Hacker Pakai Update WPS Office untuk Sisipkan Malware

Fungsi utama NSPX30 adalah mengumpulkan informasi dari sistem yang dibobol, termasuk file, tangkapan layar, penekanan tombol, data perangkat keras dan jaringan, serta kredensial, melansir dari Bleeping Computer, Senin(29/1/2024).

Para peneliti ESET mengatakan bahwa serangan menargetkan pengguna yang berada di China, Jepang, dan Inggris. Selain bisa disalurkan lewat update WPS Office, malwarejuga bisa dikirm lewat platform pesan instan Tencent QQ, dan editor dokumen Sogou Pinyin.

Menurut para peneliti, pelaku ancaman melakukan serangan AitM dan mencegat lalu lintas yang dihasilkan oleh NSPX30 untuk menyembunyikan aktivitasnya dan menyembunyikan server perintah dan kontrol (C2).

ESET juga mencatat bahwa Blackwood mungkin berbagi akses dengan grup APT Tiongkok lainnya, karena mereka mengamati sistem satu perusahaan menjadi sasaran perangkat yang terkait dengan banyak aktor.

Aspek penting dari aktivitas Blackwood adalah kemampuan untuk menghadirkan NSPX30 dengan membajak permintaan pembaruan yang dibuat oleh perangkat lunak sah, termasuk Tencent QQ, WPS Office, dan Sogou Pinyin.