Waspada! Ada Malware Yang Sembunyi di Balik File Gambar
illustrasi
Cyberthreat.id – Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri meminta masyarakat berhati-hari pada malware yang bersembunyi melalui file gambar.
Dikutip dari akun Instagram resminya @CCICPOLRI, disebutkan bahwa sebuah perusahaan keamanan siber telah menemukan kelompok peretas yang bernama “Witchetty” menggunakan steganografi untuk menyembunyikan malware backdoor dibalik logo Windows, pada wallpaper desktop.
“Kampanye ini dilakukan sejak Februari 2022 dengan menargetkan dua pemerintah di Timur Tengah, bursa saham di Afrika, dan beberapa lainnya,” kata Dittipidsiber Bareskrim Polri.
Dalam kampanye ini, para peretas memperbarui toolkit mereka untuk menargetkan berbagai kerentanan dan menggunakan steganografi untuk menyembunyikan muatan berbahaya mereka dari perangkat lunak antivirus.
Steganografi adalah tindakan menyembunyikan data dalam non-rahasia, informasi publik atau file komputer, seperti gambar, untuk menghindari deteksi. Misalnya, seorang peretas dapat membuat file gambar kerja yang ditampilkan dengan benar di komputer tetapi juga menyertakan kode berbahaya yang dapat diekstraksi darinya.
“Witchetty menggunakan steganografi untuk menyembunyikan malware backdoor terenkripsi XOR dalam gambar bitmap logo Windows lama,” kata peneliti.
File dihosting di layanan cloud tepercaya alih-alih server perintah dan kontrol (C2) dari pelaku ancaman, sehingga kemungkinan meningkatkan alarm keamanan saat mengambilnya diminimalkan.
Dalam laporan yang ditulis Bleeping Computer, peneliti keamanan dari Symantec mengatakan, Witchetty diyakini memiliki hubungan dekat dengan aktor ancaman Tiongkok yang didukung negara APT10 (alias 'Cicada'). Kelompok ini juga dianggap sebagai bagian dari operasi TA410, yang sebelumnya terkait dengan serangan terhadap penyedia energi AS.
Serangan dimulai dengan aktor ancaman mendapatkan akses awal ke jaringan dengan mengeksploitasi Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207) dan ProxyLogon (CVE-2021-26855 dan CVE- 2021-27065) menyerang rantai untuk menjatuhkan webshell di server yang rentan.
Mereka kemudian menggunakan backdoor di file gambar, yang memungkinkan mereka melakukan beberapa hal. Seperti, melakukan tindakan file dan direktori, mengubah registry Windows, mengunduh muatan tambahan, dll.
