Trojan perbankan semakin marak belakangan ini. Kali ini kita akan membahas salah satu kampanye malware yang dikenal dengan nama Metamorfo. Malware ini menyebar melalui kampanye malspam, dengan menggoda pengguna agar mengklik lampiran HTML. Setelah diklik, serangkaian aktivitas akan dijalankan, semuanya berfokus pada pengumpulan metadata sistem. Metamorfo terkenal karena kemampuannya sebagai trojan perbankan dan telah menjadi perhatian besar di dunia keamanan siber.
Rantai Infeksi:
Email (.eml) → ZIP → HTML → URL (menghindari deteksi) → ZIP → HTA → PowerShell (.ps1) → ZIP → A3X (script AutoIt yang dienkode) → shellcode
File HTML berisi obfuscation dasar, yang setelah didekode akan menampilkan URL tujuan koneksi.
Analisis Langkah demi Langkah
Saat HTML didekode, terlihat URL yang dituju:
hxxps://shorturl[.]at/cdhHJ
Saat dibuka, URL tersebut menampilkan pesan: “Sorry, you have been blocked”, menandakan adanya pembatasan geografis (geo-evasion).
Namun saat diakses dari lokasi seperti Meksiko, URL dapat terbuka dan mengunduh file ZIP dengan nama acak (misal: {{name.zip}}).
ZIP tersebut berisi file .hta dan .xml. File .hta menunjukkan adanya obfuscation saat dianalisis secara statis.
Setelah didekode, muncul pola URL baru:
hxxps://facturacioncontable[.]com/ldvb/0105
Script PowerShell yang Diunduh
Saat URL tersebut diakses, file PowerShell yang tersamar diunduh.
Script tersebut berisi encoded base64 dan saat didekode memperlihatkan perilaku sebagai berikut:
Ringkasan Perilaku PowerShell:
- Mengecek info sistem: antivirus, nama komputer, versi OS
- Membangun koneksi ke server jarak jauh dan mengirimkan data sistem
- Mengunduh dan mengeksekusi payload berbahaya
- Membuat shortcut dan file batch di lokasi seperti AppData dan folder Startup
- Menonaktifkan/menghindari software keamanan
- Modifikasi registry untuk membuat akun admin baru
- Mematikan sistem setelah eksekusi — dan saat sistem dinyalakan ulang, shortcut dan batch file akan memicu eksekusi otomatis malware
PowerShell juga terhubung ke:
hxxps://facturacioncontable[.]com/m[.]zip
yang berisi AutoIt executable (bersih), file skrip .a3x, dan file batch yang digunakan untuk mengumpulkan informasi dari sistem yang telah dikompromi.
Persistence & Registry Hijack
Script melakukan:
- Modifikasi registry
- Mengubah pengaturan safeboot
- Menambahkan file batch
- Mematikan sistem dalam rentang waktu tertentu untuk menjamin persistensi
Misalnya, pada Gambar 9.1, script mengubah registry dan menambahkan foi.bat, sedangkan di Gambar 9.2, ditemukan foi.txt yang merupakan batch file.
Script batch tersebut:
- Menghapus safeboot
- Menghapus file .dll dan .sys
- Mematikan sistem
Saat dinyalakan ulang, file dan pengaturan ini menyebabkan malware aktif kembali secara otomatis.
PowerShell digunakan untuk menyebar file ke lokasi mencurigakan, mematikan sistem, dan mempertahankan kehadiran malware guna mencuri data seperti nama komputer, pengaturan sistem, aktivitas keyboard (keylogging), dan mengirimkannya ke server kompromi.
Kesimpulan
Metamorfo, juga dikenal sebagai Casbaneiro, adalah trojan perbankan terkenal yang menargetkan informasi keuangan korban, termasuk kredensial perbankan. Malware ini terutama menargetkan kawasan Amerika Utara dan Selatan.
Distribusinya dilakukan melalui email phishing, dengan lampiran berbahaya yang ketika diklik memulai rantai infeksi dan mengarah ke kompromi data pengguna.
Pernyataan Perlindungan
Pelanggan Forcepoint terlindungi dari ancaman ini pada beberapa tahap:
- Tahap 2 (Umpan): Lampiran berbahaya telah diidentifikasi dan diblokir.
- Tahap 3 (Redirect): URL redirect telah dikategorikan dan diblokir.
- Tahap 5 (Dropper File): File dropper dimasukkan ke dalam basis data Forcepoint dan diblokir.
Daftar IOC (Indicators of Compromise)
IP Address:
css
CopyEdit
54.39.10[.]87
20.206.126[.]228
89.116.236[.]122
158.69.110[.]217
89.117.37[.]61
…
Domain:
css
CopyEdit
vqz8[.]gotdns[.]ch
nhoquemassa[.]com
09dfwss6g1v73sya[.]online
albumdepremios[.]com[.]br
…
URL:
perl
CopyEdit
hxxp://86.38.217[.]167/13/index[.]php
hxxp://86.38.217[.]167/ps1/index[.]php
hxxp://adbd[.]tech/26/index[.]php
…
Hash HTML:
python-repl
CopyEdit
428fe9b7608cd82303e27103c3058ecd61bd58a6
bbf3387c82a600053e2fdfef6491cc20d099dd0a
…
Hash PowerShell:
nginx
CopyEdit
a9e9df6762418bbed030e825099282da59278db0
e2218b08b6dd53fa115ad50b70f41d0f0a080ce6
File .a3x:
CopyEdit
2bd4acea5c3bf107cc6615af65d1617c847814cc
4b5b7cf403ac7d6e3dd787104e3e6bd088743815
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan forcepoint indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi forcepoint.ilogoindonesia.id untuk informasi lebih lanjut!