Peneliti keamanan di Kaspersky (terbuka di tab baru) telah menemukan malware baru (terbuka di tab baru) strain yang dikembangkan oleh grup peretas bayaran DeathStalker yang telah dirancang untuk menghindari deteksi pada PC Windows.
Sementara pelaku ancaman telah aktif setidaknya sejak 2012, DeathStalker pertama kali menarik perhatian Kaspersky pada tahun 2018 karena karakteristik serangannya yang khas yang tidak mirip dengan yang digunakan oleh penjahat dunia maya atau peretas yang disponsori negara.
Grup ini dikenal menggunakan berbagai jenis malware dan rantai pengiriman yang rumit dalam serangannya, tetapi taktik yang digunakan untuk menghindari deteksi adalah yang membuatnya menonjol.
Kaspersky menemukan implan PowerPepper baru DeathStalker pada bulan Mei tahun ini saat melakukan penelitian terhadap serangan lain yang menggunakan implan Powersing berbasis PowerShell dari kelompok tersebut. Sejak penemuannya, versi baru PowerPepper telah dikembangkan dan digunakan oleh grup yang juga mengadaptasi rantai pengiriman malware untuk mencapai target baru.
Malware PowerPepper
Malware PowerPepper baru adalah backdoor berbasis Windows PowerShell di dalam memori yang memiliki kemampuan untuk memungkinkan operatornya mengeksekusi perintah shell dari jarak jauh dari server command-and-control (C2).
Seperti halnya pekerjaan DealthStalker sebelumnya, PowerPepper mencoba menghindari deteksi atau eksekusi kotak pasir pada Windows 10 menggunakan berbagai trik seperti mendeteksi gerakan mouse, memfilter alamat MAC klien, dan menyesuaikan aliran eksekusinya tergantung pada antivirus mana (terbuka di tab baru) produk diinstal pada sistem target. Malware menyebar melalui spear phishing (terbuka di tab baru) lampiran email atau melalui tautan ke dokumen yang berisi makro Visual Basic for Application (VBA) berbahaya yang menjalankan PowerPepper dan mendapatkan kegigihan pada sistem yang terinfeksi.
PowerPepper juga menggunakan sejumlah trik penghindaran rantai pengiriman seperti menyembunyikan muatan di properti bentuk yang disematkan Word, menggunakan file Windows Compiled HTML (CHM) sebagai arsip untuk file berbahaya, menyamarkan dan mengaburkan file persisten, menyembunyikan muatan di dalam gambar menggunakan steganografi, tersesat di Windows Shell memerintahkan penerjemahan dan eksekusi melalui eksekusi proxy biner yang ditandatangani.
Pierre Delcher dari Kaspersky memberikan wawasan lebih lanjut tentang bagaimana PowerPepper berkomunikasi dengan server C2-nya dalam laporan baru (terbuka di tab baru)mengatakan:
“Logika C2 implan menonjol, karena didasarkan pada komunikasi melalui DNS melalui HTTPS (DoH), menggunakan responden CloudFlare. PowerPepper pertama-tama mencoba memanfaatkan Microsoft’s Excel sebagai klien Web untuk mengirim permintaan DoH ke server C2, tetapi akan kembali ke klien web standar PowerShell, dan akhirnya ke komunikasi DNS reguler, jika pesan tidak dapat diterima.
Untuk menghindari menjadi korban PowerPepper, pengguna harus menghindari membuka lampiran atau mengklik tautan di email dari pengirim yang tidak dikenal serta mengaktifkan makro dalam dokumen dari sumber yang tidak diverifikasi.
Melalui Komputer Bleeping (terbuka di tab baru)