Peretas Menggunakan Microsoft Build Engine untuk Mengirimkan Malware Tanpa File

  • Whatsapp
Peretas Menggunakan Microsoft Build Engine untuk Mengirimkan Malware Tanpa File

Pelaku ancaman menyalahgunakan Microsoft Build Engine (MSBuild) untuk mengirimkan trojan akses jarak jauh dan malware pencuri kata sandi tanpa file pada sistem Windows yang ditargetkan.

Kampanye yang sedang berlangsung secara aktif dikatakan telah muncul bulan lalu, para peneliti dari perusahaan keamanan siber Anomali berkata pada hari Kamis, menambahkan file build berbahaya yang disematkan dengan executable yang disandikan dan shellcode yang disebarkan pintu belakang, memungkinkan musuh untuk mengendalikan mesin korban dan mencuri informasi sensitif.

Bacaan Lainnya

MSBuild adalah alat pembuatan sumber terbuka untuk .NET dan Visual Studio yang dikembangkan oleh Microsoft yang memungkinkan untuk mengkompilasi kode sumber, pengemasan, pengujian, penerapan aplikasi.

auditor kata sandi

Dalam menggunakan MSBuild untuk mengkompromikan mesin tanpa file, idenya adalah untuk tetap berada di bawah radar dan menggagalkan deteksi, karena malware tersebut menggunakan aplikasi yang sah untuk memuat kode serangan ke dalam memori, sehingga tidak meninggalkan jejak infeksi pada sistem dan memberikan penyerang tingkat siluman yang tinggi.

Saat penulisan, hanya dua vendor keamanan yang menandai salah satu file .proj MSBuild (“vwnfmo.lnk“) sebagai berbahaya, sedangkan sampel kedua (“72214c84e2.proj“) yang diunggah ke VirusTotal pada 18 April tetap tidak terdeteksi oleh setiap mesin anti-malware. Sebagian besar sampel yang dianalisis oleh Anomali ternyata mengirimkan Remcos RAT, dengan beberapa orang lain juga memberikan delivering Quasar RAT dan Pencuri Jalur Merah.

Remcos (alias perangkat lunak Remote Control and Surveillance), setelah diinstal, memberikan akses penuh ke musuh jarak jauh, fitur-fiturnya mulai dari menangkap penekanan tombol hingga menjalankan perintah sewenang-wenang dan merekam mikrofon dan webcam, sementara Quasar adalah RAT berbasis NET open-source yang mampu keylogging, pencurian password, antara lain. Redline Stealer, seperti namanya, adalah malware komoditas yang mengumpulkan kredensial dari browser, VPN, dan klien perpesanan, selain mencuri kata sandi dan dompet yang terkait dengan aplikasi cryptocurrency.

“Aktor ancaman di balik kampanye ini menggunakan pengiriman tanpa file sebagai cara untuk melewati tindakan keamanan, dan teknik ini digunakan oleh aktor untuk berbagai tujuan dan motivasi,” kata peneliti Anomali Tara Gould dan Gage Mele. “Kampanye ini menyoroti bahwa ketergantungan pada perangkat lunak antivirus saja tidak cukup untuk pertahanan dunia maya, dan penggunaan kode yang sah untuk menyembunyikan malware dari teknologi antivirus efektif dan tumbuh secara eksponensial.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *