Cyberthreat.id - Trojan perbankan QakBot atau yang juga dikenal dengan nama Qbot atau Pinkslipbot, dilaporkan kembali digunakan dengan menargetkan pemerintah, militer, dan manufaktur di Amerika Serikat, dan sejumlah negara Eropa.

Dilansir dari The Hacker News, , temuan peneliti keamanan Check Point menemukan Qakbot kini telah dimodifikasi dengan trik baru dan menjadi lebih berbahaya dari sebelumnya.

Analis Check Point menemukan, aktivitas terbaru dari Qbot ini ini terkait dengan penyebaran trojan Emotet, malware berbasis email yang digerakkan oleh botnet dan serangan ramsomware. Beberapa dari percobaan serangan memasang versi terbaru Qbot di komputer korban. Sederhananya, Qbot didistribusikan setelah komputer target terinfeksi trojan Emotet.

Pada Juli lalu, sebuah serangan besar-besaran dilancarkan dan berdampak pada 5 persen organisasi/perusahaan di seluruhh dunia.

"Saat ini Qbot jauh lebih berbahaya daripada sebelumnya. Qbot memiliki kampanye malspam aktif yang menginfeksi organisasi, dan berhasil menggunakan infrastruktur infeksi pihak ketiga seperti Emotet untuk menyebarkan ancaman lebih jauh," ungkap Check Point.

Terdokumentasi pertama kali pada 2008, Qbot saat ini  telah berkembang menjadi lebih canggih dalam mengirimkan jenis malware lain, termasuk ransomware Prolock, dan bahkan terhubung dari jarak jauh ke target sistem Windows untuk melakukan transaksi perbankan dari alamat IP korban.

Untuk menginfeksi korbannya, penjahat siber biasanya menggunakan  teknik phishing untuk memikat korban ke situs web yang menggunakan eksploitasi untuk menyuntikkan Qbot dengan menggunakan dropper.

Pada Juni lalu, perusahaaan keamanan F5 Labs menyebut menemukan malware tersebut dilengkapi dengan teknik deteksi dan mampu menghindari pemeriksaan digital forensik.

Minggu lalu, Morphisec membongkar sampel Qbot yang datang dengan dua metode baru yang dirancang untuk melewati sistem Content Disarm and Reconstruction (CDR) dan Endpoint Detection and Response (EDR).

Menurut Check Point, langkah pertama yang dilakukan penjahat siber adalah dengan membuat email phishing yang dibuat khusus dan berisi lampiran file ZIP atau tautan ke file ZIP yang menyertakan Visual Basic Script (VBS) berbahaya. Begitu diklik, komputer target akan mengunduh muatan tambahan yang bertuugas memelihara saluran komunikasi yang tepat dengan penyerang, kontrol server, dan menjalankan perintah yang diterima.

Email phishing yang dikirim ke organisasi yang ditargetkan, sering kali berupa iming-iming terkait Covid-19, pengingat pembayaran pajak, dan perekrutan pekerjaan.

Setelah perangkat terinfeksi, modul unik baru dalam varian QBot yang disebut "eemail collector modude", mengekstrak seumua utas email yang terdapat dalam Outlook dan mengunggahnya ke server jarak jauh yang dikontrol oleh penyerang.

Selain mengemas komponen untuk mengambil kata sandi, cookie browser, dan menyuntikkan kode JavaScript di situs web perbankan, operator Qbot merilis sebanyak 15 versi malware sejak awal tahun, dengan versi terakhir yang diketahui dirilis pada 7 Agustus. Terlebih lagi, Qbot hadir dengan Plugin hVNC yang memungkinkan untuk mengontrol mesin korban melalui koneksi VNC jarak jauh.

"Operator eksternal dapat melakukan transaksi bank tanpa sepengetahuan pengguna, bahkan saat dia masuk ke komputernya. Modul ini berbagi persentase kode yang tinggi dengan modul serupa seperti hVNC TrickBot."

Tidak hanya itu,  Qbot juga dilengkapi dengan mekanisme terpisah untuk merekrut mesin yang disusupi ke dalam botnet dengan menggunakan modul proxy yang memungkinkan mesin yang terinfeksi digunakan sebagai server kontrol. Sehingga, penting bagi pengguna untuk memantau email mereka dari serangan phishing, bahkan jika email tersebut tampaknya berasal dari sumber terpercaya.

Menurut peneliti Check Point, Yaniv Balmas, penelitian ini dilakukan untuk menunjukkan bagaimana bentuk malware yang lebih lama dapat diperbarui dengan fitur-fitur baru untuk menjadikannya ancaman berbahaya yang berkelanjutan. Selain itu, aktor ancaman di balik Qbot berinvestasi besar-besaran dalam pengembangannya untuk memungkinkan pencurian data dalam skala besar dari organisasi dan individu.

"Kami telah melihat kampanye malspam aktif mendistribusikan Qbot secara langsung, serta penggunaan infrastruktur infeksi pihak ketiga seperti Emotet untuk menyebarkan ancaman lebih jauh," ungkap Balmas.[]

Editor: Yuswardi A. Suud