Microsoft Waspadai Malware VBS via WhatsApp dengan Teknik UAC Bypass di Windows

Microsoft baru-baru ini mengeluarkan peringatan terkait sebuah kampanye malware yang memanfaatkan pesan WhatsApp untuk menyebarkan berkas Visual Basic Script (VBS) berbahaya yang menargetkan sistem operasi Windows. Kampanye ini mulai terdeteksi sejak akhir Februari 2026 dan menggunakan berbagai teknik canggih untuk menginfeksi dan mempertahankan akses ke komputer korban.

Kampanye Malware VBS via WhatsApp

Dalam laporannya, Microsoft Defender Security Research Team menjelaskan bahwa kampanye ini menggunakan pesan WhatsApp sebagai media penyebaran malware berupa file VBS yang, ketika dijalankan, memicu rantai infeksi multi-tahap. Tujuan utama penyerang adalah memperoleh akses jarak jauh permanen sekaligus meningkatkan hak istimewa (privilege escalation) di sistem Windows korban.

Hingga kini, belum diketahui secara pasti jenis bujukan atau umpan yang digunakan pelaku untuk membujuk pengguna agar mengeksekusi file berbahaya tersebut. Namun, teknik yang digunakan menggabungkan social engineering dengan metode living-off-the-land, yaitu memanfaatkan alat dan layanan yang sudah ada di sistem untuk menyamarkan aktivitas berbahaya agar terkesan normal.

Teknik Infeksi dan Pemanfaatan Cloud Hosting

Kampanye ini diawali dengan pengiriman file VBS berbahaya lewat WhatsApp. Setelah file tersebut dieksekusi, malware membuat folder tersembunyi di direktori C:\ProgramData dan menyalin ulang beberapa utilitas Windows yang sah dengan nama yang diubah, seperti curl.exe yang diganti menjadi netapi.dll serta bitsadmin.exe menjadi sc.exe.

Selanjutnya, file-file berbahaya tambahan diunduh dari layanan cloud terpercaya seperti AWS S3, Tencent Cloud, dan Backblaze B2. Penggunaan platform cloud ini memungkinkan malware untuk menghindari deteksi karena lalu lintas data terlihat berasal dari sumber yang sah dan dipercaya.

Pengabaian UAC dan Peningkatan Hak Istimewa

Setelah berhasil mengunduh komponen tambahan, malware ini memanipulasi pengaturan User Account Control (UAC) untuk mengurangi pertahanan sistem. Malware berulang kali mencoba menjalankan cmd.exe dengan hak istimewa tinggi secara diam-diam sampai berhasil atau proses dihentikan paksa.

Selain itu, malware mengubah beberapa entri registry di HKLM\Software\Microsoft\Win dan menyisipkan mekanisme agar infeksi tetap bertahan meskipun komputer di-reboot. Dengan cara ini, pelaku dapat memperoleh akses administrator tanpa interaksi pengguna melalui teknik bypass UAC dan manipulasi registry.

Terakhir, malware memasang paket Microsoft Installer (MSI) yang tidak ditandatangani, termasuk perangkat lunak legitimate seperti AnyDesk yang memungkinkan penyerang mengontrol komputer korban secara permanen. Akses ini digunakan untuk mencuri data penting atau menyebarkan malware tambahan.

Analisis Redaksi

Menurut pandangan redaksi, kampanye malware ini menunjukkan bagaimana penyerang semakin canggih dengan menggabungkan berbagai metode yang memanfaatkan kepercayaan pengguna pada aplikasi populer seperti WhatsApp dan layanan cloud ternama. Penggunaan living-off-the-land techniques seperti pemanfaatan utilitas Windows asli yang diganti namanya memperlihatkan kemampuan untuk menyembunyikan aktivitas berbahaya di tengah operasi sistem yang normal.

Hal ini menjadi peringatan serius bagi pengguna dan organisasi agar meningkatkan kesadaran keamanan siber, terutama saat menerima berkas atau tautan dari media sosial dan aplikasi pesan instan. Penting juga bagi pengelola TI untuk memantau perubahan registry dan aktivitas UAC yang mencurigakan sebagai indikator potensi kompromi.

Kedepannya, kita harus mewaspadai serangan malware yang makin mengandalkan cloud hosting untuk menyembunyikan payload berbahaya dan teknik bypass pertahanan Windows yang semakin kompleks. Langkah mitigasi termasuk memastikan sistem operasi dan antivirus selalu diperbarui serta menerapkan kebijakan keamanan ketat pada penggunaan aplikasi pesan instan.

Untuk informasi lebih lengkap dan update terbaru mengenai ancaman siber ini, Anda dapat membaca laporan Microsoft dan berita terkait di The Hacker News serta sumber berita teknologi terkemuka lainnya.