Hacker menggunakan kerentanan Microsoft Office terbaru untuk mendistribusikan malware - Malware dapat mencuri password, dompet bitcoin, kunci perangkat lunak, serta melakukan serangan DDoS dan banyak lagi - dan kampanye yang mendistribusikannya menargetkan layanan telekomunikasi, asuransi, dan keuangan.
Hacker memanfaatkan kerentanan pada software Microsoft Office untuk menyebarkan bentuk malware canggih yang mampu mencuri kredensial, menjatuhkan malware tambahan, pertambangan kriptokokal, dan melakukan serangan denial-of-service (DDoS) terdistribusi.
Malware telah aktif sejak 2016 dan, meski memiliki kemampuan hebat, ini tersedia untuk dibeli di forum bawah tanah hanya dengan harga $ 75.
Periset di FireEye telah mengamati sebuah kampanye baru yang mencoba mengirimkan malware melalui email spam ke target di industri telekomunikasi, asuransi, dan jasa keuangan, dengan semua serangan ini mencoba memanfaatkan kerentanan baru-baru ini yang ditemukan pada perangkat lunak Microsoft Office.
Email phishing dirancang agar sesuai dengan target yang dipilih dan menyertakan file ZIP yang berisi dokumen umpan pemikat berbahaya, yang dianjurkan pengguna untuk dibuka. Begitu file dokumen Microsoft Office diakses, kerentanan Office dieksploitasi dan muatan berbasis PowerShell dijalankan, menginfeksi korban.
Salah satu kerentanan yang dimanfaatkan oleh penyerang adalah CVE-2017-11882. Diungkapkan pada bulan Desember, ini adalah kerentanan keamanan di Microsoft Office yang memungkinkan kode sewenang-wenang dijalankan saat file yang dimodifikasi dengan jahat dibuka. Dalam kasus kampanye ini, kerentanan memungkinkan unduhan tambahan dipicu menggunakan URL tersimpan dalam lampiran berbahaya tersebut. Unduhan berisi skrip PowerShell yang menjatuhkan malware.
Contoh dokumen untuk menyebarkan malware
Kampanye malware juga mencoba memanfaatkan CVE-2017-8759, kerentanan yang ada saat Microsoft .NET Framework memproses masukan yang tidak dipercaya dan memungkinkan penyerang untuk mengendalikan sistem yang terkena dampak. Dalam contoh ini, file DOC yang dilampirkan pada email phishing berisi objek OLE tertanam yang memicu unduhan URL tersimpan untuk memulai proses PowerShell. Kerentanan itu diungkapkan dan ditambal pada bulan September.
Lihat juga: Apa itu phishing? Semua yang perlu Anda ketahui untuk melindungi diri dari email penipuan dan banyak lagi
Jika skrip PowerShell berhasil dijalankan, kode menyuntikkan yang mengunduh muatan akhir dari server perintah dan kontrol jahat, yang membongkar malware ke komputer target, di samping fungsi yang memungkinkan penyerang menggunakan Tor untuk menyembunyikan jejaknya. Malware ini juga berisi berbagai plugin yang memungkinkan penyerang diam-diam mendapatkan akses ke hampir semua jenis data yang tersimpan di mesin.
Di antara fitur malware yang ditawarkan penyerang adalah kemampuan untuk mencuri password dari browser web populer, mencuri password dari aplikasi FTP dan mencuri password dari akun email.
Malware ini juga dapat mencuri dari dompet kriptografis dan mencuri kunci lisensi lebih dari 200 aplikasi perangkat lunak populer, termasuk Office, SQL Server, Adobe, dan Nero.
Selain dapat mencuri dari pengguna yang terinfeksi, penyerang juga dapat mengikat mesin yang terinfeksi ke jaringan komputer yang lebih besar untuk membantu serangan DDoS dan juga menggunakan mesin sebagai alat untuk menambang kripto. Malware ini diiklankan di berbagai forum underground yang populer.
"Ancaman aktor menggabungkan kerentanan yang baru ditemukan dalam perangkat lunak populer - Microsoft Office, dalam hal ini - hanya meningkatkan potensi infeksi yang berhasil. Ancaman jenis ini menunjukkan mengapa sangat penting untuk memastikan bahwa semua perangkat lunak diperbarui sepenuhnya," kata periset FireEye Swapnil Patil dan Yogesh Londhe di blogpost tentang malware.
Pengguna harus memastikan bahwa mereka telah mendownload semua tambalan yang dipublikasikan untuk melindungi CVE-2017-11882 dan CVE-2017-8759.
"Pembaruan keamanan dirilis tahun lalu dan pelanggan yang telah menerapkannya, atau mengaktifkan pembaruan otomatis terlindungi," juru bicara Microsoft mengatakan kepada ZDNet.
Rewrite : Rama trisna pasa
Post a Comment