• December 16, 2025

Astaroth Trojan Menyerang Brasil dan Meksiko melalui Secureserver.net

Astaroth Trojan Menyerang Brasil dan Meksiko melalui Secureserver.net

Catatan dari Lionel: Akhir pekan lalu, para peneliti X-Labs kami melihat peningkatan aktivitas terkait trojan perbankan Astaroth yang dikirim melalui URL secureserver[.]net. Ini adalah platform yang telah dilacak oleh Prashant sejak postingannya tentang secureserver[.]net pada bulan Juli.

Saat kami menyelesaikan analisis Prashant, kami menyadari bahwa peneliti dari Trend Micro telah memublikasikan penelitian mereka sendiri tentang Astaroth. Demi berbagi informasi lebih luas, kami tetap memutuskan untuk menerbitkan tulisan ini.

Ringkasan

Sejak postingan Unseen Dangers saya sebelumnya tentang malware yang dikirim melalui URL berbasis secureserver[.]net, serangan masih berlanjut namun dengan teknik yang berbeda kali ini. Berikut adalah rantai serangannya:

EML → URL (evasi) → ZIP → LNK → MSHTA → JS ter-obfuscate → C2

Kampanye ini terutama berdampak pada wilayah Amerika Selatan, terutama Brasil dan Meksiko. Industri yang paling terdampak adalah Bisnis & Ekonomi, Perjalanan, Belanja, dan lembaga Pemerintah.

Isi Email & Distribusi Malware

Email berisi tautan secureserver[.]net yang meng-host file berbahaya. Saat URL dibuka, itu mengunduh file arsip.

Tautan secureserver[.]net bersifat evasif dan bekerja di wilayah Brasil. Jika kita melihat bagian HTML email, jelas bahwa bahasa yang digunakan adalah “pt-BR”, yang memberi petunjuk bahwa URL tersebut ditargetkan untuk wilayah Amerika Selatan.

Arsip ZIP tersebut berisi file .lnk yang menggunakan cmd.exe untuk menjalankan mshta. Lalu mshta menjalankan JavaScript untuk aktivitas lanjutan.

Penjelasan komponen:

  • cmd.exe – interpreter command line

  • /V – digunakan untuk menghindari potensi konflik atau deteksi

  • /c – menjalankan perintah berikutnya

  • mshta.exe – program resmi Microsoft untuk menjalankan file HTA, namun sering disalahgunakan untuk mengeksekusi kode berbahaya

Kode JS dalam file tersebut di-obfuscate menggunakan campuran heksadesimal dan oktal.

Hasil Deobfuscation

Setelah di-deobfuscate, kodenya mengarah pada sebuah URL dan beberapa konten tambahan.

Kode tersebut memiliki dua komponen utama:

  1. Variabel array berisi dua string (7 karakter acak & URL)

  2. Metode GetObject

Cara kerja:

  • Metode GetObject digunakan untuk mengeksekusi URL menggunakan nama metode acak 7 karakter (VDZLQHG dalam contoh).

  • Jika koneksi berhasil, malware menghubungi server C2 dan mengirimkan data sensitif dari sistem.

  • Jika gagal, proses dihentikan secara diam-diam dan diarahkan ke situs bersih seperti Facebook, Twitter, LinkedIn.

  • Jika berhasil terhubung, host C2 tersebut adalah bagian dari trojan perbankan Astaroth.

  • Hostname tampak dihasilkan secara acak menggunakan Domain Generation Algorithm (DGA).

Se sejauh analisis dilakukan, belum ditemukan payload berbahaya tambahan.

Pernyataan Proteksi

Pelanggan Forcepoint terlindungi di tahap berikut:

  • Tahap 2 (Lure) – Email & URL berbahaya diblokir oleh analitik email/web dan Real Time Security Analytics.

  • Tahap 3 (Redirect) – Pengalihan berbahaya diklasifikasi dan diblokir.

  • Tahap 5 (Dropper File) – File dropper ditambahkan ke database Forcepoint dan diblokir.

  • Tahap 6 (Call Home) – Koneksi C2 yang mencoba mencuri data pengguna dikategorikan sebagai berbahaya dan diblokir.

Daftar IOC (Indicators of Compromise)

Pola URL Delivery

  • hxxps://222.183.62[.]50.host.secureserver.net

Hash ZIP

  • 1368b8d0a6e4c511e17080032b183133e920bc2f

  • e92fcd723d12b6e9533e8cbb9bab374037184fe1

  • efffe10b78e1eab853dd6e91bbec52b24e331af2

Hash LNK

  • 4c691442ae0af56d8559475f73a3482a38394626

  • a835e5d99b11339056bc36cbb41d950525a5aaa5

  • 7957de4e33259045d7da94905203ad7f1432141c

URL C2

  • hxxps://tiasr[.]olafdisney.sbs/?5/

  • hxxps://screranvel[.]safezipdirect.associates/?2/

  • hxxps://planbenpunwel2[.]smartconsultoria.quest/?2/

Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan forcepoint indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi forcepoint.ilogoindonesia.id untuk informasi lebih lanjut!