Format file arsip — seperti file ZIP dan RAR — adalah jenis file paling umum untuk menyebarkan malware, mengalahkan file Office untuk pertama kalinya dalam tiga tahun.
Sebuah laporan baru dari HP Wolf Security, berdasarkan data dari jutaan titik akhir, menemukan bahwa antara Juli dan September tahun ini, 44 persen malware dikirimkan di dalam file arsip — naik 11 persen dibandingkan kuartal sebelumnya — dibandingkan dengan 32 persen dikirim melalui file Office seperti Microsoft Word, Excel, dan PowerPoint.
Keputusan Microsoft untuk menonaktifkan makro VBA secara otomatis kemungkinan akan memainkan peran di sini karena penyerang mencari cara lain untuk mengirimkan muatan mereka. Kampanye QakBot dan IceID baru-baru ini, misalnya, menggunakan file HTML untuk mengarahkan pengguna ke penampil dokumen online palsu yang menyamar sebagai Adobe. Pengguna kemudian diinstruksikan untuk membuka file ZIP dan memasukkan kata sandi untuk membongkar file, yang kemudian menyebarkan malware ke PC mereka.
Karena malware di dalam file HTML asli dikodekan dan dienkripsi, deteksi oleh gateway email atau alat keamanan lainnya sangat sulit. Penyerang mengandalkan rekayasa sosial untuk membuat halaman web yang meyakinkan dan dirancang dengan baik untuk menipu orang agar memulai serangan dengan membuka file ZIP berbahaya.
“Arsip mudah dienkripsi, membantu pelaku ancaman untuk menyembunyikan malware dan menghindari proxy web, kotak pasir, atau pemindai email. Ini membuat serangan sulit dideteksi, terutama jika dikombinasikan dengan teknik penyelundupan HTML. Yang menarik dari kampanye QakBot dan IceID adalah upaya yang dilakukan untuk membuat halaman palsu — kampanye ini lebih meyakinkan daripada yang pernah kami lihat sebelumnya, mempersulit orang untuk mengetahui file apa yang dapat dan tidak dapat mereka percayai,” kata Alex Holland, analis malware senior di Tim riset ancaman HP Wolf Security.
HP juga telah mengidentifikasi kampanye kompleks menggunakan rantai infeksi modular, yang berpotensi memungkinkan penyerang mengubah muatan — seperti spyware, ransomware, atau keyloggers — di tengah kampanye, atau untuk memperkenalkan fitur baru, seperti geo-fencing. Ini dapat memungkinkan penyerang untuk mengubah taktik tergantung pada target yang telah mereka langgar. Tidak menyertakan malware secara langsung dalam lampiran yang dikirim ke target membuat pendeteksian jauh lebih sulit.
“Seperti yang ditunjukkan, penyerang terus-menerus mengubah teknik, membuat alat deteksi sangat sulit dikenali,” kata Dr Ian Pratt, kepala keamanan global untuk sistem pribadi di HP. “Dengan mengikuti prinsip Zero Trust dari isolasi yang halus, organisasi dapat menggunakan mikro-virtualisasi untuk memastikan tugas-tugas yang berpotensi berbahaya — seperti mengklik tautan atau membuka lampiran berbahaya — dijalankan dalam mesin virtual sekali pakai yang terpisah dari sistem yang mendasarinya. Proses ini sama sekali tidak terlihat oleh pengguna, dan menjebak malware apa pun yang tersembunyi di dalamnya, memastikan penyerang tidak memiliki akses ke data sensitif dan mencegah mereka mendapatkan akses dan bergerak secara lateral.”
Laporan lengkap tersedia di situs HP.
Kredit gambar: tashatuvango/depositphotos.com
