Berkat laporan di TheHackerNews, kami tahu bahwa dokumen Microsoft Word digunakan untuk mengeksploitasi kelemahan eksekusi kode jarak jauh yang diketahui. Cacat digunakan sebagai umpan phishing untuk menyelundupkan malware LokiBot ke komputer yang disusupi.
Apa yang disebut “LokiBots”, juga dikenal sebagai Loki PWS, telah mencuri informasi pengguna sejak 2015 dan tetap menjadi trojan terkenal. Cara Lin, seorang peneliti keamanan dengan Fortinet FortiGuard, mengatakan, “Ini terutama menargetkan sistem Windows dan bertujuan untuk mengumpulkan informasi sensitif dari mesin yang terinfeksi.”
Fortinet pertama kali mengetahui kampanye serangan tersebut pada Mei 2023; perusahaan merilis pernyataan yang mengatakan serangan tersebut memanfaatkan CVE-2021-40444 dan CVE-2022-30190 (alias Follina) untuk mencapai eksekusi kode.
Bagaimana ini terjadi?
Menurut orang-orang di Fortinet, file Word yang mengaktifkan CVE-2021-40444 menggunakan tautan GoFile eksternal yang disematkan di dalam file XML yang mengarah ke pengunduhan file HTML yang mengeksploitasi Follina untuk mengunduh payload tahap selanjutnya, sebuah injektor modul yang ditulis dalam Visual Basic yang mendekripsi dan meluncurkan LokiBot.
Di atas semua ini, dan tidak menambah kekhawatiran Anda, injektor juga menggunakan teknik penghindaran untuk memeriksa keberadaan debugger sistem Anda dan menentukan apakah itu berjalan di lingkungan virtual. Jadi malware ini sangat cerdas dan invasif.
Ditemukan menjelang akhir Mei, rantai alternatif dimulai dengan dokumen Word yang menggabungkan skrip VBA yang kemudian mengeksekusi makro segera saat pengguna membuka dokumen menggunakan fungsi “Auto_Open” dan “Document_Open”.
Skrip makro ini selanjutnya mengirimkan muatan dari server jarak jauh, yang juga berfungsi sebagai cara untuk memuat LokiBot dan terhubung ke server perintah-dan-kontrol (C2).
Beberapa varian LokiBotLokiBot pertama atau terakhir. Seperti dewa kenakalan, yang dapat memunculkan banyak versi dari dirinya sendiri, tampaknya ada banyak varian yang memengaruhi setiap OS yang dapat dibayangkan. Yang sekarang ini tidak bingung dengan LokiBot, trojan perbankan Android terkenal yang dapat mencatat penekanan tombol Anda, menangkap tangkapan layar, dan mengumpulkan informasi masuk Anda. Penipu kotor itu akan menyedot keuangan Anda, terutama cryptocurrency Anda.
Cara Lin dari Fortinet menyatakan, “LokiBot adalah malware lama dan tersebar luas yang aktif selama bertahun-tahun,” kata Lin. “Fungsinya telah matang dari waktu ke waktu, memudahkan penjahat dunia maya menggunakannya untuk mencuri data sensitif dari korban. Penyerang di belakang LokiBot terus memperbarui metode akses awal mereka, memungkinkan kampanye malware mereka menemukan cara yang lebih efisien untuk menyebarkan dan menginfeksi sistem.”
Jadi ingatlah untuk tetap rajin untuk tidak membuka email yang mencurigakan, dan jangan membuka dokumen Word dari alamat email yang tidak Anda kenal. Juga, Anda harus melihat halaman antivirus terbaik kami untuk melihat apakah Anda dapat meningkatkan tingkat keamanan Anda.