Emotet

Peringatan CISA memperingatkan serangan Emotet terhadap entitas pemerintah AS

October 7, 2020 by Winnie the Pooh

Badan Keamanan Siber dan Infrastruktur (CISA) mengeluarkan peringatan untuk memperingatkan gelombang serangan Emotet yang telah menargetkan beberapa negara bagian dan pemerintah lokal di AS sejak Agustus.

Selama waktu itu, Sistem Deteksi Intrusi EINSTEIN milik agensi tersebut telah mendeteksi sekitar 16.000 peringatan terkait aktivitas Emotet.

Menurut para ahli dari CISA, serangan Emotet ditargetkan pada entitas pemerintah AS.

Trojan perbankan Emotet telah aktif setidaknya sejak 2014, botnet dioperasikan oleh pelaku ancaman yang dilacak sebagai TA542. Pada pertengahan Agustus, malware tersebut digunakan dalam kampanye spam baru bertema COVID19.

Trojan perbankan terkenal juga digunakan untuk memberikan kode berbahaya lainnya, seperti Trickbot dan QBot trojan atau ransomware seperti Conti (TrickBot) atau ProLock (QBot).

Peringatan yang diterbitkan oleh CISA didasarkan pada data yang disediakan oleh Multi-State Information Sharing & Analysis Center (MS-ISAC) dan CISA sendiri sejak Juli 2020.

CISA dan MS-ISAC merekomendasikan admin dan pengguna untuk menggunakan solusi antimalware untuk memblokir lampiran yang mencurigakan dan untuk memblokir alamat IP yang mencurigakan.

Peringatan tersebut mencakup mitigasi, Indikator Kompromi (IoCs) dan Teknik MITRE ATT&CK.

Microsoft, Italia, dan Belanda memperingatkan peningkatan aktivitas Emotet

September 24, 2020 by Winnie the Pooh

Dua minggu setelah agen keamanan siber dari Prancis, Jepang, dan Selandia Baru menerbitkan peringatan tentang peningkatan aktivitas Emotet, peringatan baru telah diterbitkan minggu lalu oleh lembaga di Italia dan Belanda, dan juga oleh Microsoft.

Peringatan baru ini muncul karena aktivitas Emotet terus meningkat, mengerdilkan operasi malware lain yang aktif saat ini.

“Akhir-akhir ini sangat banyak spam [Emotet],” kata Joseph Roosen, anggota Cryptolaemus, sekelompok peneliti keamanan yang melacak kampanye malware Emotet, kepada ZDNet.

“Saya menerima sekitar 400 email di [pekerjaan harian] saya pada hari Senin ketika biasanya hanya sekitar selusin atau kurang dari 100 pada hari yang baik,” kata Roosen, menempatkan lonjakan baru-baru ini dalam perspektif.

“Ini telah terjadi dalam dua minggu terakhir.”

Peringatan dari Microsoft dan otoritas Italia juga memperingatkan tentang perubahan terbaru lainnya dalam kampanye spam Emotet, yang sekarang juga memanfaatkan file ZIP yang dilindungi kata sandi daripada dokumen Office.

Roosen memberi tahu ZDNet bahwa Emotet telah menggunakan teknik ini sejak pertengahan 2019, tetapi baru-baru ini mereka mulai meningkatkan prevalensinya di antara kampanye spam Emotet, oleh karena itu mengapa Microsoft dan yang lainnya sekarang bereaksi terhadap kemunculannya yang tiba-tiba.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Prancis, Jepang, Selandia Baru memperingatkan lonjakan dalam serangan Emotet

September 8, 2020 by Winnie the Pooh

Agen keamanan siber dari Prancis, Jepang, dan Selandia Baru telah menerbitkan peringatan keamanan selama seminggu terakhir yang memperingatkan tentang peningkatan besar dalam serangan malware Emotet yang menargetkan masing-masing negara.

Aktivitas Emotet yang dijelaskan dalam peringatan mengacu pada kampanye spam email yang berasal dari infrastruktur Emotet dan perusahaan yang ditargetkan serta lembaga pemerintah di tiga negara.

Joseph Roosen, anggota Cryptolaemus, kelompok peneliti keamanan yang melacak kampanye malware Emotet, mengatakan kepada ZDNet bahwa botnet Emotet sangat aktif dalam beberapa pekan terakhir, dan terutama aktif di tiga negara.

Menurut ketiga peringatan tersebut, serangannya tampak sama.

Operator emotet menggunakan trik lama mereka untuk menginfeksi satu korban dan kemudian mencuri utas email lama. Grup kemudian akan menghidupkan kembali percakapan lama ini, menambahkan file berbahaya sebagai lampiran, dan menargetkan pengguna baru dengan percakapan yang terlihat sah.

Pengguna di percakapan, atau yang ditambahkan, akan sering membuka lampiran file berbahaya yang ditambahkan ke utas email karena penasaran dan terinfeksi.

Tim analis Naga Cyber Defense sendiri telah berhasil mendeteksi adanya malware Emotet di Indonesia. Kami sangat menyarankan untuk cek alamat email pengirim dahulu sebelum membuka dan mengunduh sebuah lampiran pada email.

Source: ZDNet

Botnet Emotet telah mulai menggunakan template ‘Red Dawn’ baru

September 1, 2020 by Winnie the Pooh

Trojan Emotet yang telah berbulan-bulan tidak aktif telah melonjak kembali pada bulan Juli dengan kampanye spam besar-besaran baru yang menargetkan pengguna di seluruh dunia.

Trojan perbankan Emotet telah aktif setidaknya sejak 2014, botnet dioperasikan oleh pelaku ancaman yang dilacak sebagai TA542. Pada pertengahan Agustus, malware Emotet digunakan dalam kampanye spam baru bertema COVID19.

Kampanye spam baru-baru ini menggunakan pesan dengan dokumen Word berbahaya, atau tautan ke sana, berpura-pura menjadi faktur, informasi pengiriman, informasi COVID-19, resume, dokumen keuangan, atau dokumen yang telah discan.

Setelah membuka dokumen, mereka akan meminta pengguna untuk ‘Mengaktifkan Konten’ untuk menjalankan makro tersemat yang berbahaya yang akan memulai proses infeksi.

Untuk mengelabui pengguna agar mengaktifkan makro, operator botnet Emotet menggunakan template dokumen yang memberi tahu mereka bahwa dokumen tersebut dibuat di iOS dan tidak dapat dilihat dengan benar kecuali tombol ‘Aktifkan Konten’ diklik.

“Pada 25 Agustus, botnet beralih ke templat baru yang oleh pakar Emotet Joseph Roosen dinamai ‘Red Dawn’ karena warna aksen merahnya.” BleepingComputer melaporkan.

Template Red Dawn menampilkan pesan “Dokumen ini dilindungi” dan memberi tahu pengguna bahwa pratinjau tidak tersedia dalam upaya untuk mengelabui mereka agar mengklik ‘Aktifkan Pengeditan’ dan ‘Aktifkan Konten’ untuk mengakses konten.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Security Affairs

Selama Enam Bulan, Peneliti Keamanan Diam-Diam Telah Mendistribusikan Vaksin Emotet Ke Seluruh Dunia

August 17, 2020 by Winnie the Pooh

Seorang analis malware yang bekerja untuk Binary Defense, James Quinn, telah menemukan bug pada malware Emotet.

Fakta bahwa Quinn menemukan bug itu bukanlah kebetulan. Selama beberapa tahun terakhir, pekerjaan utama Quinn adalah berburu Emotet dan mengawasi operasinya.

Saat menelusuri pembaruan Emotet harian di bulan Februari, Quinn melihat perubahan dalam kode Emotet.

Melalui trial and error dan berkat pembaruan Emotet berikutnya yang menyempurnakan cara kerja mekanisme persistence baru, Quinn dapat menyusun skrip PowerShell kecil yang mengeksploitasi mekanisme kunci registri untuk merusak Emotet itu sendiri.

Skrip tersebut bernama EmoCrash, secara efektif memindai komputer pengguna dan menghasilkan kunci registri Emotet yang benar – namun cacat.

“Dua log crash akan muncul dengan event ID 1000 dan 1001, yang dapat digunakan untuk mengidentifikasi endpoint dengan binari Emotet yang dinonaktifkan dan mati,” kata Quinn.

Dengan kata lain, jika EmoCrash akan diterapkan di seluruh jaringan, itu dapat memungkinkan administrator sistem untuk memindai atau mengatur peringatan untuk kedua Event ID log ini dan dapat menemukan kapan dan apakah Emotet menginfeksi jaringan mereka.

Binary Defense bekerja sama dengan Tim CYMRU, sebuah perusahaan yang memiliki sejarah selama puluhan tahun dalam mengatur dan berpartisipasi dalam penghapusan botnet.

Bekerja di belakang layar, Tim CYMRU memastikan bahwa EmoCrash sampai ke tangan Tim Computer Emergency Response (CERT) nasional, yang kemudian menyebarkannya ke perusahaan di yurisdiksi masing-masing.

Entah secara tidak sengaja atau dengan mengetahui ada yang salah dalam mekanisme persistence nya, geng Emotet akhirnya mengubah seluruh mekanisme persistence nya pada 6 Agustus – tepatnya enam bulan setelah Quinn membuat penemuan awalnya.

EmoCrash mungkin tidak berguna lagi bagi siapa pun, namun selama enam bulan, skrip PowerShell kecil ini membantu organisasi tetap terdepan dalam operasi malware – pemandangan yang benar-benar langka di bidang keamanan siber saat ini.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Emotet Mencuri Lampiran Email Anda Untuk Menghindari Deteksi Antivirus

July 30, 2020 by Winnie the Pooh

Setelah lebih dari lima bulan tidak aktif, Emotet melanjutkan operasinya pada 17 Juli dan sejak itu, botnet Emotet telah mengirimkan email spam berbahaya yang disamarkan sebagai laporan pembayaran, faktur, peluang kerja dan informasi pengiriman melalui semua cluster servernya.

Menggunakan lampiran yang dicuri untuk membuat email jahatnya tampak lebih sah tentu merupakan taktik yang cerdas dan solusi keamanan email kemungkinan akan lebih sulit membedakan antara email nyata dan email spam menggunakan lampiran yang sah sebagai penyamaran.

Sekarang setelah Emotet memperbarui taktiknya untuk menghindari deteksi dan menyerang lebih banyak pengguna, organisasi dan individu harus ekstra hati-hati saat memeriksa email mereka dan menghindari membuka lampiran dari pengirim yang tidak dikenal.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Botnet Emotet Telah Kembali

July 22, 2020 by Winnie the Pooh

Botnet Emotet, yang telah tidak aktif sejak awal Februari 2020, telah muncul kembali.

Pada hari Jumat, botnet menjadi aktif kembali, mengirim spam dalam upaya untuk menginfeksi pengguna baru dengan malware menggunakan dokumen Word dan Excel yang berbahaya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet | Ars Technica | Bleeping Computer

Cynet: Emotet vs Trump – Analisis Mendalam dari Info-Stealer Berbahaya

March 7, 2020 by Winnie the Pooh

Emotet adalah trojan pencurian data banker modular terluas yang tersebar dalam dua tahun terakhir. Trojan ini mempunyai tujuan untuk mendapatkan akses jarak jauh pada host yang dikompromikan untuk mencuri kredensial perbankan, data keuangan dan bahkan dompet Bitcoin. Juga digunakan sebagai pengunduh untuk malware terkenal lainnya seperti TrickBot (Trojan banker) dan Ryuk (Ransomware).

Emotet pertama kali ditemukan pada Mei 2014 untuk memata-matai lingkungan yang dikompromikan, mencuri kredensial untuk penyimpanan cloud, data email, dan mengunggah informasi ini ke server mereka.

Versi sebelumnya dari serangan itu ditemukan dalam file JavaScript berbahaya, tetapi kemudian, para penyerang meningkatkan serangan dengan mempersenjatai dokumen Office dengan skrip makro VBA berbahaya.

Cynet telah menganalisis serangan tersebut lebih dalam lagi dalam blog nya. Analisis dapat dibaca pada tautan di bawah;

Source: Cynet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Emotet

Cookies Settings