
Pelaku ancaman terlihat menyembunyikan kode berbahaya dalam gambar untuk mengirimkan malware seperti VIP Keylogger dan 0bj3ctivity Stealer sebagai bagian dari kampanye terpisah.
“Dalam kedua kampanye tersebut, penyerang menyembunyikan kode berbahaya dalam gambar yang mereka unggah ke arsip[.]org, situs web hosting file, dan menggunakan pemuat .NET yang sama untuk menginstal muatan akhirnya,” kata HP Wolf Security dalam Laporan Wawasan Ancaman untuk Q3 2024 yang dibagikan kepada The Hacker News.
Titik awalnya adalah email phishing yang menyamar sebagai faktur dan pesanan pembelian untuk mengelabui penerima agar membuka lampiran berbahaya, seperti dokumen Microsoft Excel, yang, ketika dibuka, mengeksploitasi kelemahan keamanan yang diketahui di Equation Editor (CVE-2017-11882) untuk mengunduh file VBScript.

Skrip, pada bagiannya, dirancang untuk memecahkan kode dan menjalankan skrip PowerShell yang mengambil gambar yang dihosting di arsip[.]org dan mengekstrak kode yang dikodekan Base64, yang kemudian didekodekan menjadi .NET yang dapat dieksekusi dan dieksekusi.
Eksekusi .NET berfungsi sebagai pemuat untuk mengunduh VIP Keylogger dari URL tertentu dan menjalankannya, memungkinkan pelaku ancaman mencuri berbagai macam data dari sistem yang terinfeksi, termasuk penekanan tombol, konten papan klip, tangkapan layar, dan kredensial. VIP Keylogger berbagi fungsi yang tumpang tindih dengan Snake Keylogger dan 404 Keylogger.
Kampanye serupa ditemukan mengirimkan file arsip berbahaya ke target melalui email. Pesan-pesan ini, yang menyamar sebagai permintaan kutipan, bertujuan untuk memikat pengunjung agar membuka file JavaScript di dalam arsip yang kemudian meluncurkan skrip PowerShell.
Seperti dalam kasus sebelumnya, skrip PowerShell mengunduh gambar dari server jarak jauh, menguraikan kode yang dikodekan Base64 di dalamnya, dan menjalankan pemuat berbasis .NET yang sama. Yang berbeda adalah rantai serangan tersebut mencapai puncaknya dengan penerapan pencuri informasi bernama 0bj3ctivity.
Persamaan antara kedua kampanye tersebut menunjukkan bahwa pelaku ancaman memanfaatkan perangkat malware untuk meningkatkan efisiensi secara keseluruhan, sekaligus mengurangi waktu dan keahlian teknis yang diperlukan untuk merancang serangan.
HP Wolf Security juga mengatakan pihaknya mengamati pelaku jahat yang menggunakan teknik penyelundupan HTML untuk menjatuhkan trojan akses jarak jauh (RAT) XWorm melalui dropper AutoIt, serupa dengan kampanye sebelumnya yang mendistribusikan AsyncRAT dengan cara yang sama.
“Yang penting, file HTML tersebut memiliki ciri khas yang menunjukkan bahwa file tersebut ditulis dengan bantuan GenAI,” kata HP. “Aktivitas ini menunjukkan meningkatnya penggunaan GenAI pada tahap akses awal dan pengiriman malware dalam rantai serangan.”

“Memang benar bahwa pelaku ancaman akan mendapatkan banyak manfaat dari GenAI, mulai dari meningkatkan skala serangan dan menciptakan variasi yang dapat meningkatkan tingkat infeksi mereka, hingga mempersulit atribusi oleh pembela jaringan.”
Bukan itu saja. Pelaku ancaman terlihat membuat repositori GitHub yang mengiklankan cheat video game dan alat modifikasi untuk menyebarkan malware Lumma Stealer menggunakan dropper .NET.
“Kampanye yang dianalisis memberikan bukti lebih lanjut mengenai komodifikasi kejahatan dunia maya,” kata Alex Holland, peneliti ancaman utama di HP Security Lab. “Karena perangkat malware-by-numbers tersedia lebih bebas, terjangkau, dan mudah digunakan, bahkan pemula dengan keterampilan dan pengetahuan terbatas pun dapat menyusun rantai infeksi yang efektif.”