Cyberthreat.id – Bleeping Computer menemukan, bahwa pelaku ancaman baru-baru ini menggunakan lampiran OneNote di email phishing yang menginfeksi korban dengan malware akses jarak jauh yang dapat digunakan untuk menginstal malware lebih lanjut, mencuri kata sandi, atau bahkan dompet cryptocurrency.

Ini terjadi setelah penyerang mendistribusikan malware di email menggunakan lampiran Word dan Excel berbahaya yang meluncurkan makro untuk mengunduh dan menginstal malware selama bertahun-tahun.

Dikutip dari Bleeping Computer, pada bulan Juli, Microsoft akhirnya menonaktifkan makro secara default di dokumen Office, sehingga metode ini tidak dapat diandalkan untuk mendistribusikan malware.

Segera setelah itu, pelaku ancaman mulai menggunakan format file baru, seperti gambar ISO dan file ZIP yang dilindungi kata sandi. Format file ini segera menjadi sangat umum, dibantu oleh bug Windows yang memungkinkan ISO melewati peringatan keamanan dan utilitas arsip 7-Zip yang populer tidak menyebarkan tanda mark-of-the-web ke file yang diekstraksi dari arsip ZIP.

Namun, baik 7-Zip dan Windows baru-baru ini memperbaiki bug ini yang menyebabkan Windows menampilkan peringatan keamanan yang menakutkan ketika pengguna mencoba membuka file dalam file ISO dan ZIP yang diunduh. Agar tidak terhalang, pelaku ancaman dengan cepat beralih menggunakan format file baru dalam lampiran spam (malspam) berbahaya mereka: lampiran Microsoft OneNote.

Microsoft OneNote adalah aplikasi notebook digital desktop yang dapat diunduh secara gratis dan disertakan dalam Microsoft Office 2019 dan Microsoft 365. Karena Microsoft OneNote terinstal secara default di semua instalasi Microsoft Office/365, bahkan jika pengguna Windows tidak menggunakan aplikasi tersebut, masih tersedia untuk membuka format file.

Sejak pertengahan Desember, peneliti keamanan siber memperingatkan bahwa pelaku ancaman telah mulai mendistribusikan email spam berbahaya yang berisi lampiran OneNote. Dari sampel yang ditemukan oleh BleepingComputer, email malspam ini berpura-pura menjadi pemberitahuan pengiriman DHL, faktur, formulir pengiriman uang ACH, gambar mekanis, dan dokumen pengiriman.

“Tidak seperti Word dan Excel, OneNote tidak mendukung makro, yang merupakan cara pelaku ancaman sebelumnya meluncurkan skrip untuk menginstal malware,” kata Bleeping Computer.

Sebagai gantinya, OneNote memungkinkan pengguna untuk memasukkan lampiran ke dalam Buku Catatan yang, ketika diklik dua kali, akan meluncurkan lampiran tersebut. Pelaku ancaman menyalahgunakan fitur ini dengan melampirkan lampiran VBS berbahaya yang secara otomatis meluncurkan skrip saat diklik dua kali untuk mengunduh malware dari situs jarak jauh dan memasangnya.

Namun, lampiran tersebut terlihat seperti ikon file di OneNote, sehingga pelaku ancaman melapisi bilah 'Klik dua kali untuk melihat file' yang besar di atas lampiran VBS yang disisipkan untuk menyembunyikannya.

Saat pengguna memindahkan bilah Klik untuk Melihat Dokumen, mereka dapat melihat bahwa lampiran berbahaya menyertakan beberapa lampiran. Deretan lampiran ini membuat jika pengguna mengklik dua kali di mana saja pada bilah, itu akan mengklik dua kali pada lampiran untuk meluncurkannya. Untungnya, saat meluncurkan lampiran OneNote, program memperingatkan Anda bahwa hal itu dapat membahayakan komputer dan data Anda.

Dengan mengklik tombol OK akan meluncurkan skrip VBS untuk mengunduh dan menginstal malware. Seperti yang dilihat dari salah satu file VBS OneNote berbahaya yang ditemukan oleh BleepingComputer, skrip akan mengunduh dan mengeksekusi dua file dari server jarak jauh.

Yang pertama ditunjukkan di bawah ini adalah dokumen umpan OneNote yang terbuka dan tampak seperti dokumen yang Anda harapkan. File VBS juga akan menjalankan file batch jahat di latar belakang untuk menginstal malware di perangkat. Dalam email malspam yang dilihat oleh BleepingComputer, file OneNote menginstal trojan akses jarak jauh yang mencakup fungsi mencuri informasi.

Setelah diinstal, malware jenis ini memungkinkan pelaku ancaman mengakses perangkat korban dari jarak jauh untuk mencuri file, menyimpan kata sandi browser, mengambil screenshot, dan dalam beberapa kasus, bahkan merekam video menggunakan webcam. Pelaku ancaman juga biasanya menggunakan trojan akses jarak jauh untuk mencuri dompet mata uang kripto dari perangkat korban, menjadikannya infeksi yang mahal.

Cara terbaik untuk melindungi diri dari lampiran berbahaya adalah dengan tidak membuka file dari orang yang tidak dikenal. Namun, jika pengguna salah membuka file, jangan abaikan peringatan yang ditampilkan oleh sistem operasi atau aplikasi. Jika melihat peringatan bahwa membuka lampiran atau tautan dapat membahayakan komputer atau file Anda, jangan tekan OK dan tutup aplikasi tersebut.