PDF dan WSF Sebar Qbot

Ancaman phising terbaru yakni PDF dan WSF sebar Qbot sedang marak mengancam banyak pengguna sistem operasi besutan Microsoft.

Malware QBot sekarang didistribusikan dalam kampanye phising menggunakan PDF dan Windows Script Files (WSF) untuk menginfeksi perangkat Windows.

Baca juga: Metode Phising QRIS Palsu

Malware Qbot

Qbot adalah bekas trojan perbankan yang berevolusi menjadi malware yang menyediakan akses awal ke jaringan perusahaan untuk pelaku ancaman lainnya.

Akses awal ini dilakukan dengan menyusupkan muatan tambahan, seperti Cobalt Strike, Brute Ratel, dan malware lainnya yang memungkinkan pelaku lain mengakses perangkat yang disusupi.

Dengan menggunakan akses ini, pelaku menyebar secara lateral melalui jaringan, mencuri data, dan akhirnya menyebarkan ransomware dalam serangan pemerasan.

Dalam aktivitas terbaru mereka, malware Qbot diketahui menggunakan metode distribusi email baru melalui lampiran PDF yang mengunduh Windows Script Files untuk menginstal Qbot di perangkat korban.

Baca juga: Bisnis Phising Telegram

Cara Kerja Qbot

QBot saat ini sedang didistribusikan melalui email phising berantai balas, yaitu ketika pelaku menggunakan pertukaran email yang dicuri dan kemudian membalasnya dengan tautan ke malware atau lampiran berbahaya.

Penggunaan email rantai balasan adalah upaya untuk membuat email phising tidak dicurigai karena merupakan balasan untuk percakapan yang sedang berlangsung.

Email phising menggunakan berbagai bahasa, menandai ini sebagai kampanye distribusi malware di seluruh dunia.

• Terlampir pada email ini adalah file PDF bernama ‘CancelationLetter-[angka].pdf ,’ yang ketika dibuka menampilkan pesan yang menyatakan, “Dokumen ini berisi file yang dilindungi, untuk menampilkannya, klik tombol “buka”.
• Namun, saat tombol diklik, file ZIP yang berisi Windows Script Files (WSF) akan diunduh.
• Windows Script Files diakhiri dengan ekstensi .wsf dan dapat berisi campuran kode JScript dan VBScript yang dijalankan saat file diklik dua kali.
• File WSF yang digunakan dalam kampanye distribusi malware QBot sangat disamarkan, dengan tujuan akhir mengeksekusi skrip PowerShell di komputer.
• Skrip PowerShell yang dijalankan oleh file WSF mencoba mengunduh DLL dari daftar URL. Setiap URL dicoba hingga file berhasil diunduh ke folder %TEMP% dan dieksekusi.
• Ketika DLL QBot dijalankan, itu akan menjalankan perintah PING untuk menentukan apakah ada koneksi internet.
• Malware kemudian akan menyuntikkan dirinya ke program Windows wermgr.exe (Windows Error Manager) yang sah, di mana ia akan berjalan diam-diam di balik layar.

Baca juga: Phising Surat Tilang

Dampak Qbot

Infeksi malware QBot dapat menyebabkan serangan yang menghancurkan pada jaringan perusahaan, sehingga penting untuk memahami bagaimana malware didistribusikan.

Afiliasi Ransomware dalam operasi Ransomware-as-a-Service (RaaS), termasuk BlackBasta, REvil, PwndLocker, Egregor, ProLock, dan MegaCortex, telah menggunakan Qbot untuk akses awal ke jaringan perusahaan.

QBot hanya membutuhkan waktu sekitar 30 menit untuk mencuri data sensitif setelah infeksi awal. Lebih buruk lagi, aktivitas jahat hanya membutuhkan waktu satu jam untuk menyebar ke workstation yang berdekatan.

Oleh karena itu, jika perangkat terinfeksi QBot, sangat penting untuk membuat sistem offline sesegera mungkin dan melakukan evaluasi lengkap terhadap jaringan untuk mengetahui perilaku yang tidak biasa.

Sumber berita:

WeLiveSecurity