Qbot Menyebar Melalui Phising

Qbot Menyebar Melalui Phising
ARTIKEL Email Security
by penulis : ARTIKEL, Email Security

Ancaman siber terbaru yakni malware Qbot menyebar melalui phising sedang marak mengancam banyak pengguna sistem operasi besutan Microsoft.

Malware QBot sekarang didistribusikan dalam kampanye phising menggunakan PDF dan Windows Script Files (WSF) untuk menginfeksi perangkat Windows.

Malware Qbot

Qbot menyebar melalui phising adalah bekas trojan perbankan yang berevolusi menjadi malware yang menyediakan akses awal ke jaringan perusahaan untuk pelaku ancaman lainnya.

Akses awal ini dilakukan dengan menyusupkan muatan tambahan, seperti Cobalt Strike, Brute Ratel, dan malware lainnya yang memungkinkan pelaku lain mengakses perangkat yang disusupi.

Dengan menggunakan akses ini, pelaku menyebar secara lateral melalui jaringan, mencuri data, dan akhirnya menyebarkan ransomware dalam serangan pemerasan.

Belakangan malware Qbot diketahui menggunakan metode distribusi email baru melalui lampiran PDF yang mengunduh Windows Script Files untuk menginstal Qbot di perangkat korban.

Cara Kerja Qbot

QBot saat ini sedang didistribusikan melalui email phising berantai balas, yaitu ketika pelaku menggunakan pertukaran email yang dicuri dan kemudian membalasnya dengan tautan ke malware atau lampiran berbahaya.

Penggunaan email rantai balasan adalah upaya untuk membuat email phising tidak dicurigai karena merupakan balasan untuk percakapan yang sedang berlangsung.

Email phising menggunakan berbagai bahasa, menandai ini sebagai kampanye distribusi malware di seluruh dunia.

  • Terlampir pada email ini adalah file PDF bernama ‘CancelationLetter-[angka].pdf ,’ yang ketika dibuka menampilkan pesan yang menyatakan, “Dokumen ini berisi file yang dilindungi, untuk menampilkannya, klik tombol “buka”.
  • Namun, saat tombol diklik, file ZIP yang berisi Windows Script Files (WSF) akan diunduh.
  • Windows Script Files diakhiri dengan ekstensi .wsf dan dapat berisi campuran kode JScript dan VBScript yang dijalankan saat file diklik dua kali.
  • File WSF yang digunakan dalam kampanye distribusi malware QBot sangat disamarkan, dengan tujuan akhir mengeksekusi skrip PowerShell di komputer.
  • Skrip PowerShell yang dijalankan oleh file WSF mencoba mengunduh DLL dari daftar URL. Setiap URL dicoba hingga file berhasil diunduh ke folder %TEMP% dan dieksekusi.
  • Ketika DLL QBot dijalankan, itu akan menjalankan perintah PING untuk menentukan apakah ada koneksi internet.
  • Malware kemudian akan menyuntikkan dirinya ke program Windows wermgr.exe (Windows Error Manager) yang sah, di mana ia akan berjalan diam-diam di balik layar.
Bahaya Qbot

Infeksi malware QBot dapat menyebabkan serangan yang menghancurkan pada jaringan perusahaan, sehingga penting untuk memahami bagaimana malware didistribusikan.

Dalam aktivitasnya Qbot digunakan sebagai akses awal ke jaringan perusahaan berafiliasi dalam operasi Ransomware-as-a-Service (RaaS) dengan ransomware sebagai berikut:

  • BlackBasta.
  • REvil.
  • PwndLocker.
  • Egregor.
  • ProLock.
  • Dan MegaCortex.

QBot hanya membutuhkan waktu sekitar 30 menit untuk mencuri data sensitif setelah infeksi awal. Lebih buruk lagi, aktivitas jahat hanya membutuhkan waktu satu jam untuk menyebar ke workstation yang berdekatan.

Oleh karena itu, jika perangkat terinfeksi QBot, sangat penting untuk membuat sistem offline sesegera mungkin dan melakukan evaluasi lengkap terhadap jaringan untuk mengetahui perilaku yang tidak biasa.

Baca lainnya:

Sumber berita:

Prosperita IT New