Hacker Manipulasi Excell 4.0 Distribusikan Malware

Di Office, makro digunakan untuk mengotomatisasi tugas dengan memetakan urutan penekanan tombol untuk melakukan tugas tertentu. Makro yang sah menghemat waktu dan tenaga, namun makro juga sering disalahgunakan untuk menyusupkan malware.

Biasanya makro pada office Word umum digunakan untuk menipu seseorang untuk mengekliknya atau mengaktifkannya. Tapi, belum lama ini penjahat dunia maya mulai mengadopsi teknik ini untuk dokumen Excell 4.0 sebagai vektor tahap awal untuk mendistribusikan malware seperti Zloader dan Quakbot.

Temuan ini berasal dari analisis 160.000 dokumen Excel 4.0 antara November 2020 dan Maret 2021, di mana lebih dari 90% diklasifikasikan sebagai berbahaya atau mencurigakan.

Makro Excel 4.0 (XLM), pendahulu Visual Basic for Applications (VBA), adalah fitur warisan yang digabungkan dalam Microsoft Excel untuk alasan kompatibilitas ke belakang. Microsoft memperingatkan dalam dokumen dukungannya bahwa mengaktifkan semua makro dapat menjalankan “kode yang berpotensi berbahaya”.

Quakbot alias QBOT atau yang dideteksi ESET sebagai Win32/Kryptik.GUBA yang terus berkembang, sejak penemuannya pada tahun 2007, tetap menjadi trojan perbankan terkenal yang mampu mencuri kredensial perbankan dan informasi keuangan lainnya.

Sementara juga mendapatkan fitur propagasi seperti worm. Quakbot biasanya menyebar melalui dokumen Office yang dipersenjatai, varian QakBot telah mampu mengirimkan muatan malware lainnya, mencatat penekanan tombol pengguna, dan bahkan membuat backdoor ke mesin yang disusupi.

Dalam dokumen yang dianalisis, malware tidak hanya menipu pengguna agar mengaktifkan makro dengan umpan yang meyakinkan, tetapi juga datang dengan file tertanam yang berisi makro XLM yang mengunduh dan mengeksekusi muatan tahap kedua berbahaya yang diambil dari server jarak jauh.

Meskipun kompatibilitas ke belakang sangat penting, beberapa hal memang harus dipertahankan atau dilepas bila dilihat dari perspektif keamanan, mungkin akan lebih baik jika mereka tidak digunakan lagi pada suatu saat.

Biaya pemeliharaan makro berusia 30 tahun harus dipertimbangkan terhadap risiko keamanan dengan menggunakan teknologi yang sudah ketinggalan zaman.

Melindungi diri dari file berbahaya

Pelaku ancaman terus menyembunyikan kode berbahaya dalam file yang tampaknya tidak berbahaya sambil mengeksploitasi jenis file baru secara berkala.

File-file ini biasanya disebarkan melalui spam menggunakan teknik rekayasa sosial seperti mengutip peristiwa terkini seperti wabah virus corona (COVID-19) untuk menarik perhatian penerima dan meminta mereka mengunduh lampiran. Beberapa bahkan berpura-pura sebagai organisasi profil tinggi yang sah untuk mendapatkan kepercayaan dari penerima.

Untuk menghindari penyusupan, pengguna tidak boleh mengunduh lampiran atau mengklik link/tautan dari email dari sumber yang tidak tepercaya. Untuk email yang tampaknya dikirim oleh organisasi resmi, penggunaan harus memeriksa dengan situs web resmi grup tersebut untuk rilis terkait email atau menghubungi mereka melalui detail kontak yang tercantum di situs untuk memverifikasi jika mereka mengirimkannya.

Pengguna juga harus memeriksa kesalahan tata bahasa dan salah eja di badan email, yang seringkali merupakan petunjuk bahwa email tersebut adalah spam. Memanfaatkan solusi keamanan juga dapat mendeteksi dan memblokir malware agar tidak masuk melalui email.