Peretas asal Rusia mulai melancarkan teknik serangan baru yang memanfaatkan pergerakan kursor mouse dalam presentasi PowerPoint guna memicu eksekusi kode berbahaya di PowerShell. Tanpa perlu makro tambahan, serangan susulan yang lebih berbahaya akan dapat berjalan setelah kode berhasil tereksekusi.
Cluster25, sebuah perusahaan keamanan siber, menyebutkan bahwa APT28 alias Fancy Bear menggunakan teknik baru berikut untuk menyebarkan malware Graphite mulai 9 September lalu. Meskipun begitu, berdasarkan metadata yang ditemukan, Cluster25 menyimpulkan bahwa peretas telah mempersiapkan serangan ini sejak Januari hingga Februari lalu.
Peretas memikat target dengan sebuah berkas PowerPoint (.PPT) yang dipalsukan sebagai milik Organization for Economic Co-operation and Development (OECD). Berkas PPT tersebut memuat dua buah slide yang berisi instruksi penggunaan fitur Interpretation pada aplikasi Zoom dalam bahasa Inggris dan Perancis.
Berkas PPT yang disebarkan berisi tautan yang berfungsi sebagai pemicu yang akan menjalankan perintah PowerShell berbahaya dengan memanfaatkan fitur SyncAppvPublishingServer.
Proses Infeksi
Ketika dokumen yang digunakan sebagai umpan dibuka dalam mode presentasi dan korban mengarahkan mouse ke arah tautan yang tertera, sebuah perintah PowerShell akan aktif dan mengunduh berkas JPEG bernama "DSC0002.jpeg" dari akun Microsoft OneDrive.
Berkas JPEG tersebut merupakan hasil enkripsi dari berkas "lmapi2.dll" yang kemudian didekripsi dan diletakkan pada direktori "C:\ProgramData\". Berkas DLL tersebut selanjutnya dieksekusi via "rundll32.exe".
"lmapi2.dll" kemudian mengunduh dan mendekripsi berkas JPEG kedua. JPEG tersebut selanjutnya dimuat ke dalam thread yang telah dijalankan oleh DLL tersebut. Pada akhirnya, proses tersebut akan menghasilkan malware Graphite dalam bentuk PE (portable executable). Detail lebih lengkap dari proses berjalannya serangan dapat disimak dalam investigasi Cluster25 berikut.
Melalui penyalahgunaan API milik Microsoft Graph dan OneDrive, malware Graphite selanjutnya akan dimanfaatkan oleh peretas untuk mengunduh malware-malware lain ke dalam sistem milik korban.
Sumber: https://www.bleepingcomputer.com/news/security/hackers-use-powerpoint-files-for-mouseover-malware-delivery/
Sumber gambar: Unsplash dan Cluster25