Beberapa bulan yang lalu kami melaporkan bagaimana membuka file MS Word sederhana dapat membahayakan komputer dengan menggunakan kerentanan kritis di Microsoft Office. Dan kali ini ditemukan sebuah malware yang menyalahgunakan PowerPoint.
Kerentanan remote code execution Microsoft Office (CVE-2017-0199) berada di antarmuka Windows Object Linking and Embedding (OLE) yang patchnya dikeluarkan pada bulan April tahun ini, namun aktor ancaman masih menyalahgunakan kerentanan melalui media yang berbeda.
Peneliti keamanan telah melihat sebuah peluncuran malware baru yang memanfaatkan eksploitasi yang sama, namun untuk pertama kalinya, tersembunyi di balik file presentasi PowerPoint (PPSX) yang dibuat khusus.
Menurut para periset di Trend Micro, yang melihat peluncuran malware, serangan yang ditargetkan dimulai dengan lampiran email spear-phishing yang meyakinkan, yang konon berasal dari penyedia manufaktur kabel dan terutama menargetkan perusahaan yang terlibat dalam industri manufaktur elektronik.
Periset percaya serangan ini melibatkan penggunaan alamat pengirim yang menyamar sebagai email sah yang dikirim oleh departemen penjualan dan penagihan.
Inilah Cara Kerja Penyerangannya:
Skenario serangan lengkap tercantum di bawah ini:
Langkah 1: Serangan dimulai dengan sebuah email berisi file PowerPoint (PPSX) yang berbahaya dalam lampiran, dengan berpura-pura mengirimkan informasi tentang permintaan pesanan.
Langkah 2: Setelah dieksekusi, file PPSX memanggil file XML yang diprogram di dalamnya untuk mendownload file “logo.doc” dari lokasi yang jauh dan menjalankannya melalui fitur animasi Show PowerPoint.
Langkah 3: File logo.doc yang berbahaya kemudian memicu kerentanan CVE-2017-0199, yang mendownload dan menjalankan RATMAN.exe pada sistem yang ditargetkan.
Langkah 4: RATMAN.exe adalah versi Trojan dari alat Remcos Remote Control, yang jika dipasang, memungkinkan penyerang untuk mengendalikan komputer yang terinfeksi dari server command-and-control nya.
Remcos adalah tool remote yang sah dan dapat disesuaikan yang memungkinkan pengguna mengontrol sistem mereka dari manapun dengan beberapa kemampuan, seperti mengunduh dan menjalankan perintah, keylogger, screen logger, dan perekam untuk webcam serta mikrofon.
Karena eksploitasi digunakan untuk mengirimkan dokumen Rich Text File (.RTF) yang terkopi, metode pendeteksian paling banyak untuk CVE-2017-0199 berfokus pada RTF. Jadi, penggunaan file PPSX baru memungkinkan penyerang untuk menghindari deteksi antivirus juga.
