Salah satu metode utama penyebaran Darkgate adalah melalui email phishing. Dengan membajak akun email dan mendistribusikan lampiran berbahaya, malware ini mampu menyebar lebih luas ke jaringan korban potensial. Darkgate memanfaatkan jenis file lampiran yang umum seperti XLSX, HTML, dan PDF. Malware ini sering dirancang untuk berjalan diam-diam dan bertahan lama, sehingga sulit terdeteksi dan dihapus. Dampaknya bisa berupa kehilangan data pribadi, kerugian finansial akibat penipuan atau pemerasan, serta kebocoran informasi sensitif.
Artikel ini membahas secara rinci kampanye terbaru Darkgate yang diidentifikasi oleh tim riset X-Labs Forcepoint. Kampanye dimulai dari serangan email kompromi, yang menyertakan faktur palsu dari ‘Intuit Quickbooks’ dalam format PDF. Pengguna diarahkan untuk menginstal Java guna melihat faktur, lengkap dengan tautan. Saat tautan diklik, pengguna diarahkan ke URL yang dibatasi wilayah (geofencing) yang secara tidak sengaja mengunduh payload tahap berikutnya.
Analisis File PDF Berbahaya
Melalui analisis terhadap file PDF mencurigakan bernama “may-document_[nomor].pdf”, ditemukan bahwa dokumen tersebut berisi gambar XObject besar dengan tautan tertanam. Saat pengguna mengeklik tautan, file .JAR (Java Archive) berbahaya akan diunduh.
URL yang terkait dengan aktivitas ini menunjukkan pola historis yang mirip dengan domain dan path yang sebelumnya digunakan oleh pelaku ancaman QakBot.
Tahap Selanjutnya: Analisis File JAR
Saat file JAR diperiksa menggunakan JD-GUI, ditemukan file .PNG dan file .class. Di dalam file class ini terdapat fungsi Java yang berusaha mengunduh file .ZIP ke direktori *C:\Downloads* melalui perintah curl.exe yang disamarkan.
Setelah ZIP berhasil diunduh, perintah PowerShell dijalankan untuk mengekstrak kontennya menggunakan perintah expand-archive.
Payload Tambahan: Skrip AutoIt Berbahaya
File class dalam JAR juga memiliki fungsi lain yang dirancang untuk mengunduh file dengan ekstensi .MSI. Setelah ZIP diekstrak, ditemukan file autoit3.exe dan skrip AutoIt terkompilasi dengan ekstensi .a3x. File JAR kemudian menjalankan perintah cmd /c yang disamarkan untuk mengeksekusi skrip AutoIt tersebut.
Menariknya, Darkgate telah diketahui sebelumnya menggunakan AutoIt dalam kampanye sebelumnya. Skrip ini tampaknya dikompilasi dengan AutoIt versi 3.26 atau lebih baru, ditunjukkan dengan header ‘AU3!EA06’.
Fungsi Obfuscated & Eksekusi Shellcode
Skrip AutoIt yang telah didekompilasi mengungkap fungsi-fungsi obfuscated seperti BITXOR dan BinaryToString() untuk menyembunyikan fungsionalitas aslinya. Skrip ini menyimpan data besar dalam variabel lokal melalui operasi penggabungan string.
Fungsi seperti DLLSTRUCTCREATE() dan DLLSTRUCTSETDATA() digunakan untuk membentuk struktur dan memuat byte ke dalam memori — kemungkinan besar untuk manipulasi atau interaksi dengan sumber daya sistem.
Skrip ini selanjutnya mengeksekusi shellcode langsung di memori dan membangun koneksi ke server C&C botnet jarak jauh.
Kesimpulan
Kampanye Darkgate yang diurai oleh tim Forcepoint ini berawal dari email phishing yang menyamar sebagai faktur QuickBooks dan mengarahkan pengguna untuk menginstal Java. Tautan yang diklik mengarah ke URL geofencing, dan tanpa disadari mengunduh file JAR berbahaya. File tersebut mengunduh payload lanjutan seperti skrip AutoIt, yang kemudian mengeksekusi shellcode dan berkomunikasi dengan server Command and Control (C&C). Penggunaan pola URL historis dan teknik malware canggih menunjukkan tingginya tingkat ancaman dari kampanye ini.
Pernyataan Perlindungan
Pelanggan Forcepoint terlindungi dari ancaman ini pada tahap-tahap berikut:
- Tahap 2 (Umpan) – Lampiran berbahaya dalam serangan ini telah diidentifikasi dan diblokir.
- Tahap 5 (Dropper File) – File dropper telah dimasukkan ke dalam basis data Forcepoint dan diblokir.
- Tahap 6 (Komunikasi C&C) – Domain C&C telah diblokir.
Indikator Kompromi (IOCs)
URL Tahap Awal:
- afarm[.]net/uvz2q
- affixio[.]com/emh0c
- affiliatebash[.]com/myu0f
- afcmanager[.]net/jxk6m
- adventsales[.]co[.]uk/iuw8a
- amikamobile[.]com/ayu4d
- adztrk[.]com/ixi7r
- aerospaceavenue[.]com/cnz8g
- amishwoods[.]com/jwa4v
URL Tahap Kedua:
- smbeckwithlaw[.]com/1[.]zip
Server C2:
- kindupdates[.]com
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan forcepoint indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi forcepoint.ilogoindonesia.id untuk informasi lebih lanjut!