Attackers menggunakan file PowerPoint di bawah radar untuk menyembunyikan executable berbahaya yang dapat menulis ulang pengaturan registri Windows untuk mengambil alih komputer pengguna akhir, para peneliti telah menemukan. aplikasi tepercaya yang mereka gunakan setiap hari, menggunakan email yang dirancang untuk menghindari deteksi keamanan dan tampak sah.
Penelitian baru dari Avanan, sebuah perusahaan Check Point, telah mengungkap bagaimana “pengaya yang tidak banyak diketahui” di PowerPoint – file .ppam – digunakan untuk menyembunyikan malware. Jeremy Fuchs, peneliti dan analis keamanan siber di Avanan, menulis dalam sebuah laporan yang diterbitkan Kamis bahwa file tersebut memiliki perintah bonus dan makro khusus, di antara fungsi-fungsi lainnya.
Mulai Januari, para peneliti mengamati penyerang mengirimkan email rekayasa sosial yang menyertakan lampiran file .ppam dengan maksud jahat .
Email Attack Vector
Satu email yang diamati dalam kampanye, misalnya, dimaksudkan untuk mengirimkan pesanan pembelian kepada penerima. File .ppam terlampir – bernama PO04012022 agar tampak sah – termasuk executable berbahaya, kata Fuchs.
Email berbahaya yang menyamar sebagai pesanan pembelian standar. Sumber: Avanan.
Payload menjalankan sejumlah fungsi pada mesin pengguna akhir yang tidak diizinkan oleh pengguna, termasuk menginstal program baru yang membuat dan membuka proses baru, mengubah atribut file, dan memanggil fungsi yang diimpor secara dinamis.
“Dengan menggabungkan urgensi potensial dari email pesanan pembelian, bersama dengan file berbahaya, serangan ini mengemas satu-dua pukulan yang dapat menghancurkan pengguna akhir dan perusahaan, ”tulis Fuchs.
Kampanye ini memungkinkan penyerang untuk melewati keamanan komputer yang ada – dalam hal ini kasus, keamanan yang disediakan oleh Google – dengan file yang jarang digunakan dan dengan demikian tidak akan membuat pemindai email tersandung, katanya.
“Selain itu, ini menunjukkan potensi bahaya dari file ini, karena dapat digunakan untuk membungkus segala jenis kejahatan file, termasuk ransomware,” tulis Fuchs.
Memang, pada bulan Oktober, muncul laporan bahwa penyerang menggunakan file .ppam untuk membungkus ransomware, katanya, mengutip laporan tentang ransomware Ppam yang diterbitkan pada bulan Oktober oleh cybersec portal urity PCrisk.
Menargetkan Pengguna Desktop
Penipuan terbaru adalah salah satu dari beberapa kampanye berbasis email baru yang ditemukan oleh para peneliti baru-baru ini untuk menargetkan pengguna desktop yang bekerja pada aplikasi pengolah kata dan kolaborasi yang umum digunakan seperti Microsoft Office, Google Docs, dan Adobe Creative Cloud. Penyerang biasanya menggunakan email untuk mengirimkan file atau tautan berbahaya yang mencuri informasi pengguna.
Pada bulan November, muncul laporan bahwa scammers menggunakan fitur kolaborasi Google Drive yang sah untuk mengelabui pengguna agar mengeklik tautan berbahaya di email atau pemberitahuan push yang mengundang orang untuk berbagi Google dokumen. Tautan mengarahkan pengguna ke situs web yang mencuri kredensial mereka.
Kemudian gelombang serangan phishing yang diidentifikasi peneliti Avanan pada bulan Desember menargetkan sebagian besar pengguna Outlook, memanfaatkan fitur “Komentar” dari Google Documents untuk mengirim tautan berbahaya yang juga mencabut kredensial dari korban.
Bulan lalu , tim Avanan melaporkan penipuan lain yang diamati peneliti pada bulan Desember di mana pelaku ancaman ditemukan membuat akun dalam suite Adobe Cloud dan mengirim gambar dan PDF yang tampak sah tetapi malah mengirimkan malware ke pengguna Office 365 dan Gmail.
Mitigasi dan Pencegahan
Untuk menghindari mengizinkan penipuan email untuk menyelinap melewati pengguna korporat, Fuchs merekomendasikan beberapa tindakan pencegahan khas untuk administrator keamanan yang harus diterapkan secara konsisten.
Salah satunya adalah menginstal perlindungan email yang mengunduh semua file ke dalam kotak pasir dan memeriksanya untuk konten berbahaya. Cara lainnya adalah dengan mengambil langkah keamanan ekstra – seperti menganalisis email secara dinamis untuk indikator kompromi (IoCs) – untuk memastikan keamanan pesan yang masuk ke jaringan perusahaan, katanya.
“Email ini gagal dalam pemeriksaan SPF dan ada riwayat yang tidak signifikan. reputasi dengan pengirim,” tulis Fuchs tentang pesan phishing yang diamati oleh peneliti Avanan. SPF, Sender Policy Framework, adalah teknik otentikasi email yang digunakan untuk mencegah spammer dan pelaku jahat lainnya mengirim pesan palsu yang berasal dari nama domain lain.
Perusahaan juga harus terus mendorong pengguna akhir di jaringan mereka untuk menghubungi departemen TI mereka jika mereka melihat pesan yang tidak dikenal. file datang melalui email, tambahnya.