Cyberthreat.id - Para penjahat cyber terus merancang teknik baru untuk menghindari deteksi. Baru-baru ini muncul modus baru menggunakan log kesalahan (error log) palsu untuk menyimpan karakter American Standard Code for Information Interchange (ASCII) - disamarkan sebagai nilai heksadesimal yang diterjemahkan ke muatan (payload) berbahaya untuk menyiapkan landasan bagi serangan berbasis skrip (script-based attack).

Untuk mengembangkan dan mengeksekusi tradecraft, pengembang malware ini menggunakan trik baru yang terkait dengan log kesalahan untuk menyembunyikan serangan canggih baru di depan mata.

Pada 18 Juni lalu para peneliti Huntress Labs menemukan serangan yang mencakup trik-trik seperti mengganti nama file yang sah, menyamar sebagai tugas terjadwal, dan menggunakan muatan berbahaya yang disimpan dalam file, dibuat seperti log kesalahan untuk disembunyikan tapi terlihat (plain sight).

File log kesalahan berisi stempel waktu (timestamps) dan referensi ke OS 6.2, nomor versi internal Windows untuk Windows 8, dan Windows Server 2012.

Muatan terakhir digunakan untuk mengumpulkan rincian tentang host yang diretas, aplikasi yang diinstal khusus perangkat lunak Point of Sale (PoS), aplikasi keuangan, browser, perangkat lunak pajak (Lacerte dan ProSeries), produk keamanan (Kaspersky, Comodo, Defender), alamat IP, hak administratif, dll.

Dalam serangan sebelumnya, penjahat cyber diamati telah menggunakan steganografi dan teknik licik lainnya untuk menyembunyikan kode berbahaya di dalam file yang tampak sah.

Steganografi adalah seni dan ilmu menulis pesan tersembunyi atau menyembunyikan pesan dengan suatu cara sehingga selain si pengirim dan si penerima, tidak ada seorangpun yang mengetahui atau menyadari bahwa ada suatu pesan rahasia. 

Baru-baru ini Tycoon ransomware diamati menyembunyikan muatannya dalam file gambar Java untuk mencegah deteksi pada sistem Windows dan Linux serta menargetkan jaringan perusahaan.

Pada Mei 2020, penyerang menargetkan korban di Jepang, AS, Jerman, Italia, dan mengirimkan skrip PowerShell berbahaya yang disembunyikan dalam file gambar untuk mencuri kredensial karyawan dari organisasi yang terkait dengan sektor industri.

Di bulan yang sama, kelompok Tropic Trooper menggunakan teknik steganografi untuk menutupi rutinitas backdoor mereka dan menghindari anti-malware dan deteksi perimeter jaringan.

Untuk menghadapi serangan ini, pengguna harus menggunakan intelijen ancaman (Threat Intelligence) untuk tetap mengikuti perkembangan steganografi dan ancaman lainnya. 

Kemudian, sangat disarankan untuk mempercepat dan memprioritaskan tambalan (patch) kerentanan, pembaruan, dan kontrol kebijakan. Juga melindungi jaringan terhadap eksploitasi aplikasi, perangkat lunak berbahaya, botnet, dan kerentanan zero-day.[]