Ilustrasi | Foto: freepik.com
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Perangkat lunak jahat (malware) baru ditemukan menggunakan trik cerdas, yaitu membuat membuat file Excel berbahaya.
Perusahaan keamanan siber Belgia, NVISO Labs, menjuluki malware itu dengan nama “Epic Manchego”. Malware tela aktif sejak Juni 2020 yang menargetkan perusahaan dengan email phishing.
Namun, menurut peneliti, peretas bukannya menyebarkan dokumen spreadsheet Excel standar. Dokumen ini dirancang untuk melewati radar perangkat lunak antivirus, tulis ZDNet, diakses Senin (7 September 2020).
Menurut NVISO, dokumen tersebut tidak dikompilasi dalam perangkat lunak Microsoft Office standar, tetapi dengan pustaka .NET yang disebut EPPlus.
Pengembang biasanya menggunakan bagian library ini untuk menambahkan fungsi "Export as Excel" or "Save as spreadsheet". Pustaka dapat digunakan untuk menghasilkan file dalam berbagai format spreadsheet, dan bahkan mendukung Excel 2019.
NVISO mengatakan geng “Epic Manchego” tampaknya telah menggunakan EPPlus untuk menghasilkan file spreadsheet dalam format Office Open XML (OOXML).
File spreadsheet OOXML tidak memiliki bagian dari kode VBA terkompilasi, khusus untuk dokumen Excel yang dikompilasi dalam perangkat lunak Office milik Microsoft.
Beberapa produk antivirus dan pemindai email secara khusus mencari bagian kode VBA ini untuk mencari kemungkinan tanda-tanda dokumen Excel berbahaya. Faktor inilah yang diakali peretas sehingga spreadsheet dibuat oleh geng Epic Manchego memiliki tingkat deteksi rendah daripada file Excel berbahaya lain.
Meski menggunakan metode yang berbeda untuk menghasilkan dokumen Excel yang berbahaya, file spreadsheet berbasis EPPlus masih berfungsi seperti dokumen Excel lain.
Jika pengguna membuka file Excel, lalu mengklik tombol "Aktifkan Edit”, makro akan mengunduh dan menginstal malware pada komputer korban.
Muatan terakhir adalah trojan pencuri informasi pribadi, seperti Azorult, AgentTesla, Formbook, Matiex, dan njRat, lalu mengirimkannya ke server “Epic Machengo”.
NVISO mengatakan telah menemukan lebih dari 200 file Excel berbahaya yang ditautkan ke Epic Manchego.
“Kelompok ini tampaknya sedang bereksperimen dengan teknik ini, dan sejak serangan pertama, mereka telah meningkatkan aktivitas dan kecanggihan serangan mereka, menunjukkan bahwa ini mungkin akan digunakan lebih luas di masa depan,” kata NVISO.[]
Redaktur: Andi Nugroho
Share:
