Penyalahgunaan layanan hosting Virtual Private Server (VPS) oleh pelaku ancaman peretasan merupakan masalah yang semakin meningkat, mengingat VPS memberikan kontrol penuh atas server virtual yang memungkinkan pengguna untuk menginstal perangkat lunak atau menjalankan aplikasi tanpa batasan yang ketat. Karena sifatnya yang fleksibel dan sering kali lebih terjangkau dari pada hosting dedicated, VPS sering kali menjadi target utama bagi para peretas untuk melakukan berbagai jenis serangan dan kegiatan ilegal.

Malware tersebut, yang dirancang untuk mencuri kredensial dan informasi sensitif lainnya, disebarkan melalui email phising berskala besar yang menyamar sebagai badan pemerintahan, Kampanye ini mengeksploitasi kerentanan pada penyedia hosting VPS seperti Contabo, teknik pengaburan, dan URL dinamis untuk menghindari deteksi dan memaksimalkan dampaknya.

Email Phishing Memanfaatkan Identitas

Email phishing dibuat agar tampak seperti peringatan denda yang mendesak dari badan pemerintahan.

Para penyerang secara dinamis membuat subdomain baru di bawah server Contabo untuk setiap kampanye, sehingga vmi2500240[.]contaboserver[.]net, semakin mempersulit upaya deteksi.

Analisis Teknis Rantai Malware

File zip yang diunduh sering kali berisi Visual Basic Script ( VBS ) yang sangat dikaburkan terkadang dilindungi kata sandi untuk menghindari pemindaian otomatis. Skrip tersebut menggunakan karakter acak dan mengodekan aliran base64 yang memasukkan file zip lain ke direktori publik sistem.

Skrip VBS juga menggunakan metode untuk melacak jalur eksekusi berkas dan mengeksekusi muatan melalui Wscript.shell.

File yang diekstraksi berupa berkas kompilasi Delphi 32-bit yang disamarkan dengan ikon PDF agar tampak sebagai dokumen sah.

Ini menghasilkan pop-up kesalahan yang meniru Adobe Acrobat Reader untuk mengalihkan perhatian pengguna saat memulai komunikasi dengan server perintah-dan-kontrol (C2).

Indikator Kompromi

URL Berbahaya

· URL unduhan yang tertanam:

· hxxps://vmi2500223[.]contaboserver[.]net

· hxxps://vmi2511216[.]contaboserver[.]net

· hxxps://vmi2529183[.]contaboserver[.]net

· URL Pengalihan:

· hxxps://www[.]mediafire[.]com/file/ngb9r5swxbuz7xp/Ficha91159905YGSU02704481_2025.zip/file

· hxxps://www[.]mediafire[.]com/file/qfyr6978p7s5nf2/DB#78613179435_SGJ9345624.zip/file

Server Perintah dan Kontrol (C2)

· 98.81.92.194:30154

· 18.212.216.95:42195

Mencegah Penyalahgunaan VPN

· Pemantauan dan Deteksi Aktivitas Mencurigakan

· Keamanan yang Kuat

· Penyaringan dan Pembatasan Perangkat Lunak

Pengguna harus tetap berhati-hati terhadap email yang tidak diminta, terutama yang melibatkan masalah keuangan atau hukum, dan mengandalkan alat keamanan canggih untuk mengurangi ancaman.

Kesimpulan

Dengan langkah-langkah tersebut, hosting VPS dapat mengurangi risiko penyalahgunaan layanan mereka untuk kegiatan ilegal, dan melindungi infrastruktur serta pengguna mereka dari potensi ancaman peretasan.