Peretas Telah Merancang Trik Baru untuk Menonaktifkan Peringatan Keamanan Makro

Peretas Telah Merancang Trik Baru untuk Menonaktifkan Peringatan Keamanan Makro

 

Pelaku ancaman telah menemukan metode baru untuk menonaktifkan peringatan keamanan makro dalam serangan malspam yang menggunakan dokumen yang tidak berbahaya. Malware makro Microsoft Office yang menggunakan rekayasa sosial untuk menginfeksi komputer telah menjadi fitur umum dari lanskap ancaman dalam beberapa tahun terakhir. Pembuat malware terus menyempurnakan strategi mereka untuk menghindari deteksi. Kebingungan makro, DDE, living off the land tools (LOLBAS), dan bahkan format XLS yang didukung lama adalah salah satu strategi yang digunakan.
Pelaku ancaman sekarang menggunakan dokumen yang tidak berbahaya untuk menonaktifkan peringatan keamanan sebelum mengeksekusi kode makro di komputer penerima, menurut analis McAfee Labs. Tanpa ada kode berbahaya di makro lampiran spam pertama, peretas mengunduh dan menjalankan DLL (ZLoader) berbahaya. Zloader telah aktif setidaknya sejak 2016, dan digunakan untuk menyebarkan trojan perbankan seperti Zeus (yaitu Zeus OpenSSL). Ini mencuri beberapa fungsi dari Trojan perbankan Zeus 2.0.8.9 yang terkenal.
Rantai serangan dimulai dengan email spam yang menggunakan dokumen Microsoft Word untuk mengunduh file Microsoft Excel yang dilindungi kata sandi dari server jauh setelah dibuka. Hanya ketika korban telah mengaktifkan makro yang tersembunyi di dokumen Word, unduhan dapat dimulai. “Setelah mengunduh file XLS, Word VBA membaca konten sel dari XLS dan membuat makro baru untuk file XLS yang sama dan menulis konten sel ke makro XLS VBA sebagai fungsi.” membaca analisis yang diterbitkan oleh McAfee.
“Setelah makro ditulis dan siap, dokumen Word menetapkan kebijakan di registri ke ‘Nonaktifkan Peringatan Makro Excel’ dan memanggil fungsi makro berbahaya dari file Excel. File Excel sekarang mengunduh muatan ZLoader. Payload ZLoader kemudian dieksekusi menggunakan rundll32.exe.”
Word VBA mengekstrak konten sel dari file XLS dan menggunakannya untuk menghasilkan makro baru untuk file XLS yang sama, menulis konten sel ke makro VBA XLS sebagai fungsi. Setelah makro selesai, dokumen Word menonaktifkan peringatan keamanan makro dengan mengatur kebijakan registri (HKEY CURRENT USERSoftwareMicrosoftOffice12.0ExcelSecurityAccessVBOM) ke Nonaktifkan Peringatan Makro Excel dan menjalankan fungsi makro Excel yang berbahaya. File Excel kemudian menggunakan rundll32.exe untuk mengunduh dan menjalankan muatan Zloader.
“Dokumen berbahaya telah menjadi titik masuk bagi sebagian besar keluarga malware dan serangan ini telah mengembangkan teknik infeksi dan kebingungan mereka, tidak hanya membatasi unduhan langsung muatan dari VBA, tetapi menciptakan agen secara dinamis untuk mengunduh muatan,” para peneliti menyimpulkan.

Pos terkait