Quasar RAT Memanfaatkan Pemuatan Samping DLL untuk Terbang Di Bawah Radar

 

Trojan akses jarak jauh sumber terbuka yang dikenal sebagai Quasar RAT telah diamati memanfaatkan pemuatan samping DLL untuk terbang di bawah radar dan secara diam-diam menyedot data dari host Windows yang disusupi.

 “Teknik ini memanfaatkan kepercayaan yang melekat pada perintah file-file ini dalam lingkungan Windows,” kata peneliti Uptycs Tejaswini Sandapolla dan Karthickkumar Kathiresan dalam laporan yang diterbitkan minggu lalu, merinci ketergantungan malware pada ctfmon.exe dan calc.exe sebagai bagian dari rantai serangan. .

 Juga dikenal dengan nama CinaRAT ​​atau Yggdrasil, Quasar RAT adalah alat administrasi jarak jauh berbasis C# yang mampu mengumpulkan informasi sistem, daftar aplikasi yang sedang berjalan, file, penekanan tombol, tangkapan layar, dan menjalankan perintah shell sewenang-wenang.

Pemuatan samping DLL adalah teknik populer yang diadopsi oleh banyak pelaku ancaman untuk mengeksekusi muatan mereka sendiri dengan menanam file DLL palsu dengan nama yang diketahui dicari oleh file executable jinak.

 “Penyerang kemungkinan besar menggunakan side-loading sebagai cara untuk menutupi tindakan yang mereka lakukan di bawah sistem atau proses perangkat lunak yang sah, tepercaya, dan berpotensi ditingkatkan,” MITRE mencatat dalam penjelasannya tentang metode serangan tersebut.

Titik awal serangan yang didokumentasikan oleh Uptycs adalah file image ISO yang berisi tiga file: Biner sah bernama ctfmon.exe yang diubah namanya menjadi eBill-997358806.exe, file MsCtfMonitor.dll yang diubah namanya menjadi monitor.ini, dan file berbahaya MsCtfMonitor.dll.

 “Ketika file biner 'eBill-997358806.exe' dijalankan, ia memulai pemuatan file berjudul 'MsCtfMonitor.dll' (nama disamarkan) melalui teknik side-loading DLL, di mana kode berbahaya disembunyikan,” kata para peneliti. 

Kode tersembunyi adalah "FileDownloader.exe" lain yang dapat dieksekusi yang disuntikkan ke Regasm.exe, Alat Pendaftaran Perakitan Windows, untuk meluncurkan tahap berikutnya, file calc.exe asli yang memuat kembali Secure32.dll nakal melalui sisi DLL- memuat dan meluncurkan muatan Quasar RAT terakhir.

 Trojan, pada bagiannya, membuat koneksi dengan server jarak jauh untuk mengirim informasi sistem dan bahkan menyiapkan proxy terbalik untuk akses jarak jauh ke titik akhir.

 Identitas pelaku ancaman dan vektor akses awal yang digunakan untuk melakukan serangan tidak jelas, namun kemungkinan besar akan disebarluaskan melalui email phishing, sehingga pengguna harus waspada terhadap email, tautan, atau lampiran yang meragukan. .