SocGholish Menyebar Lewat Iklan, Akses untuk LockBit & Lainnya

Dunia maya kembali diguncang oleh laporan aktivitas berbahaya dari SocGholish, sebuah malware canggih yang kini memanfaatkan jaringan iklan untuk menyebar dan membuka jalan bagi kelompok peretas besar seperti LockBit, Evil Corp, Dridex, dan Raspberry Robin. Temuan terbaru ini diungkap oleh tim keamanan siber Silent Push, yang menyebut operasi ini berlandaskan model Malware-as-a-Service (MaaS).

SocGholish: Menyamar Sebagai Pembaruan Perangkat Lunak

SocGholish, yang juga dikenal dengan nama FakeUpdates, merupakan JavaScript loader berbahaya yang biasanya disebarkan melalui situs web yang telah diretas. Modusnya sederhana tapi efektif: malware ini menyamar sebagai pembaruan palsu untuk peramban populer seperti Google Chrome, Mozilla Firefox, atau perangkat lunak lain seperti Adobe Flash Player dan Microsoft Teams.
Target yang tidak curiga akan diminta untuk mengunduh “pembaruan” tersebut, padahal file itu sebenarnya adalah malware yang akan membuka akses bagi pelaku kejahatan siber.

Menurut Silent Push, kelompok yang berada di balik SocGholish dikenal dengan berbagai nama sandi, termasuk TA569, Gold Prelude, Mustard Tempest, Purple Vallhund, dan UNC1543. Begitu terinstal di sistem korban, malware ini akan menghubungkan perangkat yang terinfeksi ke pasar gelap digital, di mana akses tersebut dijual kepada kelompok peretas lain yang ingin melancarkan serangan lanjutan.

Peran Sistem Distribusi Lalu Lintas (TDS)

Salah satu strategi distribusi SocGholish yang semakin sering digunakan adalah pemanfaatan Traffic Distribution System (TDS) seperti Parrot TDS dan Keitaro TDS. TDS bekerja dengan menyaring pengunjung situs web dan mengarahkan mereka ke halaman berbahaya sesuai kriteria yang sudah ditentukan.
Keitaro TDS sendiri memiliki reputasi lama dalam aktivitas siber berbahaya, mulai dari malvertising, pengiriman exploit kit, loader, hingga ransomware, bahkan operasi propaganda.

Laporan Infoblox tahun lalu mengungkap bahwa SocGholish bermitra dengan VexTrio untuk menggunakan Keitaro TDS dalam mengarahkan korban ke sistem distribusi berbahaya lainnya.

Meski Keitaro juga digunakan untuk keperluan sah, sifat “campur aduk” ini membuatnya sulit diblokir tanpa berisiko memicu false positive yang tinggi.

Rantai Serangan yang Terstruktur

Rantai serangan SocGholish dimulai dengan injeksi kode JavaScript ke situs web yang diretas. Ada dua metode umum:

• Injeksi langsung: Muatan berbahaya langsung dimasukkan ke dalam halaman web.
• Injeksi via berkas perantara: Menggunakan file JavaScript tambahan untuk memuat kode berbahaya.

Begitu pengunjung mengakses situs yang telah disusupi, sistem akan melakukan fingerprinting atau analisis profil pengunjung. Jika pengunjung memenuhi kriteria target, mereka akan diarahkan ke halaman SocGholish yang memicu unduhan malware.

Seluruh proses ini diawasi oleh Command-and-Control framework (C2) SocGholish. Jika sistem menilai korban “tidak valid”, maka pengiriman muatan akan langsung dibatalkan untuk menghindari terdeteksi oleh pihak keamanan.

Hubungan dengan Raspberry Robin dan Dridex

Salah satu temuan menarik dari kampanye terbaru adalah penggunaan Raspberry Robin bukan hanya sebagai target SocGholish, tetapi juga sebagai vektor distribusinya. Raspberry Robin sendiri telah berevolusi dengan teknik pengaburan kode yang lebih canggih, perubahan pola komunikasi jaringan, dan penggunaan domain TOR C2 palsu untuk menghindari deteksi.

Zscaler melaporkan bahwa Raspberry Robin kini mengganti algoritma enkripsi jaringan dari AES (CTR mode) menjadi Chacha-20, serta menambahkan eksploitasi Local Privilege Escalation (LPE) baru, CVE-2024-38196, yang memungkinkannya memperoleh hak akses lebih tinggi di sistem korban.

Hubungan lintas kelompok ini menunjukkan adanya kemungkinan bahwa mantan anggota atau jaringan lama Dridex, Raspberry Robin, dan SocGholish saling berbagi infrastruktur maupun teknik serangan.

DarkCloud Stealer: Ancaman Lain yang Mengintai

Selain SocGholish, dunia siber juga dikejutkan oleh evolusi malware lain, DarkCloud Stealer. Malware ini didistribusikan melalui email phishing yang mengelabui korban untuk membuka arsip RAR berisi skrip JavaScript.
Saat dijalankan, skrip ini akan mengeksekusi PowerShell untuk menjatuhkan malware pencuri data tanpa file (fileless stealer) yang tersembunyi dalam file DLL terenkripsi di dalam gambar JPEG di The Internet Archive.

DarkCloud dirancang untuk mencuri kredensial, informasi pembayaran yang tersimpan di peramban, data dari klien FTP dan email, serta daftar kontak email korban. Teknik ini membuat DarkCloud sulit dideteksi oleh mekanisme keamanan tradisional.

Ancaman yang Terus Berkembang

Pergeseran taktik yang dilakukan oleh SocGholish, Raspberry Robin, maupun DarkCloud menunjukkan bahwa kelompok pelaku ancaman terus berinovasi untuk menghindari deteksi. Penggunaan TDS, teknik pengaburan, dan pemanfaatan infrastruktur pihak ketiga membuat serangan menjadi semakin kompleks.

Bagi organisasi dan individu, ini menjadi pengingat bahwa serangan siber modern jarang berdiri sendiri. Sebaliknya, serangan ini sering kali merupakan bagian dari ekosistem kriminal yang saling terhubung, di mana satu malware membuka pintu bagi malware lainnya.

Langkah Pencegahan

Ahli keamanan siber menyarankan beberapa langkah mitigasi untuk menghadapi ancaman ini:

• Perbarui perangkat lunak secara resmi melalui situs atau sumber resmi, hindari mengunduh pembaruan dari tautan mencurigakan.
• Gunakan perlindungan multi-layer, termasuk antivirus, firewall, dan sistem deteksi intrusi (IDS/IPS).
• Terapkan kebijakan keamanan ketat untuk memblokir situs berisiko tinggi dan memantau lalu lintas web.
• Edukasi pengguna agar mengenali tanda-tanda phishing dan malvertising.
• Lakukan audit keamanan berkala untuk mendeteksi situs atau server internal yang telah disusupi.

Dengan memahami cara kerja dan jaringan distribusi SocGholish, dunia siber memiliki peluang lebih besar untuk menghentikan penyebarannya sebelum kerusakan meluas. Namun, seperti yang terlihat dari kemunculan DarkCloud dan evolusi Raspberry Robin, pertempuran melawan ancaman siber adalah proses yang terus berlanjut, di mana adaptasi cepat dan kewaspadaan menjadi kunci utama.