Tuesday, 21 October 2025

Astaroth Malware Kembali Aktif: Targetkan Pengguna Brasil via Phishing ZIP LNK & Abuse GitHub untuk Hidden C2

 buat gambar pakai unsur teknologi : Astaroth Malware Kembali Aktif: Targetkan Pengguna Brasil via Phishing ZIP LNK & Abuse GitHub untuk Hidden C2

Gelombang baru aktivitas Astaroth malware dilaporkan aktif kembali menargetkan pengguna di Amerika Selatan, terutama Brasil. Kampanye ini mengandalkan phishing email bertema DocuSign atau resume yang mengandung ZIP archive berisi malicious LNK shortcut. Ketika dieksekusi, shortcut tersebut memicu obfuscated script yang kemudian men-fetch dan men-install komponen tambahan.

Astaroth dirancang untuk melakukan credential theft ketika korban mengakses situs perbankan atau cryptocurrency. Yang menarik, operator menggunakan GitHub sebagai kanal tidak langsung untuk melakukan configuration refresh: mereka menyisipkan configuration data di dalam image file yang di-host di public repository sehingga pengendalian kampanye dapat berlangsung tanpa C2 beaconing yang mencolok.

Attack Chain

  1. Initial Access via Phishing ZIP (LNK inside)
    Email social-engineering mendorong korban mengunduh ZIP dengan malicious shortcut.

  2. Execution & Payload Fetch
    Shortcut memicu obfuscated script yang men-fetch komponen dari geo-restricted hosts.

  3. Payload Assembly & Persistence
    Payload terenkripsi + config file dirakit lokal dan dijalankan sebagai persistent background program yang survive reboot.

  4. Anti-Analysis & Locale-Based Evasion
    Malware melakukan environment checks — menghindari U.S./English locale dan common analysis tools; bila terdeteksi, malware akan dormant atau terminate.

  5. Credential Theft Activation
    Saat browser membuka banking/crypto sites, modul pencuri diaktifkan dan mengirimkan data melalui private exfiltration channel.

  6. Stealthy Update via Public Repo
    Setiap beberapa jam malware mengunduh image dari public code repository (GitHub) dan mengekstrak hidden config untuk update target & behavior tanpa obvious network IOCs.

INSIGHTS

  • Astaroth menunjukkan bahwa keberhasilan malware sering menggantung pada social engineering — bukan hanya exploit teknis.

  • Campaign memanfaatkan public platforms (GitHub) sebagai indirect infrastructure sehingga attribution & detection makin kompleks.

  • Credential theft ini memberi dampak sistemik: data disuplai ke ecosystem kriminal global untuk fraud sekunder lintas wilayah.

Recommendations

  • Pertahankan updated software inventory dan lakukan regular self-audit pada workstation, servers, laptops, dan mobile devices untuk mendeteksi unauthorized software.

  • Configure IDS / IPS / network defence untuk alert dan — setelah review — blok koneksi ke external IP/domains yang masuk IOC list.

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)