Serangan Zero-Day PowerPoint Mungkin Kasus Spionase Perusahaan

Trojan kedua yang digunakan dalam serangan zero-day terbaru terhadap Microsoft Office berisi fitur yang dapat mengidentifikasi spionase perusahaan sebagai motif utama, menurut pemburu virus yang melacak ancaman tersebut.

Menurut peringatan dari Symantec (SYMC), pintu belakang berdering Trojan.Riler.F menginstal dirinya sendiri sebagai penyedia layanan berlapis, atau LSP, yang memberikannya akses ke setiap bit data yang masuk dan keluar dari komputer yang terinfeksi.

LSP adalah driver sistem sah yang terikat jauh ke dalam layanan jaringan Windows. Ini terutama digunakan untuk memungkinkan sistem operasi terhubung ke komputer lain, namun penulis virus telah menemukan cara untuk membuat program jahat berfungsi sebagai LSP untuk membajak data sensitif dalam perjalanan.

• Klik di sini untuk mengunjungi Pusat Keamanan Siber FOXNews.com.

Symantec, dari Cupertino, California, mengatakan Trojan juga membuka pintu belakang pada sistem yang disusupi dan terhubung ke domain “soswxyz.8800.org”. Trojan kemudian mendengarkan dan menunggu perintah dari penyerang jarak jauh.

Alfred Huger, direktur senior teknik di Symantec, mengatakan hal tersebut berkas PowerPoint menginfeksi mesin dengan malware bernama Trojan.PPDropper.C yang pada gilirannya menjatuhkan dua pintu belakang terpisah yang memberikan serangan akses tidak sah ke komputer yang disusupi.

Trojan pertama, disebut Pintu Belakang.Bifrose.Emencatat penekanan tombol, membajak data sistem sensitif dan mengirimkan informasi kembali ke server jarak jauh yang dihosting di Tiongkok.

F-Aman, vendor anti-virus yang berkantor pusat di Finlandia, mengatakan file pintu belakang Bifrose adalah PE tidak terkompresi yang dapat dieksekusi dan dienkripsi dengan algoritma sederhana. Pintu belakang diprogram untuk terhubung ke “pukumalon.8800.org”, yang merupakan layanan pentalan host gratis di Tiongkok.

Domain 8800.org, seperti layanan hosting serupa lainnya, telah digunakan dalam beberapa serangan zero-day tahun ini, menurut peneliti F-Secure Mikko Hipponen.

Pada bulan Maret 2005, September 2005, Maret 2006, April 2006, Mei 2006 dan Juli 2006, tim antivirus F-Secure menemukan pintu belakang yang terhubung ke domain yang dihosting oleh Tiongkok.

“Jika Anda tidak berada di Tiongkok dan pengguna Anda tidak seharusnya mengakses layanan Tiongkok yang berbeda, pemblokiran mungkin tidak akan merusak banyak hal,” kata Hypponen.

“Kami menyarankan Anda setidaknya memeriksa log pelabuhan perusahaan Anda untuk melihat jenis lalu lintas yang Anda miliki ke layanan tersebut,” tambahnya.

Microsoft menolak permintaan wawancara untuk membahas secara spesifik serangan tersebut dan merujuk pertanyaan tersebut ke penasihat keamanan PowerPoint perusahaan.

Huger dari Symantec mengatakan sifat canggih dari serangan tersebut menunjukkan bahwa serangan tersebut merupakan pekerjaan atau penjahat terorganisir yang terkait dengan spionase industri.

“Sulit untuk mengatakan apakah semua serangan Office yang kita lihat tahun ini saling terkait, namun mereka menggunakan teknik yang sangat mirip dan sangat canggih,” kata Huger dalam wawancara dengan eWEEK.

Baik dalam serangan Excel dan PowerPoint, misalnya, terdapat upaya yang belum pernah terjadi sebelumnya untuk menyembunyikan bukti forensik.

“Apakah itu penyerang yang sama, kami tidak tahu. Tapi itu bukan teknik yang pernah kami lihat sebelumnya. Alih-alih meninggalkan file kotor, pembuatnya malah menimpanya dengan file bersih. Ini tingkat kecanggihan baru.” kata Huger.

Dia membenarkan klaim Microsoft bahwa serangan itu “sangat terbatas” namun memperingatkan bahwa perusahaan-perusahaan di Amerika Serikat mulai berpuas diri.

“Setelah jenis serangan ini terjadi, sangat tidak biasa jika serangan ini hanya terbatas pada satu perusahaan. Saya pikir aman untuk berasumsi bahwa serangan ini terus berlanjut, terutama karena tidak ada perbaikan untuk kerentanan ini,” tambah Huger.

Microsoft berencana merilis patch untuk pengguna Microsoft PowerPoint 2000, Microsoft PowerPoint 2002, dan Microsoft PowerPoint 2003 pada 8 Agustus.

Sementara itu, pakar antivirus menegaskan Microsoft Office pengguna harus mewaspadai lampiran yang mencurigakan, bahkan lampiran yang tampaknya berasal dari rekan kerja.

Eksploitasi PowerPoint berasal dari alamat Gmail dengan baris subjek dalam karakter Cina.

Penyedia keamanan internet Sophos mengatakan presentasi PowerPoint yang dipentaskan, yang mencakup 18 slide, berisi filosofi “lucu” tentang cinta antara pria dan wanita.

Kunjungi eWEEK.com Pusat Keamanan untuk berita, ulasan, dan analisis keamanan terkini. Dan untuk wawasan tentang cakupan keamanan di web, lihat Editor Pusat Keamanan eWEEK.com Blog Larry Seltzer.

Hak Cipta © 2006 Ziff Davis Media Inc. Seluruh hak cipta. Reproduksi seluruhnya atau sebagian dalam bentuk atau media apa pun tanpa izin tertulis dari Ziff Davis Media Inc. terlarang.