Mohon tunggu...
Eka Seftrian Anugera
Eka Seftrian Anugera Mohon Tunggu... Security - Security

saya suka teknologi

Selanjutnya

Tutup

Inovasi

Hacker Menggunakan SVG File untuk Menyelundupkan Qbot Malware Masuk ke Dalam Sistem Windows

17 Desember 2022   18:20 Diperbarui: 17 Desember 2022   18:25 583
+
Laporkan Konten
Laporkan Akun
Kompasiana adalah platform blog. Konten ini menjadi tanggung jawab bloger dan tidak mewakili pandangan redaksi Kompas.
Lihat foto
Bagikan ide kreativitasmu dalam bentuk konten di Kompasiana | Sumber gambar: Freepik

Phishing QBot malware telah diadopsi sebagai metode distribusi baru menggunakan file SVG untuk menjalankan HTML Smuggles lalu menyebar installer berbahaya ke windows.

HTML smuggling adalah teknik yang digunakan untuk "menyelundupkan" muatan JavaScript yang disandikan ke dalam lampiran HTML atau situs web. Dengan kata lain, idenya adalah untuk menghindari email gateways dengan menyimpan binary dalam bentuk kode JavaScript yang diterjemahkan dan diunduh saat dibuka melalui browser web. 

Para peneliti di Talos telah menemukan phishing yang mendistribusikan malware QBot menggunakan teknik yang memanfaatkan gambar Scalable Vector Graphics (SVG) yang disematkan dalam lampiran email HTML. HTML  Smuggle seperti yang diketahui, adalah teknik yang sangat baik untuk pengiriman malware yang memanfaatkan fitur HTML5 dan JavaScript. Muatan berbahaya dikirimkan melalui string yang disandikan dalam lampiran HTML atau halaman web, dan kode HTML berbahaya dibuat di dalam browser pada perangkat target yang sudah berada di dalam perimeter keamanan jaringan korban. 

Cisco's analysts mendekodekan JavaScript di SVG blob dan menemukan fungsi yang mengubah 'teks' variabel JS yang disertakan menjadi binary blob, diikuti oleh fungsi yang mengubah blob menjadi arsip ZIP, seperti yang ditunjukkan di bawah ini.

Kode Javascript. Sumber: ( Cicso )
Kode Javascript. Sumber: ( Cicso )

"Ketika korban membuka lampiran HTML dari email, kode JavaScript yang diselundupkan di dalam gambar SVG akan di eksekusi, membuat arsip ZIP berbahaya dan kemudian menampilkan pengguna dengan kotak dialog untuk menyimpan file tersebut," kata seorang peneliti Adam Katz dan Jaeson Schultz 

Arsip yang diunduh dilindungi kata sandi untuk menghindari pengawasan dari AV(Anti virus), tetapi HTML yang dibuka korban berisi kata sandi file ZIP. 

Halaman Zip Download dan Adobe HTML palsu, sumber: (Cisco) 
Halaman Zip Download dan Adobe HTML palsu, sumber: (Cisco) 

Arsip ZIP juga dilindungi kata sandi, mengharuskan pengguna memasukkan kata sandi yang ditampilkan di lampiran HTML, setelah itu gambar ISO diekstraksi untuk menjalankan trojan Qbot. 

Tips untuk melindungi sistem  windows dari serangan HTML Smuggling, blokir eksekusi JavaScript atau VBScript untuk konten yang diunduh.

HALAMAN :
  1. 1
  2. 2
Mohon tunggu...

Lihat Konten Inovasi Selengkapnya
Lihat Inovasi Selengkapnya
Beri Komentar
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE

Belum ada komentar. Jadilah yang pertama untuk memberikan komentar!
LAPORKAN KONTEN
Alasan
Laporkan Konten
Laporkan Akun