CheckPoint Temukan Malware Bandook Pada Microsoft Word, Indonesia Termasuk Sasarannya!

Malware-Bandook

Malware Bandook - Gelombang malware Bandook yang berjeniskan trojan backdoor saat ini sudah bangkit kembali. Sebelumnya, pada 2015-2018 serangan malware yang ditargetkan untuk spyware diduga era ada hubungannya dengan pemerintahan Kazakhstan dan Lebanon. Operasi spyware saat itu menggunakan Operational Manul dan Dark Caracal, identifikasi ini berhasil di ungkapkan oleh Electronic Frontier Foundation dan Lookout.

Dalam serangan malware terbaru ini, CheckPoint mengidentifikasi bahwa berbagai macam sektor dan negara menjadi sasaran utama. Malware Bandook kemungkinan besar akan menjadi serangan terbesar dan terbaru saat ini sebab malware ini tidak dikembangkan sendiri melainkan kode scriptnya dijual ke forum peretas bahkan ke pemerintahan sebagai bentuk operasi cyber offensive.

Menurut CheckPoint, lusinan varian malware ini sudah ditandatangani secara digital untuk menghindari deteksi anti virus. Sejumlah perusahaan industri keuangan, perbankan, industri makanan, organisasi kesehatan, pendidikan, TI hingga lembaga hukum jadi sasaran utamanya. Serangan tersebut sudah bergerak ke negara Chili, Cyprus, Jerman, Amerika Serikat, Italia, Singapura, Swiss, Turki, UEA, Malaysia dan termasuk Indonesia.

Tahapan Serangan Malware Bandook

alur-kerja-malware-bandook
Photo: Alur Malware Bandook (CheckPoint)

Rantai infeksi malware terus dikembangkan dengan berbagai cara termasuk membuat kode jahat di Microsoft Word yang di kompress dengan ekstensi zip. Ketika dokumen yang sudah disusupi malware maka makro berbahaya itu akan mengunduh dengan menggunakan fitur template eksternal saat proses ini makro akan dieksekusi. Script PowerShell yang diunduh sudah dienkripsi ke dalam dokumen word asli dan sulit di deteksi. Tahap akhirnya adalah menginfeksi komputer korban dengan backdoor Bandook.

CheckPoint juga menuturkan bahwa tema dokumen yang sering digunakan para peretas adalah layanan berbasis cloud seperti Azure, OneDrive dan Office365. Template eksternal yang diunduh juga menggunakan pemendek URL seperti TinyURL dan Bitly, yang dialihkan ke domain lain.

Template eksternal tersebut berisikan kode VBA yang berjalan otomatis. Kode script tersebut mendekripsikan data yang disembunyikan dari dokumen asli dan dibagi menjadi dua file yakni fmx.ps1 dan sdmc.jpg (kode PowerShell yang sudah di enkripsi Base64).

Nama sample dokumen word yang berhasil ditemukan oleh peneliti keamanan CheckPoint diantaranya yaitu:
  • Jakarta Shipment.docx
  • Malaysian Shipment.docx
  • Malta containers.docx
  • Certified documents.docx
  • Notarized documents.docx
  • Bank statement.docx
  • Passport and documents.docx
  • Case draft.docx
  • Documents scan.docx
Layanan penyimpanan berbasis cloud yang juga sering digunakan oleh penyerang diantaranya adalah Dropbox, Bitbucket dan S3 Bucket. Dokumen word dan sejumlah kode script malware disimpan diantara ketiga penyimpanan cloud dan diekstrak di komputer lokal korban.

file-muatan-berbahaya
Photo: Malware Bandook 3 file berbeda (CheckPoint)

Ada tiga sample berformat png yang di dalamnya terdapat kode PowerShell bermuatan malware yang dikodekan dalam nilai RGB Pixels menggunakan program invoke-PSImage. Terakhir ada dokumen word di folder yang sama, ketika kode PowerShell tersebut tereksekusi dokumen word yang berisi malware akan terbuka. Namun, itu semua sulit diketahui oleh korban apakah ia terdapat malware atau tidak. Jadi, semuanya akan berjalan tanpa terdeteksi.

Sepak Terjang Malware Bandook

Dark Caracal yang diduga kelompok penjahat dunia maya menggunakan malware Bandook untuk memata-matai negara lain, mencuri informasi sensitif dari perusahaan atau lembaga pemerintahan. Laporan yang berhasil di identifikasi terkait korban serangan ini, yaitu 21 negara termasuk yang sudah disebutkan diatas.

Bandook sendiri dibuat dengan Delphi dan C++ dan pertama kali ditemukan pada 2007 yang dijuluki sebagai PrinceAli. Seiring waktu, pembuat malware ini membocorkan kode script ke forum underground yang awalnya dapat di unduh secara gratis tanpa bayaran apapun.

Loader Bandook yang dieksekusi dibuat menggunakan Delphi, proses tersebut dinamakan process-hollowing untuk membuat sebuah instance dari proses Internet Explorer yang kemudian memasukkan muatan malware ke dalamnya. Ketika tereksekusi, muatan malware akan terhubung dengan server dan akan melakukan tugasnya, seperti perintah, kontrol dan mengirim informasi dasar tentang komputer yang terinfeksi.

Varian yang awal dari malware Bandook terdiri dari 100 perintah, sedangkan untuk varian yang terbaru saat ini sudah dirampingkan menjadi 11 perintah khusus, yang dimana perintah tersebut berupa mengambil tangkapan layar, unduh dan unggah file, menjalankan kode Python dan Java, serta masih banyak lagi.

Untuk varian terbaru ini sudah lebih modern dibanding yang lama, karena sudah menggunakan fitur enkripsi AES dan sertifikat Certum yang sudah divalidasi digital untuk menandatangani malware Bandook.

CheckPoint sebelumnya juga pernah menemukan varian malware Bandook pada 2019/2020, akan tetapi tidak ditandangani secara digital dan fiturnya lebih banyak lagi dengan dukungan 120 perintah berbahaya.

sertifikat-certum-malware
Photo: Sertifikat Certum milik Bandook (CheckPoint)

Peneliti keamanan CheckPoint meyakini bahwa aktor pelaku dari penyebaran malware Bandook atas Operasi Manul dan Dark Caracal masih beroperasi hingga saat ini dan sudah bangkit setelah 13 tahun tidak muncul di dunia maya.

Posting Komentar

0 Komentar