Credit image: Freepix
Serangan Phising Terbaru Menggunakan File Gambar SVG – Sebuah operasi malware baru-baru ini menyebar di beberapa kawasan, menjadi contoh nyata bagaimana penjahat siber terus berevolusi dan menyempurnakan taktik mereka.
Serangan ini mengandalkan rekayasa sosial, di mana korban menerima email yang dibuat seolah-olah berasal dari institusi tepercaya.
Pesan-pesan tersebut menciptakan aura urgensi, seperti peringatan tentang tuntutan hukum atau panggilan pengadilan. Taktik ini memang sudah umum dan bertujuan untuk menakut-nakuti penerima agar mengklik tautan atau membuka lampiran tanpa berpikir dua kali.
Tujuan akhir dari kampanye multi-tahap ini adalah untuk menginstal AsyncRAT, sebuah Remote Access Trojan (RAT) yang memungkinkan penyerang memantau dan mengendalikan perangkat dari jarak jauh.
AsyncRAT, yang pertama kali terdeteksi pada tahun 2019, dapat merekam ketikan keyboard, mengambil tangkapan layar, membajak kamera dan mikrofon, serta mencuri kredensial login yang tersimpan di peramban web.
Namun, satu hal yang membedakan kampanye ini dari yang lain adalah penggunaan file SVG (Scalable Vector Graphics) berukuran sangat besar yang berisi “paket lengkap.”
Ini menghilangkan kebutuhan untuk koneksi eksternal ke server perintah dan kendali (C&C) untuk mengirim perintah atau mengunduh payload berbahaya tambahan.
Penyerang juga tampaknya mengandalkan alat kecerdasan buatan (AI) untuk membantu mereka menghasilkan file yang disesuaikan untuk setiap target.
|
Baca juga: Malware Tanpa File atau Fileless |
SVG sebagai Vektor Serangan
Serangan yang melibatkan gambar jebakan, seperti file JPG atau PNG, bukanlah hal baru. Ini juga bukan pertama kalinya file SVG secara khusus dipersenjatai untuk menyebarkan RAT atau malware lainnya.
Teknik ini, yang disebut “SVG smuggling”, baru-baru ini ditambahkan ke basis data MITRE ATT&CK setelah semakin banyak terdeteksi dalam serangan.
Mengapa SVG begitu menarik bagi penyerang?
- File SVG adalah file gambar vektor yang serbaguna dan ringan.
- Kemampuannya untuk menyimpan skrip, tautan tersema.
- Dan elemen interaktif membuatnya rentan untuk disalahgunaka.
- Sekaligus meningkatkan kemungkinan untuk menghindari deteksi oleh beberapa alat keamanan tradisional.
Operasi ini, dimulai dengan email yang terlihat sah dan menyertakan lampiran SVG. Mengklik file tersebut, yang biasanya berukuran lebih dari 10 MB, tidak akan membuka grafik atau ilustrasi sederhana.
Sebaliknya, peramban web Anda (di mana file SVG secara default akan terbuka) akan menampilkan sebuah portal yang meniru sistem peradilan. Anda bahkan akan melihat “alur kerja” lengkap dengan halaman verifikasi palsu dan bilah kemajuan.
File SVG ini dideteksi oleh produk ESET sebagai JS/TrojanDropper.Agent.PSJ. Setelah diklik, ia akan menjalankan sebuah proses, dan beberapa saat kemudian, peramban web Anda mengunduh archive ZIP yang dilindungi kata sandi.
Kata sandi untuk membuka archive ZIP tersebut dengan mudah ditampilkan tepat di bawah pesan “Pengunduhan selesai”, mungkin untuk memperkuat ilusi keaslian.
File ini berisi sebuah executable yang, setelah dijalankan, akan melanjutkan serangan untuk mengkompromikan perangkat dengan AsyncRAT.
|
Baca juga: Menyembunyikan Kode dalam Atribut File |
Di Balik Dropper yang Cerdas
Kampanye phishing dan malware umumnya mengirim lampiran yang sama ke banyak inbox korban. Namun, dalam kasus ini, setiap korban menerima file yang berbeda.
Meskipun semuanya berasal dari taktik yang sama, setiap file diisi dengan data acak, membuat setiap sampel unik.
Keacakan ini, yang kemungkinan besar melibatkan penggunaan alat pembuat file sesuai permintaan, juga dirancang untuk mempersulit deteksi oleh produk keamanan dan pembela siber.
Payload tidak diambil dari luar, sebaliknya ia disematkan di dalam XML itu sendiri dan dirakit “secara langsung” (on the fly). Penampilan XML juga menunjukkan kejanggalan, seperti teks boilerplate, bidang kosong, nama kelas yang berulang.
Dan bahkan beberapa “hash verifikasi” yang ternyata adalah string MD5 tidak valid. Ini menunjukkan bahwa template ini bisa jadi merupakan hasil keluaran dari Model Bahasa Besar (Large Language Model), atau LLM.
Pelajaran yang Dapat Diambil
Dengan mengemas semuanya ke dalam file SVG yang terlihat tidak berbahaya dan mungkin memanfaatkan template yang dihasilkan AI, para penyerang berupaya meningkatkan skala operasi mereka dan menaikkan standar penipuan.
Pelajaran di sini sangatlah jelas: kewaspadaan adalah kunci. Hindari mengklik tautan dan lampiran yang tidak diminta, terutama jika pesan menggunakan bahasa yang mendesak. Selain itu, perlakukan file SVG dengan sangat curiga.
Tidak ada lembaga pemerintah yang akan mengirimkan Anda file SVG sebagai lampiran email. Mengenali tanda-tanda peringatan dasar ini bisa menjadi pembeda antara berhasil menghindari jebakan atau menyerahkan kunci perangkat Anda kepada penyerang.
Tentu saja, kombinasikan kewaspadaan ini dengan praktik dasar keamanan siber, seperti menggunakan kata sandi yang kuat dan unik serta otentikasi dua faktor (2FA) di mana pun tersedia.
Perangkat lunak keamanan di semua perangkat Anda juga merupakan garis pertahanan yang tidak dapat ditawar-tawar terhadap segala jenis ancaman siber.
Sumber berita:
