Trojan perbankan terus berkembang dengan cepat, memengaruhi organisasi perbankan besar di seluruh dunia. Kami telah melihat peningkatan malware yang menggunakan secureserver[.]net untuk menargetkan wilayah berbahasa Spanyol dan Portugis, terutama di lembaga keuangan Amerika Latin. Selain itu, para peretas juga menargetkan negara-negara Eropa berbahasa Spanyol dan Portugis serta wilayah lain di dunia.
Penyebaran Melalui secureserver[.]net
Kampanye ini menyebar melalui URL secureserver[.]net, yang merupakan situs hosting dan juga penyedia layanan pendaftaran nama domain serta hosting web secara global. Dalam penelitian kami di X-Labs, kami mengamati bahwa domain ini sering disalahgunakan untuk menghosting konten berbahaya.
Akses Awal
(Fig. 1 dan 2 – Akses Awal)
Email yang dikirim berisi URL tersembunyi yang dihosting di secureserver[.]net dengan pola:
https:\/\/\d{2,3}\.\d{2,3}\.\d{2,3}\.\d{2,3}\.host\.secureserver\.net
Jika URL ini diakses dari luar wilayah Amerika Utara dan Selatan, halaman yang tampil biasanya kosong atau dialihkan ke halaman bersih (tidak berbahaya). Namun saat diuji dari Portugal, URL ini mengunduh file arsip yang berisi file .hta dengan teknik obfuscation (penyamaran kode).
File HTA
File .hta ini mengandung URL berbahaya:
198.148.167.72.secureserver[.]net/OQQst11/gV7Pus771.js
(Fig. 3 – File HTA)
Kode JavaScript
Kode JS di dalamnya mengarah ke URL lain:
198.148.167.72.host.secureserver[.]net/VFb51.vbs
URL ini memuat file VBS tahap pertama.
(Fig. 4 – Kode JavaScript)
Tahap Pertama – Kode VBS
Script VBS pertama menyalin dirinya ke C:\Public dengan nama acak, lalu dijalankan menggunakan perintah shell. Script ini kemudian mengakses URL tambahan untuk melanjutkan eksekusi.
(Fig. 5 – Kode VBS Tahap Pertama)
Tahap Kedua – Kode VBS Lanjutan
Script selanjutnya mengakses:
198.148.167[.]72.host.secureserver.net/g1
dan mengunduh JavaScript yang telah diobfuskasi.
(Fig. 6 – Kode VBS Tahap Kedua)
JavaScript Obfuscated (Disamarkan)
Script JS yang diunduh ditulis khusus agar bisa dijalankan di browser. Setelah dideobfuskasi, terlihat bahwa script melakukan beberapa pemeriksaan sebelum menjatuhkan payload:
-
Pemeriksaan antivirus
-
Pemeriksaan virtual machine (VM)
-
Pemeriksaan sistem operasi dan BIOS
(Fig. 7 – JavaScript Obfuscated)
(Fig. 8-11 – Pemeriksaan Antivirus, VM, OS, BIOS, dan Bahasa)
AutoIt dan Eksekusi Payload
Jika semua kriteria di atas terpenuhi, malware:
-
Membuat folder di
HOMEDRIVE -
Mengunduh file eksekusi AutoIt dan script terenkripsi
-
Membuat shortcut ke folder di direktori Startup, agar bisa berjalan otomatis saat sistem dinyalakan
URL yang diakses untuk mengunduh file:
-
hxxps://45[.]40.96.231/AutoIt3→ script AutoIt -
hxxps://45[.]40.96.231/AutoIt3.exe→ executable AutoIt -
hxxps://45[.]40.96.231/jama1crt→ file dependensi berbahaya
(Fig. 12 – File AutoIt)
(Fig. 13 – Shortcut Startup)
AutoIt Script (Dekode dan Analisis)
Script yang telah didekode memiliki banyak logika kompleks, terutama untuk injeksi proses ke dalam memori. Salah satu bagian penting dari script menunjukkan bahwa script menyuntikkan kode ke file executable PE (Portable Executable), menggunakan header 0x4D5A, dan melakukan konversi BinaryToString untuk memuat DLL ke dalam memori serta menjalankan fungsi export-nya.
(Fig. 14 – Header Script AutoIt)
(Fig. 15 – Script Dekode)
Memory Dump dan Injeksi Lanjutan
Setelah script AutoIt dan dependensinya dijalankan, malware menghasilkan file memory dump. Analisis statis menunjukkan bahwa dump ini mengandung file AutoIt lain yang melakukan injeksi lanjutan ke memori menggunakan teknik seperti:
-
ALLOCATEEXESPACE -
UNMAPVIEWSECTION -
ALLOCATEEXESPACEATADDRESS
Malware akhirnya menyuntikkan kode berbahaya ke proses sistem Microsoft yang sah: mobsync.exe.
(Fig. 16-18 – Memory Dump & Injeksi ke mobsync.exe)
Perilaku Penting Malware:
-
Memeriksa bahasa sistem dan lokasi
-
Menambahkan informasi prosesor ke registry untuk mendeteksi sandbox
-
Mengumpulkan informasi sistem
Setelah injeksi berhasil, malware akan terhubung ke server Command-and-Control (C2) dan mengirimkan data sensitif seperti:
-
Nama komputer
-
Informasi sistem
-
Pengguna dan hak admin
-
Dan data penting lainnya
Kesimpulan
Malware ini disebarkan melalui URL yang diatur secara geo-fencing (berbasis lokasi), yang disematkan dalam email. Tujuan utamanya adalah mencuri kredensial dengan menginfeksi sistem korban menggunakan injeksi proses yang dijalankan melalui script dan executable AutoIt.
URL berbahaya ini aktif terutama di wilayah Amerika Utara dan Selatan, dan bertindak sebagai trojan perbankan atau infostealer.
Langkah-langkah serangan:
-
Email berisi URL →
-
URL unduh file arsip →
-
Arsip berisi file
.HTA→ -
HTA jalankan JavaScript obfuscated →
-
Script unduh file AutoIt & payload berbahaya →
-
AutoIt lakukan injeksi proses ke memori →
-
Malware mengirim data korban ke server C2
Dengan kemampuan menyembunyikan diri dan menjalankan pengecekan lingkungan sistem, malware ini sangat sulit terdeteksi dan berbahaya bagi institusi keuangan serta individu.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan forcepoint indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi forcepoint.ilogoindonesia.id untuk informasi lebih lanjut!