Cyberthreat.id – Subway, restoran cepat saji di Inggris, diretas dan dimanfaatkan peretas untuk melakukan distribusi serangan email phishing.

Dilansir dari BleepingComputer, diakses Minggu (13 Desember 2020), distribusi email berisi malware itu dikirimkan ke pelanggan Subway pada Jumat (11 Desember 2020).

Pelanggan Subway menerima email dengan subjek “Subcard”, di mana di badan email disusupkan sebuah tautan untuk mengakses dokumen yang diduga berisi konfirmasi pesanan.

Tautan itu mengarahkan pengguna ke situs web yang telah diretas yang kemudian akan membawa pengguna ke halaman phishing “FreshBooks”. Dalam halaman phishing terdapat beberapa keterangan yang ketika diklik, salah satunya, mengarahkan pengguna mengunduh spreadsheet Microsoft Excel.

Dokumen Excel yang diterima pengguna tidak sama, ada yang beberapa dilindungi kata sandi. Setelah kata sandi dimasukkan, lampiran phishing “DocuSign” palsu dan berbahaya akan ditampilkan.

Dokumen tersebut menyatakan ada masalah dalam menampilkan pratinjau dokumen sehingga mendorong pengguna untuk mengaktifkan “Aktifkan Pengeditan” atau “Aktifkan Konten” untuk melihatnya.

Namun, jika pengguna mengaktifkan "Aktifkan Pengeditan" atau “Aktifkan Konten”, saat itu juga mengaktifkan macro berbahaya yang disematkan peretas dalam file spreadsheet Excel itu, yang pada akhirnya mengunduh dan menginstal versi terbaru malware TrickBot ke perangkat pengguna.

TrickBot adalah malware yang memungkinkan penyerang mencuri kata sandi peramban yang disimpan, menyebar ke seluruh jaringan, mencuri cookies peramban, mencuri kredensial, dan banyak lagi. Lebih buruknya lagi, TrickBot pada akhirnya dapat menyediakan akses ke ransomware Ryuk atau Conti.

Subway Inggris mengakui bahwa server email mereka dipakai untuk serangan phishing., tapi akun pelanggannya diklaim aman.

"Setelah menyelidiki masalah ini, kami tidak memiliki bukti bahwa akun tamu telah diretas. Namun, sistem yang mengelola kampanye email kami telah disusupi, yang mengarah ke distribusi phishing yang melibatkan nama depan dan email. Sistem tidak menahan bank atau rincian kartu kredit.” kata Subway Inggris.

"Protokol krisis telah dimulai dan sistem yang diretas telah dikunci. Keamanan tamu kami dan data pribadi mereka adalah prioritas utama kami dan kami mohon maaf atas ketidaknyamanan yang mungkin ditimbulkan," kata Subway.

Sementara itu, saran dari analis keamanan yang dikontak BleepingComputer, jika pengguna tidak sengaja membuka dokumen Excel berbahaya itu, disarankan memeriksa versi TrickBot dengan membuka Task Manager dan mencari proses bernama “Windows Problem Reporting”.

Jika proses itu ditemukan, klik tombol “Akhiri Tugas”. Kemudian, lakukan pemindaian dengan antivirus dan bersihkan apapun yang ditemukan.[]

Redaktur: Andi Nugroho