Peringatan Ancaman

SolyxImmortal adalah infostealer baru yang sedang aktif menyerang pengguna internet secara global, termasuk di Indonesia. Malware ini dirancang untuk mencuri data sensitif seperti kredensial login, cookie browser, token otentikasi, dan informasi kartu kredit dari sistem yang terinfeksi. SolyxImmortal sering didistribusikan melalui bundel perangkat lunak bajakan atau crack yang diunduh dari situs ilegal, menjadikannya ancaman serius bagi pengguna yang mengandalkan software tidak resmi. Serangan ini mengeksploitasi kepercayaan pengguna terhadap alat yang tampak sah, sehingga memungkinkan infostealer beroperasi tanpa terdeteksi dalam waktu lama.

Analisis menunjukkan bahwa SolyxImmortal menggunakan teknik pengemasan (packing) dan enkripsi untuk menghindari deteksi antivirus konvensional. Setelah berhasil dieksekusi, malware ini melakukan exfiltrasi data ke server komando dan kendali (C2) yang dikendalikan penyerang. Infostealer ini juga mampu memanfaatkan persistensi sistem dan menjalankan proses latar belakang, membuatnya sulit diidentifikasi dan dihapus secara manual.

Bagaimana Modus Serangannya?

• Penyerang menyebarkan SolyxImmortal melalui file installer bajakan (cracked software) yang diunggah ke forum, situs torrent, atau repositori ilegal.
• - Ketika pengguna menjalankan file tersebut, malware dieksekusi bersamaan dengan program utama yang diinginkan.
• - Malware melakukan unpacking dan dekripsi payload di memori untuk menghindari analisis statis.
• - SolyxImmortal memindai sistem untuk mencari data sensitif dari browser (Chrome, Edge, Firefox), aplikasi perpesanan, dan aplikasi keuangan.
• - Data yang dicuri dikumpulkan dan dikirim ke server C2 melalui protokol HTTPS terenkripsi.
• - Malware menetapkan mekanisme persistensi melalui registri Windows atau tugas terjadwal (scheduled tasks).

Mengapa Sulit Dibedakan dari yang Asli?

• File installer sering dikemas dengan ikon dan nama yang identik dengan perangkat lunak legal, meniru tampilan aslinya.
• - Beberapa varian menggunakan digital signature palsu atau sertifikat yang dicuri untuk memberikan kesan legitimasi.
• - Proses eksekusi awal mungkin menampilkan antarmuka normal dari software yang di-crack, sehingga pengguna tidak menyadari infeksi.
• - Malware berjalan secara siluman (stealth) tanpa menampilkan aktivitas mencurigakan di task manager.

Tujuan dan Teknik yang Digunakan

• Tujuan utama adalah pencurian data (data theft) untuk eksploitasi lebih lanjut seperti pencurian identitas, penipuan keuangan, atau akses tidak sah ke akun korporat.
• - Menggunakan teknik T1566 - Phishing dan T1193 - Spearphishing Attachment dari kerangka MITRE ATT&CK.
• - Menerapkan T1071.001 - Application Layer Protocol: Web Protocols untuk mengirim data curian.
• - Mengandalkan T1027 - Obfuscated Files or Information untuk menyembunyikan payload.
• - Menjalankan T1547.001 - Registry Run Keys / Startup Folder untuk persistensi.
• - Melakukan T1005 - Data from Local System dan T1081 - Credentials in Files untuk ekstraksi informasi sensitif.

Rekomendasi untuk Pengguna dan Organisasi

• Hindari mengunduh atau menginstal perangkat lunak dari sumber tidak resmi atau situs ilegal.
• - Gunakan solusi keamanan endpoint yang mendukung deteksi perilaku (behavioral detection) dan analisis heuristik.
• - Aktifkan kontrol aplikasi (application control) untuk membatasi eksekusi file dari direktori tidak sah.
• - Lakukan pemindaian reguler terhadap sistem untuk mendeteksi indikator kompromi (IoCs).
• - Terapkan prinsip least privilege dan non-admin rights untuk pengguna harian.
• - Gunakan autentikasi multi-faktor (MFA) untuk melindungi akun penting, sehingga bahkan jika kredensial dicuri, akses tetap terbatas.
• - Edukasi pengguna tentang risiko penggunaan software bajakan dan teknik social engineering.

SolyxImmortal menunjukkan tren peningkatan dalam serangan berbasis infostealer yang memanfaatkan perilaku pengguna. Ancaman ini menggarisbawahi pentingnya kesadaran keamanan digital dan penerapan kontrol teknis yang ketat, terutama di lingkungan yang rentan terhadap penggunaan perangkat lunak tidak resmi.

Sumber referensi:

https://www.trendmicro.com/en_us/research/26/i/solyximmortal-infostealer-distributed-via-cracked-software.html