Cyberthreat.id - Kampanye spam sedang berlangsung di Italia memangsa orang-orang yang khawatir terhadap wabah Coronavirus (Covid-19). Kampanye berlangsung dengan cara menyebar malware Trickbot yang bertujuan mencuri informasi lalu menyuntikkan Malware hingga Ransomware.

Saat mengirim spam jahat, distributor/operator malware biasanya menggunakan tema-tema peristiwa terkini, tema ketakutan, dan politik sebagai topik di dalam email agar penerima/korban bersedia menerima dokumen berbahaya yang dilampirkan tanpa curiga.

Saat ini tidak ada berita yang lebih besar dari penyebaran Coronavirus dan banyak orang ketakutan menjadi sakit atau tertular. Kampanye spam muncul dengan berbagai modus terutama seorang dokter di Organisasi Kesehatan Dunia (WHO) yang berpura-pura memberikan informasi.

Email-email ini memiliki subjek "Coronavirus: Informazioni importanti su precauzioni" dan berpura-pura menyediakan informasi tentang tindakan pencegahan yang perlu dilakukan orang di Italia untuk melindungi diri dari Coronavirus.

Penelitian terbaru Sophos menyatakan email akan melampirkan dokumen Word berbahaya. Ketika dibuka akan menyatakan bahwa Anda perlu mengklik tombol 'Aktifkan Konten' untuk melihatnya dengan benar.

Namun, setelah penerima mengklik 'Aktifkan Konten', makro jahat akan dieksekusi yang mengekstraksi berbagai file untuk menginstal dan meluncurkan malware Trickbot. Kemudian, setelah TrickBot diinstal, ia akan memanen berbagai informasi dari komputer yang dikompromikan lalu mencoba menyebar secara lateral ke seluruh jaringan untuk mengumpulkan lebih banyak data.

Untuk melakukan perilaku ini TrickBot akan mengunduh berbagai modul yang melakukan perilaku tertentu seperti mencuri cookie, informasi browser, kunci OpenSSH, mencuri database Layanan Direktori Aktif, dan menyebar ke komputer lain.

Setelah memanen jaringan semua data berharga, TrickBot akhirnya akan meluncurkan PowerShell Empire atau Cobalt Strike untuk memberikan akses aktor Ryuk Ransomware ke komputer yang terinfeksi.

"Setelah aktor-aktor ini melakukan pengintaian lebih lanjut dari jaringan, mencuri data, dan mendapatkan kredensial admin, mereka akan menggunakan Ryuk Ransomware dan mengenkripsi file semua komputer di jaringan," tulis Bleeping Computer, Jumat (6 Maret 2020).

Inilah sebabnya mengapa TrickBot adalah infeksi komputer yang berbahaya karena menggunakan serangan dua kali lipat. Setelah masuk dan mencuri informasi, mereka kemudian menyuntikkan Ransomware sehingga menyebabkan kerusakan serius pada file dan data sensitif.

"Orang-orang perlu curiga terhadap semua email yang mereka terima dan tidak membuka lampiran apa pun dari seseorang yang tidak dikenal tanpa terlebih dahulu memastikan bahwa email itu sah."

Penerima email wajib melakukan konfirmasi dengan memanggil pengirim secara langsung dan mengonfirmasi atau dengan memindai lampiran dengan perangkat lunak antivirus. Dalam kondisi keresahan dan kekhawatiran yang semakin tinggi, pengguna harus lebih rajin dan hati-hati karena selalu ada orang yang mencari keuntungan dari krisis untuk membahayakan orang lain.