Kampanye malware berbasis Golang yang terus-menerus dijuluki GO#WEBBFUSCATOR telah memanfaatkan gambar lapangan yang diambil dari Teleskop Luar Angkasa James Webb (JWST) NASA sebagai iming-iming untuk menyebarkan muatan berbahaya pada sistem yang terinfeksi.
Perkembangan tersebut, diungkapkan oleh Securonix, menunjuk pada adopsi Go yang berkembang di antara para pelaku ancaman, mengingat dukungan lintas platform bahasa pemrograman, yang secara efektif memungkinkan operator untuk memanfaatkan basis kode umum untuk menargetkan sistem operasi yang berbeda.
Go binari juga memiliki manfaat tambahan dari analisis rendering dan rekayasa balik yang sulit dibandingkan dengan malware yang ditulis dalam bahasa lain seperti C++ atau C#, belum lagi memperpanjang upaya analisis dan deteksi.
Email phishing yang berisi lampiran Microsoft Office bertindak sebagai titik masuk untuk rantai serangan yang, ketika dibuka, mengambil makro VBA yang dikaburkan, yang, pada gilirannya, dijalankan secara otomatis jika penerima mengaktifkan makro.
Eksekusi hasil makro dalam unduhan file gambar “OxB36F8GEEC634.jpg” yang tampaknya merupakan gambar First Deep Field yang ditangkap oleh JWST tetapi, ketika diperiksa menggunakan editor teks, sebenarnya adalah muatan yang dikodekan Base64.
“Kode [makro] yang dideobfuscate mengeksekusi [perintah] yang akan mengunduh file bernama OxB36F8GEEC634.jpg, gunakan certutil.exe untuk mendekodekannya menjadi biner (msdllupdate.exe) dan akhirnya, jalankan,” peneliti Securonix D. Iuzvyk , T. Peck, dan O. Kolesnikov berkata.
Biner, Windows 64-bit yang dapat dieksekusi dengan ukuran 1.7MB, tidak hanya dilengkapi untuk terbang di bawah radar mesin antimalware, tetapi juga dikaburkan melalui teknik yang disebut gobfuscation, yang menggunakan alat obfuscation Golang secara publik tersedia di GitHub.
Pustaka gobfuscate sebelumnya telah didokumentasikan seperti yang digunakan oleh aktor di belakang ChaChi, trojan akses jarak jauh yang digunakan oleh operator ransomware PYSA (alias Mespinoza) sebagai bagian dari perangkat mereka, dan kerangka kerja perintah-dan-kontrol (C2) Sliver.
Komunikasi dengan server C2 difasilitasi melalui kueri dan respons DNS terenkripsi, memungkinkan malware untuk menjalankan perintah yang dikirim oleh server melalui Prompt Perintah Windows (cmd.exe). Domain C2 untuk kampanye dikatakan telah didaftarkan pada akhir Mei 2022.
Keputusan Microsoft untuk memblokir makro secara default di seluruh aplikasi Office telah menyebabkan banyak musuh mengubah kampanye mereka dengan beralih ke file LNK dan ISO jahat untuk menyebarkan malware. Masih harus dilihat apakah aktor GO#WEBBFUSCATOR akan menggunakan metode serangan serupa.
Sumber: The Hackernews
