Botnet Emotet yang terkenal telah dikaitkan dengan gelombang baru kampanye malspam yang memanfaatkan file arsip dengan dilindungi kata sandi untuk menjatuhkan CoinMiner dan Quasar RAT pada sistem yang disusupi.
Dalam rantai serangan yang terdeteksi oleh para peneliti Trustwave SpiderLabs, sebuah file ZIP bertema faktur ditemukan berisi arsip self-extracting (SFX) bersarang, arsip pertama yang bertindak sebagai saluran untuk meluncurkan yang kedua.
Sementara serangan phishing seperti ini membujuk target untuk membuka lampiran, perusahaan keamanan siber mengatakan kampanye menghindari rintangan ini dengan memanfaatkan batch file untuk secara otomatis memberikan kata sandi guna membuka kunci muatan.
File arsip SFX pertama selanjutnya menggunakan ikon PDF atau Excel untuk membuatnya tampak resmi, padahal pada kenyataannya, itu berisi tiga komponen: file SFX RAR kedua yang dilindungi kata sandi, script batch yang disebutkan di atas yang meluncurkan arsip, dan PDF atau gambar umpan.
“Eksekusi file batch mengarah pada instalasi malware yang bersembunyi di dalam RARsfx [arsip RAR yang mengekstraksi sendiri] yang dilindungi kata sandi,” kata peneliti Bernard Bautista dan Diana Lopera.
Script batch menentukan kata sandi arsip dan folder tujuan tempat payload akan diekstraksi, selain meluncurkan perintah untuk menampilkan dokumen palsu dalam upaya menyembunyikan aktivitas jahat.
Terakhir, infeksi memuncak dalam eksekusi CoinMiner, penambang cryptocurrency yang juga dapat berfungsi ganda sebagai pencuri kredensial atau Quasar RAT, trojan akses jarak jauh berbasis .NET open source, tergantung pada muatan yang dikemas dalam arsip.
Teknik serangan satu klik juga terkenal karena secara efektif melompati penghalang kata sandi.
Hal itu memungkinkan pelaku jahat untuk melakukan berbagai tindakan seperti cryptojacking, eksfiltrasi data dan ransomware.
Trustwave mengatakan telah mengidentifikasi peningkatan ancaman yang dikemas dalam file ZIP yang dilindungi kata sandi dengan sekitar 96% di antaranya didistribusikan oleh botnet Emotet.
“Arsip self-extracting telah ada sejak lama dan memudahkan distribusi file di antara pengguna akhir,” kata para peneliti.
“Namun, itu menimbulkan risiko keamanan karena konten file tidak mudah diverifikasi dan dapat menjalankan perintah dengan executable secara diam-diam.”
Fitur scanning Bitdefender dapat melakukan scan ke semua jenis archives (termasuk format file email) yang mungkin berisi ancaman.
Daftar di bawah ini menentukan jenis arsip yang paling umum dan sedang dianalisis:
7z; ace; alz; ar; arc; arj; boo; bz; bz2; bzip2; cab; chm; cpio; dbx; deb (with gzip, bzip2, xz); dmg (with HFS); docfile; eml; esh; exe; ezs; fky; frs; fxp; gadget; gif; grv; gx2; gz; gzip; hap; hlp; hms; hqx; hta; htm; html; htt; iaf; icd; ico; img; inf; ini; inno; instyler; inx; ipf; iso; installshield; isu; jar; jfif; jpe; jpeg; jpg; js; jse; jsx; kix; laccdb; lha; lzh; lnk; maf; mam; maq; mar; mat; mbx; mcr; mda; mdb; mde; mdt; mdw; mem; mhtml; mid; mime; mmf; mov; mp3; mpd; mpeg; mpg; mpp; mpt; mpx; ms; mscompress; msg; msi; mso; msp; mst; msu; nsis; nws; oab; obd; obi; obs; obt; ocx; odt; oft; ogg; ole; one; onepkg; osci; ost; ovl; pa; paf; pak; pat; pci; pcx; pdf; pex; pfd; pgm; php; pif; pip; png; pot; potm; potx; ppa; ppam; pps; ppsm; ppsx; ppt; pptm; pptx; ppz; prc; prf; prg; ps1; psd; psp; pst; pub; puz; pvd; pwc; pwz; py; pyc; pyo; qpx; qt; qxd; ra; ram; rar; rbx; rgb; rgs; rm; rox; rpj; rpm (with cpio, gzip, bzip2, xz); rtf; scar; scr; script; sct; sdr; sfx; sh3; shb; shs; shw; sis; sit; sldm; sldx; smm; snp; snt; spr; src; svd; swf; sym; sys; tar; tar.z; tb2; tbb; tbz2; td0; tgz; thebat; thmx; tif; tiff; tlb; tms; tsp; tt6; u3p; udf; ufa; url; uuencode; vb; vbe; vbs; vbscript; vise; vwp; vxd; wav; wbk; wbt; wcm; wdm; wise; wiz; wks; wll; wmf; wml; wpc; wpf; wpg; wpk; wpl; ws; ws2; wsc; wsf; wsh; xar; xl; xla; xlam; xlb; xlc; xll; xlm; xls; xlsb; xlsm; xlsx; xlt; xltm; xltx; xlw; xml; xqt; xsf; xsn; xtp; xz; z; zip; zl?; zoo
Pilih fitur ini jika kita ingin mengaktifkan on-access scanning pada archived file saat diakses.
Scanning di dalam arsip prosesnya lambat dan menggunakan sumber daya.
Arsip yang berisi file yang terinfeksi bukanlah ancaman langsung terhadap keamanan sistem.
Malware dapat memengaruhi sistem hanya jika file yang terinfeksi diekstraksi dari arsip dan dieksekusi tanpa mengaktifkan on-access scanning.
Jika menggunakan fitur ini, kita perlu mengonfigurasi opsi pengoptimalan berikut:
- Archive maximum size (MB)
Kita dapat mengatur batas ukuran maksimum arsip yang dapat diterima untuk di-scan saat diakses.
Pilih kotak centang yang sesuai dan ketik ukuran arsip maksimum (dalam MB).
- Archive maximum depth (levels)
Pilih kotak centang yang sesuai dan pilih kedalaman arsip maksimum dari menu.
Untuk performa terbaik pilih nilai terendah, untuk perlindungan maksimal pilih nilai tertinggi.
Kedalaman pemindaian arsip Bitdefender bisa mencapai level 16.
Recent Comments