Trojan Astaroth Bypass Antivirus Menggunakan CloudFlare Workers

Cloudflare Astaroth Trojan

Dilansir dari errorcybernews.com (03/09)Trojan Astaroth menyalahgunakan platform Cloudflare Workers untuk menghindari deteksi dan memblokir upaya analisis otomatis sebuah antivirus.

Cloudflare Workers adalah skrip yang berjalan di server Cloudflare dari “pusat data di 193 kota di 90 negara”. Serta memungkinkan seseorang untuk mengeksekusi kode JavaScript apa pun tanpa harus khawatir tentang pemeliharaan infrastruktur.

“Workers memiliki free plan (versi gratis) di mana siapapun dapat mendaftar dan mendapatkan 100.000 total request per hari. Pengguna dapat membuat jumlah workers tanpa batas per akun,” seperti yang ditemukan peneliti malware Check Point Marcel Afrahim yang menemukan varian Astaroth ini.

Cloudflare Workers digunakan oleh operator Trojan Astaroth sebagai bagian dari proses infeksi tiga tahap. Dimulai dengan email phishing yang dilengkapi dengan lampiran HTML yang berisi kode JavaScript yang disamarkan. Kemudian dihubungkan ke domain yang berada di background infrastruktur Cloudflare.

“Untuk menghasilkan serangan tahap kedua, JSON dari URL diurai, dikonversi dari Base64 ke buffer Array, ditulis ke penyimpanan browser, diganti namanya agar sesuai dengan nama file HTML, tautan dibuat dan diklik otomatis ke unduh ke browser pengguna, “Ungkap Afrahim.

Payload yang akan disimpan adalah arsip ZIP dengan target yang ditukar untuk mengarahkan ke URL yang menunjuk pada isi skrip yang dibuat menggunakan editor skrip dashboard Cloudflare Workers.

Dashboard CloudFlare Workers

                                                     Cloudflare Workers script editor
Cloudflare Workers script editor

 

“Cloudflare Workers  tidak memiliki kemampuan untuk meng-host file. Akan tetapi dapat mengarahkan lalu lintas dari Workers ke server hosting file statis tanpa mengungkapkan identitasnya,” Temuan Afrahim.

Selanjutnya, sebuah skrip disimpan di komputer korban dari URL pratinjau editor skrip editor dasbor Cloudflare Workers yang dijalankan menggunakan proses Windows Script Host (Wscript). Kemudian mengunduh muatan akhir yang dijatuhkan sebagai bagian dari tahap ketiga proses infeksi.

Payload Trojan Astaroth akan diunduh menggunakan salah satu dari “sepuluh tautan simpul Cloudflare Workers acak dan unik”, masing-masing dengan 900 juta kemungkinan variasi URL. Sedangkan pada mesin 32-bit — biasanya tanda bahwa malware telah mendarat di malware analysis sandbox – “repositori Google Storage pribadi dengan tautan statis digunakan” untuk menghindari terdeteksi infrastruktur berbasis Cloudflare mereka.

Random URLs hosting Astaroth payloadsKetika Afrahim menyimpulkan di akhir tulisannya yang datang dengan lebih banyak detail tentang cara kerja varian Astaroth baru ini, para aktor yang mengoperasikan kampanye ini menggunakan Cloudflare Workers untuk:

• Andalkan nama dan layanan domain tepercaya untuk memperluas jangkauan.
• Sembunyikan dari Sandbox dan interupsi alat analisis otomatis.
• Cara inovatif untuk menghasilkan URL muatan acak untuk setiap proses.
• Bangun kembali operasi dengan mudah jika terjadi kompromi.

Baca Juga : Tarif Internet Murah, Banyak Smartphone Terkena Malware

Trojan Astaroth sebelumnya di temukan oleh Cofense sebagai bagian dari kampanye jahat yang secara eksklusif menargetkan korban Brasil pada 2018. Dengan sekitar 8.000 mesin berpotensi dikompromikan dalam satu minggu serangan.

Alur Serangan Trojan Astraroth

Multi-stage infection process

Multi-stage infection process (Microsoft)

Pada Februari, campaign spotted by Cybereason, varian Astaroth baru terlihat menyuntikkan modul berbahaya di aswrundll.exe Avast Software Runtime Dynamic Link Library dari antivirus Avast. Kemudian digunakan untuk mengambil info pada perangkat yang terinfeksi dan untuk memuat modul tambahan.

Tim Riset ATP Microsoft Defender juga menganalisa bahwa Astaroth campaign aktif selama Mei dan Juni, dan menemukan bahwa ia menggunakan proses infeksi multi-tahap dan beberapa teknik tak bernyawa untuk secara diam-diam menginfeksi sistem targetnya.

 

Source :  Bleeping Computer

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *