Trojan RAT Berkedok Form Interview dari File LNK

Dalam insiden ini, file yang terlihat seperti dokumen interview sebenarnya adalah Windows Shortcut / LNK yang berisi command tersembunyi. Ketika korban membuka file tersebut, sistem tidak langsung membuka dokumen biasa, tetapi menjalankan PowerShell hidden untuk mengeksekusi payload berikutnya.

Payload utama disembunyikan dalam bentuk Base64 encoded script. Setelah dijalankan, script tersebut membuat file VBS sementara di folder user, lalu mengeksekusinya menggunakan wscript. Teknik ini umum dipakai untuk menyembunyikan aktivitas awal malware karena korban biasanya hanya melihat file dokumen, bukan proses PowerShell atau VBS yang berjalan di background.

Yang menarik, script ini juga mengunduh file PDF bernama Questionnaire.pdf dari Dropbox dan membukanya sebagai form interview. Ini adalah teknik decoy document. Tujuannya agar korban percaya bahwa file yang dibuka memang benar-benar dokumen interview. Sementara korban membaca form tersebut, proses lain berjalan diam-diam di background.

Payload sebenarnya adalah download dan instalasi ScreenConnect.ClientSetup.msi dari server eksternal. ScreenConnect adalah remote access / remote support tool yang secara legal bisa dipakai untuk administrasi IT. Namun dalam konteks ini, tool tersebut dipasang melalui LNK tersembunyi, PowerShell hidden, dan silent install. Karena itu, kasus ini masuk kategori RMM abuse atau RAT-style access, di mana attacker berusaha mendapatkan akses remote ke komputer korban.

Script juga mencoba melakukan defense evasion dengan mengubah registry Windows untuk menonaktifkan SmartScreen. Beberapa registry yang ditargetkan berkaitan dengan SmartScreenEnabled, EnableWebContentEvaluation, dan policy EnableSmartScreen. Ini menunjukkan niat untuk melemahkan proteksi bawaan Windows sebelum proses instalasi berjalan.

Instalasi MSI dilakukan dengan parameter:

/qn /norestart

Parameter /qn berarti instalasi berjalan dalam mode quiet atau tanpa tampilan UI. Korban kemungkinan tidak melihat wizard instalasi apa pun. Setelah MSI berhasil diunduh, script menjalankan msiexec, menunggu beberapa detik, lalu menghapus file installer dari folder temporary.

Dari pola tersebut, file ini bukan sekadar shortcut biasa. Ini adalah malicious LNK downloader yang menggunakan decoy PDF interview untuk social engineering, lalu mencoba memasang remote access agent di komputer korban.

Dampak yang Mungkin Terjadi

Jika instalasi berhasil, attacker berpotensi mendapatkan akses remote ke komputer korban melalui ScreenConnect agent. Dampaknya bisa mencakup remote desktop access, eksekusi command, file transfer, pengamatan aktivitas layar, dan akses lanjutan ke data internal. Tingkat dampaknya bergantung pada privilege user saat file dijalankan dan apakah proses instalasi berhasil mendapatkan hak admin.

Jika korban sempat menyetujui UAC prompt, risiko menjadi lebih tinggi karena perubahan registry dan instalasi agent kemungkinan berhasil berjalan dengan privilege administrator.

Tanda-Tanda Kompromi

Beberapa tanda yang perlu diperiksa di endpoint:

• Ada proses powershell.exe dengan parameter -NoP dan -WindowStyle Hidden
• Ada proses wscript.exe atau cscript.exe menjalankan file .vbs dari %LOCALAPPDATA%
• Ada proses curl.exe mengunduh file dari IP 38[.]18[.]229[.]210:8040
• Ada proses msiexec.exe menginstall Installer.msi secara silent
• Ada file C:\ProgramData\Q100.pdf
• Ada log C:\ProgramData\vbs_log.txt
• Ada koneksi ke server ScreenConnect yang tidak dikenal
• Ada service atau installed application terkait ScreenConnect / ConnectWise yang tidak sah

Rekomendasi Penanganan

Isolasi endpoint dari network terlebih dahulu. Setelah itu, cek apakah ScreenConnect agent berhasil terpasang. Jika ada, uninstall agent tersebut dan pastikan tidak ada service remote access lain yang ikut dibuat. Blokir IP dan URL terkait di firewall, proxy, EDR, dan DNS security.

Selanjutnya, lakukan review process execution log, PowerShell log, Windows Event Log, dan EDR telemetry. Fokus pada aktivitas powershell.exe, wscript.exe, cscript.exe, curl.exe, dan msiexec.exe. Jika endpoint dipakai untuk akses email, VPN, admin portal, atau data penting, lakukan reset password dan revoke active sessions.

Kesimpulannya, file ini adalah contoh serangan social engineering berbasis LNK. PDF interview hanya berfungsi sebagai pengalih perhatian. Payload utamanya adalah pemasangan remote access tool yang dapat digunakan attacker sebagai Trojan RAT untuk mengambil kendali endpoint korban.