Malware Qbot gunakan Pop Penginstal Adobe palsu untuk kelabui pengguna

qbot malware.jpg
February 27, 2024
Share

Salah satu varian yang sedang diamati adalah Qbot, menggunakan penginstal palsu untuk produk Adobe di Windows dengan tujuan mengelabui pengguna agar menyebarkan malware. Malware ini juga telah berfungsi selama bertahun-tahun sebagai trojan horse, termasuk ransowmare, yang dikirimkan kepada korban terutama melalui email.

Hingga penghapusannya pada bulan Agustus lalu, QBot telah menginfeksi lebih dari 700.000 sistem dan hanya dalam 18 bulan menyebabkan kerugian finansial yang diperkirakan mencapai lebih dari $58 juta.

Dengan nama sandi Duck Hunt, operasi tersebut tidak melibatkan penangkapan apa pun, dan banyak peneliti keamanan percaya bahwa pengembang Qakbot akan membangun kembali infrastruktur mereka dan memulai kembali kampanye distribusi.

Tahun lalu, Cisco Talos melaporkan kampanye Qakbot yang telah dimulai sebelum penghapusan dan masih aktif pada awal Oktober. Para peneliti yakin hal ini mungkin terjadi karena penegakan hukum hanya mengganggu server perintah dan kontrol malware, bukan infrastruktur pengiriman spam.

Pada bulan Desember 2023, Microsoft mengamati kampanye phishing QBot yang meniru IRS, membenarkan kekhawatiran akan kembalinya malware tersebut.

Satuan tugas gabungan respons ancaman tingkat lanjut Sophos, Sophos X-Ops, memperhatikan aktivitas baru Qbot baru-baru ini, dengan hingga 10 malware baru yang bermunculan sejak pertengahan Desember.

Image credit: X/Sophos X-Ops

Varian QBot baru

Analis Sophos X-Ops merekayasa balik sampel Qbot baru, mencatat peningkatan kecil dalam nomor build, yang menunjukkan bahwa pengembang sedang menguji dan menyempurnakan binari.

Sampel dari bulan Desember dan Januari datang sebagai executable Penginstal Perangkat Lunak Microsoft (.MSI) yang menghapus biner DLL menggunakan arsip .CAB (Kabinet Windows).

Metode ini berbeda dari versi sebelumnya yang memasukkan kode ke dalam proses Windows yang tidak berbahaya (AtBroker.exe, backgroundTaskHost.exe, dxdiag.exe) untuk menghindari deteksi.

Recommended:  Old World Rilis DLC dengan lebih dari 100 tokoh baru
Popup penginstal palsu Adobe. Image credit: X/Sophos X-Ops

Selain itu, Qakbot menampilkan popup menyesatkan yang menyarankan Adobe Setup sedang berjalan di sistem, untuk mengelabui pengguna dengan perintah instalasi palsu yang meluncurkan malware apa pun yang diklik.