- Ada dokumen malware Microsoft baru yang menutupi dirinya sebagai dokumen yang dibuat dengan Windows 11 Alpha.
- Dokumen berbahaya mengeksploitasi makro VBA untuk berhasil menyusup ke sistem.
- Grup FIN7 diduga berada di balik serangan ini, mengingat riwayat mereka sebelumnya dalam kasus serupa.
Pengguna Microsoft memiliki satu hal lagi yang perlu dikhawatirkan. Sebuah perusahaan riset keamanan telah menemukan malware dokumen Microsoft Word baru. Maldoc menyamarkan dirinya sebagai dokumen yang dibuat di Windows 11 Alpha. Anomali Threat Research telah menemukan enam malware berbahaya serupa dan memperingatkan pengguna untuk waspada saat Microsoft mencoba untuk tetap berada di atas situasi.
Microsoft telah menghadapi serangan malware di masa lalu di mana penyerang telah meniru alat produktivitas yang familier dan umum digunakan untuk melancarkan serangan. Dokumen malware yang ditemukan bernama "Users-Progress-072021-1.doc".
Serangan terjadi pada akhir Juni
Menurut Anomali, serangan itu kemungkinan terjadi pada akhir Juni dan berakhir pada akhir Juli. Perusahaan menegaskan bahwa kelompok FIN7 berada di balik serangan itu dan tujuan utamanya adalah untuk memberikan variasi Javascript melalui pintu belakang seperti yang telah mereka coba sejak 2018. FIN7 dianggap sebagai kelompok serangan siber terlama sejak 2013.
Rantai infeksi pertama dimulai dengan gambar yang dibuat dengan Windows 11 Alpha. Gambar menugaskan pengguna untuk 'Aktifkan konten' atau 'Aktifkan pengeditan' untuk langkah selanjutnya.
Seorang pengguna Twitter bernama NinjaOperator turun ke Twitter untuk mempertanyakan apakah FIN7 berada di balik serangan itu ketika berita itu menyebar.
Apakah itu kamu #FIN7https://t.co/54VUmf21Pn
— Nicko K (@NinjaOperator) 3 September 2021
Pengguna terpikat menggunakan instruksi pada sampul dokumen
Dokumen malware menggunakan makro Visual Basic for Application. Setelah berhasil, muatan javascript dijatuhkan. Makro dijalankan ketika pengguna melakukan fungsi dasar seperti 'mengaktifkan pengeditan' atau 'mengaktifkan konten', seperti yang dikatakan petunjuk di sampul.
Pengguna yang akrab dengan Versi dan variasi Windows 11 kecil kemungkinannya untuk menderita karena serangan tersebut, tetapi orang lain mungkin terjerumus pada trik ini dan menjalankan file tersebut.
Dokumen malware dapat melakukan beberapa pemeriksaan seperti:
- Kapasitas memori
- Bahasa
- Pemeriksaan VM
- cek CLEARMIND
CLEARMIND adalah domain untuk penyedia layanan POS. FIN7 dikenal untuk menargetkan domain tersebut untuk mendapatkan akses ke data skala besar.
Kelompok ini terus aktif meskipun telah diambil tindakan untuk menghentikan serangan. Pengguna diperingatkan untuk tetap ekstra waspada pada semua file.
Pernahkah Anda mengalami serangan malware di masa lalu? Bagikan kiat apa pun yang menurut Anda bermanfaat di bagian komentar di bawah.
