Awal bulan tahun ini, Kaspersky menemukan lonjakan malware Qbot yang menargetkan pengguna korporat, menyebar melalui kampanye email spam berbahaya. Penyerang menggunakan teknik rekayasa sosial tingkat lanjut: mereka mencegat korespondensi kerja yang ada dan meneruskan lampiran PDF berbahaya ke utas email yang sama.
Metode terakhir dianggap tidak biasa untuk malware tersebut. Terhitung sejak 4 April, lebih dari 5.000 email berisi lampiran PDF telah diterima di berbagai negara, dengan kampanye yang terus berlanjut. Peneliti Kaspersky melakukan analisis teknis terhadap skema tersebut.
Qbot adalah Trojan perbankan terkenal yang berfungsi sebagai bagian dari jaringan botnet. Malware ini mampu mencuri data seperti kata sandi dan korespondensi kerja. Selain itu, memungkinkan penyerang untuk mengontrol sistem yang terinfeksi dan menginstal ransomware, atau Trojan lain di perangkat lainnya dalam jaringan. Operator malware menggunakan berbagai skema distribusi, termasuk mengirim email dengan lampiran PDF berbahaya – yang tidak ditemukan dalam kampanye sebelumnya.
Sejak awal April, Kaspersky mengamati lonjakan aktivitas dari kampanye email spam yang menggunakan skema khusus ini dengan lampiran PDF. Gelombang dimulai pada malam 4 April, dan sejak itu para ahli telah menemukan lebih dari 5.000 email spam dengan file PDF yang menyebarkan malware tersebut dalam bahasa Inggris, Jerman, Italia, dan Prancis.
Contoh email yang diteruskan dengan lampiran PDF berbahaya. Pesan dari penyerang yang telah melewati batas. Malware didistribusikan melalui korespondensi kerja asli dari calon korban, yang telah dicuri oleh penjahat dunia maya. Mereka meneruskan email ke semua partisipan yang ada dan biasanya meminta mereka untuk membuka lampiran PDF berbahaya dalam berbagai situasi. Misalnya, penyerang dapat meminta untuk membagikan seluruh dokumentasi terkait dengan lampiran atau mengkalkulasikan jumlah kontrak sesuai dengan perkiraan biaya yang terdapat dalam lampiran.
“Kami merekomendasikan perusahaan untuk tetap waspada karena malware Qbot sangat berbahaya, meskipun fungsi intinya tidak berubah selama dua tahun terakhir. Operator terus meningkatkan teknik mereka, menambahkan elemen baru yang meyakinkan dari rekayasa sosial. Hal ini meningkatkan kemungkinan bahwa seorang karyawan akan menjadi korban taktik tersebut. Agar tetap aman, periksa dengan cermat berbagai tanda bahaya, seperti ejaan alamat email pengirim, lampiran mencurigakan, kesalahan tata bahasa, dan sebagainya. Selain itu, solusi keamanan siber khusus dapat membantu memastikan perlindungan keamanan email perusahaan,” kata Darya Ivanova, Analis Malware di Kaspersky.
Contoh file PDF dari lampiran email
Isi file PDF berupa gambar yang meniru notifikasi dari Microsoft Office 365 atau Microsoft Azure. Jika pengguna mengklik 'Buka', arsip berbahaya akan diunduh ke komputer mereka dari server jarak jauh (situs web yang disusupi).
Pakar Kaspersky melakukan analisis teknis terperinci dari skema ini. Laporan lengkap tersedia di Securelist.
Untuk melindungi organisasi Anda dari ancaman terkait, pakar Kaspersky merekomendasikan:
• Memeriksa alamat pengirim. Sebagian besar spam berasal dari alamat email yang tidak masuk akal atau tampak seperti bualan. Dengan mengarahkan kursor ke nama pengirim, yang mungkin dieja secara aneh, Anda dapat melihat alamat email lengkapnya. Jika Anda tidak yakin apakah alamat email itu sah atau tidak, coba memasukkannya ke mesin pencari untuk diperiksa.
• Waspada terhadap pesan yang memunculkan rasa urgensi. Spammer sering mencoba memberikan tekanan dengan menciptakan rasa urgensi. Misalnya, baris subjek mungkin berisi kata-kata seperti "mendesak" atau "diperlukan tindakan segera" – untuk menekan Anda agar segera bertindak.