Cyberthreat.id – Jangan asal unduh file PDF, salah-salah bukan dokumen yang Anda cari, melainkan perangkat lunak jahat (malware) yang berdiam di file PDF.

Belum lama ini, Microsoft Security Intelligence (MSI) mengeluarkan laporan terkait temuan PDF berbahaya yang mengunduh  malware bernama “StrRAT” berbasis  Java. Malware ini mampu mencuri kredensial dan mengubah nama file, juga menampilkan diri sebagai ransomware palsu, sehingga tidak mengenkripsi file.

File PDF jahat tersebut didistribusikan penjahat siber melalui serangan email phishing. Malware termasuk kategori trojan akses jarak jauh (remote access trojan)—disebut trojan karena meniru perangkat lunak yang sah.

Menurut MSI dalam temuan yang dikeluarkan pekan lalu, StrRAT adalah alat akses jarak jauh berbasis  Java yang didesain untuk mencuri kredensial di browser, mencatat penekanan tombol (logs keystroke) dan mengontrol sistem yang terinfeksi dari jarak jauh.

RATtersebut juga mengunduh muatan tambahan ke mesin terinfeksi berdasarkan perintah peladen (server) comman-and-control (C2), kata peneliti seperti dikutip dari ThreatPost, diakses Kamis (21 Mei 2021).

StrRAT juga memiliki fitur unik yang tidak umum untuk jenis malware ini: "modul enkripsi/dekripsi ransomware" yang mengubah nama file dengan cara yang menyarankan enkripsi adalah langkah berikutnya.

Namun, StrRAT menghentikan fungsi tersebut, "menambahkan ekstensi nama file .crimson ke file tanpa benar-benar mengenkripsinya," kata peneliti.

Untuk meluncurkan serangan, penyerang menggunakan akun email yang disusupi untuk mengirim beberapa email berbeda. Beberapa pesan menggunakan baris subjek "Outgoing Payment”. Yang lain merujuk pada pembayaran tertentu yang seharusnya dilakukan oleh " Accounts Payable Department” yang merupakan cara penandatanganan email.

Serangan tersebut menyertakan beberapa email berbeda yang semuanya menggunakan manipulasi psikologis di sekitar tanda terima pembayaran untuk mendorong orang agar mengklik file terlampir yang tampak seperti PDF, tetapi sebenarnya berbahaya.

Satu email memberi tahu penerima bahwa itu menyertakan "Outgoing Payment" dengan nomor tertentu. Yang lain mengalamatkan pesan tersebut ke "Supplier” dan tampaknya memberitahu penerima bahwa "pembayaran Anda telah dirilis sesuai dengan saran pembayaran terlampir," meminta penerima untuk memverifikasi penyesuaian yang dibuat dalam PDF terlampir.

File terlampir dalam semua kasus ini, bukanlah PDF sama sekali, melainkan menghubungkan sistem ke domain jahat untuk mengunduh malware StrRAT, yang kemudian terhubung ke server C2.

Mitigasi

Microsoft 365 Defender, perangkat lunak antimalware buatan Microsoft, diklaim dapat melindungi sistem dari StrRAT.

Tim peneliti juga menerbitkan dokumen di GitHub dengan serangkaian kueri perburuan tingkat lanjut sehingga perangkat lunak antimalware dapat menemukan indikator perilaku berbahaya yang terkait dengan StrRAT dan ancaman serupa di PC.

Untuk mendeteksi perilaku penghindaran pertahanan, saat malware mencoba menemukan solusi produksi antivirus yang diterapkan pada perangkat yang disusupi, kueri berikut dapat digunakan:

DeviceProcessEvents
| where InitiatingProcessFileName in~("java.exe", "javaw.exe") and InitiatingProcessCommandLine has "roaming"
| where FileName == 'cmd.exe' and ProcessCommandLine has 'path antivirusproduct get displayname'

Untuk mencari email berisi domain yang diketahui terkait dengan pengiriman malware StrRAT, MSI merekomendasikan menggunakan kueri berikut:

EmailUrlInfo

| where UrlDomain has_any ('metroscaffingltg.co.uk',

'pg-finacesolutions.co.uk',

'jpfletcherconsultancy.co.uk',

'buildersworlinc.co.uk',

'bentlyconstbuild.co.uk',

'alfredoscafeltd.co.uk',

'zincocorporation.co.uk',

'playerscircleinc.co.uk',

'tg-cranedinc.co.uk',

'adamridley.co.uk',

'westcoasttrustedtaxis.co.uk',

'sivospremiumclub.co.uk',

'gossyexperience.co.uk',

'jeffersonsandc.co.uk',

'fillinaresortsltd.co.uk',

'tk-consultancyltd.co.uk')

Terakhir, kueri berikut mencari tugas terjadwal bernama "Skype", yang digunakan file JAR StrRAT untuk membuat persistensi pada mesin yang ditargetkan:

DeviceProcessEvents

| where InitiatingProcessFileName in~("java.exe","javaw.exe")

| where FileName == 'cmd.exe' and ProcessCommandLine has_all("schtasks /create", "tn Skype")