Qbot juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot adalah trojan perbankan Windows modular dengan fitur worm yang digunakan setidaknya sejak 2007 untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan, serta untuk menyusupkan backdoor pada komputer yang disusupi dan menyebarkan Cobalt Suar pemogokan.
Malware ini juga dikenal menginfeksi perangkat lain di jaringan yang disusupi menggunakan eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif yang menargetkan akun admin Active Directory.
Meskipun aktif selama lebih dari satu dekade, malware Qbot telah terutama digunakan dalam serangan yang sangat bertarget terhadap entitas perusahaan karena mereka memberikan pengembalian investasi yang lebih tinggi.
|
Baca juga: Malware Penghapus Data Rusia Ikut Bombardir Ukraina |
Simbiosis Qbot
Beberapa geng ransomware, termasuk REvil, Egregor, ProLock, PwndLocker, dan MegaCortex, juga telah menggunakan Qbot untuk menembus jaringan perusahaan.
Karena infeksi Qbot dapat menyebabkan infeksi berbahaya dan serangan yang sangat mengganggu, admin TI dan profesional keamanan harus terbiasa dengan malware ini, taktik yang digunakan untuk menyebar ke seluruh jaringan, dan yang digunakan oleh operator botnet untuk mengirimkannya ke target baru.
Laporan Microsoft dari Desember 2021 menangkap keserbagunaan serangan Qbot, membuatnya lebih sulit untuk mengevaluasi cakupan infeksinya secara akurat.
Serangan Baru Qbot
Setelah pada bulan Oktober 2021 dan Februari 2022 melakukan serangan kilat atau serangan dengan kecepatan tinggi yang hanya membutuhkan setengah jam untuk mencuri data browser dan email dari Outlook dan 50 menit sebelum mereka melompat ke workstation yang berdekatan.
Kali ini mereka berulah lagi dengan gaya barunya. Botnet Qbot sekarang mendorong muatan malware melalui email phising dengan lampiran arsip ZIP yang dilindungi kata sandi yang berisi paket Penginstal Windows MSI yang berbahaya.
Respons Qbot
Ini adalah pertama kalinya operator Qbot menggunakan taktik ini, beralih dari cara standar mereka mengirimkan malware melalui email phising yang menyusupkan dokumen Microsoft Office dengan makro berbahaya pada perangkat target.
Para pakar keamanan menduga langkah ini mungkin merupakan reaksi langsung terhadap Microsoft yang mengumumkan rencana untuk menghentikan pengiriman malware melalui makro VBA Office pada bulan Februari setelah menonaktifkan makro Excel 4.0 (XLM) secara default pada bulan Januari.
|
Baca juga: Trik Hacker Menyusupkan Malware ke Perangkat |
Fitur Blokir
Microsoft telah mulai meluncurkan fitur blokir otomatis makro VBA ke pengguna Office untuk Windows pada awal April 2022, dimulai dengan Versi 2203 di Saluran Saat Ini (Pratinjau) dan ke saluran rilis lain dan versi yang lebih lama nanti.
Meskipun berbagai metode email yang digunakan pelaku untuk mengirimkan Qakbot, operasi ini memiliki kesamaan penggunaan makro berbahaya dalam dokumen Office, khususnya makro Excel 4.0.
Perlu dicatat bahwa sementara ancaman yang datang menggunakan makro Excel 4.0 sebagai upaya untuk menghindari deteksi, fitur ini sekarang dinonaktifkan secara default dan dengan demikian mengharuskan pengguna untuk mengaktifkannya secara manual agar ancaman tersebut dapat dieksekusi dengan benar.
Ini adalah peningkatan keamanan yang signifikan untuk melindungi pelanggan Office karena menggunakan makro VBA berbahaya yang disematkan dalam dokumen Office adalah metode umum untuk mendorong berbagai jenis malware dalam serangan phising, termasuk Qbot, Emotet, TrickBot, dan Dridex.
|
Baca lainnya: |
