Sebuah sampel malware baru ditemukan menggunakan tema RFQ, dokumen pengadaan, dan proyek energi untuk menarik perhatian korban. File awal terlihat seperti dokumen PDF biasa, namun sebenarnya menggunakan nama dengan double extension:
List of Required items and services.pdf.vbs
Teknik ini umum digunakan dalam serangan phishing, malware downloader, dan social engineering. Korban melihat kata “PDF” pada nama file, tetapi ekstensi sebenarnya adalah .vbs, yaitu script Windows yang dapat menjalankan perintah otomatis.
Dalam kasus ini, file VBS berperan sebagai dropper. Setelah dijalankan, script tersebut membuka koneksi ke domain eksternal, mengunduh sebuah PDF decoy, lalu mengunduh dan menjalankan file JavaScript payload. Dengan kata lain, PDF hanya menjadi bagian dari penyamaran, sementara aktivitas utama terjadi di belakang layar.
File Awal: RFQ Palsu dengan Ekstensi PDF.VBS
Nama file List of Required items and services.pdf.vbs sangat menarik dari sisi social engineering. Nama tersebut dibuat agar terlihat seperti dokumen pengadaan atau daftar kebutuhan barang dan jasa.
Tema seperti ini biasanya efektif karena banyak organisasi menerima dokumen berjenis:
- RFQ atau Request for Quotation
- Purchase order
- List of required items
- Vendor registration
- Project document
- Tender invitation
- Service requirement document
Pada lingkungan bisnis, terutama sektor energi, konstruksi, manufaktur, dan supply chain, dokumen seperti ini sering dianggap wajar. Inilah yang membuat file PDF.VBS menjadi berbahaya: korban mungkin mengira file tersebut adalah dokumen administratif biasa.
Alur Serangan: VBS Downloader, PDF Decoy, dan JS Payload
Berdasarkan analisis statis, file VBS menjalankan perintah PowerShell yang mengunduh dua file dari domain yang sama:
hxxps://steelmarkgroups[.]com/UKP/UCC.pdf
hxxps://steelmarkgroups[.]com/documents/ms.js
File tersebut kemudian disimpan ke lokasi publik pada Windows:
C:\Users\Public\zg4irzg7ehbg.pdf
C:\Users\Public\x0jcb4utia.js
Relasinya dapat diringkas sebagai berikut:
PDF.VBS palsu
↓
VBS menjalankan PowerShell
↓
Download UCC.pdf sebagai decoy document
↓
Download ms.js sebagai payload lanjutan
↓
Kedua file dijalankan
Pola ini menunjukkan teknik multi-stage malware. Tahap pertama bukan langsung payload utama, melainkan downloader kecil yang mengambil komponen tambahan dari server eksternal.
Peran PDF Decoy: Membuat Korban Merasa File Berhasil Dibuka
PDF yang diunduh terlihat seperti dokumen RFQ atau dokumen proyek. Di dalamnya terdapat elemen visual seperti logo perusahaan, nama proyek, RFQ number, end user, dan due date. Namun isi dokumen tampak tidak normal karena terdapat teks seperti:
Tampilan seperti ini dapat memiliki dua tujuan.
Pertama, PDF berfungsi sebagai decoy document. Saat korban menjalankan file awal, PDF terbuka sehingga korban mengira file yang dibuka memang dokumen biasa. Ini mengurangi kecurigaan karena ada hasil visual yang terlihat di layar.
Kedua, isi PDF yang rusak atau penuh error bisa dipakai sebagai alasan palsu. Korban mungkin mengira dokumen gagal terbuka dengan benar, sementara payload lain sudah berjalan di background.
Dengan kata lain, PDF bukan sekadar lampiran. PDF adalah bagian dari skenario social engineering untuk membuat eksekusi malware terlihat normal.
Mengapa Tema RFQ dan Proyek Energi Berbahaya?
Serangan ini menarik karena menggunakan konteks yang sangat dekat dengan aktivitas bisnis nyata. Tema RFQ, procurement, dan project requirement sering digunakan untuk menargetkan:
- Tim procurement
- Vendor management
- Finance dan accounting
- Project administrator
- Engineering support
- Supply chain
- Kontraktor dan subkontraktor
Dalam banyak organisasi, dokumen seperti RFQ memang sering datang dari pihak eksternal. Karena itu, file dengan nama seperti List of Required items and services.pdf.vbs bisa lebih mudah dipercaya, terutama jika dikirim melalui email, file sharing, chat bisnis, atau portal internal yang sudah dikompromikan.
Serangan seperti ini juga berpotensi menjadi bagian dari supply chain attack, karena pelaku tidak harus menyerang perusahaan besar secara langsung. Mereka dapat menargetkan vendor, kontraktor, atau pihak pendukung proyek yang memiliki komunikasi rutin dengan banyak organisasi.
Indikasi Impersonation terhadap Dokumen Bisnis
PDF decoy menggunakan elemen yang mengarah ke dokumen bisnis, termasuk nama proyek dan identitas perusahaan. Namun hal ini harus dipahami sebagai indikasi impersonation, bukan bukti keterlibatan pihak yang namanya dicatut.
Dalam banyak kampanye malware, pelaku sering meniru:
- Logo perusahaan besar
- Nama proyek aktual
- Format dokumen procurement
- Nomor RFQ
- Nama end user
- Due date
- Tabel item dan quantity
Tujuannya adalah membangun rasa percaya. Semakin terlihat seperti dokumen bisnis yang sah, semakin besar kemungkinan korban akan membuka file tersebut.
Double Extension: Kenapa PDF.VBS Sangat Berisiko?
File dengan nama document.pdf.vbs memanfaatkan kebiasaan pengguna yang hanya membaca bagian awal nama file. Apalagi jika Windows menyembunyikan ekstensi file, korban bisa saja hanya melihat:
List of Required items and services.pdf
Padahal ekstensi sebenarnya adalah:
.vbs
VBS atau Visual Basic Script dapat menjalankan instruksi otomatis di Windows. Jika dikombinasikan dengan PowerShell, script ini dapat mengunduh file, menjalankan proses, menulis file ke disk, dan memulai payload lanjutan.
Inilah alasan file PDF.VBS sering dipakai dalam malware campaign. Ia tampak seperti dokumen, tetapi berperilaku seperti program.
JavaScript Payload sebagai Tahap Lanjutan
Selain membuka PDF, VBS juga mengunduh file JavaScript bernama ms.js. File JavaScript ini terlihat bukan script biasa. Struktur script menunjukkan banyak komentar acak, string panjang, penggunaan ActiveXObject, serta eksekusi berbasis Windows Script Host.
Dalam konteks Windows malware, JavaScript semacam ini sering digunakan sebagai second-stage payload. Perannya bisa berbeda-beda, misalnya:
- Menjalankan PowerShell lanjutan
- Membaca atau menulis file lokal
- Mengambil konfigurasi tambahan
- Menjalankan perintah tersembunyi
- Menghubungi server eksternal
- Menyiapkan persistence atau payload berikutnya
Pada temuan ini, JS payload memperkuat dugaan bahwa PDF hanya berfungsi sebagai pengalih perhatian, sementara aktivitas utama berada pada script lanjutan.
Pola Threat yang Terlihat
Secara umum, kampanye ini memperlihatkan beberapa pola ancaman modern:
1. File masquerading
File terlihat seperti PDF, tetapi sebenarnya script .vbs.
2. Social engineering berbasis procurement
Tema RFQ dan required items digunakan untuk membuat file tampak relevan bagi organisasi bisnis.
3. Decoy document
PDF dibuka untuk membuat korban percaya bahwa file memang dokumen normal.
4. Multi-stage execution
VBS tidak membawa seluruh payload di dalam file awal. Ia mengunduh komponen tambahan dari server eksternal.
5. Script-based malware
Rantai serangan menggunakan VBS, PowerShell, dan JavaScript. Ini membuat payload lebih fleksibel dan lebih mudah diubah oleh pelaku.
6. Penyimpanan di folder publik
File tambahan disimpan di C:\Users\Public\, lokasi yang sering dipakai karena dapat diakses tanpa path user yang spesifik.
Dampak Potensial bagi Organisasi
Walaupun sampel ini terlihat seperti dokumen RFQ sederhana, dampaknya bisa serius. Jika payload lanjutan berhasil berjalan, organisasi berpotensi menghadapi risiko seperti:
- Kompromi endpoint
- Pencurian kredensial
- Akses tidak sah ke file internal
- Penyebaran malware lanjutan
- Komunikasi command and control
- Pembukaan akses awal untuk serangan berikutnya
- Risiko ransomware jika akses awal dimanfaatkan lebih lanjut
Kampanye seperti ini sering menjadi tahap awal dari serangan yang lebih besar. File kecil yang tampak seperti dokumen dapat menjadi pintu masuk ke jaringan perusahaan.
Kenapa Serangan Ini Relevan untuk Indonesia?
Temuan ini relevan untuk organisasi di Indonesia karena menggunakan konteks proyek, procurement, dan end user yang dekat dengan lingkungan bisnis lokal. Sektor seperti energi, konstruksi, migas, manufaktur, logistik, dan vendor teknologi memiliki risiko lebih tinggi karena sering menerima dokumen dari banyak pihak eksternal.
Kata kunci seperti RFQ, required items, services, project, dan due date sangat umum dalam komunikasi bisnis. Pelaku memanfaatkan rutinitas tersebut untuk menyamarkan malware sebagai dokumen kerja sehari-hari.
Rekomendasi Kewaspadaan untuk Pengguna dan Organisasi
Pengguna dan tim IT perlu lebih berhati-hati terhadap file yang menggunakan nama dokumen bisnis tetapi memiliki ekstensi script. Beberapa praktik aman yang penting:
-
Jangan membuka file dengan ekstensi ganda seperti
.pdf.vbs,.doc.js,.xlsx.vbe, atau.pdf.scr. - Aktifkan tampilan ekstensi file di Windows agar ekstensi asli terlihat.
- Berhati-hati terhadap dokumen RFQ, invoice, purchase order, dan tender dari sumber tidak dikenal.
- Verifikasi pengirim melalui kanal resmi sebelum membuka dokumen proyek.
- Hindari menjalankan file script dari folder Downloads, Desktop, Temp, Public, atau AppData.
- Edukasi tim procurement, finance, dan project support karena mereka sering menjadi target dokumen palsu.
- Simpan sampel mencurigakan untuk analisis forensik, jangan langsung dibuka di komputer produksi.
Indicator of Compromise
Berikut indikator yang terlihat pada sampel ini. URL dan domain ditulis dalam bentuk defanged agar aman dipublikasikan.
Initial filename:
List of Required items and services.pdf.vbs
Downloaded decoy document:
hxxps://steelmarkgroups[.]com/UKP/UCC.pdf
Downloaded JavaScript payload:
hxxps://steelmarkgroups[.]com/documents/ms.js
Observed local paths:
C:\Users\Public\zg4irzg7ehbg.pdf
C:\Users\Public\x0jcb4utia.js
Observed script types:
VBS
PowerShell
JavaScript / WSH
Kesimpulan
Temuan ini menunjukkan bagaimana malware modern tidak selalu datang sebagai file executable. Dalam kasus ini, pelaku menggunakan file PDF.VBS yang menyamar sebagai dokumen RFQ, membuka PDF decoy, lalu menjalankan JavaScript payload melalui rantai script Windows.
Teknik ini efektif karena memanfaatkan kebiasaan kerja sehari-hari: membuka dokumen procurement, RFQ, dan daftar kebutuhan proyek. Bagi organisasi di Indonesia, terutama yang bergerak di sektor energi, konstruksi, manufaktur, dan supply chain, ancaman seperti ini perlu diperhatikan sebagai bagian dari risiko phishing, malware downloader, dan initial access.
File yang terlihat seperti dokumen biasa dapat menjadi awal dari kompromi endpoint. Karena itu, kewaspadaan terhadap ekstensi file, sumber dokumen, dan konteks pengiriman tetap menjadi lapisan pertahanan penting dalam keamanan digital organisasi.
Perlindungan dengan AulapG Antivirus
Ancaman seperti PDF.VBS malware, PowerShell downloader, dan JavaScript payload menunjukkan bahwa malware modern tidak selalu hadir sebagai file .exe. Dalam kasus ini, file berbahaya menyamar sebagai dokumen RFQ, membuka PDF decoy, lalu menjalankan script lanjutan di background. Rantai seperti ini membuat pengguna sulit membedakan antara dokumen normal dan file berbahaya.
Pada kasus seperti RFQ palsu PDF.VBS, AulapG Antivirus dapat membantu pengguna dan organisasi untuk:
- Memindai file mencurigakan sebelum dibuka
- Mengidentifikasi script berbahaya seperti VBS, JS, dan PowerShell downloader
- Menghapus atau mengarantina file malware dari perangkat
- Mengurangi risiko eksekusi payload lanjutan
- Membantu membersihkan file mencurigakan dari folder umum seperti Downloads, Public, Temp, dan AppData
AulapG Antivirus bukan hanya berfokus pada file executable, tetapi juga memperhatikan ancaman berbasis script yang sering dipakai dalam serangan phishing, malware RFQ palsu, fake invoice, fake purchase order, dan dokumen procurement berbahaya.
Jika pengguna menerima file seperti:
List of Required items and services.pdf.vbs
Invoice.pdf.js
Quotation.doc.vbs
Purchase Order.pdf.vbe
file tersebut sebaiknya tidak langsung dibuka. Lakukan pemindaian terlebih dahulu menggunakan AulapG Antivirus untuk memastikan file tidak membawa malware, downloader, atau payload tersembunyi.
No comments:
Post a Comment