Sebuah kampanye serangan siber baru terungkap dengan metode yang cukup canggih. Para pelaku memanfaatkan halaman phishing yang dirancang secara meyakinkan serta trik PowerShell untuk menyebarkan malware berbahaya bernama SmartRAT.
Baca Juga : Notifikasi Google Tasks Disalahgunakan Hacker untuk Serangan Phishing Canggih
Serangan ini diketahui menargetkan nasabah perbankan di Brasil. Yang membuatnya semakin berbahaya, pelaku menggabungkan teknik social engineering dengan halaman web yang diduga dibuat menggunakan teknologi kecerdasan buatan (AI), sehingga tampak sangat meyakinkan bagi calon korban.
Menurut para peneliti keamanan siber, kampanye ini menunjukkan perubahan yang cukup mengkhawatirkan dalam cara pelaku ancaman membangun dan mendistribusikan alat serangan mereka.
Situs Bank Palsu Dirancang Mirip Aslinya
Dalam aksinya, para hacker membuat sebuah situs palsu yang meniru tampilan salah satu bank ternama di Brasil. Situs tersebut dilengkapi halaman pengajuan kartu kredit yang terlihat profesional, lengkap dengan proses verifikasi keamanan yang dibuat menyerupai sistem resmi.
Saat korban mengunjungi dan berinteraksi dengan halaman tersebut, mereka akan diarahkan untuk menjalankan perintah PowerShell yang sebenarnya berbahaya. Tanpa disadari, perintah tersebut akan mengunduh dan memasang malware SmartRAT ke perangkat korban.
Setelah berhasil terpasang, SmartRAT memiliki berbagai kemampuan berbahaya, seperti merekam setiap tombol yang ditekan pengguna (keylogging), mengambil tangkapan layar (screenshot), mencegat kode QR, hingga menampilkan formulir perbankan palsu dalam mode layar penuh untuk mencuri data login dan informasi sensitif lainnya.
Diduga Dibuat Menggunakan Alat Berbasis AI
.webp "Diduga Dibuat Menggunakan Alat Berbasis AI")
Kampanye ini pertama kali ditemukan oleh tim peneliti Zscaler ThreatLabz pada Maret 2026. Dalam laporan yang dibagikan kepada Cyber Security News (CSN), para analis menyebutkan bahwa halaman phishing tersebut kemungkinan besar dibuat menggunakan platform pembuatan situs web berbasis AI.
Kesimpulan tersebut diperoleh setelah peneliti menemukan sejumlah indikasi pada kode sumber halaman. Beberapa di antaranya berupa komentar template otomatis dan struktur kode yang biasanya dihasilkan oleh alat pembangun situs berbasis kecerdasan buatan.
Pemanfaatan AI dalam pembuatan halaman phishing menjadi salah satu alasan mengapa serangan ini terlihat lebih profesional dan sulit dibedakan dari situs resmi.
Menggabungkan Berbagai Teknik Penipuan
.webp "Menggabungkan Berbagai Teknik Penipuan")
Salah satu hal yang membuat kampanye ini sangat berbahaya adalah penggunaan beberapa lapisan teknik penipuan secara bersamaan.
Awalnya, korban akan disuguhkan CAPTCHA palsu yang mengatasnamakan Cloudflare. Setelah itu, halaman akan menampilkan Blue Screen of Death (BSOD) palsu yang dirancang untuk membuat pengguna panik.
Teknik ini dikenal dengan nama ClickFix. Tujuannya adalah membuat korban percaya bahwa sistem mereka mengalami kerusakan serius dan satu-satunya cara untuk memperbaikinya adalah dengan menjalankan perintah yang diberikan oleh halaman tersebut.
Karena muncul dalam situasi yang terlihat mendesak, banyak pengguna yang akhirnya mengikuti instruksi tanpa menyadari risiko yang sebenarnya.
SmartRAT Mampu Mengambil Alih Perangkat Korban
.webp "SmartRAT Mampu Mengambil Alih Perangkat Korban")
SmartRAT sendiri merupakan alat akses jarak jauh (Remote Access Trojan/RAT) yang ditulis sepenuhnya menggunakan PowerShell. Malware ini memiliki kemampuan yang cukup lengkap dan dapat memberikan akses luas kepada operatornya terhadap sistem yang telah terinfeksi.
Setelah aktif, SmartRAT akan memantau jendela browser untuk mendeteksi aktivitas perbankan. Malware ini bahkan dapat memberikan notifikasi kepada pelaku ketika korban membuka aplikasi keuangan atau mengakses situs perbankan tertentu.
Pada tahap berikutnya, penyerang dapat mengambil alih layar korban, menyisipkan penekanan tombol, memblokir input dari pengguna, hingga mencuri berbagai informasi yang dimasukkan ke dalam aplikasi maupun situs web yang sedang digunakan.
PowerShell Menjadi Pintu Masuk Infeksi
Proses infeksi dimulai ketika korban menempelkan (paste) perintah PowerShell ke dalam jendela Windows Run. Yang mengejutkan, perintah tersebut sebenarnya telah disalin secara diam-diam ke clipboard korban melalui halaman phishing yang dikunjungi sebelumnya.
Perintah itu kemudian menghubungkan perangkat ke server jarak jauh dengan alamat IP 64.95.13.238 dan mengunduh sebuah file bernama st.txt yang berfungsi sebagai dropper tersembunyi.
Selanjutnya, file tersebut akan mengambil file kedua bernama payload.php yang berisi skrip PowerShell terenkripsi menggunakan AES. Skrip inilah yang kemudian mengekstrak dan menjalankan SmartRAT di perangkat korban.
Baca Juga : Hacker Manfaatkan TikTok dan Instagram Reels untuk Sebar Malware
Untuk menghindari deteksi, SmartRAT menyamarkan file dan tugas terjadwal (scheduled task) menggunakan nama yang menyerupai pembaruan Microsoft Edge. Dengan cara ini, aktivitas malware dapat menyatu dengan proses Windows yang sah sehingga lebih sulit dikenali oleh pengguna maupun sistem keamanan.
