Serangan Dukungan TI Palsu via Microsoft Teams Sebarkan EtherRAT

Slamet

No comments
Serangan Dukungan TI Palsu via Microsoft Teams Sebarkan EtherRAT
Serangan Dukungan TI Palsu via Microsoft Teams Sebarkan EtherRAT. Ilustrasi visual dibuat menggunakan kecerdasan buatan (AI).

Penjahat siber kembali menunjukkan modus baru yang semakin licik. Kali ini, mereka menyalahgunakan fitur panggilan suara di Microsoft Teams dengan menyamar sebagai staf dukungan TI internal perusahaan.

Baca Juga: Kampanye Phishing Berkedok Wawancara Kerja Merek Ternama Incar Akun Google

Modus ini digunakan untuk mengelabui karyawan agar tanpa sadar memasang malware berbahaya bernama EtherRAT.

Dilansir dari BleepingComputer, kampanye serangan ini pertama kali diungkap oleh Unit 42 dari Palo Alto Networks. Serangan dimulai dengan email phishing yang mengatasnamakan “Survei Karyawan” dan dilengkapi lampiran PDF berbahaya. Begitu korban membuka dokumen tersebut, mereka langsung menerima panggilan suara Microsoft Teams dari akun eksternal yang menyamar sebagai “Administrator Sistem”.

Baca Juga: Mijia Desktop Photo Printer 2: Cetak 4-Warna, Bluetooth 5.2, Harga 699 Yuan

Sesi Teams itu menampilkan label External unfamiliar, tanda bahwa penelepon berasal dari penyewa Microsoft 365 yang berbeda. Catatan audit menunjukkan penyerang memulai obrolan eksternal menggunakan akun helpdesk@Progressive936.

onmicrosoft[. ]com sambil berpura-pura sebagai dukungan TI.

Dengan demikian, korban yang tidak curiga akan mudah percaya.

Setelah berhasil meyakinkan korban, penyerang langsung memanfaatkan fitur berbagi layar bawaan Microsoft Teams untuk meminta kendali jarak jauh. Mereka lalu memandu korban memasang alat akses jarak jauh yang sah seperti HopToDesk dan AnyDesk.

Tujuannya agar sesi kendali tetap berjalan meskipun layar Teams ditutup.

Begitu akses jarak jauh sudah mantap, penyerang tanpa kesulitan mengunduh dan mengeksekusi penginstal MSI berbahaya bernama v7. msi dari domain camorreado[.

]click. File MSI ini berperan sebagai pemuat malware: ia mengunduh runtime Node.

js yang sah, mendekripsi muatan yang tertanam di dalamnya, lalu meluncurkan EtherRAT di sistem korban.

EtherRAT sendiri adalah trojan akses jarak jauh lintas platform yang sepenuhnya ditulis dalam Node. js.

Malware ini punya kemampuan lengkap: menjalankan perintah, memanipulasi berkas, mencuri data, dan mempertahankan persistensi di perangkat yang terinfeksi. Yang membuatnya sulit dilacak, EtherRAT menggunakan kontrak pintar Ethereum untuk mengambil server command-and-control (C2) aktifnya.

Mekanisme ini membuat infrastruktur C2 lebih tangguh dan susah diganggu.

Menurut Unit 42, EtherRAT sebelumnya pernah dipakai dalam serangan yang disponsori negara dengan mengeksploitasi kerentanan React2Shell. Namun sekarang malware ini sudah diadopsi oleh banyak pelaku ancaman lain.

Tim peneliti bahkan menemukan direktori terbuka di server distribusi yang berisi beberapa versi penginstal—dari v1 hingga v9—yang menunjukkan bahwa kampanye ini terus dikembangkan secara aktif.

Modus penyamaran lewat Teams bukanlah hal baru. Pada Maret lalu, kampanye serupa pernah menargetkan organisasi keuangan dan kesehatan.

Pelaku membanjiri kotak masuk korban dengan spam, lalu menghubungi mereka melalui Microsoft Teams sebagai staf TI. Korban ditipu untuk menjalankan sesi Quick Assist, yang akhirnya mengarah ke penyebaran malware A0Backdoor yang baru didokumentasikan.

Menyadari celah ini, Microsoft telah mengambil sejumlah langkah perlindungan. Awal tahun ini, mereka menambahkan peringatan yang secara jelas mengidentifikasi penelepon dan obrolan eksternal untuk mengurangi risiko phishing dan vishing.

Minggu lalu, Microsoft juga memperkenalkan kebijakan administrator Teams baru yang secara otomatis menempatkan bot pihak ketiga yang mencurigakan ke lobi rapat hingga penyelenggara menyetujui masuknya secara manual.

Baca Juga: FBI Tangkap Peretas Scattered Spider 19 Tahun, Data GDID Microsoft Jadi Kunci

Dengan semakin maraknya teknik social engineering yang canggih, pengguna diimbau untuk selalu memverifikasi identitas penelepon, terutama yang mengaku dari dukungan TI. Jangan mudah memberikan kendali jarak jauh dan laporkan setiap aktivitas mencurigakan ke tim keamanan internal.

Jadikan AndroidPonsel situs favoritmu di Google

AndroidPonsel.com di Google
📢 Follow di WhatsApp

Slamet

Slamet adalah jurnalis teknologi yang sudah menulis sejak 2010, dengan spesialisasi di bidang smartphone, aplikasi mobile, gadget, AI, crypto, hingga kendaraan listrik. Ia merupakan pendiri dan editor utama AndroidPonsel.com, sebuah portal teknologi yang mengedepankan informasi akurat, praktis, dan mudah dicerna.

Bagikan:

Related Post

Leave a Comment