Security

Penipu Menyamar Jadi Tim IT lewat Microsoft Teams untuk Sebarkan Malware EtherRAT

Pelaku kejahatan siber kini memanfaatkan panggilan suara Microsoft Teams dengan menyamar sebagai staf IT perusahaan untuk mengelabui karyawan agar memasang malware EtherRAT. Teknik ini memberikan akses awal ke jaringan perusahaan dan berpotensi berujung pada pencurian data maupun serangan lanjutan.

Kampanye tersebut diungkap oleh tim Unit 42 dari Palo Alto Networks, yang menemukan kombinasi phishing email, panggilan Microsoft Teams, software remote desktop resmi, serta malware berbasis Node.js dalam satu rantai serangan.

Berawal dari Email Survei Palsu

Serangan dimulai dengan email phishing yang mengatasnamakan “Employee Survey”.

Email tersebut berisi lampiran PDF berbahaya yang dirancang untuk menarik perhatian korban agar segera membukanya.

Tak lama setelah dokumen dibuka, korban menerima panggilan suara melalui Microsoft Teams dari akun eksternal yang mengaku sebagai System Administrator atau staf IT perusahaan.

Menggunakan Akun Microsoft 365 Eksternal

Peneliti menemukan bahwa pelaku menggunakan akun Microsoft 365 eksternal, sehingga pada Microsoft Teams sebenarnya muncul label “External unfamiliar” yang menandakan penelepon berasal dari tenant Microsoft 365 yang berbeda.

Dalam salah satu kasus, audit log menunjukkan pelaku menggunakan akun:

Meski demikian, mereka berhasil meyakinkan korban bahwa panggilan tersebut berasal dari tim IT resmi.

Korban Diminta Memberikan Akses Jarak Jauh

Setelah korban percaya, pelaku meminta izin menggunakan fitur screen sharing bawaan Microsoft Teams.

Selanjutnya korban diarahkan untuk memasang aplikasi remote desktop yang sebenarnya legal, seperti:

  • HopToDesk
  • AnyDesk

Dengan akses tersebut, pelaku memperoleh kendali penuh terhadap komputer korban.

EtherRAT Dipasang Melalui Installer MSI

Setelah koneksi remote aktif, penyerang mengunduh installer MSI berbahaya bernama v7.msi dari server yang mereka kendalikan.

Installer tersebut berfungsi sebagai loader yang kemudian:

  • mengunduh runtime Node.js resmi;
  • mendekripsi payload yang tersembunyi;
  • menjalankan malware EtherRAT.

EtherRAT Memberikan Kendali Penuh

EtherRAT merupakan Remote Access Trojan (RAT) lintas platform yang ditulis menggunakan Node.js.

Malware ini memungkinkan penyerang:

  • menjalankan perintah dari jarak jauh;
  • mengelola serta memanipulasi file;
  • mencuri data;
  • mempertahankan akses permanen ke sistem.

Salah satu keunikannya adalah penggunaan smart contract Ethereum untuk memperoleh alamat server command-and-control (C2), sehingga infrastruktur serangan menjadi lebih sulit dilacak maupun diblokir.

Kampanye Masih Terus Berkembang

Unit 42 menemukan direktori server yang terbuka berisi beberapa versi installer malware, mulai dari v1 hingga v9.

Temuan tersebut menunjukkan bahwa kampanye ini masih aktif dikembangkan dan terus mengalami penyempurnaan.

EtherRAT sendiri sebelumnya pernah digunakan dalam serangan yang mengeksploitasi kerentanan React2Shell, sebelum akhirnya diadopsi oleh berbagai kelompok pelaku ancaman lainnya.

Microsoft Tambah Perlindungan di Teams

Serangan yang memanfaatkan Microsoft Teams semakin sering terjadi dalam beberapa bulan terakhir.

Sebelumnya, Microsoft juga telah memperingatkan bahwa pelaku mulai memanfaatkan akun Teams eksternal untuk menyamar sebagai helpdesk perusahaan dan meminta akses jarak jauh ke perangkat korban.

Sebagai respons, Microsoft telah menghadirkan sejumlah fitur keamanan baru, antara lain:

  • indikator yang menandai panggilan dan chat dari akun eksternal;
  • peringatan terhadap potensi phishing maupun vishing;
  • kebijakan baru yang secara otomatis menempatkan bot pihak ketiga yang mencurigakan ke ruang tunggu (meeting lobby) hingga disetujui oleh penyelenggara rapat.

Meski demikian, organisasi tetap disarankan melatih karyawan agar tidak memberikan akses remote kepada pihak yang menghubungi secara tiba-tiba melalui Microsoft Teams tanpa proses verifikasi resmi

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button