Trik Baru Emotet Tipu-tipu Pakai App Installer

Emotet seperti mitos rubah yang punya 9 nyawa, meski sempat dilumpuhkan, mereka bangkit kembali dari kubur dan berlakon lagi di dunia maya sebagai aktor antagonis paling menjengkelkan di dunia. Mereka datang membawa trik baru untuk mengelabui siapa saja yang ada di jalannya.

Setelah botnetnya berhasil dilumpuhkan, malware Emotet sekarang mendistribusikan dirinya melalui paket Penginstal Aplikasi Windows berbahaya yang berpura-pura menjadi perangkat lunak Adobe PDF.

Emotet adalah infeksi malware terkenal yang menyebar melalui email phising dan lampiran berbahaya. Setelah diinstal, ia akan mencuri email korban untuk operasi spam lainnya dan menyebarkan malware seperti TrickBot dan Qbot, yang biasanya mengarah pada serangan ransomware.

Pelaku ancaman di balik Emotet sekarang menginfeksi sistem dengan menginstal paket berbahaya menggunakan fitur bawaan Windows 10 dan Windows 11 yang disebut App Installer atau Penginstal Aplikasi.

Peneliti sebelumnya melihat metode yang sama digun​akan untuk mendistribusikan malware BazarLoader di mana ia menginstal paket berbahaya yang dihosting di Microsoft Azure.

Cara kerja Emotet

Menggunakan URL dan sampel email yang dibagikan oleh grup pelacak Emotet menunjukkan adanya alur serangan operasi email phising baru. Berikut langkah-langkah serangan yang merekalakukan:

• Operasi Emotet baru ini dimulai dengan email rantai balasan curian yang muncul sebagai balasan untuk percakapan yang ada.
• Balasan ini hanya memberi tahu penerima untuk “Silakan lihat lampiran” dan berisi tautan ke PDF yang diduga terkait dengan percakapan email.
• Ketika tautan diklik, pengguna akan dibawa ke halaman Google Drive palsu yang meminta mereka untuk mengklik tombol untuk melihat pratinjau dokumen PDF.
• Tombol ‘Pratinjau PDF’ ini adalah URL ms-appinstaller yang membuka file appinstaller yang dihosting di Microsoft Azure menggunakan URL di *.web.core.windows.net.
• Misalnya, tautan di atas akan membuka paket pemasang aplikasi di URL contoh berikut: ms-appinstaller:?source=https://xxx.z13.web.core.windows.net/abcdefghi.appinstaller.
• File appinstaller hanyalah file XML yang berisi informasi tentang penerbit yang ditandatangani dan URL ke appbundle yang akan diinstal.
• Saat mencoba membuka file .appinstaller, browser Windows akan menanyakan apakah Anda ingin membuka program Windows App Installer untuk melanjutkan.
• Setelah Anda setuju, Anda akan diperlihatkan jendela Penginstal Aplikasi yang meminta untuk menginstal ‘Adobe PDF Component.’
• Paket berbahaya tersebut terlihat seperti aplikasi Adobe yang sah, karena memiliki ikon Adobe PDF yang sah, sertifikat valid yang menandainya sebagai ‘Aplikasi Tepercaya’, dan informasi penerbit palsu. Jenis validasi dari Windows ini lebih dari cukup bagi banyak pengguna untuk mempercayai aplikasi dan menginstalnya.
• Setelah pengguna mengklik tombol ‘Instal’, Penginstal Aplikasi akan mengunduh dan menginstal appxbundle berbahaya yang dihosting di Microsoft Azure. Appxbundle ini akan menginstal DLL di folder %Temp% dan menjalankannya dengan rundll32.exe.
• Proses ini juga akan menyalin DLL sebagai file dan folder bernama acak di %LocalAppData%.
• Terakhir, autorun akan dibuat di bawah HKCU\Software\Microsoft\Windows\CurrentVersion\Run untuk meluncurkan DLL secara otomatis saat pengguna masuk ke Windows.

Emotet adalah malware yang paling banyak didistribusikan di masa lalu sampai operasi penegakan hukum menutup dan menyita infrastruktur botnet. Sepuluh bulan kemudian, Emotet dibangkitkan dengan mulai membangun kembali kekuatannya melalui bantuan trojan TrickBot.

Sehari kemudian, operasi spam Emotet dimulai dengan email yang dikirim ke kotak surat pengguna dengan berbagai umpan dan dokumen berbahaya yang menginstal malware.

Operasi ini telah memungkinkan Emotet untuk membangun kehadirannya dengan cepat, dan sekali lagi, melakukan operasi phising skala besar yang menginstal TrickBot dan Qbot.

Karena operasi emotet biasanya mengarah pada serangan ransomware. Admin Windows harus mengetahui metode distribusi malware dan melatih karyawan untuk mengenali operasi Emotet sebagai cara untuk terhindar menjadi korban Emotet.