Tim intelijen keamanan Microsoft telah memberi peringatan bahwa mereka telah melacak distribusi phishing besar-besaran yang mencoba untuk menginstal alat akses jarak jauh ke PC target dengan menipu pengguna agar membuka lampiran email yang berisi makro Excel 4.0 berbahaya.
Microsoft mengatakan distribusi phishing ini bertema COVID-19 dan sudah dimulai sejak 12 Mei. Sejauh ini, distribusi phishing menggunakan beberapa ratusan lampiran email yang unik.
Email phishing menyamar sebagai email yang berasal dari Johns Hopkins Center dengan judul “WHO COVID-19 SITUATION REPORT“. Jika penerima mencoba untuk membuka file Excel yang dilampirkan, file itu akan terbuka dengan peringatan keamanan, dan menampilkan grafik kasus virus corona. Tetapi jika dibiarkan berjalan, maka makro Excel 4.0 berbahaya akan mengunduh dan menjalankan NetSupport Manager.
Lalu setelah mesin target menjalankan NetSupport Manager, maka itu akan terhubung ke server command-and-control (C2) penyerang, dan memungkinkan penyerang untuk mengeksekusi perintah lebih lanjut.
Sementara NetSupport Manager adalah alat akses jarak jauh yang sah, NetSupport Manager dikenal karena sering disalahgunakan oleh penyerang untuk mendapatkan akses jarak jauh ke mesin yang disusupi.
“Pada saat ini, kami telah melihat peningkatan yang stabil penggunaan makro Excel 4.0 berbahaya dalam distribusi malware. Pada bulan April, distribusi Excel 4.0 ini mulai terlihat dan mulai menggunakan umpan bertema COVID-19,” kata Tim Intelijen Keamanan Microsoft.
We’re tracking a massive campaign that delivers the legitimate remote access tool NetSupport Manager using emails with attachments containing malicious Excel 4.0 macros. The COVID-19 themed campaign started on May 12 and has so far used several hundreds of unique attachments. pic.twitter.com/kwxOA0pfXH
— Microsoft Security Intelligence (@MsftSecIntel) May 18, 2020
Baca Juga: “Microsoft: Distribusi Malware Trickbot Bertema COVID-19 Terdeteksi Dalam Jumlah Banyak Per-Minggunya“
Tim intelijen mengatakan bahwa sementara ratusan file Excel unik dalam distribusi ini menggunakan “formula yang sangat disamarkan”, namun semuanya terhubung ke URL yang sama untuk mengunduh muatan berbahaya.
Ini bukan satu-satunya ancaman keamanan baru yang ditemukan oleh tim intelijen keamanan Microsoft. Mereka juga telah memperingatkan distribusi malware Trickbot baru yang dimulai pada tanggal 18 Mei, menggunakan email yang menawarkan “pemeriksaan virus corona”.
Trickbot remains to be one of the most common payloads in COVID-19 themed campaigns. A new Trickbot campaign that launched on May 18 uses emails that claim to offer "personal coronavirus check", an iteration of the "free COVID-19 test" we’ve seen in previous Trickbot spam runs. pic.twitter.com/pU2MgBNJcE
— Microsoft Security Intelligence (@MsftSecIntel) May 19, 2020
