Peneliti keamanan siber telah mengidentifikasi kampanye malware yang memanfaatkan blockchain TON, perangkat lunak yang sah, dan komponen Windows tepercaya untuk membangun infrastruktur command-and-control yang tangguh dan mampu menghindari langkah keamanan konvensional. Para penyerang menggabungkan teknologi blockchain dengan aplikasi yang banyak digunakan untuk mempersulit deteksi malware dan mengganggu upaya penurunan (takedown) tradisional. Kampanye ini mencerminkan tren yang meningkat ketika pelaku kejahatan siber mengeksploitasi teknologi terdesentralisasi dan ekosistem perangkat lunak yang sah untuk menciptakan infrastruktur malware yang sangat resilien, yang dapat bertahan dari pemblokiran domain dan pertahanan keamanan tradisional.
Serangan dimulai dengan email phishing yang disamarkan sebagai komunikasi terkait pemesanan. Penerima diarahkan ke tautan Google Share yang melakukan pengalihan ke situs web berbahaya, di mana mereka diminta untuk mengunduh arsip ZIP baik secara langsung atau melalui antarmuka bergaya ClickFix. Arsip yang diunduh berisi file shortcut Windows (LNK) berbahaya yang disamarkan sebagai gambar dengan memanfaatkan ikon dari pustaka shell32.dll milik Windows.
Setelah file shortcut dibuka, malware itu mengeksekusi secara senyap perintah PowerShell yang diobfusikasi. Alih-alih menyimpan domain unduhan dalam teks biasa, para penyerang mengodekan alamat sebagai dua nilai numerik besar. Skrip PowerShell yang disematkan merekonstruksi domain berbahaya melalui operasi aritmetika dan bitwise, sehingga infrastruktur menjadi lebih sulit dikenali oleh alat keamanan saat analisis statis.
Payload PowerShell kemudian memeriksa apakah runtime Node.js sudah terinstal di perangkat target. Jika tidak ada, malware mengunduh versi Node.js Windows yang sah dari infrastruktur distribusi resmi proyek dan mengekstraknya ke direktori LocalAppData milik pengguna. Dengan mengandalkan komponen perangkat lunak yang autentik, bukan hanya executable berbahaya, para penyerang berupaya menyamarkan aktivitas mereka agar menyatu dengan perilaku aplikasi yang sah dan mengurangi kemungkinan terdeteksi.
Setelah menginstal atau menemukan Node.js, malware mendekripsi payload JavaScript yang dilindungi enkripsi AES-128-CBC dan encoding Base64. Kode yang didekripsi dieksekusi melalui runtime Node.js yang sah, dengan konfigurasi command-and-control disuplai sebagai argumen runtime.
Peneliti melaporkan bahwa implant JavaScript telah diobfusikasi secara berat dan dijalankan melalui interpreter mesin virtual kustom, bukan JavaScript standar. Teknik ini secara signifikan meningkatkan kompleksitas analisis malware dengan mencegah alat keamanan berbasis signature tradisional mengidentifikasi kode berbahaya dengan mudah.
Serangan menggunakan blockchain TON sebagai infrastruktur command-and-control yang resilien, sehingga memungkinkan penyerang memperbarui instruksi berbahaya tanpa memodifikasi atau mendistribusikan ulang malware yang sudah terpasang di sistem yang berhasil disusupi. Investigasi mengidentifikasi beberapa domain historis command-and-control yang terkait dengan kampanye ini. Namun, malware tidak bergantung sepenuhnya pada domain tetap untuk instruksi. Sebagai gantinya, operator dapat memodifikasi data konfigurasi yang di-hosting blockchain kapan pun infrastruktur terblokir, memungkinkan sistem yang terinfeksi mengambil informasi command-and-control yang diperbarui tanpa mengharuskan malware itu sendiri diganti.
Malware mampu mengunduh executable Windows, skrip PowerShell, dan payload JavaScript tambahan. Sebelum mengeksekusi program Windows yang diunduh, malware memverifikasi header berkas Portable Executable (PE), menyimpan berkas dengan nama yang dihasilkan secara acak di direktori sementara, dan mungkin mencoba menambahkan jalur berkas ke daftar pengecualian Microsoft Defender untuk mengurangi peluang terdeteksi selama eksekusi.
Peneliti menyarankan agar organisasi tetap waspada terhadap kampanye phishing dengan tema perjalanan dan pemesanan, khususnya email yang berisi tautan Google Share yang mengarahkan pengguna ke unduhan mencurigakan. Mereka juga merekomendasikan pemantauan arsip ZIP yang berisi file shortcut LNK yang disamarkan sebagai gambar, serta aktivitas PowerShell yang tidak terduga dan instalasi Node.js tanpa izin pada sistem perusahaan.
Untuk apa blockchain TON digunakan dalam kampanye malware ini?
Blockchain TON digunakan sebagai infrastruktur command-and-control yang resilien yang memungkinkan penyerang memperbarui instruksi berbahaya tanpa memodifikasi atau mendistribusikan ulang malware yang sudah terpasang di sistem yang berhasil disusupi. Operator dapat memodifikasi data konfigurasi yang di-hosting blockchain kapan pun infrastruktur terblokir, sehingga sistem yang terinfeksi bisa mengambil informasi command-and-control yang diperbarui.
Bagaimana malware menyamarkan dirinya sebagai perangkat lunak yang sah?
Malware mengunduh versi Node.js Windows yang sah dari infrastruktur distribusi resmi proyek dan mengeksekusi payload JavaScript yang dienkripsi melalui runtime Node.js yang autentik. Dengan mengandalkan komponen perangkat lunak tepercaya dan utilitas Windows, para penyerang menyamarkan aktivitas mereka agar menyatu dengan perilaku aplikasi yang sah untuk mengurangi kemungkinan terdeteksi oleh alat keamanan.
Berita Terkait
NEC Partners bekerja sama dengan Ava Labs untuk platform Blockchain Facial ID bagi pengunjung Jepang
Universitas Tel Aviv menemukan serangan HalluSquatting, di mana ilusi AI dapat dimanfaatkan untuk membangun jaringan zombie
Oceanus Chain Luncurkan Ekosistem DeFi dan AI dengan Penjualan Awal Token OCS
Perusahaan kripto Kembangkan Rencana Tahan Kuantum saat Google Peringatkan Ancaman 2029
Smart Contract Ethereum Dukung Kampanye Pencurian Data Magecart