Cyberthreat.id – Gerak-gerik phishing baru telah diamati memanfaatkan malware loader baru untuk mengirimkan pencuri informasi dan keylogger yang disebut Agent Tesla.
Trustwave SpiderLabs mengatakan pihaknya mengidentifikasi email phishing yang memuat rantai serangan ini pada 8 Maret 2024. Pesan tersebut menyamar sebagai pemberitahuan pembayaran bank, mendesak pengguna untuk membuka lampiran file arsip.
Arsip (“Bank Handlowy w Warszawie – dowód wpłaty_pdf.tar.gz”) menyembunyikan pemuat berbahaya yang mengaktifkan prosedur untuk menyebarkan Agen Tesla pada host yang disusupi.
“Pemuat ini kemudian menggunakan kebingungan untuk menghindari deteksi dan memanfaatkan perilaku polimorfik dengan metode dekripsi yang kompleks,” kata peneliti keamanan Bernard Bautista dalam analisis hari Selasa sebagaimana dikutip The Hacker News.
“Loader ini juga menunjukkan kemampuan untuk melewati pertahanan antivirus dan mengambil muatannya menggunakan URL tertentu dan agen pengguna yang memanfaatkan proxy untuk semakin mengaburkan lalu lintas.”
Taktik menyematkan malware ke dalam file yang tampaknya tidak berbahaya adalah taktik yang telah berulang kali digunakan oleh pelaku ancaman untuk mengelabui korban yang tidak menaruh curiga agar memicu rangkaian infeksi.
Pemuat yang digunakan dalam serangan itu ditulis dalam .NET, dengan Trustwave menemukan dua varian berbeda yang masing-masing menggunakan rutinitas dekripsi berbeda untuk mengakses konfigurasinya dan pada akhirnya mengambil muatan Agen Tesla yang dikodekan XOR dari server jarak jauh.
Dalam upaya menghindari deteksi, pemuat juga dirancang untuk melewati Windows Antimalware Scan Interface (AMSI), yang menawarkan kemampuan perangkat lunak keamanan untuk memindai file, memori, dan data lainnya untuk mencari ancaman.
Hal ini dicapai dengan “menambal fungsi AmsiScanBuffer untuk menghindari pemindaian malware pada konten dalam memori,” jelas Bautista.
Fase terakhir melibatkan decoding dan mengeksekusi Agen Tesla dalam memori, memungkinkan pelaku ancaman untuk secara diam-diam mengambil data sensitif melalui SMTP menggunakan akun email yang telah disusupi dan terkait dengan pemasok sistem keamanan yang sah di Turki (“merve@temikan[.]com[.]tr “).
Pendekatan ini, kata Trustwave, tidak hanya tidak menimbulkan tanda bahaya, namun juga memberikan lapisan anonimitas yang membuatnya lebih sulit untuk melacak serangan kembali ke musuh, belum lagi upaya untuk menyiapkan saluran eksfiltrasi khusus.
“[Pemuat] menggunakan metode seperti patching untuk melewati deteksi Antimalware Scan Interface (AMSI) dan memuat muatan secara dinamis, memastikan eksekusi tersembunyi dan meminimalkan jejak pada disk,” kata Bautista. “Pemuat ini menandai evolusi penting dalam taktik penerapan Agen Tesla.”
Pengungkapan ini terjadi ketika BlueVoyant menemukan aktivitas phishing lain yang dilakukan oleh kelompok kejahatan dunia maya bernama TA544 yang memanfaatkan PDF yang disamarkan sebagai faktur resmi untuk menyebarkan WikiLoader (alias WailingCrab) dan menjalin koneksi dengan server perintah-dan-kontrol (C2) yang hampir secara eksklusif mencakup WordPress yang diretas. situs.
Perlu dicatat bahwa TA544 juga mempersenjatai kelemahan bypass keamanan Windows yang dilacak sebagai CVE-2023-36025 pada bulan November 2023 untuk mendistribusikan Remcos RAT melalui keluarga loader berbeda yang dijuluki IDAT Loader, sehingga memungkinkannya untuk mengambil alih kendali sistem yang terinfeksi.
Temuan ini juga mengikuti lonjakan penggunaan perangkat phishing yang disebut Tycoon, yang menurut Sekoia telah “menjadi salah satu perangkat phishing [musuh di tengah-tengah] yang paling tersebar luas selama beberapa bulan terakhir, dengan lebih dari 1.100 nama domain terdeteksi antara akhir Oktober 2023 dan akhir Februari 2024.”
Tycoon, yang didokumentasikan secara publik oleh Trustwave bulan lalu, mengizinkan penjahat dunia maya untuk menargetkan pengguna Microsoft 365 dengan halaman login palsu untuk mendapatkan kredensial, cookie sesi, dan kode autentikasi dua faktor (2FA). Diketahui aktif setidaknya sejak Agustus 2023, dengan layanan yang ditawarkan melalui saluran Telegram pribadi.
Kit phishing terkenal karena menggabungkan metode penyaringan lalu lintas yang ekstensif untuk menggagalkan aktivitas bot dan upaya analisis, yang mengharuskan pengunjung situs menyelesaikan tantangan Cloudflare Turnstile sebelum mengarahkan pengguna ke halaman pengumpulan kredensial.
Tycoon juga memiliki kesamaan tingkat operasional dan desain dengan perangkat phishing OTT Dadsec, sehingga meningkatkan kemungkinan bahwa pengembang memiliki akses dan mengubah kode sumber perangkat tersebut agar sesuai dengan kebutuhan mereka. Hal ini didukung oleh fakta bahwa Dadsec OTT mengalami kebocoran kode sumbernya pada Oktober 2023.
“Pengembang meningkatkan kemampuan siluman dalam versi terbaru dari perangkat phishing,” kata Sekoia. “Pembaruan terkini dapat mengurangi tingkat deteksi produk keamanan halaman phishing Tycoon 2FA dan infrastrukturnya. Selain itu, kemudahan penggunaannya dan harganya yang relatif murah membuatnya cukup populer di kalangan pelaku ancaman.”[]
