Pejabat pemerintah Thailand telah muncul sebagai target kampanye baru yang memanfaatkan teknik yang disebut side-loading DLL untuk mengirimkan backdoor yang sebelumnya tidak terdokumentasikan. Yokai.
“Target pelaku ancaman adalah pejabat Thailand berdasarkan sifat umpannya,” Nikhil Hegde, insinyur senior tim Security Efficacy Netskope, mengatakan kepada The Hacker News. “Pintu belakang Yokai sendiri tidak terbatas dan dapat digunakan untuk melawan target potensial apa pun.”
Titik awal dari rantai serangan ini adalah arsip RAR yang berisi dua file pintasan Windows yang diberi nama dalam bahasa Thailand yang diterjemahkan menjadi “Departemen Kehakiman Amerika Serikat.pdf” dan “Pemerintah Amerika Serikat meminta kerja sama internasional dalam masalah kriminal.docx.”
Vektor awal yang tepat yang digunakan untuk mengirimkan muatan saat ini tidak diketahui, meskipun Hegde berspekulasi bahwa kemungkinan besar itu adalah spear-phishing karena umpan yang digunakan dan fakta bahwa file RAR telah digunakan sebagai lampiran berbahaya dalam email phishing.
Meluncurkan file pintasan menyebabkan dokumen umpan PDF dan Microsoft Word dibuka, sementara juga menjatuhkan file executable berbahaya secara diam-diam di latar belakang. Kedua file iming-iming tersebut berkaitan dengan Woravit Mektrakarn, seorang warga negara Thailand yang dicari di AS sehubungan dengan hilangnya seorang imigran Meksiko. Mektrakarn didakwa melakukan pembunuhan pada tahun 2003 dan dikatakan telah melarikan diri ke Thailand.
Eksekusi, pada bagiannya, dirancang untuk menghapus tiga file lagi: Biner sah yang terkait dengan aplikasi iTop Data Recovery (“IdrInit.exe”), DLL berbahaya (“ProductStatistics3.dll”), dan file DATA yang berisi informasi dikirim oleh server yang dikendalikan penyerang. Pada tahap berikutnya, “IdrInit.exe” disalahgunakan untuk melakukan sideload DLL, yang pada akhirnya mengarah pada penerapan pintu belakang.
Yokai bertanggung jawab untuk mengatur persistensi pada host dan menghubungkan ke server perintah-dan-kontrol (C2) untuk menerima kode perintah yang memungkinkannya memunculkan cmd.exe dan menjalankan perintah shell pada host.
Perkembangan ini terjadi ketika Zscaler ThreatLabz mengungkapkan pihaknya menemukan kampanye malware yang memanfaatkan executable yang dikompilasi Node.js untuk Windows untuk mendistribusikan penambang mata uang kripto dan pencuri informasi seperti XMRig, Lumma, dan Phemedrone Stealer. Aplikasi jahat tersebut diberi nama kode NodeLoader.
Serangan tersebut menggunakan tautan berbahaya yang tertanam dalam deskripsi video YouTube, mengarahkan pengguna ke MediaFire atau situs web palsu yang mendesak mereka untuk mengunduh arsip ZIP yang disamarkan sebagai peretasan video game. Tujuan akhir dari serangan ini adalah untuk mengekstrak dan menjalankan NodeLoader, yang kemudian mengunduh skrip PowerShell yang bertanggung jawab untuk meluncurkan malware tahap akhir.
“NodeLoader menggunakan modul yang disebut sudo-prompt, alat yang tersedia untuk umum di GitHub dan npm, untuk peningkatan hak istimewa,” kata Zscaler. “Pelaku ancaman menggunakan rekayasa sosial dan teknik anti-penghindaran untuk membuat NodeLoader tidak terdeteksi.”
Hal ini juga terjadi setelah lonjakan serangan phishing yang mendistribusikan Remcos RAT yang tersedia secara komersial, dengan pelaku ancaman mengubah rantai infeksi dengan menggunakan skrip Visual Basic Script (VBS) dan dokumen Office Open XML sebagai landasan peluncuran untuk memicu proses multi-tahap.
Dalam satu rangkaian serangan, mengeksekusi file VBS menyebabkan skrip PowerShell yang sangat dikaburkan yang mengunduh muatan sementara, yang pada akhirnya mengakibatkan injeksi Remcos RAT ke dalam RegAsm.exe, sebuah Microsoft .NET executable yang sah.
Varian lainnya memerlukan penggunaan dokumen Office Open XML untuk memuat file RTF yang rentan terhadap CVE-2017-11882, kelemahan eksekusi kode jarak jauh yang diketahui di Microsoft Equation Editor, untuk mengambil file VBS yang kemudian mengambil PowerShell untuk menyuntikkan Payload Remcos ke dalam memori RegAsm.exe.
Perlu diperhatikan bahwa kedua metode ini menghindari meninggalkan file penulisan ke disk dan memuatnya ke dalam proses yang valid dalam upaya yang disengaja untuk menghindari deteksi oleh produk keamanan.
“Karena trojan akses jarak jauh ini terus menargetkan konsumen melalui email phishing dan lampiran berbahaya, kebutuhan akan langkah-langkah keamanan siber yang proaktif menjadi sangat penting,” kata peneliti McAfee Labs.
