Kelompok peretas kenamaan yang diduga terkait dengan Korea Utara, Lazarus Group, kembali menunjukkan evolusi metode serangannya. Menurut laporan terbaru, mereka kini menggunakan teknik social engineering yang semakin populer, yaitu 'ClickFix', untuk mendistribusikan malware dan mencuri data intelijen dari berbagai organisasi yang menjadi target.

Peneliti keamanan siber yang melacak kelompok ini dengan nama sandi APT-Q-1, mengidentifikasi adanya adaptasi luar biasa dari Lazarus. Mereka kini memadukan manipulasi antarmuka pengguna (UI) yang menipu dengan operasi spionase tradisional. Teknik ClickFix adalah pendekatan social engineering canggih di mana peretas menampilkan masalah teknis palsu kepada korban, lalu memandu mereka melalui "perbaikan" yang tampak sah, namun sebenarnya menjalankan kode berbahaya.

Lazarus telah mempersenjatai metode ini dalam infrastruktur kampanye rekrutmen palsu mereka. Modus ini menciptakan vektor serangan berlapis yang menggabungkan umpan berupa lowongan pekerjaan dengan tipuan teknis. Analis keamanan menemukan kampanye ini melalui skrip berbahaya yang mengunduh paket perangkat lunak NVIDIA palsu, yang kemudian menyebarkan malware pencuri informasi andalan mereka, BeaverTail.

Rantai serangan dimulai ketika korban terpikat untuk mengunjungi situs web wawancara kerja palsu. Di sana, mereka diminta untuk menyiapkan lingkungan wawancara. Pada tahap ini, situs akan mengklaim adanya masalah konfigurasi kamera yang harus segera diselesaikan.

Baca Juga: Ancaman Siber Global: Ransomware Berkembang Menjadi Bisnis Kriminal Bernilai Miliaran Dolar

Korban kemudian disajikan dengan perintah yang terlihat seperti pembaruan driver NVIDIA asli. Namun, di balik tampilan tersebut, muatan berbahaya dijalankan. Vektor infeksi utama memanfaatkan perintah PowerShell untuk mengunduh dan mengekstrak arsip ZIP dari infrastruktur peretas.

Analisis terbaru mengungkapkan bahwa Lazarus kini memperluas operasinya untuk menargetkan platform Windows dan macOS. Ini menunjukkan kapabilitas lintas platform yang mereka miliki, dengan muatan yang disesuaikan untuk arsitektur sistem operasi yang berbeda. Varian Windows fokus pada lingkungan perusahaan melalui mekanisme Node.js, sementara versi macOS menggunakan skrip shell yang dirancang untuk prosesor Apple Silicon dan Intel.

Paket utama malware, yang didistribusikan sebagai "nvidiaRelease[.]zip," berisi banyak komponen yang dirancang untuk kompatibilitas lintas platform dan akses jangka panjang. Skrip awal mengunduh paket berbahaya, yang kemudian mengekstrak dan menjalankan skrip lain untuk mengumpulkan informasi sistem. Untuk sistem Windows 11, skrip tersebut juga menjalankan drvUpdate[.]exe, sebuah backdoor canggih yang mampu melakukan eksekusi perintah dari jarak jauh dan manipulasi file.

Malware ini juga memastikan keberadaannya tetap persisten di sistem korban. Ia memodifikasi registry Windows dengan menambahkan entri yang memastikan malware terus berjalan setiap kali sistem dinyalakan ulang. Komponen BeaverTail sendiri berkomunikasi dengan infrastruktur command-and-control (C2) yang berbeda, menunjukkan redundansi untuk menjaga akses ke sistem yang sudah disusupi.

Evolusi metode serangan Lazarus ini menjadi peringatan keras bagi perusahaan dan individu agar selalu waspada, terutama terhadap taktik social engineering yang semakin cerdik dan sulit dideteksi.