- Penyerang menemukan cara baru di dalam komputer Anda, membiarkan semua data Anda terbuka.
- Kali ini, penjahat dunia maya yang cerdik mengeksploitasi patch Microsoft Office yang penting.
Di dunia online yang terus berkembang dan berubah ini, ancaman telah menjadi sangat umum dan sangat sulit untuk dideteksi sehingga, tetap terlindungi hanyalah masalah untuk tetap selangkah lebih maju dari para penyerang.
Hasil penelitian baru diterbitkan oleh perusahaan keamanan siber sophos, menunjukkan bahwa pihak ketiga yang jahat dapat memanfaatkan bukti konsep Office yang tersedia untuk umum dan mempersenjatainya untuk mengirimkan malware Formbook.
Diduga, penjahat dunia maya benar-benar berhasil membuat eksploitasi yang mampu melewati kerentanan eksekusi kode jarak jauh yang kritis di Microsoft Office, yang ditambal awal tahun ini.
Penyerang melewati patch Microsoft Office penting dengan exploit
Anda tidak perlu kembali ke masa selama itu untuk mencari tahu dari mana semuanya dimulai. Kembali pada bulan September, Microsoft merilis tambalan untuk mencegah penyerang mengeksekusi kode berbahaya yang tertanam dalam dokumen Word.
Berkat kelemahan ini, arsip Microsoft Cabinet (CAB), yang berisi executable berbahaya, akan diunduh secara otomatis.
Ini dicapai dengan mengerjakan ulang eksploitasi asli dan menempatkan dokumen Word berbahaya di dalam a arsip RAR yang dibuat secara khusus, yang memberikan bentuk eksploitasi yang berhasil menghindari tambalan asli.
Selanjutnya, exploit terbaru ini dikirimkan kepada korbannya menggunakan email spam selama kurang lebih 36 jam sebelum menghilang sepenuhnya.
Para peneliti keamanan di Sophos percaya bahwa umur eksploitasi yang terbatas dapat berarti bahwa itu adalah eksperimen kering yang dapat digunakan dalam serangan di masa depan.
Versi serangan pra-patch melibatkan kode berbahaya yang dikemas ke dalam file Kabinet Microsoft. Ketika patch Microsoft menutup celah itu, penyerang menemukan bukti konsep yang menunjukkan bagaimana Anda dapat menggabungkan malware ke dalam format file terkompresi yang berbeda, arsip RAR. Arsip RAR telah digunakan sebelumnya untuk mendistribusikan kode berbahaya, tetapi proses yang digunakan di sini sangat rumit. Kemungkinan berhasil hanya karena pengiriman tambalan ditentukan dengan sangat sempit dan karena program WinRAR yang perlu dibuka pengguna RAR sangat toleran terhadap kesalahan dan tampaknya tidak keberatan jika arsip salah format, misalnya, karena telah dirusak.
Juga ditemukan bahwa penyerang yang bertanggung jawab telah membuat arsip RAR abnormal yang memiliki skrip PowerShell yang mengawali dokumen Word berbahaya yang disimpan di dalam arsip.
Untuk membantu menyebarkan arsip RAR berbahaya ini dan konten jahatnya, para penyerang membuat dan mendistribusikan email spam yang mengundang korban untuk membuka kompresi file RAR untuk mengakses Word dokumen.
Jadi sebaiknya Anda mengingat hal ini saat menangani perangkat lunak ini dan jika ada sesuatu yang tampak mencurigakan.
Tetap aman harus menjadi prioritas nomor satu bagi kita semua ketika berhadapan dengan internet. Tindakan sederhana yang mungkin tampak tidak berbahaya pada awalnya, dapat memicu rangkaian peristiwa dan konsekuensi yang serius.
Apakah Anda juga menjadi korban serangan malware ini? Bagikan pengalaman Anda dengan kami di bagian komentar di bawah.
