Cyberthreat.id – Peretas (hacker) diketahui tengah bereksperimen menggunakan file audio WAV untuk menyembunyikan kode-kode berbahaya. Namun, sepanjang tahun ini belum ditemukan penggunaan teknik tersebut untuk sebuah serangan.

Demikian berdasarkan dua laporan perusahaan cybersecurity Symantec dan BlackBerry Cylance, seperti dikutip dari ZDNet, Rabu (16 Oktober 2019).

Teknik yang dipakai penjahat siber tersebut dikenal sebagai “steganografi”, yaitu seni menyembunyikan informasi di depan mata, tapi menggunakan media lain.

Di bidang perangkat lunak, “steganografi” atau “stego” digunakan untuk menggambarkan proses menyembunyikan file atau teks dalam file lain dari format yang berbeda. Misalnya, menyembunyikan teks biasa di dalam format biner gambar.

Steganografi telah populer di kalangan operator malware selama lebih dari satu dekade. Penulis malware tidak menggunakan steganografi untuk menginfeksi sistem, tetapi lebih sebagai metode transfer.

Steganografi memungkinkan file menyembunyikan kode berbahaya untuk memotong perangkat lunak keamanan yang membuat daftar putih format file yang tidak dapat dieksekusi (seperti file multimedia).

Sebagai contoh, sebelumnya, pernah ditemukan steganografi di format file gambar, seperti PNG atau JEPG.

Temuan pertama steganografi dilakukan Symantec pada Juni lalu. Peneliti keamanan Symantec mengatakan telah melihat kelompok spionase siber diduga berasal dari Rusia yang dikenal sebagai Waterbug (atau Turla) menggunakan file WAV.

Kampanye malware kedua terlihat Oktober ini oleh BlackBerry Cylance. Dalam sebuah laporan yang diterbitkan kemarin, Cylance mengatakan melihat sesuatu yang mirip dengan apa yang dilihat Symantec beberapa bulan sebelumnya.

Sementara laporan Symantec menggambarkan operasi spionase maya negara, Cylance mengatakan teknik steganografi WAV disalahgunakan dalam operasi malware cryptomining atau penambangan mata uang kripto.

Cylance mengatakan aktor ancaman khusus ini menyembunyikan DLL (dynamic-link library) di dalam file audio WAV. Malware yang ada pada host terinfeksi akan mengunduh dan membaca file WAV, mengekstrak DLL sedikit demi sedikit, dan kemudian menjalankannya, menginstal aplikasi penambang cryptocurrency bernama XMRrig.

Josh Lemos, Wakil Presiden Riset dan Intelijen di BlackBerry Cylance, mengatakan, jenis malware ini menggunakan steganografi WAV terlihat pada desktop Windows.

Lemos juga menuturkan, ini pertama kalinya jenis malware penambangan cryptomining terlihat menggunakan steganografi yang disalahgunakan, terlepas dari apakah itu file PNG, JPEG, atau WAV.

“Ini menunjukkan bahwa penulis malware cryptomining tumbuh dengan sangat canggih,” kata dia.

“Penggunaan teknik stego membutuhkan pemahaman mendalam tentang format file target. Ini umumnya digunakan oleh aktor ancaman canggih yang ingin tetap tidak terdeteksi untuk jangka waktu yang lama,” ia menambahkan.

"Mengembangkan teknik stego membutuhkan waktu [...] dan Stego dapat digunakan dengan format file apa saja ...”.

Dengan kata lain, bertahan melawan steganografi dengan memblokir format file yang rentan bukanlah solusi yang tepat, kata dia, karena perusahaan pada akhirnya akan memblokir pengunduhan banyak format populer, seperti JPEG, PNG, BMP, WAV, GIF, WebP, TIFF, dan banyak lagi.

Hal itu justru mendatangkan malapetaka di jaringan internal dan membuatnya tidak mungkin untuk menavigasi internet modern.

Cara yang tepat untuk berurusan dengan steganografi adalah “... tidak berurusan dengan itu sama sekali. Karena stego hanya digunakan sebagai metode transfer data, perusahaan harus fokus pada pendeteksian titik masuk/infeksi malware yang menyalahgunakan stegonagrafi, atau eksekusi kode yang tidak sah yang dihasilkan oleh file yang diletakkan di stego,” tulis ZDNet.