• Jakarta - Indonesia
  • June 13, 2025

Bagaimana File Excel Berbahaya (CVE-2017-0199) Mengirimkan Payload FormBook

Platform yang Terpengaruh: Microsoft Windows

Pihak yang Terkena Dampak: Pengguna Windows

Dampak: Mengendalikan dan Mengumpulkan Informasi Sensitif dari Perangkat Korban

Tingkat Keparahan: Kritis

FortiGuard Labs baru-baru ini mengamati kampanye phishing dengan tingkat keparahan tinggi yang menargetkan pengguna aplikasi Office versi lama melalui lampiran email berbahaya. Email tersebut mengirimkan file Excel yang dirancang untuk mengeksploitasi kerentanan CVE-2017-0199, yaitu cacat yang diketahui dalam fungsi OLE (Object Linking and Embedding) pada Microsoft Office versi lama. Malware yang disebarkan dalam kampanye ini adalah FormBook, malware pencuri informasi yang dikenal mampu mencuri data sensitif seperti kredensial login, penekanan tombol (keystrokes), dan isi clipboard. Saat file Excel berbahaya dibuka, malware akan menjalankan serangkaian proses yang akhirnya mengeksekusi payload FormBook.

Inisiasi Email Phishing

Kampanye phishing ini dimulai dari email yang menyamar sebagai pesanan penjualan dan mendesak penerima untuk membuka dokumen Excel terlampir. Seperti yang ditunjukkan oleh FortiMail, email tersebut diberi label sebagai “[virus detected]” pada baris subjek sebagai peringatan.

Tentang CVE-2017-0199

CVE-2017-0199 adalah kerentanan logika pada Office versi lama (Office 2007, 2010, 2013, 2016). Saat pengguna membuka dokumen Office yang mengeksploitasi celah ini, program mengirimkan permintaan HTTP ke server jarak jauh untuk mengambil file HTA berbahaya. Program tersebut lalu menggunakan objek COM untuk menemukan handler file HTA, sehingga aplikasi Microsoft HTA (mshta.exe) akan dijalankan untuk mengeksekusi skrip jahat.

Saat dokumen Excel dibuka dengan versi Office yang rentan, maka kerentanan ini akan terpicu dan mengunduh serta mengeksekusi file HTA.

File HTA Berbahaya

Skrip yang diunduh merupakan file HTA dengan konten yang disandikan dalam Base64. Setelah didekode, kontennya mengunduh file baru, menyimpannya di direktori %APPDATA%, lalu menjalankannya. File ini bernama sihost.exe.

Dalam analisis, ditemukan bahwa bagian .rsrc dari sample mengandung data sumber daya tidak diformat bernama “SCRIPT”. Ini dimulai dengan byte khas file AutoIt yang dikompilasi menggunakan Aut2Exe.

Sampel tersebut menggunakan API IsDebuggerPresent untuk teknik anti-debugging. Jika terdeteksi bahwa program sedang dianalisis secara dinamis, maka hanya akan muncul pesan bahwa ini adalah skrip AutoIt dari pihak ketiga.

Skrip ini lalu mendekripsi konten dalam bagian “SCRIPT”, mendekode kontennya dengan metode XOR menggunakan string “3NQXSHDTVT2DPK06”, dan mengekstrak file bernama springmaker ke direktori %TEMP%. File inilah yang akhirnya di-dekode menjadi malware FormBook.

Kesimpulan

Ini adalah kampanye phishing serius yang menargetkan pengguna Windows. Penyerang mengirimkan email dengan lampiran Excel yang mengeksploitasi kerentanan CVE-2017-0199 untuk menyebarkan malware FormBook. Proses serangannya:

  1. File Excel jahat dikirim melalui email phishing.
  2. Saat dibuka, celah CVE-2017-0199 dipicu.
  3. File HTA berbahaya diunduh dan dijalankan.
  4. File exe diunduh dan dijalankan.
  5. File springmaker diekstrak dan didekode.
  6. Payload akhir FormBook

Tujuan utama serangan ini adalah mengendalikan perangkat korban dan mencuri informasi sensitif.

Perlindungan dari Fortinet

Pelanggan Fortinet sudah dilindungi dengan layanan FortiGuard sebagai berikut:

  • URL yang digunakan telah dikategorikan sebagai “Malicious Websites” oleh FortiGuard Web Filtering.
  • FortiMail mengenali email phishing sebagai “virus detected”.
  • Proteksi anti-phishing real-time oleh FortiSandbox tersedia di FortiMail, Web Filtering, dan solusi antivirus Fortinet.
  • FortiGuard IPS mendeteksi eksploitasi CVE-2017-0199 dengan signature MS.Office.OLE.autolink.Code.Execution.
  • FortiGuard Antivirus mendeteksi file Excel berbahaya, file HTA, sihost.exe, dan FormBook dengan signature:
    • MSExcel/CVE_2017_0199.G1!exploit
    • VBS/Obfuscated.AO!tr
    • AutoIt/Injector.GKX!tr
    • W32/Formbook.AA!tr

Indikator Kompromi (IOCs)

URL:

  • hxxp[:]//172[.]245[.]123[.]32/xampp/hh/wef[.]hta
  • hxxp[:]//172[.]245[.]123[.]32/199/sihost[.]exe

SHA-256 Sampel Terkait:

  • xls: 33A1696D69874AD86501F739A0186F0E4C0301B5A45D73DA903F91539C0DB427
  • hta: 2BFBF6792CA46219259424EFBBBEE09DDBE6AE8FD9426C50AA0326A530AC5B14
  • exe: 7E16ED31277C31C0370B391A1FC73F77D7F0CD13CC3BAB0EAA9E2F303B6019AF
  • springmaker: A619B1057BCCB69C4D00366F62EBD6E969935CCA65FA40FDBFE1B95E36BA605D
  • FormBook / Decoded springmaker: 3843F96588773E2E463A4DA492C875B3241A4842D0C087A19C948E2BE0898364

Catatan: Jika organisasi Anda merasa telah terpengaruh oleh ancaman ini atau ancaman siber lainnya, segera hubungi Tim Respons Insiden Global FortiGuard.
Untuk edukasi lebih lanjut, pengguna disarankan mengikuti pelatihan gratis NSE 1 – Information Security Awareness.

Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indnoesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!