Lampiran spam Microsoft Word tanpa makro menginfeksi pengguna dengan malware

Lampiran dokumen Word yang menyebarkan malware tidak lagi meminta untuk mengaktifkan Macro

Serangan spam tanpa makro sudah digunakan

Selama bertahun-tahun, email spam dengan lampiran berbahaya adalah metode yang mengeksekusi 93% malware[1] selama beberapa tahun terakhir. Dilihat dari berita terbaru oleh Trustwave SpiderLabs[2] peneliti, tampaknya penyebaran malware, terutama Trojan, Spyware, Keyloggers, Worms, dan Ransomware, selanjutnya akan bergantung pada berapa banyak lampiran email berbahaya yang akan dibuka orang. Namun demikian, peretas akan memperkenalkan satu perubahan penting – mulai sekarang, orang mungkin menerima spam dengan dokumen Word berbahaya, lampiran Excel atau PowerPoint tanpa persyaratan untuk menjalankan Macro naskah. Jika malware sebelumnya dieksekusi hanya ketika calon korban mengaktifkan Macro,[3] sekarang akan diaktifkan hanya dengan mengklik dua kali pada lampiran email.

Teknik tanpa makro sudah digunakan

Meskipun peneliti berhasil mendeteksinya hanya pada awal Februari, tampaknya Teknologi tanpa makro telah dirilis terlalu dini dan calon korban mungkin sudah menerima mereka.

Kampanye spam bebas Makro baru ini menggunakan lampiran Word berbahaya yang mengaktifkan infeksi empat tahap, yang mengeksploitasi Kerentanan Office Equation Editor (CVE-2017-11882) untuk mendapatkan eksekusi kode dari email korban, FTP, dan browser. Microsoft telah menambal kerentanan CVE-2017-11882 tahun lalu, tetapi banyak sistem tidak menerima tambalan karena alasan apa pun.

Teknik bebas makro yang digunakan untuk menyebarkan malware melekat pada lampiran berformat .DOCX, sedangkan asal email spam adalah botnet Necurs.[4] Menurut Trustwave, subjek dapat bervariasi, tetapi semuanya memiliki hubungan keuangan. Empat versi yang mungkin telah diperhatikan:

  • PERNYATAAN AKUN TNT
  • Permintaan Penawaran
  • Pemberitahuan Transfer Teleks
  • SWIFT COPY UNTUK PEMBAYARAN BALANCE

SpiderLabs menyetujui bahwa lampiran berbahaya bertepatan dengan semua jenis email spam tanpa Makro. Menurut mereka, lampiran .DOCX dinamai sebagai "receipt.docx."

Rantai teknik eksploitasi bebas Makro

Proses infeksi multi-tahap dimulai segera setelah calon korban membuka file .DOCX. Yang terakhir memicu objek OLE (Object Linking and Embedding) tertanam yang berisi referensi eksternal ke server peretas. Dengan cara ini, peretas mendapatkan akses jarak jauh ke objek OLE untuk dirujuk di document.xml.rels.

Spammer mengeksploitasi dokumen Word (atau berformat .DOCX) yang telah dibuat menggunakan Microsoft Office 2007. Jenis dokumen ini menggunakan Format Open XML, yang didasarkan pada teknologi arsip XML dan ZIP. Penyerang menemukan cara untuk memanipulasi teknologi ini baik secara manual maupun otomatis. Setelah itu, tahap dua hanya dimulai ketika pengguna PC membuka file .DOCX yang berbahaya. Ketika file dibuka, itu membuat koneksi jarak jauh dan mengunduh file RTF (format file teks kaya).

Ketika pengguna membuka file DOCX, itu menyebabkan file dokumen jarak jauh diakses dari URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Ini sebenarnya adalah file RTF yang diunduh dan dieksekusi.

Beginilah tampilan teknik eksekusi malware Macro-less secara skematis:

  • Calon korban mendapatkan email dengan lampiran file .DOCX.
  • Dia mengklik dua kali pada lampiran dan mengunduh Objek OLE.
  • Sekarang file Doc yang seharusnya, yang pada kenyataannya RTF, akhirnya terbuka.
  • File DOC mengeksploitasi kerentanan Editor Persamaan Office CVE-2017-11882.
  • Kode berbahaya menjalankan baris perintah MSHTA.
  • Perintah ini mengunduh dan menjalankan file HTA, yang berisi VBScript.
  • VBScript membongkar skrip PowerShell.
  • Skrip Powershell kemudian menginstal malware.

Tetap perbarui OS Windows dan Office untuk melindungi diri Anda dari serangan malware tanpa makro

Pakar keamanan siber belum menemukan cara untuk melindungi akun email orang dari serangan Necurs. Mungkin perlindungan seratus persen tidak akan ditemukan sama sekali. Saran yang paling penting adalah menjauhi pesan email yang meragukan. Jika Anda belum menunggu dokumen resmi, tetapi Anda menerimanya entah dari mana, jangan tertipu trik ini. Selidiki pesan tersebut untuk kesalahan tata bahasa atau kesalahan ketik karena otoritas resmi hampir tidak akan meninggalkan kesalahan dalam pemberitahuan resmi mereka.

Selain kehati-hatian, penting untuk selalu memperbarui Windows dan Office. Mereka yang telah menonaktifkan pembaruan otomatis untuk waktu yang lama berisiko tinggi terkena infeksi virus parah. Sistem dan perangkat lunak usang yang diinstal di dalamnya mungkin memiliki kerentanan seperti CVE-2017-11882, yang hanya dapat ditambal dengan menginstal pembaruan terbaru.