.webp)
Perusahaan analitik keamanan Mandiant menemukan sebuah rantai serangan malware jenis baru yang belum pernah ditemukan sebelumnya.
Rantai serangan malware ini menggunakan encoding Base 64 dan setidaknya menggunakan dua situs berbeda untuk menyebarkan salah satu serangannya. Situs yang menjadi korban itu adalah Ars Technica dan Vimeo.
Disebut rantai serangan karena serangan malware ini disebarnya dalam tiga tahap, dan situs Ars Technica serta Vimeo tersebut merupakan serangan malware tahap ke-2.
SCROLL TO CONTINUE WITH CONTENT
Di forum Ars Technica misalnya, seorang pengguna mempostingan gambar pizza dengan caption "I like pizza". Sekilas, tak ada yang berbahaya dari gambar dan teks caption ini.
Namun ternyata foto tersebut menyimpan deretan kode Base 64, yang saat dikonversi ke ASCII hanya terlihat seperti karakter acak. Namun pada kasus ini, teks tersebut sebenarnya menyimpan deretan kode untuk memaksa komputer korbannya mengunduh malware tahap ke-2.
Contoh lainnya ada di Vimeo, yaitu saat deretan kode tersebut muncul dalam deskripsi video, dan tidak terlihat bahaya, demikian dikutip detikINET dari Techspot, Jumat (2/2/2024).
Sementara itu Ars Technica langsung bertindak dengan menghapus akun pembuat postingan, yaitu akun yang dibuat pada November 2023. Mereka menyadari kemunculan gambar misterius itu setelah seorang pria anonim melaporkan tautan aneh yang ia temukan di forum Ars Technica.
Dalam analisanya Mandiant mengidentifikasi kalau kode malware itu milik dedemit maya dengan sebutan UNC4990, yang sudah dipantau keberadaannya sejak 2020. Untuk kebanyakan pengguna, malware yang diunduh dari situs Vimeo dan Ars Technica ini tidak ada efeknya, ini adalah malware tahap ke-2 dengan nama EmptySpace.
EmptySpace sekilas terlihat seperti file teks yang jika dilihat di browser dan teks editor tampak kosong. Namun jika dibuka lewat hex editor, akan terungkap file binary yang menggunakan encoding pintar, memanfaatkan skema spaces, tab, dan baris baru untuk membuat kode binary yang bisa dieksekusi. Mandiant mengakui belum pernah melihat teknik seperti ini sebelumnya.
"Ini berbeda dan cara pintar untuk menyulitkan pendeteksian. Ini adalah jenis malware yang tak biasanya kita lihat. Ini cukup menarik bagi kami, dan sesuatu yang ingin kami teliti," kata Yash Gupta, peneliti Mandiant.
Malware ini baru berdampak untuk pengguna yang sudah terkena malware tahap pertama, yaitu explorer.ps1. UNC4990 menyebarkan malware tahap pertama itu lewat flashdisk yang dikonfigurasi untuk menyambungkan korban dengan file yang disimpan di GitHub dan GitLab.
Untuk korban yang sudah terkena dari tahap satu, saat EmptySpace dieksekusi, malware akan mengontak server dan mengunduh backdoor bernama Quietboard. Backdoor ini kemudian dipakai untuk menginstal penambang kripto di perangkat korban. Namun untungnya menurut Mandiant sejauh ini baru terdeteksi satu korban yang menginstal malware ini secara komplit.
(asj/rns)
