Awas, Malware Snake Keylogger Menyebar Melalui PDF Berbahaya

Microsoft Word juga digunakan dalam kampanye email, yang memanfaatkan bug Office RCE yang berusia 22 tahun.

Sementara sebagian besar kampanye email jahat menggunakan dokumen Word untuk menyamarkan dan mengirimkan malware, para peneliti telah menemukan bahwa kampanye yang baru ditemukan menggabungkan file PDF berbahaya dan bug Office berusia 22 tahun untuk menyebarkan malware Snake Keylogger.

Menurut sebuah posting blog yang diterbitkan Jumat, kampanye tersebut, ditemukan oleh para peneliti HP Wolf Security, mencoba menipu korban dengan file PDF terlampir yang dimaksudkan untuk mendapatkan informasi tentang pembayaran pengiriman uang. Sebaliknya, ia memuat malware pencuri info sambil menggunakan berbagai teknik penghindaran licik untuk menghindari deteksi.

"Meskipun format Office tetap populer, kampanye ini menunjukkan bagaimana penyerang juga mengeksploitasi dokumen PDF yang dipersenjatai untuk menginfeksi sistem," kata peneliti HP Wolf Security Patrick Schlapfer dalam laporan berjudul "PDF Malware Is Not Yet Dead."

Memang, selama dekade terakhir, penyerang yang menggunakan kampanye email berbahaya lebih suka mengemas malware dalam format file Microsoft Office, terutama Word dan Excel, kata Schlapfer. Menurut para peneliti, lebih dari setengah (45%) malware yang dihentikan oleh HP Wolf Security pada kuartal pertama tahun 2022 menggunakan format Office.

"Alasannya jelas: pengguna sudah familiar dengan format file ini, perangkat lunak yang dibutuhkan untuk mengaksesnya tersedia di mana-mana, dan sangat cocok untuk umpan social engineering," katanya.

Sementara kampanye saat ini tidak menggunakan PDF dalam file iming-iming, melainkan menggunakan Microsoft Word untuk memberikan muatan utama-Snake Keylogger. Menurut Fortinet, Snake Keylogger adalah malware yang dikembangkan menggunakan .NET yang pertama kali muncul pada akhir 2020 dan dirancang untuk mengambil informasi sensitif dari perangkat korban, seperti kredensial yang disimpan, snapshot layar korban, dan data clipboard.

Kampanye 'Tidak Biasa'

Pada 23 Maret, tim HPW Wolf Security menemukan kampanye ancaman berbasis PDF baru dengan "rantai infeksi unik" yang tidak hanya melibatkan PDF tetapi juga "banyak trik untuk menghindari deteksi, seperti memasukkan file berbahaya, memuat eksploitasi yang di-host dari jarak jauh, dan enkripsi shellcode," tulis Schlapfer.

Penyerang mengirimkan email kepada korban dengan lampiran dokumen PDF berjudul "INVOICE REMMITANCE.pdf" (kesengajaan salah eja). Saat file dibuka, Adobe Reader akan meminta pengguna untuk membuka file .docx dengan nama yang tidak biasa, menurut para peneliti.

"Para penyerang dengan cerdik menamai dokumen Word "telah diverifikasi. Namun, menurut posting tersebut, PDF, Jpeg, xlsx, dan .docx" untuk membuatnya tampak seolah-olah nama file adalah bagian dari prompt Adobe Reader."

Para peneliti menemukan bahwa file .docx disimpan sebagai objek EmbeddedFile dalam PDF, yang ketika diklik, meluncurkan Microsoft Word. Jika Anda menonaktifkan Protected View, Word mengunduh file Rich Text Format (.rtf) dari server web dan menjalankannya dalam konteks dokumen yang terbuka.

Peneliti membuka ritsleting konten file the.rtf, yang merupakan file Office Open XML, dan menemukan URL yang tersembunyi dalam file "document.xml.rels" yang bukan merupakan domain sah yang ada di dokumen Office.

Bug Berusia 17 Tahun Dieksploitasi

Menghubungkan ke URL ini menghasilkan pengalihan dan unduhan file RTF bernama "f document shp.doc." Dokumen ini memiliki dua objek OLE "tidak terbentuk dengan baik" yang mengungkapkan shellcode menggunakan CVE-2017-11882, kerentanan remote code execution (RCE) "berusia lebih dari empat tahun" di Equation Editor, menurut para peneliti.

Equation Editor adalah perangkat lunak Microsoft Office default yang digunakan untuk menyisipkan dan mengedit persamaan kompleks sebagai item Object Linking and Embedding (OLE) dalam dokumen Microsoft Word.

Namun, ternyata kerentanan yang digunakan oleh penyerang dalam kampanye tersebut adalah yang telah ditambal Microsoft lebih dari empat tahun yang lalu—tepatnya pada tahun 2017, tetapi telah ada selama 17 tahun sebelumnya, sehingga kini berusia 22 tahun.

Payload Snake Keylogger

Para peneliti menemukan kode shell dalam struktur "OLENativeStream" di akhir salah satu objek OLE yang mereka selidiki. Para peneliti menemukan bahwa kode tersebut akhirnya mendekripsi ciphertext yang ternyata lebih banyak shellcode, yang kemudian dieksekusi untuk mengarah ke executable bernama fresh.exe, yang memuat Snake Keylogger.