Peneliti keamanan siber telah mengungkapkan kampanye malware baru yang mengirimkan artefak Hijack Loader yang ditandatangani dengan sertifikat penandatanganan kode yang sah.
Perusahaan keamanan siber Perancis HarfangLab, yang mendeteksi aktivitas tersebut pada awal bulan ini, mengatakan bahwa rantai serangan tersebut bertujuan untuk menyebarkan pencuri informasi yang dikenal sebagai Lumma.
Hijack Loader, juga dikenal sebagai DOILoader, IDAT Loader, dan SHADOWLADDER, pertama kali terungkap pada September 2023. Rantai serangan yang melibatkan pemuat malware biasanya melibatkan penipuan pengguna agar mengunduh biner jebakan dengan menyamar sebagai perangkat lunak atau film bajakan.
Variasi terbaru dari kampanye ini ditemukan mengarahkan pengguna ke halaman CAPTCHA palsu yang mendesak pengunjung situs untuk membuktikan bahwa mereka adalah manusia dengan menyalin dan menjalankan perintah PowerShell yang disandikan yang membuang muatan berbahaya dalam bentuk arsip ZIP.
HarfangLab mengatakan pihaknya mengamati tiga versi berbeda dari skrip PowerShell mulai pertengahan September 2024 –
- Skrip PowerShell yang memanfaatkan mshta.exe untuk mengeksekusi kode yang dihosting di server jarak jauh
- Skrip PowerShell yang dihosting dari jarak jauh yang langsung dijalankan melalui cmdlet Invoke-Expression (alias iex)
- Skrip PowerShell yang menggunakan msiexec.exe untuk mengunduh dan mengeksekusi payload dari URL jarak jauh
Arsip ZIP, pada bagiannya, mencakup executable asli yang rentan terhadap pemuatan samping DLL dan DLL berbahaya (yaitu, Hijack Loader) yang akan dimuat.
“Tujuan dari HijackLoader DLL yang di-sideload adalah untuk mendekripsi dan mengeksekusi file terenkripsi yang disediakan dalam paket,” kata HarfangLab. “File ini menyembunyikan tahap akhir HijackLoader, yang bertujuan mengunduh dan mengeksekusi implan pencuri.”
Mekanisme pengiriman dikatakan telah berubah dari pemuatan samping DLL menjadi menggunakan beberapa biner yang ditandatangani pada awal Oktober 2024 dalam upaya untuk menghindari deteksi oleh perangkat lunak keamanan.
Saat ini tidak jelas apakah semua sertifikat penandatanganan kode dicuri atau dibuat secara sengaja oleh pelaku ancaman itu sendiri, meskipun perusahaan keamanan siber tersebut menilai dengan tingkat keyakinan rendah hingga menengah bahwa pelaku ancaman tersebut mungkin adalah pelakunya. Sertifikat tersebut telah dicabut.
“Untuk beberapa otoritas penerbit sertifikat, kami memperhatikan bahwa perolehan dan pengaktifan sertifikat penandatanganan kode sebagian besar dilakukan secara otomatis, dan hanya memerlukan nomor registrasi perusahaan yang valid serta orang yang dapat dihubungi,” katanya. “Penelitian ini menggarisbawahi bahwa malware dapat ditandatangani, menyoroti bahwa tanda tangan kode saja tidak dapat berfungsi sebagai indikator dasar kepercayaan.”
Perkembangan ini terjadi ketika SonicWall Capture Labs memperingatkan lonjakan serangan cyber yang menginfeksi mesin Windows dengan malware yang dijuluki CoreWarrior.
“Ini adalah trojan yang terus-menerus mencoba menyebar dengan cepat dengan membuat lusinan salinan dirinya dan menjangkau beberapa alamat IP, membuka banyak soket untuk akses pintu belakang, dan mengaitkan elemen UI Windows untuk pemantauan,” katanya.
Kampanye phishing juga diamati mengirimkan malware pencuri dan pemuat komoditas yang dikenal sebagai XWorm melalui File Skrip Windows (WSF) yang, pada gilirannya, mengunduh dan mengeksekusi skrip PowerShell yang dihosting di tempel.[.]ya.
Skrip PowerShell kemudian meluncurkan Skrip Visual Basic, yang bertindak sebagai saluran untuk mengeksekusi serangkaian skrip batch dan PowerShell untuk memuat DLL berbahaya yang bertanggung jawab untuk memasukkan XWorm ke dalam proses yang sah (“RegSvcs.exe”).
Versi terbaru XWorm (versi 5.6) mencakup kemampuan untuk melaporkan waktu respons, mengumpulkan tangkapan layar, membaca dan memodifikasi file host korban, melakukan serangan penolakan layanan (DoS) terhadap target, dan menghapus plugin yang disimpan, yang menunjukkan adanya berusaha menghindari meninggalkan jejak forensik.
“XWorm adalah alat multifaset yang dapat memberikan berbagai fungsi kepada penyerang,” kata peneliti keamanan Netskope Threat Labs Jan Michael Alcantara.
