Permintaan yang terlihat sederhana saat mengedit selfie justru bisa berujung pada infeksi malware di perangkat. Modus ini memanfaatkan situs edit foto palsu yang menjerat korban lewat langkah verifikasi palsu sebelum kode berbahaya dijalankan sendiri oleh pengguna.
Temuan Huntress menunjukkan bahwa layanan yang mengaku bisa menghapus latar belakang foto selfie memakai taktik ClickFix. Situs semacam ini juga dipoles dengan manipulasi SEO agar muncul di urutan atas hasil pencarian dan lebih mudah menarik korban.
Verifikasi yang ternyata menjadi pintu masuk
Korban biasanya datang karena ingin proses cepat dan praktis saat mengedit foto. Mereka mengunggah foto ke situs tersebut, lalu diminta membuktikan bahwa dirinya manusia.
Di titik inilah jebakan dimulai. Foto itu ternyata tidak diproses, tidak diunggah, dan tidak dibagikan seperti yang dibayangkan pengguna.
Permintaan verifikasi justru diarahkan untuk membuat pengguna menjalankan perintah berbahaya di perangkatnya sendiri. Dengan tampilan yang meyakinkan, langkah itu terlihat seperti prosedur biasa padahal efeknya sangat berisiko.
Cara kerja jebakan di perangkat Windows
Verifikasi dilakukan lewat Windows Run. Korban diminta membuka program itu lalu menempelkan perintah dari clipboard.
Saat instruksi itu dijalankan, kode berbahaya langsung dieksekusi di perangkat. Dari sini, malware dapat masuk tanpa perlu menunggu proses unggah foto yang sebenarnya.
Malware yang muncul setelah perintah dijalankan adalah CastelLoader. Program ini berfungsi mengirimkan muatan tambahan dan menyebarkan malware tahap kedua.
Muatan lanjutan yang mengintai data penting
Muatan berikutnya mencakup NetSupport RAT dan CastleStealer. NetSupport RAT adalah trojan yang dipakai untuk menyerang sistem terinfeksi dari jarak jauh.
CastleStealer memiliki tujuan yang lebih spesifik, yaitu mencuri kredensial peramban, data dompet kripto, token Discord, dan file sesi Telegram. Kombinasi ini membuat satu tindakan kecil di situs palsu bisa membuka akses ke banyak data digital lain.
Ancaman semacam ini tidak berhenti pada satu perangkat. Data yang dicuri dapat dipakai untuk mengambil alih akun dan akses digital lain yang masih terhubung.
Mengapa korban mudah terjebak
Situs edit foto palsu tampak meyakinkan karena meniru layanan yang memang umum dipakai banyak orang. Pencarian yang dioptimalkan juga membuat halaman penipuan lebih mudah muncul dan terlihat sah.
Situasi ini diperkuat oleh kebiasaan pengguna yang terbiasa mengikuti instruksi layanan online. Saat sebuah situs meminta langkah yang tidak biasa, sebagian orang bisa menganggapnya sebagai bagian normal dari proses.
Risiko terbesar justru muncul ketika pengguna menuruti verifikasi yang tampak rutin. Pada momen itulah perintah berbahaya dijalankan dan perangkat mulai terpapar ancaman.
Langkah yang patut diwaspadai
Layanan yang kredibel tidak meminta pengguna membuktikan bukan bot dengan membuka Run lalu menempelkan perintah di perangkat. Jika sebuah situs mengarah ke langkah seperti itu, kewaspadaan perlu langsung dinaikkan.
Administrator juga dapat mematikan pintasan Win + R untuk Run agar peluang korban menjalankan kode berbahaya ikut berkurang. Di sisi pengguna, tindakan paling aman adalah menghentikan proses ketika permintaan verifikasi terasa tidak wajar.
Modus ini menunjukkan bahwa ancaman siber kini bisa menyamar sebagai layanan harian yang tampak sepele. Karena itu, permintaan verifikasi yang aneh di situs edit foto sebaiknya diperlakukan sebagai sinyal bahaya, bukan instruksi teknis biasa.
Source: www.cnbcindonesia.com
