Cyberthreat.id – Perusahaan keamanan siber FireEye menemukan sebanyak tiga keluarga perangkat lunak jahat (malware) baru yang dipakai untuk serangan phishing.

Melalui tim keamanan Mandiant, FireEye menjuluki galur (strain) malware itu dengan “Doubledrag”, “Doubledrop”, dan “Doubleback” yang terdeteksi pada Desember 2020, dikutip dari ZDNet, diakses Rabu (5 Mei 2021).

Peneliti memiliki keyakinan bahwa aktor di balik phishing tersebut kelompok UNC2529 yang berpengalaman dan memiliki sumber daya baik. Belum diketahui siapa persisnya kelompok ini.

Namun, mereka telah menargetkan serangan siber ke sejumlah organisasi di Timur Tengah dan Afrika, Asia, dan Australia dalam dua gelombang terpisah.

Pesan phishing yang dikirim ke calon korban jarang didasarkan pada alamat email yang sama. Sementara, baris subjek email disesuaikan dengan target; dalam banyak kasus, penyeran menyamar sebagai eksekutif berbagai industri, seperti sektor pertahanan, kedokteran, transportasi, militer, dan elektronik.

Lebih dari 50 domain digunakan untuk mengelola skema phishing global. Dalam satu serangan yang berhasil, UNC2529 berhasil membobol domain yang dimiliki oleh bisnis layanan pemanas dan pendingin AS, merusak data DNS-nya, dan menggunakan struktur ini untuk meluncurkan serangan phishing terhadap setidaknya 22 organisasi.

Email iming-iming berisi tautan ke URL yang mengarah ke muatan .pdf berbahaya dan file JavaScript yang menyertainya dalam arsip .zip. Dokumen PDF ternyata rusak sehingga tidak dapat dibaca, dari sini diperkirakan korban mengklik dua kali file .js untuk membaca konten.

Padahal, menurut Mandiant, file .js yang sangat dikaburkan berisi pengunduh Doubledrag.

Alternatif lain, serangan juga menggunakan dokumen Excel dengan makro yang disematkan untuk mengirimkan muatan yang sama.

Setelah eksekusi, Doubledrag mencoba mengunduh dropper sebagai tahap kedua dari rantai serangan. Dropper ini, Doubledrop, adalah skrip PowerShell yang dikaburkan yang dirancang untuk membangun pijakan ke dalam mesin yang terinfeksi dengan memuat pintu belakang (backdoor) ke dalam memori.

Pintu belakang adalah komponen malware terakhir, yaitu Doubleback yang dibuat dalam versi 32-bit dan 64-bit.

"Backdoor, setelah memiliki kontrol eksekusi, memuat pluginnya dan kemudian memasuki komunikasi berulang, mengambil perintah dari server C2 (command-and-control) dan mengirimkannya," tulis Mandiant.

"Satu fakta menarik adalah bahwa hanya pengunduh yang ada di sistem file. Komponen lainnya diserialkan dalam database registri, yang membuat pendeteksiannya agak lebih sulit, terutama oleh mesin antivirus berbasis file."

Ada beberapa indikator bahwa malware masih dalam proses, karena fungsinya masih memindai keberadaan produk antivirus, seperti yang ditawarkan oleh Kaspersky dan BitDefender, meskipun terdeteksi, tidak ada tindakan yang diambil oleh malware.

Meskipun Mandiant tidak memiliki bukti tentang tujuan pelaku ancaman ini, mereka meyakini umumnya kelompok penyerang seperti itu termotivasi secara finansial.[]