Pengguna selfie kini menghadapi ancaman yang tidak lagi sekadar soal privasi foto. Peneliti keamanan siber menemukan modus baru yang memanfaatkan layanan edit foto palsu untuk memancing korban menjalankan malware sendiri dan berujung pada pencurian data penting.
Temuan dari Huntress menunjukkan situs yang mengaku menawarkan jasa menghapus latar belakang foto selfie memakai taktik ClickFix. Situs seperti ini juga dipoles dengan manipulasi SEO agar muncul di urutan atas hasil pencarian dan lebih mudah menjaring korban.
Modusnya terlihat biasa, tetapi jebakannya ada di balik verifikasi
Alurnya dimulai saat pengguna mengunggah foto ke layanan tersebut. Setelah itu, korban diminta melakukan verifikasi bahwa dirinya manusia, padahal foto itu tidak diproses, tidak diunggah, dan tidak dibagikan.
Verifikasi itu dilakukan dengan membuka program Windows Run lalu menempelkan perintah dari clipboard. Tindakan ini membuat korban tanpa sadar menjalankan kode berbahaya di perangkatnya sendiri.
Malware masuk lewat langkah yang tampak sepele
Begitu perintah dijalankan, perangkat dapat terinfeksi CastelLoader. Malware ini dipakai untuk mengirimkan muatan tambahan dan menyebarkan malware tahap kedua.
Muatan lanjutan itu termasuk NetSupport RAT dan CastleStealer. NetSupport RAT merupakan trojan untuk menyerang sistem yang terinfeksi dari jarak jauh, sedangkan CastleStealer dirancang untuk mencuri kredensial peramban, data dompet kripto, token Discord, dan file sesi Telegram.
Ancaman menyasar pengguna yang ingin hasil instan
Modus ini memanfaatkan kebiasaan orang yang ingin hasil cepat saat mengedit foto selfie. Situs palsu tersebut terlihat meyakinkan karena memanfaatkan pencarian dan menawarkan layanan yang umum dipakai banyak pengguna.
Karena itu, risiko tidak hanya muncul saat pengguna membuka tautan, tetapi justru ketika mereka mengikuti instruksi verifikasi yang tampak rutin. Saat langkah itu dijalankan di perangkat, celah keamanan terbuka dan malware bisa masuk tanpa disadari.
Cara mengurangi risiko tertipu
Langkah utama adalah memastikan layanan yang dipakai benar-benar sah. Layanan yang kredibel tidak meminta pengguna membuktikan bukan bot dengan menjalankan aktivitas di perangkat seperti membuka Run dan menempelkan perintah.
Administrator juga dapat mematikan pintasan Win + R untuk Run agar peluang korban menjalankan kode berbahaya ikut berkurang. Di sisi pengguna, kewaspadaan perlu ditingkatkan ketika sebuah situs edit foto meminta tindakan yang tidak wajar, terutama jika permintaan itu keluar dari pola penggunaan layanan biasa.
