Platform video pendek seperti TikTok dan Instagram Reels kini tidak hanya menjadi tempat berbagi hiburan, tutorial, atau tips teknologi. Para pelaku kejahatan siber mulai memanfaatkan platform tersebut sebagai media baru untuk menyebarkan malware kepada pengguna yang tidak curiga.
Baca Juga : Meta Gunakan AI untuk Permudah Belanja di Instagram dan Facebook
Modus yang digunakan terbilang sederhana, tetapi cukup efektif. Pelaku membuat video tutorial yang terlihat profesional dan meyakinkan, lalu menawarkan akses gratis ke berbagai aplikasi premium populer. Di balik tawaran tersebut, pengguna secara diam-diam diarahkan menuju situs berbahaya yang berisi malware.
Yang membuat serangan ini berbahaya adalah tampilannya yang sangat alami. Video-video tersebut tidak terlihat berbeda dengan jutaan konten tutorial dan tips teknologi yang setiap hari beredar di media sosial. Dengan jumlah tayangan yang tinggi serta ratusan hingga ribuan tanda suka, banyak pengguna menganggap konten tersebut kredibel dan aman untuk diikuti.
Peneliti dari ReversingLabs mengidentifikasi dua metode kampanye berbeda yang digunakan dalam serangan ini. Keduanya berhasil menjangkau audiens dalam jumlah besar dengan memanfaatkan algoritma rekomendasi media sosial.
Penelitian tersebut dipimpin oleh peneliti intelijen ancaman Zaria Vuksan. Dalam laporannya, ia menjelaskan bagaimana pelaku mampu memanfaatkan mekanisme interaksi pengguna di platform media sosial untuk menyebarkan malware secara masif di berbagai platform.
Meski menggunakan pendekatan yang berbeda, kedua kampanye tersebut memiliki tujuan yang sama, yaitu mengarahkan korban ke situs pihak ketiga yang menyediakan perangkat lunak berbahaya yang menyamar sebagai aplikasi premium gratis.
Malware yang digunakan dalam kampanye ini adalah Vidarstealer, salah satu malware pencuri informasi (infostealer) yang cukup dikenal. Malware ini mampu mencuri kredensial login, data keuangan, hingga token sesi dari perangkat yang terinfeksi.
Vidarstealer diketahui mendapatkan pembaruan pada Oktober tahun lalu yang membuatnya lebih sulit dideteksi oleh sistem keamanan. Dengan lisensi seumur hidup yang dijual sekitar 300 dolar AS, malware ini masih menjadi salah satu alat favorit yang digunakan berbagai kelompok ancaman siber.
Dalam laporan yang dibagikan kepada Cyber Security News (CSN), ReversingLabs menyebut kombinasi antara jangkauan luas media sosial dan kemudahan memperoleh malware seperti Vidarstealer menciptakan lingkungan ancaman yang berbahaya bagi pengguna individu maupun organisasi.
Hacker Manfaatkan TikTok dan Instagram Reels
.webp "Hacker Manfaatkan TikTok dan Instagram Reels")
Pada kampanye pertama, pelaku menggunakan akun dengan nama seperti “windows.tips” atau “windows.insights”. Akun tersebut menggunakan foto profil berwarna biru dan putih yang dirancang menyerupai ikon resmi Windows sehingga terlihat lebih meyakinkan.
.webp "Hacker Manfaatkan TikTok dan Instagram Reels")
Akun-akun ini mengunggah video tutorial profesional lengkap dengan suara narasi yang dibuat menggunakan teknologi AI. Dalam video tersebut, pengguna diarahkan untuk mengetik perintah PowerShell tertentu yang diklaim dapat membuka akses Spotify Premium secara gratis.
Padahal, perintah tersebut sebenarnya memerintahkan sistem Windows untuk mengunduh dan menjalankan skrip dari alamat jarak jauh secara diam-diam. Ketika pengguna mengikuti langkah tersebut tanpa melakukan verifikasi, mereka tanpa sadar menjalankan file yang telah diidentifikasi sebagai Vidarstealer.
Hal yang membuat metode ini semakin berbahaya adalah tampilan videonya yang sangat profesional dan terlihat otoritatif. Banyak video dalam kampanye ini berhasil memperoleh lebih dari 100.000 tayangan, disertai ribuan simpanan dan bagikan dari pengguna.
Sementara itu, kampanye kedua menggunakan pendekatan yang lebih santai. Pelaku mengunggah video singkat yang menampilkan fitur premium Spotify sambil memutar musik yang sedang populer. Pengguna kemudian diajak untuk meninggalkan komentar karena penasaran dengan cara mendapatkan fitur tersebut.
Setelah interaksi meningkat, pelaku akan membalas komentar dengan mengarahkan korban ke situs berbahaya seperti pluginchad[.]xyz atau d4ug[.]site. Situs tersebut menawarkan unduhan perangkat lunak palsu yang disembunyikan di balik berbagai survei atau halaman pengalihan.
Mengapa Serangan Social Engineering Ini Sulit Dihentikan?
Menurut para peneliti, salah satu alasan utama ancaman ini sulit diberantas adalah karena platform media sosial belum memiliki mekanisme yang efektif untuk mendeteksi dan menghentikannya.
Tim ReversingLabs mengaku telah mencoba melaporkan sejumlah akun Instagram berbahaya sebagai penipuan. Namun, seluruh laporan tersebut ditolak oleh platform.
Bahkan ketika sebuah konten berhasil ditandai sebagai mencurigakan, proses penanganannya sering kali berjalan lambat. Akibatnya, sebelum akun dihapus, banyak pengguna yang sudah terlanjur menjadi korban.
Pelaku juga dengan mudah menghilangkan peringatan dari komunitas. Jika ada pengguna yang meninggalkan komentar untuk memperingatkan orang lain mengenai penipuan tersebut, pelaku biasanya langsung menghapus komentar tersebut dan memblokir akun yang memberikan peringatan.
Kondisi ini membuat upaya pengawasan oleh komunitas menjadi sangat sulit dilakukan. Pada akhirnya, tanggung jawab perlindungan lebih banyak berada di tangan organisasi maupun pengguna individu.
Meski demikian, ada beberapa langkah pencegahan yang dapat diterapkan. Organisasi disarankan untuk secara rutin mengaudit siapa saja yang memiliki izin instalasi perangkat lunak pada perangkat kerja. Langkah ini penting karena sebagian aplikasi yang dipromosikan dalam video tersebut dikemas seolah-olah merupakan alat profesional yang sah.
Selain itu, program pelatihan keamanan siber dan anti-phishing perlu diperbarui agar mencakup ancaman dari media sosial, bukan hanya email. Pengguna juga dianjurkan untuk terus melaporkan akun mencurigakan karena semakin banyak laporan yang diterima, semakin besar peluang akun tersebut ditindak oleh platform.
Indikator Kompromi (IoC)
Berikut beberapa indikator yang terkait dengan kampanye malware ini:
| Tipe | Indikator | Keterangan |
|---|---|---|
| Hash | 03bbc4fa1fd784276da135ab62fef85aaddea66e6eb176d7e59c3398f818b153 | SHA-256 file build.exe yang teridentifikasi sebagai Vidarstealer |
| Domain | pluginchad[.]xyz | Situs berbahaya yang menawarkan unduhan software palsu |
| Domain | maxapk[.]xyz | Situs berbahaya yang menawarkan unduhan software palsu |
| Domain | d4ug[.]site | Situs palsu yang mengklaim dapat membuka akses game premium dan alat AI |
| Domain | slmgr[.]sh | Domain yang digunakan dalam pengiriman perintah PowerShell berbahaya |
| Domain | msget[.]run | Domain yang digunakan untuk mengirimkan Vidarstealer |
| Akun | tiktok[.]com/@windows.tips1 | Akun TikTok yang digunakan dalam kampanye tutorial palsu |
| Akun | tiktok[.]com/@windows.insight | Akun TikTok yang digunakan dalam kampanye tutorial palsu |
| Akun | instagram[.]com/wtips404 | Akun Instagram yang digunakan dalam kampanye |
| Akun | instagram[.]com/wndwstips | Akun Instagram yang digunakan dalam kampanye |
Baca Juga : Instagram Perbaiki Celah Reset Password yang Bocorkan Data Pengguna
Kasus ini menjadi pengingat bahwa ancaman siber kini tidak lagi hanya datang melalui email atau situs web mencurigakan. Konten yang terlihat menarik dan viral di media sosial pun dapat menjadi pintu masuk bagi malware berbahaya. Karena itu, pengguna perlu lebih berhati-hati sebelum mengikuti tutorial yang menawarkan akses gratis ke layanan premium atau mengunduh perangkat lunak dari sumber yang tidak resmi.
