idNSA.id - Pakar Trend Micro menemukan varian baru malware
perbankan Dridex yang menargetkan platform MacOS dan menggunakan teknik baru
untuk mengirimkan dokumen yang disematkan dengan makro berbahaya.
Trojan perbankan Dridex yang
telah ada sejak 2014, terlibat dalam berbagai kampanye melawan lembaga keuangan selama bertahun-tahun dan penjahat terus
meningkatkannya. Malware perbankan diyakini dioperasikan oleh geng kejahatan cyber
yang dikenal sebagai Evil Corp.
Sampel yang dianalisis oleh Trend Micro tiba dalam bentuk
file yang dapat dieksekusi Mach-o :
a.out (terdeteksi sebagai
Trojan.MacOS.DRIDEX.MANP).
Sampel paling awal yang dianalisis oleh Trend Micro
diserahkan ke VirusTotal pada April 2019, sedangkan sampel terbaru bertanggal
Desember 2022.
“Segmen data sampel berisi dokumen tertanam berbahaya dan
digunakan oleh variabel _payload_doc. Pembongkaran menunjukkan bahwa malware
melakukan loop di mana konten _payload_doc disalin hingga penghitung mencapai
_payload_doc_len, ukuran kode berbahaya.” membaca analisis yang diterbitkan
oleh Trend Micro. “Setelah malicious code siap, segmen cstring berperan dalam
menimpa code ke file target.”
Malicious embedded document pertama kali terdeteksi pada
tahun 2015, para peneliti memperhatikan bahwa file .doc yang terpengaruh
menggabungkan objek ThisDocument yang
menyertakan makro buka otomatis yang memanggil fungsi berbahaya.
Malware pertama-tama mencari file .doc di direktori pengguna saat ini (~/User/{user name}) menggunakan command find ~ -name “*.doc” . Kemudian melintasi setiap file dokumen ( i ) menggunakan for loop, dan menulis malicious melalui command echo '%s' . Kode makro berbahaya yang disalin dari dokumen yang disematkan berada dalam dump heksadesimal biasa.
Makro yang terdapat dalam file .doc yang ditimpa yang
diekstraksi menggunakan oletools (Trend Micro)
“Sementara fitur makro di Microsoft Word dinonaktifkan secara
default, malware akan menimpa semua file dokumen untuk pengguna saat ini,
termasuk file bersih. Hal ini mempersulit pengguna untuk menentukan apakah file
tersebut berbahaya karena tidak berasal dari sumber eksternal.” lanjut
postingan tersebut.
Makro dalam dokumen yang ditimpa terhubung ke server jarak
jauh untuk mengambil muatan tambahan. Para ahli juga memperhatikan bahwa
malware juga menjatuhkan file .exe yang tidak akan berjalan di lingkungan
MacOS, suatu keadaan yang menunjukkan bahwa malicious code masih dalam tahap
pengujian.
“Sementara dokumen yang berisi makro jebakan biasanya dikirim melalui serangan rekayasa sosial, temuan sekali lagi menunjukkan bahwa keputusan Microsoft untuk memblokir makro secara default telah mendorong pelaku ancaman untuk menyempurnakan taktik mereka dan menemukan metode masuk yang lebih efisien.
“Pelaku kejahatan yang menggunakan Dridex juga mencoba
menemukan target baru dan metode masuk yang lebih efisien.” menyimpulkan
laporan. “Saat ini, dampak pada pengguna MacOS untuk varian Dridex ini
diminimalkan karena muatannya adalah file exe (dan karenanya tidak kompatibel
dengan lingkungan MacOS). Namun, itu masih menimpa file dokumen yang sekarang
menjadi pembawa makro berbahaya Dridex. Selain itu, ada kemungkinan pelaku
ancaman di balik varian ini akan mengimplementasikan modifikasi lebih lanjut
yang membuatnya kompatibel dengan MacOS.”
