Kampanye phishing yang baru diamati memanfaatkan kerentanan keamanan Follina yang baru-baru ini diungkapkan untuk mendistribusikan backdoor yang sebelumnya tidak didokumentasikan pada sistem Windows.
“Rozena adalah malware backdoor yang mampu menyuntikkan koneksi shell jarak jauh kembali ke mesin penyerang,” kata peneliti Fortinet FortiGuard Labs Cara Lin dalam sebuah laporan minggu ini.
Dilacak sebagai CVE-2022-30190, kerentanan eksekusi kode jarak jauh Microsoft Windows Support Diagnostic Tool (MSDT) yang sekarang telah ditambal telah mengalami eksploitasi besar-besaran dalam beberapa minggu terakhir sejak terungkap pada akhir Mei 2022.
Titik awal untuk rantai serangan terbaru yang diamati oleh Fortinet adalah dokumen Office yang dipersenjatai yang, ketika dibuka, terhubung ke URL CDN Discord untuk mengambil file HTML (“index.htm”) yang, pada gilirannya, memanggil utilitas diagnostik menggunakan Perintah PowerShell untuk mengunduh muatan tahap berikutnya dari ruang lampiran CDN yang sama.
Ini termasuk implan Rozena (“Word.exe”) dan file batch (“cd.bat”) yang dirancang untuk menghentikan proses MSDT, membangun kegigihan pintu belakang melalui modifikasi Windows Registry, dan mengunduh dokumen Word yang tidak berbahaya sebagai umpan .
Fungsi inti malware adalah untuk menyuntikkan shellcode yang meluncurkan shell terbalik ke host penyerang (“microsofto.duckdns[.]org”), yang pada akhirnya memungkinkan penyerang untuk mengendalikan sistem yang diperlukan untuk memantau dan menangkap informasi, sambil juga mempertahankan pintu belakang ke sistem yang disusupi.
Eksploitasi kelemahan Follina untuk mendistribusikan malware melalui dokumen Word berbahaya datang sebagai serangan rekayasa sosial yang mengandalkan Microsoft Excel, pintasan Windows (LNK), dan file gambar ISO sebagai dropper untuk menyebarkan malware seperti Emotet, QBot, IcedID, dan Bumblebee ke perangkat korban.
Dropper dikatakan didistribusikan melalui email yang berisi dropper langsung atau ZIP yang dilindungi kata sandi sebagai lampiran, file HTML yang mengekstrak dropper saat dibuka, atau tautan untuk mengunduh dropper di badan email.
Sementara serangan yang terlihat pada awal April secara mencolok menampilkan file Excel dengan makro XLM, keputusan Microsoft untuk memblokir makro secara default sekitar waktu yang sama dikatakan telah memaksa pelaku ancaman untuk beralih ke metode alternatif seperti penyelundupan HTML serta file .LNK dan .ISO .
Bulan lalu, Cyble mengungkapkan rincian alat malware bernama Quantum yang dijual di forum bawah tanah untuk melengkapi pelaku kejahatan dunia maya dengan kemampuan membuat file .LNK dan .ISO berbahaya.
Perlu dicatat bahwa makro telah menjadi vektor serangan yang telah dicoba dan diuji untuk musuh yang ingin menjatuhkan ransomware dan malware lainnya pada sistem Windows, baik melalui email phishing atau cara lain.
Microsoft telah menghentikan sementara rencananya untuk menonaktifkan makro Office dalam file yang diunduh dari internet, dengan perusahaan mengatakan kepada The Hacker News bahwa perlu waktu untuk membuat “perubahan tambahan untuk meningkatkan kegunaan.”