Awas! Peretas Sembunyikan Malware dalam Gambar PNG
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Para peneliti menemukan adanya ancaman baru yang menggunakan file PNG untuk mengirimkan muatan berbahaya.
Ancaman tersebut dilakukan oleh geng peretas berjuluk “Worok”, tutur perusahaan keamanan siber ESET dan Avast yang menelitinya, dikutip dari TechRadar Pro, diakses Senin (14 November 2022).
Sejauh ini, Worok beraksi di kawasan Timur Tengah, Asia Tenggara, dan Afrika Selatan, terutama menargetkan organisasi pemerintah.
Modus serangan yang diluncurkan multi-tahap. Mereka menggunakan sideloading DLL untuk mengeksekusi malware CLRLoader yang nantinya memuat DLL PNGLoader, yang mampu membaca kode yang dikaburkan dan bersembunyi di file PNG.
Kode itu diterjemahkan menjadi DropBoxControl, infostealer .NET C# khusus yang menyalahgunakan hosting file Dropbox untuk komunikasi dan pencurian data.
“Malware ini tampaknya mendukung banyak perintah, termasuk menjalankan cmd /c, meluncurkan file yang dapat dieksekusi, mengunduh dan mengunggah data ke dan dari Dropbox, menghapus data dari titik akhir target, menyiapkan direktori baru (untuk muatan pintu belakang tambahan), dan mengekstraksi informasi sistem,” tulis TechRadar Pro.
Peneliti meyakini Worok adalah karya kelompok cyberespionage yang bekerja secara diam-diam, suka bergerak secara lateral melintasi jaringan target, dan mencuri data sensitif.
Alat peretasnya diyakini kuat buatan sendiri karena peneliti sejauh ini belum mengamati kemiripan dengan peretas lain.
Worok menggunakan " “least significant bit” (LSB), menyematkan potongan-potongan kecil kode berbahaya di bit yang paling tidak penting dari piksel gambar, kata peneliti.
Sebelumnya, perusahaan keamanan siber Check Point Research (CPR) juga menemukan paket berbahaya pada repositori berbasis Python PyPI yang menggunakan gambar untuk mengirimkan malware Trojan (terbuka di tab baru) yang disebut “apicolor”, sebagian besar menggunakan GitHub sebagai metode distribusi.
Paket yang tampaknya jinak mengunduh gambar dari web, dan kemudian menginstal alat tambahan yang memproses gambar, dan kemudian memicu keluaran pemrosesan yang dihasilkan menggunakan perintah exec.
Salah satu dari dua persyaratan tersebut adalah kode judyb, modul steganografi yang mampu mengungkap pesan tersembunyi di dalam gambar. Lalu, mengarahkan para peneliti kembali ke gambar asli yang ternyata mengunduh paket jahat dari web ke titik akhir korban (terbuka di tab baru).[]
