Lumma Stealer, salah satu infostealer (pencuri informasi) yang paling aktif dan berbahaya saat ini, terus mengembangkan taktiknya untuk mengecoh pengguna dan menghindari deteksi. Malware ini pertama kali muncul pada tahun 2022, dan diyakini dikembangkan oleh aktor berbahasa Rusia. Dijual sebagai layanan (Malware-as-a-Service atau MaaS), Lumma Stealer menyasar data penting seperti kredensial login, token sesi, dompet kripto, dan data pribadi lainnya dari perangkat yang berhasil dikompromikan.
Melalui analisis dari Sophos Managed Detection and Response (MDR), ditemukan kampanye terbaru yang menggunakan situs CAPTCHA palsu sebagai pintu masuk serangan. Teknik ini memanfaatkan kepercayaan pengguna terhadap CAPTCHA sebagai indikator keamanan, padahal kenyataannya, ini hanyalah umpan untuk mengeksekusi perintah berbahaya di komputer korban.
Modus CAPTCHA Palsu
Salah satu kampanye yang ditemukan pada akhir 2024 melibatkan situs CAPTCHA palsu yang memancing pengguna untuk menyalin dan menjalankan perintah PowerShell yang telah disisipkan. Perintah ini kemudian diam-diam menjalankan skrip yang mengunduh malware Lumma Stealer dari server kontrol (C2), memasangnya di sistem korban, dan mulai mencuri data.
Dalam satu kasus, pengguna diarahkan dari satu situs ke situs lainnya yang terlihat seperti halaman verifikasi keamanan. Mereka kemudian diminta menekan tombol Win+R untuk membuka dialog “Run”, lalu menekan Ctrl+V dan Enter—padahal yang mereka jalankan adalah skrip PowerShell jahat. Skrip ini mengunduh file ZIP berisi Lumma Stealer dari server eksternal dan menyimpannya sebagai ArtistSponsorship.exe di direktori AppData. Setelah dijalankan, file ini mengekstrak skrip AutoIt yang digunakan untuk mencuri data login dari browser Chrome dan mengirimkannya ke server C2.
Penyamaran dan Obfuscation
Dalam contoh lain, file PDF yang tampaknya sah bernama Instruction_695-18014-012_Rev.PDF ternyata hanyalah shortcut (.lnk) berbahaya. Saat dibuka, shortcut tersebut menjalankan perintah PowerShell yang disamarkan dengan sangat kompleks. Perintah ini memanggil mshta.exe untuk mengunduh skrip dari internet, mendekripsi payload menggunakan enkripsi AES, dan menjalankan file PE (Portable Executable) langsung dari memori.
File PE ini kemudian mengambil skrip tahap kedua dari server jarak jauh. Tahap ini menggunakan fungsi tingkat rendah seperti GetProcAddress, VirtualProtect, dan AmsiInitialize, teknik klasik untuk menghindari deteksi oleh antivirus. Untuk menyamarkan aktivitasnya, skrip ini bahkan mengunduh dokumen PDF resmi dari situs IRS sebagai “umpan” agar korban tidak curiga.
Mengapa Ini Penting
Taktik yang digunakan Lumma Stealer—mulai dari rekayasa sosial, penyalahgunaan tool bawaan Windows (LOLBins), hingga eksekusi fileless—membuatnya sangat sulit dideteksi dengan metode antivirus tradisional. Penyalahgunaan CAPTCHA adalah aspek yang sangat berbahaya, karena pengguna sudah terbiasa menganggap CAPTCHA sebagai bagian dari keamanan normal. Taktik ini justru memutarbalikkan kepercayaan itu menjadi kelemahan.
Meskipun metode distribusinya terus berubah, tujuan utama Lumma Stealer tetap sama: mencuri data berharga dengan cepat dan diam-diam. Dari installer palsu hingga shortcut yang menyamar sebagai PDF, pendekatan-pendekatan ini sangat efektif jika pengguna dan sistem tidak dilindungi dengan baik.
Deteksi dan Respons
Sophos menggunakan berbagai pendekatan deteksi berbasis perilaku, pemantauan eksekusi PowerShell, dan analisis heuristik untuk mencegah eksekusi malware seperti Lumma Stealer. Selain itu, indikator kompromi (IoC) dari kampanye ini telah dipublikasikan di repositori GitHub Sophos untuk membantu komunitas pertahanan siber.
Kami juga mengapresiasi kontribusi dari peneliti lain, seperti tim Netskope yang memperkirakan bahwa lebih dari 5.000 situs CAPTCHA palsu sedang digunakan dalam kampanye aktif. Tim dari Qualys juga memberikan analisis teknis mendalam mengenai perkembangan Lumma Stealer dalam beberapa bulan terakhir.
Kesimpulan
Lumma Stealer masih menjadi ancaman signifikan hingga saat ini. Teknik manipulasi CAPTCHA yang digunakan untuk mengelabui korban agar menjalankan perintah berbahaya merupakan inovasi yang licik dan efektif. Perlindungan endpoint dari Sophos mendeteksi ancaman ini dengan berbagai pendekatan, tetapi edukasi pengguna tetap menjadi tantangan besar. Selama bertahun-tahun pengguna dilatih untuk mempercayai CAPTCHA, kini mereka justru harus waspada terhadapnya.
Strategi pertahanan terbaik adalah gabungan antara perlindungan endpoint yang canggih, pemantauan terus-menerus, serta peningkatan kesadaran pengguna. Ancaman Lumma Stealer menunjukkan bahwa aktor jahat tidak hanya mengandalkan teknik teknis, tetapi juga celah psikologis yang dimanfaatkan lewat manipulasi dan kepercayaan yang keliru.
Apakah Anda sudah mempertimbangkan Sophos sebagai solusi perlindungan titik akhir dengan peringkat terbaik dan ulasan terbanyak?
Jika Anda berminat, kami mengundang Anda untuk menghubungi Sophos Indonesia untuk mendapatkan informasi lebih lanjut tentang solusi keamanan unggulan ini. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia jika Anda ingin penjelasan lebih mendalam.
