Peringatan Ancaman

Sebuah kampanye malware baru bernama VoidLink telah terdeteksi menyebar melalui dokumen Excel yang dikirimkan melalui email. Malware ini dirancang untuk menginfeksi sistem target dengan tujuan eksploitasi jangka panjang dan pencurian data sensitif. Analisis menunjukkan bahwa serangan ini memanfaatkan rekayasa sosial dan eksekusi kode berbahaya melalui fitur makro dalam dokumen Office. Serangan ini menargetkan organisasi di berbagai sektor, memanfaatkan ketidakwaspadaan pengguna terhadap lampiran email yang tampak sah.

VoidLink menggunakan teknik penyamaran yang canggih untuk menghindari deteksi oleh sistem keamanan. Malware ini mampu mengunduh payload tambahan setelah eksekusi awal dan berkomunikasi dengan server komando dan kendali (C2) untuk menerima instruksi lebih lanjut. Infeksi awal biasanya dimulai dari dokumen Excel yang terlihat seperti laporan keuangan atau dokumen bisnis resmi, sehingga memancing korban untuk membukanya tanpa curiga.

Bagaimana Modus Serangannya?

• Penyerang mengirimkan email dengan lampiran dokumen Excel yang mengandung makro berbahaya.
• - Dokumen tersebut mengandung pesan yang meminta pengguna untuk ‘Mengaktifkan Konten’ atau ‘Aktifkan Makro’ agar konten terlihat.
• - Jika pengguna menuruti instruksi tersebut, makro berjalan dan mengeksekusi skrip PowerShell tersembunyi.
• - Skrip PowerShell mengunduh dan menjalankan payload utama VoidLink dari server jarak jauh.
• - Payload kemudian menginstal backdoor yang memungkinkan akses jarak jauh ke sistem korban.
• - Malware mulai mengumpulkan informasi sistem dan mengirimkannya ke server C2.

Mengapa Sulit Dibedakan dari yang Asli?

• Dokumen Excel dibuat menyerupai dokumen bisnis resmi dengan logo dan format profesional.
• - Ekstensi file .xlsm disamarkan dengan ikon Excel standar, sehingga sulit dibedakan oleh pengguna awam.
• - Teks dalam dokumen menggunakan bahasa formal dan konteks yang relevan dengan bidang korban (seperti keuangan atau pengadaan).
• - Makro dinonaktifkan secara default oleh Excel, sehingga peringatan yang muncul dianggap normal oleh banyak pengguna.

Tujuan dan Teknik yang Digunakan

• Tujuan utama adalah akses persisten ke sistem korban untuk pencurian data dan pengawasan jangka panjang.
• - Teknik rekayasa sosial (Social Engineering) digunakan untuk memanipulasi pengguna agar mengaktifkan makro (MITRE ATT&CK: T1566).
• - Eksekusi melalui makro Office (MITRE ATT&CK: T1059.005).
• - Penggunaan PowerShell untuk mengunduh payload (MITRE ATT&CK: T1059.001).
• - Pembentukan koneksi keluar ke server C2 (MITRE ATT&CK: T1071.004).
• - Instalasi backdoor untuk akses jarak jauh (MITRE ATT&CK: T1505.003).

Rekomendasi untuk Pengguna dan Organisasi

• Nonaktifkan eksekusi makro dalam dokumen Office dari sumber yang tidak dipercaya.
• - Terapkan kebijakan email filter untuk memblokir lampiran .xlsm dari pengirim tidak dikenal.
• - Lakukan pelatihan keamanan siber secara berkala kepada karyawan tentang risiko lampiran email mencurigakan.
• - Gunakan solusi keamanan endpoint yang mampu mendeteksi eksekusi PowerShell yang tidak biasa.
• - Aktifkan logging dan pemantauan aktivitas mencurigakan di jaringan dan endpoint.
• - Perbarui sistem dan aplikasi secara rutin untuk menutup celah keamanan.

Kampanye VoidLink menunjukkan kembali betapa efektifnya kombinasi rekayasa sosial dan teknik eksekusi kode berbahaya dalam menembus pertahanan keamanan organisasi. Kesadaran pengguna dan pengaturan keamanan yang ketat sangat penting untuk mencegah infeksi.

Sumber referensi:

https://www.trendmicro.com/en_us/research/26/e/voidlink-malware-campaign-distributes-payloads-via-malicious-excel-files.html