Campaign serangan secara aktif mendistribusikan varian baru Trojan Astaroth dengan menyalahgunakan platform komputasi tanpa server atau berbasis Cloud, Cloudflare Workers untuk menghindari deteksi dan memblokir upaya analisis otomatis sebuah antivirus.
Cloudflare Workers adalah skrip yang berjalan di server Cloudflare dari “pusat data di 193 kota di 90 negara” dan memungkinkan seseorang untuk mengeksekusi kode JavaScript apa pun tanpa harus khawatir tentang pemeliharaan infrastruktur.
“Workers memiliki free plan (versi gratis) di mana siapapun dapat mendaftar dan mendapatkan 100.000 total request per hari. Pengguna dapat membuat jumlah workers tanpa batas per akun,” seperti yang ditemukan peneliti malware Check Point Marcel Afrahim yang menemukan varian Astaroth ini.
Cloudflare Workers digunakan oleh operator Trojan Astaroth sebagai bagian dari proses infeksi tiga tahap, dimulai dengan email phishing yang dilengkapi dengan lampiran HTML yang berisi kode JavaScript yang disamarkan dan menghubungkan ke domain yang berada di background infrastruktur Cloudflare.
Cloudflare Workers untuk pengiriman muatan
Domain ini digunakan untuk mengirimkan beberapa jenis payload dalam format JSON tergantung pada lokasi target untuk memungkinkan penyerang dengan cepat mengubah file berbahaya untuk berbagai target dan untuk menghindari pemblokiran berdasarkan jenis objek file yang dikirim ke komputer korban potensial mereka.
“Untuk menghasilkan serangan tahap kedua, JSON dari URL diurai, dikonversi dari Base64 ke buffer Array, ditulis ke penyimpanan browser, diganti namanya agar sesuai dengan nama file HTML, tautan dibuat dan diklik otomatis ke unduh ke browser pengguna, “Ungkap Afrahim.
Payload yang akan disimpan adalah arsip ZIP dengan target yang ditukar untuk mengarahkan ke URL yang menunjuk pada isi skrip yang dibuat menggunakan editor skrip dashboard Cloudflare Workers.
Bagian terpenting di sini adalah bahwa URL panel pratinjau yang digunakan untuk memuat skrip dapat diubah dengan nilai acak, berpotensi menghasilkan “jumlah hostname yang besar atau tidak terbatas yang dapat mengeksekusi kode tertentu yang akan dilakukan oleh anti-bot tradisional atau akan blocking tools akan gagal menangkap. ”
Juga, meskipun “Cloudflare Workers tidak memiliki kemampuan untuk meng-host file tetapi dapat mengarahkan lalu lintas dari Workers ke server hosting file statis tanpa mengungkapkan identitasnya,” Temuan Afrahim.
Selanjutnya, sebuah skrip disimpan di komputer korban dari URL pratinjau editor skrip editor dasbor Cloudflare Workers yang dijalankan menggunakan proses Windows Script Host (Wscript) dan mengunduh muatan akhir yang dijatuhkan sebagai bagian dari tahap ketiga proses infeksi.
Payload Trojan Astaroth akan diunduh menggunakan salah satu dari “sepuluh tautan simpul Cloudflare Workers acak dan unik”, masing-masing dengan 900 juta kemungkinan variasi URL, sedangkan pada mesin 32-bit — biasanya tanda bahwa malware telah mendarat di malware analysis sandbox – “repositori Google Storage pribadi dengan tautan statis digunakan” untuk menghindari terdeteksi infrastruktur berbasis Cloudflare mereka.
URL acak yang menampung muatan Tojan Astaroth
Tahap ketiga menggunakan DLL side-loading untuk melubangi proses yang sah dan memuat DLL jahat yang berkomunikasi dengan profil YouTube dan Facebook yang dikendalikan penyerang untuk mendapatkan command and control (C2/C&C) alamat server seperti yang dilaporkan Renato Marinho dari Morphus Labs dalam analisis varian Trojan Astaroth yang hampir identik.
Ketika Afrahim menyimpulkan di akhir tulisannya yang datang dengan lebih banyak detail tentang cara kerja varian Astaroth baru ini, para aktor yang mengoperasikan kampanye ini menggunakan Cloudflare Workers untuk:
• Andalkan nama dan layanan domain tepercaya untuk memperluas jangkauan.
• Sembunyikan dari Sandbox dan interupsi alat analisis otomatis.
• Cara inovatif untuk menghasilkan URL muatan acak untuk setiap proses.
• Bangun kembali operasi dengan mudah jika terjadi kompromi.
Baca Juga :Â Malware Android Baru MysteryBot: Trojan Perbankan, Keylogger, dan Ransomware
Pengembangan Trojan Pencuri Informasi
Trojan Astaroth sebelumnya di temukan oleh Cofense sebagai bagian dari kampanye jahat yang secara eksklusif menargetkan korban Brasil pada 2018, dengan sekitar 8.000 mesin berpotensi dikompromikan dalam satu minggu serangan.
Astaroth mampu mencuri informasi sensitif seperti kredensial pengguna dengan bantuan modul key logger, melalui intersepsi panggilan sistem operasi, dan dengan menggunakan pemantauan clipboard.
Astaroth juga dikenal karena menyalahgunakan living-off-the-land binaries (LOLbins) seperti antarmuka baris perintah dari Windows Management Instrumentation Console (WMIC) untuk secara diam-diam mengunduh dan menginstal muatan berbahaya pada mesin yang dikompromikan.
Pada Februari, campaign spotted by Cybereason, varian Astaroth baru terlihat menyuntikkan modul berbahaya di aswrundll.exe Avast Software Runtime Dynamic Link Library dari antivirus Avast, yang kemudian digunakan untuk mengambil info pada perangkat yang terinfeksi dan untuk memuat modul tambahan.
Tim Riset ATP Microsoft Defender juga menganalisa bahwa Astaroth campaign aktif selama Mei dan Juni, dan menemukan bahwa ia menggunakan proses infeksi multi-tahap dan beberapa teknik tak bernyawa untuk secara diam-diam menginfeksi sistem targetnya.
