Emotet punya sejarah cukup panjang dengan ESET,, trojan perbankan yang sering merepotkan para nasabah bank ini seringkali kena batunya jika berhadapan dengan ESET. Baru-baru ini Emotet kembali berulah dengan melakukan operasi penyebaran di berbagai negara dengan mengambil keuntungan memanfaatkan file Microsoft Office untuk menyembunyikan aktivitas berbahayanya.
Emotet adalah keluarga Trojan perbankan yang terkenal karena arsitektur modular, teknik persistensi, dan propagasi/penyebaran mandiri seperti worm. yang didistribusikan melalui kampanye spam menggunakan berbagai samaran yang tampaknya sah untuk lampiran jahat mereka. Trojan sering digunakan sebagai pengunduh atau dropper untuk muatan sekunder yang berpotensi lebih merusak
Pada bulan November, ESET mengeluarkan peringatan tentang operasi besar spam baru yang sedang digunakan untuk menyebarkan Emotet. Mempertimbangkan skala serangan di beberapa negara dan fakta bahwa ESET menerima banyak konsultasi tentang hal itu selama beberapa hari terakhir, maka diputuskan untuk memberikan penjelasan singkat tentang bagaimana kampanye propagasi/penyebaran ini bekerja.
Dalam beberapa tahun terakhir kita telah melihat bagaimana penjahat dunia maya mengambil keuntungan dari Microsoft Office suite untuk menyebarkan ancaman mereka, dari makro sederhana yang tertanam dalam file hingga eksploitasi kerentanan. Namun pada kesempatan ini, implementasinya sedikit tidak biasa, terdiri dari pengunduh yang dimasukkan ke dalam file Office. Ini menyebabkan kebingungan di antara banyak pengguna, yang meminta ESET untuk menjelaskan cara kerja ancaman tersebut.
Propagasi dimulai dengan pesan email, yang tidak ada sesuaatu yang spesial tentangnya. Ini hanya email seperti kebanyakan, jenis email yang biasa kita lihat dalam operasi serangan malware.
Seperti yang kita ketahui, jika pengguna memutuskan untuk mengunduh lampiran email dan membuka dokumen, ia meminta mereka untuk mengaktifkan makro, dengan memberikan alasan bahwa dokumen tersebut perlu diaktifkan, tetapi sebenarnya adalah agar dapat menjalankan fungsi yang tertanam dalam berkas.
Perilaku ini jelas diketahui berbahaya. Namun, trik yang digunakan oleh penjahat siber dalam operasi ini memiliki beberapa fitur khusus. Jika melihat makro, Anda menemukan bahwa makro ini tidak seperti biasa pada pandangan pertama, ia sepertinya bukan salah satu dari makro yang dikenal yang mencoba terhubung ke situs web untuk mengunduh konten
Yang menonjol adalah fungsinya untuk membaca text box. Text box ini berisi perintah “cmd”, yang meluncurkan skrip PowerShell untuk mencoba dan terhubung ke lima situs dan kemudian mengunduh payload, yang dalam hal ini adalah varian Emotet yang disamarkan.
Setelah payload berjalan, ia akan berlaku persisten pada komputer dan melaporkan keberhasilannya ke server C&C-nya. Setelah menyelesaikan infeksi awal ini, unduhan lebih lanjut dapat terjadi, memasang modul serangan dan muatan sekunder yang melakukan jenis tindakan lain pada komputer yang dikompromikan.
Berbagai modul tambahan memperluas jangkauan aktivitas berbahaya yang dapat membahayakan perangkat pengguna, untuk merampas kredensial, menyebarkan dirinya di jaringan, mengumpulkan informasi sensitif, melakukan port forwarding, dan banyak kemungkinan lainnya.
Perubahan kecil dalam cara bagaimana aktivitas jahat ini disembunyikan di dalam file Word menunjukkan bagaimana penjahat siber yang licik beraksi dengan menyamarkan pergerakan mereka dan mencoba untuk menguasai informasi pengguna dan tentu saja perangkatnya.
Dengan mengetahui tentang jenis-jenis teknik yang mungkin mereka gunakan akan memberi kita keuntungan dalam mengidentifikasi operasi siber berbahaya apa pun. Yang paling penting adalah tidak terjatuh dalam skema social engineering yang secara persuasif mempengaruhi pengguna agar mempercayai umpaan yang mereka lemparkan melalui email. Dapat melewati titik ini maka pengguna akan selamat dari serangan siber, karena sebagian besar serangan pada umumnya masih menggunakan email yang bersi lampiran berbahaya.