Cara Malware Lumma Stealer Menyusup Melalui Iklan dan Captcha Palsu

Lumma Stealer merupakan salah satu jenis malware pencuri informasi yang belakangan ini semakin berbahaya karena kemampuannya beradaptasi dengan berbagai teknik serangan baru. Awalnya hanya menyebar melalui metode phishing tradisional, kini Lumma Stealer mulai memanfaatkan pendekatan yang lebih manipulatif seperti penyamaran CAPTCHA palsu dan penyisipan lewat iklan di situs terkompromi. Serangan ini tidak hanya menyasar satu wilayah atau sektor, melainkan telah menyebar secara global dan menargetkan berbagai industri, mulai dari layanan kesehatan, keuangan, hingga telekomunikasi. Evolusi ini menunjukkan bahwa pelaku ancaman terus mencari cara untuk mengecoh pengguna dan melewati pertahanan keamanan, menjadikan Lumma Stealer sebagai ancaman serius yang perlu diwaspadai oleh semua organisasi.

Lumma Stealer: Jenis Malware Pencuri Informasi yang Perlu Diwaspadai

Lumma Stealer adalah salah satu jenis malware pencuri informasi (information stealer) yang didistribusikan menggunakan model Malware-as-a-Service (MaaS), di mana pembuat malware menyewakan alat ini kepada pelaku kejahatan siber lain dengan sistem berlangganan. Dengan pendekatan ini, siapa pun dengan niat jahat dan akses dana dapat menggunakan Lumma Stealer tanpa perlu memiliki keahlian teknis tinggi. Setelah berhasil menginfeksi perangkat korban, malware ini akan bekerja secara senyap untuk mengumpulkan berbagai informasi sensitif, lalu mengirimkannya ke server milik pelaku.

Informasi yang dicuri oleh Lumma Stealer meliputi password yang tersimpan di browser, riwayat pencarian, cookie sesi, serta data dari dompet cryptocurrency seperti Metamask, Ledger, dan Trezor. Malware ini dirancang untuk secara aktif memindai file yang mengandung kata kunci seperti "wallet", "password", atau "seed". Sasaran utamanya pun bukan sembarangan, serangan ini meluas ke berbagai sektor, mencakup bidang kesehatan, keuangan, dan pemasaran, di mana sektor telekomunikasi menjadi target utama karena nilai data yang dimiliki dan potensi dampak finansialnya. Kemampuan untuk mencuri data pribadi dalam jumlah besar membuat Lumma Stealer menjadi salah satu ancaman paling serius di ranah keamanan siber saat ini.

Baca juga: Browser vs Email Gateway: Siapa Paling Ampuh Lawan Phishing?

Teknik Penyusupan: Iklan & CAPTCHA Palsu

Salah satu taktik terbaru yang digunakan untuk menyebarkan Lumma Stealer adalah melalui halaman CAPTCHA palsu yang tampak meyakinkan. Kampanye ini dimulai ketika korban mengunjungi situs web yang telah dikompromikan, lalu secara otomatis diarahkan ke halaman verifikasi CAPTCHA tiruan. Di halaman ini, pengguna diarahkan untuk menyalin sebuah perintah aneh ke kolom Run di Windows. Tanpa disadari, perintah ini memanfaatkan mshta.exe, sebuah tool bawaan Windows, untuk mengunduh dan mengeksekusi file HTA dari server jarak jauh. Teknik ini merupakan evolusi dari metode yang sebelumnya dikenal sebagai ClickFix, di mana pelaku menanamkan skrip PowerShell terenkripsi ke dalam sistem korban secara fileless.

Kampanye penyebaran Lumma Stealer ini bersifat global dan telah menargetkan korban di berbagai negara seperti Argentina, Kolombia, Amerika Serikat, dan Filipina. Tidak hanya itu, pelaku juga menyasar berbagai sektor industri, dengan telekomunikasi menjadi sektor yang paling banyak menjadi korban, disusul oleh kesehatan, perbankan, dan pemasaran. Hal ini menunjukkan bahwa para pelaku ancaman tidak hanya menargetkan individu, tetapi juga organisasi dengan infrastruktur digital yang kompleks dan data sensitif yang bernilai tinggi.

Taktik penyebaran yang digunakan dalam kampanye ini sangat mengandalkan rekayasa sosial, karena korban sendiri yang diminta mengeksekusi perintah berbahaya di luar browser. Dengan begitu, mereka dapat menghindari sebagian besar sistem perlindungan berbasis peramban. Setelah dijalankan, skrip akan melanjutkan ke tahap-tahap berikutnya: mengunduh payload tambahan, menghindari deteksi antivirus dengan melewati Windows Antimalware Scan Interface (AMSI), dan akhirnya memasukkan Lumma Stealer ke dalam sistem korban. Inilah yang menjadikan metode ini begitu berbahaya—karena menyerang dari dalam dan memanfaatkan interaksi manusia sebagai pintu masuk utama.

Rantai Serangan Lumma Stealer (Attack Chain)

Untuk memahami seberapa berbahayanya Lumma Stealer, penting untuk melihat secara menyeluruh bagaimana malware ini bekerja dari awal hingga berhasil mencuri data. Serangan ini dirancang dengan cermat melalui beberapa tahapan yang saling berkesinambungan, dimulai dari manipulasi pengguna hingga teknik penghindaran deteksi yang canggih. Berikut adalah tahapan lengkap dari rantai serangan Lumma Stealer:

1. Pengalihan ke Halaman CAPTCHA Palsu
   Korban awalnya mengakses situs yang telah dikompromikan, lalu dialihkan ke halaman CAPTCHA palsu yang tampak seperti verifikasi "I’m not a robot". Ini adalah langkah awal untuk membangun kepercayaan korban.
2. Eksekusi Perintah PowerShell dari Clipboard
   Setelah korban menekan tombol verifikasi, perintah dalam bentuk skrip PowerShell yang telah disamarkan otomatis disalin ke clipboard. Korban diminta untuk menempelkannya di jendela Run Windows, memicu proses infeksi secara manual tanpa menyadari bahayanya.
3. Unduhan dan Eksekusi Berantai: HTA → PowerShell → Payload
   Perintah tersebut menggunakan tool bawaan Windows bernama mshta.exe untuk mengunduh file HTA dari server jarak jauh. File ini kemudian menjalankan skrip PowerShell lain yang bertugas memanggil payload tahap berikutnya, menciptakan rantai eksekusi yang kompleks dan sulit dideteksi.
4. Menghindari Deteksi: Bypass AMSI dan Sandbox
   Sebelum meluncurkan payload utama, skrip mengambil langkah tambahan untuk menghindari deteksi antivirus, termasuk bypass Windows Antimalware Scan Interface (AMSI) dan lingkungan sandbox yang biasa digunakan oleh sistem pertahanan.

Setelah melalui tahapan infeksi yang kompleks, Lumma Stealer melanjutkan aksinya dengan berbagai teknik canggih untuk menghindari deteksi. Berikut beberapa metode utama yang digunakan malware ini:

1. Mshta.exe dan Teknik Polyglot
   Lumma Stealer memanfaatkan mshta.exe — alat sah dari Windows — untuk menjalankan file HTML yang disamarkan sebagai file executable. Teknik polyglot digunakan agar konten HTA bisa tersembunyi dalam file yang terlihat seperti file lain, sehingga bisa langsung dijalankan oleh mshta tanpa memicu alarm.
2. Fileless Malware dengan PowerShell Terenkripsi
   Payload yang dijalankan disembunyikan dalam skrip PowerShell yang telah terenkripsi dengan AES dalam mode CBC, menggunakan kunci yang sudah ditanam (hardcoded). Hal ini membuat deteksi oleh antivirus menjadi jauh lebih sulit karena tidak ada file mencurigakan yang tersimpan secara permanen.
3. Process Hollowing ke BitLockerToGo.exe
   Di tahap akhir, Lumma Stealer menyisipkan dirinya ke dalam proses sah Windows seperti BitLockerToGo.exe dengan teknik process hollowing, yaitu menggantikan isi proses legal dengan kode berbahaya. Ini membuat malware berjalan di balik wajah program sah, menyulitkan analisis forensik maupun deteksi real-time.

Dengan kombinasi teknik rekayasa sosial, eksploitasi tool sah, enkripsi payload, dan injeksi proses, Lumma Stealer menjadi salah satu malware yang sangat sulit dideteksi dan ditanggulangi jika tidak ada sistem keamanan berlapis yang aktif.

Payload dan Aksi Setelah Infeksi

Setelah berhasil menyusup dan mengeksekusi skrip awal, Lumma Stealer akan menjalankan file utama bernama VectirFree.exe, yang merupakan loader untuk malware inti. File ini dieksekusi dalam sistem target dan langsung memulai rangkaian aksi lanjutan yang agresif. Salah satu taktik yang digunakan adalah men-drop beberapa file tambahan ke direktori sementara, seperti Killing.bat dan Voyuer.pif, yang berfungsi sebagai alat bantu untuk mempertahankan keberadaan malware dan mempersiapkan lingkungan sistem untuk pencurian data.

Killing.bat dirancang untuk melakukan pemeriksaan terhadap proses antivirus yang sedang berjalan di sistem, seperti wrsa.exe (Webroot), opssvc.exe (Quick Heal), dan bdservicehost.exe (Bitdefender). Jika ditemukan, skrip ini akan mencoba menghentikan proses tersebut menggunakan perintah tasklist dan findstr. Tujuannya jelas: menonaktifkan perlindungan real-time agar proses pencurian data bisa berjalan tanpa gangguan. Sementara itu, Voyuer.pif diduga berperan dalam mempertahankan akses atau merekam aktivitas sistem secara diam-diam.

Begitu pertahanan sistem dilemahkan, Lumma Stealer mulai menjalankan fungsinya sebagai malware pencuri informasi. Ia memindai direktori pengguna untuk mencari file yang mengandung kata kunci sensitif, seperti seed, wallet, pass, atau metamask. File-file seperti seed.txt, wallet.txt, hingga metamask.txt menjadi target utama karena biasanya menyimpan informasi penting terkait akun cryptocurrency. Dengan pendekatan yang sangat terfokus ini, Lumma Stealer mampu mencuri data bernilai tinggi dalam waktu singkat dan tanpa terdeteksi oleh pengguna biasa.

Komunikasi dengan Server dan Exfiltrasi Data

Setelah berhasil mengumpulkan data sensitif dari sistem korban, Lumma Stealer akan mengirimkan informasi tersebut ke server milik pelaku yang dikenal sebagai Command and Control (C2). Dalam kampanye terbaru, malware ini menggunakan domain dengan akhiran “.shop” sebagai alamat C2, yang kerap dipilih karena relatif mudah didaftarkan dan belum tentu dianggap mencurigakan oleh sistem keamanan. Selain itu, data dikirim melalui Content Delivery Network (CDN) seperti Cloudflare, sehingga lalu lintas data tampak seperti komunikasi normal dari layanan sah, mempersulit upaya pendeteksian.

Untuk menghindari deteksi lebih lanjut, Lumma Stealer juga dilengkapi dengan teknik evasion atau penghindaran, termasuk menyamarkan file dan mengenkripsi lalu lintas data. Beberapa indikator kompromi (Indicators of Compromise/IoC) yang teridentifikasi mencakup domain, hash file, dan jejak lalu lintas jaringan yang mencurigakan. Namun, karena serangan ini menggunakan infrastruktur dan tools yang legal, seperti Cloudflare dan domain umum, malware ini sering kali tidak terdeteksi oleh solusi keamanan tradisional, menjadikannya ancaman yang sangat licin dan persisten. 

Teknik Sosial dan Penyebaran

Untuk memperluas jangkauan dan meningkatkan tingkat keberhasilan serangan, pelaku di balik Lumma Stealer tidak hanya mengandalkan teknik teknis, tetapi juga memanfaatkan berbagai strategi rekayasa sosial yang cermat. Pendekatan ini dirancang untuk mengecoh pengguna melalui tampilan visual yang meyakinkan dan saluran distribusi yang sudah akrab di mata korban. Berikut adalah beberapa metode utama yang digunakan dalam penyebaran Lumma Stealer:

Pemalsuan situs terkenal (Reddit, WeTransfer, AnyDesk)

Pelaku membuat ribuan domain palsu yang menyerupai situs populer seperti Reddit, WeTransfer, dan AnyDesk. Situs tiruan ini digunakan untuk mengelabui pengguna agar mengunduh file berbahaya yang tampak seperti aplikasi sah. Karena tampilannya menyerupai situs asli, korban cenderung tidak curiga saat menjalankan file tersebut.

Phishing via email, crack software, dan tautan GitHub/YouTube

Lumma Stealer juga disebarkan melalui email phishing, perangkat lunak bajakan, serta tautan yang disisipkan di platform terbuka seperti GitHub dan YouTube. Pelaku menyamar sebagai pengembang atau pembuat konten yang menawarkan tools atau software populer, namun menyisipkan malware dalam file unduhan mereka.

Penyalahgunaan Gravatar untuk phishing berbasis avatar

Dengan memanfaatkan fitur Profiles as a Service dari Gravatar, pelaku membuat profil palsu yang meniru tampilan merek-merek ternama seperti AT&T dan Proton Mail. Profil ini digunakan untuk phishing berbasis tampilan visual (avatar phishing), menipu korban agar percaya bahwa mereka sedang berinteraksi dengan layanan resmi, lalu mencuri data login atau informasi sensitif lainnya.

Tips Pencegahan dan Deteksi Dini

Untuk mencegah infeksi Lumma Stealer, langkah paling mendasar adalah tidak menyalin atau menjalankan perintah dari sumber yang tidak jelas, terutama jika diminta menempelkan sesuatu ke jendela Run di Windows. Selain itu, pengguna perlu lebih waspada terhadap situs dengan tampilan CAPTCHA yang mencurigakan, terutama jika setelah verifikasi muncul instruksi yang tidak biasa. Situs semacam ini sering kali merupakan bagian dari skenario rekayasa sosial yang dirancang untuk memancing interaksi manual dari pengguna agar malware dapat dieksekusi di luar sistem keamanan browser.

Di sisi lain, organisasi juga perlu melengkapi sistem mereka dengan teknologi deteksi tingkat lanjut, seperti endpoint detection and response (EDR) yang mampu mengidentifikasi aktivitas mencurigakan berbasis PowerShell script dan pola eksekusi tidak lazim. Selain perlindungan teknis, kesadaran karyawan terhadap taktik social engineering seperti phishing, situs palsu, dan manipulasi visual sangat penting untuk mencegah insiden dari awal. Pelatihan rutin mengenai ancaman siber terkini dapat secara signifikan mengurangi risiko serangan yang mengandalkan kesalahan manusia.

Baca juga: Ancaman Baru: Malware Node.js Menyamar sebagai Aplikasi Trading

Kesimpulan

Lumma Stealer merupakan contoh nyata dari malware modern yang terus berkembang dan beradaptasi dengan taktik baru untuk mengelabui sistem keamanan serta pengguna. Dengan kemampuan menyusup secara fileless, menyamar melalui halaman CAPTCHA palsu, dan mengeksploitasi kelemahan perilaku manusia, Lumma Stealer menuntut pendekatan pertahanan yang tidak hanya mengandalkan teknologi, tetapi juga edukasi berkelanjutan bagi pengguna. Ancaman semacam ini menunjukkan bahwa tim keamanan harus merespons dengan cepat dan sigap, menggabungkan solusi teknis canggih dengan peningkatan kesadaran agar serangan dapat dicegah sebelum berdampak besar.