Bagaimana Peretas Memanfaatkan Situs Alat Open-Source Palsu untuk Membajak Klik dan Menyebarkan Malware

Traffic Distribution System Terjaga: Menyaring Target Bernilai Tinggi

TDS bertindak sebagai penjaga gerbang yang canggih, bukan sekadar pengalihan biasa. Analisis Check Point mengungkapkan bahwa sistem ini menerapkan anti-analisis dan penyaringan multi-lapis untuk memisahkan korban nyata dari peneliti keamanan, sandbox, dan perayap otomatis. Hanya pengguna yang lolos dari pemeriksaan ini yang akan diarahkan ke payload malware akhir . Pengiriman selektif ini membuat kampanye lebih sulit untuk dipetakan dan meningkatkan nilai setiap infeksi yang berhasil bagi para operator. Untuk lebih menghindari deteksi, sistem ini menggunakan teknik seperti kunci per sesi dan pelepasan kunci satu kali .

Trio Malware: RemusStealer, AnimateClipper, dan SessionGate

Kampanye ini telah teramati mengirimkan tiga keluarga malware yang berbeda, masing-masing memiliki tujuan monetisasi yang berbeda.

• RemusStealer: Ini adalah alat infostealer berbasis langganan Malware-as-a-Service (MaaS), yang dipasarkan seharga $250–$500. Alat ini menargetkan berbagai macam data sensitif, termasuk kredensial dari lebih dari 20 peramban, data dari lebih dari 220 ekstensi dompet mata uang kripto, pengelola kata sandi, dan alat 2FA .
• AnimateClipper: Sebuah cryptocurrency clipper yang dirancang untuk membajak transaksi secara real-time dengan menukar alamat dompet yang disalin pengguna dengan alamat yang dikendalikan oleh penyerang. Malware ini mampu memantau dan mencegat transaksi di lebih dari 20 ekosistem blockchain yang berbeda .
• SessionGate: Kerangka kerja yang sebelumnya tidak terdokumentasi ini adalah loader multi-tahap yang menggunakan obfuskasi berat dan anti-analisis ekstensif untuk mengirimkan aplikasi yang mungkin tidak diinginkan (PUA) atau payload lainnya. Malware ini berperan sebagai pijakan awal dan loader dalam rantai serangan yang teramati .

Operasi Global yang Telah Berlangsung Lama

Skala kampanye ini sangat signifikan. Check Point melaporkan bahwa ekosistem ini telah aktif sejak akhir 2025 dan telah menghasilkan lebih dari 5.000 kiriman ke VirusTotal, yang mengindikasikan kumpulan korban yang luas. Target geografis utama tersebar di seluruh dunia, dengan aktivitas berat terkonsentrasi di Turki, Polandia, Brasil, Jerman, Prancis, Rusia, dan Inggris Raya .

Bagi para pengembang dan profesional keamanan, kesimpulannya jelas dan mendesak. Masa mengunduh alat secara santai berdasarkan hasil pencarian sudah berakhir. Pengguna harus memverifikasi bahwa mereka berada di repositori proyek resmi, langsung mengunjungi halaman GitHub atau GitLab yang dikenal, dan curiga terhadap unduhan apa pun yang tidak segera memberikan file yang diharapkan. Profesionalisme situs-situs palsu ini membuat inspeksi visual saja menjadi pertahanan yang tidak memadai melawan ekosistem yang dibangun di atas kepercayaan yang dicuri dan penipuan otomatis.