Cyberthreat.id – Penjahat siber (cybercrook) malware mengembangkan lini (strain) baru perangkat lunak jahat (malicious software/malware) Emotet.

Strain baru ini ditemukan oleh peneliti di Binary Defense, perusahaan keamanan siber asal Ohio, Amerika Serikat.

Emotet terkenal sebagai Trojan canggih yang mencuri informasi kredensial kartu pembayaran. Juga, populer sebagai pembawa muatan (payload) malware atau ransomware lain.

Baru-baru ini, peneliti mengidentifikasi jenis loader (pembawa muatan) baru yang memanfaatkan antarmuka “wlanAPI” yang “bisa menghitung semua jaringan wifi di sekitar komputer yang terinfeksi,” tulis peneliti di blog perusahaan, Jumat (7 Februari 2020).

Setelah itu, Emotet mencoba menyebar ke jaringan tersebut, menginfeksi semua perangkat yang dapat diakses, seperti skema gambar di bawah ini:

---

---

Emotet tak berjuang sendirian. Menurut peneliti, setelah Emotet berhasil terkoneksi dengan perangkat yang dikompromikan/diretas ke jaringan wifi lain, barulah worm.exe akan menemukan perangkat Windows lain.

Worm.exe adalah ekstensi file/program utama yang dapat dijalankan dan digunakan untuk menyebarkan infeksi. Penggunaan eksekusi Worm ini, menurut peneliti, telah berjalan tanpa diketahui selama hampir dua tahun terakhir.

Worm juga akan mencoba memaksakan diri menembus kata sandi akun administrator dan semua pengguna lain yang dapat diambilnya.

Setelah worm.exe dijalankan, tindakan pertama yang dilakukan Worm adalah menjatuhkan muatan berbahaya dalam bentuk biner service.exe ke komputer korban dan menginstal layanan baru bernama “Windows Defender System Service” untuk mendapatkan pertahanan pada sistem.

Biner awal ini adalah file RAR yang mengekstraksi sendiri yang berisi dua biner [service.exe dan worm.exe] yang digunakan untuk penyebaran wi-fi.

Salah satu biner yang digunakan Emotet untuk menyebar ke jaringan dan menginfeksi perangkat lain melalui wi-fi adalah worm.exe.

---

Berita Terkait:

• Malware Emotet Serang Kampus-kampus Indonesia
• Emotet, Si Dropper Trojan Paling Mahal dan Merusak
• Emotet Merajai 10 Top Malware Sepanjang 2019
• Kota Frankfurt Matikan Jaringan TI Usai Diserang Emotet
• Hacker Emotet Manfaatkan Ketenaran Virus Corona
• Awas, Email Malware Emotet Catut Nama Greta Thunberg

---

Eksekusi lain yang dapat digunakan adalah service.exe. Ini biner yang memiliki fitur khas yaitu ketika menggunakan port Transport Layer Security (TLS) 443 untuk komunikasi server perintah dan kontrol (C2), yang mana akan terhubung melalui HTTP yang tidak terenkripsi.

“Sebelumnya Emotet dianggap hanya menyebar melalui malspam (email phishing) dan jaringan yang terinfeksi, tapi Emotet kini dapat menggunakan tipe loader ini untuk menyebar melalui jaringan nirkabel terdekat jika jaringan menggunakan kata sandi tidak aman,” tulis peneliti seperti dikutip dari BleepingComputer.

Untuk itu, peneliti Binary Defense merekomendasikan penggunaan kata sandi yang kuat untuk mengamankan jaringan nirkabel sehingga malware seperti Emotet tidak dapat memperoleh akses tidak sah ke jaringan.

Sebab, komputer yang terinfeksi Emotet bisa digunakan oleh operatornya untuk menyebar malware ke korban lain melalui wi-fi, untuk mengirim pesan malspam ke target lain, dan untuk menjatuhkan jenis malware lainnya, termasuk Trojan TrickBot yang dikenal juga memberikan muatan ransomware.

Analisis lengkap Binary Defense bisa baca di sini.[]

Redaktur: Andi Nugroho