Trik Baru Emotet Eksploitasi LNK

Layaknya burung Phoenix yang dapat bangkit dari abunya sendiri, botnet Emotet yang merupakan salah satu botnet paling berbahaya juga mempunyai kemampuan serupa, bangkit dari kematiannya dan membombardir dunia dengan spam dalam jumlah besar selama bulan Maret dan April 2022.

Hal ini termaktub dengan jelas dalam studi ESET yang dipublikasikan pada laporan ancaman keamanan 2022 dimana diketahui bahwa deteksi botnet Emotet tumbuh lebih dari satu seratus kali lipat dalam empat bulan pertama tahun 2022 dibandingkan dengan empat bulan terakhir tahun 2021.

Sebagian besar aktivitas ini melibatkan dokumen Word yang tercemar makro jahat. Karena Microsoft memperketat penanganan default file yang mendukung makro, memaksa penerima untuk mengklik “Enable Content” tidak akan menjadi taktik yang bertahan lama. Apa artinya ini bagi Emotet? Mungkinkah ancaman yang sangat meluas ini bahkan terlupakan hanya beberapa bulan setelah menghilangkan efek dari operasi penegakan hukum yang dipuji sebagai salah satu yang terbesar dari jenisnya? Tidak terlalu cepat. Operator Emotet tidak dikenal suka berpuas diri.

Emotet multi fungsi

Pertama kali terlihat sebagai trojan perbankan pada Juni 2014, Emotet telah berubah secara drastis menjadi platform kejahatan sebagai layanan, menjual akses ke sistem yang disusupi ke kelompok kriminal lainnya. Jadi, begitu Emotet berjalan di komputer, biasanya Emotet mengunduh dan mengeksekusi jenis malware lain, seperti Dridex, Gootkit, IcedId, Nymaim, Qbot, TrickBot, Ursnif, dan Zbot.

Emotet memiliki desain program modular, dengan modul utama yang disebarkan melalui kampanye spam besar-besaran yang mendistribusikan email yang berisi dokumen Microsoft Word berbahaya. Emotet kemudian menggunakan modul tambahan untuk:

• Menyebar lebih jauh dengan mengumpulkan dan mengirimkan email spam
• Menyebar ke jaringan Wi-Fi terdekat yang tidak aman dengan membahayakan pengguna yang terhubung
• Jaringan brute-force berbagi nama pengguna dan kata sandi
• Mengubah sistem yang dikompromikan menjadi proxy dalam infrastruktur komando dan kontrolnya
• Menyalahgunakan aplikasi Nirsoft yang sah, seperti MailPassView dan WebBrowserView, yang masing-masing dapat memulihkan kata sandi dari klien email populer dan browser web.
• Mencuri alamat email dan nama dari contoh Microsoft Outlook sistem yang disusupi
• Mencuri semua pesan email dan lampiran dari sistem yang disusupi

Pada tahun 2018, Emotet menghidupkan kembali teknik yang efektif, pembajakan utas email untuk meningkatkan kemungkinan calon korban membuka lampiran email. Trik ini mencuri percakapan email yang ditemukan di kotak masuk sistem yang disusupi dan menggunakannya kembali dalam kampanye spamnya. Ini, tentu saja, cara yang sangat efektif untuk menambahkan legitimasi ke email berbahaya:

Jika korban mengekstrak dokumen Word sarat makro dari arsip ZIP, buka, lalu klik “Enable Content”, makro jahat dapat berjalan, akhirnya mengunduh Emotet.

Langkah Microsoft pada 30 Februari 2022, bisa dikatakan untuk membuang tombol “Enable Content” datang pada saat Emotet pulih dari upaya penghapusan tahun lalu, yang kemudian membuat kampanye spam secara massal pada bulan Maret dan April 2022. Dengan memperhatikan perubahan tersebut, pengembang Emotet telah beralih bereksperimen dengan berbagai teknik untuk menggantikan ketergantungan mereka pada makro sebagai tahap kode awal dari platform pengiriman malware mereka.

Dari Word ke LNK

Antara 26 April dan 2 Mei 2022, peneliti ESET melakukan pengujian sampel dari kampanye spam yang dijalankan oleh operator Emotet di mana mereka menggProsperita, News Prosperita, ESET, Antivirus ESET, Antivirus Terbaik, Antivirus Super Ringan, Antivirus Super, Antivirus Superb, Antivirus Canggih, Antivirus Komprehensif, Antivirus Tangguh, Antivirus Hebat, Antivirus Top, Antivirus Populer, Antivirus Andal, Antivirus Andalan, Antivirus Jempolan, Antivirus Nomor Satu, Antivirus Nomor Wahid, Antivirus Papan Atas,anti dokumen Microsoft Word biasa dengan file pintasan (LNK) sebagai lampiran berbahaya.

Lampiran ini jika diklik dua kali, file pintasan dapat mengaktifkan skrip PowerShell yang mengunduh dan menjalankan Emotet. Deteksi terbanyak berada di Jepang (28%), Italia (16%), dan Meksiko (11%).

Dalam kampanye pengujian sebelumnya antara 4 April dan 19 April, operator Emotet menarik korban ke arsip ZIP, yang disimpan di OneDrive yang berisi file Microsoft Excel Add-in (XLL), yang digunakan untuk menambahkan fungsi kustom ke Excel. Jika diekstrak dan dieksekusi, file-file ini akan menjalankan Emotet.

Ketika operator Emotet pertama kali menghidupkan kembali botnet mereka dari upaya penghapusan pada akhir tahun 2021, kampanye lain ditemukan yang menggunakan Cobalt Strike Beacon, alat pentesting yang populer. Dengan menggunakan Beacon, operator Emotet dapat mengurangi waktu untuk menyebarkan muatan terakhir mereka, seringkali ransomware.

Mengurangi malware makro

Mengirim dokumen yang berisi makro melalui email merupakan hal umum di lingkungan perusahaan dan dapat berfungsi sebagai teknik untuk mengirimkan malware saat makro tersebut berbahaya. Menyadari potensi penyalahgunaan makro ini, selama masa kejayaan Word 97 Microsoft memperkenalkan fitur keamanan bawaan pertama di Word yang memblokir makro Visual Basic for Applications (VBA) agar tidak berjalan:

Fitur ini terus dikembangkan di versi Office yang lebih baru, sekarang mungkin paling dikenal melalui tombol “Enable Content” yang diperkenalkan di Office 2010:

Sejak itu, dua klik biasanya diperlukan untuk mengaktifkan makro: pertama, mengklik “Enable Editing”, yang menghapus dokumen dari Tampilan Terproteksi, fitur keamanan yang diterapkan sejak Office 2010 yang menyediakan lingkungan sandbox read-only; kedua, mengklik “Enable Content”, yang memungkinkan makro berjalan. Selama kebijakan admin tidak ada untuk mencegah penerima mengklik, makro berhasil dimuat dan dijalankan.

Meskipun pemblokiran makro membantu membatasi pengiriman malware, pelaku jahat seperti operator Emotet, mengadaptasi upaya mereka dengan berfokus pada menipu korban agar mengklik untuk mengaktifkan makro.

Dengan peluncuran bertahap mulai April 2022, Microsoft telah memperketat penanganan default file berkemampuan makro yang diunduh dari internet dengan sepenuhnya menghapus opsi untuk mengklik “Enable Content”. Setelah perubahan ini diterapkan, makro masih diblokir agar tidak berjalan seperti sebelumnya. Jadi untuk menjalankannya, data tentang zona file terkadang disebut Mark of the Web perlu dihapus, atau file harus berasal dari zona dengan tingkat kepercayaan yang lebih tinggi daripada internet. Ini adalah tindakan yang jauh lebih kompleks untuk merekayasa penerima secara sosial dan dengan demikian akan membantu menghalangi kampanye spam di masa mendatang.

Karena peningkatan manfaat keamanan yang ditawarkan oleh perubahan ini hanya sekuat Mark of the Web, mari selami lebih dalam apa itu, bagaimana digunakan untuk menentukan kapan memblokir makro agar tidak berjalan, dan bagaimana spammer mencoba melewatinya.

Tips keamanan

Ketahuilah bahwa beberapa perangkat lunak tidak menambah atau menyebarkan aliran Zone.Identifier, setidaknya tidak secara konsisten. Misalnya, menggunakan 7-Zip untuk mengekstrak file .exe dari arsip yang diunduh dari internet tidak menyebarkan Zone.Identifier arsip ke isinya, artinya tidak ada Mark of the Web untuk memicu blok keamanan atau peringatan apa pun jika ada dari file yang diekstrak dijalankan. Zone.Identifier disebarkan, bagaimanapun, dengan mengklik dua kali pada .exe dari dalam arsip.

Mengingat penghapusan tombol “Enable Content”, daftar praktis yang melacak apakah pengarsip file mendukung Mark of the Web telah dikompilasi di GitHub di sini.

Untuk organisasi yang mengandalkan makro sebagai bagian dari alur kerja karyawan, admin TI mungkin perlu menyesuaikan kebijakan tentang cara Office menangani makro. Lebih lanjut, organisasi harus memanfaatkan kesempatan ini untuk meninjau sikap keamanan mereka terhadap ancaman vektor melalui email dengan hal berikut:

• Gunakan solusi keamanan email yang dapat memblokir phishing, spam, dan email berbahaya lainnya agar tidak masuk ke kotak masuk.
• Jalankan latihan simulasi phishing untuk menguji dan memperbarui kesadaran keamanan karyawan.
• Pertimbangkan untuk menerapkan solusi deteksi dan respons yang dapat membantu melacak apakah akar penyebab serangan siber di jaringan Anda adalah email berbahaya atau vektor lain.

Penutupan era tombol “Enable Content” yang akan datang memiliki dua konsekuensi. Pertama, pengguna dapat mengharapkan perlindungan yang lebih baik terhadap makro jahat yang dikirimkan melalui email. Kedua, bahwa spammer seperti Emotet sedang mengadaptasi taktik favorit mereka untuk menipu calon korban mereka. Jika salah satu eksperimen ini terbukti berhasil, kami dapat memperkirakan kampanye jahat baru akan masuk ke kotak masuk, yang berarti bahwa kewaspadaan berkelanjutan terhadap ancaman berbasis email harus tetap menjadi perhatian utama.