Serangan Phishing dengan Surat Lamaran Palsu Curi Kredensial Perusahaan dan Sebar Crypto Miner

Serangan siber terbaru kembali mengancam lingkungan perusahaan berbahasa Prancis dengan modus baru yang menggunakan surat lamaran kerja (resume) palsu sebagai pintu masuk untuk menyebarkan malware multifungsi. Kampanye phishing ini tidak hanya mencuri kredensial penting tetapi juga memasang cryptocurrency miner di sistem target, yang memungkinkan penyerang mendapatkan keuntungan finansial secara diam-diam.

Metode Serangan FAUX#ELEVATE dengan Surat Lamaran Palsu

Kampanye yang dinamai FAUX#ELEVATE oleh para peneliti keamanan dari Securonix ini menggunakan berkas VBScript yang sangat tersamarkan dan dikemas sebagai dokumen resume/CV palsu. File ini dikirim melalui email phishing dan menampilkan pesan kesalahan palsu berbahasa Prancis saat dibuka, menipu korban agar mengira file tersebut rusak.

"Kampanye ini memanfaatkan berkas VBScript yang sangat terobfuscate dan menyamar sebagai dokumen resume, dikirim lewat email phishing," jelas Shikha Sangwan, Akshay Gaikwad, dan Aaron Beardslee dari Securonix dalam laporan mereka.

Namun di balik itu, skrip tersebut menjalankan serangkaian pengecekan untuk menghindari sandbox dan memasuki loop Kontrol Akun Pengguna (UAC) agar pengguna menjalankannya dengan hak administrator. Skrip ini sangat besar dengan 224.471 baris kode, namun hanya 266 baris yang berfungsi, sisanya diisi komentar acak untuk memperbesar ukuran file hingga hampir 9,7MB.

Teknik Menyusup dan Penyebaran Malware

Setelah mendapatkan hak administrator, malware ini langsung menonaktifkan kontrol keamanan seperti Microsoft Defender dan UAC, serta menghapus jejaknya sendiri. Selanjutnya, ia mengunduh dua arsip 7-Zip yang dilindungi kata sandi dari layanan Dropbox, berisi:

• gmail2.7z: berbagai executable untuk mencuri data dan menambang cryptocurrency
• gmail_ma.7z: alat untuk mempertahankan keberadaan malware dan membersihkan jejak

Beberapa alat yang digunakan mencakup:

• ChromElevator untuk mengekstrak data sensitif dari browser berbasis Chromium dengan mengatasi enkripsi aplikasi (App-Bound Encryption)
• mozilla.vbs, skrip untuk mencuri profil dan kredensial Mozilla Firefox
• walls.vbs, skrip untuk mengekspor file desktop secara diam-diam
• mservice.exe, miner Monero (XMRig) yang dikonfigurasi dari situs WordPress di Maroko
• WinRing0x64.sys, driver kernel Windows yang sah untuk memaksimalkan performa CPU dalam menambang
• RuntimeHost.exe, Trojan yang mengubah aturan Windows Firewall dan berkomunikasi secara berkala dengan server kontrol (C2)

Target dan Infrastruktur yang Disalahgunakan

Kampanye ini sangat canggih karena menyasar mesin yang tergabung dalam domain perusahaan melalui pemeriksaan WMI (Windows Management Instrumentation), sehingga sistem pribadi yang tidak tergabung dalam domain tidak terpengaruh. Hal ini memastikan setiap korban memberikan nilai maksimal bagi penyerang melalui pencurian kredensial perusahaan dan pembajakan sumber daya secara persisten.

Penyerang juga memanfaatkan infrastruktur layanan yang sah seperti Dropbox untuk meng-host payload, situs WordPress di Maroko sebagai server komando dan kontrol (C2), serta layanan SMTP mail.ru untuk mengirim data kredensial yang dicuri. Data browser dicuri menggunakan dua akun email mail.ru yang berbagi kata sandi, dan dikirim ke alamat email yang dikendalikan penyerang.

Kecepatan Serangan dan Dampaknya bagi Perusahaan

Menurut para peneliti, seluruh rantai infeksi mulai dari eksekusi VBScript hingga pencurian kredensial dan pengiriman data hanya berlangsung sekitar 25 detik. Setelah itu, malware melakukan pembersihan agresif terhadap semua alat bantu yang diunduh agar jejaknya sulit dilacak, meninggalkan hanya miner dan Trojan yang tetap aktif di sistem.

"Kampanye FAUX#ELEVATE menunjukkan operasi serangan multi-tahap yang terorganisir dengan baik, menggabungkan berbagai teknik canggih dalam satu rantai infeksi," ujar Securonix.

Analisis Redaksi

Menurut pandangan redaksi, kampanye phishing ini menandai peningkatan signifikan dalam kompleksitas dan kecanggihan serangan terhadap perusahaan, terutama yang menggunakan bahasa Prancis. Dengan memanfaatkan dokumen yang terlihat familiar seperti surat lamaran kerja, penyerang berhasil melewati filter keamanan tradisional yang biasanya waspada terhadap lampiran berbahaya.

Lebih jauh, penggunaan infrastruktur layanan sah seperti Dropbox dan mail.ru menunjukkan bahwa para penyerang semakin pintar memanfaatkan living-off-the-land techniques agar aktivitas mereka sulit dideteksi oleh sistem keamanan. Fakta bahwa infeksi hanya membutuhkan waktu 25 detik untuk menyelesaikan pencurian kredensial dan menginstal miner kripto membuat serangan ini sangat berbahaya dan sulit dihentikan secara real-time.

Perusahaan harus meningkatkan kesadaran karyawan terhadap ancaman phishing dengan dokumen palsu seperti ini dan memperkuat kebijakan keamanan endpoint, termasuk memonitor aktivitas domain-joined machines dan penggunaan skrip VBScript yang tidak biasa. Ke depan, penting juga untuk mengadopsi solusi keamanan yang dapat mendeteksi perilaku mencurigakan secara cepat dan otomatis.

Kesimpulan dan Langkah Selanjutnya

Kampanye FAUX#ELEVATE menyoroti betapa pentingnya kewaspadaan dan kesiapan keamanan siber bagi perusahaan di era serangan yang semakin cepat dan kompleks. Organisasi harus segera melakukan evaluasi menyeluruh terhadap pertahanan mereka, memperketat kontrol akses, dan melakukan pelatihan anti-phishing secara rutin untuk mengurangi risiko pencurian kredensial dan penyebaran malware.

Ikuti terus perkembangan berita keamanan siber agar dapat merespons ancaman terbaru secara cepat dan tepat.