Hacker Gunakan Dokumen Excel untuk Sebar Remcos RAT di Windows

Baru-baru ini, peneliti keamanan siber dari Fortinet mengungkap taktik terbaru yang digunakan oleh peretas untuk menyerang pengguna Windows dengan dokumen Excel yang telah dimodifikasi khusus untuk menyebarkan Remcos RAT (Remote Access Trojan). Excel menjadi target populer bagi pelaku kejahatan siber karena penggunaannya yang luas dan beberapa kerentanannya yang belum teratasi.

Sebelumnya, peretas sering menggunakan makro VBA untuk mengirim malware melalui Excel, tetapi sejak Microsoft memblokir makro VBA secara default, mereka beralih ke eksploitasi file “.XLL” sebagai metode baru dalam menyebarkan malware. Serangan ini berawal dari email phishing yang berisi file Excel yang berpura-pura sebagai dokumen pesanan.

Proses Serangan

Jika file Excel ini dibuka, ia memanfaatkan celah keamanan Microsoft Office yang dikenal sebagai CVE-2017-0199, yaitu kerentanan eksekusi kode jarak jauh. Begitu terbuka, dokumen tersebut akan secara otomatis mengunduh file aplikasi HTML (HTA) dari URL yang sudah disiapkan oleh penyerang. File HTA ini kemudian dieksekusi oleh aplikasi Windows bernama mshta.exe, yang dirancang untuk menjalankan file-file HTA. Penyerang menyembunyikan instruksi malware dengan menggunakan JavaScript, VBScript, encoding Base64, URL encoding, dan skrip PowerShell yang terenkripsi.

Proses ini berlanjut dengan file HTA mengunduh dan menjalankan sebuah file bernama dllhost.exe di direktori %AppData%. File ini kemudian mengekstraksi beberapa file ke direktori khusus dan menjalankan proses PowerShell 32-bit yang memuat dan mengeksekusi kode yang telah diacak dan dienkripsi dari sebuah file bernama Aerognosy.Res menggunakan teknik eksekusi Invoke-Expression.

Apa Itu Remcos RAT?

Pada akhirnya, payload utama yang disisipkan adalah Remcos, sebuah program remote access tool yang sebenarnya dijual secara sah untuk tujuan pemantauan jarak jauh. Namun, sayangnya alat ini disalahgunakan oleh peretas untuk mengakses dan mengendalikan komputer korban secara penuh serta mencuri data sensitif. Malware ini mampu bertahan di sistem dengan menyalin dllhost.exe ke folder sementara (%temp%) dan menjalankannya sebagai Vaccinerende.exe, menyembunyikan proses PowerShell di latar belakang, serta memuat kode jahat secara langsung ke memori.

Teknik Lanjutan untuk Menghindari Deteksi

Dalam serangan ini, malware menggunakan beberapa tahap serangan untuk menghindari deteksi. Di tahap awal, malware menjalankan teknik anti-analisis, yang meliputi:

• Menggunakan kode yang dilengkapi dengan penghalang instruksi acak dan sel yang mendekripsi diri sendiri.
• Memanfaatkan handler pengecualian yang dapat mengontrol upaya debug.
• Resolusi API dinamis melalui akses ke struktur data PEB (Process Environment Block).
• Beberapa mekanisme anti-debugging, seperti pengecekan ThreadHideFromDebugger dan pemantauan ProcessDebugPort.

Selain itu, malware ini menggunakan teknik yang disebut “process hollowing” atau proses kosong, di mana sebuah instance dari Vaccinerende.exe yang sudah diambil dari dllhost.exe dibuat dalam kondisi suspended (ditunda), sehingga aplikasi ini dapat dimodifikasi lebih lanjut oleh peretas untuk tujuan jahat.

Cara Malware Bertahan di Sistem

Untuk menjaga keberadaannya, malware ini membuat kunci dalam entri registri Auto_Run di “HKCU\Software\Microsoft\Windows\CurrentVersion\Run,” yang memungkinkannya berjalan otomatis setiap kali perangkat dinyalakan. Pada tahap akhir, malware ini mengunduh varian terenkripsi dari Remcos RAT (versi 5.1.2 Pro) dari URL tertentu. Setelah didekripsi, ia akan diluncurkan langsung dalam RAM dengan menggunakan fungsi dari BIOS yang disebut NtCreateThreadEx.

Kemampuan Kontrol dan Pengintaian Jarak Jauh

Remcos RAT ini dirancang untuk memungkinkan pelaku kejahatan siber mengendalikan komputer korban sepenuhnya dari jarak jauh. Ia dapat menjalankan berbagai fungsi pengawasan dan manipulasi, seperti:

• Keylogger untuk merekam ketukan keyboard,
• Pengambilan screenshot dari layar pengguna,
• Pengaturan ulang proses, dan lainnya.

Semua ini dilakukan melalui konfigurasi yang ditanam dalam file settings, yang berisi 57 opsi kontrol. Dengan teknik ini, peretas mampu melakukan berbagai kegiatan spionase tanpa terdeteksi oleh korban.

Perlindungan Pengguna dan Peringatan

Serangan ini menjadi pengingat bagi semua pengguna Windows untuk lebih berhati-hati saat menerima dan membuka file yang tidak dikenal, khususnya dokumen yang tampak seperti file pesanan atau undangan dari pengirim yang tidak dikenal. Ahli keamanan menyarankan agar pengguna selalu memperbarui sistem operasi dan perangkat lunak keamanan mereka, serta memastikan bahwa fitur keamanan diaktifkan, untuk membantu mencegah serangan malware seperti Remcos ini.