Penjahat siber telah memanfaatkan ketidakpastian yang sedang berlangsung di sekitar pemilihan AS 2020 untuk meluncurkan kampanye malspam baru yang bertujuan menyebarkan trojan Qbot.
Penjahat di belakang Qbot muncul kembali sehari setelah pemilu dengan email spam yang berusaha memikat korban dengan pesan yang mengklaim memiliki informasi tentang campur tangan pemilu,
Menurut peneliti. “Pemilu AS 2020 telah menjadi subjek pengawasan dan emosi yang intens, sementara terjadi di tengah pandemi global,” para peneliti di Malwarebytes Labs melaporkan dalam posting Rabu. “Dalam kasus ini, kami mulai mengamati kampanye spam baru yang mengirimkan lampiran berbahaya yang mengeksploitasi keraguan tentang proses pemilihan.”
Email terbaru yang diamati oleh tim Lab MalwareBytes menyertakan lampiran ZIP bernama “ElectionInterference_ [8 hingga 9 digit] .zip” dan meminta penerima untuk “Baca dokumen dan beri tahu saya pendapat Anda”.
Jika mengklik pada spreadsheet Excel yang dibuat seolah-olah itu adalah file DocuSign yang aman. “Pengguna tertipu untuk mengizinkan makro untuk ‘mendekripsi’ dokumen,” kata peneliti.
Setelah makro diaktifkan, ia mengunduh muatan berbahaya yang berisi trojan Qbot dengan URL yang dikodekan dalam sel sheet bernama Sirilik “Лист3”. Setelah eksekusi, trojan menghubungi server perintah dan kontrolnya untuk meminta instruksi untuk aktivitas jahatnya. Dalam kasus ini, Qbot mencuri dan mengeksfiltrasi data korban serta mengumpulkan email yang dapat digunakan dalam kampanye malspam di masa mendatang, kata peneliti.
Para pelaku ancaman mengambil keuntungan dari ketidakpastian pemilu 2020 – hasil resmi yang masih belum diketahui – tidak mengejutkan. Peneliti keamanan sejak lama berharap hari pemilihan dan akibatnya akan diganggu oleh para pelaku ancaman siber.
Memang, skenario pemilu 2020 saat ini adalah umpan yang sempurna untuk skema rekayasa sosial yang sering digunakan oleh pelaku ancaman untuk mendistribusikan malware secara massal melalui email berbahaya.
Source : Threatpost
