Cyberthreat.id – Perusahaan keamanan siber Anomali asal Amerika Serikat menemukan operasi penyebaran malware baru-baru ini berkedok Windows 11.

Penjahat siber di balik operasi itu memanfaatkan seputar detail pengembangan Microsoft dalam merilis sistem operasi tersebut.

Modus yang dipakai yaitu mereka menyisipkan dokumen Microsoft Word dengan kode macro yang memungkinkan untuk mengunduh “pintu belakang” (backdoor) JavaScript. Dengan web sheel ini, penjahat siber bisa mengirimkan muatan apa pun yang diinginkan.

Terdapat enam dokumen berbahaya yang dianalisis oleh peneliti Anomali. “’Pintu belakang’ yang dikirimkan tampaknya variasi dari muatan yang biasa digunakan oleh geng FIN7, setidaknya sejak 2018,” tutur Anomali dikutip dari BleepingComputer, diakses Senin (6 September 2021).

Menurut perkiraan peneliti, distribusi malware di alam liar itu terjadi antara akhir Juni hingga akhir Juli 2021—periode ketika berita tentang Windows 11 mulai bergulir.

Tidak jelas bagaimana file berbahaya itu dikirim, tetapi kecenderungan yang biasa dilakukan oleh penjahat siber ialah via email phishing. Jika calon korban membuka dokumen, mereka akan melihat citra Windows 11 dengan teks yang dirancang untuk mengelabui penerima agar mengaktifkan konten makro.

Kode tersebut juga mencari domain CLEARMIND, yang menurut peneliti Anomali tampaknya merujuk ke penyedia point-of-sale (PoS).

FIN7 telah ada setidaknya sejak 2013 tetapi menjadi dikenal dalam skala yang lebih besar sejak 2015. Tetapi, serangan dan malware terus dikaitkan dengan grup tersebut, bahkan setelah 2018 ketika beberapa anggotanya ditangkap.

Para penyerang fokus mencuri data kartu pembayaran milik pelanggan dari berbagai bisnis. Aktivitas mereka di AS menyebabkan kerugian di atas US$1 miliar karena mencuri lebih dari 20 juta catatan kartu yang diproses oleh lebih dari 6.500 terminal titik penjualan (PoS) di sekitar 3.600 lokasi bisnis terpisah.

Di antara perusahaan yang diserang FIN7 adalah Chipotle Mexican Grill, Chili's, Arby's, Red Robin, dan Jason's Deli.[]