Modus pembobolan kali ini cukup rapi. Menurut K7 Security Labs, hacker pertama-tama bakal mengirimkan email penipuan (phising) berisi file ISO yang mencantumkan laporan WerFault.exe untuk dieksekusi.
Selain itu juga ada file tambahan DLL bernama faultrep.dll, XLS bernama File.xls dan shortcut bernama Inventory & Our specialitis.Ink.
Cara kerja peretasan tersebut adalah korban akan menekan file shortcut, yang di dalamnya menjalankan WerFault.exe resmi. Tech Radar menuliskan file itu bersih jadi tidak akan 'membunyikan' alarm antivirus apapun, dikutip Jumat (6/1/2023).
Berikutnya, file WerFault.exe akan memuat faultrep.dll, yang juga merupakan file sah untuk menjalankan program. Peretas lantas bakal memindahkan malware dengan teknik sideload (transfer data lokal tanpa internet), yakni mencari folder dengan tempat yang sama dan jika file DLL berbahaya maka malware akan dijalankan.
K7 Securities Labs menyebutkan DLL akan memuat dua thread, yakni DLL Pupy Remote Access Trojan (dll_pupyx64.dll) dan yang membuka File.xls.
File Pupy akan memberikan ancaman penuh pada perangkat target. Dengan begitu, hacker bisa menjalankan perintah, mencuri apapun, atau bergerak melalui jaringan sesuai keinginan.
Bleeping Computer mengatakan Pupy digunakan oleh hacker yang disponsori negara Iran yakni APT33 dan APT35. Peretas juga disebutkan berusaha mendistribusikan malware QBot.
Comments
Post a Comment