File PowerPoint berbahaya yang digunakan untuk akses trojan dari jarak jauh

Post a Comment
Sejak Desember 2021, tren yang berkembang dalam kampanye phishing telah muncul menggunakan dokumen PowerPoint berbahaya untuk mendistribusikan berbagai jenis malware, termasuk akses jarak jauh dan trojan pencuri informasi.
Menurut laporan oleh Netskope's Threat Labs yang dibagikan sebelum dipublikasikan, para aktor menggunakan file PowerPoint yang dikombinasikan dengan layanan cloud menampung muatan malware.
Warzone (alias AveMaria) dan AgentTesla, dua RAT kuat dan pencuri informasi yang menargetkan banyak aplikasi, sementara para peneliti juga memperhatikan penurunan pencuri cryptocurrency.

Menggeser malware ke perangkat Windows

Lampiran phishing PowerPoint yang berbahaya berisi makro yang dikaburkan yang dijalankan melalui kombinasi PowerShell dan MSHTA, keduanya merupakan alat bawaan Windows.
Skrip VBS kemudian dikaburkan dan menambahkan entri registri Windows baru, yang mengarah ke eksekusi dua skrip. Yang pertama mengambil AgentTesla dari URL eksternal, dan yang kedua menonaktifkan Windows Defender.
source : Netscope
Selain itu, VBS membuat tugas terjadwal yang mengeksekusi skrip setiap jam, yang mengambil pencuri cryptocurrency PowerShell dari URL Blogger.
source : Netskope

Muatan Malware

AgentTesla adalah RAT (trojan akses jarak jauh) berbasis .NET yang dapat mencuri kata sandi browser, mencatat penekanan tombol, mencuri konten clipboard, dll.
Itu dijalankan oleh PowerShell dan sedikit dikaburkan, sementara ada juga fungsi yang menyuntikkan muatan ke dalam instance "aspnet_compiler.exe".
source : Netscope
Payload kedua yang disampaikan dalam kampanye ini adalah Warzone, juga RAT, tetapi Netskope tidak memberikan banyak detail tentang hal itu dalam laporannya.
Pencuri cryptocurrency adalah muatan ketiga dari kampanye ini, yang memeriksa data clipboard dengan regex yang cocok dengan pola dompet cryptocurrency. Jika ditemukan, alamat penerima akan diganti dengan alamat yang berada di bawah kendali aktor.
Pencuri mendukung Bitcoin, Ethereum, XMR, DOGE, dan banyak lagi. Netskope telah menerbitkan daftar lengkap IoC (indicators of compromise) untuk kampanye ini, termasuk semua dompet yang digunakan oleh para aktor di halaman.
source : Netskope

Powerpoint Menjadi Masalah

Pada Desember 2021, Fortinet melaporkan tentang kampanye bertema DHL serupa yang juga menggunakan dokumen PowerPoint untuk menjatuhkan Agen Tesla.
Pengguna harus memperlakukan jenis dokumen ini dengan kewaspadaan sebanyak yang mereka miliki saat menerima file Excel karena kode makro dalam file PowerPoint bisa sama berbahaya.
Dalam hal ini, para aktor juga melemparkan layanan cloud ke dalam campuran, menampung muatan berbahaya mereka di berbagai platform yang tidak mungkin menimbulkan tanda bahaya dengan alat keamanan.
Dengan demikian, tindakan perlindungan yang paling dapat diandalkan adalah menangani semua komunikasi yang tidak diminta dengan hati-hati dan juga menonaktifkan makro di suite Microsoft Office Anda.

Baca

Post a Comment

Subscribe Our Newsletter