 |
| cover | @hp |
Dengan menyembunyikan kode berbahaya dalam gambar dan menghostingnya di situs web yang sah, penyerang lebih mungkin untuk melewati keamanan jaringan seperti proxy web yang mengandalkan pemeriksaan reputasi. Para peretas terindikasi menggunakan artificial intelligence (AI) atau kecerdasan buatan.
"Pada Q3, HP Sure Click menemukan kampanye yang menyebarkan malware VIP Keylogger dan 0bj3ctivityStealer yang mengandalkan teknik dan loader yang sama untuk menginfeksi PC. Dalam kedua kampanye tersebut, penyerang menyembunyikan kode berbahaya dalam gambar ( T1027.009 ) yang mereka unggah ke archive.org, situs web hosting file, dan menggunakan loader .NET yang sama untuk menginstal payload terakhir mereka.4 Dengan menyembunyikan kode berbahaya dalam gambar dan menghostingnya di situs web yang sah ( T1102 ), penyerang lebih mungkin untuk melewati keamanan jaringan seperti proxy web yang mengandalkan pemeriksaan reputasi," ungkap HP pabrikan perangkat laptop itu di laman threatresearch resminya, dikutip Senin (20/1/2025).
Selain itu, HP juga meirincikan salah satu teknik yang dilihat digunakan oleh pelaku ancaman untuk menginfeksi PC adalah penyelundupan HTML, di mana korban ditipu agar membuka file HTML yang berisi malware. Pada Q3, HP Sure Click menghentikan kampanye penyelundupan HTML yang mengirimkan trojan akses jarak jauh (RAT) XWorm.
"Aktivitas tersebut menyerupai kampanye yang mengirimkan AsyncRAT yang terlihat pada Q2 2024. Khususnya, file HTML tersebut memiliki ciri khas yang menunjukkan bahwa file tersebut telah ditulis dengan bantuan GenAI. Aktivitas tersebut menunjukkan semakin banyaknya penggunaan GenAI pada tahap akses awal dan pengiriman malware dari rantai serangan. Memang, pelaku ancaman akan memperoleh banyak manfaat dari GenAI, mulai dari serangan skala besar dan pembuatan variasi yang dapat meningkatkan rasio infeksinya, hingga membuat atribusi oleh pembela jaringan menjadi lebih sulit," ungkapnya.
Pada Q3, tim HP Threat Research mengidentifikasi sebuah kampanye yang dihentikan oleh HP Sure Click, tempat para pelaku ancaman mengunggah malware pencuri informasi ke repositori kode di GitHub untuk alat curang dan modifikasi gim video.
"Malware tersebut, Lumma Stealer, mencuri kata sandi, dompet mata uang kripto, dan data peramban milik korban," beber HP.
Sementara itu, organisasi MITRE ATT & CK berbasis pengatahuan mengungkapkan berkas yang tampaknya tidak berbahaya (seperti skrip dan file yang dapat dieksekusi) dapat disalahgunakan untuk membawa dan mengaburkan muatan dan konten berbahaya.
"Musuh dapat menanamkan muatan di dalam berkas lain untuk menyembunyikan konten berbahaya dari pertahanan. Berkas yang tampaknya tidak berbahaya (seperti skrip dan file yang dapat dieksekusi) dapat disalahgunakan untuk membawa dan mengaburkan muatan dan konten berbahaya. Dalam beberapa kasus, muatan yang ditanamkan juga dapat memungkinkan musuh untuk Melanggar Kontrol Kepercayaan dengan tidak memengaruhi kontrol eksekusi seperti tanda tangan digital dan notaris," ungkap MITRE ATT& CK.
Penyerang dapat menanamkan muatan dalam berbagai format file untuk menyembunyikan muatan. Hal ini mirip dengan Steganografi , meskipun tidak melibatkan penenunan konten berbahaya ke dalam byte dan pola tertentu yang terkait dengan format media digital yang sah.
"Misalnya, penyerang telah diamati menanamkan muatan di dalam atau sebagai lapisan dari biner yang tidak berbahaya. Penyerang juga telah diamati menumpuk muatan (seperti file yang dapat dieksekusi dan skrip yang hanya dapat dijalankan) di dalam file dengan format yang sama," jelasnya.
Konten yang disematkan juga dapat digunakan sebagai muatan Proses Injeksi yang digunakan untuk menginfeksi proses sistem yang tidak berbahaya. Muatan yang disematkan lalu disuntikkan ini dapat digunakan sebagai bagian dari modul malware yang dirancang untuk menyediakan fitur-fitur tertentu seperti mengenkripsi komunikasi C2 untuk mendukung modul orkestrasi.
"Misalnya, modul yang disematkan dapat disuntikkan ke dalam peramban bawaan, yang memungkinkan penyerang untuk berkomunikasi melalui jaringan," terangnya.
.png.webp)
