Lumma Stealer dan Teknik Fake CAPTCHA

Beberapa tahun terakhir, penyebaran infostealer seperti Lumma Stealer semakin canggih. Salah satu teknik distribusi yang cukup masif dan efektif adalah metode "Fake CAPTCHA".

Teknik ini biasanya muncul saat korban mengunjungi website berbahaya atau hasil malvertising. Korban melihat tampilan seperti:

"Verify you are human" "Click Allow to continue" "Press Windows + R lalu paste kode berikut"

Sekilas tidak ada yang mencurigakan. Desainnya menyerupai sistem CAPTCHA asli yang umum digunakan di berbagai platform. Namun di balik tampilan tersebut, terdapat skenario social engineering yang dirancang untuk mendorong pengguna menjalankan perintah berbahaya secara manual.

Di sinilah letak evolusinya. Serangan tidak lagi bergantung pada eksploitasi celah teknis pada sistem operasi atau aplikasi. Tidak ada exploit kit yang kompleks. Tidak ada vulnerability zero-day. Yang dimanfaatkan justru adalah pola perilaku dan rasa percaya terhadap mekanisme verifikasi yang tampak normal.

Ketika instruksi tersebut dijalankan, perintah yang ditempelkan biasanya akan mengunduh dan mengeksekusi payload Lumma Stealer secara tersembunyi.

Lumma Stealer sendiri merupakan varian information stealer yang aktif beroperasi sejak 2022 dan dipasarkan melalui model Malware-as-a-Service (MaaS). Malware ini dirancang untuk mencuri kredensial browser, cookie sesi, data dompet kripto, token aplikasi, hingga informasi sistem. Dalam banyak kasus, hasil pencurian tersebut tidak hanya dimonetisasi secara langsung, tetapi juga digunakan sebagai akses awal untuk serangan lanjutan.

Teknik Fake CAPTCHA memperlihatkan bahwa distribusi malware modern semakin mengaburkan batas antara interaksi normal dan aktivitas berbahaya. Pengguna merasa sedang melewati proses verifikasi standar, padahal sebenarnya sedang menjalankan tahap awal infeksi.

Cyber Kill Chain pada Lumma Stealer via Fake CAPTCHA

https://arcticwolf-com.translate.goog/resources/blog/widespread-fake-captcha-campaign-delivering-malware/?_x_tr_sl=en&_x_tr_tl=id&_x_tr_hl=id&_x_tr_pto=imgs
https://arcticwolf-com.translate.goog/resources/blog/widespread-fake-captcha-campaign-delivering-malware/?_x_tr_sl=en&_x_tr_tl=id&_x_tr_hl=id&_x_tr_pto=imgs

1. Reconnaissance

Persiapan Awal Tahap pertama adalah persiapan. Penyerang menentukan jenis target yang ingin disasar, misalnya pengguna yang sering mencari software gratis atau pengguna aset kripto. Infrastruktur juga disiapkan, seperti domain website palsu, server untuk menerima data curian, dan halaman yang menampilkan CAPTCHA palsu. Semua ini dilakukan sebelum korban berinteraksi dengan halaman berbahaya.

2. Weaponization

Menyiapkan Malware dan Perintah Pada tahap ini, payload Lumma Stealer dibuat dan dikonfigurasi agar terhubung ke server penyerang. Selain itu, disiapkan juga perintah yang akan ditampilkan di halaman Fake CAPTCHA. Biasanya berupa command PowerShell yang sudah di-encode agar terlihat seperti kode verifikasi biasa. Perintah tersebut sebenarnya dirancang untuk mengunduh dan menjalankan malware secara otomatis ketika dieksekusi.

3. Delivery

Mengarahkan Korban Korban tidak langsung menerima file berbahaya. Sebaliknya, korban diarahkan ke halaman CAPTCHA palsu melalui iklan mesin pencari, situs yang sudah disusupi, atau hasil pencarian yang dimanipulasi. Ketika halaman terbuka, instruksi sederhana ditampilkan. Karena tampilannya terlihat normal, korban cenderung mengikuti instruksi tanpa kecurigaan.

4. Exploitation

Running Command Tahap ini terjadi ketika instruksi diikuti. Ketika perintah ditempelkan dan dijalankan, sistem akan mengunduh Lumma Stealer dari server jarak jauh. Tidak ada bug sistem yang dieksploitasi. Tidak ada celah teknis yang dimanfaatkan. Eksploitasi terjadi karena tindakan pengguna sendiri yang tanpa sadar menjalankan perintah berbahaya.

5. Installation

Malware Menetap di Sistem Setelah aktif, Lumma Stealer akan menyalin dirinya ke folder sistem seperti AppData dan membuat mekanisme agar tetap berjalan saat komputer dinyalakan kembali. Dengan cara ini, malware tidak hanya berjalan sekali, tetapi bisa terus aktif di latar belakang.

6. Command and Control

Terhubung ke Server Penyerang Setelah berhasil menetap, Lumma akan mengirim informasi sistem ke server penyerang melalui koneksi internet. Informasi ini bisa berupa detail sistem operasi, alamat IP, dan daftar browser yang terinstal. Komunikasi ini biasanya terenkripsi sehingga terlihat seperti lalu lintas internet biasa.

7. Actions on Objectives

Pencurian Data Tahap terakhir adalah pencurian data. Lumma akan mengakses browser untuk mengambil password yang tersimpan, cookie sesi login, data autofill, serta informasi dompet kripto. Cookie sesi sangat berbahaya karena memungkinkan penyerang masuk ke akun tanpa perlu memasukkan password lagi. Data yang dikumpulkan kemudian dikirim ke server penyerang untuk digunakan atau dijual.

Sebagai gambaran sederhana, seseorang mencari software gratis melalui mesin pencari dan mengklik tautan yang terlihat resmi. Halaman yang muncul menampilkan CAPTCHA dan meminta menjalankan perintah sebagai bagian dari verifikasi. Instruksi tersebut diikuti karena tampak wajar. Dalam beberapa detik, Lumma Stealer terunduh dan berjalan di latar belakang. Password dan cookie browser dicuri tanpa tanda yang jelas. Beberapa waktu kemudian, akun mulai diambil alih karena sesi login yang sah telah digunakan kembali oleh penyerang.

Kesimpulan

https://www.facebook.com/share/p/18CcU3vaFL/
https://www.facebook.com/share/p/18CcU3vaFL/

Lumma Stealer melalui teknik Fake CAPTCHA membuktikan bahwa serangan siber modern lebih banyak memanfaatkan manipulasi psikologis dibanding eksploitasi teknis langsung. Alih alih meretas sistem secara paksa, korban justru diarahkan untuk menjalankan perintah berbahaya secara sukarela melalui tampilan verifikasi palsu yang terlihat meyakinkan.

Dalam kerangka Cyber Kill Chain, serangan ini berjalan terstruktur. Dimulai dari penyebaran melalui situs berbahaya atau malvertising, korban dipancing untuk mengeksekusi perintah, malware aktif, lalu mencuri data dan mengirimkannya ke server penyerang. Setiap tahap dirancang agar terlihat normal dan sulit dicurigai.

Intinya, ancaman seperti ini tidak cukup ditangkal hanya dengan teknologi keamanan. Pemahaman terhadap pola social engineering dan kewaspadaan terhadap instruksi mencurigakan menjadi kunci utama untuk memutus rantai serangan sebelum data berhasil dicuri.

Author: Cyphera Source: