Awas! Malware PDF Varian Baru Disebarkan Melalui .zipx, Ini Bahayanya!


Peneliti dari Trustwave identifikasi malware baru berbentuk PDF yang dikemas menggunakan .zipx dan tujuan peretas tersebut ingin menginfeksi komputer secara mengontrolnya dari jarak jauh. Teknik yang digunakan bisa dibilang cukup canggih karena file malware sesungguhnya tidak terdeteksi jika di extrak menggunakan WinZip.

Seperti yang dijelaskan dalam posting blog dari firma keamanan Trustwave, penjahat dunia maya menyalahgunakan teknik kompresi file untuk menyelundupkan malware NanoCore ke dalam kotak masuk. 

Dengan menyembunyikan executable berbahaya dalam file .zipx, operator scam meningkatkan peluang mereka untuk menghindari perlindungan keamanan. File .zipx juga dikemas sebagai PDF, lengkap dengan ikon Adobe Acrobat, dalam upaya untuk mengelabui korban agar membuka lampiran tanpa berpikir dua kali.

Ekstensi file .zipx digunakan untuk menunjukkan bahwa format arsip ZIP dikompresi menggunakan metode lanjutan WinZip archiver. Pada 2019, Trustwave menerbitkan blog tentang ekstensi file ini yang disalahgunakan untuk mengirimkan malware Lokibot. Di blognya, Trustwave menguraikan lampiran .zipx lain yang baru-baru ini ditemui dengan pesan spam dan nanti hasil penyelidikan akan dibandingkan dengan contoh .zipx sebelumnya yang pernah diamati.

Pesan email yang dikirimkan mengaku sebagai Purchase Manager, salah satu organisasi yang dipalsukan oleh penjahat dunia maya tersebut dan sepintas terlihat seperti malspam biasa kecuali untuk lampirannya. Lampiran, yang memiliki format nama file "NEW PURCHASE ORDER.pdf.zipx", sebenarnya adalah file biner gambar (Ikon), dengan data tambahan terlampir, yang kebetulan adalah RAR. Penyalahgunaan format file ini mirip dengan yang pernah dilihat sebelumnya oleh peneliti Trustwave.

Setelah file .zipx dibuka oleh penerima, menggunakan utilitas arsip WinRAR atau 7zip (yang menarik, WinZip gagal mengekstrak file yang dapat dieksekusi), trojan akses jarak jauh (RAT) menginfeksi perangkat dan mengirimkan data yang dicuri ke server perintah dan kontrol.

Meskipun para penipu telah berusaha keras untuk menyembunyikan lampiran email berbahaya tersebut, penipuan lainnya tidak memiliki tingkat kecanggihan yang sama.

Pengirim berperan sebagai manajer pembelian yang sangat membutuhkan layanan, mungkin dalam upaya memangsa bisnis yang berjuang untuk bertahan hidup di bawah tekanan pandemi. Namun, email itu sendiri memiliki semua keunggulan malspam.


Ada beberapa kesalahan ejaan dan tata bahasa, struktur kalimatnya canggung dan pesannya dialamatkan ke "Sir / Madam" bukan ke penerima tertentu. Seperti banyak kampanye phishing dan malspam, peluang yang ditawarkan oleh pengirim juga terlalu bagus untuk menjadi kenyataan.

Dengan kata lain, email memberi penerima setiap kesempatan untuk mengidentifikasi pesan tersebut sebagai palsu.

Seperti biasa, untuk melindungi dari serangan berbasis email semacam ini, pengguna disarankan untuk tidak mengunduh lampiran yang tidak diminta dari sumber yang tidak dikenal, untuk memeriksa email untuk kesalahan yang mungkin mengkhianati penipuan dan untuk melindungi mesin mereka dengan solusi antivirus terkemuka.

Meskipun malware ini berhasil lolos dari software WinZip alias tidak terdeteksi ekstensi EXE-nya, tetapi ia tidak lolos (muncul ekstensi .EXE) jika di extrak jika menggunakan WinRar dan 7zip dan ini adalah kelemahan varian baru dari malware PDF yang dibungkus dengan .zipx. Alhasil, peneliti dari Trustwave dapat menganalisis lebih lanjut perihal temuannya.

File executable yang dikumpulkan memiliki nama yang mirip dengan lampiran .zipx, "NEW PURCHASE ORDER.exe". Selain itu, ikon di awal file .zipx sebenarnya adalah ikon yang digunakan pada file EXE di dalam arsip.

Penelitian file EXE menunjukkan bahwa itu adalah sampel dari NanoCore RAT versi 1.2.2.0. RAT ini membuat salinan dirinya sendiri di folder AppData dan menyuntikkan kode berbahaya pada proses RegSvcs.exe. Data yang dicuri oleh RAT ini dikirim ke server perintah dan kontrol yang tercantum di bawah ini:

  • shtf.pw
  • uyeco.pw
IOC
Lampiran:

NEW PURCHASE ORDER.pdf.zipx (480092 byte) SHA1: DF46A893B51D8ADE0CCDEF7E375FB387E2560720

Malware NanoCore RAT :

NEW PURCHASE ORDER.exe (635904 byte) SHA1: E99F6B9BD787679666F8C54B9A834D6ACECFA622

Posting Komentar

0 Komentar