Pendahuluan
Ancaman siber terus berkembang, tidak hanya dari sisi kemampuan eksploitasi, tetapi juga dari teknik penyamaran (evasion) yang semakin canggih. Salah satu contoh terbaru adalah kampanye malware yang memanfaatkan steganografi untuk menyembunyikan payload berbahaya di dalam file yang tampak normal.
Dalam laporan terbaru, peneliti keamanan menemukan kampanye yang menggunakan loader bernama PawsRunner untuk mengirimkan infostealer PureLogs, di mana payload disembunyikan dalam file gambar PNG—bahkan termasuk gambar bertema “kucing”—untuk menghindari deteksi sistem keamanan tradisional.
Tabel Ringkasan Attack Chain PureLogs via PawsRunner
| Tahap Serangan | Teknik yang Digunakan | Tujuan |
|---|---|---|
| Initial access | Phishing email + TXZ archive | Menjebak korban membuka file |
| Execution | JavaScript + PowerShell hidden | Menjalankan payload tanpa terlihat |
| Loader stage | PawsRunner steganography | Menyembunyikan malware dalam file gambar |
| Payload delivery | PNG image steganography | Menyisipkan kode berbahaya dalam gambar |
| Final payload | PureLogs infostealer | Mencuri data pengguna |
1. Tahap Awal: Phishing sebagai Pintu Masuk
Serangan dimulai dengan email phishing yang membawa lampiran berupa file arsip TXZ (XZ-compressed TAR). Email ini biasanya menggunakan tema seperti:
- Invoice pembayaran
- Notifikasi urgensi bisnis
- Dokumen penting yang harus segera dibuka
Tujuannya adalah mendorong korban mengeksekusi file tanpa curiga.
2. Eksekusi Tersembunyi via JavaScript dan PowerShell
Setelah file dibuka, JavaScript di dalam arsip akan:
- Membuat dan menyembunyikan environment variables berisi data terenkripsi
- Menjalankan PowerShell dalam mode hidden (
-w hidden) - Menghindari deteksi melalui proses normal Windows
Payload kemudian didekripsi menggunakan kombinasi:
- AES encryption
- Gzip decompression
- In-memory execution (fileless execution)
Pendekatan ini membuat malware sulit dideteksi oleh antivirus berbasis file scanning.
3. PawsRunner: Loader Steganografi
Tahap paling unik dari serangan ini adalah penggunaan PawsRunner, sebuah loader yang:
- Mengambil data dari file gambar PNG
- Menyembunyikan payload di dalam struktur gambar (chunk seperti iTXt dan IEND)
- Mengekstrak dan mendekripsi data tersembunyi
Bahkan, beberapa file gambar yang digunakan tampak seperti gambar kucing biasa, sehingga tidak mencurigakan secara visual.
Teknik ini membuat deteksi menjadi jauh lebih sulit karena:
- File terlihat normal
- Trafik download tampak sah (image request)
- Signature malware tidak terlihat langsung
4. PureLogs: Infostealer Berbahaya
Setelah payload berhasil dieksekusi, malware PureLogs mulai bekerja sebagai infostealer dengan kemampuan:
Data yang dicuri:
- Kredensial browser
- Password manager
- Crypto wallet extension
- Aplikasi komunikasi (Telegram, Discord)
- File sistem tertentu
- Informasi sistem korban
Teknik operasi:
- HTTP-based C2 communication
- Endpoint seperti
/ping,/userinfo,/browser,/crypto - Enkripsi AES + kompresi Gzip untuk exfiltration
Tabel Target Data PureLogs
| Kategori Data | Contoh Aplikasi | Risiko |
|---|---|---|
| Browser data | Chrome, Edge, Firefox | Pencurian login & session |
| Crypto wallet | MetaMask, Trust Wallet | Pencurian aset digital |
| Messaging apps | Discord, Telegram | Account takeover |
| System data | WMI info, file system | Recon untuk serangan lanjutan |
| Extensions | Password manager | Credential dumping |
5. Mengapa Steganografi Sangat Berbahaya
Teknik steganografi menjadi tren baru karena:
- Tidak terlihat seperti malware
- Menghindari signature-based detection
- Bisa disembunyikan dalam file umum (PNG, JPG, audio)
- Sulit dianalisis tanpa forensic tools
Dalam kasus ini, bahkan file gambar sederhana dapat menjadi carrier untuk executable code.
6. Evolusi Teknik Serangan
Kampanye ini menunjukkan evolusi signifikan:
- Dari executable langsung → fileless malware
- Dari download biasa → hidden payload dalam gambar
- Dari C2 sederhana → multi-endpoint encrypted API communication
Tren ini menunjukkan bahwa malware modern tidak lagi bergantung pada file berbahaya yang jelas terlihat.
Kesimpulan
Kampanye PureLogs melalui PawsRunner menunjukkan bagaimana penyerang terus berinovasi dalam menyembunyikan malware. Dengan memanfaatkan:
- Phishing
- Fileless execution
- Steganografi dalam gambar
- Enkripsi berlapis
Ancaman ini menjadi jauh lebih sulit dideteksi oleh sistem keamanan tradisional.
Pada akhirnya, serangan ini menegaskan satu hal penting:
file yang terlihat normal belum tentu aman, bahkan gambar sederhana bisa menjadi wadah malware berbahaya.
Fortinet Indonesia merupakan bagian dari PT. iLogo Infralogy Indonesia, yang bertindak sebagai partner resmi Fortinet.
Selain itu, kami juga berperan sebagai penyedia layanan (vendor) sekaligus distributor berbagai produk Infrastruktur IT dan Cybersecurity terbaik di Indonesia.