Peneliti keamanan dari Unit 42 (Palo Alto Networks) memperingatkan dunia tentang kampanye besar-besaran yang menyusupi ratusan ribu situs sah dengan JavaScript berbahaya. Teknik penyusupan ini sangat sulit dianalisis karena menggunakan gaya obfuscation ekstrem yang dikenal dengan nama JSFuck, kini dijuluki JSFireTruck oleh para peneliti.
Kenapa namanya ‘FireTruck’? Karena kodenya “kasar”—secara harfiah dan teknis. Ia hanya menggunakan karakter aneh seperti [ ] + $ { } untuk menyamarkan niat jahatnya.
Bagaimana Cara Kerjanya?
Setelah tersemat di situs korban, skrip ini akan memeriksa referrer—alamat asal kunjungan pengguna. Jika pengguna datang dari mesin pencari seperti Google, Bing, atau DuckDuckGo, maka mereka akan dialihkan secara otomatis ke situs berbahaya yang berisi:
- Malware
- Iklan berbahaya (malvertising)
- Eksploitasi sistem
- Situs monetisasi lalu lintas mencurigakan
Dalam periode 26 Maret – 25 April 2025 saja, lebih dari 269.000 halaman web sudah terinfeksi. Rekor tertinggi terjadi pada 12 April, dengan 50.000+ halaman terinfeksi hanya dalam sehari.
Serangan Lanjutan: HelloTDS dan CAPTCHA Palsu
Tak berhenti di situ, para peneliti dari Gen Digital juga mengungkap sistem penipuan baru yang dikenal dengan nama HelloTDS — semacam pusat distribusi lalu lintas (Traffic Distribution Service) untuk mengarahkan pengguna ke:
- CAPTCHA palsu yang menjalankan skrip jahat
- Penipuan dukungan teknis (tech support scam)
- Pembaruan browser palsu
- Pengaya browser tidak diinginkan
- Penipuan kripto
Serangan ini terlihat sah, namun sepenuhnya dirancang untuk menjebak korban berdasarkan profil perangkat dan lokasi mereka. Dengan kata lain, mereka memilih korbannya dengan cermat.
“Kalau kamu menggunakan VPN atau browser bot, kamu aman. Tapi jika kamu pengguna biasa? Kamu target utama,” kata peneliti Vojtěch Krejsa.
Malware di Balik CAPTCHA: PEAKLIGHT
HelloTDS memanfaatkan CAPTCHA palsu untuk memicu teknik ClickFix, yang membuat pengguna tanpa sadar menjalankan skrip malware PEAKLIGHT, loader berbahaya yang bisa mengunduh stealer seperti Lumma untuk mencuri data pribadi kamu.
Kenapa Ini Penting?
Serangan ini sangat berbahaya karena menyusup di balik situs yang seharusnya aman, bukan situs gelap atau mencurigakan. Bahkan Google dan Bing bisa jadi gerbang masuk ke perangkap siber ini. Menurut Unit 42, skalanya yang besar dan tekniknya yang rumit menunjukkan ini adalah kampanye terkoordinasi oleh pelaku profesional, bukan serangan acak.
Tips Perlindungan:
- Selalu perbarui browser dan antivirus
- Jangan pernah mengklik CAPTCHA atau pop-up aneh
- Hindari situs streaming/file-sharing tidak terpercaya
- Gunakan ekstensi browser yang memblokir skrip asing
- Cek kembali URL yang muncul saat diarahkan ke situs baru