Gelombang baru kampanye phishing telah diamati menyebarkan malware yang didokumentasikan sebelumnya yang disebut SVCSiap.
“Malware ini terkenal karena cara yang tidak biasa dikirimkan ke PC target — menggunakan shellcode yang tersembunyi di properti dokumen Microsoft Office,” Patrick Schläpfer, analis ancaman di HP, mengatakan dalam sebuah penulisan teknis.
SVCReady dikatakan dalam tahap awal pengembangan, dengan penulis berulang kali memperbarui malware beberapa kali bulan lalu. Tanda-tanda pertama aktivitas dimulai pada 22 April 2022.
Rantai infeksi melibatkan pengiriman lampiran dokumen Microsoft Word ke target melalui email yang berisi makro VBA untuk mengaktifkan penyebaran muatan berbahaya.
Tetapi di mana kampanye ini menonjol adalah bahwa alih-alih menggunakan PowerShell atau MSHTA untuk mengambil executable tahap berikutnya dari server jarak jauh, makro menjalankan shellcode yang disimpan di properti dokumen, yang kemudian menghapus malware SVCReady.
Selain mencapai kegigihan pada host yang terinfeksi melalui tugas terjadwal, malware hadir dengan kemampuan untuk mengumpulkan informasi sistem, menangkap tangkapan layar, menjalankan perintah shell, serta mengunduh dan mengeksekusi file arbitrer.
Ini juga termasuk memberikan RedLine Stealer sebagai muatan tindak lanjut dalam satu instans pada 26 April setelah mesin pada awalnya dikompromikan dengan SVCReady.
HP mengatakan telah mengidentifikasi tumpang tindih antara nama file dari dokumen iming-iming dan gambar yang terkandung dalam file yang digunakan untuk mendistribusikan SVCReady dan yang digunakan oleh kelompok lain yang disebut TA551 (alias Hive0106 atau Shathak), tetapi tidak segera jelas apakah pelaku ancaman yang sama adalah di balik kampanye terbaru.
“Ada kemungkinan kita melihat artefak yang ditinggalkan oleh dua penyerang berbeda yang menggunakan alat yang sama,” kata Schläpfer. “Namun, temuan kami menunjukkan bahwa templat serupa dan pembuat dokumen yang berpotensi digunakan oleh aktor di balik kampanye TA551 dan SVCReady.”