Beragam cara dilakukan oleh penjahat siber dalam menjalankan aksi mereka, salah satu trik strategi terbaru mereka dengan menempatkan malware di platform hosting media.
Pelaku ancaman bermotivasi finansial yang menggunakan perangkat USB untuk infeksi awal ditemukan menyalahgunakan platform online yang sah.
Platform tersebut termasuk GitHub, Vimeo, dan Ars Technica, untuk menampung muatan berkode yang tertanam dalam konten yang tampaknya tidak berbahaya.
Para pelaku menyembunyikan muatan ini di depan mata, menempatkannya di profil pengguna forum di situs berita teknologi atau deskripsi video di platform hosting media.
Muatan ini tidak menimbulkan risiko bagi pengguna yang mengunjungi halaman web ini, karena muatan tersebut hanyalah string teks.
Namun, ketika diintegrasikan ke dalam operasi rantai serangan, mereka berperan penting dalam mengunduh dan mengeksekusi malware dalam serangan.
Peretas yang bertanggung jawab atas kampanye ini dilacak sebagai UNC4990 dan telah aktif sejak tahun 2020, sebagian besar menargetkan pengguna.
Baca juga: Mengenal Malware as a Service |
Hosting muatan yang tidak disengaja
Serangan dimulai dengan korban mengklik dua kali file shortcut LNK berbahaya pada drive USB. Tidak diketahui bagaimana perangkat USB berbahaya mencapai korban yang ditargetkan untuk memulai rantai serangan.
Saat pintasan diluncurkan, pintasan tersebut mengeksekusi skrip PowerShell explorer.ps1, yang pada gilirannya mengunduh muatan perantara yang menerjemahkan kode ke URL yang digunakan untuk mengunduh dan menginstal pengunduh malware bernama EmptySpace.
Muatan perantara ini adalah string teks yang diterjemahkan menjadi URL untuk mengunduh muatan berikutnya: EmptySpace.
UNC4990 telah mencoba beberapa pendekatan untuk menghosting muatan perantara, awalnya menggunakan file teks yang disandikan di GitHub dan GitLab
Kemudian beralih ke penyalahgunaan Vimeo dan Ars Technica untuk menghosting muatan string yang dikodekan Base64 dan dienkripsi AES.
Diketahui bahwa pelaku tidak mengeksploitasi kerentanan di situs-situs ini tetapi hanya menggunakan fitur situs biasa, seperti halaman Tentang di profil forum Ars Technica atau deskripsi video Vimeo, untuk secara diam-diam menampung muatan yang dikaburkan tanpa menimbulkan kecurigaan.
Selain itu, muatan ini tidak secara langsung mengancam pengunjung situs yang disalahgunakan karena hanya berupa string teks yang tidak berbahaya, dan semua kasus yang didokumentasikan oleh Mandiant kini telah dihapus dari platform perantara yang terkena dampak.
Keuntungan menghosting muatan pada platform yang sah dan bereputasi baik adalah bahwa muatan tersebut dipercaya oleh sistem keamanan, sehingga mengurangi kemungkinan muatan tersebut ditandai sebagai mencurigakan.
Selain itu, pelaku mendapat manfaat dari jaringan pengiriman konten yang kuat di platform tersebut dan memiliki ketahanan terhadap penghapusan.
Menyematkan muatan dalam konten yang sah dan mencampurkannya dengan lalu lintas sah dalam jumlah besar akan mempersulit pendeteksian dan penghapusan kode berbahaya.
Meski begitu, penyerang dapat dengan mudah memperkenalkannya kembali pada platform berbeda yang mendukung komentar atau profil yang dapat dilihat publik.
Baca juga: 7 Cara Malware Menyusup |
Backdoor QuietBoard
Skrip PowerShell mendekode, mendekripsi, dan mengeksekusi muatan perantara yang diambil dari situs sah dan menyusupkan EmptySpace pada sistem yang terinfeksi, yang menjalin komunikasi dengan server perintah dan kontrol (C2) kampanye.
Pada fase serangan selanjutnya, EmptySpace mengunduh backdoor bernama QuietBoard, serta penambang koin kripto yang menambang Monero, Ethereum, Dogecoin, dan Bitcoin.
Alamat dompet yang ditautkan ke kampanye ini telah menghasilkan keuntungan melebihi $55.000, tidak termasuk Monero, yang disembunyikan.
QuietBoard adalah pintu belakang multi-komponen canggih yang digunakan oleh UNC4990, menawarkan berbagai kemampuan, termasuk:
- Menjalankan perintah atau skrip yang diterima dari server C2.
- Mengeksekusi kode Python yang diterima dari C2.
- Mengubah konten papan klip untuk pencurian mata uang kripto.
- Menginfeksi USB/drive yang dapat dilepas untuk menyebarkan malware di sistem lain.
- Mengambil tangkapan layar untuk pencurian informasi.
- Mengumpulkan informasi sistem dan jaringan secara rinci.
- Menentukan lokasi geografis sistem yang terinfeksi.
QuietBoard juga membangun persistensi saat reboot sistem dan mendukung penambahan fungsi baru secara dinamis melalui modul tambahan.
Dapat disimpulkan dengan menggarisbawahi bagaimana UNC4990 suka melakukan eksperimen dengan operasi untuk menemukan jalur optimal bagi rantai serangan dan penyempurnaan metodologinya.
Meskipun tindakan pencegahannya terlihat mudah, malware berbasis USB terus menimbulkan ancaman yang signifikan dan menjadi media penyebaran yang efektif bagi penjahat dunia maya.
Mengenai taktik penyalahgunaan situs sah untuk menanam muatan perantara, hal ini menunjukkan bahwa ancaman dapat mengintai di lokasi yang tidak terduga dan tampaknya tidak berbahaya, sehingga menantang paradigma keamanan konvensional.
Demikianlah pembahasan mengenai malware di platform hosting media, semoga informasi tersebut dapat bermanfaat dan memberi wawasan baru seputar dunia siber.
Sumber berita: