Botnet baru bernama NightshadeC2 terdeteksi menargetkan sistem Windows melalui tipu daya sosial ClickFix dan installer software yang ditrojanisasi. Malware ini berbahaya karena menggabungkan teknik pengelakan canggih, pencurian kredensial, dan kendali jarak jauh atas perangkat korban. Berdasarkan indikator kompromi (IoC) yang tersedia, saat ini tidak ada kecocokan pada endpoint pelanggan yang diperiksa.

Bagaimana penyebarannya

• Menggunakan halaman palsu bergaya captcha yang menipu pengguna agar menjalankan perintah lewat Windows Run (Win+R).

• Menyisipkan payload di installer alat populer (mis. VPN, utilitas disk, dan software pengindeks file) yang sudah dimodifikasi.

• Memakai rantai loader bertahap: skrip PowerShell terobfuskasi dilanjutkan loader berbasis .NET.

Teknik kunci yang dipakai

• “UAC prompt bombing”: membanjiri korban dengan prompt UAC agar menyetujui pengecualian berbahaya di Windows Defender serta mengacaukan sandbox analisis.

• Persistensi lewat modifikasi registry (Winlogon, RunOnce, Active Setup).

• “Module stomping” pada DLL Windows dan fingerprinting korban via query registry/API.

• Komunikasi C2 terenkripsi RC4; sebagian varian memakai lookup profil Steam untuk pengalihan C2 dinamis.

• Tersedia dalam varian C (fitur lengkap) dan Python (lebih ringan) namun tetap mampu membuat reverse shell dan mengeksekusi payload.

Apa yang dapat dilakukan NightshadeC2

• Reverse shell, unggah/unduh file, eksekusi program, dan peluncuran browser tersembunyi.

• Simulasi input jarak jauh, tangkapan layar, dan keylogging.

• Pencurian clipboard serta kredensial dari browser berbasis Gecko dan Chromium.

• Pembersihan diri (self-delete) pada beberapa varian.

Dampak bagi organisasi

• Pencurian data sensitif dan kredensial yang memicu penyusupan lebih luas.

• Persistensi dan kendali penyerang atas host yang terkompromi, berisiko pada gangguan operasional.

• Potensi eskalasi ke jaringan internal melalui teknik pengelakan dan pengendalian modular.

Saran mitigasi cepat

• Perketat kebijakan hak admin dan edukasi pengguna terhadap trik captcha palsu/ClickFix.

• Aktifkan dan kunci Tamper Protection Windows Defender; tinjau daftar pengecualian secara berkala.

• Terapkan kebijakan PowerShell constrained language mode, blok makro/skrip tak tepercaya, dan jalankan AppLocker/WDAC.

• Pantau perubahan registry pada kunci Winlogon/RunOnce/Active Setup serta munculnya prompt UAC berulang tak wajar.

• Batasi eksekusi installer dari sumber tidak tepercaya; gunakan EDR dengan deteksi perilaku dan pemantauan C2.

• Segmentasi jaringan dan pembatasan koneksi keluar ke domain/IP yang tidak dikenal.

Langkah respons insiden bila dicurigai terinfeksi

• Isolasi host, kumpulkan artefak (event logs, daftar proses, network connections), dan cek pengecualian Defender yang baru.

• Audit scheduled tasks/registry terkait persistensi; periksa penyimpanan kredensial browser.

• Rotasi kata sandi dan token yang terpapar; lakukan pemindaian menyeluruh melalui EDR/AV.

Status pemantauan

• Tidak ada kecocokan IoC yang ditemukan pada endpoint pelanggan saat ini.

Sumber

• SecurityOnline.info – laporan tentang NightshadeC2 dan teknik “UAC prompt bombing”.:https://securityonline.info/nightshadec2-a-new-botnet-is-using-uac-prompt-bombing-to-bypass-windows-defender/