Pelaku kejahatan siber terus mengembangkan metode baru untuk menghindari solusi keamanan tradisional. Salah satu contoh terbaru adalah kampanye phishing yang dianalisis oleh FortiGuard Labs, yang menggunakan varian baru PureLogs Infostealer dengan kombinasi teknik obfuscation, PowerShell, process hollowing, dan eksekusi multi-tahap untuk mencuri data sensitif dari korban Windows. Kampanye ini menunjukkan bagaimana malware pencuri informasi semakin mengutamakan stealth dan evasive techniques dibandingkan serangan yang langsung terlihat seperti ransomware.
Menurut Fortinet, target utama malware ini adalah informasi bernilai tinggi seperti kredensial login, data browser, cookie sesi, informasi finansial, dan berbagai data autentikasi yang dapat dimanfaatkan untuk serangan lanjutan.
Gambaran Umum Serangan
Pelaku ancaman memulai serangan melalui email phishing yang menyamar sebagai dokumen bisnis resmi, khususnya purchase order atau permintaan pembelian.
Tahapan Serangan
| Tahap | Aktivitas |
|---|---|
| Phishing Email | Korban menerima email palsu |
| RAR Attachment | File arsip berbahaya dikirim |
| JavaScript Execution | JavaScript ter-obfuscasi dijalankan |
| PowerShell Launch | Mengunduh komponen tambahan |
| Process Hollowing | Menyembunyikan malware dalam proses sah |
| PureLogs Deployment | Infostealer aktif |
| Data Exfiltration | Data dikirim ke server penyerang |
FortiGuard Labs menemukan bahwa email tersebut menggunakan tema purchase order untuk meningkatkan kemungkinan korban membuka lampiran yang dikirim.
Mengapa JavaScript Menjadi Senjata Favorit?
Salah satu aspek menarik dari kampanye ini adalah penggunaan file JavaScript sebagai tahap awal infeksi.
Penyerang memanfaatkan:
-
Obfuscated JavaScript.
-
Encoding berlapis.
-
Variabel lingkungan.
-
Eksekusi dinamis.
Tujuannya adalah menghindari deteksi berbasis signature yang masih banyak digunakan pada solusi keamanan tradisional.
Keuntungan JavaScript bagi Penyerang
| Faktor | Manfaat |
|---|---|
| Ukuran kecil | Mudah dikirim melalui email |
| Fleksibel | Dapat mengunduh payload tambahan |
| Obfuscation | Sulit dianalisis |
| Native Windows Support | Tidak memerlukan software tambahan |
| Dynamic Execution | Menghindari analisis statis |
Karena JavaScript merupakan format yang umum digunakan dalam lingkungan bisnis, file tersebut sering kali tidak menimbulkan kecurigaan langsung bagi pengguna.
PowerShell Sebagai Mesin Eksekusi
Setelah JavaScript berjalan, tahap berikutnya melibatkan PowerShell.
PowerShell digunakan untuk:
-
Mengunduh komponen tambahan.
-
Menjalankan payload.
-
Melakukan reconnaissance.
-
Menyiapkan lingkungan malware.
Penggunaan PowerShell memungkinkan serangan berlangsung secara dinamis dan sering kali tanpa perlu menulis banyak file ke disk. Teknik ini membuat proses deteksi menjadi lebih sulit dibandingkan malware tradisional.
Peran PowerShell dalam Serangan
| Fungsi | Tujuan |
|---|---|
| Downloader | Mengambil payload |
| Loader | Menjalankan malware |
| Reconnaissance | Mengumpulkan informasi sistem |
| Evasion | Mengurangi jejak forensik |
Process Hollowing: Menyembunyikan Malware di Dalam Proses Sah
Salah satu teknik paling berbahaya yang ditemukan dalam kampanye ini adalah Process Hollowing.
Process Hollowing merupakan teknik di mana malware:
-
Membuat proses Windows yang sah.
-
Menghapus kode asli proses tersebut.
-
Menyuntikkan payload berbahaya.
-
Menjalankan malware menggunakan identitas proses yang terlihat normal.
Akibatnya, aktivitas malware dapat terlihat seperti proses Windows yang sah bagi sistem operasi maupun beberapa alat keamanan.
Mengapa Process Hollowing Efektif?
| Keunggulan | Dampak |
|---|---|
| Menyamar sebagai proses sah | Sulit dideteksi |
| Menghindari signature | Bypass AV tradisional |
| Menyembunyikan payload | Mengurangi visibilitas |
| Mendukung fileless attack | Jejak minimal |
Teknik ini sering digunakan oleh ransomware, trojan perbankan, dan berbagai keluarga malware modern lainnya.
Apa Itu PureLogs?
PureLogs merupakan malware kategori Information Stealer (Infostealer).
Berbeda dengan ransomware yang langsung mengenkripsi data korban, PureLogs beroperasi secara diam-diam untuk mengumpulkan informasi yang dapat dimonetisasi.
Data yang Menjadi Target
| Jenis Data | Risiko |
|---|---|
| Username dan Password | Account takeover |
| Cookie Browser | Pembajakan sesi |
| Data Keuangan | Fraud |
| Email Credentials | Business Email Compromise |
| VPN Credentials | Akses jaringan perusahaan |
| Authentication Tokens | Bypass MFA tertentu |
Tujuan utama pelaku ancaman adalah memperoleh akses jangka panjang dan memanfaatkan data tersebut untuk serangan lanjutan maupun penjualan di pasar gelap.
Mengapa Infostealer Menjadi Ancaman Utama Tahun 2026?
Banyak laporan keamanan menunjukkan bahwa pencurian identitas kini menjadi salah satu tahapan utama sebelum terjadinya:
-
Ransomware.
-
Business Email Compromise (BEC).
-
Fraud finansial.
-
Cloud compromise.
-
Supply chain attack.
Evolusi Monetisasi Serangan
| Model Lama | Model Modern |
|---|---|
| Ransomware langsung | Pencurian identitas |
| Gangguan operasional | Akses jangka panjang |
| Serangan tunggal | Multi-stage attack |
| Fokus endpoint | Fokus identitas |
Karena kredensial memiliki nilai ekonomi tinggi, malware infostealer seperti PureLogs menjadi semakin populer di kalangan pelaku ancaman.
Tanda-Tanda Kompromi yang Perlu Diwaspadai
Tim keamanan perlu memperhatikan beberapa indikator berikut:
Indikator Aktivitas Mencurigakan
| Indikator | Penjelasan |
|---|---|
| Eksekusi JavaScript tidak biasa | Aktivitas dari email attachment |
| PowerShell terenkripsi | Obfuscated command |
| Process Hollowing | Perubahan proses sah |
| Koneksi outbound mencurigakan | Komunikasi ke server C2 |
| Pencurian kredensial browser | Aktivitas akses data sensitif |
Deteksi berbasis perilaku (behavioral detection) sering kali lebih efektif dibandingkan pendekatan signature untuk menghadapi teknik seperti ini.
Strategi Pertahanan yang Direkomendasikan
Fortinet merekomendasikan pendekatan keamanan berlapis untuk menghadapi ancaman semacam ini.
Langkah Mitigasi
| Kontrol Keamanan | Manfaat |
|---|---|
| Email Security Gateway | Memblokir phishing |
| EDR/XDR | Deteksi perilaku mencurigakan |
| PowerShell Monitoring | Mengidentifikasi penyalahgunaan |
| MFA | Mengurangi dampak pencurian kredensial |
| Security Awareness Training | Mengurangi risiko human error |
| Network Monitoring | Mendeteksi komunikasi C2 |
Komunitas keamanan juga menyoroti pentingnya kombinasi email security, EDR, dan edukasi pengguna karena rantai serangan ini mengandalkan keberhasilan social engineering pada tahap awal.
Relevansi bagi Organisasi di Indonesia
Kampanye seperti PureLogs sangat relevan bagi organisasi Indonesia karena sebagian besar masih mengandalkan email sebagai media utama komunikasi bisnis.
Sektor yang paling berisiko meliputi:
| Industri | Risiko |
|---|---|
| Perbankan | Pencurian kredensial finansial |
| Telekomunikasi | Account compromise |
| Pemerintahan | Kebocoran data sensitif |
| Kesehatan | Data pasien |
| Manufaktur | Akses ke sistem operasional |
| Pendidikan | Penyalahgunaan akun pengguna |
Dengan meningkatnya penggunaan layanan cloud, VPN, dan SaaS, pencurian satu set kredensial saja dapat membuka akses ke banyak sistem sekaligus.
Kesimpulan
Analisis FortiGuard Labs terhadap kampanye PureLogs terbaru menunjukkan bagaimana malware infostealer terus berkembang dengan memanfaatkan teknik obfuscation JavaScript, PowerShell execution, dan process hollowing untuk menghindari deteksi. Rantai serangan yang dimulai dari email phishing sederhana dapat berakhir dengan pencurian kredensial, token autentikasi, dan berbagai informasi sensitif yang bernilai tinggi bagi pelaku ancaman.
Bagi organisasi modern, ancaman seperti PureLogs menegaskan bahwa perlindungan tidak boleh hanya berfokus pada malware tradisional. Kombinasi email security, behavioral analytics, endpoint detection and response (EDR), monitoring PowerShell, dan pelatihan kesadaran keamanan menjadi komponen penting untuk menghentikan serangan sebelum data sensitif berhasil dicuri.
Fortinet Indonesia merupakan bagian dari PT. iLogo Infralogy Indonesia, yang bertindak sebagai partner resmi Fortinet.
Selain itu, kami juga berperan sebagai penyedia layanan (vendor) sekaligus distributor berbagai produk Infrastruktur IT dan Cybersecurity terbaik di Indonesia.