Para penjahat siber memulai serangan phising gaya baru dengan memanfaatkan Microsoft Word yang sering digunakan oleh banyak orang dari berbagai lintas disiplin.
Begitulah hacker, selalu mencari hal yang paling umum dan biasa digunakan orang sehari-hari untuk menjalankan tipu muslihatnya.
Kali ini mereka memodifikasi serangan dengan mengeksploitasi File RTF di Microsot Word untuk mencari korban-korban baru.
Metode sederhana
File Rich Text Format (RTF) adalah format dokumen yang dibuat oleh Microsoft yang dapat dibuka menggunakan Microsoft Word, atau WordPad, dan aplikasi sejenis lainnya.
Lantas bagaimana cara kerja metode sederhana ini, sebagai berikut:
- Saat membuat file RTF, Anda dapat menyertakan Templat RTF yang menentukan bagaimana teks dalam dokumen harus diformat.
- Templat ini adalah file lokal yang diimpor ke penampil RTF sebelum menampilkan konten file untuk memformatnya dengan benar.
- Sementara Template RTF dimaksudkan untuk di-hosting secara lokal, pelaku menyalahgunakan fungsi yang sah ini untuk mengambil sumber daya URL ketimbang file lokal.
- Substitusi ini memungkinkan pelaku untuk memuat muatan berbahaya ke dalam aplikasi seperti Microsoft Word. Atau mereka juga bisa melakukan otentikasi NTLM terhadap URL jarak jauh untuk mencuri kredensial Windows.
- Karena file ini ditransfer sebagai Templat RTF, mereka cenderung mampu melewati deteksi phising karena awalnya tidak ada dalam file RTF.
- Membuat Template RTF jarak jauh sangat sederhana karena hanya menambahkan perintah {\*\template URL} ke dalam file RTF menggunakan editor hex.
- Serangan phising gaya baru ini juga dapat dijalankan pada file doc.rtf yang dibuka di Microsoft Word, memaksa aplikasi untuk mengambil sumber daya dari URL yang ditentukan sebelum menyajikan konten kepada korban.
Grup APT
Serangan gaya baru ini adalah metode sederhana namun efektif untuk mengambil konten berbahaya dari URL jarak jauh,
Sehingga dikhawatirkan ancaman ini akan segera menjangkau audiens yang lebih luas, karena grup APT selalu masif dalam setiap serangan mereka.
Kasus pertama injeksi template RTF yang dimodifikasi terjadi pada Maret 2021, dan sejak itu para aktor terus mengoptimalkan teknik tersebut.
Dari hasil investigasi, metode pengambilan muatan ini dilakukan dalam operasi phising oleh grup peretas India, Tim DoNot yang terkait dengan Rusia, dan grup APT TA423.
Serangan grup APT
File RTF dapat mengurai karakter Unicode 16-bit, jadi mereka menggunakan Unicode ketimbang string teks biasa untuk sumber daya URL yang disuntikkan untuk menghindari deteksi.
Namun, dalam beberapa sampel yang diambil dari operasi DoNot Team, terlihat kegagalan untuk lulus pemeriksaan Microsoft Word, yang mengakibatkan pesan kesalahan tentang sumber jarak jauh yang tidak valid.
Karena kesalahan ini dihasilkan sebelum konten umpan disajikan ke target, peluang keberhasilan upaya phising DoNot turun secara signifikan.
TA423, di sisi lain tidak mengaburkan URL yang disuntikkan, menukar risiko deteksi dan analisis yang lebih tinggi untuk pemuatan bebas kesalahan di Microsoft Word.
Terakhir, dalam kasus Gamaredon, para peneliti mengambil sampel dokumen RTF yang meniru organisasi pemerintah Ukraina untuk mengirimkan file MP3 sebagai sumber daya jarak jauh.
Karena injeksi Template RTF mudah dilakukan dengan menggunakan alat pengeditan hex dan tidak terlalu terdeteksi oleh pemindai antivirus, injeksi ini menjadi lebih banyak digunakan oleh pelaku ancaman.
Ancaman besar masa depan
Kelangsungan dokumen template jarak jauh berbasis XML Office telah membuktikan bahwa jenis mekanisme pengiriman ini adalah metode yang tahan lama.
Dan cara ini juga diketahui menjadi lebih efektif bila dipasangkan dengan phising sebagai vektor pengiriman awal.
Meskipun metode ini saat ini digunakan oleh sejumlah kecil grup APT bukan berarti metode ini sepi peminat tapi memang belum terekspos saja.
Bila kelompok lain tahu berbagai kecanggihan, efektivitas teknik yang dikombinasikan dengan kemudahan penggunaannya akan mendorong adopsi lebih jauh di masa depan.
Selain itu, karena konten berbahaya diambil dari URL jarak jauh, ini memungkinkan pelaku ancaman untuk secara dinamis mengubah operasi mereka secara real time
Atau dengan kata lain mereka akan lebih mudah untuk menyusupkan muatan baru atau perilaku berbahaya yang berbeda kapan saja.
Untuk mempertahankan diri dari ancaman ini, Anda harus menghindari mengunduh dan membuka file RTF yang datang melalui email yang tidak diminta.
Atau memindainya dengan pemindai AV, dan selalu memperbarui Microsoft Office Anda dengan menerapkan pembaruan keamanan terbaru yang tersedia.
Baca lainnya:
- Pelindung Gerbang Email
- Email Perantara Kebocoran Data
- Mendeteksi Email Phising
- Mengenal Business Email Compromise
- Ciri Akun Email Diretas
- Beragam Trik Serangan Email
Sumber:
Serangan Phising Gaya Baru Pengguna Microsoft Word Waspadalah