SUBANG, TINTAHIJAU.com – Sebuah kampanye phishing baru ditemukan yang memanfaatkan fitur pemulihan file Word milik Microsoft dengan mengirimkan dokumen Word yang sengaja dikorupsi sebagai lampiran email.
Teknik ini memungkinkan dokumen tersebut untuk melewati perangkat lunak keamanan karena kondisi file yang rusak, namun tetap bisa dipulihkan oleh aplikasi Microsoft Word.
Pelaku ancaman terus mencari cara baru untuk mengelabui perangkat lunak keamanan email dan menempatkan email phishing mereka di kotak masuk korban. Kampanye phishing yang baru ditemukan ini menggunakan dokumen Word yang sengaja rusak dalam email yang berpura-pura berasal dari departemen penggajian dan sumber daya manusia.
Lampiran dalam kampanye ini menggunakan berbagai tema yang berhubungan dengan tunjangan dan bonus karyawan, seperti:
- Annual_Benefits_&Bonus_for[name].docx
- Q4_Benefits_&Bonus_for[name].docx.bin
- Due_&Payment_for[name].docx.bin
Dokumen-dokumen ini mencakup string yang dienkode dalam format base64, yang jika didekode akan menghasilkan “##TEXTNUMRANDOM45##”. Ketika pengguna membuka lampiran tersebut, Word akan mendeteksi bahwa file tersebut rusak dan memberi peringatan bahwa ada “konten yang tidak dapat dibaca”, lalu menawarkan pemulihan file.
Setelah diperbaiki, dokumen tersebut akan menampilkan pesan yang mengarahkan korban untuk memindai kode QR untuk mengambil dokumen lebih lanjut. Kode QR ini, jika dipindai, akan membawa pengguna ke situs phishing yang menyamar sebagai halaman login Microsoft untuk mencuri kredensial pengguna.
Meskipun tujuan akhir dari serangan phishing ini tidak baru, penggunaan dokumen Word yang sengaja dikorupsi adalah taktik baru yang digunakan untuk menghindari deteksi oleh perangkat lunak keamanan. Serangan ini berhasil karena dokumen tersebut sering kali tidak terdeteksi oleh solusi antivirus, yang menganggapnya sebagai file bersih atau tidak dapat dianalisis dengan benar.
Untuk melindungi diri dari serangan phishing ini, disarankan untuk menghapus email yang berasal dari pengirim yang tidak dikenal, terutama jika email tersebut mengandung lampiran. Jika ragu, konfirmasikan dengan administrator jaringan sebelum membuka lampiran tersebut.
