Qakbot Botnet Menumbuhkan Taring, Menyuntikkan Malware ke Utas Email

Posted on by Syauqi Wiryahasana

Botnet Qakbot semakin berbahaya, menancapkan taringnya ke dalam utas email dan menyuntikkan modul jahat untuk memompa kekuatan inti botnet.

Pada hari Kamis, Sophos menerbitkan penyelaman mendalam ke dalam botnet, menjelaskan bagaimana para peneliti baru-baru ini melihatnya menyebar melalui pembajakan utas email – serangan di mana malspam operator malware membalas utas email yang sedang berlangsung.

Dalam kampanye baru-baru ini, Qakbot juga telah menyedot info sistem, kata Sophos. “Botnet menyebar melalui pembajakan utas email dan mengumpulkan berbagai informasi profil dari mesin yang baru terinfeksi, termasuk semua akun dan izin pengguna yang dikonfigurasi, perangkat lunak yang diinstal, layanan yang berjalan, dan banyak lagi,” menurut penulisan, setelah botnet mengunduh modul jahat.



Kode malware Qakbot menggunakan enkripsi aneh untuk menutupi isi komunikasinya, tetapi peneliti Sophos berhasil mendekripsi modul jahat dan memecahkan kode perintah dan kontrol botnet sistem C2) untuk mencari tahu nterpret bagaimana Qakbot menerima perintah berbarisnya .

Beyond Annoying

Qakbot, alias QBot, QuackBot dan Pinkslipbot, adalah trojan perbankan yang pertama kali ditemukan di alam liar 17 tahun lalu, pada 2007. Sejak masa balita, trojan ini menjadi salah satu trojan perbankan paling umum yang ditemukan di seluruh dunia. tujuan utamanya adalah menggesek info – misalnya, membobol login, kata sandi, dan lainnya – malware telah mengambil segudang kebiasaan buruk lainnya: memata-matai operasi keuangan, menyebarkan dan menginstal ransomware, pencatatan keystroke, fungsionalitas pintu belakang, dan gerakan halus untuk menghindari deteksi, termasuk mendeteksi lingkungannya, memperbarui diri, dan pembaruan cyptor/packer. Itu juga melawan agar tidak dianalisis dan di-debug, baik oleh para ahli atau alat otomatis.

“Qakbot adalah botnet multiguna modular yang disebarkan melalui email yang telah menjadi semakin populer di kalangan penyerang sebagai jaringan pengiriman malware, seperti Trickbot dan Emotet, ” kata Andrew Brandt, peneliti ancaman utama di Sophos. “Analisis mendalam Sophos terhadap Qakbot mengungkapkan penangkapan data profil korban yang terperinci, kemampuan botnet untuk memproses urutan perintah yang kompleks, dan serangkaian muatan untuk memperluas fungsionalitas mesin botnet inti.”

Singkatnya, Qakbot tidak bot komoditas ayahmu, Brandt berkata: “Hari-hari yang menganggap bot 'komoditas' sebagai sekadar mengganggu sudah lama berlalu.”

Infection Chain and Payloads

Sophos menganalisis kampanye di mana botnet Qakbot memasukkan pesan berbahaya ke utas email yang ada: pesan yang menyertakan kalimat pendek dan tautan untuk mengunduh file zip yang berisi spreadsheet Excel berbahaya. Pesan tersebut meminta pengguna yang ditargetkan untuk "mengaktifkan konten" untuk mengaktifkan rantai infeksi.

Setelah botnet menginfeksi target, botnet memindai mereka untuk mendapatkan profil terperinci yang kemudian diteruskan ke server C2. Kemudian, botnet mengunduh lebih banyak – setidaknya tiga – modul berbahaya.

Payload, yang disuntikkan ke browser, berbentuk perpustakaan tautan dinamis (DLL) yang memperluas kemampuan botnet untuk menyertakan informasi buruk berikut:
    Modul yang memasukkan kata sandi- mencuri kode ke halaman web, modul A yang melakukan pemindaian jaringan, mengumpulkan data tentang mesin lain di dekat komputer yang terinfeksi, dan modul A yang mengidentifikasi alamat selusin server email SMTP (Simple Mail Transfer Protocol) dan kemudian mencoba menyambung ke masing-masing server dan mengirim spam.

Qak Nonaktif, Qakbot

Brandt merekomendasikan agar tim keamanan perlu menangani infeksi Qakbot dengan serius, dengan menyelidiki setiap infeksi dan membersihkan jaringan dari “setiap jejak” malware multitalenta. Infeksi botnet, bagaimanapun, adalah pendahulu yang dikenal untuk serangan ransomware, tulis Brandt.

Bukan hanya ransomware yang harus disiapkan oleh admin sistem. Ada juga prospek pengembang botnet menjual atau menyewakan akses mereka ke jaringan Anda yang dilanggar, Brandt memperingatkan. “Misalnya, Sophos telah menemukan sampel Qakbot yang mengirimkan suar Cobalt Strike langsung ke inang yang terinfeksi,” katanya. “Begitu operator Qakbot menggunakan komputer yang terinfeksi, mereka dapat mentransfer, menyewakan, atau menjual akses ke suar ini kepada pelanggan yang membayar.”

Sophos memiliki kiat untuk menghindari infeksi:
    Dekati email yang tidak biasa atau tidak terduga dengan hati-hati, bahkan ketika pesan tampak seperti balasan ke utas email yang ada. “Dalam kampanye Qakbot yang diselidiki oleh Sophos, tanda bahaya potensial bagi penerima adalah penggunaan frasa Latin di URL,” saran Sophos.Tim keamanan harus memeriksa bahwa perlindungan perilaku yang disediakan oleh teknologi keamanan mereka mencegah infeksi Qakbot terjadi. Perangkat jaringan juga akan memperingatkan administrator jika pengguna yang terinfeksi mencoba menyambung ke alamat C2 atau domain yang diketahui.

Daftar Hari Ini untuk Eksploitasi Log4j: Pelajaran yang Dipetik dan Praktik Terbaik Pengurangan Risiko – acara LIVE Threatpost yang dijadwalkan untuk Kam, 10 Maret pukul 14:00 ET. Bergabunglah dengan pakar kode Sonatype Justin Young saat ia membantu Anda mempertajam keterampilan berburu kode untuk mengurangi waktu diam penyerang. Pelajari mengapa Log4j masih berbahaya dan bagaimana SBOM masuk ke dalam keamanan rantai pasokan perangkat lunak. Daftar Sekarang untuk acara GRATIS satu kali ini, Disponsori oleh Sonatype.


Tulis komentar
Bagikan artikel ini:
  • Malwareliu
      iKeamanan Web

    • TENTANG EMKA.WEB>ID

    EMKA.WEB.ID adalah blog seputar teknologi informasi, edukasi dan ke-NU-an yang hadir sejak tahun 2011. Kontak: kontak@emka.web.id.

    ©2024 emka.web.id Proudly powered by wpStatically