Malware RAT Melalui Windows Explorer Membahayakan Kripto

Cofense Intelligence mengungkap bagaimana aktor ancaman menyalahgunakan Windows File Explorer dan server WebDAV untuk melewati keamanan browser dan mendorong RAT ke target perusahaan.

Aktor ancaman telah menemukan cara untuk mengirim malware langsung ke mesin perusahaan tanpa melalui browser sama sekali. Cofense Intelligence merilis temuan pada 25 Februari 2026, mengungkapkan kampanye aktif yang memanfaatkan kemampuan bawaan Windows File Explorer untuk terhubung ke server WebDAV jarak jauh. Taktik ini sepenuhnya menghindari peringatan unduhan browser standar. Kebanyakan pengguna tidak menyadari bahwa File Explorer dapat mengakses server internet.

WebDAV adalah protokol pengelolaan file berbasis HTTP yang sudah lama ada. Saat ini sedikit orang yang menggunakannya. Tapi Windows tetap mendukungnya secara native di dalam File Explorer, meskipun Microsoft menghentikan fitur ini pada November 2023. Celah antara penghentian dan penghapusan penuh inilah yang dilalui para penyerang.

Ketika Folder Tidak Benar-Benar Folder

Menurut laporan Cofense Intelligence, volume kampanye pertama kali muncul pada Februari 2024, kemudian melonjak tajam pada September 2024. Sejak saat itu, kampanye tetap aktif. Serangan tidak melambat. 87 persen dari semua Laporan Ancaman Aktif yang terkait dengan taktik ini menyampaikan beberapa trojan akses jarak jauh sebagai payload akhir. XWorm RAT, Async RAT, dan DcRAT paling sering muncul.

Wajib Baca: Pelanggaran Keamanan Crypto: Peretasan Januari Total Rp86 Miliar, Phishing Melonjak

Bagaimana Serangan Benar-Benar Berjalan

Korban menerima email phishing, sering disamarkan sebagai faktur dalam bahasa Jerman. Email tersebut membawa file shortcut URL (.url) atau file shortcut LNK (.lnk). Keduanya dapat secara diam-diam membuka koneksi WebDAV di dalam File Explorer. Pengguna melihat apa yang tampak seperti folder lokal. Tapi sebenarnya tidak.

Yang membuat ini sangat merugikan adalah rantai yang mengikuti. Skrip menarik skrip tambahan dari server WebDAV terpisah. File yang sah bercampur dengan file berbahaya untuk mengaburkan deteksi. Saat RAT akhirnya terpasang, jalur pengiriman telah melewati beberapa lapisan obfuscation. Alat keamanan yang memindai unduhan browser melewatkan seluruh rangkaian ini.

Laporan Cofense mencatat bahwa 50% dari semua kampanye yang terpengaruh berbahasa Jerman. Kampanye berbahasa Inggris menyumbang 30%. Sisanya adalah Italia dan Spanyol. Pembagian ini langsung mengarah ke akun email perusahaan Eropa sebagai target utama.

Anda Mungkin Juga Tertarik: npm Worm Curi Kunci Kripto, Target 19 Paket

Cloudflare Tunnel melakukan pekerjaan berat bagi para penyerang di sini. Semua ATR yang terkait dengan taktik ini menggunakan akun demo gratis di trycloudflare[.]com untuk menghosting server WebDAV berbahaya. Infrastruktur Cloudflare mengarahkan koneksi korban. Ini membuat lalu lintas tampak sah saat pemeriksaan pertama. Akun demo ini dirancang untuk sementara, sehingga aktor ancaman dapat menghapusnya dengan cepat setelah kampanye aktif, memotong analisis forensik.

Mengapa Pemilik Kripto Menghadapi Risiko Serius

Di sinilah bahaya bagi siapa saja yang memegang aset digital. RAT seperti XWorm dan Async RAT memberi penyerang akses jarak jauh yang permanen ke mesin yang terinfeksi. Itu berarti isi clipboard, sesi browser, kata sandi yang disimpan, dan file dompet kripto semuanya dalam jangkauan. Peretasan clipboard, metode yang sudah dikaitkan dengan pencurian kripto ratusan juta dolar, menjadi sangat mudah setelah RAT berjalan.

Kerugian phishing saja melebihi Rp4,5 triliun pada Januari 2026, menurut data pelacakan keamanan. Angka ini jauh melampaui kerugian dari peretasan protokol dalam periode yang sama. Metode serangan yang didokumentasikan Cofense langsung masuk ke jalur tersebut. Menjatuhkan RAT melalui WebDAV di mesin karyawan tim keuangan bukan hanya masalah TI perusahaan. Ini adalah jalur langsung ke dompet yang dikuras dan kunci yang dicuri.

Juga Perlu Diketahui: Semakin Meningkatnya Ancaman, Keamanan Dompet Kripto Akan Menjadi Prioritas Utama di 2026

Apa yang Perlu Dilakukan Organisasi Sekarang

Laporan Cofense merekomendasikan pencarian lalu lintas jaringan ke instance demo Cloudflare Tunnel secara khusus. Alat EDR dengan analisis perilaku harus menandai file .URL dan .LNK yang menghubungi server jarak jauh. Solusi yang lebih sulit adalah edukasi pengguna. Kebanyakan orang tidak tahu bahwa bilah alamat File Explorer berfungsi seperti browser.

Memeriksanya dengan cara yang sama seperti memeriksa URL mencurigakan adalah garis pertahanan pertama. Penyalahgunaan serupa juga mungkin melalui FTP dan SMB. Kedua protokol ini digunakan secara rutin di perusahaan, dan keduanya dapat mengakses server eksternal. Permukaan serangan yang didokumentasikan Cofense lebih luas dari sekadar WebDAV.

Terkait: Peretasan dan Insiden Keamanan di 2025: Tahun yang Mengungkap Kelemahan Terlemah Crypto

Penjelasan teknis lengkap, termasuk tabel IOC dan contoh domain Cloudflare Tunnel yang terkait dengan laporan ancaman aktif tertentu, tersedia dalam laporan Cofense Intelligence yang diterbitkan di cofense.com.