idNSA.id - Gelombang baru kampanye phishing telah diamati
menyebarkan malware yang didokumentasikan sebelumnya disebut sebagai SVCReady.
“Malware ini terkenal karena cara yang tidak biasa dikirimkan
ke PC target — menggunakan shellcode yang tersembunyi di properti dokumen
Microsoft Office,” Patrick Schläpfer, analis ancaman di HP, mengatakan dalam
sebuah penulisan teknis.
SVCReady dikatakan dalam tahap awal pengembangan, dengan
penulis berulang kali memperbarui malware beberapa kali bulan lalu. Tanda-tanda
pertama aktivitas dimulai pada 22 April 2022.
Rantai infeksi melibatkan pengiriman lampiran dokumen
Microsoft Word ke target melalui email yang berisi makro VBA untuk mengaktifkan
penyebaran muatan berbahaya.
Namun yang membedakan kampanye ini adalah bahwa alih-alih
menggunakan PowerShell atau MSHTA untuk mengambil executable tahap berikutnya
dari server jarak jauh, makro menjalankan shellcode yang disimpan di properti
dokumen, yang kemudian menghapus malware SVCReady.
Selain mencapai kegigihan pada host yang terinfeksi melalui
tugas terjadwal, malware hadir dengan kemampuan untuk mengumpulkan informasi
sistem, menangkap tangkapan layar, menjalankan perintah shell, serta mengunduh
dan mengeksekusi file arbitrer.
HP mengatakan telah mengidentifikasi tumpang tindih antara
nama file dari dokumen dan gambar yang terkandung dalam file yang digunakan
untuk mendistribusikan SVCReady dan yang digunakan oleh kelompok lain yang
disebut TA551 (alias Hive0106 atau Shathak), tetapi tidak jelas apakah pelaku yang
sama ada di balik kampanye terbaru.
"Ada kemungkinan kita melihat artefak yang ditinggalkan
oleh dua pelaku berbeda yang menggunakan alat yang sama," kata Schläpfer.
"Namun, temuan kami menunjukkan bahwa template serupa dan pembuat dokumen
yang berpotensi digunakan oleh pelaku di balik kampanye TA551 dan
SVCReady."
