Penelitian baru yang baru saja dirilis memberikan wawasan yang lebih luas mengenai modul Emotet yang dibuat oleh penegak hukum yang akan menghapus malware dari perangkat yang terinfeksi pada bulan April.
Pada 27 Januari, Europol mengumumkan bahwa operasi gabungan antara lembaga penegak hukum dari Belanda, Jerman, Amerika Serikat, Inggris Raya, Prancis, Lituania, Kanada, dan Ukraina mengambil alih server botnet Emotet dan mengganggu operasi malware.
Setelah penghapusan, para peneliti melihat bahwa botnet Emotet mulai menekan modul ke perangkat yang terinfeksi yang akan menghapus malware pada 25 April 2021, pukul 12:00.
Pada tanggal 28, telah dikonfirmasi dalam siaran pers Departemen Kehakiman AS bahwa “penegak hukum asing” yang membuat modul ini.
Mengapa pencopotan pemasangan terjadi dua bulan lagi, dan apa yang terjadi sebelum tanggal pencopotan 25 April 2021?. Sebuah analisis baru oleh Jérôme Segura dan hasherezade dari Malwarebytes menjawab beberapa pertanyaan ini.
Modul Emotet baru yang didistribusikan oleh penegak hukum Jerman adalah DLL 32-bit bernama ‘EmotetLoader.dll.’
Saat menghapus Emotet, Malwarebytes menyatakan uninstaller hanya menghapus layanan Windows yang terkait, menghapus kunci Registry autorun, dan kemudian keluar dari proses.
Di sisi lain, sebelum 25 April 2021, modul memungkinkan penginstalan Emotet pada suatu perangkat.
Namun, perbedaannya adalah bahwa server perintah dan kontrol Emotet sekarang dikonfigurasi untuk menggunakan server penegakan hukum yang berlokasi di Jerman. Karena penegak hukum mengontrol botnet, Emotet tidak akan mengunduh modul lebih lanjut ke PC yang terinfeksi untuk melakukan aktivitas berbahaya.
Malwarebytes menyatakan bahwa modul baru ini akan dipasang ke semua perangkat yang terinfeksi, secara efektif menggantikan penginstalan Emotet berbahaya yang sudah menginfeksi komputer mereka.
Selengkapnya: Bleeping Computer
