Peretas Menggunakan Trik Baru untuk Menonaktifkan Peringatan Keamanan Makro di File Office Berbahaya

  • Whatsapp
Peretas Menggunakan Trik Baru untuk Menonaktifkan Peringatan Keamanan Makro di File Office Berbahaya

Sementara itu adalah norma untuk kampanye phishing yang mendistribusikan dokumen Microsoft Office yang dipersenjatai untuk meminta korban mengaktifkan makro untuk memicu rantai infeksi secara langsung, temuan baru menunjukkan penyerang menggunakan dokumen yang tidak berbahaya untuk menonaktifkan peringatan keamanan sebelum mengeksekusi kode makro untuk menginfeksi korban. ‘ komputer.

Dalam contoh lain pembuat malware terus mengembangkan teknik mereka untuk menghindari deteksi, peneliti dari McAfee Labs menemukan taktik baru yang “mengunduh dan mengeksekusi DLL berbahaya (ZLoader) tanpa ada kode berbahaya di makro lampiran spam awal.”

Bacaan Lainnya

Tim Stack Overflow

Infeksi ZLoader yang disebarkan menggunakan mekanisme ini terutama dilaporkan di AS, Kanada, Spanyol, Jepang, dan Malaysia, perusahaan keamanan siber mencatat. Malware — turunan dari trojan perbankan ZeuS yang terkenal — terkenal secara agresif menggunakan dokumen Office berkemampuan makro sebagai vektor serangan awal untuk mencuri kredensial dan informasi pengenal pribadi dari pengguna lembaga keuangan yang ditargetkan.

Dalam menyelidiki intrusi, para peneliti menemukan bahwa rantai infeksi dimulai dengan email phishing yang berisi lampiran dokumen Microsoft Word yang, ketika dibuka, mengunduh file Microsoft Excel yang dilindungi kata sandi dari server jauh. Namun, perlu dicatat bahwa makro harus diaktifkan di dokumen Word untuk memicu unduhan itu sendiri.

“Setelah mengunduh file XLS, Word VBA membaca konten sel dari XLS dan membuat makro baru untuk file XLS yang sama dan menulis konten sel ke makro XLS VBA sebagai fungsi,” para peneliti berkata. “Setelah makro ditulis dan siap, dokumen Word menetapkan kebijakan dalam registri ke ‘Nonaktifkan Peringatan Makro Excel’ dan memanggil fungsi makro berbahaya dari file Excel. File Excel sekarang mengunduh muatan ZLoader. Muatan ZLoader kemudian dieksekusi menggunakan rundll32.exe.”

Mencegah Serangan Ransomware

Mengingat “risiko keamanan yang signifikan” yang ditimbulkan oleh makro, fitur ini biasanya dinonaktifkan secara default, tetapi tindakan balasan memiliki efek samping yang tidak menguntungkan dari aktor ancaman yang membuat umpan rekayasa sosial yang meyakinkan untuk mengelabui korban agar mengaktifkannya. Dengan mematikan peringatan keamanan yang diberikan kepada pengguna, serangan patut diperhatikan karena langkah-langkah yang diperlukan untuk menggagalkan deteksi dan tetap berada di bawah radar.

“Dokumen berbahaya telah menjadi titik masuk bagi sebagian besar keluarga malware dan serangan ini telah mengembangkan teknik infeksi dan kebingungan mereka, tidak hanya membatasi unduhan langsung payload dari VBA, tetapi menciptakan agen secara dinamis untuk mengunduh payload,” kata para peneliti. “Penggunaan agen semacam itu dalam rantai infeksi tidak hanya terbatas pada Word atau Excel, tetapi ancaman lebih lanjut dapat menggunakan perangkat darat lain untuk mengunduh muatannya.”

(Cerita telah diperbarui untuk mencerminkan fakta bahwa makro perlu diaktifkan pada awal rantai infeksi.)

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *