Para peneliti melaporkan versi baru dari trojan akses jarak jauh JSSLoader yang didistribusikan melalui add-in Microsoft Excel yang berbahaya.
RAT tertentu (trojan akses jarak jauh) telah beredar sejak Desember 2020, terkait dengan kelompok peretasan Rusia FIN7 yang bermotivasi finansial, juga dikenal sebagai “Carbanak.”
JSSLoader adalah RAT kecil yang ringan dan dapat melakukan eksfiltrasi data, membangun ketahanan, mengambil dan memuat muatan tambahan, memperbarui sendiri secara otomatis, serta banyak lagi.
Add-in Excel
Kampanye terbaru yang melibatkan versi baru JSSLoader tersembunyi ini diamati oleh analis ancaman di Morphisec Labs dan mengatakan, bahwa mekanisme pengiriman saat ini adalah email phishing dengan lampiran XLL atau XLM.
Penyalahgunaan add-in Excel XLL bukanlah hal baru karena biasanya digunakan untuk tujuan yang sah, seperti mengimpor data ke dalam lembar kerja atau memperluas fungsionalitas Excel.
Namun, dalam kampanye yang sedang berlangsung, pelaku ancaman menggunakan file yang tidak ditandatangani secara digital, sehingga Excel akan menunjukkan kepada korban peringatan yang jelas tentang risiko mengeksekusinya.
Saat diaktifkan, file XLL menggunakan kode berbahaya di dalam fungsi xlAutoOpen untuk memuat dirinya sendiri ke dalam memori dan kemudian mengunduh muatan dari server jarak jauh dan menjalankannya sebagai proses baru melalui panggilan API.
Pembuat Kebingungan yang lebih Canggih
Aktor ancaman secara teratur akan me-refresh User-Agent pada file XLL untuk menghindari EDR yang menggabungkan informasi deteksi dari seluruh jaringan.
Dibandingkan dengan versi yang lebih lama, JSSLoader baru memiliki alur eksekusi yang sama, tetapi sekarang hadir dengan lapisan string baru yang mencakup penggantian nama semua fungsi dan variabel.
Untuk menghindari deteksi dari aturan YARA berbasis string, RAT baru telah membagi string menjadi sub-string dan menggabungkannya saat runtime.
Akhirnya, mekanisme decoding string sederhana sehingga meninggalkan jejak minimal dan mengurangi kemungkinan terdeteksi oleh pemindai ancaman statis.
Morphisec melaporkan bahwa penambahan update baru ini dikombinasikan dengan pengiriman file XLL yang cukup untuk mencegah deteksi dari antivirus generasi berikutnya (NGAV) dan solusi EDR.
Hal ini memungkinkan FIN7 untuk bergerak di jaringan yang disusupi tanpa terpengaruh selama beberapa hari atau minggu sebelum alat perlindungan cyber memuat database yang cocok untuk melengkapi solusi deteksi berbasis AI.
FIN7 adalah kelompok ancaman yang cerdik, sebelumnya mereka telah mengirimkan USB yang mengandung malware bersama dengan hadiah boneka beruang, berusaha untuk mempekerjakan ahli penetrasi jaringan dengan menyamar sebagai perusahaan keamanan yang sah dan mengirim USB pembawa ransomware melalui surat pos.
Versi baru dan tersembunyi dari JSSLoader hanyalah satu bagian dari gudang senjata mereka, membantu mereka bersembunyi di jaringan lebih lama tanpa terdeteksi dan dihentikan.
Baik FIN7 yang lama atau baru sudah dapat terdeteksi oleh modul antimalware Bitdefender.
Bitdefender juga mendapat nilai tertinggi dalam evaluasi deteksi Carbanak yang dilakukan oleh Mitre Engenuity.
Bahkan, sejak evaluasi tersebut diadakan, Bitdefender selalu mendapat 97% nilai tertinggi, termasuk yang baru diumumkan 31 Maret 2022 yang lalu.
Recent Comments