Posted on

[ad_1]

Peneliti Microsoft menemukan kampanye yang menyalahgunakan lampiran WhatsApp untuk menyelundupkan skrip ke mesin Windows yang akan menyebabkan penyerang mendapatkan kendali jarak jauh.

WhatsApp menawarkan aplikasi desktop untuk Windows dan macOS, yang dapat disinkronkan pengguna dengan perangkat seluler mereka. WhatsApp versi desktop umumnya digunakan sebagai ekstensi aplikasi seluler, bukan platform utama. Jadi, meskipun aplikasi-aplikasi ini banyak digunakan, tingkat adopsi aplikasi-aplikasi tersebut kemungkinan jauh lebih rendah jika dibandingkan dengan platform seluler.

Tahun lalu, kami menulis tentang Meta yang menutup kerentanan yang memungkinkan penyerang menjalankan kode arbitrer pada sistem Windows yang ada di semua versi WhatsApp sebelum 2.2450.6.

Namun serangan yang ditemukan oleh Microsoft hanya didasarkan pada rekayasa sosial. Target menerima lampiran WhatsApp yang tampaknya tidak berbahaya, namun sebenarnya itu adalah file .vbs (Visual Basic Script) yang dapat dijalankan oleh Windows.

Jika penyerang berhasil meyakinkan korban untuk menjalankan file di Windows, skrip akan menyalin alat bawaan Windows ke dalam folder tersembunyi dan memberinya nama yang menyesatkan sehingga sekilas terlihat tidak berbahaya.

Dan alat-alat itu sendiri adalah alat yang sah, namun disalahgunakan untuk mengunduh malware. Teknik klasik living off the land (LOTL) yang menggunakan apa yang sudah ada di sistem alih-alih memasukkan biner malware yang akan ditangkap dalam pemindaian.

Skrip berikutnya diambil dari penyedia cloud populer, sehingga lalu lintas jaringan tampak seperti akses normal ke AWS, Tencent Cloud, atau Backblaze, bukan server mencurigakan yang akan menimbulkan tanda bahaya.

Untuk mematikan kemungkinan alarm lainnya, malware tersebut terus berusaha mengangkat dirinya menjadi administrator, lalu mengubah perintah UAC (Kontrol Akun Pengguna) dan pengaturan registri sehingga dapat secara diam-diam membuat perubahan di tingkat sistem dan bertahan selama proses reboot.

Di akhir rantai infeksi, MSI (Microsoft Installer) yang tidak ditandatangani menyiapkan perangkat lunak akses jarak jauh dan muatan lainnya, memberikan penyerang akses langsung dan berkelanjutan ke mesin dan data.

Bagaimana agar tetap aman

Untuk pengguna rumahan dan usaha kecil, ada beberapa langkah praktis agar tetap aman:

  • Jangan membuka lampiran yang tidak diminta sampai Anda memverifikasi dengan sumber tepercaya bahwa lampiran tersebut aman.
  • Aktifkan Lihat ekstensi nama file di Explorer sehingga file yang mengaku sebagai gambar tetapi diakhiri dengan .vbs atau .msi dapat diidentifikasi.
  • Gunakan solusi anti-malware real-time terkini untuk menghentikan koneksi yang tidak diinginkan dan mengidentifikasi file berbahaya.
  • Unduh perangkat lunak hanya dari situs resmi vendor dan periksa apakah penginstalnya sudah ditandatangani.
  • Jangan abaikan tanda peringatan. Perintah UAC yang tidak terduga, perangkat lunak baru yang tiba-tiba muncul, atau mesin Anda menjadi lamban setelah membuka lampiran WhatsApp adalah alasan untuk melakukan pemindaian anti-malware dan, jika diperlukan, bersiaplah untuk memulihkan dari cadangan yang bersih.
  • Selalu perbarui Windows dan semua aplikasi lainnya untuk mencegah eksploitasi kerentanan yang diketahui.

Kami tidak hanya melaporkan ancaman—kami menghapusnya

Risiko keamanan siber tidak boleh menyebar melebihi berita utama. Jauhkan ancaman dari perangkat Anda dengan mengunduh Malwarebytes sekarang.

[ad_2]

By: admin

Leave a Reply

Your email address will not be published. Required fields are marked *