Sebuah pembuat dokumen berbahaya (maldoc) bernama EtterSilent mendapatkan lebih banyak perhatian di forum bawah tanah, catat peneliti keamanan. Seiring popularitasnya meningkat, pengembang terus meningkatkannya untuk menghindari deteksi dari solusi keamanan.
Iklan yang mempromosikan pembuat dokumen berbahaya EtterSilent telah dipublikasikan di forum bawah tanah setidaknya sejak pertengahan tahun 2020, dengan fitur-fitur seperti bypass Windows Defender, Windows AMSI (Antimalware Scan Interface), dan layanan email populer, termasuk Gmail.
Dalam posting blog, para peneliti di perusahaan intelijen ancaman Intel 471 mencatat bahwa penjual menawarkan dokumen Microsoft Office (2007 hingga 2019) yang dipersenjatai dalam dua ‘varian’: dengan eksploitasi untuk kerentanan yang diketahui atau dengan makro berbahaya.
Salah satu kerentanan yang dimanfaatkan adalah CVE-2017-8570, eksekusi kode jarak jauh dengan tingkat keparahan tinggi. Penulis juga menyebutkan dua kerentanan lainnya (CVE-2017-11882 dan CVE-2018-0802), meskipun beberapa pembatasan diterapkan, dan menunjukkannya dalam sebuah video.
Maldoc EtterSilent dengan kode makro dapat berpura-pura sebagai dokumen DocuSign atau DigiCert yang meminta pengguna untuk mengaktifkan dukungan untuk makro yang mengunduh muatan di latar belakang.
Karena menggunakan makro XML Excel 4.0, EtterSilent tidak bergantung pada bahasa pemrograman Visual Basic for Applications (VBA), yang biasanya terlihat dengan makro berbahaya.
Para peneliti mencatat bahwa maldoc EtterSilent disertakan dalam kampanye spam baru-baru ini yang menjatuhkan versi terbaru dari Trickbot.
Intel 471 mengatakan bahwa kelompok penjahat siber lainnya memanfaatkan layanan EtterSilent untuk operasi mereka. Beberapa contohnya adalah trojan perbankan IcedID/BokBot, Ursnif/Gozi ISFB, dan QakBot/QBot. Bersama dengan Trickbot, kebanyakan dari mereka telah digunakan untuk mengirimkan berbagai jenis ransomware (Ryuk, Conti, Maze, Egregor, ProLock).
Blog Intel 471 menyediakan daftar indikator penyusupan untuk dokumen berbahaya EtterSilent serta untuk muatan yang mereka kirimkan: Trickbot, IcedID, QBot, Ursnif, dan BazarLoader.
Sumber: Bleeping Computer
