Penyerang dunia maya tidak pernah berhenti menemukan cara baru untuk membahayakan target mereka. Itu sebabnya organisasi harus terus mendapatkan informasi terbaru tentang ancaman terbaru.
Berikut ini ikhtisar singkat serangan malware dan phishing terkini yang perlu Anda ketahui untuk melindungi infrastruktur Anda sebelum serangan tersebut sampai ke Anda.
Serangan Zero-day: File Berbahaya yang Rusak Menghindari Deteksi oleh Sebagian Besar Sistem Keamanan
Tim analis di ANY.RUN baru-baru ini membagikan analisis mereka tentang serangan zero-day yang sedang berlangsung. Ini telah aktif setidaknya sejak bulan Agustus dan masih belum tertangani oleh sebagian besar perangkat lunak pendeteksi hingga hari ini.
Serangan tersebut melibatkan penggunaan dokumen Word dan arsip ZIP yang sengaja dirusak dengan file berbahaya di dalamnya.
 |
| VirusTotal menunjukkan 0 deteksi untuk salah satu file yang rusak |
Karena korupsi, sistem keamanan tidak dapat mengidentifikasi jenis file ini dengan tepat dan menjalankan analisis terhadap file tersebut, sehingga tidak ada deteksi ancaman.
 |
| Word akan menanyakan pengguna apakah mereka ingin memulihkan file yang rusak |
Setelah file-file ini dikirim ke sistem dan dibuka dengan aplikasi aslinya (Word untuk docx dan WinRAR untuk zip), file-file tersebut dipulihkan, memberikan korban konten berbahaya.
Sandbox ANY.RUN adalah salah satu dari sedikit alat yang mendeteksi ancaman ini. Hal ini memungkinkan pengguna untuk secara manual membuka file berbahaya yang rusak di dalam VM cloud yang sepenuhnya interaktif dengan aplikasi terkait dan memulihkannya. Ini memungkinkan Anda melihat jenis muatan apa yang ada dalam file tersebut.
 |
| Dokumen yang dipulihkan dengan kode QR phishing dianalisis di dalam kotak pasir ANY.RUN |
Lihat sesi kotak pasir yang menampilkan dokumen Word yang rusak. Setelah pemulihan, kita dapat melihat bahwa ada kode QR dengan tautan phishing yang tertanam.
 |
| Kotak Pasir Interaktif ANY.RUN menandai dokumen dan isinya sebagai berbahaya |
Kotak pasir secara otomatis mengidentifikasi aktivitas berbahaya dan memberi tahu Anda tentang hal ini.
Cobalah Kotak Pasir Interaktif ANY.RUN untuk melihat bagaimana hal ini dapat mempercepat dan meningkatkan analisis malware Anda.
Dapatkan uji coba 14 hari untuk menguji semua fitur lanjutannya secara gratis →
Serangan Malware Tanpa File melalui Skrip PowerShell Mendistribusikan Quasar RAT
Serangan penting lainnya baru-baru ini melibatkan penggunaan pemuat tanpa file yang disebut Psloramyra, yang menjatuhkan Quasar RAT ke perangkat yang terinfeksi.
 |
| ANY.RUN mengidentifikasi PSLoramyra dan tindakan jahatnya |
Sesi sandbox ini menunjukkan bagaimana, setelah mengambil pijakan awal pada sistem, pemuat Psloramyra menggunakan teknik LoLBaS (Living off the Land Binaries and Scripts) untuk meluncurkan skrip PowerShell.
 |
| Pohon proses di ANY.RUN menunjukkan seluruh rantai eksekusi |
Skrip memuat muatan berbahaya secara dinamis ke dalam memori, mengidentifikasi dan menggunakan metode Execute dari rakitan .NET yang dimuat, dan akhirnya memasukkan Quasar ke dalam proses yang sah seperti RegSvcs.exe.
 |
| Kotak pasir ANY.RUN mencatat semua aktivitas jaringan dan mengidentifikasi koneksi C2 Quasar |
Malware berfungsi sepenuhnya di dalam memori sistem, memastikan tidak meninggalkan jejak pada disk fisik. Untuk mempertahankan kehadirannya, ia menciptakan tugas terjadwal yang berjalan setiap dua menit.
Penyalahgunaan Penyimpanan Azure Blob dalam Serangan Phishing
Penjahat dunia maya kini menghosting halaman phishing di solusi penyimpanan cloud Azure, memanfaatkan *.blob[.]inti[.]jendela[.]subdomain bersih.
Penyerang menggunakan skrip untuk mengambil informasi tentang perangkat lunak korban, seperti OS dan browser, yang ada di halaman agar tampak lebih dapat dipercaya. Lihat contoh.
 |
| Formulir login palsu meminta pengguna untuk memasukkan info mereka |
Tujuan dari serangan ini adalah untuk mengelabui korban agar memasukkan kredensial login mereka ke dalam formulir palsu, yang kemudian dikumpulkan dan dieksfiltrasi.
Emmenhtal Loader Menggunakan Skrip untuk Mengirimkan Lumma, Amadey, dan Malware Lainnya
Emmenhtal adalah ancaman yang muncul dan telah terlibat dalam beberapa kampanye selama setahun terakhir. Dalam salah satu serangan terbaru, penjahat menggunakan skrip untuk memfasilitasi rantai eksekusi yang melibatkan langkah-langkah berikut:
- File LNK memulai Forfiles
- Forfiles menemukan HelpPane
- PowerShell meluncurkan Mshta dengan payload tahap pertama yang dienkripsi AES
- Mshta mendekripsi dan mengeksekusi payload yang diunduh
- PowerShell menjalankan perintah terenkripsi AES untuk mendekripsi Emmenhtal
 |
| Seluruh rantai eksekusi ditunjukkan oleh kotak pasir Interaktif ANY.RUN |
Loader Emmenhtal, yang merupakan skrip PowerShell terakhir, mengeksekusi payload — sering kali Updater.exe — dengan menggunakan file biner dengan nama yang dihasilkan sebagai argumen.
Hal ini menyebabkan infeksi oleh keluarga malware seperti Lumma, Amadey, Hijackloader, atau Arechclient2.
Analisis Serangan Cyber Terbaru dengan ANY.RUN
Lengkapi diri Anda dengan Kotak Pasir Interaktif ANY.RUN untuk analisis malware dan phishing tingkat lanjut. Layanan berbasis cloud memberi Anda lingkungan VM yang aman dan berfungsi penuh, memungkinkan Anda secara bebas terlibat dengan file dan URL berbahaya yang Anda kirimkan.
Ini juga secara otomatis mendeteksi perilaku berbahaya secara real-time di seluruh aktivitas jaringan dan sistem.
- Identifikasi ancaman di
- Menghemat sumber daya pada pengaturan dan pemeliharaan
- Catat dan periksa semua aktivitas berbahaya
- Bekerja dalam mode pribadi dengan tim Anda
Dapatkan uji coba gratis ANY.RUN selama 14 hari untuk menguji semua fitur yang ditawarkan →
