Kampanye phishing Emotet baru menargetkan pembayar pajak AS dengan meniru formulir pajak W-9 yang diduga dikirim oleh Internal Revenue Service dan perusahaan tempat Anda bekerja.
Emotet adalah infeksi malware terkenal yang didistribusikan melalui email phishing yang sebelumnya berisi dokumen Microsoft Word dan Excel dengan makro berbahaya yang menginstal malware.
Namun, setelah Microsoft mulai memblokir makro secara default dalam dokumen Office yang diunduh, Emotet beralih menggunakan file Microsoft OneNote dengan skrip tersemat untuk menginstal malware Emotet.
Setelah Emotet diinstal, malware akan mencuri email korban untuk digunakan di masa mendatang serangan rantai balasanmengirim email spam lebih lanjut, dan akhirnya menginstal malware lain yang memberikan akses awal ke pelaku ancaman lain, seperti geng ransomware.
Emotet bersiap untuk musim pajak AS
Operasi malware Emotet biasanya menggunakan kampanye phishing bertema bertepatan dengan hari libur dan aktivitas bisnis tahunan, seperti musim pajak AS saat ini.
Dalam kampanye phishing baru yang dilihat oleh peneliti keamanan di Malwarebytes Dan Unit Jaringan Palo Alto42malware Emotet menargetkan pengguna dengan email yang berisi lampiran formulir pajak W-9 palsu.
Dalam kampanye yang dilihat oleh Malwarebytes, pelaku ancaman mengirim email berjudul ‘Formulir Pajak IRS W-9,’ sambil menyamar sebagai ‘Inspektur’ dari Internal Revenue Service.
Email phishing ini berisi arsip ZIP bernama ‘W-9 form.zip’ yang berisi dokumen Word berbahaya. Dokumen Word ini telah diperluas hingga lebih dari 500MB untuk mempersulit perangkat lunak keamanan untuk mendeteksinya sebagai berbahaya.
Sumber: Malwarebytes
Namun, sekarang Microsoft memblokir makro secara default, pengguna cenderung mengalami kesulitan mengaktifkan makro dan terinfeksi menggunakan dokumen Word yang berbahaya.
Sumber: BleepingComputer
Dalam kampanye phishing yang dilihat oleh Brad Duncan dari Unit42, pelaku ancaman melewati batasan ini dengan menggunakan dokumen Microsoft OneNote dengan file VBScript tersemat yang menginstal malware Emotet.
Kampanye phishing ini menggunakan email rantai balasan yang berpura-pura berasal dari mitra bisnis yang mengirimkan Formulir W-9 kepada Anda, seperti yang ditunjukkan di bawah ini.
Sumber: Unit42
Dokumen OneNote terlampir akan berpura-pura dilindungi, meminta Anda mengklik dua kali tombol ‘Lihat’ untuk melihat dokumen dengan benar. Namun, tersembunyi di bawah tombol Lihat itu adalah dokumen VBScript yang akan diluncurkan sebagai gantinya.
Sumber: BleepingComputer
Saat meluncurkan file VBScript yang disematkan, Microsoft OneNote akan memperingatkan pengguna bahwa file tersebut mungkin berbahaya. Sayangnya, sejarah telah menunjukkan kepada kita bahwa banyak pengguna mengabaikan peringatan ini dan hanya membiarkan file berjalan.
Setelah dijalankan, VBScript akan mengunduh DLL Emotet dan menjalankannya menggunakan regsvr32.exe.
Malware sekarang akan diam-diam berjalan di latar belakang, mencuri email, kontak, dan menunggu muatan lebih lanjut untuk dipasang di perangkat.
Jika Anda menerima email yang mengklaim sebagai W-9 atau formulir pajak lainnya, pindai dokumen terlebih dahulu dengan perangkat lunak antivirus lokal Anda. Namun, karena sifat sensitif formulir ini, Anda tidak disarankan mengunggahnya ke layanan pemindaian berbasis cloud seperti VirusTotal.
Biasanya, formulir pajak didistribusikan sebagai dokumen PDF dan bukan sebagai lampiran Word, jadi jika Anda menerimanya, Anda harus menghindari membukanya dan mengaktifkan makro.
Terakhir, diragukan bahwa formulir pajak akan dikirim sebagai dokumen OneNote, jadi segera hapus email tersebut dan jangan buka jika Anda menerimanya.
Seperti biasa, garis pertahanan terbaik adalah membuang email apa pun dari orang yang tidak Anda kenal, dan jika Anda mengenal mereka, hubungi mereka melalui telepon terlebih dahulu untuk mengonfirmasi apakah mereka mengirimkannya.
