Hati-Hati Ada Surel Phishing Berkedok Microsoft Excel
JAKARTA - Microsoft telah memperingatkan penggunanya tentang serangan phishing bertema COVID-19, di mana hacker akan mengirim dokumen berupa format Excel berbahaya kepada orang-orang melalui e-mail untuk mendapatkan akses dari jarak jauh.
Diketahui, sistem NetSupport Manager digunakan oleh penyerang untuk mendapatkan akses dan menjalankan perintah pada mesin yang dioperasikan dari jarak jauh.
"Kami melacak kampanye besar-besaran yang memberikan alat akses jarak jauh yang sah yakni NetSupport Manager menggunakan e-mail dengan lampiran yang berisi file Excel 4.0 berbahaya," tulis Tim Intelijen Keamanan Microsoft di Twitter seperti dihimpun dari TechRadar, Jumat 22 Mei.
Perusahaan memposting sejumlah tweet untuk menjelaskan bagaimana kejahatan siber ini dijalankan. Hacker mengirim surel yang berpura-pura berasal dari Johns Hopkins Center dengan subjek “WHO COVID-19 SITUATION REPORT."
Baca juga:
Email-email ini termasuk file Excel yang menyediakan representasi grafis dari data pembaruan tentang jumlah kematian terkait virus corona di AS. Namun, pada kenyataannya bahwa penjahat siber menggunakan lampiran Excel jahat tersebut untuk menginfeksi perangkat dengan remote access trojan (RAT).
"Ratusan file Excel unik dalam kampanye ini menggunakan rumus yang sangat digelapkan, tetapi semuanya terhubung ke URL yang sama untuk mengunduh muatan," tweet Microsoft.
NetSupport Manager sendiri merupakan sistem administrasi jarak jauh yang cukup umum digunakan. Jika aplikasi tersebut disalahgunakan, besar kemungkinan peretas bisa mengambil alih perangkat dari jarak jauh.
Microsoft menginformasikan bahwa pihaknya telah mengamati peningkatan yang drastis dalam penggunaan file Excel 4.0 berbahaya selama beberapa bulan. Ia menambahkan bahwa bulan lalu peretasan ini mulai mendekati orang yang menggunakan tema COVID-19.
"RAT NetSupport yang digunakan dalam peretasan ini memiliki format seperti .dll, .ini, dan file .exe lainnya, VBScript, dan skrip PowerShell berbasis PowerSploit yang digelapkan. Terhubung ke server C2, memungkinkan penyerang untuk mengirim perintah lebih lanjut," kata pembuat OS.
Microsoft pada April lalu telah menerbitkan patch keamanan bulanan untuk 113 kerentanan di 11 produk, termasuk tiga bug zero-day. CVE-2020-1020 adalah salah satu dari tiga kerentanan di Windows Adobe Type Manager Library yang memungkinkan penyerang menjalankan kode pada sistem yang rentan.
Bug zero-day kedua adalah CVE-2020-0938, memungkinkan penyerang melakukan serangan dari jarak jauh. CVE-2020-1027 adalah yang ketiga dan ditemukan di kernel Windows.