Peneliti keamanan siber telah menarik perhatian pada kampanye phishing baru yang memanfaatkan dokumen Microsoft Office dan arsip ZIP yang rusak sebagai cara untuk menerobos pertahanan email.
“Serangan yang sedang berlangsung menghindari perangkat lunak #antivirus, mencegah pengunggahan ke kotak pasir, dan melewati filter spam Outlook, sehingga email berbahaya dapat masuk ke kotak masuk Anda,” kata ANY.RUN dalam serangkaian postingan di X.
Aktivitas jahat tersebut memerlukan pengiriman email yang berisi arsip ZIP atau lampiran Office yang sengaja dirusak sedemikian rupa sehingga tidak dapat dipindai oleh alat keamanan. Pesan-pesan ini bertujuan untuk mengelabui pengguna agar membuka lampiran dengan janji palsu mengenai tunjangan dan bonus karyawan.
Dengan kata lain, status file yang rusak berarti file tersebut tidak ditandai sebagai mencurigakan atau berbahaya oleh filter email dan perangkat lunak antivirus.
Namun, serangan tersebut masih berhasil karena memanfaatkan mekanisme pemulihan bawaan program seperti Word, Outlook, dan WinRAR untuk meluncurkan kembali file yang rusak tersebut dalam mode pemulihan.
ANY.RUN telah mengungkapkan bahwa teknik serangan tersebut telah digunakan oleh pelaku ancaman setidaknya sejak Agustus 2024, dan menggambarkannya sebagai potensi zero-day yang dieksploitasi untuk menghindari deteksi.
Tujuan akhir dari serangan ini adalah untuk menipu pengguna agar membuka dokumen jebakan, yang menyematkan kode QR yang, ketika dipindai, mengarahkan korban ke situs web palsu untuk menyebarkan malware atau halaman login palsu untuk pencurian kredensial.
Temuan ini sekali lagi menggambarkan bagaimana pelaku kejahatan terus-menerus mencari teknik yang sebelumnya tidak terlihat untuk mengakali perangkat lunak keamanan email dan memastikan email phishing mereka masuk ke kotak masuk target.
“Meskipun file-file ini beroperasi dengan sukses di dalam OS, mereka tetap tidak terdeteksi oleh sebagian besar solusi keamanan karena kegagalan menerapkan prosedur yang tepat untuk jenis file mereka,” kata ANY.RUN.
“File tersebut tetap tidak terdeteksi oleh alat keamanan, namun aplikasi pengguna menanganinya dengan lancar karena mekanisme pemulihan bawaan yang dieksploitasi oleh penyerang.”
