Skip to content
[ root@retasan:~# Saturday, Jul 18, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Cyberwarfare Tools Data Breach Video Iklan Catatan Pribadi
Malware

Hackers Sembunyikan Lua Loaders di File TTF Palsu untuk Deploy Remcos, XWorm, dan Agent Tesla

// by retasan-news July 18, 2026 6 min read
Ilustrasi serangan Lua loader tersembunyi di file TTF palsu

Penyerang semakin menyalahgunakan format file tepercaya dan environment scripting ringan untuk menghindari deteksi, dengan kampanye baru yang memanfaatkan Lua-based loaders. Disamarkan sebagai file font TrueType (.ttf), loader ini mengdeploy commodity malware termasuk Remcos RAT, Agent Tesla, XWorm, dan varian Snake Keylogger. Kampanye ini menyamar sebagai bisnis dan brand legitimitas dalam email phishing, seringkali menggunakan pretexts bertema pembayaran untuk menekan korban membuka archive berbahaya.

APA YANG TERJADI?

Serangan dimulai dengan email phishing yang berisi attachment berbahaya atau tautan unduhan. Di dalam archive, korban menemukan JavaScript loaders yang sangat diobfuscate dengan junk code dan dilindungi oleh control flow flattening, string array mapping, dan teknik anti-tampering. String kritis seperti ActiveX objects dan file paths direkonstruksi secara dinamis saat runtime menggunakan operasi split-and-join untuk melewati signature-based detection.

Eksekusi dikontrol oleh conditional checks sebelum persistence diaktifkan melalui Scheduled Tasks, dengan script menyalin dirinya sendiri ke direktori %PUBLIC%\Libraries. Loader kemudian mengekstrak payload yang ter-embed melalui multi-step routine yang melibatkan string reversal, delimiter stripping, dan Base64 decoding, pada akhirnya menjatuhkan komponen seperti LuaJIT atau AutoIt interpreters bersama encoded data blobs.

Inovasi kunci dalam kampanye ini adalah penyalahgunaan file .ttf sebagai container untuk Lua scripts. File-file ini bukan font melainkan Lua loader yang diobfuscate dan dieksekusi via LuaJIT. Fortinet researchers telah melacak operasi phishing-driven yang menggabungkan fileless execution, multi-layered obfuscation, dan LuaJIT loaders dengan deteksi rendah.

DETAIL TEKNIS

Lua loader menggunakan layered decryption pipeline. String payload hardcoded di-reverse dan symbol-substituted sebelum Base64 decoding. Custom rotation cipher kemudian diterapkan menggunakan dynamic key yang diturunkan dari byte pertama payload, dengan formula 94 – first_byte. Ini memastikan output decrypted tetap berada dalam printable ASCII sekaligus mempersulit static analysis.

Untuk lebih menghindari deteksi, loader mengalokasikan decoy memory regions yang diisi data acak, mempatch signature shellcode Donut yang dikenali, dan menerapkan XOR-based in-memory encryption cycles. Eksekusi pada akhirnya dicapai melalui protected function calls yang memanggil shellcode via native C function pointers. Variant terbaru yang diamati pada Juni 2026 menunjukkan evolusi signifikan — loader menggabungkan anti-debugging techniques seperti API unhooking dan breakpoint neutralization, serta mengimplementasikan segmented shellcode encryption di mana payload dibagi menjadi memory pages yang ditandai non-accessible.

Eksekusi bergantung pada Vectored Exception Handler (VEH) yang mengintersep access violations, mendecrypt memory segment yang diperlukan on-demand, dan memulihkan execution permissions. Teknik ini efektif menyembunyikan kode berbahaya hingga runtime, mempersulit static dan dynamic analysis. Payload final disampaikan menggunakan Donut shellcode generator yang memungkinkan in-memory execution PE files via reflective loading, memungkinkan malware beroperasi tanpa menyentuh disk.

DAMPAK TERHADAP INDONESIA

Kampanye ini sangat relevan dengan kondisi Indonesia karena email phishing bertema pembayaran adalah salah satu vektor serangan paling efektif di kawasan Asia Tenggara. Banyak UMKM dan perusahaan Indonesia yang menerima invoice dari vendor internasional, menjadikan pretexts bertema pembayaran sangat meyakinkan. Penggunaan file .ttf sebagai container juga sangat efektif karena font files seringkali dianggap tidak berbahaya oleh pengguna dan bahkan oleh beberapa solusi keamanan.

Penggunaan commodity malware seperti Remcos RAT, Agent Tesla, dan XWorm menunjukkan bahwa kampanye ini menargetkan pencurian kredensial dan data sensitif — jenis data yang dilindungi di bawah UU PDP. Dengan kemampuan keystroke logging, credential theft, dan remote control, penyerang dapat memperoleh akses ke sistem perbankan, email korporat, dan platform cloud yang digunakan oleh organisasi Indonesia.

Yang mengkhawatirkan adalah teknik fileless execution yang digunakan — malware tidak pernah menyentuh disk secara persisten, membuat deteksi oleh antivirus konvensional menjadi sangat sulit. Banyak organisasi Indonesia yang belum mengimplementasikan EDR atau XDR dengan kemampuan memory inspection memadai akan sangat rentan terhadap kampanye seperti ini. SOC dan tim IR perlu memahami teknik Donut shellcode dan Lua-based loaders untuk dapat mendeteksi aktivitas ini.

REKOMENDASI MITIGASI

Implementasikan email security gateway yang mampu melakukan deep content inspection dan sandboxing untuk semua attachment, termasuk file yang tampak tidak berbahaya seperti .ttf. Blokir eksekusi LuaJIT dan AutoIt interpreters di workstation melalui application whitelisting. Pastikan endpoint protection solution mampu mendeteksi memory-only execution dan shellcode injection.

Latih pengguna untuk tidak membuka attachment dari email yang tidak diminta, terutama yang menggunakan pretexts pembayaran atau invoice. Implementasikan DMARC, DKIM, dan SPF untuk memperkuat verifikasi email. Pertimbangkan untuk memblokir eksekusi .js dan .vbs files dari email langsung. Monitor scheduled tasks yang mencurigakan, terutama yang dibuat di %PUBLIC%\Libraries atau direktori user profile lainnya.

Pastikan SIEM dikonfigurasi untuk mendeteksi indicators: aktivitas LuaJIT atau AutoIt di environment non-developer, alloc RWX memory yang tidak biasa, pembuatan scheduled tasks dari lokasi non-standar, dan komunikasi ke IP/domain yang terkait dengan C2. Gunakan IOC yang dipublikasikan oleh Fortinet untuk memperkuat rules deteksi. Pertimbangkan implementasi memory forensics capability untuk investigasi incident yang melibatkan fileless malware.

Analisa Retasan

Kampanye ini menunjukkan evolusi signifikan dalam teknik evasion penyerang. Penyalahgunaan file .ttf sebagai container untuk Lua scripts adalah inovasi yang sangat efektif — font files secara universal dianggap tidak berbahaya, melewati banyak filter email security dan bahkan beberapa sandboxes. Dari sudut pandang teknis, pipeline decryption multi-layer (string reversal, symbol substitution, Base64, rotation cipher) dan VEH-based shellcode execution menunjukkan tingkat sophistication yang jauh melampaui commodity phishing kits. Penggunaan Donut shellcode generator — yang juga terlihat dalam kampanye PureHVNC yang didokumentasikan oleh Fortinet — menunjukkan ekosistem tooling shared yang terus berkembang di kalangan penyerang. Teknik segmented shellcode encryption dengan VEH ini sangat sulit dideteksi karena kode berbahaya tidak pernah berada dalam kondisi executable secara permanen — hanya aktif saat diperlukan dan segera di-decrypt saat access violation terjadi.

Dari perspektif pertahanan Indonesia, kampanye ini menyoroti gap kritis dalam kemampuan deteksi many organizations. Teknik fileless execution, multi-layered obfuscation, dan abuse of legitimate file formats membutuhkan pertahanan yang berlapis: email security gateway dengan sandboxing, EDR dengan memory inspection, dan SIEM dengan rules yang dikonfigurasi untuk mendeteksi anomali seperti alloc RWX memory, LuaJIT execution di environment non-developer, dan scheduled task creation dari lokasi tidak biasa. Sayangnya, banyak organisasi Indonesia masih mengandalkan antivirus konvensional yang berbasis signature, yang secara fundamental tidak mampu mendeteksi teknik seperti ini. Investasi dalam endpoint detection and response (EDR) dan security awareness training yang memahami teknik social engineering canggih menjadi kebutuhan mendesak, bukan kemewahan.

Aspek yang paling mengkhawatirkan dari kampanye ini adalah skalabilitasnya. Dengan menggunakan commodity malware (Remcos, XWorm, Agent Tesla) yang tersedia secara komersial dan tooling open source (Donut, LuaJIT), penyerang dapat membuat kampanye baru dengan investasi minimal. Untuk Indonesia, ini berarti setiap organisasi — dari startup hingga instansi pemerintah — berada dalam jangkauan serangan. UU PDP mensyaratkan pelindungan data pribadi yang memadai, namun tanpa pemahaman terhadap teknik evasion terkini seperti ini,banyak organisasi mungkin merasa aman dengan tool keamanan yang sebenarnya sudah tidak memadai. Komunitas keamanan siber Indonesia, melalui ID-CSIRT dan forum sharing threat intelligence, perlu secara aktif mendistribusikan IOC dan TTP dari kampanye seperti ini kepada organisasi anggota.

🔗 Sumber: GBHackers — Hackers Hide Lua Loaders in Fake TTF Files to Deploy Remcos, XWorm, and Agent Tesla

Tags: Agent Tesla Anti-Analysis Donut Fileless Fortinet Lua Phishing Remcos Shellcode Snake Keylogger TTF XWorm
Share:

retasan-news

← Previous LegacyHive: Windows Zero-Day Memungkinkan Penyerang Membajak Registry Hive Administrator
Next → Starland RAT: Malware Python Curi Kredensial Browser dan Pindai 40+ Crypto Wallets

Artikel Terkait

Starland RAT: Malware Python Curi Kredensial Browser dan Pindai 40+ Crypto Wallets

Starland RAT: Malware Python Curi Kredensial Browser dan Pindai 40+ Crypto Wallets

July 18, 2026
GoldenEyeDog dan DigiCert: Sertifikat Code-Signing Dicuri untuk Tanda Malware

GoldenEyeDog dan DigiCert: Sertifikat Code-Signing Dicuri untuk Tanda Malware

July 18, 2026
NadMesh Botnet: Serangan AI-Powered Mengincar Layanan Cloud dan Kubernetes Tokens

NadMesh Botnet: Serangan AI-Powered Mengincar Layanan Cloud dan Kubernetes Tokens

July 18, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.