Credit image: Pixabay
QBot balik maning!!. QBot yang dikenal sebagai Qakbot pada awalnya ditujukan sebagai trojan perbankan tetapi dalam perkembangannya menjadi penyusup malware.
Dari kabar terbaru diketahui bahwa Qakbot telah menyalahgunakan aplikasi Kalkulator Windows 7 untuk serangan DLL side loading setidaknya sejak 11 Juli.
DLL side loading adalah metode serangan yang memalsukan DLL yang sah dan menempatkannya di folder tempat sistem operasi memuatnya.
|
Baca juga: Diblokir Microsoft QBot Pakai Trik Baru |
Rantai penyebaran QBot
Berikut adalah penjelasan mengenai rantai penyebaran Qbot, diharapkan pemaparan ini dapat membantu untuk menangkal serangan Qbot.
- Email yang digunakan dalam kampanye terbaru membawa lampiran file HTML yang mengunduh arsip ZIP yang dilindungi kata sandi dengan file ISO di dalamnya.
- Kata sandi untuk membuka file ZIP ditampilkan dalam file HTML, dan alasan mengunci arsip adalah untuk menghindari deteksi antivirus.
- ISO berisi file .LNK, salinan ‘calc.exe’ (Kalkulator Windows), dan dua file DLL, yaitu WindowsCodecs.dll dan muatan bernama 7533.dll.
- Saat pengguna memasang file ISO, ia hanya menampilkan file .LNK, yang disamarkan agar terlihat seperti PDF yang menyimpan informasi penting atau file yang dibuka dengan browser Microsoft Edge.
- Namun, pintasan mengarah ke aplikasi Kalkulator di Windows, mengklik pintasan memicu infeksi dengan menjalankan Calc.exe melalui Command Prompt.
- Saat dimuat, Kalkulator Windows 7 secara otomatis mencari dan mencoba memuat file DLL WindowsCodecs yang sah. Namun, itu tidak memeriksa DLL di jalur harcoded tertentu.
- Dan akan memuat DLL apa pun dengan nama yang sama jika ditempatkan di folder yang sama dengan yang dapat dieksekusi Calc.exe.
- Pelaku memanfaatkan kelemahan ini dengan membuat file WindowsCodecs.dll berbahaya yang meluncurkan file .dll [bernomor] lainnya, yang merupakan malware QBot.
- Dengan menginstal QBot melalui program tepercaya seperti Kalkulator Windows, beberapa software keamanan mungkin tidak mendeteksi malware saat dimuat, sehingga pelaku ancaman dapat menghindari deteksi.
- Perlu dicatat, bahwa kelemahan sideloading DLL ini tidak lagi berfungsi di Windows 10 Calc.exe dan yang lebih baru, itulah sebabnya pelaku menggabungkan versi Windows 7.
Meskipun operasi QBot jarang dilakukan, namun malware ini telah ada sejak 2009 dan sejak dulu sering menyusupkan ransomware melalui Emotet
Di antara keluarga ransomware yang dikirimkan QBot adalah RansomExx, Maze, ProLock, dan Egregor. Sedangkan yang terbaru adalah ransomware Black Basta.
|
Baca juga: BlitzKriegh Serangan Kilat Ala QBot |
Menangkal Qbot
Malware Qakbot sangat aktif, dan mereka terus-menerus menyesuaikan strategi mereka agar lebih efektif dan memiliki pengaruh yang lebih besar.
Malware ini mencuri kredensial dan data sensitif pribadi dari perangkat korban dan kemudian menggunakannya untuk keuntungan finansial pelaku.
Selain dampak moneter langsung, ini juga dapat mengakibatkan kasus pencurian identitas, penipuan bagi siapa saja yang komputernya terinfeksi oleh Qakbot. Oleh karena itu:
- Hindari mengklik, atau mengunduh software atau file apapun dari pengirim yang mencurigakan dan tidak dikenal, baik email atau situs web.
- Disarankan bagi pengguna untuk memverifikasi apakah suatu file sah sebelum membukanya.
- Selanjutnya, menggunakan otentikasi multifaktor bersama dengan memiliki kata sandi yang kuat dan rutin memperbarui kata sandi mereka.
- Menggunakan program antivirus dan perangkat lunak keamanan internet yang terkenal dan bereputasi baik di semua perangkat pengguna yang terhubung,
Sudah seharusnya perangkat komputer desktop, laptop, dan gadget seluler menggunakan antivirus, seperti antivirus ESET yang sudah terbukti kehandalannya.
Semoga bahasan mengenai QBot balik maning ini dapat menambah wawasan mengenai ancaman siber terbaru dan bermanfaat bagi pembacanya.
|
Baca lainnya: |
Sumber berita:
