The Hacker News
The Hacker News
Cyberthreat.id - Kampanye phishing baru dengan nama kode MULTI#STORM telah mengincar India dan AS dengan memanfaatkan file JavaScript untuk mengirimkan trojan akses jarak jauh pada sistem yang disusupi.
“Rantai serangan berakhir dengan mesin korban yang terinfeksi beberapa contoh malware RAT (remote access trojan) unik, seperti Warzone RAT dan Quasar RAT,” kata peneliti Securonix Den Iuzvyk, Tim Peck, dan Oleg Kolesnikov, sebagaimana ditulis The Hacker News.
"Keduanya digunakan untuk perintah-dan-kontrol selama berbagai tahap rantai infeksi."
Rantai serangan multi-tahap dimulai saat penerima email mengklik tautan tersemat yang menunjuk ke file ZIP yang dilindungi kata sandi ("REQUEST.zip") yang dihosting di Microsoft OneDrive dengan kata sandi "12345."
Mengekstrak file arsip mengungkapkan file JavaScript yang sangat dikaburkan ("REQUEST.js") yang, ketika diklik dua kali, mengaktifkan infeksi dengan menjalankan dua perintah PowerShell yang bertanggung jawab untuk mengambil dua muatan terpisah dari OneDrive dan menjalankannya.
Yang pertama dari dua file adalah dokumen PDF umpan yang ditampilkan kepada korban sementara file kedua, yang dapat dieksekusi berbasis Python, dijalankan secara diam-diam di latar belakang.
Biner bertindak sebagai penetes untuk mengekstrak dan menjalankan muatan utama yang dikemas di dalamnya dalam bentuk string yang disandikan Base64 ("Storm.exe"), tetapi tidak sebelum menyiapkan persistensi melalui modifikasi Registri Windows.
Juga didekodekan oleh biner adalah file ZIP kedua ("files.zip") yang berisi empat file berbeda, masing-masing dirancang untuk melewati Kontrol Akun Pengguna (UAC) dan meningkatkan hak istimewa dengan membuat direktori tepercaya tiruan.
Di antara file-file tersebut adalah file batch ("check.bat") yang menurut Securonix memiliki beberapa kesamaan dengan loader lain bernama DBatLoader meskipun terdapat perbedaan dalam bahasa pemrograman yang digunakan.
File kedua bernama "KDECO.bat" mengeksekusi perintah PowerShell untuk menginstruksikan Microsoft Defender untuk menambahkan aturan pengecualian antivirus untuk melewati direktori "C:\Users".
Serangan itu memuncak dengan penyebaran Warzone RAT (alias Ave Maria), malware siap pakai yang tersedia untuk dijual seharga $38 per bulan dan dilengkapi dengan daftar lengkap fitur untuk mengumpulkan data sensitif dan mengunduh malware tambahan seperti Quasar RAT.
"Sangat penting untuk tetap ekstra waspada ketika datang ke email phishing, terutama ketika rasa urgensi ditekankan," kata para peneliti.
"Iming-iming khusus ini umumnya biasa-biasa saja karena mengharuskan pengguna untuk mengeksekusi file JavaScript secara langsung. File pintasan, atau file yang menggunakan ekstensi ganda kemungkinan akan memiliki tingkat keberhasilan yang lebih tinggi."[]
Share: