Kali ini serangan social engineering baru telah ditemukan, yang mana serangan ini tidak mengharuskan pengguna mengaktifkan macro; Sebagai gantinya, ia menjalankan perangkat lunak perusak pada sistem yang ditargetkan menggunakan perintah PowerShell yang tertanam di dalam file Microsoft PowerPoint (PPT).
Selain itu, kode PowerShell berbahaya tersembunyi di dalam dokumen memicu segera setelah korban menggerakan mouse di atas link (seperti yang ditunjukkan), yang mendownload payload tambahan pada mesin korban – bahkan tanpa mengkliknya.
Periset di perusahaan keamanan SentinelOne telah menemukan bahwa sekelompok hacker menggunakan file PowerPoint yang berbahaya untuk mendistribusikan ‘Zusy,’ sebuah trojan perbankan, juga dikenal sebagai ‘Tinba’ (Tiny Banker).
Ditemukan pada tahun 2012, Zusy adalah trojan perbankan yang menargetkan situs web keuangan dan memiliki kemampuan untuk mengendus lalu lintas jaringan dan melakukan serangan Man-in-the-Browser untuk menginjeksi formulir tambahan ke situs perbankan legit, meminta korban untuk berbagi data penting lainnya. Seperti nomor kartu kredit, TAN, dan token otentikasi.
“Varian baru dari perangkat lunak perusak yang disebut ‘Zusy’ telah ditemukan penyebarannya sebagai file PowerPoint yang dilampirkan pada email spam dengan judul seperti ‘Purchase Order #130527’ dan ‘Confirmation.’ Ini menarik karena tidak mengharuskan pengguna mengaktifkan macro untuk dijalankan,” kata periset di SentinelOne Labs dalam sebuah posting blog-nya.
File PowerPoint yang didistribusikan melalui email spam dengan subjek seperti “Purchase Order” dan “Confirmation,” yang ketika dibuka, menampilkan teks “Loading … Please Wait” sebagai hyperlink.
Ketika pengguna mengarahkan kursor ke tautan, secara otomatis mencoba memicu kode PowerShell, namun fitur keamanan Protected View yang diaktifkan secara default di sebagian besar versi yang didukung Office, termasuk Office 2013 dan 2010, menampilkan peringatan dan meminta mereka memilih untuk mengaktifkan atau menonaktifkan konten.
Jika pengguna mengabaikan peringatan ini dan mengizinkan konten dilihat, program berbahaya tersebut akan terhubung ke nama domain “cccn.nl”, dari tempat ia mendownload dan mengeksekusi sebuah file, yang akhirnya bertanggung jawab atas pengiriman varian baru dari trojan perbankan bernama Zusy.
“Pengguna mungkin masih mengaktifkan program eksternal karena mereka malas, terburu-buru, atau hanya menggunakannya untuk memblokir makro,” kata SentinelOne Labs. “Juga, beberapa konfigurasi mungkin lebih permisif dalam mengeksekusi program eksternal daripada dengan macro.“
Peneliti keamanan lainnya, Ruben Daniel Dodge, juga menganalisis serangan baru ini dan memastikan bahwa serangan yang baru ditemukan ini tidak bergantung pada Macro, Javascript atau VBA untuk metode eksekusi.
“Ini dilakukan dengan definisi elemen untuk tindakan hover. Tindakan hover ini disiapkan untuk menjalankan program di PowerPoint begitu pengguna mengarahkan kursor ke atas teks. Dalam definisi sumber daya dari slide1 ‘rID2’ didefinisikan sebagai hyperlink dimana targetnya adalah perintah PowerShell,” kata Dodge.
Perusahaan keamanan juga mengatakan bahwa serangan tersebut tidak berhasil jika file berbahaya dibuka di PowerPoint Viewer, yang menolak menjalankan program tersebut. Tapi tekniknya tetap bisa efisien dalam beberapa kasus.
