Pengembang malware QakBot tidak jera meskipun mereka belum lama ini dirujak oleh aparat hukum. Gilanya, sekarang QakBot incar industri perhotelan sebagai target utama melalui phising.

Gelombang baru pesan phising yang mendistribusikan malware QakBot telah diamati, lebih dari tiga bulan setelah upaya penegakan hukum membongkar infrastrukturnya dengan menyusup ke jaringan command and control (C2).

Baca juga: Phising Induk Ragam Serangan

Operasi Baru QakBot

Microsoft, yang melakukan penemuan tersebut, menggambarkannya sebagai operasi bervolume rendah yang dimulai pada 11 Desember 2023, dan menargetkan industri perhotelan.

Target menerima PDF dari pengguna yang menyamar sebagai karyawan pajak.

Trik dengan berpura-pura menyamar sebagai otoritas tertentu sudah menjadi pakem kejahatan siber saat ini.

PDF berisi URL yang mengunduh Penginstal Windows (.msi) yang ditandatangani secara digital.

Mengeksekusi MSI menyebabkan Qakbot dipanggil menggunakan eksekusi ekspor ‘hvsi’ dari DLL yang tertanam.

Microsoft mengatakan bahwa payload dihasilkan pada hari yang sama operasi dimulai dan dikonfigurasi dengan versi 0x500 yang sebelumnya tidak terlihat.

Malware QakBot kali ini muncul kembali sebagai biner 64-bit yang menggunakan AES untuk enkripsi jaringan dan mengirimkan permintaan POST ke jalur /teorema505.

QakBot, juga disebut QBot dan Pinkslipbot, diburu sebagai bagian dari upaya terkoordinasi yang disebut Operasi Duck Hunt.

Ssetelah pihak berwenang berhasil mendapatkan akses ke infrastrukturnya dan menginstruksikan komputer yang terinfeksi untuk mengunduh file uninstaller agar malware tidak efektif.

Baca juga: Permukaan Serangan atau Attack Surface

Malware QakBot

Biasanya didistribusikan melalui pesan email spam yang berisi lampiran atau hyperlink berbahaya, QakBot mampu mengumpulkan informasi sensitif serta mengirimkan malware tambahan, termasuk ransomware.

Pada bulan Oktober 2023, terungkap bahwa afiliasi QakBot memanfaatkan umpan phising untuk mengirimkan campuran ransomware, trojan akses jarak jauh, dan malware pencuri.

Kembalinya QakBot mencerminkan Emotet, yang juga muncul kembali pada akhir tahun 2021 beberapa bulan setelah dibongkar oleh penegak hukum dan tetap menjadi ancaman abadi, meskipun pada tingkat yang lebih rendah.

Meskipun masih harus dilihat apakah malware ini akan kembali ke kejayaannya, ketahanan botnet tersebut menggarisbawahi perlunya organisasi untuk menghindari menjadi korban email spam yang digunakan dalam operasi Emotet dan QakBot.

Demikian pembahasan mengenai kasus QakBot incar industri perhotelan, semoga informasi seputar dunia siber ini dapat bermanfaat

 

Baca lainnya: 7 Alasan Perusahaan Harus Mewaspadai Serangan DDoS Panduan Menghadapi Serangan Botnet Memahami Jenis Serangan Siber 3 Fase Serangan Ransomware Serangan Ransomware Ganda Serangan Phising Kredensial Pola Serangan Umum Email

 

Sumber berita:

 

Prosperita IT News