Keamanan cyber (terbuka di tab baru) peneliti telah berbagi rincian tentang disalahpahami malware (terbuka di tab baru) kampanye yang jatuh datar di wajahnya.
Perusahaan keamanan jaringan perusahaan Trustwave melihat kampanye yang menggunakan file gambar disk baru untuk menyembunyikan malware. Dikatakan bahwa sementara penggunaan lampiran yang tidak biasa membantu melewati perangkat lunak keamanan seperti firewall (terbuka di tab baru) dan perangkat lunak antivirus (terbuka di tab baru)itu juga berisiko menimbulkan tanda bahaya dengan pengguna.
Namun, dalam hal ini, pelaku ancaman menggunakan format file esoteris yang bahkan tidak didukung olehnya Windows (terbuka di tab baru).
“Mengenkapsulasi malware dalam format file arsip yang tidak biasa adalah salah satu cara umum untuk melewati gateway dan pemindai. Namun, strategi ini juga menimbulkan rintangan – sistem target harus mengenali jenis file atau setidaknya memiliki alat yang dapat membongkar dan memproses file tersebut,” catat Trustwave dalam analisisnya (terbuka di tab baru).
WIM dan naksir
Kampanye melihat pelaku ancaman menggunakan file WIM (Windows Imaging Format), menyamar sebagai faktur atau catatan pengiriman, untuk menyelundupkan malware.
Di masa lalu, pelaku ancaman mengandalkan file image disk seperti .ISO, .IMG, dan .DAA untuk menyembunyikan malware. Namun, seperti yang dicatat oleh Trustwave, tidak seperti format gambar disk lainnya, Windows tidak memiliki kemampuan bawaan untuk mengekstrak file ini, yang hanya dapat dibongkar menggunakan alat pengarsipan (terbuka di tab baru) Suka 7Zip (terbuka di tab baru)PowerISO, dan PeaZip (terbuka di tab baru).
Analisis Trustwave mengungkapkan bahwa file tersebut berisi Agen Tesla (terbuka di tab baru) malware, yang merupakan trojan akses jarak jauh (RAT) berbahaya yang dapat mengekstraksi data melalui HTTP, SMTP, FTP, dan Telegram dan juga memungkinkan pelaku ancaman untuk melakukan kontrol atas sistem yang disusupi.
Namun, menyembunyikan malware yang mematikan di dalam format file yang tidak jelas bukanlah langkah yang cerdas karena ini memastikan bahwa sebagian besar target tidak akan dapat menginfeksi komputer mereka secara tidak sengaja.
