Operasi phising baru tertarget menggunakan malware Remcos RAT dengan bantuan dari bypass Windows User Account Control lama yang ditemukan lebih dari dua tahun lalu. Trik phising Windows UAC ini menjadi ancaman yang sangat berbahaya.
Penggunaan direktori tepercaya tiruan untuk mem-bypass Windows User Account Control menonjol dalam serangan seperti yang telah diketahui sejak 2020 tetapi tetap efektif hingga hari ini.
Trik Phising Windows UAC
Email operasi phising dikirim dari domain tingkat atas yang cocok dengan negara penerima dan biasanya disamarkan sebagai faktur, dokumentasi tender, dan dokumen keuangan lainnya.
Email tidak berisi banyak teks selain yang diperlukan untuk mengarahkan perhatian penerima ke lampiran, arsip tar.lz yang berisi DBatLoader yang dapat dieksekusi.
Pilihan format file yang tidak biasa seperti itu mengurangi kemungkinan korban berhasil membuka lampiran tetapi juga membantu menghindari deteksi dari perangkat lunak antivirus dan alat keamanan email.
Muatan tahap pertama pemuat malware disamarkan sebagai dokumen Microsoft Office, LibreOffice, atau PDF menggunakan ekstensi ganda dan ikon aplikasi untuk mengelabui korban agar membukanya.
Setelah meluncurkan pemuat malware, muatan tahap kedua diambil dari layanan cloud publik, seperti Microsoft OneDrive atau Google Drive.
Dalam sebuah kasus, layanan cloud disalahgunakan untuk menghosting DBatLoader selama lebih dari sebulan, meskipun tidak jelas apakah pelaku ancaman menggunakan akun mereka sendiri atau akun yang disusupi dengan riwayat yang bersih.
Menyalahgunakan Folder Tiruan
Sebelum memuat Remcos RAT, DBatLoader membuat dan mengeksekusi skrip batch Windows untuk menyalahgunakan metode melewati UAC Windows yang didokumentasikan pada tahun 2020.
Metode tersebut, pertama kali didemonstrasikan pada Windows 10, melibatkan penggunaan kombinasi pembajakan DLL dan tiruan direktori tepercaya untuk mem-bypass UAC dan menjalankan kode berbahaya tanpa meminta pengguna.
Windows UAC adalah mekanisme perlindungan yang diperkenalkan Microsoft di Windows Vista, meminta pengguna untuk mengonfirmasi eksekusi aplikasi berisiko tinggi.
Beberapa folder, seperti C:\Windows\System32\, dipercaya oleh Windows, memungkinkan file yang dapat dieksekusi naik secara otomatis tanpa menampilkan perintah UAC.
Direktori tiruan adalah direktori tiruan dengan spasi tambahan. Misalnya, “C:\Windows\System32” adalah folder resmi dan dianggap sebagai lokasi tepercaya di Windows.
Sementara itu, direktori palsu akan terlihat seperti “C:\Windows\System32”, dengan ruang tambahan setelah C:\Windows\.
Masalahnya adalah beberapa program Windows, seperti File Explorer, memperlakukan “C:\Windows” dan “C:\Windows ” sebagai folder yang sama.
Sehingga mengelabui sistem operasi untuk berpikir bahwa C:\Windows\System32 adalah folder tepercaya dan seharusnya buat file-nya dinaikkan secara otomatis tanpa prompt UAC.
Direktori Tiruan
Skrip yang digunakan oleh DBatLoader, dalam hal ini, membuat direktori tiruan tepercaya dengan cara yang sama, membuat folder “C:\Windows\System32” dan menyalin file yang dapat dieksekusi yang sah (“easinvoker.exe”) dan DLL berbahaya (“netutils.dll” ) untuk itu.
easinvoker.exe rentan terhadap pembajakan DLL yang memungkinkan eksekusi netutils.dll berbahaya dalam konteksnya.
easinvoker.exe adalah executable yang ditinggikan secara otomatis, artinya Windows secara otomatis meningkatkan proses ini tanpa mengeluarkan permintaan UAC jika terletak di direktori tepercaya – direktori tiruan %SystemRoot%\System32 memastikan kriteria ini terpenuhi.
Pemuat malware menambahkan skrip berbahaya (“KDECO.bat”) yang bersembunyi di DLL ke daftar pengecualian Pembela Microsoft dan kemudian menetapkan kegigihan untuk Remcos dengan membuat kunci registri baru.
Akhirnya, Remcos dijalankan melalui proses injeksi, dikonfigurasi dengan kemampuan keylogging dan screenshot-snapping.
Disarankan agar administrator sistem mengonfigurasi Windows UAC ke “Always Notify”, meskipun ini mungkin terlalu obstruktif dan berisik.
Admin juga harus memantau pembuatan file yang mencurigakan atau eksekusi proses di jalur sistem file kepercayaan dengan spasi tambahan, terutama folder yang berisi string “\Windows”.
Baca lainnya:
- Email dan Keamanan Email
- Phising ChatGPT
- Alarm Peringatan Scammer
- Phising DHL
- Memancing dengan Google Ads
- Sejarah Phising
Sumber berita: