• October 13, 2025

Worm WhatsApp yang Menyerang Nasabah Perbankan Brasil: Ancaman Nyata yang Harus Diwaspadai

Belakangan ini, para peneliti keamanan dari Sophos Counter Threat Unit (CTU) menemukan kampanye berbahaya yang menyasar pengguna WhatsApp di Brasil. Kampanye ini menggunakan worm (cacing komputer) yang menyebar lewat pesan WhatsApp dan menargetkan nasabah perbankan dan bursa kripto lokal dengan malware berbahaya. Ancaman ini bukan isapan jempol, melainkan nyata dan berpotensi menyebabkan kerugian besar jika tidak diantisipasi dengan baik.

Bagaimana Worm Ini Bekerja?

Kampanye ini pertama kali terdeteksi pada 29 September 2025 dan mengandalkan teknik social engineering untuk mengelabui pengguna agar menjalankan file berbahaya yang diterima lewat WhatsApp Web — versi WhatsApp yang bisa diakses dari browser komputer.

Modus operandi umum yang digunakan:

  • Korban menerima pesan WhatsApp dari kontak yang sudah terinfeksi, berisi arsip ZIP yang diklaim berisi dokumen penting.

  • Pesan tersebut biasanya mengatakan file hanya bisa dibuka lewat komputer, memancing korban membuka file di desktop, bukan ponsel.

  • Saat file ZIP dibuka, terdapat file Windows LNK (shortcut) yang jika dijalankan, mengeksekusi serangkaian perintah PowerShell yang berbahaya secara tersembunyi.

  • PowerShell ini kemudian menghubungi server jahat (C2) dan mengunduh perintah lanjutan untuk mematikan pengamanan komputer korban, seperti Microsoft Defender dan User Account Control (UAC).

  • Setelah itu, worm berusaha menyebar ke kontak WhatsApp korban, memperbanyak infeksi.

  • Selain itu, malware ini juga berpotensi menginstal trojan perbankan yang didesain khusus untuk mencuri data dari bank-bank dan bursa kripto Brasil.

Ancaman Dua Payload: Selenium dan Trojan Perbankan Maverick

Dalam beberapa kasus, worm ini juga mengunduh dan menjalankan alat otomatisasi browser bernama Selenium. Selenium ini digunakan untuk mengambil alih sesi browser WhatsApp yang sedang aktif, memungkinkan worm untuk menyebar dengan mudah dan mencuri data dari aktivitas browser.

Payload lain yang berbahaya adalah trojan perbankan bernama Maverick, sebuah malware .NET yang mampu memantau aktivitas browser korban, khususnya saat mengakses situs bank dan bursa kripto. Trojan ini kemudian mencuri informasi login dan data penting lainnya untuk kepentingan kejahatan siber.

Contoh Kasus: Infeksi Worm WhatsApp di Brasil

Bayangkan seorang pegawai bank di São Paulo menerima pesan WhatsApp dari kolega yang berisi file bernama “COMPROVANTE_20251002_1234567.zip” yang mengaku sebagai bukti transaksi. Karena percaya, pegawai tersebut mengunduh dan menjalankan file shortcut dalam arsip itu di komputernya.

Tidak disadari, komputer tersebut langsung terinfeksi worm yang mematikan sistem keamanan dan mulai mengirim pesan berisi malware serupa ke semua kontak WhatsApp pegawai tersebut. Worm juga memantau sesi browser WhatsApp yang aktif dan menyusup lebih jauh ke jaringan perusahaan, berpotensi mencuri data sensitif nasabah dan akses perbankan.

Mengapa Ini Berbahaya?

  • Penyebaran cepat dan otomatis: Worm ini tidak hanya menyerang satu komputer, tapi menyebar sendiri ke kontak WhatsApp korban, meningkatkan risiko infeksi massal.

  • Mengelabui dengan pesan dari kontak terpercaya: Karena pesan datang dari kontak yang dikenal, korban cenderung membuka file tanpa curiga.

  • Mematikan sistem pertahanan komputer: Dengan memodifikasi konfigurasi keamanan seperti mematikan antivirus dan UAC, worm ini membuat sistem lebih rentan terhadap serangan lanjutan.

  • Mencuri data perbankan dan kripto: Trojan perbankan dapat mencuri informasi yang sangat sensitif, berujung pada pencurian dana dan kerugian finansial besar.

Bagaimana Melindungi Diri dan Organisasi Anda?

  1. Jangan pernah membuka file atau link dari WhatsApp Web atau platform lain yang mencurigakan, walaupun dikirim oleh kontak yang dikenal. Selalu konfirmasi langsung ke pengirim sebelum mengakses file tersebut.

  2. Edukasi karyawan tentang risiko malware yang menyebar lewat pesan instan dan media sosial. Tingkatkan kesadaran agar mereka lebih waspada terhadap file dan tautan mencurigakan.

  3. Gunakan solusi keamanan yang mampu mendeteksi aktivitas mencurigakan di PowerShell dan skrip otomatisasi, serta memblokir eksekusi kode berbahaya.

  4. Terapkan kebijakan keamanan berlapis (defense-in-depth), termasuk firewall, endpoint protection, dan monitoring jaringan untuk mendeteksi perilaku aneh.

  5. Segera respon dan isolasi perangkat yang menunjukkan tanda-tanda infeksi agar mencegah penyebaran lebih luas.

  6. Gunakan multi-factor authentication (MFA) pada aplikasi perbankan dan kripto untuk menambah lapisan keamanan.

Kesimpulan: Waspada dan Bertindak Cepat adalah Kunci

Worm WhatsApp yang menyerang nasabah perbankan Brasil ini menunjukkan bagaimana kejahatan siber semakin memanfaatkan platform komunikasi sehari-hari untuk menjangkau korban dengan cara yang sangat licik. Dengan teknik penyamaran dan penyebaran otomatis, malware ini dapat menyebar luas dan menyebabkan kerugian besar baik bagi individu maupun organisasi.

Penting bagi kita semua, terutama institusi keuangan dan perusahaan yang beroperasi di Brasil, untuk meningkatkan kewaspadaan dan memperkuat pertahanan siber. Edukasi pengguna, deteksi dini, serta respons cepat terhadap ancaman dapat menyelamatkan data dan dana dari tangan para pelaku kejahatan.

Selalu ingat, ancaman siber terus berevolusi — keamanan digital adalah tanggung jawab bersama yang harus dijaga secara konsisten.

Ingin jaringan Anda terlindungi dengan teknologi keamanan terkini?
Hubungi segera Sophos Indonesia atau
Konsultasikan kebutuhan keamanan Anda bersama PT. iLogo Infralogy Indonesia.

Kami siap memberikan solusi keamanan terbaik untuk menjaga sistem Anda tetap aman, tangguh, dan siap menghadapi berbagai ancaman siber.

Lindungi bisnis Anda sekarang—jangan tunggu sampai serangan terjadi!