Para peneliti Sophos telah menemukan kampanye malware multi-tahap yang menargetkan pengguna WhatsApp di Brasil. Kampanye ini, dilacak dengan kode STAC3150, menggunakan pesan WhatsApp untuk mengirim lampiran berbahaya dan secara bertahap mengunduh berbagai payload yang mencuri kredensial, membajak sesi, dan memastikan malware tetap bertahan di sistem korban.
Bagaimana Kampanye Bekerja
Kampanye dimulai dengan pesan WhatsApp yang dikirim menggunakan fitur “View Once”. Pesan ini berisi lampiran ZIP yang memuat file VBS atau HTA berbahaya. Ketika dijalankan, file ini menggunakan PowerShell untuk mengunduh payload tahap kedua, yang terdiri dari:
-
Script PowerShell atau Python untuk mengumpulkan informasi kontak WhatsApp dan token sesi.
-
Installer MSI yang menyebarkan malware Astaroth (Guildma).
Pada tahap awal (akhir September 2025), payload kedua diunduh melalui akun email IMAP yang dikendalikan penyerang. Pada awal Oktober, metode berubah ke komunikasi berbasis HTTP, menggunakan perintah Invoke-WebRequest di PowerShell untuk menghubungi server C2 di https://www.varegjopeaks.com.
Payload kedua menggunakan Selenium Chrome WebDriver dan WPPConnect JavaScript library untuk:
-
Membajak sesi WhatsApp Web korban.
-
Mengumpulkan informasi kontak dan token sesi.
-
Menyebarkan spam secara otomatis ke kontak korban.
Di akhir Oktober, payload MSI mulai disertakan, yang memasang malware Astaroth melalui AutoIt script yang menyamar sebagai file .log. Malware ini:
-
Menulis file ke disk.
-
Membuat registry key untuk mempertahankan persistensi.
-
Menghubungi server C2 di
manoelimoveiscaioba.com.
Dampak dan Penyebaran
Sophos mengamati lebih dari 250 perangkat pelanggan yang terdampak, dengan 95% berada di Brasil. Sisanya tersebar di negara lain di Amerika Latin, AS, dan Austria.
Distribusi korban menunjukkan bahwa kampanye ini menyebar cepat dan luas, memanfaatkan WhatsApp sebagai medium utama.
Rekomendasi Mitigasi
Organisasi dan individu harus:
-
Mendidik pengguna tentang risiko membuka lampiran dari media sosial dan aplikasi pesan instan, bahkan dari kontak yang dikenal.
-
Memblokir atau memindai file VBS, HTA, dan MSI yang mencurigakan.
-
Memantau aktivitas jaringan untuk komunikasi yang mencurigakan ke domain terkait kampanye.
Deteksi Sophos untuk Kampanye STAC3150
Sophos telah mengembangkan deteksi khusus untuk berbagai tahap kampanye ini:
| Nama Deteksi | Deskripsi |
|---|---|
| VBS/DwnLdr-ADJT | File VBS tahap awal |
| VBS/DwnLdr-ADJW | File VBS tahap awal |
| VBS/DwnLdr-ADJS | File VBS tahap kedua |
| Troj/Mdrop-KEP | File MSI tahap kedua |
| Troj/Mdrop-KES | File MSI tahap kedua |
| Troj/AutoIt-DJB | Payload AutoIt |
| Troj/HTADrp-CE | Script HTA |
Deteksi ini membantu mengidentifikasi dan menghentikan malware sebelum menyebabkan kerusakan signifikan.
Indikator Ancaman (IoC)
Domain yang terkait dengan kampanye ini berfungsi sebagai Command & Control (C2) dan harus diwaspadai:
| Domain | Fungsi |
|---|---|
| manoelimoveiscaioba[.]com | Server C2 Astaroth |
| varegjopeaks[.]com | Server C2 tahap awal |
| docsmoonstudioclayworks[.]online | Server C2 |
| shopeeship[.]com | Server C2 |
| miportuarios[.]com | Server C2 |
| borizerefeicoes[.]com | Server C2 |
| clhttradinglimited[.]com | Server C2 |
| lefthandsuperstructures[.]com | Server C2 |
Catatan: Jangan membuka domain ini di browser karena kemungkinan mengandung konten berbahaya.
Kesimpulan
Kampanye STAC3150 menunjukkan bagaimana penyerang memanfaatkan WhatsApp untuk mendistribusikan malware multi-tahap, termasuk Astaroth, yang dapat mencuri kredensial, membajak sesi, dan mempertahankan persistensi.
Poin penting:
-
WhatsApp sebagai vektor serangan menekankan risiko membuka lampiran dari platform komunikasi populer.
-
Malware menggunakan kombinasi PowerShell, Python, dan AutoIt untuk menghindari deteksi.
-
Pencegahan paling efektif melibatkan edukasi pengguna, pemantauan domain berbahaya, dan penggunaan deteksi malware yang tepat.
Sophos menyediakan deteksi spesifik untuk semua tahap serangan, memungkinkan organisasi untuk mengidentifikasi, menanggapi, dan mencegah infeksi lebih cepat.
Butuh bantuan merancang strategi keamanan khusus yang memanfaatkan kekuatan Sophos Endpoint?
Saya siap membantu Anda mengamankan bisnis dengan percaya diri.
Keamanan siber yang tangguh bukan hanya soal teknologi, tapi juga soal kepercayaan dan kinerja terbukti—dan Sophos menghadirkannya.
Khawatir data dan sistem Anda menjadi target serangan siber? Dengan Sophos, pertahanan digital Anda bisa menjadi lebih kuat, cepat, dan efektif.
- Hubungi saya untuk terhubung dengan Tim Sophos Indonesia, atau
- Bicarakan kebutuhan keamanan Anda langsung dengan saya di PT. iLogo Infralogy Indonesia.
Bersama saya, mari membangun sistem keamanan yang handal, agar bisnis Anda selalu aman dari ancaman dunia maya.
