idNSA.id - Kampanye phishing baru telah terlihat menggunakan
file teks CSV yang dibuat khusus untuk menginfeksi perangkat yang ditargetkan
dengan malware. Malware yang diinstal adalah trojan BazarBackdoor atau
BazarLoader.
Kampanye phishing ditemukan oleh peneliti keamanan di mana
email phishing berpura-pura sebagai Saran Pengiriman Uang, dengan tautan ke
situs jarak jauh yang mengunduh file CSV, document-21966[.]csv.
File document-21966[.]csv hanyalah file teks dengan kolom
data yang dipisahkan dengan koma dan salah satu kolom data memiliki panggilan
WMIC aneh yang menjalankan perintah PowerShell.
Dalam kampanye khusus ini, fungsi Dynamic Data Exchange (DDE)
menggunakan WMIC untuk membuat proses PowerShell baru yang membuka URL jarak
jauh yang sarat dengan command PowerShell lain yang juga dijalankan.
Command skrip PowerShell jarak jauh mengunduh file
gambar[.]jpg dan menyimpannya sebagai 87764675478[.]dll. File DLL menginstal
BazarLoader dan menyebarkan BazarBackdoor dan muatan lainnya.
Setiap kali file CSV dibuka di Excel, program melihat
panggilan DDE dan menampilkan kotak dialog, ‘enable automatic update of links,'
kepada pengguna yang ditandai sebagai masalah keamanan.
Bahkan jika pengguna mengaktifkan fitur tersebut, Excel akan
menampilkan konfirmasi lain yang mengonfirmasi apakah WMIC diizinkan untuk
mengakses data jarak jauh.
Jika pengguna mengizinkan kedua perintah, Excel menjalankan
skrip PowerShell yang mengunduh DLL, dan BazarBackdoor diinstal.
BazarBackdoor adalah ancaman berbahaya yang memberikan akses hacker
ke sistem di dalam jaringan perusahaan. Dengan demikian, organisasi harus tetap
waspada terhadap ancaman ini dan teknik serangan terkait. Selain itu, para ahli
merekomendasikan untuk menginstal solusi anti-malware yang andal dan memberikan
pelatihan kepada karyawan untuk mengidentifikasi email phishing.
