Kampanye spear-phishing baru yang menargetkan Brasil ditemukan mengirimkan malware perbankan bernama Astaroth (alias Guildma) dengan memanfaatkan JavaScript yang dikaburkan untuk melewati pagar keamanan.
“Dampak kampanye spear-phishing telah menargetkan berbagai industri, dengan perusahaan manufaktur, perusahaan ritel, dan lembaga pemerintah yang paling terkena dampaknya,” kata Trend Micro dalam analisis barunya.
“Email berbahaya sering kali meniru dokumen resmi pajak, menggunakan urgensi pengajuan pajak penghasilan pribadi untuk mengelabui pengguna agar mengunduh malware.”
Perusahaan keamanan siber sedang melacak kelompok aktivitas ancaman dengan nama Water Makara. Perlu diperhatikan bahwa Grup Analisis Ancaman (TAG) Google telah menetapkan moniker PINEAPPLE ke rangkaian intrusi serupa yang mengirimkan malware yang sama ke pengguna di Brasil.
Kedua kampanye ini memiliki kesamaan yaitu dimulai dengan pesan phishing yang menyamar sebagai entitas resmi seperti Receita Federal dan bertujuan untuk mengelabui penerima agar mengunduh lampiran arsip ZIP yang menyamar sebagai dokumen pajak penghasilan.
Hadir dalam file ZIP berbahaya adalah pintasan Windows (LNK) yang menyalahgunakan mshta.exe, utilitas sah yang dimaksudkan untuk menjalankan file Aplikasi HTML, menjalankan perintah JavaScript yang dikaburkan, dan membuat koneksi ke server perintah-dan-kontrol (C2).
“Meskipun Astaroth mungkin tampak seperti trojan perbankan kuno, kemunculannya kembali dan evolusi yang berkelanjutan menjadikannya ancaman yang terus-menerus,” kata para peneliti.
“Selain data yang dicuri, dampaknya juga mencakup kerusakan jangka panjang terhadap kepercayaan konsumen, denda peraturan, dan peningkatan biaya akibat gangguan bisnis dan downtime serta pemulihan dan remediasi.”
Untuk memitigasi risiko yang ditimbulkan oleh serangan tersebut, disarankan untuk menerapkan kebijakan kata sandi yang kuat, menggunakan autentikasi multi-faktor (MFA), terus memperbarui solusi keamanan dan perangkat lunak, dan menerapkan prinsip hak istimewa paling rendah (PoLP).
