PowerShell, Command Prompt (CMD), atau Terminal macOS yang Anda dapatkan dari instruksi situs web internet, terutama jika Anda tidak memahami arti dari baris sasis kode tersebut.

Sumber: Laporan Investigasi Tim Riset SilentPush

Tags
1 hour ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button