Kampanye phishing baru terlihat menggunakan umpan bertema pajak untuk mengirimkan muatan rahasia melalui pintu belakang sebagai bagian dari serangan yang menargetkan Pakistan.
Perusahaan keamanan siber Securonix, yang melacak aktivitas dengan nama tersebut FLUX#KONSOLmengatakan serangan itu kemungkinan dimulai dengan tautan atau lampiran email phishing, meskipun mereka tidak bisa mendapatkan email asli yang digunakan untuk melancarkan serangan.
“Salah satu aspek penting dari kampanye ini adalah bagaimana pelaku ancaman memanfaatkan file MSC (Microsoft Common Console Document) untuk menyebarkan loader dan dropper dengan fungsi ganda guna mengirimkan muatan berbahaya lebih lanjut,” kata peneliti keamanan Den Iuzvyk dan Tim Peck.
Perlu dicatat bahwa penyalahgunaan file konsol tersimpan manajemen (MSC) yang dibuat khusus untuk mengeksekusi kode berbahaya telah diberi nama kode GrimResource oleh Elastic Security Labs.
Titik awalnya adalah file dengan ekstensi ganda (.pdf.msc) yang menyamar sebagai file PDF (jika pengaturan untuk menampilkan ekstensi file dinonaktifkan) dan dirancang untuk mengeksekusi kode JavaScript yang tertanam saat diluncurkan menggunakan Microsoft Management Console (MMC ).
Kode ini, pada gilirannya, bertanggung jawab untuk mengambil dan menampilkan file umpan, sekaligus secara diam-diam memuat file DLL (“DismCore.dll”) di latar belakang. Salah satu dokumen yang digunakan dalam kampanye ini diberi nama “Pengurangan Pajak, Rabat dan Kredit 2024,” yang merupakan dokumen sah yang terkait dengan Dewan Pendapatan Federal Pakistan (FBR).
“Selain mengirimkan muatan dari string yang tertanam dan dikaburkan, file .MSC mampu mengeksekusi kode tambahan dengan menjangkau file HTML jarak jauh yang juga mencapai tujuan yang sama,” kata para peneliti, seraya menambahkan bahwa persistensi dibangun dengan menggunakan tugas yang dijadwalkan.
Payload utama adalah pintu belakang yang mampu mengatur kontak dengan server jarak jauh dan menjalankan perintah yang dikirim olehnya untuk mengekstrak data dari sistem yang disusupi. Securonix mengatakan serangan itu terganggu 24 jam setelah infeksi awal.
“Dari JavaScript yang sangat dikaburkan yang digunakan pada tahap awal hingga kode malware yang sangat tersembunyi di dalam DLL, seluruh rantai serangan menunjukkan kompleksitas dalam mendeteksi dan menganalisis kode berbahaya kontemporer,” kata para peneliti.
“Aspek penting lainnya dari kampanye ini adalah eksploitasi file MSC sebagai potensi evolusi dari file LNK klasik yang telah populer di kalangan pelaku ancaman selama beberapa tahun terakhir. Seperti file LNK, file tersebut juga memungkinkan eksekusi kode berbahaya sambil memadukan ke dalam alur kerja administratif Windows yang sah.”
