Beranda / Cyber Security

Trojan Infection Case Study: JavaScript-Based Attack and PowerShell Exploitation


Pada hari sebelumnya, saya menerima laporan adanya aktivitas tidak normal pada perangkat user setelah membuka email yang berisi file lampiran.

User menginformasikan bahwa file tersebut langsung menjalankan sesuatu tanpa ada tampilan jelas. Berdasarkan indikasi awal, saya menduga adanya eksekusi script berbahaya.

2. Proses Analisa Teknis

Saya langsung melakukan investigasi menggunakan PowerShell untuk melihat proses dan indikasi persistence.

2.1 Identifikasi Startup Mencurigakan

Saya menjalankan pengecekan startup:

  • Get-CimInstance Win32_StartupCommand | Select Name, Command

Ditemukan entry mencurigakan berupa file dengan nama acak seperti:

  • SystemUpdate_Y1m2SQ2MfdGf_XXXXX.lnk

File tersebut mengarah ke eksekusi PowerShell dengan parameter:

  • -ExecutionPolicy Bypass
  • -WindowStyle Hidden

Ini merupakan teknik umum malware untuk menjalankan script tanpa terdeteksi user.

2.2 Analisa Proses Berjalan

Dilakukan pengecekan proses aktif untuk memastikan adanya eksekusi PowerShell tersembunyi:

  • Identifikasi proses PowerShell abnormal
  • Validasi path eksekusi script di direktori temporary (C:\Temp\)

Ditemukan script mencurigakan dengan pola nama acak yang mengindikasikan payload trojan.

2.3 Indikasi Aktivitas Malware

Dari analisa, malware memiliki karakteristik:

  • Menggunakan JavaScript sebagai initial trigger
  • Menjalankan PowerShell secara silent
  • Mengarah ke pengambilan data seperti:
    • Kredensial browser
    • Akses file sharing
    • Data email

3. Langkah Penanganan (Clean Trojan)

Setelah validasi ancaman, saya langsung melakukan langkah pembersihan terstruktur sebagai berikut:

3.1 Remove Persistence (Startup Cleanup)

Menghapus file startup berbahaya:

  • Menghapus file .lnk pada folder startup:
    • %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\
  • Command yang digunakan:
    • Remove-Item <path_file> -Force

Tujuannya untuk menghentikan eksekusi otomatis saat booting.

3.2 Remove Malicious Script

Menghapus file payload utama:

  • Menghapus file JavaScript (.js)
  • Menghapus file PowerShell di directory:
    • C:\Temp\

Ini penting untuk memastikan tidak ada script yang bisa dijalankan ulang.

3.3 Kill Malicious Process

Menghentikan proses PowerShell yang berjalan:

  • Identifikasi PID proses mencurigakan
  • Terminasi proses tersebut untuk menghentikan aktivitas malware secara langsung

3.4 System Scanning

Melakukan scanning menyeluruh menggunakan antivirus untuk memastikan:

  • Tidak ada file tersisa
  • Tidak ada malware lain yang ikut terinstall

3.5 Clear Browser Data

Karena malware berpotensi mengambil data browser, dilakukan:

  • Hapus cache dan cookies
  • Hapus saved password
  • Reset browser ke default

3.6 Credential Reset

Sebagai langkah mitigasi lanjutan:

  • Mengganti seluruh password akun:
    • Email
    • Sistem internal
    • Akses lainnya
  • Logout dari semua device aktif

4. Validasi Akhir

Setelah proses pembersihan:

  • Tidak ditemukan lagi startup mencurigakan
  • Tidak ada proses PowerShell abnormal
  • Tidak ada koneksi mencurigakan di jaringan
  • Sistem kembali normal

5. Hasil Penanganan

Insiden berhasil ditangani dengan cepat tanpa adanya penyebaran lebih lanjut. Seluruh potensi ancaman telah dihapus dan sistem sudah dalam kondisi aman.

6. Pembelajaran dan Pencegahan

Sebagai langkah preventif ke depan, saya menekankan:

  • Tidak membuka file dari email yang tidak dikenal
  • Waspada terhadap file dengan ekstensi .js
  • Membatasi penggunaan PowerShell dengan policy yang lebih ketat
  • Menggunakan proteksi tambahan seperti antivirus dan monitoring

7. Kesimpulan

Insiden ini menunjukkan pola serangan yang memanfaatkan kombinasi JavaScript dan PowerShell untuk menjalankan trojan secara tersembunyi.

Dengan pendekatan analisa yang tepat dan langkah pembersihan yang sistematis, ancaman dapat diidentifikasi dan dihilangkan tanpa dampak yang lebih luas terhadap sistem.

Selalu berhati-hati dalam setiap aktivitas digital. Jangan membuka atau menjalankan file jika Anda tidak mengetahui dengan jelas isi dan sumbernya. Luangkan waktu untuk membaca setiap informasi hingga selesai sebelum mengambil tindakan. 

Jangan asal klik karena "Penasaran".

Perhatikan dengan teliti setiap detail dari email atau pesan yang diterima, termasuk pengirim, isi pesan, serta jenis file yang dilampirkan. Kewaspadaan sederhana dapat menjadi langkah utama dalam mencegah terjadinya insiden keamanan.

Keamanan sistem tidak hanya bergantung pada teknologi, tetapi juga pada kesadaran dan ketelitian setiap pengguna.