Hari ini beredar situs palsu yang meniru tampilan resmi Zoom. Halaman tersebut menampilkan pesan seperti “You don’t have the latest Zoom Workspace Client” dan seolah‑olah akan mengarahkan pengguna ke Microsoft Store. Namun, di balik tampilan meyakinkan itu tersembunyi ancaman serius.
Ketika pengguna membuka halaman tersebut, sistem menampilkan animasi “loading” khas Zoom, lalu mengunduh file VBS (Visual Basic Script). File ini tidak terdeteksi oleh VirusTotal (0/60 engine detection), artinya belum ada signature antivirus yang mengenali ancaman tersebut.
Isi file VBS ternyata berisi perintah untuk mengunduh dan menjalankan ScreenConnect, sebuah software remote access yang sah tetapi sering disalahgunakan oleh pelaku kejahatan siber untuk mengambil alih komputer korban. Begitu dijalankan, penyerang dapat mengakses sistem, mencuri data, dan memantau aktivitas pengguna tanpa izin.
Teknik Social Engineering yang Dipakai
Pelaku memanfaatkan kepercayaan pengguna terhadap Zoom, aplikasi yang sangat populer untuk rapat online. Dengan meniru tampilan resmi dan mencantumkan logo Microsoft Store, korban dibuat yakin bahwa mereka sedang melakukan pembaruan aplikasi. Begitu file VBS dijalankan, proses remote dimulai tanpa disadari.
Deteksi dengan AulapG
Menariknya, engine AulapG mampu mendeteksi file VBS berbahaya ini menggunakan teknik heuristic, bukan sekadar signature. Heuristic detection bekerja dengan menganalisis perilaku file, seperti:
Upaya mengunduh executable dari domain tidak dikenal.
Eksekusi perintah PowerShell atau script otomatis.
Aktivitas yang menyerupai remote‑control malware.
Pendekatan ini penting karena banyak malware modern menggunakan file script ringan (VBS, JS, BAT) yang lolos dari deteksi tradisional.
Langkah Pencegahan
Unduh Zoom hanya dari situs resmi: zoom.us.
Jangan jalankan file VBS dari sumber tidak dikenal.
Gunakan antivirus dengan heuristic detection.
Periksa URL sebelum klik — domain palsu sering memakai ekstensi .https://www.linkedin.com/redir/general-malware-page?url=pages%2edev, .app, atau .xyz.
Laporkan situs berbahaya ke tim keamanan atau lembaga terkait.
Kesimpulan
Kasus ini menunjukkan bahwa social engineering semakin canggih, bukan hanya lewat email phishing, tapi juga lewat situs palsu yang meniru antarmuka aplikasi populer. File VBS yang tampak sederhana bisa menjadi pintu masuk bagi remote access malware seperti ScreenConnect.
Dengan deteksi heuristic seperti yang dilakukan oleh AulapG, ancaman semacam ini bisa dikenali lebih cepat sebelum menimbulkan kerusakan besar. Download AulapG di https://aulap.my.id/. Tetap waspada, edukasi tim, dan pastikan setiap pembaruan software dilakukan dari sumber resmi.
IOC
Hash:
1dde26e6e30cb8acc111d39be98dca3d18ea70b652f230e8d9ec7a7c4ed60596 (VBS file)
504f47df0619e9af98640dae67b4846c32da3e3ce7ceebca215f8cd5ada63f5c (ScreenConnect)
URL:
hxxps://zoomsclientupdate.pages[.]dev/
hxxps://pixeldrain[.]com/api/file/qHmZ57Pc?download
hxxps://vituladiagnosticos.screenconnect[.]com/Bin/ScreenConnect.ClientSetup.msi?e=Access&y=Guest
No comments:
Post a Comment