Awas! Serangan Malware Baru Melalui Excel dan Word

Microsoft memperingatkan pengguna Microsoft Office tentang serangan Trojan Adnel dan Tarbir melalui Excel dan Word. Dalam sebuah laporan yang diterbitkan di blog-nya, Microsoft mengatakan bahwa penyebaran dua Trojan downloader (malware) ini meningkat tiga kali lipat. Trojan ini masuk di email menyamar sebagai berkas order (pembayaran) dan invoice (faktur) dan menggunakan rekayasa sosial untuk meyakinkan penerima membukanya.

Blog Microsoft TechNet mengatakan bahwa dua Trojan, TrojanDownloader: W97M/Adnel dan TrojanDownloader: O97M/Tarbir sedang menyebar dengan pesat melalui email spam dan phishing. Target serangan adalah pengguna PC rumahan dan pelanggan perusahaan dan sebagian besar korban berbasis di Amerika Serikat dan Inggris.

Malware disebarkan melalui email spam dengan subjek atau judul yang cocok untuk Microsoft seperti berikut:

• ACH Transaction Report
• DOC-file for report is ready
• Invoice as requested
• Invoice – P97291
• Order – Y24383
• Payment Details
• Remittance Advice from Engineering Solutions Ltd
• Your Automated Clearing House Transaction Has Been Put On

Dan berkas yang dilampirkanan yang berisi trojan Adnel dan Tarbir biasanya memiliki nama sebagai berikut:

• 20140918_122519.doc
• 813536MY.xls
• ACH Transfer 0084.doc
• Automated Clearing House transfer 4995.doc
• BAC474047MZ.xls
• BILLING DETAILS 4905.doc
• CAR014 151239.doc
• ID_2542Z.xls
• Fuel bill.doc
• ORDER DETAILS 9650.doc
• Payment Advice 593016.doc
• SHIPPING DETAILS 1181.doc
• SHIP INVOICE 1677.doc
• SHIPPING NO.doc

Nama-nama ini dirancang agar terlihat seperti file pembayaran yang sah. Setelah membuka file Microsoft Office (dalam hal ini dokumen Word), pengguna akan diminta untuk mengaktifkan macros. Secara default, macros di Microsoft Office ditetapkan sebagai “Disable all macros with notification” (Nonaktifkan semua macros dengan notifikasi). Kode malware tidak bisa dijalankan kecuali setelah macros diaktifkan secara manual.

Seperti yang telah disebutkan, Microsoft memblokir eksekusi Macro di Office secara default, tetapi si author trojan/handler tidak hilang akal dan menambahkan pemberitahuan ke dokumen yang menyatakan bahwa isi dokumen hanya dapat dilihat dengan macros diaktifkan.

Apabila korban yakin (tergoda) dan membuka dokumen Word atau Excel yang mengandung malware, korban menerima peringatan keamanan default yang menyatakan macros sudah dinonaktifkan tetapi beberapa pengguna mengabaikan pesan ini dan mengaktifkan macros sehingga memungkinkan trojan untuk menginfeksi PC mereka.

“Kombinasi dari instruksi dokumen, spam email dengan konten moneter yang wajar, dan nama file yang tampaknya relevan, cukup untuk meyakinkan pengguna yang tidak curiga mengklik tombol Enable Content”, menurut Alden Pornasdoro dari Microsoft Malware Protection Center (MMPC).

Sekali Trojan downloader terunduh maka mulailah penginstalan malware lebih mematikan lainnya (termasuk TrojanDownloader:Win32/Drixed.B) pada sistem yang telah terinfeksi.

Untuk menghindari infeksi lebih lanjut dari malware jenis ini, Microsoft menyarankan hal-hal berikut:

1. Sebuah file yang berisi pernyataan penerimaan atau penagihan, sebagian besar tidak perlu berisi macros di dalamnya.
2. Berhati-hatilah terhadap macros dan macros yang tidak ditandatangani (unsigned ) dari sumber yang tidak dipercaya. Malware macro biasanya tidak ditandatangani.
3. Beberapa malware macro sengaja membiarkan dokumen kosong, berharap pengguna berpikir bahwa mereka harus mengaktifkan makro sehingga mereka bisa melihat sesuatu. Waspadalah terhadap trik tersebut.

Terakhir, perbaruilah selalu anti-virus andalan Anda agar dapat mengenali trojan ini. Berikut ini hasil deteksi beberapa anti-virus terhadap salah satu file, BAC457903CD.xls, yang mengandung trojan (saya kutip dari www.virustotal.com).

Sumber:
http://blogs.technet.com/b/mmpc/archive/2015/01/02/before-you-enable-those-macros.aspx
https://www.virustotal.com/en/file/1e0f0179fd559c96b5aa9b135a32a6527bdf81694f8b27599e5fb6d3c660ad94/analysis/