Tag
Keamanan

SVG yang dipersenjatai: Di dalam kampanye phishing global yang menargetkan lembaga keuangan

Tangan memegang smartphone dengan latar belakang biru dengan amplop putih di kait pancing tergantung di atas

Sepanjang tahun 2025, IBM X-Force telah melacak kampanye phishing yang menargetkan lembaga keuangan di seluruh dunia. Operasi ini memanfaatkan file Scalable Vector Graphics (SVG) yang disemati dengan JavaScript untuk memulai infeksi malware multi-tahap. Meskipun penggunaan SVG dalam phishing bukanlah hal baru, pelaporan terbaru menunjukkan peningkatan besar dalam taktik ini, menandakan perubahan yang lebih luas dalam lingkungan ancaman.

Kampanye ini melampaui pemanenan kredensial tradisional, menggunakan loader canggih, Trojan Akses Jarak Jauh (RAT) modular, dan infrastruktur tepercaya seperti Amazon S3 dan Telegram untuk command-and-control (C2). Aktivitas ini menunjukkan bagaimana penyerang mengembangkan teknik phishing menjadi operasi akses awal skala penuh.

Poin-poin penting:

  • SVG yang dipersenjatai sebagai akses awal: Aktor ancaman menggunakan file SVG yang disematkan dengan JavaScript untuk melewati filter keamanan tradisional dan memulai infeksi malware multi-tahap.
  • Penargetan sektor keuangan: Kampanye ini menggunakan umpan bertema SWIFT untuk meniru komunikasi keuangan tepercaya, yang secara khusus menargetkan lembaga keuangan di berbagai wilayah.
  • Pengiriman malware berbasis Java: Saat dieksekusi, JavaScript yang disematkan SVG menghapus arsip ZIP yang berisi file JavaScript yang digunakan untuk mengunduh loader berbasis Java. Jika Java ada, itu menerapkan malware modular termasuk Blue Banana RAT, SambaSpy, dan SessionBot.
  • Taktik pengelakan tingkat lanjut: Malware melakukan pemeriksaan anti-analisis dan validasi lingkungan untuk memastikan eksekusi hanya di lingkungan pengguna nyata yang bukan merupakan sandbox.
  • Penyalahgunaan infrastruktur yang sah: Payload dan komunikasi C2 dialihkan melalui Amazon S3 dan Telegram, membantu aktivitas menyatu dengan lalu lintas perusahaan normal dan menghindari deteksi.
  • Tren teknik baru: Kampanye ini mencerminkan perubahan yang lebih luas dalam teknik phishing, di mana penyerang semakin menyalahgunakan format file non-tradisional seperti SVG untuk pengiriman malware.
Pria menatap komputer

Perkuat intelijen keamanan Anda  

Tetap terdepan dalam menghadapi ancaman dengan berita dan insight tentang keamanan, AI, dan lainnya, setiap minggu di Buletin Think.  

Ringkasan kampanye

Analisis X-Force menemukan kampanye phishing global yang memanfaatkan file SVG sebagai vektor serangan awal. File-file ini, disamarkan sebagai dokumen transaksi keuangan, berisi JavaScript tertanam yang menulis arsip ZIP ke sistem. Di dalam arsip, file JavaScript memulai rantai infeksi malware, pada akhirnya menerapkan RAT seperti Blue Banana, SambaSpy, dan SessionBot. Payload ini dirancang untuk pencurian kredensial, pembajakan sesi, pengawasan, dan eksfiltrasi data, menimbulkan risiko signifikan bagi organisasi yang ditargetkan.

Malware berkomunikasi melalui Amazon S3 dan Telegram Bot API, menyatu dengan lalu lintas yang sah dan mempersulit upaya deteksi. Dengan menggunakan format file yang jarang diteliti dalam filter phishing, kampanye dapat melewati pertahanan tradisional dengan mudah.

Pendekatan ini mencerminkan pola yang muncul di seluruh pelaporan OSINT baru-baru ini, blog teknis, dan analisis industri, menyoroti bagaimana SVG semakin disalahgunakan untuk menyematkan pemuat malware dan mengarahkan korban ke konten berbahaya.

Khususnya, penggunaan umpan bertema Swift oleh kampanye, merujuk pada Society for Worldwide Interbank Financial Telecommunication (SWIFT), jaringan global yang digunakan oleh lembaga keuangan untuk pesan aman, menunjukkan fokus yang disengaja pada korban di sektor keuangan.

Aktivitas ini menggambarkan tren yang lebih luas dalam perdagangan phishing: penyerang bergerak melampaui pencurian kredensial untuk mengirimkan malware canggih menggunakan vektor kreatif dan profil rendah. Pembela harus menyesuaikan logika deteksi dan pelatihan karyawan, menyadari bahwa bahkan jenis file yang tidak berbahaya seperti SVG sekarang dapat bertindak sebagai platform pengiriman malware.

Di dalam kampanye

Tidak seperti kampanye phishing biasa yang bertujuan untuk pencurian kredensial melalui halaman login palsu, kampanye ini beralih dari umpan ke loader, mengubah apa yang tampak sebagai file gambar menjadi titik awal untuk rantai infeksi malware multi-tahap.

Pengiriman awal: Umpan yang disamarkan gambar

Fase akses awal kampanye melibatkan email phishing yang menyamar sebagai SWIFT Global Services, mendesak penerima untuk meninjau ulasan konfirmasi pembayaran yang sensitif waktu atau konfirmasi transfer. File terlampir, disajikan sebagai dokumen yang sah, adalah SVG yang dipersenjatai yang berisi JavaScript.

Setelah dirender, korban diiming-imingi untuk mengunduh laporan yang tampaknya berupa file PDF; Namun, memilih salah satu PDF akan memicu JavaScript untuk menyimpan file arsip ZIP ke sistem.

Contoh email phishing SWIFT yang dikirim ke organisasi korban
Gambar 1: Contoh email phishing SWIFT yang dikirim ke organisasi korban
Contoh file SVG yang dirender
Gambar 2: Contoh file SVG yang dirender

Dari SVG ke loader malware

Setelah arsip diekstrak dan dibuka, korban menemukan file bernama Swift Transaction Report.js yang berisi JavaScript yang disamarkan. Skrip dirancang untuk menghindari deteksi menggunakan pengkodean escape Unicode dan teknik penggabungan string. Menjalankan skrip akan memicu pengunduhan file Java Archive (JAR) yang sangat kabur, seperti Swift Confirmation Copy.jar dan Tranzacție+în+USD-PDF.jar. Ini bertindak sebagai pengunduh tahap pertama, memanfaatkan obfuscator seperti Branchlock dan Zelix KlassMaster untuk menghindari analisis statis dan perilaku.

IBM X-Force menganalisis beberapa sampel SVG yang menghapus pengunduh JAR alih-alih file ZIP yang berisi JavaScript, melewati tahap rantai infeksi.

Jika sistem target memiliki Java Runtime Environment (JRE) diinstal, loader mengeksekusi dan memulai serangkaian pemeriksaan lingkungan untuk deteksi sandbox atau alat analisis. Ini termasuk memeriksa proses sistem, indikator entropi dan virtualisasi. Hanya setelah memvalidasi lingkungan pengguna nyata, malware mencoba mengambil payload tahap kedua.

Untuk melakukannya, itu menjangkau bucket Amazon S3 yang dikendalikan penyerang, memadukan unduhan berbahaya ke dalam lalu lintas layanan cloud tepercaya. Beberapa varian menyematkan payload terenkripsi di dalam file umpan yang tampak tidak berbahaya untuk lebih mengurangi kemungkinan deteksi selama transfer.

Eksekusi muatan dan penerapan malware

Setelah pemeriksaan penghindaran dilewati, loader membuat koneksi keluar ke bucket Amazon S3 yang dikendalikan penyerang untuk mengambil payload tahap kedua yang dienkripsi. Penggunaan infrastruktur berbasis cloud menambah kompleksitas upaya deteksi, karena lalu lintas ke layanan seperti amazonaws.com sering kali menyatu dengan aktivitas perusahaan normal.

Payload diamati telah diunduh dari:

  • octupusgreat.s3.us-east-1.amazonaws[.]com
  • seasongretting.s3.eu-west-1.amazonaws[.]com
  • seasonmonster.s3.us-east-1.amazonaws[.]com

Setelah dekripsi dan pembongkaran, malware menulis file ke lokasi persistensi utama, termasuk:

  • %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ — memastikan eksekusi pada login pengguna
  • %AppData%\Microsoft\Vault\cred\ — diduga digunakan untuk menyiapkan file umpan dan menyimpan data yang dieksfiltrasi

Selain persistensi berbasis file, beberapa varian mendaftarkan tugas terjadwal atau kunci autorun registri yang dimodifikasi untuk mempertahankan akses di seluruh sistem reboot. Beberapa sampel juga menunda eksekusi atau fungsionalitas terjaga keamanannya berdasarkan interaksi pengguna, yang selanjutnya mempersulit deteksi melalui sandbox otomatis.

Kemampuan RAT modular

Malware yang diterapkan dalam kampanye ini menunjukkan arsitektur modular, memungkinkan operator menyesuaikan fungsionalitas berdasarkan lingkungan dan tujuan korban. IBM X-Force mengamati penggunaan beberapa payload dengan kemampuan pengawasan, pencurian data, dan persistensi yang tumpang tindih.

  • Blue Banana RAT
    Dikirim melalui file JAR yang disamarkan (windowsdefi.jar), Blue Banana memungkinkan akses shell jarak jauh, eksekusi file, panen kredensial (seperti FileZilla), dan bahkan partisipasi DDoS. Itu dilindungi menggunakan penyamar kode Branchlock, Zelix KlassMaster, dan Allatori untuk mempersulit proses analisis.
  • SambaSpy RAT
    Berkomunikasi melalui domain DDNS tanpa IP (seperti wwce.zapto[.]org), SambaSpy mendukung akses webcam, keylogging, pemantauan papan klip, dan manipulasi file. Ini menggunakan saluran terenkripsi AES untuk eksfiltrasi data yang aman dan mendukung ekstensibilitas berbasis plugin.
  • SessionBot implant
    Implan ringan(tg.jar)ini melakukan pengintaian sistem, mengumpulkan detail seperti riwayat RDP, sesi pengguna dan jaringan, serta geolokasi IP publik. Ini memanfaatkan Telegram Bot API untuk eksfiltrasi dan command-and-control (C2), sering kali mengunduh modul tambahan seperti 1.jar, 2.jar, atau recovery.jar.

Selain itu, kampanye menggunakan pencuri email yang berfokus pada Outlook (email.js) dieksekusi melalui wscript.exe. Ini memindai profil Outlook, mengekstrak konten kotak masuk dan menyiapkan data untuk eksfiltrasi melalui permintaan HTTP POST berbasis Telegram.

Untuk menyembunyikan aktivitasnya, malware menjatuhkan file umpan yang tampak jahat (misalnya, Tranzacție+în+USD-PDF.txt, Swift Confirmation Copy.pdf) yang dibuka saat eksekusi, memperkuat ilusi legitimasi sementara proses berbahaya dieksekusi di latar belakang.

Infrastruktur command-and-control

Selain infrastruktur Amazon S3 yang dijelaskan sebelumnya, kampanye memanfaatkan Bot API Telegram untuk command-and-control (C2) pasca-kompromi. Pendekatan ini memungkinkan aktor ancaman untuk berinteraksi dengan host yang terinfeksi, mengeksfiltrasi data sensitif, dan mengeluarkan instruksi secara dinamis, di seluruh infrastruktur pesan terenkripsi yang biasanya diizinkan di lingkungan perusahaan.

Komunikasi C2 disalurkan melalui:

  • api.telegram[.]org/bot7369538001...
  • api.telegram[.]org/bot7819421465...

Saluran ini digunakan untuk pengintaian sistem, mengekstraksi data kotak masuk Outlook, dan menangkap file dengan modul malware seperti SessionBot dan email.js Outlook stealer. Penggunaan Telegram memberikan anonimitas, enkripsi dan kemudahan operasional, sementara juga mempersulit deteksi melalui pemantauan jaringan konvensional.

Model infrastruktur saluran ganda ini—menggabungkan hosting muatan berbasis cloud dengan pesan terenkripsi—mencerminkan tren yang berkembang di antara aktor ancaman yang termotivasi secara finansial untuk memadukan lalu lintas berbahaya ke dalam layanan tepercaya, memperpanjang waktu singgah, dan meningkatkan kemungkinan keberhasilan.

Perubahan tema

X-Force mengamati bukti perubahan dari menggunakan umpan bertema SWIFT menjadi umpan bertema investigasi kejahatan keuangan yang dimulai pada akhir April.

Contoh file SVG menggunakan umpan bertema investigasi kejahatan keuangan
Gambar 3: Contoh file SVG menggunakan umpan bertema investigasi kejahatan keuangan

File SVG menggunakan tema ini menyimpan file JAR, Case No.86-2025.jar, ke disk. JAR ini adalah pengunduh berbasis Java yang sama yang digunakan dalam kampanye bertema SWIFT. Perubahan lain termasuk RAT berbasis Java, ‘STRRAT’, yang diamati diunduh bersama dengan SambaSpy dan Blue Banana RAT. STRRAT dikenal karena kemampuan mencuri informasi dan fleksibilitasnya dalam memberikan beberapa fungsi berbahaya. Meskipun relatif ringan, STRRAT mampu meniru perilaku ransomware dan memungkinkan kendali jarak jauh penuh atas sistem yang terinfeksi.

Mengapa ini penting

Kampanye ini mencerminkan evolusi yang lebih luas dalam teknik phishing, bergerak melampaui panen kredensial menuju pengiriman malware modular, akses jangka panjang, dan eksfiltrasi data. Dengan menyalahgunakan file SVG, format yang sering diabaikan oleh filter keamanan, aktor ancaman menunjukkan kesediaan untuk mengeksploitasi celah dalam logika deteksi konvensional.

Penggunaan umpan bertema SWIFT menyoroti fokus yang disengaja pada lembaga keuangan, memanfaatkan keakraban, dan kepercayaan untuk meningkatkan rasio klik-tayang. Dikombinasikan dengan infrastruktur berbasis cloud dan saluran pesan terenkripsi seperti Telegram, penyerang secara efektif memadukan aktivitas berbahaya ke dalam lalu lintas normal, mengurangi kemungkinan deteksi dini.

Bagi pembela, ini menggarisbawahi perlunya menilai kembali asumsi tentang jenis file “aman” dan infrastruktur jinak. Phishing bukan lagi hanya masalah email, ini adalah titik masuk ke serangan intrusi multi-tahap yang canggih. Organisasi harus tetap waspada, memperluas visibilitas ke vektor nontradisional dan terus mengadaptasi logika deteksi agar sesuai dengan kecepatan inovasi penyerang.

Rekomendasi:

Organisasi dapat mengurangi paparan mereka terhadap kampanye seperti ini dengan menggabungkan visibilitas titik akhir, konfigurasi aman, dan pendidikan pengguna.

  • Perbarui alat antivirus dan EDR: Pastikan mesin deteksi tetap terkini untuk mengidentifikasi payload dan perilaku yang diketahui terkait dengan malware berbasis Java.
  • Terapkan autentikasi multi-faktor (MFA): Terapkan MFA di semua akun pengguna, terutama yang digunakan untuk email, akses jarak jauh, dan sistem keuangan.
  • Terapkan patch perangkat lunak segera: Pertahankan siklus patch reguler untuk sistem operasi, waktu proses Java, browser, dan email untuk mengurangi peluang eksploitasi.
  • Nonaktifkan makro secara default: Cegah eksekusi makro dari lampiran email kecuali disetujui dan ditandatangani secara eksplisit.
  • Berlakukan hak istimewa terkecil: Batasi izin akun pengguna hanya pada apa yang diperlukan untuk mengurangi radius ledakan dari kompromi yang berhasil.
  • Pantau penyalahgunaan cloud: Periksa lalu lintas jaringan keluar untuk koneksi yang mencurigakan ke platform penyimpanan cloud seperti Amazon S3, terutama ke bucket yang tidak dikenal atau salah konfigurasi.
  • Latih karyawan tentang taktik phishing: Didik staf, terutama mereka yang memiliki peran keuangan dan admin, tentang cara mengenali umpan yang mencurigakan, jenis file, dan metode pengiriman.

Indikator kompromi

Indikator

Jenis Indikator

Konteks

141e8bf99ff6b58816951ed8bfd82
1079d8082be6c02cb36f0fd1ffe4e
06e664

Hash file SHA256

Tranzacție+în+USD-pdf.jar (pengunduh Java)

ae345b40d165255284bf4c6ab00
a871fcb035b552ac0b20b3cfb19e4
644e49b7

Hash file SHA256

Swift Confirmation Copy.jar (pengunduh Java)

a4ed118f15c5c943d5964fe381f1bd
4f9ce02d4c0f0212d3f2e95a0e37e
2d1a2

Hash file SHA256

Case No.86-2025.jar (pengunduh Java)

6a9f195f6fa9b298b94235b9b7dfa
415f67ce29d0f5135d3e6705ae3c8
4da88b

Hash file SHA256

email.js (pencuri email Outlook)

8bcba87df6d459a573441fb848b9
0451d65bce3a0f2ac08844c09892
2672b734

Hash file SHA256

Swift Confirmation Copy.pdf (file umpan)

701435e822a78b82d53281af3ffb2
0b3732462ec99c6f36afdfc6f8eed
4123f9

Hash file SHA256

Swift Transaction Report.js (pengunduh JavaScript)

f92240185abf62317800180aba0fb
da19d8e494a693e5a223003f52a8
8e3dda8

Hash file SHA256

windowsdefi.jar (Blue Banana RAT)

b0dcc56ae5e90f6f2f4d05c679508
32550b05505731b298f8230f0e43e
f35c9e

Hash file SHA256

soso.jar (SambaSpy RAT)

bc039b022d1a60cb519ae0f43f07d
7155273867cc40ce78025959733d7
95f96f

Hash file SHA256

core.jar (STRRAT RAT)

6ebab76c90cb36c09119a922d385
45326bb7f211d6b4b9792530e6771
67d0477 

Hash file SHA256

tg.jar (SessionBot Implant)

tcp[:]//wwce.zapto[.]org:443

Domain

C2 untuk SambaSpy dan Blue Banana RAT

tcp[:]//wce.zapto[.]org:443

Domain

C2 untuk SambaSpy dan Blue Banana RAT

str-master[.]pw

Domain

C2 untuk STRRAT

api.telegram[.]org

Domain

Eksfiltrasi dan komunikasi bot melalui Telegram API

https[:]//octupusgreat.s3.us-east-1.amazonaws[.]com

URL

Muatan awal yang dihosting di bucket Amazon S3

https[:]//seasongretting.s3.eu-west-1.amazonaws[.]com

URL

Payload yang dihosting di bucket Amazon S3

https[:]//seasonmonster.s3.us-east-1.amazonaws[.]com

URL

Payload yang dihosting di bucket Amazon S3

https[:]//fullpremier.s3.eu-west-1.amazonaws[.]com

URL

Payload yang dihosting di bucket Amazon S3

java -jar Tranzacție+în+USD-pdf.jar

Proses

Perintah eksekusi malware

tasklist.exe

Proses

Digunakan oleh malware untuk menghitung alat analisis

wscript.exe email.js

Proses

Menjalankan proses pencurian email

swiftzjy1@financeplus[.]me

Alamat email

Email aktor ancaman

swiftkbp1@farmaciafamiliei[.]md

Alamat email

Email aktor ancaman

swiftkcs1@farmaciafamiliei[.]md

Alamat email

Email aktor ancaman

swiftotb1@financeplus[.]me

Alamat email

Email aktor ancaman

swiftugt1@financeplus[.]me

Alamat email

Email aktor ancaman

swiftvqz1@financeplus[.]me

Alamat email

Email aktor ancaman

swiftzjy1@financeplus[.]me

Alamat email

Email aktor ancaman

Swift Confirmation Copy.jar

File Arsip Java

JAR berbahaya digunakan dalam eksekusi awal

Swift Transaction Report.js

File JavaScript

Pemuat JavaScript yang disamarkan

Swift Confirmation Copy.pdf

File PDF

File PDF umpan ditampilkan setelah infeksi awal

IBM X-Force Premier intelijen ancaman sekarang terintegrasi dengan OpenCTI oleh Filigran, memberikan intelijen ancaman yang dapat ditindaklanjuti tentang aktivitas ancaman ini dan banyak lagi. Akses insight tentang aktor ancaman, malware, dan risiko industri. Install X-Force OpenCTI Connector untuk meningkatkan deteksi dan respons, memperkuat keamanan siber Anda dengan keahlian IBM X-Force. Dapatkan uji coba X-Force Premier intelijen ancaman 30 Hari hari ini!

Mixture of Experts | 12 Desember, episode 85

Decoding AI: Rangkuman Berita Mingguan

Bergabunglah dengan panel insinyur, peneliti, pemimpin produk, dan sosok kelas dunia lainnya selagi mereka mengupas tuntas tentang AI untuk menghadirkan berita dan insight terbaru seputar AI.
Tonton semua episode Mixture of Experts