malware Snake

Analis ancaman telah menemukan kampanye distribusi malware baru-baru ini menggunakan lampiran PDF untuk menyelundupkan dokumen Word berbahaya yang menginfeksi pengguna dengan malware.

Pilihan PDF tidak biasa, karena sebagian besar email berbahaya saat ini datang dengan lampiran DOCX atau XLS yang dicampur dengan kode makro yang memuat malware.

Dalam laporan baru oleh HP Wolf Security, para peneliti menggambarkan bagaimana PDF digunakan sebagai transportasi untuk dokumen dengan makro jahat yang mengunduh dan menginstal malware pencuri informasi di mesin korban.

PDF datang melalui email bernama “Faktur Pengiriman Uang”, dan dugaan kami adalah bahwa badan email berisi janji pembayaran yang tidak jelas kepada penerima.

Saat PDF dibuka, Adobe Reader meminta pengguna untuk membuka file DOCX yang ada di dalamnya, yang sudah tidak biasa dan mungkin membingungkan korban.

Karena pelaku ancaman menyebut dokumen yang disematkan “telah diverifikasi”, perintah Buka File di bawah menyatakan, “File ‘telah diverifikasi.” Pesan ini dapat mengelabui penerima agar percaya bahwa Adobe memverifikasi file tersebut sebagai sah dan bahwa file tersebut aman untuk dibuka.

Dialog meminta persetujuan tindakan (HP)

Sementara analis malware dapat memeriksa file yang disematkan dalam PDF menggunakan parser dan skrip, pengguna biasa yang menerima email rumit ini tidak akan bertindak sejauh itu atau bahkan tahu harus mulai dari mana.

Dengan demikian, banyak yang dapat membuka DOCX di Microsoft Word, dan jika makro diaktifkan, akan mengunduh file RTF (format teks kaya) dari sumber jarak jauh dan membukanya.

DAPATKAN permintaan untuk mengambil file RTF (HP)

Pengunduhan RTF adalah hasil dari perintah berikut, yang disematkan dalam file Word bersama dengan URL hardcode “vtaurl[.]com/IHytw”, yang merupakan tempat payload di-host.

Dokumen RTF diberi nama “f_document_shp.doc” dan berisi objek OLE yang salah format, kemungkinan menghindari analisis. Setelah beberapa rekonstruksi yang ditargetkan, analis HP menemukan bahwa ia mencoba menyalahgunakan kerentanan Editor Persamaan Microsoft lama untuk menjalankan kode arbitrer.

Shellcode yang didekripsi menyajikan payload (HP)

Shellcode yang digunakan mengeksploitasi CVE-2017-11882, bug eksekusi kode jarak jauh di Editor Persamaan yang diperbaiki pada November 2017 tetapi masih tersedia untuk dieksploitasi di alam liar.

Dengan mengeksploitasi CVE-2017-11882, shellcode dalam RTF mengunduh dan menjalankan Snake Keylogger, pencuri info modular dengan ketekunan yang kuat, penghindaran pertahanan, akses kredensial, pengumpulan data, dan kemampuan eksfiltrasi data.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

malware Snake

Cookies Settings