Waspada! Kampanye Malware WhatsApp Gunakan File VBS untuk Akses Tersembunyi dan Permanen
Baca dalam 60 detik
- Microsoft memperingatkan adanya kampanye malware di WhatsApp yang menggunakan file Visual Basic Script (VBS) untuk mencuri akses kontrol komputer secara permanen.
- Serangan ini menggunakan teknik canggih yang memanfaatkan alat resmi Windows dan layanan cloud tepercaya (AWS/Tencent) agar tidak terdeteksi oleh antivirus.
- Di tahap akhir, peretas memasang file MSI sebagai pintu belakang untuk mengendalikan perangkat dari jauh dan meningkatkan hak akses mereka di sistem korban.
Microsoft baru-baru ini mengeluarkan peringatan kepada para pengguna WhatsApp mengenai kampanye malware baru yang memanfaatkan teknik rekayasa sosial. Peretas menjebak korban untuk menjalankan file Visual Basic Script (VBS) berbahaya yang dirancang untuk memberikan akses jarak jauh dan kontrol permanen atas perangkat yang terinfeksi.
Menurut laporan dari Microsoft Defender Experts pada 31 Maret 2026, serangan ini telah terdeteksi sejak akhir Februari. Kampanye ini tergolong sangat rapi karena menggunakan teknik living-off-the-land (LOTL), yaitu memanfaatkan utilitas resmi bawaan Windows untuk mengelabui sistem keamanan dan menyamarkan aktivitas berbahaya sebagai proses sistem yang normal.
Tahapan Rantai Serangan Malware VBS:
- Penyebaran: Pesan WhatsApp yang membawa file lampiran VBS berbahaya.
- Eksekusi Tersembunyi: Skrip membuat direktori tersembunyi dan mengganti nama alat resmi Windows (seperti curl.exe dan bitsadmin.exe) untuk mengunduh muatan tambahan.
- Infrastruktur Terpercaya: Peretas menghosting komponen malware di layanan awan ternama seperti AWS, Tencent Cloud, dan Backblaze B2 agar tidak dicurigai oleh sistem keamanan jaringan.
- Akses Permanen: Tahap akhir melibatkan instalasi paket Microsoft Installer (MSI) yang berfungsi sebagai pintu belakang (backdoor) untuk kontrol jarak jauh dan eskalasi hak akses.
Penggunaan file MSI dinilai sangat efektif karena file jenis ini jarang dianggap mencurigakan dan memiliki kemampuan untuk menjalankan perintah khusus saat proses instalasi. Dengan cara ini, peretas dapat mempertahankan akses ke komputer korban meskipun sistem telah dimulai ulang, bahkan mampu meningkatkan otoritas mereka untuk mengontrol sistem secara penuh.
"Kampanye ini mengandalkan kombinasi rekayasa sosial dan teknik LOTL... Dengan menggabungkan platform tepercaya dengan alat yang sah, aktor ancaman mengurangi visibilitas dan meningkatkan kemungkinan keberhasilan eksekusi." - Peneliti Microsoft.
Analisis Teknik Penyamaran Peretas
| Metode Penyamaran | Cara Kerja & Deteksi |
|---|---|
| Manipulasi Nama File | Alat seperti curl.exe diganti namanya menjadi file yang tampak tidak berbahaya, namun Microsoft Defender tetap dapat mendeteksinya lewat ketidaksesuaian metadata OriginalFileName. |
| Hosting Legitimasi | Menggunakan layanan cloud populer untuk mengunduh muatan (payload) guna menghindari pemblokiran oleh filter URL keamanan. |
| Eksekusi Bertahap | Malware tidak langsung menyerang, melainkan menyiapkan lingkungan sistem terlebih dahulu untuk memastikan serangan berjalan dengan "suara rendah" (low-noise). |
Microsoft merekomendasikan pengguna untuk sangat berhati-hati terhadap file apa pun yang diterima melalui platform pesan instan. Langkah pencegahan utama mencakup pemantauan ketat terhadap eksekusi skrip dan penginstal (installer), serta waspada terhadap penggunaan alat sistem yang tidak wajar di latar belakang perangkat Anda.
