Ribuan komputer di lebih dari 100 negara terjangkit malware akibat serangan supply-chain yang menyusup ke pembaruan resmi aplikasi Daemon Tools. Peneliti keamanan Kaspersky menemukan peretas berhasil menyisipkan backdoor ke dalam installer yang ditandatangani sertifikat digital resmi sejak 8 April lalu. Insiden ini menjadi alarm keras bagi pengguna di Indonesia yang masih mengandalkan perangkat lunak disk imaging populer tersebut.
Kabar buruk menimpa jutaan pengguna setia Daemon Tools. Aplikasi yang melegenda sebagai alat mounting disk image ini baru saja dilaporkan menjadi sarana penyebaran malware melalui skema serangan supply-chain yang sangat rapi. Selama satu bulan terakhir, server resmi pengembang Daemon Tools justru mengirimkan pembaruan berbahaya kepada penggunanya.
Laporan terbaru dari firma keamanan Kaspersky mengungkapkan bahwa serangan ini dimulai pada 8 April 2024 dan masih aktif saat temuan ini dipublikasikan. Peretas tidak meretas komputer pengguna secara langsung, melainkan menyusup ke infrastruktur pengembang untuk memodifikasi file instalasi resmi. Dampaknya, pengguna yang mengunduh aplikasi dari situs resmi tetap akan terinfeksi.
Sertifikat Digital Resmi Jadi Senjata Makan Tuan
Hal yang membuat serangan ini sangat berbahaya adalah penggunaan sertifikat digital resmi milik pengembang, AVB. Secara teknis, sistem operasi Windows akan menganggap aplikasi tersebut aman karena memiliki "tanda tangan" valid dari vendor yang terpercaya. Begitu terpasang, file eksekusi Daemon Tools yang telah dimodifikasi akan menjalankan payload berbahaya setiap kali komputer melakukan booting.
Berdasarkan analisis teknis, serangan ini tampaknya hanya menargetkan pengguna sistem operasi Windows. Malware yang disisipkan bekerja secara senyap untuk mengumpulkan informasi sensitif dari mesin korban tanpa memicu kecurigaan. Data yang diambil meliputi alamat MAC, hostname, nama domain DNS, daftar proses yang sedang berjalan, hingga lokasi sistem pengguna.
Kaspersky mengidentifikasi bahwa versi aplikasi yang terdampak adalah versi 12.5.0.2421 hingga 12.5.0.2434. Pengguna yang merasa telah memasang atau memperbarui aplikasi dalam rentang waktu tersebut sangat disarankan untuk segera melakukan pemindaian menyeluruh atau menghapus aplikasi tersebut sementara waktu.
Bukan Sekadar Infeksi Massal, Ada Target Spesifik
Meski ribuan mesin di 100 negara terinfeksi, data menunjukkan bahwa serangan ini memiliki agenda yang lebih besar daripada sekadar pencurian data massal. Dari ribuan korban, terdapat sekitar 12 organisasi terpilih yang menerima payload tahap kedua yang lebih destruktif. Target spesifik ini mencakup sektor ritel, lembaga penelitian ilmiah, organisasi pemerintah, hingga industri manufaktur.
Metode ini menunjukkan pola serangan spionase tingkat tinggi. Peretas menggunakan infeksi massal sebagai saringan untuk menemukan target yang benar-benar bernilai tinggi. Begitu target yang diinginkan ditemukan, mereka akan mengirimkan perintah tambahan untuk melakukan eksploitasi lebih dalam ke jaringan internal organisasi tersebut.
Langkah Mitigasi bagi Pengguna di Indonesia
Bagi pengguna di Indonesia, terutama di lingkungan korporat atau instansi pemerintah yang masih sering menggunakan Daemon Tools untuk mengelola file ISO, langkah pencegahan harus segera diambil. Mengingat serangan ini memanfaatkan jalur distribusi resmi, mengandalkan reputasi situs web saja tidak lagi cukup untuk menjamin keamanan perangkat lunak.
- Periksa versi Daemon Tools yang terpasang melalui menu 'About' atau Control Panel.
- Jika berada pada versi 12.5.0.2421 hingga 12.5.0.2434, segera putuskan koneksi internet dan lakukan pencopotan aplikasi.
- Gunakan perangkat lunak antivirus dengan basis data terbaru untuk membersihkan sisa-sisa backdoor yang mungkin tertinggal di registri Windows.
- Pertimbangkan untuk menggunakan fitur bawaan Windows 10 atau 11 yang kini sudah bisa melakukan mount file ISO secara native tanpa aplikasi pihak ketiga.
Hingga saat ini, pihak pengembang AVB belum memberikan pernyataan resmi terkait bagaimana infrastruktur mereka bisa ditembus. Insiden ini menambah panjang daftar serangan supply-chain yang sebelumnya juga pernah melumpuhkan perusahaan teknologi besar seperti SolarWinds dan CCleaner.
