Jakarta | EGINDO.co Kelompok ransomware RansomHub telah menemukan cara baru untuk menyebarkan perangkat lunak jahat mereka, dan kali ini mereka mengincar sektor pemerintahan Amerika Serikat. Berdasarkan laporan dari Trend Micro, geng ransomware yang produktif ini bekerja sama dengan SocGholish, sebuah operasi malware besar-besaran yang menggunakan situs web yang telah diretas dan pembaruan palsu pada peramban (browser) untuk memfasilitasi serangan siber.
Dalam sebuah posting blog yang diterbitkan Jumat lalu, peneliti dari Trend Micro menjelaskan bagaimana kerangka kerja SocGholish digunakan untuk mendistribusikan ransomware RansomHub melalui rantai serangan multi-tahap yang melibatkan ribuan situs web yang telah diretas. “Sejak awal tahun 2025, deteksi SocGholish tercatat tertinggi di Amerika Serikat, dengan organisasi pemerintah menjadi salah satu yang paling terdampak,” tulis para peneliti, seraya menambahkan bahwa sektor perbankan dan konsultasi juga menjadi target utama.
SocGholish sendiri pertama kali muncul pada tahun 2018 dan dikenal karena penggunaan pembaruan palsu pada browser dan perangkat lunak untuk menipu pengguna agar mengunduh konten berbahaya. Para peneliti mencatat bahwa SocGholish memiliki loader JavaScript yang sangat terenkripsi, yang menggunakan berbagai teknik penghindaran untuk melewati metode deteksi berbasis tanda tangan tradisional.
Untuk menginfeksi pengguna, operator SocGholish memanfaatkan jaringan situs web sah yang telah disusupi oleh skrip jahat. Ketika pengguna mengunjungi situs-situs tersebut, mereka diarahkan ulang menggunakan Keitaro, sebuah sistem distribusi lalu lintas komersial (TDS) yang berbasis di Estonia dan sering dikaitkan dengan aktivitas jahat lainnya.
Para pelaku ancaman siber kemudian mengarahkan pengguna ke halaman pembaruan browser palsu yang berisi malware SocGholish. Setelah korban mengklik pembaruan palsu tersebut, loader JavaScript terenkripsi diinstal, dan tahap selanjutnya dari penyebaran payload dimulai. Dalam serangan yang melibatkan RansomHub, komponen backdoor berbasis Python digunakan untuk memberikan akses awal kepada afiliasi RansomHub. Backdoor ini membentuk koneksi langsung ke server command-and-control (C2), yang dapat digunakan oleh pelaku serangan untuk mencuri data sensitif dari jaringan korban.
Menurut Stephen Hilt, peneliti ancaman senior di Trend Micro, SocGholish sangat efektif karena operatornya menggunakan situs web yang telah diretas untuk membangun kepercayaan di sekitar pembaruan palsu. “Mereka tidak membuat domain baru. Mereka menyusupi situs web lain untuk menyebarkan payload mereka,” katanya. “Jika Anda bisa mengambil alih situs web yang sudah dikenal, memiliki reputasi baik, dan diasosiasikan dengan perusahaan ternama, maka hal itu akan menurunkan kewaspadaan banyak orang.”
Hilt juga menambahkan bahwa kampanye ini fokus pada situs WordPress dan saat ini telah meretas sekitar 2.500 domain. “Ini adalah kampanye yang lebih besar daripada yang pernah kami lihat sebelumnya dengan SocGholish,” katanya. “Skala serangan ini cukup besar.”
Selain serangan RansomHub, SocGholish juga terlibat dalam kampanye lain yang mendistribusikan malware pencuri informasi untuk sistem Windows, Android, dan macOS. Peneliti Proofpoint melaporkan bahwa volume besar situs web yang diretas yang mengarah ke SocGholish, ditambah dengan penggunaan TDS komersial untuk menghindari sandbox dan crawler, serta rutinitas anti-sandbox, dapat menjadi tantangan bagi solusi deteksi otomatis seperti sandbox, sehingga memungkinkan SocGholish beroperasi di lingkungan yang sulit dideteksi.
Trend Micro menegaskan bahwa infeksi SocGholish harus dianggap sebagai “insiden kritis” yang memerlukan penanganan segera oleh tim keamanan. Perusahaan keamanan siber tersebut menyarankan organisasi untuk menerapkan solusi Extended Detection and Response (XDR) guna mengidentifikasi dan menangani aktivitas SocGholish, serta membatasi eksekusi alat sah seperti PowerShell.
Tim penelitian juga memperingatkan bahwa aktor SocGholish sering menargetkan sistem manajemen konten (CMS) yang rentan dan plug-in CMS untuk menyusupi situs web sah. Kampanye SocGholish sebelumnya telah menggunakan situs WordPress yang diretas untuk mengalihkan lalu lintas dan menyebarkan malware.
AW
Sumber : Cyber Security Dive / Rob Wright / Trend Micro