Teknogav.com – Serangan malware Qbot terhadap perusahaan makin gencar di awal bulan April 2023 dengan kampanye email spam berbahaya. Jurus yang digunakan adalah mencegat korespondensi kerja, kemudian mengirim lampiran PDF berbahaya ke utas email yang sama. Sejak 4 April 2023, lebih dari 5.000 email berisi lampiran PDF berbahaya dikirim ke berbagai negara, dan masih terus berlangsung. Email tersebut menggunakan bahasa Inggris, Jerman, Italia dan Prancis. Analisa teknis terhadap skema ini pun dilakukan oleh peneliti Kaspersky.

Qbot merupakan Trojan perbankan bagian dari jaringan botnet yang dapat mencuri data berupa kata sandi dan korespondensi kerja. Malware ini memungkinkan penyerang mengendalikan sistem yang terinfeksi dan menginstal ransomware atau trojan lain di perangkat lain dalam jaringan. Pengendali malware ini memakai berbagai skema distribusi, termasuk melalui email dengan lapiran PDF berbahaya yang tak ada di kampanye sebelumnya.

Baca juga: Waspada, Trojan Fleckpe Diam-diam Daftarkan Langganan Layanan Berbayar

Penyebaran malware dilakukan melalui korespondensi kerja asli yang dicuri penjahat siber dari calon korban. Penjahat siber meneruskan email ke semua partisipan dan meminta membuka file PDF yang dilampirkan. Penyerang pun bisa meminta untuk membagikan seluruh dokumentasi tersebut dengan lampiran atau menghitung jumlah kontrak sesuai perkiraan biaya dalam lampiran.

Baca juga: Selama Semester I 2022, Email Berbahaya Sasar Layanan Finansial Indonesia

Contoh terusan email dengan lampiran PDF berbahaya. Pesan dari penyerang yang telah melewati batas

“Kami merekomendasikan perusahaan untuk tetap waspada karena malware Qbot sangat berbahaya, meskipun fungsi intinya tidak berubah selama dua tahun terakhir. Operator terus meningkatkan teknik mereka, menambahkan elemen baru yang meyakinkan dari rekayasa sosial. Hal ini meningkatkan kemungkinan bahwa seorang karyawan akan menjadi korban jurus ini. Agar tetap aman, periksa berbagai hal mencurigakan, seperti ejaan alamat email pengirim, lampiran mencurigakan, kesalahan tata bahasa, dan sebagainya. Selain itu, solusi keamanan siber khusus dapat membantu memastikan perlindungan keamanan email perusahaan,” ucap Darya Ivanova, Analis Malware di Kaspersky.  

Contoh file PDF dari lampiran email

File PDF berisi gambar yang meniru notifikasi dari Microsoft Office 365 atau Microsoft Azure. Ketika mengklik Open, arsip berbahaya akan diunduh ke komputer dari server jarak jauh (situs web yang disusupi). Laporan analisa teknis skema tersebut dapat dilihat pada tautan ini

Baca juga: Sebagian Besar Upaya Phishing di Indonesia Targetkan Sektor Keuangan 

Tips Melindungi Organisasi dari Ancaman Qbot

Pakar Kaspersky memberikan beberapa tips berikut ini untuk melindungi organisasi dari ancaman siber:

• Periksa alamat pengirim karena sebagian besar spam berasal dari alamat email yang tidak masuk akal. Arahkan kursor ke nama pengirim yang mungkin ejaannya aneh, maka alamat email lengkap akan terlihat. Jika tidak yakin keabsahan alamat email tersebut, coba masukkan ke mesin pencari untuk memeriksanya.
• Waspada terhadap pesan yang terasa mendesak yang merupakan jurus umum yang dilakukan spammer. Contohnya adalah judul email yang mengandung kata "Urgent" atau "perlu tindakan segera". Penggunaan kata-kata tersebut dilakukan untuk menekan penerima email agar segera bertindak.
• Beri pelatihan kebersihan keamanan siber dasar bagi karyawan. Simulasikan juga  serangan phishing untuk memastikan bahwa mereka tahu cara membedakan email phishing dan email asli.
• Gunakan solusi perlindungan titik akhir dan server email dengan kemampuan anti-phishing, seperti Kaspersky Endpoint Security for Business
• Saring pesan spam secara otomatis dengan solusi keamanan seperti Kaspersky Secure Mail Gateway

Demikianlah beberapa tips dari Kaspersky yang bisa diterapkan agar senantiasa terhindar dari ancaman malware Qbot.