Aktor Ancaman Sebarkan Malware Emotet Melalui File Microsoft OneNote

Cyberthreat.id – Malware Emotet saat ini didistribusikan menggunakan lampiran email Microsoft OneNote, yang bertujuan untuk melewati batasan keamanan Microsoft dan menginfeksi lebih banyak target.

Emotet adalah botnet malware terkenal yang secara historis didistribusikan melalui lampiran Microsoft Word dan Excel yang berisi makro berbahaya. Jika pengguna membuka lampiran dan mengaktifkan makro, DLL akan diunduh dan dieksekusi yang menginstal malware Emotet di perangkat.

Dikutip dari https://www.bleepingcomputer.com/news/security/emotet-malware-now-distributed-in-microsoft-onenote-files-to-evade-defenses/Bleeping Computer, setelah dimuat, malware akan mencuri kontak email dan konten email untuk digunakan dalam kampanye spam di masa mendatang. Itu juga akan mengunduh muatan lain yang menyediakan akses awal ke jaringan perusahaan. Akses ini digunakan untuk melakukan serangan siber terhadap perusahaan, yang dapat mencakup serangan ransomware, pencurian data, spionase siber, dan pemerasan.

Meskipun Emotet adalah salah satu malware yang paling banyak didistribusikan di masa lalu, selama setahun terakhir, itu akan berhenti dan mulai secara tiba-tiba, akhirnya berhenti menjelang akhir tahun 2022. Setelah tiga bulan tidak aktif, botnet Emotet tiba-tiba aktif kembali, memuntahkan email jahat ke seluruh dunia awal bulan ini.

Namun, kampanye awal ini cacat karena terus menggunakan dokumen Word dan Excel dengan makro. Karena Microsoft sekarang secara otomatis memblokir makro dalam dokumen Word dan Excel yang diunduh, termasuk yang dilampirkan ke email, kampanye ini hanya akan menginfeksi beberapa orang.

Karena itu, BleepingComputer memperkirakan Emotet akan beralih ke file Microsoft OneNote, yang telah menjadi metode populer untuk mendistribusikan malware setelah Microsoft mulai memblokir makro.

Seperti yang diperkirakan, dalam kampanye spam Emotet yang pertama kali ditemukan oleh peneliti keamanan abel, pelaku ancaman kini telah mulai mendistribusikan malware Emotet menggunakan lampiran berbahaya Microsoft OneNote. Lampiran ini didistribusikan dalam email rantai balasan yang menyamar sebagai panduan, petunjuk, faktur, referensi pekerjaan, dan banyak lagi.

Dokumen Microsoft OneNote yang menampilkan pesan yang menyatakan bahwa dokumen tersebut dilindungi. Ini kemudian meminta Anda untuk mengklik dua kali tombol 'Lihat' untuk menampilkan dokumen dengan benar. Microsoft OneNote memungkinkan Anda membuat dokumen yang berisi elemen desain yang menutupi dokumen yang disematkan. Namun, ketika Anda mengklik dua kali pada lokasi di mana file yang disematkan berada, meskipun ada elemen desain di atasnya, file tersebut akan diluncurkan.

Dalam kampanye malware Emotet ini, pelaku ancaman telah menyembunyikan file VBScript berbahaya bernama 'click.wsf' di bawah tombol “View”. VBScript ini berisi skrip yang sangat disamarkan yang mengunduh DLL dari situs web jarak jauh, yang kemungkinan disusupi, lalu menjalankannya.

Sementara Microsoft OneNote akan menampilkan peringatan ketika pengguna mencoba meluncurkan file yang disematkan di OneNote, sejarah telah menunjukkan kepada kita bahwa banyak pengguna biasanya mengklik tombol 'OK' untuk menghilangkan peringatan tersebut.

Skrip kemudian akan mengunduh malware Emotet sebagai DLL [VirusTotal] dan menyimpannya di folder Temp yang sama. Ini kemudian akan meluncurkan DLL bernama acak menggunakan regsvr32.exe.

Emotet sekarang akan diam-diam berjalan di perangkat, mencuri email, kontak, dan menunggu perintah lebih lanjut dari server perintah dan kontrol. Meskipun tidak diketahui muatan apa yang akhirnya dijatuhkan oleh kampanye ini, hal itu biasanya mengarah ke Cobalt Strike atau malware lain yang diinstal. Muatan ini memungkinkan pelaku ancaman yang bekerja dengan Emotet untuk mendapatkan akses ke perangkat dan menggunakannya sebagai batu loncatan untuk menyebar lebih jauh di jaringan.

Microsoft OneNote telah menjadi masalah distribusi malware yang masif, dengan beberapa kampanye malware menggunakan lampiran ini. Oleh karena itu, Microsoft akan menambahkan perlindungan yang lebih baik di OneNote terhadap dokumen phishing, tetapi tidak ada garis waktu khusus kapan ini akan tersedia untuk semua orang.

Namun, admin Windows dapat mengonfigurasi kebijakan grup untuk melindungi dari file Microsoft OneNote yang berbahaya. Admin dapat menggunakan kebijakan grup ini untuk memblokir file yang disematkan di Microsoft OneNote sama sekali atau memungkinkan Anda untuk menentukan ekstensi file tertentu yang harus diblokir agar tidak berjalan.