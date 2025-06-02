Sepanjang tahun 2025, IBM X-Force telah melacak kampanye phishing yang menargetkan lembaga keuangan di seluruh dunia. Operasi ini memanfaatkan file Scalable Vector Graphics (SVG) yang disemati dengan JavaScript untuk memulai infeksi malware multi-tahap. Meskipun penggunaan SVG dalam phishing bukanlah hal baru, pelaporan terbaru menunjukkan peningkatan besar dalam taktik ini, menandakan perubahan yang lebih luas dalam lingkungan ancaman.
Kampanye ini melampaui pemanenan kredensial tradisional, menggunakan loader canggih, Trojan Akses Jarak Jauh (RAT) modular, dan infrastruktur tepercaya seperti Amazon S3 dan Telegram untuk command-and-control (C2). Aktivitas ini menunjukkan bagaimana penyerang mengembangkan teknik phishing menjadi operasi akses awal skala penuh.
Analisis X-Force menemukan kampanye phishing global yang memanfaatkan file SVG sebagai vektor serangan awal. File-file ini, disamarkan sebagai dokumen transaksi keuangan, berisi JavaScript tertanam yang menulis arsip ZIP ke sistem. Di dalam arsip, file JavaScript memulai rantai infeksi malware, pada akhirnya menerapkan RAT seperti Blue Banana, SambaSpy, dan SessionBot. Payload ini dirancang untuk pencurian kredensial, pembajakan sesi, pengawasan, dan eksfiltrasi data, menimbulkan risiko signifikan bagi organisasi yang ditargetkan.
Malware berkomunikasi melalui Amazon S3 dan Telegram Bot API, menyatu dengan lalu lintas yang sah dan mempersulit upaya deteksi. Dengan menggunakan format file yang jarang diteliti dalam filter phishing, kampanye dapat melewati pertahanan tradisional dengan mudah.
Pendekatan ini mencerminkan pola yang muncul di seluruh pelaporan OSINT baru-baru ini, blog teknis, dan analisis industri, menyoroti bagaimana SVG semakin disalahgunakan untuk menyematkan pemuat malware dan mengarahkan korban ke konten berbahaya.
Khususnya, penggunaan umpan bertema Swift oleh kampanye, merujuk pada Society for Worldwide Interbank Financial Telecommunication (SWIFT), jaringan global yang digunakan oleh lembaga keuangan untuk pesan aman, menunjukkan fokus yang disengaja pada korban di sektor keuangan.
Aktivitas ini menggambarkan tren yang lebih luas dalam perdagangan phishing: penyerang bergerak melampaui pencurian kredensial untuk mengirimkan malware canggih menggunakan vektor kreatif dan profil rendah. Pembela harus menyesuaikan logika deteksi dan pelatihan karyawan, menyadari bahwa bahkan jenis file yang tidak berbahaya seperti SVG sekarang dapat bertindak sebagai platform pengiriman malware.
Tidak seperti kampanye phishing biasa yang bertujuan untuk pencurian kredensial melalui halaman login palsu, kampanye ini beralih dari umpan ke loader, mengubah apa yang tampak sebagai file gambar menjadi titik awal untuk rantai infeksi malware multi-tahap.
Fase akses awal kampanye melibatkan email phishing yang menyamar sebagai SWIFT Global Services, mendesak penerima untuk meninjau ulasan konfirmasi pembayaran yang sensitif waktu atau konfirmasi transfer. File terlampir, disajikan sebagai dokumen yang sah, adalah SVG yang dipersenjatai yang berisi JavaScript.
Setelah dirender, korban diiming-imingi untuk mengunduh laporan yang tampaknya berupa file PDF; Namun, memilih salah satu PDF akan memicu JavaScript untuk menyimpan file arsip ZIP ke sistem.
Setelah arsip diekstrak dan dibuka, korban menemukan file bernama Swift Transaction Report.js yang berisi JavaScript yang disamarkan. Skrip dirancang untuk menghindari deteksi menggunakan pengkodean escape Unicode dan teknik penggabungan string. Menjalankan skrip akan memicu pengunduhan file Java Archive (JAR) yang sangat kabur, seperti Swift Confirmation Copy.jar dan Tranzacție+în+USD-PDF.jar. Ini bertindak sebagai pengunduh tahap pertama, memanfaatkan obfuscator seperti Branchlock dan Zelix KlassMaster untuk menghindari analisis statis dan perilaku.
IBM X-Force menganalisis beberapa sampel SVG yang menghapus pengunduh JAR alih-alih file ZIP yang berisi JavaScript, melewati tahap rantai infeksi.
Jika sistem target memiliki Java Runtime Environment (JRE) diinstal, loader mengeksekusi dan memulai serangkaian pemeriksaan lingkungan untuk deteksi sandbox atau alat analisis. Ini termasuk memeriksa proses sistem, indikator entropi dan virtualisasi. Hanya setelah memvalidasi lingkungan pengguna nyata, malware mencoba mengambil payload tahap kedua.
Untuk melakukannya, itu menjangkau bucket Amazon S3 yang dikendalikan penyerang, memadukan unduhan berbahaya ke dalam lalu lintas layanan cloud tepercaya. Beberapa varian menyematkan payload terenkripsi di dalam file umpan yang tampak tidak berbahaya untuk lebih mengurangi kemungkinan deteksi selama transfer.
Setelah pemeriksaan penghindaran dilewati, loader membuat koneksi keluar ke bucket Amazon S3 yang dikendalikan penyerang untuk mengambil payload tahap kedua yang dienkripsi. Penggunaan infrastruktur berbasis cloud menambah kompleksitas upaya deteksi, karena lalu lintas ke layanan seperti amazonaws.com sering kali menyatu dengan aktivitas perusahaan normal.
Payload diamati telah diunduh dari:
Setelah dekripsi dan pembongkaran, malware menulis file ke lokasi persistensi utama, termasuk:
Selain persistensi berbasis file, beberapa varian mendaftarkan tugas terjadwal atau kunci autorun registri yang dimodifikasi untuk mempertahankan akses di seluruh sistem reboot. Beberapa sampel juga menunda eksekusi atau fungsionalitas terjaga keamanannya berdasarkan interaksi pengguna, yang selanjutnya mempersulit deteksi melalui sandbox otomatis.
Malware yang diterapkan dalam kampanye ini menunjukkan arsitektur modular, memungkinkan operator menyesuaikan fungsionalitas berdasarkan lingkungan dan tujuan korban. IBM X-Force mengamati penggunaan beberapa payload dengan kemampuan pengawasan, pencurian data, dan persistensi yang tumpang tindih.
Selain itu, kampanye menggunakan pencuri email yang berfokus pada Outlook (email.js) dieksekusi melalui wscript.exe. Ini memindai profil Outlook, mengekstrak konten kotak masuk dan menyiapkan data untuk eksfiltrasi melalui permintaan HTTP POST berbasis Telegram.
Untuk menyembunyikan aktivitasnya, malware menjatuhkan file umpan yang tampak jahat (misalnya, Tranzacție+în+USD-PDF.txt, Swift Confirmation Copy.pdf) yang dibuka saat eksekusi, memperkuat ilusi legitimasi sementara proses berbahaya dieksekusi di latar belakang.
Selain infrastruktur Amazon S3 yang dijelaskan sebelumnya, kampanye memanfaatkan Bot API Telegram untuk command-and-control (C2) pasca-kompromi. Pendekatan ini memungkinkan aktor ancaman untuk berinteraksi dengan host yang terinfeksi, mengeksfiltrasi data sensitif, dan mengeluarkan instruksi secara dinamis, di seluruh infrastruktur pesan terenkripsi yang biasanya diizinkan di lingkungan perusahaan.
Komunikasi C2 disalurkan melalui:
Saluran ini digunakan untuk pengintaian sistem, mengekstraksi data kotak masuk Outlook, dan menangkap file dengan modul malware seperti SessionBot dan email.js Outlook stealer. Penggunaan Telegram memberikan anonimitas, enkripsi dan kemudahan operasional, sementara juga mempersulit deteksi melalui pemantauan jaringan konvensional.
Model infrastruktur saluran ganda ini—menggabungkan hosting muatan berbasis cloud dengan pesan terenkripsi—mencerminkan tren yang berkembang di antara aktor ancaman yang termotivasi secara finansial untuk memadukan lalu lintas berbahaya ke dalam layanan tepercaya, memperpanjang waktu singgah, dan meningkatkan kemungkinan keberhasilan.
X-Force mengamati bukti perubahan dari menggunakan umpan bertema SWIFT menjadi umpan bertema investigasi kejahatan keuangan yang dimulai pada akhir April.
File SVG menggunakan tema ini menyimpan file JAR, Case No.86-2025.jar, ke disk. JAR ini adalah pengunduh berbasis Java yang sama yang digunakan dalam kampanye bertema SWIFT. Perubahan lain termasuk RAT berbasis Java, ‘STRRAT’, yang diamati diunduh bersama dengan SambaSpy dan Blue Banana RAT. STRRAT dikenal karena kemampuan mencuri informasi dan fleksibilitasnya dalam memberikan beberapa fungsi berbahaya. Meskipun relatif ringan, STRRAT mampu meniru perilaku ransomware dan memungkinkan kendali jarak jauh penuh atas sistem yang terinfeksi.
Kampanye ini mencerminkan evolusi yang lebih luas dalam teknik phishing, bergerak melampaui panen kredensial menuju pengiriman malware modular, akses jangka panjang, dan eksfiltrasi data. Dengan menyalahgunakan file SVG, format yang sering diabaikan oleh filter keamanan, aktor ancaman menunjukkan kesediaan untuk mengeksploitasi celah dalam logika deteksi konvensional.
Penggunaan umpan bertema SWIFT menyoroti fokus yang disengaja pada lembaga keuangan, memanfaatkan keakraban, dan kepercayaan untuk meningkatkan rasio klik-tayang. Dikombinasikan dengan infrastruktur berbasis cloud dan saluran pesan terenkripsi seperti Telegram, penyerang secara efektif memadukan aktivitas berbahaya ke dalam lalu lintas normal, mengurangi kemungkinan deteksi dini.
Bagi pembela, ini menggarisbawahi perlunya menilai kembali asumsi tentang jenis file “aman” dan infrastruktur jinak. Phishing bukan lagi hanya masalah email, ini adalah titik masuk ke serangan intrusi multi-tahap yang canggih. Organisasi harus tetap waspada, memperluas visibilitas ke vektor nontradisional dan terus mengadaptasi logika deteksi agar sesuai dengan kecepatan inovasi penyerang.
Organisasi dapat mengurangi paparan mereka terhadap kampanye seperti ini dengan menggabungkan visibilitas titik akhir, konfigurasi aman, dan pendidikan pengguna.
Indikator
Jenis Indikator
Konteks
141e8bf99ff6b58816951ed8bfd82
Hash file SHA256
Tranzacție+în+USD-pdf.jar (pengunduh Java)
ae345b40d165255284bf4c6ab00
Hash file SHA256
Swift Confirmation Copy.jar (pengunduh Java)
a4ed118f15c5c943d5964fe381f1bd
Hash file SHA256
Case No.86-2025.jar (pengunduh Java)
6a9f195f6fa9b298b94235b9b7dfa
Hash file SHA256
email.js (pencuri email Outlook)
8bcba87df6d459a573441fb848b9
Hash file SHA256
Swift Confirmation Copy.pdf (file umpan)
701435e822a78b82d53281af3ffb2
Hash file SHA256
Swift Transaction Report.js (pengunduh JavaScript)
f92240185abf62317800180aba0fb
Hash file SHA256
windowsdefi.jar (Blue Banana RAT)
b0dcc56ae5e90f6f2f4d05c679508
Hash file SHA256
soso.jar (SambaSpy RAT)
bc039b022d1a60cb519ae0f43f07d
Hash file SHA256
core.jar (STRRAT RAT)
6ebab76c90cb36c09119a922d385
Hash file SHA256
tg.jar (SessionBot Implant)
tcp[:]//wwce.zapto[.]org:443
Domain
C2 untuk SambaSpy dan Blue Banana RAT
tcp[:]//wce.zapto[.]org:443
Domain
C2 untuk SambaSpy dan Blue Banana RAT
str-master[.]pw
Domain
C2 untuk STRRAT
api.telegram[.]org
Domain
Eksfiltrasi dan komunikasi bot melalui Telegram API
https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com
URL
Muatan awal yang dihosting di bucket Amazon S3
https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com
URL
Payload yang dihosting di bucket Amazon S3
https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com
URL
Payload yang dihosting di bucket Amazon S3
https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com
URL
Payload yang dihosting di bucket Amazon S3
java -jar Tranzacție+în+USD-pdf.jar
Proses
Perintah eksekusi malware
tasklist.exe
Proses
Digunakan oleh malware untuk menghitung alat analisis
wscript.exe email.js
Proses
Menjalankan proses pencurian email
swiftzjy1@financeplus[.]me
Alamat email
Email aktor ancaman
swiftkbp1@farmaciafamiliei[.]md
Alamat email
Email aktor ancaman
swiftkcs1@farmaciafamiliei[.]md
Alamat email
Email aktor ancaman
swiftotb1@financeplus[.]me
Alamat email
Email aktor ancaman
swiftugt1@financeplus[.]me
Alamat email
Email aktor ancaman
swiftvqz1@financeplus[.]me
Alamat email
Email aktor ancaman
swiftzjy1@financeplus[.]me
Alamat email
Email aktor ancaman
Swift Confirmation Copy.jar
File Arsip Java
JAR berbahaya digunakan dalam eksekusi awal
Swift Transaction Report.js
File JavaScript
Pemuat JavaScript yang disamarkan
Swift Confirmation Copy.pdf
File PDF
File PDF umpan ditampilkan setelah infeksi awal
