Berbagai hasil riset dan penelitian dari berbagai lembaga survei selalu menunjukkan hasil yang sama, email sebagai sarana utama penjahat siber dalam menebar ancaman mereka ke seluruh penjuru dunia.
Mengenali bahaya yang datang merupakan syarat untuk dapat bertahan dari segala ancaman, dalam kasus email, pengguna harus belajar mengenali lampiran berbahaya yang disematkan dalam email-email yang sering dikirim masuk ke kotak masuk. Lampiran email ini biasanya merupakan email phising untuk mendistribusikan malware.
Distribusi malware
Saat menyebarkan malware, pelaku umumnya melakukan operasi siber secara masif dalam bentuk faktur, undangan, informasi pembayaran, informasi pengiriman, eFax, pesan suara dan banyak lagi. Termasuk dalam email ini adalah lampiran Word dan Excel yang berbahaya, atau tautan ke sana, yang ketika dibuka dan makro diaktifkan, akan menginstal malware di komputer.
Sebelum Word atau Excel mengeksekusi makro dalam dokumen, Office mengharuskan Anda untuk mengklik tombol “Enable Editing” atau “Enable Content”, yang tidak boleh Anda lakukan.
Untuk mengelabui pengguna agar mengklik tombol ini, distributor malware membuat dokumen Word dan Excel yang berisi teks dan gambar yang menyatakan bahwa ada masalah dalam menampilkan dokumen tersebut. Ini kemudian meminta penerima untuk mengklik “Enable Editing” atau “Enable Content” untuk melihat konten dengan benar.
Template dokumen
Kombinasi teks dan gambar dalam lampiran berbahaya viasa disebut ‘template dokumen’. Di bawah ini adalah template dokumen berbeda yang telah digunakan dalam operasi spam untuk beberapa infeksi malware yang tersebar luas.
Template dokumen ini juga dapat digunakan dengan malware yang berbeda dari yang terkait di bawah ini. Selain itu, ini adalah contoh dari templat yang lebih umum, tetapi banyak templat lainnya juga dalam banyak kasus email phising.
Dridex
Dridex adalah Trojan perbankan canggih dan modular yang pertama kali ditemukan pada tahun 2014 dan terus diperbarui.
Saat terinfeksi, Dridex akan mengunduh modul berbeda yang dapat digunakan untuk mencuri kata sandi, memberikan akses jarak jauh ke komputer, atau melakukan aktivitas berbahaya lainnya.
Ketika Dridex menyusupi jaringan, biasanya hal itu mengarah pada penyebaran serangan ransomware BitPaymer atau Dridex.
Ransomware lain yang dikenal sebagai WastedLocker juga diyakini terkait dengan Dridex, meskipun ada vendor keamanan siber lain tidak setuju dengan pendapat tersebut
Tidak seperti operasi distribusi malware lainnya, kelompok Dridex cenderung menggunakan template dokumen yang lebih bergaya yang menampilkan konten kecil atau disamarkan dan meminta penerima untuk mengklik “Enable Content” untuk melihatnya dengan lebih baik.
Misalnya, template di bawah ini menyatakan bahwa dokumen dibuat dalam versi Microsoft Office Word yang lebih lama, dan menampilkan dokumen yang sulit dibaca.
Dridex juga menggunakan template dokumen yang lebih bergaya yang berpura-pura menjadi informasi pengiriman dari DHL dan UPS.
Dridex juga akan menampilkan faktur pembayaran yang sulit dibaca yang meminta penerima mengeklik “Enable Editing” untuk melihatnya dengan benar.
BazarLoader
BazarLoader adalah malware penargetan perusahaan yang dikembangkan oleh grup yang sama di belakang trojan TrickBot. Saat dipasang, pelaku atau pengembang malware menggunakan BazarLoader/BazarBackdoor untuk mengakses komputer Anda dari jarak jauh, yang kemudian digunakan untuk menyusupi seluruh jaringan Anda.
Ketika jaringan telah terinfeksi BazarLoader, biasanya pelaku menggunakan ransomware Ryuk untuk mengenkripsi semua perangkat di jaringan.
Email phising yang mendistribusikan BazarBackdoor melalui email phishing biasanya berisi tautan ke dokumen yang diduga Word atau Excel yang dihosting di Google Docs dan Google Sheets.
Dokumen Google Docs ini, meskipun, berpura-pura mengalami masalah dan meminta Anda untuk mengunduh dokumen tersebut. Unduhan ini sebenarnya dapat dieksekusi yang menginstal BazarLoader, seperti yang ditunjukkan di bawah ini.
Misalnya, templat di bawah ini menyatakan bahwa dokumen dibuat dalam versi Microsoft Office Word yang lebih lama, dan menampilkan dokumen yang sulit dibaca di bawahnya. Dridex juga menggunakan templat dokumen yang lebih bergaya yang berpura-pura menjadi informasi pengiriman untuk DHL dan UPS.
Terakhir, Dridex akan menampilkan faktur pembayaran kecil yang sulit dibaca yang meminta Anda mengeklik ‘Aktifkan Pengeditan’ untuk melihatnya dengan benar. Seperti yang Anda lihat dari contoh di atas, Dridex suka menggunakan gambar dokumen yang disematkan dengan logo perusahaan dan kop surat untuk mengelabui pengguna agar mengaktifkan makro.
Emotet
Emotet adalah malware yang paling banyak didistribusikan melalui email spam yang berisi dokumen Word atau Excel yang berbahaya. Setelah terinfeksi, Emotet akan mencuri email korban dan menggunakan PC yang terinfeksi untuk memuntahkan spam lebih lanjut ke penerima di seluruh dunia.
Pengguna yang terinfeksi Emotet pada akhirnya akan terinfeksi lebih lanjut dengan trojan seperti TrickBot dan QakBot. Kedua Trojan ini digunakan untuk mencuri kata sandi, cookie, file, dan menyebabkan penyusupan seluruh jaringan organisasi.
Pada akhirnya, jika terinfeksi TrickBot, jaringan kemungkinan akan terpengaruh oleh serangan ransomware Ryuk atau Conti. Bagi mereka yang terpengaruh oleh QakBot, mereka mungkin terkena ransomware ProLock.
Tidak seperti Dridex, Emotet tidak menggunakan gambar dokumen sebenarnya di template dokumen mereka. Mereka lebih memilih menggunakan berbagai template yang menampilkan kotak peringatan bahwa dokumen tidak dapat dilihat dengan benar dan pengguna perlu mengklik “Enable Content” untuk membacanya.
Misalnya, template Red Dawn yang ditunjukkan di bawah menyatakan bahwa “Dokumen ini dilindungi,” dan kemudian meminta penerima untuk Mengaktifkan Konten untuk membacanya.
Template berikutnya ini berpura-pura tidak dapat dibuka dengan benar karena dibuat pada perangkat iOS.
Yang lain menyatakan bahwa dokumen tersebut dibuat pada Windows 10 Mobile, yang merupakan pesan aneh karena Windows 10 Mobile telah dihentikan selama beberapa waktu.
Template berikutnya berpura-pura bahwa dokumen berada dalam ‘Tampilan Terproteksi’, dan pengguna perlu mengklik ‘Aktifkan Pengeditan’ untuk melihatnya dengan benar.
Template berikutnya sedikit lebih menarik karena memberi tahu pengguna untuk menerima perjanjian lisensi Microsoft sebelum mereka dapat melihat dokumen.
Template menarik lainnya berpura-pura menjadi Wizard Aktivasi Microsoft Office, yang meminta pengguna untuk ‘Aktifkan Pengeditan’ untuk menyelesaikan pengaktifan Office.
Terakhir, Emotet diketahui menggunakan template dokumen yang berpura-pura menjadi Microsoft Office Transformation Wizard.
Seperti yang Anda lihat, ketimbang menggunakan template dokumen bergaya, Emotet menggunakan peringatan umum untuk mencoba dan meyakinkan pengguna untuk mengaktifkan makro dalam lampiran.
QakBot
QakBot, atau QBot, adalah trojan perbankan yang menyebar melalui kampanye phishing yang mengirimkan dokumen Microsoft Word berbahaya, biasanya ke bisnis. QakBot adalah Trojan modular yang mencakup kemampuan untuk mencuri informasi perbankan, menginstal malware lain, atau menyediakan akses jarak jauh ke mesin yang terinfeksi.
Seperti trojan lain dalam artikel ini, QakBot juga bermitra dengan ransomware yang disebut ProLock yang biasanya merupakan muatan akhir dari sebuah serangan.
Dibandingkan dengan Emotet, kampanye QakBot cenderung menggunakan templat dokumen yang lebih bergaya. Template paling umum yang digunakan oleh kampanye spam QakBot berpura-pura berasal dari DocuSign, seperti yang ditunjukkan di bawah ini.
Template lain termasuk yang berpura-pura berasal dari Microsoft Defender atau pembaruan Word dan layar aktivasi, seperti yang di bawah ini.
Lampiran yang dapat dieksekusi
Terakhir, Anda tidak boleh membuka lampiran yang diakhiri dengan ekstensi .vbs, .js, .exe, .ps1, .jar, .bat, .com, atau .scr karena semuanya dapat digunakan untuk menjalankan perintah di komputer.
Karena sebagian besar layanan email, termasuk Office dan Gmail, memblokir lampiran “yang dapat dijalankan”, distributor malware akan mengirimkannya dalam arsip yang dilindungi sandi dan menyertakan sandi di email.
Teknik ini memungkinkan lampiran yang dapat dieksekusi melewati gerbang keamanan email dan menjangkau penerima yang dituju.
Sayangnya, Microsoft memutuskan untuk menyembunyikan ekstensi file secara default, yang memungkinkan pelaku ancaman mengelabui pengguna agar menjalankan file yang tidak aman. Oleh karena itu, sangat menganjurkan agar semua pengguna Windows mengaktifkan tampilan ekstensi file.
Jika Anda menerima email yang berisi salah satu dari jenis file yang dapat dieksekusi ini, hampir tidak diragukan lagi email itu berbahaya dan harus segera dihapus.