Sebuah keluarga malware baru yang dinamakan ‘AgingFly’ telah diidentifikasi dalam serangkaian serangan yang menargetkan pemerintah daerah dan rumah sakit. Malware ini secara khusus dirancang untuk mencuri data autentikasi dari peramban (browser) berbasis Chromium dan aplikasi perpesanan WhatsApp.
Serangan ini pertama kali dideteksi di Ukraina oleh tim CERT negara tersebut pada bulan lalu. Berdasarkan bukti forensik, target serangan juga diyakini mencakup perwakilan dari Pasukan Pertahanan Ukraina. Tim CERT-UA telah mengatribusikan operasi serangan ini kepada kelompok ancaman siber yang mereka lacak sebagai UAC-0247.
Rantai Serangan
Menurut badan siber Ukraina tersebut, serangan bermula ketika target menerima sebuah email yang menyamar sebagai tawaran bantuan kemanusiaan. Email manipulatif ini mendorong korban untuk mengklik tautan yang disematkan di dalamnya.
Tautan tersebut kemudian mengalihkan korban ke situs sah yang telah diretas melalui kerentanan cross-site scripting (XSS), atau ke situs palsu yang dibuat menggunakan alat AI. CERT-UA menjelaskan bahwa target kemudian menerima sebuah arsip berisi fail pintasan (LNK) yang meluncurkan penangan HTA bawaan, yang pada gilirannya terhubung ke sumber daya jarak jauh untuk mengambil dan mengeksekusi fail HTA.
Fail HTA tersebut akan menampilkan formulir umpan untuk mengalihkan perhatian korban. Di latar belakang, ia membuat tugas terjadwal yang mengunduh dan menjalankan muatan EXE yang menyuntikkan shellcode ke dalam proses yang sah. Selanjutnya, penyerang menyebarkan pemuat dua tahap di mana tahap kedua menggunakan format executable kustom, dan muatan akhirnya dikompresi serta dienkripsi.
“Sebuah reverse shell TCP biasa atau analog yang diklasifikasikan sebagai RAVENSHELL dapat digunakan sebagai stager, yang memfasilitasi pembentukan koneksi TCP dengan server manajemen,” ungkap CERT-UA dalam laporannya hari ini.
Koneksi TCP yang dienkripsi menggunakan sandi XOR kemudian dibuat ke server komando dan kontrol (C2) untuk mengeksekusi perintah melalui Command Prompt di Windows. Pada tahap berikutnya, malware AgingFly dikirim dan disebarkan. Pada saat yang sama, sebuah skrip PowerShell (SILENTLOOP) digunakan untuk mengeksekusi perintah, memperbarui konfigurasi, dan mengambil alamat server C2 dari saluran Telegram atau mekanisme cadangan lainnya.
Setelah menyelidiki belasan insiden serupa, para peneliti menyimpulkan bahwa penyerang mencuri data peramban menggunakan alat keamanan sumber terbuka (open-source) ChromElevator. Alat ini mampu mendekripsi dan mengekstrak informasi sensitif—seperti cookie dan kata sandi yang tersimpan—dari peramban berbasis Chromium (seperti Google Chrome, Edge, dan Brave) tanpa memerlukan hak istimewa administrator.
Aktor ancaman ini juga mencoba mengekstrak data sensitif dari aplikasi WhatsApp untuk Windows dengan mendekripsi basis data menggunakan alat forensik sumber terbuka ZAPiDESK. Menurut para peneliti, aktor tersebut turut melakukan aktivitas pengintaian dan mencoba bergerak secara lateral di dalam jaringan menggunakan utilitas yang tersedia untuk umum, seperti pemindai port RustScan, serta alat tunneling Ligolo-ng dan Chisel.
Kompilasi Kode Sumber pada Host
AgingFly adalah malware berbasis C# yang membekali operatornya dengan kemampuan kendali jarak jauh, eksekusi perintah, eksfiltrasi fail, pengambilan tangkapan layar, perekaman ketikan (keylogging), dan eksekusi kode arbitrer. Malware ini berkomunikasi dengan server C2-nya melalui WebSockets dan mengenkripsi lalu lintas jaringan menggunakan algoritme AES-CBC dengan kunci statis.
Para peneliti menyoroti satu keunikan utama dari malware AgingFly: program ini tidak menyertakan penangan perintah (command handlers) yang sudah dibangun sebelumnya; sebagai gantinya, ia mengompilasinya langsung pada mesin host dari kode sumber yang diterima dari server C2.
“Fitur yang membedakan AGINGFLY dibandingkan dengan malware sejenis adalah tidak adanya penangan perintah bawaan di dalam kodenya. Sebagai gantinya, mereka diambil dari server C2 sebagai kode sumber dan dikompilasi secara dinamis pada saat runtime,” jelas CERT-UA.
Keuntungan dari pendekatan tak lazim ini meliputi ukuran muatan awal yang jauh lebih kecil, kemampuan untuk mengubah atau memperluas kemampuan malware sesuai permintaan, serta potensi yang kuat untuk menghindari deteksi analisis statis. Namun, pendekatan ini juga menambah kompleksitas, membuatnya sangat bergantung pada konektivitas C2 yang stabil, meninggalkan jejak runtime yang lebih besar, dan pada akhirnya dapat meningkatkan risiko deteksi.
Sebagai langkah mitigasi, CERT-UA sangat merekomendasikan agar pengguna dan administrator sistem memblokir peluncuran fail berekstensi LNK, HTA, dan JS untuk memutus rantai serangan yang digunakan dalam kampanye ini.