Pekan lalu, munculkasus serangan malware baru melalui platform Yandex Forms yang dilakukan oleh pelaku dengan code name TA578.
Pelaku mendistribusikan malware seperti IcedID, BazarLoader, dan BumbleBee melalui Yandex Forms kepada beberapa situs yang ditargetkan.
Dilansir dari Bleepingcomputer, pelaku memanfaatkan kontak di halaman situs web untuk mengirim ancaman hukum guna meyakinkan penerima untuk mengunduh laporan melalui platform Yandex Forms.
Pelaku pura-pura sebagai perusahaan Zoho dan menuduh pemilik situs telah melanggar hak cipta tanpa izin.
Kemudian pelaku mengirimkan link yang mengarahkan korban ke Yandex Forms untuk mengunduh berkas bukti yang sebenarnya berisi malware.
Berikut merupakan email ancaman pelaku yang digunakan kepada beberapa pemilik situs.
Baca Juga: Yandex Browser Disebut sebagai Browser Paling Tidak Aman di 2022
Penggunaan Yandex Forms sebagai media untuk mendistribusikan malware merupakan hal yang baru.
Sebelumnya, pelaku mengirimkan link menggunakan Google Drive dtau Google Sites untuk menebar malware mereka.
Yandex Forms sendiri merupakan layanan gratis yang memungkinkan pengguna untuk membuat formulir online yang dapat dikustomisasi.
Yandex Forms pada dasarnya mirip dengan Google Forms namun Yandex Forms dapat digunakan untuk membuat landing page phising.
Baca Juga: Review Fitur Browser Rusia Yandex di iOS 15, Lebih Lengkap dari Safari?
Dalam kasus serangan malware, ketika seseorang mengklik tautan forms.yandex.com dalah keluhan hak cipta, mereka akan dibawa ke halaman web yang menyatakan "Berkas bukti gambar yang dicuri siap diunduh".
Setelah diunduh, ternyata file yang ditemui bukanlah file dengan format gambar namun ISO.
File ISO adalah menjadi lampiran populer dalam serangan phishing karenadapat melewati Mark of the Web yang menyebabkab Windows tak dapat memperingatkan pengguna tentang file berbahaya didalamnya.
Setelah mengklik ISO, korban akan menemukan folder 'document dan dil DLL bernama acak seperti di bawah ini.
Namun, folder dokumen di atas sebenarnya adalah shortcut Windows yang ketika diklik 2 kali akan menyebabkan file DLL berbahaya dieksekusi menggunakan perintah rundll32.exe.
Kita dapat melihatnya melalui system properties folder.
Shortcut document tersebut merupakan loader untuk ICEDID, trojan perbankan modular yang dapat mencuri kredensial Windows dan menyebarkan muatan tambahan untuk memunkinkan akses awal ke jaringan seperti Cobalt Strike.
Ada baiknya kita berhati-hati dalam membuka file/folder mencurigakan yang diunduh dari sumber tak jelas.
(*)