Waspada serangan Email QBot menggunakan kombinasi PDF dan WSF untuk menginstal Malware

idNSA.id - Malware QBot sekarang didistribusikan dalam kampanye phishing menggunakan PDF dan Windows Script Files (WSF) untuk menginfeksi perangkat Windows.

Qbot (alias QakBot) adalah trojan perbankan sebelumnya yang berevolusi menjadi malware yang menyediakan akses awal ke jaringan perusahaan untuk pelaku ancaman lainnya. Akses awal ini dilakukan dengan menjatuhkan muatan tambahan, seperti Cobalt Strike, Brute Ratel, dan malware lain yang memungkinkan pelaku ancaman lain mengakses perangkat yang disusupi.

Dengan menggunakan akses ini, pelaku ancaman menyebar secara lateral melalui jaringan, mencuri data dan akhirnya menyebarkan ransomware dalam serangan pemerasan.

Mulai bulan ini, peneliti keamanan ProxyLife dan grup Cryptolaemus telah mencatat penggunaan metode distribusi email baru oleh Qbot – lampiran PDF yang mengunduh File Skrip Windows untuk menginstal Qbot di perangkat korban.

Dimulai dengan email

QBot saat ini sedang didistribusikan melalui email phishing berantai-balasan, ketika pelaku ancaman menggunakan pertukaran email curian dan kemudian membalasnya dengan tautan ke malware atau lampiran berbahaya.

Penggunaan email berantai balasan adalah upaya untuk membuat email phishing tidak terlalu mencurigakan karena ini adalah balasan atas percakapan yang sedang berlangsung. Email phishing menggunakan berbagai bahasa, menandai ini sebagai kampanye distribusi malware di seluruh dunia.

Terlampir pada email ini adalah file PDF bernama 'CancelationLetter-[number].pdf,' yang, ketika dibuka, menampilkan pesan yang menyatakan, "Dokumen ini berisi file yang dilindungi, untuk menampilkannya, klik tombol" buka "."

Namun, ketika tombol diklik, file ZIP yang berisi file Windows Script (wsf) akan diunduh sebagai gantinya.

File Skrip Windows diakhiri dengan ekstensi .wsf dan dapat berisi campuran kode JScript dan VBScript yang dijalankan ketika file diklik dua kali.

File WSF yang digunakan dalam kampanye distribusi malware QBot sangat dikaburkan, dengan tujuan akhir mengeksekusi skrip PowerShell di komputer.

Skrip PowerShell yang dijalankan oleh berkas WSF mencoba mengunduh DLL dari daftar URL. Setiap URL dicoba hingga file berhasil diunduh ke folder %TEMP% dan dijalankan.

Ketika QBot DLL dijalankan, itu akan menjalankan perintah PING untuk menentukan apakah ada koneksi internet. Malware kemudian akan menyuntikkan dirinya ke dalam program Windows wermgr.exe (Windows Error Manager) yang sah, di mana ia akan diam-diam berjalan di latar belakang.

Infeksi malware QBot dapat menyebabkan serangan yang menghancurkan pada jaringan perusahaan, sehingga penting untuk memahami bagaimana malware didistribusikan.

Afiliasi ransomware yang terkait dengan beberapa operasi Ransomware-as-a-Service (RaaS), termasuk BlackBasta, REvil, PwndLocker, Egregor, ProLock, dan MegaCortex, telah menggunakan Qbot untuk akses awal ke jaringan perusahaan.

Para peneliti di The DFIR Report telah menunjukkan bahwa hanya membutuhkan waktu sekitar 30 menit bagi QBot untuk mencuri data sensitif setelah infeksi awal. Lebih buruk lagi, aktivitas berbahaya hanya membutuhkan waktu satu jam untuk menyebar ke workstation yang berdekatan.

Oleh karena itu, jika perangkat terinfeksi QBot, sangat penting untuk membuat sistem offline sesegera mungkin dan melakukan evaluasi lengkap terhadap jaringan untuk perilaku yang tidak biasa.