Kampanye phishing baru menggunakan file teks CSV yang dibuat khusus untuk menginfeksi perangkat pengguna dengan malware BazarBackdoor.
File comma-separated values (CSV) adalah file teks yang berisi baris teks dengan kolom data yang dipisahkan oleh koma. Dalam banyak kasus, baris pertama teks adalah header, atau deskripsi, untuk setiap kolom.
Menggunakan CSV adalah metode populer untuk mengekspor data dari aplikasi yang kemudian dapat diimpor ke program lain sebagai sumber data, baik itu Excel, database, pengelola kata sandi, atau perangkat lunak penagihan.
Microsoft Excel memiliki fitur yang disebut Dynamic Data Exchange (DDE), yang dapat digunakan untuk menjalankan perintah yang outputnya dimasukkan ke dalam spreadsheet yang terbuka, termasuk file CSV.
Sayangnya, pelaku ancaman juga dapat menyalahgunakan fitur ini untuk menjalankan perintah yang dapat mengunduh dan menginstal malware pada korban yang tidak menaruh curiga.
Kampanye phishing baru yang ditemukan oleh peneliti keamanan Chris Campbell menginstal trojan BazarLoader/BazarBackdoor melalui file CSV berbahaya.
Email phishing berpura-pura menjadi “Saran Pengiriman Uang” dengan tautan ke situs jarak jauh yang mengunduh file CSV dengan nama yang mirip dengan ‘document-21966.csv.’
Untungnya, ketika file CSV ini dibuka di Excel, program akan melihat panggilan DDE dan meminta pengguna untuk “mengaktifkan pembaruan tautan otomatis”, yang ditandai sebagai masalah keamanan.
Bahkan jika mereka mengaktifkan fitur tersebut, Excel akan menunjukkan kepada mereka prompt lain yang mengonfirmasi apakah WMIC harus diizinkan untuk mulai mengakses data jarak jauh.
Jika pengguna mengonfirmasi kedua perintah tersebut, Microsoft Excel akan meluncurkan skrip PowerShell, DLL akan diunduh dan dijalankan, dan BazarBackdoor akan diinstal pada perangkat.
Selengkapnya: Bleeping Computer
