Baru-baru ini analis ancaman telah menemukan kampanye distribusi malware dengan lampiran PDF untuk menyelundupkan dokumen Word berbahaya yang menginfeksi pengguna dengan malware.
Pilihan PDF ini tidak biasa, karena sebagian besar email berbahaya saat ini datang dengan lampiran DOCX atau XLS yang dicampur dengan kode makro dan memuat malware.
Namun, ketika orang menjadi lebih terdidik tentang membuka lampiran Microsoft Office yang berbahaya, pelaku ancaman beralih ke metode lain untuk menyebarkan makro berbahaya demi menghindari deteksi.
Dalam laporan terbarunya HP Wolf Security, peneliti menggambarkan bagaimana PDF digunakan sebagai tempat untuk dokumen dengan makro jahat yang mengunduh dan menginstal malware pencuri informasi di mesin korban.
Menyematkan Word dalam PDF
Dalam kampanye yang dilihat HP Wolf Security, PDF yang tiba melalui email diberi nama “Remittance Invoice” dan pada body email berisi janji pembayaran yang tidak jelas kepada penerima.
Saat PDF dibuka, Adobe Reader akan meminta pengguna untuk membuka file DOCX yang ada di dalamnya yang mungkin membingungkan korban.
Karena pelaku ancaman menyebut dokumen yang disematkan “has been verified,” perintah Open File di bawah menyatakan, “The file ‘has been verified.”
Pesan ini dapat mengelabui penerima agar percaya bahwa Adobe memverifikasi file tersebut secara sah dan bahwa file tersebut aman untuk dibuka.
Sementara analis malware dapat memeriksa file yang disematkan dalam PDF menggunakan parser dan script, pengguna biasa yang menerima email rumit ini tidak akan bertindak sejauh itu atau bahkan tahu harus mulai dari mana.
Dengan demikian, banyak yang dapat membuka DOCX di Microsoft Word dan jika makro diaktifkan akan mengunduh file RTF (rich text format) dari sumber jarak jauh dan membukanya.
Pengunduhan RTF adalah hasil dari perintah yang disematkan dalam file Word bersama dengan URL hardcode “vtaurl[.]com/IHytw” yang merupakan tempat payload di-host.
Memanfaatkan RCE lama
Dokumen RTF dengan nama “f_document_shp.doc” dan berisi objek OLE yang salah format, kemungkinan hal ini dilakukan untuk menghindari analisis.
Setelah beberapa rekonstruksi yang ditargetkan, analis HP menemukan bahwa ia mencoba menyalahgunakan kerentanan Microsoft Equation Editor lama untuk menjalankan kode arbitrer.
Shellcode yang digunakan mengeksploitasi CVE-2017-11882, bug eksekusi kode jarak jauh di Equation Editor yang diperbaiki pada November 2017, tetapi masih tersedia untuk dieksploitasi.
Cacat itu akan menarik perhatian peretas ketika terbongkar, sementara patch yang sangat lambat menjadikannya salah satu kerentanan yang paling banyak dieksploitasi di tahun 2018.
Dengan mengeksploitasi CVE-2017-11882, shellcode dalam RTF mengunduh dan menjalankan Snake Keylogger, pencuri info modular dengan ketekunan yang kuat, penghindaran pertahanan, akses kredensial, pengumpulan data dan kemampuan eksfiltrasi data.
Bitdefender Fileless Attacks
Fitur ini mulai tersedia di Gravityzone Business Security Premium, dapat memantau daftar proses yang diketahui digunakan dalam melakukan fileless attacks.
Daftar ini mencakup proses seperti autoit.exe, bitsadmin.exe, cscript.exe, java.exe, javaw.exe, miprvse.exe, net.exe, netsh.exe, powershell.exe, powershell_ise.exe, py.exe, python.exe, regedit.exe, regsvr32.exe, rundll32.exe, schtasks.exe, dan wscript.exe.
Saat proses dimulai pada mesin yang dilindungi oleh teknologi Bitdefender, command line akan diekstrak dan dikirim sebagai buffer ke mesin pemindai, menambah konteks pemindaian dengan informasi mengenai jalur proses asli dan proses induk.
Recent Comments