Kampanye phishing baru menargetkan organisasi di negara-negara Eropa Timur dengan malware Remcos RAT dengan bantuan dari bypass Kontrol Akun Pengguna Windows lama yang ditemukan lebih dari dua tahun lalu.
Penggunaan direktori tepercaya tiruan untuk mem-bypass Kontrol Akun Pengguna Windows menonjol dalam serangan seperti yang telah diketahui sejak 2020 tetapi tetap efektif hingga hari ini.
Kampanye Remcos terbaru diamati dan dianalisis oleh peneliti SentinelOne, yang mendokumentasikan temuan mereka dalam laporan yang diterbitkan hari ini.
Ini dimulai dengan faktur palsu
Email kampanye phishing dikirim dari domain tingkat atas yang cocok dengan negara penerima dan biasanya disamarkan sebagai faktur, dokumentasi tender, dan dokumen keuangan lainnya.
Email tidak berisi banyak teks selain yang diperlukan untuk mengarahkan perhatian penerima ke lampiran, arsip tar.lz yang berisi DBatLoader yang dapat dieksekusi.
Pilihan format file yang tidak biasa seperti itu mengurangi kemungkinan korban berhasil membuka lampiran tetapi juga membantu menghindari deteksi dari perangkat lunak antivirus dan alat keamanan email.
Muatan tahap pertama pemuat malware disamarkan sebagai dokumen Microsoft Office, LibreOffice, atau PDF menggunakan ekstensi ganda dan ikon aplikasi untuk mengelabui korban agar membukanya.
Setelah meluncurkan pemuat malware, muatan tahap kedua diambil dari layanan cloud publik, seperti Microsoft OneDrive atau Google Drive.
Sentinel One melaporkan bahwa dalam satu kasus, layanan cloud disalahgunakan untuk menghosting DBatLoader selama lebih dari sebulan, meskipun tidak jelas apakah pelaku ancaman menggunakan akun mereka sendiri atau akun yang disusupi dengan riwayat yang bersih.
Menyalahgunakan folder tiruan “tepercaya”.
Sebelum memuat Remcos RAT, DBatLoader membuat dan mengeksekusi skrip batch Windows untuk menyalahgunakan metode melewati UAC Windows yang didokumentasikan pada tahun 2020.
Metode tersebut, pertama kali didemonstrasikan pada Windows 10 oleh peneliti keamanan Daniel Gebert, melibatkan penggunaan a kombinasi pembajakan DLL dan tiruan direktori tepercaya untuk mem-bypass UAC dan menjalankan kode berbahaya tanpa meminta pengguna.
Windows UAC adalah mekanisme perlindungan yang diperkenalkan Microsoft di Windows Vista, meminta pengguna untuk mengonfirmasi eksekusi aplikasi berisiko tinggi.
Beberapa folder, seperti C:\Windows\System32\, dipercaya oleh Windows, memungkinkan file yang dapat dieksekusi naik secara otomatis tanpa menampilkan perintah UAC.
Direktori tiruan adalah imitasi direktori dengan spasi tambahan. Misalnya, “C:\Windows\System32” adalah folder resmi dan dianggap sebagai lokasi tepercaya di Windows. Direktori palsu akan terlihat seperti “C:\Windows\System32”, dengan ruang ekstra setelah C:\Windows\.
Masalahnya adalah beberapa program Windows, seperti File Explorer, memperlakukan “C:\Windows” dan “C:\Windows ” sebagai folder yang sama, sehingga mengelabui sistem operasi untuk berpikir bahwa C:\Windows\System32 adalah folder tepercaya dan seharusnya buat file-nya dinaikkan secara otomatis tanpa prompt UAC.
Skrip yang digunakan oleh DBatLoader, dalam hal ini, membuat direktori tiruan tepercaya dengan cara yang sama, membuat folder “C:\Windows\System32” dan menyalin file yang dapat dieksekusi yang sah (“easinvoker.exe”) dan DLL berbahaya (“netutils.dll” ) untuk itu.
“easyvoker.exe rentan terhadap pembajakan DLL yang memungkinkan eksekusi netutils.dll berbahaya dalam konteksnya,” jelas Sentinel One
“easinvoker.exe adalah executable yang ditinggikan secara otomatis, artinya Windows secara otomatis meningkatkan proses ini tanpa mengeluarkan permintaan UAC jika terletak di direktori tepercaya – direktori tiruan %SystemRoot%\System32 memastikan kriteria ini terpenuhi.”
Pemuat malware menambahkan skrip berbahaya (“KDECO.bat”) yang bersembunyi di DLL ke daftar pengecualian Pembela Microsoft dan kemudian menetapkan kegigihan untuk Remcos dengan membuat kunci registri baru.
Akhirnya, Remcos dijalankan melalui proses injeksi, dikonfigurasi dengan kemampuan keylogging dan screenshot-snapping.
Sentinel One menyarankan agar administrator sistem mengonfigurasi Windows UAC ke “Selalu Beri Tahu”, meskipun ini mungkin terlalu obstruktif dan berisik.
Admin juga harus memantau pembuatan file yang mencurigakan atau eksekusi proses di jalur sistem file kepercayaan dengan spasi tambahan, terutama folder yang berisi string “\Windows”.
