DarkCloud, malware pencuri informasi, telah muncul kembali dalam bentuk mutakhir yang tak biasa. Varian terbaru ini menerapkan teknik fileless dan proses-silent seperti aldrig terlihat malware secara fisik—namun tetap berbahaya.
Bagaimana Kampanye Baru DarkCloud Beroperasi?
- Awal Infiltrasi via Phishing
Fortinet FortiGuard Labs menemukan kampanye ini dimulai dengan email phishing yang hanya menyertakan lampiran RAR tanpa isi teks. Lampiran berisi file .js yang dieksekusi otomatis oleh WScript.exe
- Eksekusi Fileless via JavaScript & PowerShell
File JS yang obfuscated akan memanggil PowerShell terenkode (Base64) untuk mendownload gambar JPEG yang disembunyikan DLL .NET terenkripsi. DLL ini mengatur persistence dan meluncurkan payload fileless tanpa jejak di disk pengguna.
- Proses Hollowing & VB6 Payload
Payload akhir berupa program VB6 disuntikkan ke proses MSBuild.exe melalui teknik process hollowing. Implementasi ini memanfaatkan API Windows seperti CreateProcess, WriteProcessMemory, dan ResumeThread untuk menjalankan malware secara stealthy.
- Teknik Anti-Analisis dan Evasi Sandbox
Malware memanfaatkan fitur timer dengan lebih dari 600 string terenkripsi dan meminta input user (keyboard/mouse) sebelum aktif—menyulitkan analisis di sandbox otomatis.
- Pencurian Data yang Komprehensif
DarkCloud mencuri:
- Kredensial dan data pembayaran dari browser (SQLite),
- Kontak email dari klien seperti Thunderbird dan EMClient,
- Identitas pengguna dan nama PC, serta alamat IP publik.
Tabel Ringkasan Teknik DarkCloud vs Malware Umum
| Teknik/Mekanisme | DarkCloud (Varian Baru) | Malware Tradisional |
| Eksekusi Fileless | Ya (memori), tanpa drop file ke disk | Umumnya menyimpan executable |
| Persistence | DLL dalam JPEG & registry run key | Sering shortcut atau service |
| Obfuscation | String terenkripsi, VB6, anti-sandbox | Kadang polimorfik/basic packing |
| Payload Injection | Process hollowing ke MSBuild.exe | Drop file atau registry binary |
| Data yang Dicuri | Kredensial browser, payment, email, identitas | Bervariasi, sering keylogger |
Kenapa Varian Ini Berbahaya?
- Sangat stealthy, hampir tanpa jejak.
- Sophisticated obfuscation membuat deteksi sulit.
- Lengkap dalam pencurian data pengguna, sehingga berisiko tinggi.
Kesimpulan
Varian baru dari kampanye DarkCloud menunjukkan bahwa malware terus berevolusi menjadi lebih licin, canggih, dan sulit dilacak. Pendekatan fileless, proses hollowing, dan evasi sandbox menjadikannya ancaman serius. Solusi keamanan canggih yang mampu mendeteksi perilaku anomali dan threat hunting secara proaktif menjadi satu-satunya cara efektif untuk melindungi sistem.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan fortinet indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi fortinet.ilogoindonesia.id untuk informasi lebih lanjut!