Botnet Emotet Mulai Aktif Kampanye Spam Email Setelah Jeda Lima Bulan

Cyberthreat.id – Para peneliti dari kelompok riset Emotet Cryptolaemus melaporkan bahwa sekitar pukul 04:00 ET pada tanggal 2 November, operasi Emotet tiba-tiba hidup kembali, mengirim spam ke alamat email di seluruh dunia, setelah memutuskan hiatus pada 13 Juni 2022 lalu.

Emotet merupakan infeksi malware yang didistribusikan melalui kampanye phishing yang berisi dokumen Excel atau Word yang berbahaya. Saat pengguna membuka dokumen ini dan mengaktifkan makro, Emotet DLL akan diunduh dan dimuat ke dalam memori.

Setelah dimuat, malware akan mencari dan mencuri email untuk digunakan dalam kampanye spam di masa mendatang dan menjatuhkan muatan tambahan seperti Cobalt Strike atau malware lain yang biasanya mengarah ke serangan ransomware.

Dikutip dari Bleeping Computer, peneliti bernama Tommy Madjar, mengatakan kepada BleepingComputer bahwa kampanye email Emotet hari ini menggunakan rantai balasan email curian untuk mendistribusikan lampiran Excel yang berbahaya.

Dari sampel yang diunggah ke VirusTotal, BleepingComputer telah melihat lampiran yang ditargetkan pada pengguna di seluruh dunia dalam berbagai bahasa dan nama file, berpura-pura menjadi faktur, pindaian, formulir elektronik, dan umpan lainnya.

“Kampanye Emotet hari ini juga memperkenalkan template lampiran Excel baru yang berisi instruksi untuk melewati Tampilan Terproteksi Microsoft,” kata Madjar.

Madjar menjelaskan, saat diunduh dari Internet, termasuk sebagai lampiran email, Microsoft akan menambahkan tanda Mark-of-the-Web (MoTW) khusus ke file tersebut. Saat pengguna membuka dokumen Microsoft Office yang berisi bendera MoTW, Microsoft Office akan membukanya dalam Tampilan Terproteksi, mencegah makro yang menginstal malware agar tidak dieksekusi.

Namun, dalam lampiran Emotet Excel yang baru, Anda dapat melihat bahwa pelaku ancaman menginstruksikan pengguna untuk menyalin file ke folder 'Templat' tepercaya, karena melakukan ini akan melewati Tampilan Terlindungi Microsoft Office, bahkan untuk file yang berisi bendera MoTW.

Sementara Windows akan memperingatkan pengguna bahwa menyalin file ke folder 'Templat' memerlukan izin 'administrator', fakta bahwa pengguna mencoba menyalin file menunjukkan bahwa ada kemungkinan besar mereka juga akan menekan tombol 'Lanjutkan'.

“Ketika lampiran diluncurkan dari folder Templat, itu hanya akan membuka dan segera menjalankan makro yang mengunduh malware Emotet,” kata Madjar.

Malware Emotet diunduh sebagai DLL ke dalam beberapa folder dengan nama acak di bawah %UserProfile%\AppData\Local. Makro kemudian akan meluncurkan DLL menggunakan perintah regsvr32.exe yang sah.

Setelah diunduh, malware akan diam-diam berjalan di latar belakang saat terhubung ke server Command and Control untuk instruksi lebih lanjut atau untuk menginstal muatan tambahan.

Madjar mengatakan kepada BleepingComputer bahwa infeksi Emotet hari ini belum mulai menjatuhkan muatan malware tambahan pada perangkat yang terinfeksi. Namun, di masa lalu, Emotet dikenal karena menginstal malware TrickBot dan, baru-baru ini, suar Cobalt Strike.

Suar Cobalt Strike ini kemudian digunakan untuk akses awal oleh geng ransomware yang menyebar secara lateral di jaringan, mencuri data, dan akhirnya mengenkripsi perangkat. Infeksi emotet digunakan di masa lalu untuk memberikan akses awal geng ransomware Ryuk dan Conti ke jaringan perusahaan. Sejak Conti ditutup pada bulan Juni, Emotet terlihat bermitra dengan operasi ransomware BlackCat dan Quantum untuk akses awal pada perangkat yang sudah terinfeksi.