Phishing Casbaneiro Serang Amerika Latin dan Eropa dengan PDF Dinamis
Kampanye phishing yang kompleks menargetkan pengguna berbahasa Spanyol di berbagai organisasi di Amerika Latin dan Eropa dengan tujuan menyebarkan Trojan perbankan Windows seperti Casbaneiro (juga dikenal sebagai Metamorfo) melalui malware lain bernama Horabot.
Serangan ini dikaitkan dengan kelompok kejahatan siber asal Brasil yang dikenal dengan nama Augmented Marauder dan Water Saci. Kelompok ini pertama kali didokumentasikan oleh Trend Micro pada Oktober 2025.
"Kelompok ancaman ini menggunakan model serangan yang lebih luas dengan mekanisme penyebaran dan pengiriman khusus yang mencakup WhatsApp, teknik ClickFix, dan phishing berbasis email," ujar peneliti keamanan BlueVoyant, Thomas Elkins dan Joshua Green, dalam analisis teknis yang dipublikasikan Selasa lalu.
Menurut mereka, "Terbukti bahwa meskipun para operator yang berbasis di Brasil ini secara intensif menggunakan otomatisasi WhatsApp berbasis skrip untuk mengkompromikan pengguna ritel dan konsumen di Amerika Latin, mereka juga menjalankan dan menggunakan mesin peretasan email canggih untuk menembus perimeter perusahaan di wilayah tersebut dan Eropa."
Metode Serangan Phishing dengan PDF Dinamis
Kampanye ini dimulai dengan email phishing yang mengandung pesan berlabel panggilan pengadilan untuk memancing korban agar membuka lampiran PDF yang diproteksi kata sandi. Setelah membuka dokumen tersebut, pengguna diarahkan ke tautan berbahaya yang secara otomatis mengunduh arsip ZIP.
Arsip ZIP ini kemudian mengeksekusi payload interim berupa aplikasi HTML (HTA) dan skrip VBS. Skrip VBS ini melakukan pemeriksaan lingkungan dan anti-analisis, termasuk deteksi perangkat lunak antivirus Avast, lalu mengunduh payload tahap berikutnya dari server jarak jauh.
File yang diunduh terdiri dari loader berbasis AutoIt yang mengekstrak dan menjalankan berkas terenkripsi dengan ekstensi ".ia" atau ".at" yang kemudian meluncurkan dua keluarga malware utama: Casbaneiro (dengan modul Delphi "staticdata.dll") dan Horabot (dengan modul "at.dll").
Peran Horabot dalam Penyebaran Casbaneiro
Walaupun Casbaneiro adalah payload utama, Horabot berfungsi sebagai mekanisme penyebaran malware tersebut. Modul DLL Casbaneiro menghubungi server Command and Control (C2) untuk mengambil skrip PowerShell yang memakai Horabot dalam mengirim email phishing kepada kontak yang dikumpulkan dari Microsoft Outlook korban.
BlueVoyant menjelaskan, "Alih-alih mendistribusikan file statis atau tautan yang sudah dikodekan seperti pada kampanye Horabot sebelumnya, skrip ini melakukan permintaan HTTP POST ke sebuah API PHP jarak jauh (hxxps://tt.grupobedfs[.]com/.../gera_pdf.php), dengan mengirim PIN empat digit acak."
"Server kemudian membuat PDF yang diproteksi kata sandi secara dinamis, meniru panggilan pengadilan berbahasa Spanyol, dan mengembalikannya ke host yang terinfeksi. Skrip ini selanjutnya mengirimkan email phishing yang dipersonalisasi menggunakan akun email korban sendiri dengan lampiran PDF baru tersebut ke daftar email yang telah difilter."
Teknik Tambahan dan Riwayat Water Saci
Selain itu, DLL Horabot kedua ("at.dll") berfungsi sebagai alat spam dan pembajakan akun yang menargetkan layanan email Yahoo, Live, dan Gmail untuk mengirim email phishing melalui Outlook. Horabot diketahui telah digunakan dalam serangan di Amerika Latin sejak setidaknya November 2020.
Kelompok Water Saci juga dikenal menggunakan WhatsApp Web sebagai media penyebaran Trojan perbankan seperti Maverick dan Casbaneiro dengan cara seperti cacing (worm-like). Kampanye terbaru yang diungkap Kaspersky menunjukkan mereka menggunakan teknik rekayasa sosial ClickFix untuk menipu pengguna agar menjalankan file HTA berbahaya dengan tujuan akhir menyebarkan Casbaneiro dan Horabot.
Menurut para peneliti, "Penggabungan teknik rekayasa sosial ClickFix, pembuatan PDF dinamis, dan otomatisasi WhatsApp menunjukkan musuh yang gesit, terus berinovasi dan menjalankan jalur serangan beragam untuk melewati kontrol keamanan modern."
"Kelompok ini mempertahankan infrastruktur serangan yang terpisah dan multi-arah, secara dinamis menjalankan rantai Maverick yang berfokus pada WhatsApp dan secara bersamaan menggunakan jalur serangan ClickFix dan Horabot berbasis email."
Analisis Redaksi
Menurut pandangan redaksi, kampanye phishing yang melibatkan Casbaneiro dan Horabot ini menandai evolusi signifikan dalam teknik serangan siber yang menargetkan wilayah Amerika Latin dan Eropa. Penggunaan PDF dinamis yang diproteksi kata sandi sebagai umpan phishing menjadi semakin canggih karena mampu melewati deteksi keamanan tradisional yang umumnya memblokir lampiran statis.
Selain itu, perpaduan antara otomatisasi WhatsApp, teknik rekayasa sosial ClickFix, dan penyalahgunaan akun email korban sebagai pengirim email phishing menunjukkan bahwa kelompok ini sangat terorganisir dan adaptif. Hal ini mengindikasikan bahwa pengguna dan organisasi harus meningkatkan kewaspadaan dan memperkuat kontrol keamanan, terutama pada jalur komunikasi digital yang sering digunakan seperti email dan WhatsApp.
Mengingat kompleksitas dan keberhasilan serangan ini dalam menembus batas geografis dan sistem keamanan, penting untuk terus memantau perkembangan serangan serupa dan menerapkan solusi keamanan yang lebih proaktif. Informasi lebih lanjut tentang serangan ini dapat diakses melalui laporan resmi sumbernya untuk edukasi dan tindakan mitigasi yang lebih tepat.
Di masa depan, pergerakan kelompok ini dan inovasi teknik serangan mereka patut diwaspadai, karena mereka menunjukkan pola peningkatan kemampuan dalam menyiasati pertahanan siber modern.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
