Ilustrasi | Foto: BankInfosecurity
Ilustrasi | Foto: BankInfosecurity
Cyberthreat.id – PT Vaksincom, perusahaan keamanann siber berkantor di Jakarta, menemukan aksi penjahat siber yang memanfaatkan perangkat lunak jahat (malware) Emotet.
Dalam laporan yang diterbitkan, Minggu (30 Agustus 2020), analisis keamanan siber Vaksincom, Alfons Tanujaya, mengatakan, Emotet memanfaatkan distribusinya melalui email bisnis atau pribadi.
Email itu dengan subjek ”RE:” atau email tagihan dengan subjek “INVOICE (angka acak)”, tulis Alfons seperti dikutip di blog perusahaan.
Menurut Alfons, email tersebut tampaknya tidak berbahaya karena hanya mengandung lampiran .doc dan akan lolos dari radar perangkat lunak antivirus.
“Karena file .doc memang bukan file yang bisa dieksekusi dan menginfeksi komputer ketika membuka dokumen tersebut,” kata Alfons.
Hanya, kata dia, “rekayasa sosial” alias tipuan penjahat ini disertakan pada dokumen tersebut. Di sinilah yang justru membuat komputer terinfeksi, selanjutnya mailserver perusahaan, misalnya, mengirimkan malware spam (malspam) Emotet secara masif.
“Akibatnya seluruh kontak email akan menerima kiriman email yang dengan cerdik mengambil subjek membalas pesan email yang sudah ada dan memalsukan pengirimnya sesuai dengan kontak dalam email sehingga lolos saringan antispam dan guna mengelabui penerima email berikutnya,” tulis Alfons.
Email master Emotet yang jika diklik akan menginfeksi komputer dan mengirimkan spam (email sampah).
Apa itu Emotet?
Emotet adalah malware yang dikenal sejak 2018. Tahun lalu adalah era puncak Emotet dan dianggap paling berbahaya dan mahal.
Baca:
Aktor di balik Emotet juga bekerja sama dengan peretas ransomware Ryuk. Sejak pertengahan Juli 2020 pembuat Emotet kembali menjalankan aksinya dan kali ini Emotet melakukan diversifikasi dari bisnis ransomware dan fokus pada aktivitas malspam.
Emotet memalsukan pengirim dan mengirimkan ke kontak email kopmuter yang diinfeksi.
Email Emotet mengirimkan lampiran Word Macro.
“Teknik yang digunakan cukup sederhana, memanfaatkan lampiran dokumen MS Word yang dikirimkan melalui broadcast email,” ujar Alfons.
“Email yang di-broadcast dengan cerdik membalas email yang sudah ada sehingga ada tambahan “RE:” diikuti subjek email yang dibalas.”
“Pengirim email juga dipalsukan dari kontak yang ada pada email tersebut sehingga dapat lolos saringan antispam dan tidak dicurigai oleh penerima email.”
Jika korban membuka lampiran yang dikirimkan, akan muncul peringatan “SECURITY WARNING” dari MS Word bahwa macro akan diaktifkan.
Namun peringatan SECURITY WARNING di atas dengan cerdik diakali oleh Emotet dengan menampilkan pesan seakan-akan datang dari Office 365 (Microsoft) dengan narasi :
THIS DOCUMENT IS PROTECTED. Previewing is not available for protected documents. You have to press “ENABLE EDITING” and “ENABLE CONTENT” buttong to preview this document.
Dokumen yang dibuka dan mengandung perintah Macro tersembunyi. | Sumber: Vaksincom
Maka, ketika korban nmengklik tombol [Enable Content] yang otomatis akan menjalankan Macro dan mengunduh Emotet dari beberapa situs yang telah dipersiapkan guna menginfeksi komputer.
Dari situlah, kata Alfons, siklus infeksi akan berulang lagi, komputer yang terinfeksi akan membalas email yang ada dan mengirimkan email ke kontak yang ada di komputer tersebut.
Emotet dan Antisipasinya
Ada banyak masalah yang diakibatkan oleh Emotet. Pertama, mengakibatkan pengiriman email dalam jumlah masif dan membuat sibuk mailserver dengan mengirimkan ribuan email. Selain menguras sumber daya mailserver, Emotet jelas akan mencoreng citra perusahaan karena email spam (sampah) Emotet ini dikirimkan dari mailserver perusahaan korbannya.
“Antispam akan kesulitan mendeteksi dan memblokir email Emotet karena ia akan memalsukan sender dan melakukan reply pada email yang ada,” kata Alfons.
Kedua, lampiran Emotet file MS Word dengan ekstensi .doc atau .docs yang tidak masuk kategori file berbahaya dan biasanya diloloskan oleh mailserver.
“Sekalipun administrator memblokir lampiran, Emotet dengan juga memiliki varian yang mengirimkan lampiran dalam bentuk tautan. Jadi blokir lampiran juga tidak akan efektif membendung serangan Emotet sampai ke mailbox pengguna email,” kata Alfons.
Ketiga, aktif dari Macro. Program antivirus tradisional akan kesulitan mendeteksi Emotet sehingga Emotet dengan mudah mengelabui pertahanan antivirus tradisional.
Alfons mengatakan, untuk mengatasi spam dari Emotet memang cukup sulit dan pengelola mailserver sifatya hanya pasif menerima email spam yang bertubi-tubi.
Untuk menekan pengiriman spam yang memalsukan sender, pengelola mailserver bisa melakukan aktivasi dan setting SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication, Reporting and Conformance) dan DKIM (DomainKeys Identified Mail) dengan baik.
“Hubungi ISP atau administrator mailserver anda untuk mengaktifkan dan mengatur fitur ini,” kata dia.
Untuk mencegah komputer terinfeksi Emotet, kata dia, jika anda menggunakan antivirus tradisional yang tidak mampu menghentikan dan mendeteksi malware yang berjalan melalui script.
“Anda dapat mempertimbangkan untuk menonaktifkan Macro pada seluruh komputer,” tutur Alfons.
Jika memungkinkan gunakan antivirus dengan teknologi Evasion Shield yang akan mampu mendeteksi malware seperti Emotet yang menjalankan script yang tidak terdeteksi antivirus konvensional.[]
Redaktur: Andi Nugroho
Share:
