Waspada Situs WinRAR Palsu yang Menyebarkan Malware Lewat Installer

bacatutorial /

Waspada Situs WinRAR Palsu yang Menyebarkan Malware Lewat InstallerWinRAR memang sudah lama menjadi salah satu aplikasi kompresi file paling populer di dunia. Mulai dari pengguna rumahan hingga pelaku bisnis, hampir semua pernah menggunakan aplikasi ini untuk membuka atau mengompres file ZIP, RAR, dan format lainnya. Namun, popularitas WinRAR justru dimanfaatkan oleh pihak tak bertanggung jawab untuk melancarkan serangan malware berbahaya.

Baca Juga : Update WhatsApp! Perbaikan Bug Zero-Click yang Bisa Retas iPhone

Baru-baru ini, para peneliti keamanan menemukan sebuah kampanye malware yang menyebarkan Winzipper, malware berjenis trojan, melalui situs unduhan WinRAR palsu. Tanpa disadari, pengguna yang ingin mengunduh WinRAR justru menginstal malware langsung ke perangkat mereka.

Serangan Berasal dari Situs Tidak Resmi

Serangan ini diketahui bermula dari berbagai tautan yang tersebar di sejumlah situs berbahasa Mandarin. Tautan tersebut mengarahkan korban ke website yang tampak seperti situs resmi WinRAR, lengkap dengan tampilan meyakinkan dan nama domain yang menyerupai aslinya.

Target utama serangan ini adalah pengguna yang mengunduh WinRAR dari sumber tidak resmi atau situs pihak ketiga. Kebiasaan ini cukup umum, terutama bagi pengguna yang ingin mencari versi tertentu atau menghindari batasan trial. Sayangnya, celah inilah yang dimanfaatkan oleh pelaku kejahatan siber.

Installer WinRAR yang sudah dimodifikasi (trojanized installer) ini menjadi ancaman serius, terutama bagi pengguna yang ingin solusi cepat tanpa mengecek keaslian sumber unduhan.

Malware Pintar yang Menyesuaikan Target

Berbeda dari malware biasa, Winzipper menggunakan pendekatan adaptif. Setelah dijalankan, malware ini akan mulai menganalisis sistem Windows korban. Informasi profil sistem dikumpulkan untuk menentukan payload atau muatan malware paling efektif sesuai konfigurasi perangkat.

Pendekatan ini membuat tingkat keberhasilan serangan menjadi jauh lebih tinggi, baik pada komputer pribadi maupun lingkungan bisnis. Artinya, tidak peduli spesifikasi PC kamu tinggi atau rendah, malware ini tetap berpotensi bekerja optimal.

Tim analis Malwarebytes berhasil mengungkap serangan ini setelah menemukan file mencurigakan yang disembunyikan di balik beberapa lapisan obfuscation (penyamaran kode) dan teknik kompresi tingkat lanjut.

Mekanisme Infeksi yang Berlapis

Mekanisme Infeksi yang Berlapis

Jika dilihat lebih dalam, mekanisme infeksi Winzipper tergolong kompleks dan dirancang khusus untuk menghindari deteksi antivirus.

File awal yang digunakan bernama winrar-x64-713scp.zip. Di dalamnya terdapat sebuah file executable yang dikompresi menggunakan UPX dan sengaja diberi struktur anomali untuk menyulitkan analisis.

Saat file ini dibongkar menggunakan alat khusus, ditemukan dua program utama:

  1. Installer WinRAR asli, yang berfungsi sebagai umpan agar korban tidak curiga

  2. Arsip tersembunyi bernama setup.hta, yang dilindungi password

Arsip setup.hta inilah komponen berbahaya sebenarnya. File ini tidak langsung diekstrak ke penyimpanan, melainkan dibuka langsung di memori sistem saat runtime.

Teknik Malware yang Sulit Dideteksi

Teknik berjalan di memori ini membuat metode deteksi berbasis file menjadi tidak efektif. Antivirus tradisional yang hanya memindai file di hard drive sering kali gagal mengenali ancaman ini.

Dalam pengujian dinamis pada sistem terisolasi, peneliti menemukan bahwa file tersebut akan memunculkan proses bernama nimasila360.exe, yang diketahui sebagai bagian dari keluarga malware Winzipper.

Setelah aktif, Winzipper beroperasi sebagai backdoor trojan, memberi penyerang akses jarak jauh ke komputer korban tanpa disadari pemiliknya.

Dampak Serius bagi Pengguna

Winzipper bukan malware biasa. Setelah berhasil terinstal, malware ini memungkinkan pelaku melakukan berbagai aksi berbahaya, seperti:

  • Mencuri data sensitif

  • Mengendalikan sistem tanpa izin

  • Menginstal malware tambahan

  • Memantau aktivitas pengguna

Yang membuatnya semakin berbahaya, semua aktivitas ini dilakukan sambil menyamar sebagai aplikasi arsip yang tampak normal. Banyak pengguna baru menyadari adanya infeksi setelah kerusakan besar terjadi, baik kehilangan data maupun kebocoran informasi penting.

Daftar Domain Berbahaya yang Diblokir

Beberapa domain palsu yang teridentifikasi menyebarkan installer WinRAR berbahaya antara lain:

  • winrar-tw.com

  • winrar-x64.com

  • winrar-zip.com

Seluruh domain ini saat ini sudah diblokir oleh sistem perlindungan Malwarebytes, namun tidak menutup kemungkinan munculnya domain baru dengan pola serupa.

Baca Juga : Bug Berbahaya di WinRAR Dimanfaatkan Hacker, Update Sekarang Juga!

Cara Aman Menghindari Ancaman Ini

Agar terhindar dari serangan malware seperti Winzipper, pengguna disarankan untuk:

  • Mengunduh WinRAR hanya dari situs resmi

  • Menghindari website pihak ketiga yang menawarkan installer “versi khusus”

  • Selalu menggunakan anti-malware yang aktif dan diperbarui

  • Tidak mudah percaya dengan tampilan situs yang menyerupai aslinya

Di era digital seperti sekarang, kehati-hatian saat mengunduh software menjadi kunci utama menjaga keamanan perangkat. Sedikit langkah pencegahan bisa menyelamatkan kamu dari risiko besar di kemudian hari.

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *