PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182


Operator di balik trojan QBot kali ini menggunakan taktik baru untuk membajak percakapan email yang sah lalu mencuri rincian akun dan data yang berkaitan dengan perbankan.

Pada hari Kamis (27/08/2020), peneliti keamanan siber dari Check Point menerbitkan temuan mereka tentang tren baru, di mana pengguna Microsoft Outlook rentan terhadap modul yang dirancang untuk mengumpulkan dan menyusupi utas email pada mesin yang terinfeksi.

QBot, juga dikenal sebagai Qakbot dan Pinkslipbot, adalah bentuk malware produktif yang diperkirakan telah memakan kurang lebih 100.000 korban di seluruh negara termasuk AS, India, dan Israel. Awalnya diidentifikasi pada tahun 2008, Trojan ini dianggap sebagai malware “Swiss Army knife” karena berfungsi tidak hanya sebagai pencuri informasi biasa, tetapi juga dapat menyebarkan ransomware, dan berisi kemampuan berbahaya lainnya.

Varian baru trojan QBot, terdeteksi dalam beberapa distribusi antara Maret dan Agustus tahun ini, yang terdeteksi digunakan sebagai muatan berbahaya oleh operator trojan Emotet. Para peneliti memperkirakan bahwa satu operasi distribusi yang sangat ekstensif pada bulan Juli berdampak pada sekitar 5% organisasi/perusahaan di seluruh dunia.

Malware meyusup ke mesin yang rentan melalui dokumen phishing yang berisi URL ke file .ZIP yang menyajikan konten VBS, memanggil muatan dari salah satu dari enam URL terenkripsi dengan hardcode.

(Gambar: Check Point)

Setelah perangkat terinfeksi, modul unik baru dalam varian QBot modern yang dijelaskan oleh Check Point sebagai “email collector module”, mengekstrak semua utas email yang terdapat dalam Outlook dan mengunggahnya ke server command-and-control (C2) penyerang.


Utas email yang dibajak kemudian digunakan untuk penyebaran malware lebih lanjut. Dengan menggunakan utas yang sah, tanpa disadari pembaca mungkin mengira pesan yang dikirim oleh penyerang itu sah, dan oleh karena itu, maka akan lebih cenderung mengeklik lampiran berbahaya.

Baca Juga: “Malware Ini Targetkan Pengguna Mac dan Menyebar Melalui Proyek Xcode

Subjek yang berhasil dilacak oleh tim Check Point diantaranya yaitu pengingat pembayaran pajak, konten rekrutmen pekerjaan, dan pesan terkait COVID-19.

Kemampuan QBot ini bisa mencuri data penjelajahan internet, catatan email, dan rincian akun perbankan. Lalu ada juga salah satu modul yang mengunduh Mimikatz untuk mencuri kata sandi.

Malware ini juga dapat melakukan injeksi web browser dan menginstal muatan berbahaya termasuk ransomware seperti ProLock. Selain itu, QBot menghubungkan mesin yang terinfeksi menjadi botnet, yang dapat dipersenjatai untuk melakukan serangan distributed denial-of-service (DDoS). Fitur baru lainnya dari QBot adalah kemampuan untuk mengunduh serta menginstal pembaruan dan modul baru dari jarak jauh.

Saat ini Qbot jauh lebih berbahaya daripada sebelumnya – ia memiliki distribusi malspam aktif yang menginfeksi organisasi, dan berhasil menggunakan infrastruktur infeksi pihak ketiga seperti Emotet untuk menyebarkan ancaman lebih jauh,” kata para peneliti Check Point.

Sumber:

Muhammad Zaky Zulfiqor

Just a simple person who like photography, videography, code, and cyber security enthusiast.