Teknik serangan fileless baru yang menyalahgunakan layanan Microsoft Windows Error Reporting (WER) ditemukan dioperasikan oleh grup hacker yang masih belum teridentifikasi.
Menurut peneliti keamanan Malwarebytes, Hossein Jazi dan Jérôme Segura, vektor serangan bergantung pada malware yang menyembunyikan dirinya sendiri di file executable Windows Error Reporting untuk menghindari deteksi.
Dalam sebuah posting blog yang diterbitkan, para peneliti mengatakan ini adalah serangan “Kraken” baru – meskipun bukan teknik yang sepenuhnya baru – yang terdeteksi pada 17 September 2020.
Dokumen lure phishing yang ditemukan oleh tim peneliti dikemas dalam file .ZIP. Berjudul, “Compensation manual.doc“, file tersebut mengklaim berisi informasi yang berkaitan dengan hak kompensasi pekerja, tetapi ketika dibuka, dapat memicu makro berbahaya.
Makro menggunakan versi kustom dari modul CactusTorch VBA untuk melakukan serangan fileless, yang bisa dilakukan melalui shellcode.
CactusTorch dapat memuat biner kompilasi .Net yang disebut “Kraken.dll” ke dalam memori dan menjalankannya melalui VBScript. Payload ini memasukkan shellcode ke dalam WerFault.exe, sebuah proses yang terhubung ke layanan WER dan digunakan oleh Microsoft untuk melacak dan mengatasi kesalahan sistem operasi.
Baca Juga: “Ada Phishing Akun Netflix Bersembunyi Di Balik CAPTCHA“
“Layanan pelaporan itu, WerFault.exe, biasanya dipanggil saat terjadi kesalahan terkait sistem operasi, baik fitur Windows, atau aplikasi,” kata peneliti. “Saat korban melihat WerFault.exe berjalan di mesin mereka, mereka mungkin berasumsi bahwa beberapa kesalahan terjadi, sementara dalam kasus ini mereka sebenarnya telah menjadi sasaran dalam serangan.”
Shellcode juga diperintahkan untuk membuat permintaan HTTP ke domain hard-code, yang kemungkinan digunakan untuk mengunduh malware tambahan.
Operator di balik Kraken juga menggunakan beberapa metode anti-analisis, termasuk code obfuscation, memaksa DLL untuk beroperasi di beberapa utas, memeriksa lingkungan sandbox atau debugger, dan memindai registri untuk melihat apakah mesin virtual VMWare atau VirtualBox sedang dijalankan atau tidak. Pengembang malware telah memprogram kode berbahaya untuk berhenti jika ada indikator dari aktivitas analisis ditemukan.
Saat ini, serangan Kraken terbukti sulit untuk dikaitkan dengan grup hacker manapun. URLÂ hard-code malware telah dihapus pada saat analisis, dan tanpa hal ini, tentunya menunjukkan bahwa masih belum jelas grup APT mana yang bisa dikaitkan dengan operasi ini.
Namun, Malwarebytes mengatakan ada beberapa elemen yang mengingatkan para peneliti kepada APT32, juga dikenal sebagai OceanLotus, APT Vietnam yang diyakini ada di balik serangan terhadap BMW dan Hyundai pada 2019.
