Trojan Astaroth Incar Pengguna Facebook dan YouTube
Ilustrasi | Foto: Freepik
Rio de Janeiro,Cyberthreat.id- Peneliti Cofense, Aaron Riley,menemukan trojan Astaroth, yang melakukan kampanye phising dengan menargetkan profil pengguna Facebook dan YouTube.
Trojan ini melakukan serangan dengan mengekstrak informasi sensitif pengguna. Serangan tersebut dinilai canggih, karena menggunakan sumber terpercaya sebagai perlindungan untuk kegiatan berbahaya. Sehingga bisa menghindari email yang biasanya efektif dan lapisan keamanan jaringan.
Menurut Riley, secara khusus, Astaroth menggunakan profil YouTube dan Facebook untuk meng-host dan memelihara data konfigurasi Command and Center (C&C).
“Data C&C ini disandikan base64 serta dienkripsi khusus,” kata Riley, seperti dikutip dari ThreatPost, Senin, (16 September 2019).
Riley menjelaskan, data yang diincar trojan Astaroth berada di dalam postingan di Facebook, atau di dalam informasi profil akun pengguna di YouTube.
Dengan meng-hosting data C&C dalam sumber tepercaya ini, pelaku kejahatan dapat mem-bypass langkah-langkah keamanan jaringan seperti pemfilteran konten.
Para pelaku kejahatan juga dapat secara dinamis mengubah konten di dalam sumber tepercaya ini sehingga mereka dapat mencegah kemungkinan infrastruktur mereka diturunkan.
Setelah informasi C&C dikumpulkan, kemudian mulai mengumpulkan informasi keuangan, kata sandi yang disimpan di browser, kredensial klien email, kredensial SSH, dan banyak lagi.
“Pada setiap langkah serangan ini, tumpukan keamanan bisa berdampak untuk menghentikan rantai infeksi. Namun, melalui penggunaan proses yang sah dan sumber luar yang tepercaya, Astaroth dapat meniadakan langkah-langkah defensif itu,” jelas Riley.
Riley mengungkapkan, serangan dimulai dengan file HTM yang dilampirkan ke email. Dia mencatat dalam sebuah analisis minggu ini, bahwa email datang dalam tiga jenis, yaitu, tema faktur, tema tiket pertunjukan, dan tema gugatan perdata.
Jika target mengklik lampiran, file HTM mengunduh arsip ZIP yang berisi file jahat. File LNK kemudian mengunduh kode JavaScript dari domain pekerja Cloudflare, yang pada gilirannya mengunduh beberapa file yang digunakan untuk membantu mengaburkan dan mengeksekusi sampel pencuri informasi Astaroth.
"Di antara file-file yang diunduh adalah dua file DLL yang digabungkan bersama dan dimuat ke dalam program yang sah bernama C: \ Program Files \ Internet Explorer \ ExtExport.exe,” jelas Riley.
Setelah ExtExport.exe dijalankan dengan kode jahat yang dimuat di samping, skrip jahat menggunakan teknik yang dikenal sebagai proses pengosongan untuk menginfeksi program yang sah dengan kode yang lebih berbahaya.
"Setelah proses program tepercaya dilubangi dan diganti dengan kode berbahaya, Astaroth mulai mengambil data konfigurasi Command & Contol dari sumber tepercaya di luar,” ungkap Riley.
