Botnet Qbot sekarang mendorong muatan malware melalui email phishing dengan lampiran arsip ZIP yang dilindungi kata sandi yang berisi paket Penginstal Windows MSI yang berbahaya.
Ini adalah pertama kalinya operator Qbot menggunakan taktik ini, beralih dari cara standar mereka mengirimkan malware melalui email phishing yang menjatuhkan dokumen Microsoft Office dengan makro berbahaya pada perangkat target.
Peneliti keamanan menduga langkah ini mungkin merupakan reaksi langsung terhadap Microsoft yang mengumumkan rencana untuk membunuh pengiriman malware melalui makro VBA Office pada bulan Februari setelah menonaktifkan makro Excel 4.0 (XLM) secara default pada bulan Januari.
Microsoft telah mulai meluncurkan fitur blokir otomatis makro VBA ke pengguna Office untuk Windows pada awal April 2022, dimulai dengan Versi 2203 di Saluran Saat Ini (Pratinjau) dan ke saluran rilis lain dan versi yang lebih lama nanti.
“Perlu dicatat bahwa sementara ancaman menggunakan makro Excel 4.0 sebagai upaya untuk menghindari deteksi, fitur ini sekarang dinonaktifkan secara default dan dengan demikian mengharuskan pengguna untuk mengaktifkannya secara manual agar ancaman tersebut dapat dieksekusi dengan benar.”
Ini adalah peningkatan keamanan yang signifikan untuk melindungi pelanggan Office karena menggunakan makro VBA berbahaya yang disematkan dalam dokumen Office adalah metode umum untuk mendorong berbagai jenis malware dalam serangan phishing, termasuk Qbot, Emotet, TrickBot, dan Dridex.
Qbot (juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows modular dengan fitur worm yang digunakan setidaknya sejak 2007 untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan, serta untuk menjatuhkan backdoors pada komputer yang disusupi dan menyebarkan Cobalt Suar pemogokan.
Malware ini juga dikenal menginfeksi perangkat lain di jaringan yang disusupi menggunakan eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif yang menargetkan akun admin Active Directory.
Meskipun aktif selama lebih dari satu dekade, malware Qbot terutama digunakan dalam serangan yang sangat ditargetkan terhadap entitas perusahaan karena mereka memberikan pengembalian investasi yang lebih tinggi.
Beberapa geng ransomware, termasuk REvil, Egregor, ProLock, PwndLocker, dan MegaCortex, juga telah menggunakan Qbot untuk menembus jaringan perusahaan.
Karena infeksi Qbot dapat menyebabkan infeksi berbahaya dan serangan yang sangat mengganggu, admin TI dan profesional keamanan harus terbiasa dengan malware ini, taktik yang digunakan untuk menyebar ke seluruh jaringan, dan yang digunakan oleh operator botnet untuk mengirimkannya ke target baru.
Sumber : Bleeping Computer
