Di dunia ancaman siber yang terus berkembang, kampanye malware terus beradaptasi untuk mengecoh pengguna dan menghindari deteksi. Salah satu kampanye terbaru yang terungkap oleh FortiGuard Labs adalah penyebaran varian baru Remote Access Trojan (RAT) Remcos melalui email phishing yang menyamar sebagai dokumen pengiriman. Kampanye ini bukan hanya menjebak korbannya lewat teknik rekayasa sosial, tetapi juga memanfaatkan kerentanan lama di Microsoft Office untuk mengeksekusi malware secara fileless — sehingga lebih sulit diketahui oleh solusi keamanan tradisional. Analisis teknis ini menjelaskan cara kerja kampanye, mekanisme infeksi, fitur malware itu sendiri, serta bagaimana organisasi dan individu dapat melindungi diri dari ancaman ini.
Latar Belakang: Jejak Ancaman Remcos
Remcos adalah RAT berfitur lengkap yang secara luas disalahgunakan oleh aktor ancaman untuk mengendalikan komputer korban dari jarak jauh. Meskipun perangkat ini tersedia secara komersial, ancaman memanfaatkan fitur-fitur canggihnya — seperti manajemen sistem, pengawasan, manajemen jaringan, dan kontrol agent — untuk melakukan tindakan berbahaya di balik layar tanpa diketahui korban.
Dalam kampanye terbaru ini, penyerang memulai serangan dengan mengirimkan email phishing yang berpura-pura berasal dari sebuah perusahaan pengiriman di Vietnam. Email tersebut mengajak penerima untuk membuka lampiran dokumen Word yang tampak seperti dokumen pengiriman yang sah.
Tahapan Infeksi: Dari Email ke Kontrol Penuh
Serangan ini mengikuti beberapa tahapan kompleks namun canggih, yang membuatnya efektif bagi penyerang:
-
Phishing Email
Email dikirim dengan subjek dan isi yang seakan-akan resmi dari perusahaan pengiriman, mendorong penerima membuka lampiran Word berbahaya. -
Dokumen Word & Template Online
Dokumen Word tersebut memakai fitur attachedTemplate di dalam file internalnya. Ini memungkinkan Word secara otomatis mendownload template dari sebuah URL eksternal yang sebenarnya berisi konten berbahaya. -
Eksploitasi Kerentanan CVE-2017-11882
Template yang diunduh berupa file RTF yang telah dibuat sedemikian rupa untuk memicu CVE-2017-11882, sebuah kerentanan Remote Code Execution (RCE) lama pada Microsoft Equation Editor — yang masih sering ditemukan di banyak sistem yang belum diperbarui. -
Eksekusi Codes via VBScript & PowerShell
Shellcode yang dijalankan memanggil VBScript dari server penyerang. VBScript ini kemudian memuat PowerShell tersembunyi yang mengambil dan memuat modul .NET berbahaya ke dalam proses PowerShell. -
Process Hollowing & Payload Remcos
Modul .NET yang dimuat kemudian memulai process hollowing — sebuah teknik untuk menginjeksikan Remcos ke dalam proses Windows yang sah (colorcpl.exe) sehingga berjalan secara tersembunyi di memori tanpa tersimpan sebagai file fisik.
Konfigurasi & Fitur Malware
Varian Remcos yang digunakan dalam kampanye ini adalah versi 7.0.4 Pro. Alih-alih hanya menjadi RAT sederhana, varian ini dibekali puluhan fitur untuk mengontrol dan memata-mata sistem korban dari jauh.
Beberapa fitur utamanya meliputi:
-
Kontrol Sistem — seperti manajemen proses, file, registry, clipboard, dan command line.
-
Pengawasan — kemampuan untuk memantau layar, merekam kegiatan keyboard, mengakses kamera & mikrofon, serta mengambil riwayat browser.
-
Networking — menyediakan SOCKS5 proxy, pengunduhan modul tambahan, dan manipulasi DNS.
-
Komunikasi Interaktif — memungkinkan penyerang berkomunikasi langsung dengan korban lewat fungsi chat atau pesan.
-
Fitur Ekstra — pembersih logins, pembersihan cookie, pemuatan DLL khusus, serta kontrol perangkat keras.
-
Kontrol Agent — seperti restart, uninstall, atau eskalasi hak akses agent malware.
Agen ini berkomunikasi dengan command-and-control (C2) server yang dikodekan di dalam konfigurasi, termasuk IP, port, dan detail TLS untuk koneksi yang terlindungi.
Tabel: Rangkuman Tahapan Infeksi & Teknologi yang Dipakai
| Tahap Infeksi | Deskripsi | Teknik / Kerentanan |
|---|---|---|
| Email phishing | Email berpura-pura dari layanan pengiriman | Teknik rekayasa sosial |
| Pengunduhan template Word | Word otomatis unduh template dari URL eksternal | attachedTemplate |
| Eksploitasi | Memicu RCE via Equation Editor | CVE-2017-11882 |
| Eksekusi VBScript | Shellcode mengunduh VBScript | ShellExecuteW, URLDownloadToFile |
| PowerShell obfuscated | Base64 PowerShell dipanggil dari VBScript | Eksekusi tersembunyi |
| Load .NET module | .NET DLL disembunyikan dalam PNG | Reflection.Assembly.Load |
| Injection payload | Remcos diinjeksikan ke proses | Process hollowing |
| Persistent mechanism | Scheduled task dibuat | TaskScheduler |
| RAT engagement | Agen aktif mengontrol mesin | Communication with C2 |
(Data berdasarkan analisis FortiGuard Labs terhadap kampanye malware Remcos)
Proteksi & Cara Mitigasi
Fortinet juga menekankan bahwa pelanggan produk-produknya sudah dilindungi dari kampanye ini melalui berbagai layanan keamanan FortiGuard, termasuk:
-
AntiSPAM & Email Filtering — memblokir email phishing sebelum mencapai pengguna.
-
Web Filter — mencegah akses ke URL berbahaya yang digunakan dalam kampanye ini.
-
IPS (Intrusion Prevention System) — mendeteksi dan memblokir eksploitasi terhadap kerentanan seperti CVE-2017-11882.
-
AntiVirus & EDR — mengenali file Word, RTF berbahaya, dan payload Remcos itu sendiri.
Selain itu, pelatihan kesadaran keamanan diri (Security Awareness Training) kepada pengguna sangat penting untuk mengurangi keberhasilan serangan berbasis phishing, karena teknik sosialisasi masih menjadi vektor utama dalam banyak serangan siber saat ini.
Kesimpulan
Kampanye Remcos terbaru menunjukkan bahwa ancaman siber tetap berada pada evolusi aktif: penyerang tidak hanya menyasar kerentanan teknis, tetapi juga mengeksploitasi kelemahan manusia melalui email yang tampak kredibel. Dengan memanfaatkan kerentanan lama yang masih hidup di banyak lingkungan Windows serta teknik fileless untuk memuat malware langsung ke memori, kampanye ini menjadi contoh nyata bagaimana serangan modern dapat bersifat sangat tersembunyi namun berdampak besar — termasuk kemampuan pengambilalihan sistem secara penuh.
Organisasi perlu mengintegrasikan lapisan pertahanan yang kuat, mulai dari pemfilteran email, pembaruan perangkat lunak, hingga pelatihan pengguna, untuk secara efektif mengurangi ruang serangan ini. Proteksi proaktif dan pemantauan kontinyu menjadi kunci untuk menanggulangi ancaman seperti kampanye Remcos ini di masa depan.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Fortinet Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi fortinet.ilogoindonesia.id untuk informasi lebih lanjut !