RTPDigital - Hacker menggunakan makro dalam dokumen Microsoft Office untuk mendistribusikan skrip berbahaya dan akan dieksekusi setelah pengguna membuka dokumen seperti Word, Excel, atau PowerPoint.
Dengan kantor Microsoft, Dynamic Data Exchange (DDE) digunakan untuk bertukar data antara aplikasi dan penyerang yang menggunakan ini secara liar untuk mengeksekusi skrip berbahaya dan untuk membahayakan korban.
Peneliti keamanan Dari trustwave melihat sebuah kampanye spam Email baru dengan pendekatan makro-less. Sebagai gantinya, mereka menggunakan proses infeksi Multi-Tahap untuk menginstal perangkat lunak pencuri password sebagai muatan terakhir di mesin korban.
Subjek email dalam Kampanye Spam
TNT STATEMENT OF ACCOUNT – {random numbers}...............
Request for Quotation (RFQ) - <{random numbers}>
Telex Transfer Notification
SWIFT COPY FOR BALANCE PAYMENTProses Injeksi Payload - Password Stealer Malware .
Begitu korban mendownload dan membuka dokumen berbahaya yang berisi OLE tertanam dari email mereka, file tersebut akan mendownload dan mengeksekusi file RTF dokumen jarak jauh.
File RTF yang Diunduh memanfaatkan Kerentanan CVE-2017-11882 (Kerentanan Korupsi Memori Microsoft Office) yang menargetkan alat MS Equation Editor.
OnceRTF menjalankannya menjalankan perintah MSHTA yang mendownload dan mengeksekusi file HTA remote dan file HTA berisi Vocalscript yang disamarkan untuk mendownload file biner jarak jauh yang mendownload payload Password Stealer Malware terakhir.
Perangkat lunak yang diunduh mampu mencuri kata sandinya dari email, FTP, dan browser dengan menggabungkan string memori yang ada.
Periset mengatakan Ini sangat tidak biasa untuk menemukan begitu banyak tahapan dan vektor yang digunakan untuk mendownload malware. Memang, pendekatan ini bisa sangat berisiko bagi pembuat malware.
Dengan update Microsoft Januari, mereka menghapus beberapa fungsionalitas dengan Equation Editor yang memperbaiki kerentanan ini.
November lalu Microsoft merilis praktik keamanan terbaik tentang cara membuka dokumen Office dengan aman yang berisi Dynamic Data Exchange dan sangat menganjurkan untuk meninjau fitur keamanan.
IoC
DOCX File
MD5: F7DA16B16567A78C49D998AE85021A0F
SHA1: 776C469861C3AC30AA63D9434449498456864653
RTF File
MD5: 79BCAFD6807332AD2B52C61FE05FFD22
SHA1: 0D8215F88C75CD8FBF2DFAB12D47B520ECE94C52
HTA File
MD5: 11B28D4C555980938FE7440629C6E0EC
SHA1: 0ADD65090EF957AA054236FF6DD59B623509EC8B
Final Payload
MD5: EDB27CC321DF63ED62502C172C172D4F
SHA1: C4AA4E70521DD491C16CE1FBAB2D4D225C41D1EA
Post a Comment