Serangan siber sekarang tidak lagi sekadar mencuri username dan password. Saat ini, penjahat siber mulai memanfaatkan alat IT yang sah, seperti ConnectWise ScreenConnect, untuk mengambil alih perangkat korban tanpa izin.
Dalam kampanye phishing terbaru, para penyerang menargetkan banyak organisasi dari berbagai industri. Mereka menyamar sebagai layanan video conference terkenal, seperti Zoom dan Microsoft Teams, lalu membuat korban mengunduh software ScreenConnect yang sebenarnya adalah alat remote access. Begitu software terpasang, penjahat dapat mengontrol perangkat korban secara penuh.
Artikel ini merangkum temuan dari Threat Intelligence Report: Weaponizing Workplace Communications, menjelaskan bagaimana serangan terjadi, mengapa sangat berbahaya, dan langkah yang perlu dilakukan organisasi untuk melindungi diri.
1. Phishing yang Menyamar sebagai Undangan Meeting
Serangan ini dirancang dengan sangat rapi. Tujuannya adalah membuat korban percaya bahwa komunikasi yang diterima adalah bagian normal dari aktivitas kantor.
Tahap pertama dimulai dari email phishing yang tampak seperti undangan rapat. Email tersebut menggunakan:
-
Branding Zoom atau Microsoft Teams
-
Subjek yang relevan dan meyakinkan
-
Bahasa yang sederhana namun mendesak
Contohnya, undangan rapat bertema pajak: “Meeting Invite – 2024 Tax Organizer…” agar terlihat seperti komunikasi asli.
Email ini sering dikirim dari akun asli yang sudah diretas, sehingga semakin sulit terdeteksi sebagai spam.
Jika penerima klik tombol seperti “View Invitation”, mereka akan diarahkan ke situs palsu yang menyerupai halaman Zoom atau Teams.
2. Mengunduh ScreenConnect Secara Tidak Sadar
Di tahap berikutnya, korban dibawa ke situs palsu, yang biasanya di-hosting di platform seperti vercel.app. Halaman ini dibuat agar:
-
terlihat seperti halaman resmi Zoom,
-
memberikan pesan bahwa Zoom versi terbaru belum terinstal,
-
otomatis memulai unduhan file.
Korban kemudian diminta mengunduh file Zoom.ClientSetup.exe. Namun, file itu bukan Zoom—melainkan ScreenConnect, software remote management yang memberikan penyerang akses penuh ke perangkat korban.
Halaman phishing ini kemungkinan dibuat menggunakan alat AI seperti Vercel v0, yang dapat membuat tampilan website profesional hanya dari instruksi teks.
Selain itu, di beberapa kasus, penyerang langsung mengirimkan link sesi ScreenConnect. Jika korban sudah menginstal ScreenConnect sebelumnya (misalnya sebagai alat support IT), maka penyerang bisa langsung masuk ke perangkat mereka.
3. Akses Akun dan Penyebaran ke Korban Lain
Setelah ScreenConnect berhasil dipasang, penyerang dapat:
-
melihat seluruh file di komputer,
-
mengubah konfigurasi,
-
memasang malware tambahan,
-
mencuri data,
-
atau bergerak ke perangkat lain (lateral movement).
Salah satu taktik paling berbahaya adalah lateral phishing, yaitu mengirim email phishing ke rekan kerja dari akun korban yang sudah diretas.
Karena email berasal dari akun internal, banyak sistem keamanan tidak menganggapnya berbahaya.
Pesan phishing lanjutan biasanya berupa:
-
undangan rapat mendesak,
-
permintaan dokumen,
-
atau update file proyek penting.
Hal ini membuat pengguna lain semakin mudah tertipu.
4. Peran Dark Web dalam Penyebaran ScreenConnect
Penjahat siber kini dapat membeli paket ScreenConnect yang sudah dimodifikasi melalui dark web. Produk ini dijual seperti software biasa, lengkap dengan fitur:
-
bypass keamanan,
-
koneksi tersembunyi,
-
antarmuka admin,
-
kemampuan bertahan walau domain diblokir.
Paket terkenal seperti “ScreenConnect Revolution Pack V2.0” sangat populer di forum-forum kejahatan siber.
Tersedia juga layanan siap pakai, seperti:
-
ScreenConnect yang sudah di-hosting di VPS,
-
infrastruktur lengkap dengan sertifikat HTTPS,
-
sistem akses berbasis role.
Ini menunjukkan bahwa penyalahgunaan ScreenConnect sudah menjadi ekosistem kriminal yang matang, bukan sekadar serangan individu.
5. Siapa Saja yang Menjadi Target?
Menurut penelitian Abnormal Security, lebih dari 900 organisasi telah menjadi target.
Distribusi industrinya:
-
Pendidikan & organisasi keagamaan: 14,4%
-
Kesehatan & farmasi: 9,7%
-
Layanan keuangan: 9,4%
Tidak ada satu sektor yang mendominasi. Artinya, serangan ini menargetkan siapa saja, bukan sektor tertentu.
Secara geografis, kebanyakan target berada di:
-
Amerika Serikat
-
Kanada
-
Australia
-
Inggris
Namun serangan sifatnya global.
6. Mengatasi Penyalahgunaan Alat IT yang Dipercaya
Serangan ini menunjukkan bahwa ancaman modern sering kali menggunakan alat yang sah dan terpercaya, bukan malware mencurigakan. Untuk mengatasinya, organisasi perlu menerapkan beberapa langkah:
1. Gunakan Email Security Berbasis AI
Solusi modern dapat mendeteksi pola komunikasi abnormal yang tidak terlihat oleh sistem tradisional.
2. Perkuat Monitoring Endpoint
Pantau instalasi software remote access seperti ScreenConnect dan RMM lainnya.
3. Tingkatkan Kesadaran Keamanan
Latih karyawan agar paham bahwa:
-
undangan meeting bisa palsu,
-
software “resmi” yang diunduh dari email bisa berbahaya,
-
akun internal pun bisa disalahgunakan.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan abnormal indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi abnormal.ilogoindonesia.com untuk informasi lebih lanjut!