Ancaman baru kini muncul dari layanan edit foto selfie yang terlihat biasa. Bukan hanya soal privasi, situs palsu semacam ini bisa mendorong korban menjalankan malware di perangkatnya sendiri.
Peneliti keamanan siber dari Huntress menemukan modus yang memakai taktik ClickFix pada situs yang mengaku bisa menghapus latar belakang foto selfie. Agar lebih mudah ditemukan, halaman penipuan itu juga dipoles dengan manipulasi SEO sehingga tampil di urutan atas hasil pencarian.
Yang membuat skema ini berbahaya adalah tampilannya yang sangat meyakinkan. Banyak orang datang dengan niat sederhana, yaitu ingin mengedit foto dengan cepat dan praktis, lalu tanpa sadar masuk ke alur yang justru membuka jalan bagi pencurian data penting.
Verifikasi yang berubah menjadi jebakan
Di awal, korban biasanya diminta mengunggah foto dan melakukan verifikasi bahwa dirinya manusia. Permintaan itu terlihat wajar, tetapi foto sebenarnya tidak diproses, tidak diunggah, dan tidak dibagikan.
Titik berbahayanya muncul saat situs meminta pengguna menjalankan langkah verifikasi tertentu di perangkat. Dalam skema ini, verifikasi dilakukan lewat Windows Run, lalu korban diminta menempelkan perintah dari clipboard.
Langkah tersebut menjadi masalah karena perintah berbahaya dieksekusi langsung di perangkat sendiri. Alih-alih sekadar memastikan pengguna bukan bot, instruksi itu justru membuka pintu masuk bagi malware.
Malware masuk setelah perintah dijalankan
Begitu perintah dijalankan, perangkat dapat terinfeksi CastelLoader. Malware ini berfungsi mengirimkan muatan tambahan dan menyebarkan malware tahap kedua.
Muatan lanjutan yang ditemukan mencakup NetSupport RAT dan CastleStealer. NetSupport RAT dipakai untuk menyerang sistem terinfeksi dari jarak jauh, sedangkan CastleStealer dirancang mencuri kredensial peramban, data dompet kripto, token Discord, dan file sesi Telegram.
Rangkaian serangan ini menunjukkan bahwa ancamannya tidak berhenti pada satu tindakan kecil. Data yang dicuri dapat dimanfaatkan untuk mengambil alih akun dan akses digital lain yang tersambung ke perangkat korban.
Mengapa banyak korban mudah tertipu
Salah satu alasan modus ini efektif adalah karena ia menumpang pada layanan yang memang sering dipakai banyak orang. Saat situs terlihat familiar dan hasil pencarian menampilkan halaman itu di posisi atas, pengguna cenderung menganggapnya aman.
Skema ini juga memanfaatkan kebiasaan orang mengikuti instruksi layanan online tanpa banyak curiga. Ketika sebuah situs meminta langkah yang tampak teknis, korban bisa saja mengira itu prosedur normal dan melanjutkannya begitu saja.
Risiko terbesar justru muncul saat permintaan verifikasi terasa rutin tetapi tidak biasa dalam praktiknya. Pada momen itulah instruksi berbahaya dijalankan dan perangkat mulai terancam.
Langkah aman yang perlu diperhatikan
Penting untuk memastikan layanan yang digunakan benar-benar sah sebelum mengunggah foto. Layanan yang kredibel tidak meminta pengguna membuktikan bukan bot dengan membuka Run lalu menempelkan perintah di perangkat.
Administrator juga dapat mematikan pintasan Win + R untuk Run agar peluang korban menjalankan kode berbahaya ikut berkurang. Sementara itu, pengguna perlu lebih waspada jika situs edit foto meminta tindakan yang tidak sesuai pola layanan biasa.
Modus seperti ini menunjukkan bahwa layanan harian yang tampak sepele pun bisa dipakai sebagai pintu serangan. Karena itu, permintaan verifikasi yang aneh di situs edit foto sebaiknya diperlakukan sebagai sinyal bahaya, bukan sekadar langkah teknis biasa.
