Serangkaian malware baru ditemukan menggunakan file Word dengan makro untuk mengunduh skrip PowerShell dari GitHub.
Skrip PowerShell ini selanjutnya mengunduh file gambar yang sah dari layanan hosting gambar Imgur untuk memecahkan kode skrip Cobalt Strike pada sistem Windows.
Beberapa peneliti mengaitkan strain ini dengan MuddyWater (alias SeedWorm dan TEMP.Zagros), kelompok advanced persistent threat (APT) yang didukung pemerintah, pertama kali diamati pada tahun 2017 sementara terutama menargetkan entitas Timur Tengah.
Malware yang terlihat “seperti MuddyWater”, menurut peneliti Arkbird, dikirimkan sebagai makro yang disematkan dalam file Microsoft Word (*.doc) lama, dengan gaya grup APT. Dalam pengujian oleh BleepingComputer, ketika dokumen Word dibuka, dokumen tersebut menjalankan makro yang disematkan. Makro selanjutnya meluncurkan PowerShell.exe dan memberinya lokasi dari skrip PowerShell yang dihosting di GitHub.
Skrip single-line PowerShell memiliki instruksi untuk mengunduh file PNG asli dari layanan hosting gambar Imgur. Meskipun gambar ini sendiri mungkin tidak berbahaya, nilai pikselnya digunakan oleh skrip PowerShell dalam menghitung muatan tahap berikutnya. Skrip yang didekodekan yang diperoleh dari manipulasi nilai piksel PNG adalah skrip Cobalt Strike.
Teknik menyembunyikan kode, data rahasia, atau muatan berbahaya dalam file biasa, seperti gambar, dikenal sebagai steganografi.
Peneliti telah menyediakan YARA rule yang dapat digunakan untuk mendeteksi varian di lingkungan Anda.
IOC yang terkait dengan dokumen Word yang berisi makro yang digunakan dalam kampanye malware ini diberikan di bawah ini:
d1c7a7511bd09b53c651f8ccc43e9c36ba80265ba11164f88d6863f0832d8f81
ed93ce9f84dbea3c070b8e03b82b95eb0944c44c6444d967820a890e8218b866
Jika Anda menerima dokumen Word yang mencurigakan dalam email phishing atau melalui cara lain, jangan membukanya atau menjalankan “makro” di dalamnya.
Sumber: Bleeping Computer
