Cyberthreat.id - Microsoft menyatakan operasi phising Evil Corporation sedang berlangsung dengan menggunakan lampiran atau tautan yang menampilkan HTML (Hypertext Markup Languange) untuk mengirimkan dokumen Excel yang berbahaya.

Evil Corp adalah kelompok cybercrime bermotif finansial yang dikenal karena berfokus pada serangan terhadap perusahaan ritel dan lembaga keuangan melalui operasi spam. Hacker itu juga mendistribusikan Remote Access Trojan (RAT) dan pengunduh malware yang mengirim trojan Dridex.

BleepingComputers melaporkan bahwa ini adalah pertama kalinya hacker terlihat mengadopsi teknik tersebut. Operasi ini diketahui dari serangkaian cuitan Twitter dari akun resmi Microsoft Security Intelligence (@MsftSecIntel).

"Kampanye baru ini menggunakan redirector HTML yang dilampirkan ke email. Ketika dibuka, HTML mengarah ke unduhan (trojan) Dudear yang bermuatan file Excel jahat," kata seorang peneliti Intel Security Intelligence, Kamis (30 Januari 2020).

Menurut peneliti dari Microsoft, sebelumnya telah banyak operasi email yang mendistribusikan malware mengirimkan muatan berbahaya ke komputer korban dalam lampiran atau melalui URL yang mengarahkan ke unduhan berbahaya.

Namun, para aktor jahat itu menggunakan teknik pengalih HTML untuk modus operandinya. Pesan phising datang dengan lampiran HTML yang secara otomatis akan mulai mengunduh file Microsoft Excel yang digunakan untuk menjatuhkan payload.

Payload merupakan sebuah struktur kode khusus yang bertujuan mengirim kode data yang kita gunakan dimana didalamnya berisi URL host. Payload bisa dikatakan sebagai efek yang ditimbulkan oleh serangan virus, karena payload ini digunakan sebagai pengantar ke sebuah exploit yang digunakan untuk mengeksekusi suatu kode.

Korban operasi phising tersebut akan diinstruksikan untuk membuka dokumen Excel (.xlsx) di komputer mereka. Karena, pratinjau secara online tidak tersedia, korbannya diharuskan untuk mengklik "Enable Content" untuk membuka file Excel jahat.

Kemudian, setalah mengklik "Enable Content" atau fitur untuk pengeditan, barulah lampiran HTML yang mengarahkan ke unduhan trojan Dudear dijalankan. Terlebih, operator dibalik kampanye phising ini menggunakan file HTML dalam berbagai bahasa untuk mengelabui para korban dari seluruh dunia.

"Seperti kebanyakan pencuri pada umumnya, aktor tersebut juga akan mengumpulkan informasi sensitif dari perangkat korban."

Redaktur: Arif Rahman