Cyberthreat.id – Geng peretas yang menyebarkan perangkat lunak jahat “Emotet” kembali beraksi menawarkan malware-as-a-service.

Kali ini, malware tersebut dibekali dengan kemampuan yang lebih canggih, demikian analisis 68 halaman terkait Emotet yang dilakukan peneliti Unit Analisis Ancaman VMware dan dibagikan pada 10 Oktober lalu.

Berdasarkan sejumlah serangan Emotet di tahun ini, peretas tampaknya telah mempelajari pola penindakan dari penegak hukum sepanjang 2021.

Mereka mulai “membuat rantai eksekusi yang lebih kompleks  dan tak terlihat, juga menyembunyikan konfigurasi serta memperkuat infrastruktur server (command and control/C2) dari malware tersebut,” tutur peneliti dikutip dari Dark Reading, diakses Kamis (13 Oktober).

Selain itu, peretas juga memperbarui dua dari delapan koding yang meningkatkan fungsi pencurian kartu kredit dan kemampuan menyebar secara lateral di jaringan.

Pendek kata, secara keseluruhan, Emotet terus berubah dan sulit untuk diblokir. Chad Skipper, peneliti keamanan VMware, menyatakan, sebagai distributor malware, Emotet didesain untuk infeksi serangan awal, yaitu menggunakan gelombang email spam yang memikat calon korban.

Dalam infeksi awal itu, peretas menyisipkan dokumen dan tautan yang diharapkan diklik oleh calon korban.

Geng di belakang Emotet, di kalangan peneliti keamanan siber, merujuk ke Mummy Spider, MealyBug atau TA542.

Mereka biasanya memulai serangan awal dan membuat pintu masuk sebelum menjualnya kepada peretas lain, seperti ransomware atau lainnya.

Dalam risetnya, VMware menemukan bahwa infrastruktur penyerang mengarah ke 328 alamat protokol internet (IP) yang berbeda. Sebanyak 18 persen di antaranya berada di Amerika Serikat, lalu Jerman dan Prancis.

“Namun, server yang menghosting modul (skrip), pembaruan, dan muatan lainnya berasal dari kumpulan alamat IP yang berbeda, sebagian besasr dihosting di India,” kata VMware.[]