Rantai Malware VEIL#DROP Menggunakan Platform Blogger untuk Memberikan Pencuri PureLogs
Peneliti keamanan siber telah menandai rantai serangan pengiriman malware multi-tahap baru yang menggunakan rekayasa sosial dan halaman Blogger untuk mengirimkan pencuri informasi yang disebut PureLogs.
Sumber: thehackernews. com
Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Peneliti keamanan siber telah menandai rantai serangan pengiriman malware multi-tahap baru yang menggunakan rekayasa sosial dan halaman Blogger untuk mengirimkan pencuri informasi…
Peneliti keamanan siber telah menandai rantai serangan pengiriman malware multi-tahap baru yang menggunakan rekayasa sosial dan halaman Blogger untuk mengirimkan pencuri informasi yang disebut PureLogs.
“Rantai infeksi dimulai dengan file JavaScript bernama palsu yang menyamar sebagai dokumen (misalnya, Transcript. pdf. js), yang dieksekusi melalui Windows Script Host dan meluncurkan PowerShell dengan kebijakan bypass yang diaktifkan,” kata peneliti Akshay Gaikwad, Shikha Sangwan, dan Aaron Beardslee dalam laporan yang dibagikan kepada The Hacker News.
Payload PowerShell yang diunduh bertindak sebagai saluran untuk memuat halaman web yang tidak berbahaya seperti Google, menciptakan kesan bahwa dokumen PDF sedang dibuka, sementara rangkaian infeksi berlangsung secara diam-diam di latar belakang, yang pada akhirnya mengarah pada penerapan PureLogs Stealer, sebuah infostealer berbasis. NET yang dikenal karena mengambil beragam data sensitif dari host yang disusupi.
“Setelah dekripsi XOR berhasil, loader bertransisi menjadi salah satu komponen kerangka kerja VEIL#DROP yang paling mengelak: pembuatan tahap dinamis dikombinasikan dengan mutasi runtime,” jelas Securonix. “Daripada menggunakan indikator statis seperti URL yang dikodekan atau pola eksekusi yang dapat diprediksi, malware ini membangun lokasi muatan tahap berikutnya secara dinamis selama eksekusi.”
Skrip yang direkonstruksi akhirnya dieksekusi seluruhnya di memori tanpa meninggalkan artefak apa pun di disk. Komponen ini berfungsi sebagai pemuat yang bertanggung jawab untuk mendekode dan menjalankan komponen inti malware, yang tidak lain hanyalah rakitan. NET yang diluncurkan menggunakan teknik yang dikenal sebagai pemuatan kode reflektif.
Jika kontrol keamanan dan pembatasan lingkungan lainnya mencegahnya mengeksekusi rakitan. NET yang dipulihkan langsung dari memori, loader menggunakan metode eksekusi fallback yang bergantung pada biner yang ditandatangani Microsoft, seperti "regsvcs. exe," "installutil. exe," "msbuild. exe," dan "aspnet_compiler. exe," untuk mencapai tujuan yang sama tanpa menarik perhatian apa pun.
Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.