Trik Phising Baru Kirimi Korban Email Pemecatan

Bagaimana perasaan seseorang jika tiba-tiba mendapatkan email yang berisi pemecatan dirinya? Secara psikologis situasi seperti ini akan membuat kebanyakan orang biasanya sangat sedih sehingga tidak dapat berpikir dengan jernih.

Saat seperti inilah orang cenderung kehilangan kewaspadaannya, lagi pula apalagi yang bisa lebih buruk daripada yang mereka alami saat itu. Kesedihan melarutkan semua kecurigaan sehingga mudah untuk dimanipulasi dan dieksploitasi, memakan umpan jebakan phising dengan mengklik tautan semudah itu.

Trik semacam ini yang digunakan dalam operasi siber terbaru malware Dridex dalam melancarkan umpan phising menggunakan email pemecatan karyawan palsu, sebagai tipu daya psikologi yang membuat seseorang dengan tanpa berpikir panjang membuka dokumen Excell berbahaya.

Evolusi Dridex terbaru

Dridex adalah malware perbankan yang menyebar melalui email berbahaya yang awalnya dikembangkan untuk mencuri kredensial perbankan online. Dalam setiap kemunculannya, ESET seringkali berhadapan dengan Dridex yang terus menerus berevolusi

Seiring waktu, dalam evolusi berikutnya, pengembang mengembangkan malware untuk menggunakan modul berbeda yang memberikan perilaku berbahaya tambahan, seperti menginstal muatan malware lain, menyediakan akses jarak jauh ke pelaku, atau menyebar ke perangkat lain di jaringan.

Malware ini dibuat oleh kelompok peretas yang dikenal sebagai Evil Corp, yang berada di balik berbagai operasi ransomware, seperti BitPaymer, DoppelPaymer, varian WastedLocker, dan Duka. Karena itu, infeksi Dridex diketahui menyebabkan serangan ransomware pada jaringan yang disusupi.

Cara kerja phising Dridex

Para peneliti keamanan menemukan bahwa Dridex kembali melakukan jebakan baru, kali ini para korbannya mereka kirimi email pemecatan karyawan palsu. Email ini menggunakan subjek “Pemutusan Hubungan Kerja” dan memberi tahu penerima bahwa pekerjaan mereka akan berakhir pada 24 Desember 2021, dan bahwa “keputusan ini tidak dapat dibatalkan”.

Email tersebut menyertakan spreadsheet terlampir yang dilindungi kata sandi Excel bernama ‘TermLetter.xls’ yang diduga berisi informasi tentang mengapa mereka dipecat dan kata sandi yang diperlukan untuk membuka dokumen.

Ketika penerima membuka spreadsheet Excel dan memasukkan kata sandi, sebuah formulir yang berisi tulisan yang samar dan sulit dibaca ditampilkan. Dan dalam keterangan dalam formulir mengatakan bahwa mereka harus klik “Enable Content” jika ingin melihatnya dengan lebih jelas.

Saat korban Mengaktifkan Konten, sebuah popup akan ditampilkan untuk menjebak korban dengan peringatan yang menyatakan, “Selamat X-Mas Karyawan yang Terhormat!”

Namun, tanpa sepengetahuan korban, makro berbahaya telah dieksekusi yang membuat dan meluncurkan file HTA berbahaya yang disimpan ke folder C:\ProgramData.

File HTA dengan nama acak ini berpura-pura menjadi file RTF tetapi berisi VBScript berbahaya yang mengunduh Dridex dari Discord untuk menginfeksi perangkat, sambil mengucapkan Selamat Natal kepada korban.

Sebagai “lelucon” tambahan, pengembang malware Dridex memberi nama pada file Dridex yang diunduh dari Discord dengan nama file ‘jesusismyfriend.bin.’

Setelah Dridex diluncurkan, ia akan mulai menginstal malware tambahan, mencuri kredensial, dan melakukan perilaku jahat lainnya.

Saran ESET

Email phising selalu mengubah trik untuk memperdaya korban, pelaku akan terus mencari cara menyerang psikologis sasarannya. Trik biasa disebut sebagai social engineering atau trik meretas manusia atau human hacking.

Untuk mencegah email semacam ini, pengguna harus selalu waspada dan tidak terburu-buru mengambil keputusan. Selalu melakukan cek dan ricek untuk memastikan segalanya, apalagi yang terkait dengan email.

Oleh karena itu, jika menerima email yang menyatakan bahwa Anda dipecat tepat sebelum Natal, pastikan untuk menghubungi departemen sumber daya manusia atau atasan sebelum membuka email tersebut.

Karena infeksi Dridex biasanya menyebabkan serangan ransomware, admin Windows harus tetap mengetahui metode distribusi malware terbaru dan melatih karyawan tentang cara menemukannya juga.