Cyberthreat.id -  Untuk tetap aman saat online, setiap orang perlu mengenali lampiran berbahaya yang biasanya digunakan dalam email phishing untuk menyebarkan virus jahat atau malware.

Secara umum, penyebar malware atau pelaku ancaman ini melakukan aksinya dengan mengirim dokumen palsu dalam bentuk faktur pembayaran, undangan, informasi pembayaran, informasi pengiriman, dan banyak lagi.

Dokumen  palsu yang dikirim sebagai lampiran dalam email itu berisikan file Microsoft Word dan Excel yang berbahaya atau tautan ke sana yang ketika dokumen itu dibuka dan makro diaktifkan maka otomatis menginstal malware di komputer.

Melansir dari laman Microsoft, makro ini mengotomatisasi tugas yang sering digunakan untuk menghemat waktu penekanan tombol dan tindakan mouse. Namun, beberapa makro bisa menimbulkan potensi risiko keamanan. Orang dengan niat jahat, atau hacker bisa menyisipkan makro perusak dalam file yang bisa menyebarkan virus pada komputer Anda atau ke dalam jaringan organisasi Anda.

Untuk itu, menonaktifkan makro ini memungkinkan semua makro yang tidak dipercaya akan memunculkan notifikasi atau pemberitahuan peringatan keamanan yang berujung pada permintaan “Aktifkan Konten” atau “Aktifkan Pengeditan”. Artinya, dengan menonaktifkan makro Anda dapat lebih terhindar dari makro yang jahat. Microsoft pun merekomendasikan untuk tidak mengaktifkan semua makro, karena bisa saja dijalankan oleh kode berbahaya.

Mengutip BleepingComputer, sebelum Word atau Excel mengeksekusi makro dalam dokumen, Office mengharuskan Anda untuk mengklik tombol “Aktifkan Pengeditan” atau “Aktifkan Konten” yang sebenarnya tidak boleh Anda lakukan. Hal itu dilarang lantaran para pelaku ancaman ini memang sengaja  mendorong pengguna agar mengklik tombol ini untuk keberhasilan serangannya.

Beberapa pelaku ancaman memang sengaja mendesain isi dokumennya agar pengguna mengaktifkan pilihan makro itu, dengan berisi teks dan gambar yang menyatakan bahwa ada masalah dalam menampilkan dokumen tersebut. Ini kemudian meminta penerima untuk mengklik 'Aktifkan Konten' atau 'Aktifkan Pengeditan' untuk melihat konten dengan benar.

Kombinasi teks dan gambar dalam lampiran berbahaya ini disebut sebagai “template dokumen”. Berikut beberapa template dokumen yang telah digunakan dalam penyebaran spam untuk menginfeksi perangkat dengan malware.

BazarLoader
BazarLoader adalah malware yang menargetkan perusahaan dan dikembangkan oleh grup yang sama dibalik trojan TrickBot. Saat dipasang, pelaku menggunakan BazarLoader/BazarBackdoor untuk mengakses komputer Anda dari jarak jauh, yang kemudian digunakan untuk menyusup ke seluruh jaringan Anda.

Ketika jaringan terinfeksi BazarLoader, kemudian pelaku ancaman menggunakan ransomware Ryuk untuk mengenkripsi semua perangkat di jaringan.

Email phising yang mendistribusikan BazarLoader biasanya berisi tautan ke dokumen Word atau Excel yang diduga dihosting di Google Docs dan Google Sheets.

Berdasarkan tangkapan layar contoh terkait tampilan halaman tautan yang mengarah ke Google Docs, halaman itu menampilkan tulisan yang menunjukkan bahwa terdapat masalah dan meminta Anda untuk mengunduh dokumen tersebut. Ketika Anda mengklik untuk mengunduh dokumen itu, maka BazarLoader akan terinstal.

Dridex
Dridex adalah trojan perbankan canggih yang pertama kali ditemukan pada 2014 dan terus diperbarui.

Saat terinfeksi, Dridex akan mengunduh modul berbeda yang dapat digunakan untuk mencuri kata sandi, memberikan akses jarak jauh ke komputer, atau melakukan aktivitas berbahaya lainnya.

Sama halnya dengan BazarLoader, ketika Dridex berhasil menyusupi jaringan, maka itu juga memicu penyebaran serangan ransomware, yakni ransomware BitPaymer atau Dridex.

Tak hanya ransomware BitPaymer atau Dridex, ransomware lain seperti WastedLocker juga diyakini terkait dengan Dridex, meskipun ada salah satu perusahaan keamanan siber tidak menyetujui penilaian itu.

Tidak seperti penyebaran malware lainnya, kelompok Dridex cenderung menggunakan template dokumen yang lebih bergaya yang menampilkan konten tetapi dengan teks ukuran kecil atau dikaburkan dan sehingga meminta Anda untuk mengklik “Aktifkan Konten” untuk melihatnya dengan lebih baik.

Dridex juga menggunakan template dokumen yang lebih bergaya yang berpura-pura atau mengatasnamakan jasa pengiriman DHL dan UPS yang mengirimkan informasi pengiriman.

Dridex juga menggunakan taktik dalam pengiriman dokumen itu dengan menyematkan logo perusahaan dan kop surat untuk mengelabui pengguna agar mengaktifkan konten atau pengeditan.

Emotet
Jenis malware satu ini adalah yang paling banyak didistribusikan melalui email spam yang berisi dokumen Word atau Excel berbahaya.

Setelah terinfeksi, Emotet akan mencuri email korban dan menggunakan komputer yang terinfeksi untuk menyebarkan spam lebih lanjut ke penerima di seluruh dunia.

Pengguna yang terinfeksi Emotet pada akhirnya akan terinfeksi lebih lanjut dengan trojan seperti TrickBot dan QakBot. Kedua trojan ini digunakan untuk mencuri kata sandi, cookie, file, dan menyebabkan penyusupan seluruh jaringan organisasi.

Jika sudah terinfeksi dengan TrickBot atau QakBot, biasanya akan berlanjut pada penyebaran ransomware. Jika menggunakan TrickBot,  maka akan diikuti oleh serangan ransomware Ryuk atau Conti, sedangkan QakBot akan terkena ransomware ProLock.

Jika Dridex memiliki taktik menggunakan gambar dokumen yang terkait dengan isi dokumen, Emotet tidak menggunakan gambar dokumen terkait. Emotet menggunakan template yang menampilkan kotak peringatan bahwa dokumen tidak dapat dilihat dengan benar dan pengguna perlu mengklik “Aktifkan Konten” untuk membacanya.

Contohnya, terdapat dokumen yang menyebarkan Emotet ini, dokumen itu ketika dibuka akan berisikan peringatan bahwa “dokumen ini dilindungi” dan kemudian meminta Anda untuk mengaktifkan “Aktifkan Konten” untuk membacanya. Padahal itu template yang diatur oleh pelaku ancaman.

Selain itu, template lainnya berpura-pura bahwa dokumen tidak dapat dibuka dengan benar karena dibuat pada ‘perangkat iOS”.

Yang lain menyatakan bahwa dokumen dibuat pada “Windows 10 Mobile” yang merupakan pesan aneh karena Windows 10 Mobile telah dihentikan selama beberapa waktu.

Ada lagi template lainnya yang menunjukkan dokumen berada dalam “Tampilan Terproteksi” dan pengguna perlu mengklik “Aktifkan Pengeditan” untuk melihatnya dengan benar.

Kemudian, ada juga template yang sedikit lebih menarik yakni memberi tahu pengguna untuk menerima perjanjian lisensi Microsoft sebelum mereka dapat melihat dokumen. Ini juga mendorong pengguna untuk mengklik ‘Aktifkan Konten”.

Template menarik lainnya yakni berpura-pura menjadi Wizard Aktivasi Microsoft Office, yang meminta pengguna untuk “Aktifkan Pengeditan” untuk menyelesaikan pengaktifan Office.

Terakhir, Emotet diketahui menggunakan template dokumen yang berpura-pura menjadi Microsoft Office Transformation Wizard.

Alih-alih menggunakan template dokumen bergaya, Emotet lebih memilih menggunakan semacam peringatan umum untuk mencoba mengelabui dan meyakinkan pengguna untuk mengaktifkan pilihan “Aktifkan Konten” atau “Aktifkan Pengeditan” dalam lampiran.

QakBot
QakBot, atau QBot, adalah trojan perbankan yang menyebar melalui kampanye phishing yang mengirimkan dokumen Microsoft Word berbahaya, biasanya menargetkan bisnis.

Trojan QakBot ini memiliki kemampuan untuk mencuri informasi perbankan, menginstal malware lain, bahkan menyediakan akses jarak jauh ke mesin yang terinfeksi.

Layaknya Trojan yang menyebar melalui kampanye phishing, QakBot juga bermitra dengan infeksi ransomware yakni ProLock, yang biasanya menjadi muatan akhir dari sebuah serangan.

Dibandingkan dengan Emotet, QakBot memilih menggunakan template dokumen yang lebih bergaya. Namun, yang paling umum, QakBot berpura-pura berasal dari DocuSign.

Template lain yang digunakan QakBot itu termasuk berpura-pura berasal dari Microsoft Defender atau pembaruan Word dan layar aktivasi.

Terakhir, Anda tidak boleh membuka lampiran yang diakhiri ekstensi .vbs, .js, .exe, .ps1, .jar, .bat, .com, atau .scr karena semuanya dapat digunakan untuk menjalankan perintah di komputer.

Penyebar malware akan mengirimkan lampiran berbahaya ini dalam arsip yang dilindungi sandi dan menyertakan sandi di email karena sebagian besar layanan email memblokir lampiran “yang dapat dijalankan”.

“Sayangnya, Microsoft memutuskan untuk menyembunyikan ekstensi file secara default, yang memungkinkan pelaku ancaman mengelabui pengguna agar menjalankan file yang tidak aman. Oleh karena itu, BleepingComputer sangat menganjurkan agar semua pengguna Windows mengaktifkan tampilan ekstensi file.” tulis BleepingComputer.

Jika Anda menerima email yang berisi salah satu dari jenis file yang dapat dieksekusi itu, maka patut dicurigai bahwa itu email berbahaya dan segera hapus.[]

Editor: Yuswardi A. Suud