Ancaman siber kembali berkembang dengan cara yang makin canggih dan sulit dideteksi. Kali ini, para peneliti keamanan siber menemukan sebuah kampanye email berbahaya yang memanfaatkan berbagai jenis file populer untuk menyebarkan malware.
Baca Juga : Midnight Ransomware Ternyata Punya Celah, File Bisa Dipulihkan!
Menariknya, serangan ini tidak menggunakan teknik murahan, melainkan memanfaatkan commodity loader untuk mendistribusikan Remote Access Trojan (RAT) dan information stealer secara terstruktur dan berlapis.
Kampanye ini secara khusus menargetkan organisasi manufaktur dan lembaga pemerintahan di beberapa negara, seperti Italia, Finlandia, dan Arab Saudi. Dengan teknik yang sangat evasif, serangan ini mampu melewati banyak sistem keamanan konvensional yang biasa digunakan perusahaan.
Strategi Serangan Multi-Vektor yang Sulit Dideteksi
Berbeda dari serangan phishing biasa, kampanye ini menggunakan berbagai metode infeksi sekaligus untuk mengompromikan sistem Windows. Salah satu jalur yang digunakan adalah dokumen Microsoft Office berbahaya yang mengeksploitasi celah keamanan lama, yaitu CVE-2017-11882. Celah ini merupakan kerentanan korupsi memori pada komponen Equation Editor, yang hingga kini masih sering ditemukan aktif di sistem lama.
Tak hanya itu, pelaku juga memanfaatkan file SVG berbahaya, serta arsip ZIP yang di dalamnya terdapat shortcut LNK. Semua metode tersebut pada akhirnya mengarah ke satu infrastruktur yang sama, yaitu commodity loader yang bertugas mengunduh dan mengeksekusi malware lanjutan.
Serangan diawali dengan email phishing terarah yang menyamar sebagai pesan resmi berisi Purchase Order (PO) dari mitra bisnis. Karena tampilannya sangat meyakinkan, banyak korban tidak menyadari bahwa email tersebut sebenarnya jebakan.
Di dalam email, korban diarahkan membuka arsip RAR yang berisi file JavaScript tahap awal. File ini dirancang khusus untuk melewati proses penyaringan keamanan awal, termasuk email gateway dan antivirus standar.
Empat Tahap Eksekusi Malware yang Sangat Licik
Malware dalam kampanye ini berjalan melalui empat tahap eksekusi yang dirancang untuk menghindari deteksi sejak awal.
Pada tahap pertama, file JavaScript berisi kode yang sangat terobfuscation. Kode ini memecah dan menyusun ulang string berbahaya menggunakan teknik split dan join. Saat dijalankan, skrip ini membuat proses PowerShell tersembunyi dengan memanfaatkan Windows Management Instrumentation (WMI).
Tahap kedua dimulai ketika PowerShell mengunduh sebuah file PNG berbahaya dari layanan hosting yang terlihat sah, seperti Archive.org. Di balik tampilan gambar biasa, file PNG ini menyimpan assembly .NET terenkripsi base64 yang disisipkan di bagian akhir file menggunakan teknik steganografi. Payload ini diekstrak menggunakan regular expression dan langsung dimuat ke memori, tanpa pernah disimpan ke disk.
Pada tahap ketiga, pelaku memanfaatkan library open-source TaskScheduler dari GitHub. Library ini dimodifikasi dengan menambahkan fungsi berbahaya, lalu dikompilasi ulang sehingga menghasilkan assembly trojanized. Karena masih terlihat seperti software sah, file ini sangat sulit dicurigai oleh sistem keamanan.
Tahap terakhir menggunakan teknik process injection. Malware membuat proses RegAsm.exe dalam kondisi suspended, lalu menyuntikkan payload ke dalam ruang memorinya. Teknik ini dikenal sebagai process hollowing, yang memungkinkan malware menyamar sebagai proses Windows yang sah saat menjalankan kode berbahaya.
Payload Malware dan Dampaknya ke Sistem
Melalui mekanisme tersebut, kampanye ini berhasil mendistribusikan berbagai RAT dan information stealer, seperti PureLog Stealer, Katz Stealer, DC Rat, Async Rat, dan Remcos. Masing-masing malware ini memiliki kemampuan untuk mencuri data sensitif dari sistem korban.
Salah satu payload utama, PureLog Stealer, didekripsi menggunakan enkripsi Triple DES (3DES) dalam mode CBC sebelum dijalankan. Malware ini mampu mencuri kredensial browser, data dompet cryptocurrency, serta informasi sistem secara lengkap.
Peneliti dari Cyble Research and Intelligence Labs (CRIL) juga menemukan teknik baru bypass User Account Control (UAC). Malware memantau proses pembuatan aplikasi di sistem dan memicu prompt UAC saat aplikasi sah dijalankan, sehingga korban tanpa sadar memberikan hak akses administrator.
Analisis lintas kampanye menunjukkan bahwa metode ini digunakan oleh banyak aktor ancaman. Riset dari Seqrite, Nextron Systems, dan Zscaler menemukan kesamaan pola eksekusi dan penamaan class di berbagai keluarga malware, menandakan bahwa loader ini berfungsi sebagai framework bersama yang tersedia luas di dunia kejahatan siber.
Baca Juga : QR Code Palsu Jadi Senjata Baru Hacker untuk Serang Akun Microsoft Kalian
Langkah Pencegahan yang Perlu Dilakukan
Untuk mengurangi risiko dari serangan semacam ini, organisasi disarankan untuk memperketat filter email, menonaktifkan komponen Equation Editor lama di Microsoft Office, serta lebih teliti terhadap lampiran gambar dan arsip yang diterima melalui email.
Selain itu, pemantauan aktivitas PowerShell yang mencurigakan juga menjadi langkah penting untuk mendeteksi serangan sejak dini. Di tengah ancaman yang semakin kompleks, kewaspadaan pengguna dan sistem keamanan berlapis menjadi kunci utama untuk menjaga data tetap aman.
