Cyberthreat.id – Kaspersky, perusahaan keamanan siber asal Rusia, menemukan perangkat lunak jahat (malware) Windows PowerShell berjuluk “PowerPepper” yang dikembangkan oleh grup hacker bayaran bernama “DeathStalker”.

DeathStalker (sebelumnya dikenal dengan Deceptikons) adalah grup hacker yang beraktivitas kembali pada 2012. Grup ini dikenal karena menggunakan berbagai jenis malware dan rantai pengiriman kompleks. Mereka juga memakai taktik pengelabuan deteksi antimalware.

DeathStalker adalah salah satu dari empat grup peretas bayaran yang terekspos pada 2020, bersama dengan BellTrox (aka Dark Basin), Bahamut, dan CostaRicto, demikian seperti dikutip dari BleepingComputer, diakses Jumat (4 Desember 2020).

Sampel baru PowerPepper ditemukan oleh Kaspersky pada Mei 2020 saat meneliti serangan lain menggunakan alat berbasis PowerShell lain dari grup yang dikenal sebagai “Powersing”.

Sejak penemuannya, PowerPepper terus dikembangkan dengan versi baru dan rantai pengirimannya disesuaikan dengan target baru.

Malware baru tersebut, kata Kaspersky, adalah pintu belakang (backdoor) berbasis Windows PowerShell dalam memori yang memungkinkan operatornya untuk menjalankan perintah shell yang dikirimkan dari jarak jauh melalui peladen (server) command-and-control (C2).

Kemampuannya mencakup beberapa taktik anti-deteksi seperti "deteksi gerakan mouse, pemfilteran alamat MAC klien, penanganan aplikasi Excel, dan inventaris produk antivirus".

Malware dikirim ke komputer target dalam bentuk lampiran berbahaya email spear-phishing atau tautan yang mengarah ke dokumen yang berisi makro Visual Basic for Application (VBA) berbahaya yang menjalankan PowerPepper dan mendapatkan persistensi pada sistem yang terinfeksi.

Rantai pengiriman berbasis makro dan berbasis LNK juga memiliki sidik jari DeathStalker dengan beberapa trik penyamaran, eksekusi, dan penyamaran yang digunakan untuk menghindari deteksi.

Trik penghindaran rantai pengiriman PowerPepper meliputi:

• menyembunyikan muatan di Word yang ditanam di properties.
• menggunakan file Windows Compiled HTML Help (CHM) sebagai arsip untuk file berbahaya
• menyamarkan dan mengaburkan file persisten
• menyembunyikan muatan dalam gambar menggunakan steganografi dan lain-lain

Apa yang menonjol dalam daftar fitur malware ini ialah caranya berkomunikasi dengan server C2-nya menggunakan responden Cloudflare melalui DNS melalui saluran HTTPS (DoH).[]