Operasi malware Emotet sekali lagi melakukan spamming email berbahaya pada Selasa pagi setelah jeda tiga bulan, membangun kembali jaringannya dan menginfeksi perangkat di seluruh dunia.
Emotet adalah malware terkenal yang didistribusikan melalui email yang berisi lampiran dokumen Microsoft Word dan Excel yang berbahaya. Saat pengguna membuka dokumen ini dan makro diaktifkan, DLL Emotet akan diunduh dan dimuat ke dalam memori.
Setelah Emotet dimuat, malware akan duduk dengan tenang, menunggu instruksi dari server perintah dan kontrol jarak jauh.
Pada akhirnya, malware tersebut akan mencuri email dan kontak korban untuk digunakan dalam kampanye Emotet di masa mendatang atau mengunduh muatan tambahan seperti Serangan Kobalt atau malware lain yang biasanya mengarah ke serangan ransomware.
Sementara Emotet telah dianggap sebagai malware yang paling banyak didistribusikan di masa lalu, secara bertahap melambat, dengan operasi spam terakhirnya terlihat pada November 2022. Namun, spamming hanya berlangsung dua minggu.
Emotet kembali pada tahun 2023
Hari ini, perusahaan keamanan siber Kopi dan grup pelacak Emotet Cryptolaemus memperingatkan bahwa botnet Emotet sekali lagi melanjutkan pengiriman email.
“Pada 1200UTC Ivan akhirnya mendapat E4 untuk mengirim spam. Kami melihat template Red Dawn yang sangat besar datang dengan ukuran lebih dari 500MB. Saat ini melihat aliran spam yang layak. Septet URL payload dan makro jelek,” tweet Cryptolaemus.
Cofense juga mengonfirmasi kepada BleepingComputer bahwa kampanye spam dimulai pada pukul 7:00 ET, dengan volume saat ini masih rendah.
“Email pertama yang kami lihat sekitar pukul 07.00 EST. Volume tetap rendah saat ini karena mereka terus membangun kembali dan mengumpulkan kredensial baru untuk meningkatkan dan mengarahkan buku alamat ke target,” kata Cofense kepada BleepingComputer.
Alih-alih menggunakan email rantai balasan seperti di kampanye sebelumnya, pelaku ancaman menggunakan email yang berpura-pura menjadi faktur, seperti yang ditunjukkan di bawah ini.
Sumber: Cofense
Terlampir pada email ini adalah arsip ZIP yang berisi dokumen Word yang digelembungkan dengan ukuran lebih dari 500 MB. Mereka bengkak untuk mempersulit solusi antivirus untuk memindai dan mendeteksinya sebagai berbahaya.
Dokumen Microsoft Word ini menggunakan Emotet ‘Fajar Merah‘ template dokumen, meminta pengguna untuk mengaktifkan konten pada dokumen untuk melihatnya dengan benar.
Sumber: BleepingComputer
Dokumen-dokumen ini berisi kumpulan makro yang akan mengunduh pemuat Emotet sebagai DLL dari situs yang disusupi, banyak di antaranya adalah blog WordPress yang diretas.
Sumber: BleepingComputer
Saat diunduh, Emotet akan disimpan ke folder dengan nama acak di bawah %LocalAppData% dan diluncurkan menggunakan regsvr32.exe.
Sumber: BleepingComputer
Seperti dokumen Word, DLL Emotet telah membengkak menjadi 526MB untuk menghalangi kemampuan mendeteksinya sebagai berbahaya oleh perangkat lunak antivirus.
Teknik penghindaran ini menunjukkan keberhasilan, seperti yang diilustrasikan dalam a Pemindaian VirusTotal di mana malware hanya terdeteksi oleh satu vendor keamanan dari 64 mesin, dengan vendor tersebut hanya mendeteksi bahwa malware tersebut membengkak.
Sumber: BleepingComputer
Setelah dijalankan, malware akan berjalan di latar belakang, menunggu perintah, yang kemungkinan akan memasang muatan lebih lanjut di perangkat
Muatan memungkinkan pelaku ancaman lain untuk mengakses perangkat dari jarak jauh, yang kemudian digunakan untuk menyebar lebih jauh di jaringan yang disusupi.
Serangan ini biasanya mengarah pada pencurian data dan serangan ransomware besar-besaran pada jaringan yang dilanggar.
Cofense mengatakan bahwa mereka belum melihat muatan tambahan dijatuhkan sekarang, dan malware hanya mengumpulkan data untuk kampanye spam di masa mendatang.
Perubahan terbaru Microsoft menyelamatkan hari
Sementara Emotet sedang membangun kembali jaringannya, metode saat ini mungkin tidak terlalu berhasil setelah perubahan terbaru oleh Microsoft.
Pada Juli 2022, Microsoft akhirnya menonaktifkan makro secara default dalam dokumen Microsoft Office yang diunduh dari Internet.
Karena perubahan ini, pengguna yang membuka dokumen Emotet akan disambut dengan pesan yang menyatakan bahwa makro dinonaktifkan karena sumber file tidak dipercaya.
Sumber: BleepingComputer
analis kerentanan senior ANALYGENCE, Will Dormannmemberi tahu BleepingComputer bahwa perubahan ini juga memengaruhi lampiran yang disimpan dari email.
Untuk sebagian besar pengguna yang menerima email Emotet, fitur ini kemungkinan besar akan melindungi mereka dari pengaktifan makro yang salah kecuali mereka melakukan upaya bersama untuk mengaktifkannya.
Perubahan ini telah menyebabkan pelaku ancaman lain menjauh dari dokumen Word dan Excel dan menyalahgunakan format file lainnya, seperti Microsoft OneNotegambar ISO, dan file JS.
Tidak mengherankan melihat Emotet juga berpindah ke jenis lampiran yang berbeda setelah kampanye awal ini tidak berjalan sebagaimana mestinya.
