Menyamar Sebagai Pop Up Adobe Installer, Apa Itu Malware QBot?

Kronologi

Baru-baru ini, telah muncul malware QBot varian baru yang sebelumnya telah memakan kurang lebih sebanyak 700 ribu korban. Salah satu yang cukup sering muncul adalah QBot mengintai melalui pop up pada Adobe Installer pada OS windows untuk mengelabui user agar menginstall malware QBot tersebut yang akhirnya akan merayapi endpoint pengguna tersebut.

Diketahui, sebetulnya malware ini telah beroperasi sejak bertahun-tahun lalu yang membawa berbagai macam ancaman termasu ransomware dengan metode melalui email. Sejak dilakukan takedown pada Agustus 2023, QBot telah menginfeksi kurang lebih 700 ribu endpoint dalam kurun waktu 18 bulan saja, waktu yang cukup singkat dan diperkirakan telah menyebabkan kerugian $58 Juta USD. Hingga pada Desember 2023, tim dari Microsoft melakukan pengamatan kampanye phishing QBot yang menyamar sebagai IRS (Internal Revenue Service), sebuah lembaga pemerintahan Amerika Serikat.

Tim gabungan Advance Threat Sophos X-Ops menyadari adanya aktivitas malware kurang lebih sebanyak 10 malware baru yang ditemukan sejak pertengahan Desember tahun 2023.

Apa Itu Malware QBot?

Qbot, juga dikenal sebagai QakBot, adalah jenis malware perangkat lunak jahat yang pertama kali muncul pada tahun 2008. Qbot sering digunakan untuk melakukan serangan perbankan dan pencurian data keuangan. Berikut adalah beberapa ciri khas dan fungsionalitas utama dari malware Qbot:

1. Pencurian Kredensial Qbot dirancang untuk mencuri informasi kredensial, termasuk nama pengguna, kata sandi, dan informasi keuangan terkait dengan perbankan online.

2. Penggunaan Teknik Persembunyian Malware ini cenderung menggunakan teknik persembunyian untuk menghindari deteksi oleh perangkat lunak keamanan. Ini mencakup enkripsi lalu lintas dan penyamaran fungsionalitasnya.

3. Eksploitasi Kerentanan Zero-Day Qbot dapat memanfaatkan kerentanan zero-day atau keamanan yang lemah dalam sistem operasi atau perangkat lunak untuk mendapatkan akses tanpa diketahui.

4. Fungsi Banking Trojan Qbot berperan sebagai banking Trojan, yang berarti fokus utamanya adalah mencuri informasi keuangan dan mengakses rekening perbankan online pengguna.

5. Perilaku Perusak Selain mencuri data, Qbot juga dapat merusak sistem dengan menghapus atau merusak file, membuat backdoor untuk akses jangka panjang, atau mengeksploitasi kerentanan lain.

6. Penyebaran Melalui Email dan USB Qbot dapat menyebar melalui email berbahaya dengan menggunakan teknik phishing, serta menyebar melalui perangkat USB yang terinfeksi.

7. Penghindaran Deteksi Qbot sering kali mencoba menghindari deteksi antivirus dan anti-malware dengan memperbarui dirinya secara otomatis dan menggunakan teknik evasi yang canggih.
   

Dikarenakan sifatnya yang terus berkembang dan adaptif, perlu adanya tindakan keamanan yang kuat dan pembaruan sistem teratur untuk melindungi diri dari ancaman Qbot dan jenis malware lainnya. Selalu disarankan untuk menggunakan perangkat lunak keamanan yang mutakhir dan tetap waspada terhadap praktik keamanan cyber yang baik.

Apa Varian Baru Malware QBot?

Analis Sophos X-Ops menemukan sampel malware Qbot baru dengan peningkatan kecil pada nomor build, menunjukkan bahwa pengembang atau developer sedang mengujinya. Berbeda dari versi sebelumnya, QBot baru menggunakan file MSI yang dapat dieksekusi dan arsip CAB untuk menjatuhkan biner DLL. Teknik ini menghindari injeksi kode ke proses Windows.

Qbot baru memiliki teknik penyamaran yang lebih baik, termasuk enkripsi AES-256 dan XOR untuk menyembunyikan string dan komunikasi C2. Malware ini memeriksa perangkat lunak antivirus dan lingkungan tervirtualisasi. Jika Qbot menemukan dirinya di mesin virtual, ia akan memasuki perulangan tak terbatas untuk menghindari deteksi. Qbot terus berkembang dengan teknik baru untuk menghindari deteksi. Varian QBbot yang baru menggunakan teknik penyamaran yang disempurnakan, termasuk enkripsi tingkat lanjut untuk menyembunyikan string dan komunikasi perintah dan kontrol (C2).

Para peneliti Sophos mengatakan bahwa dengan memantau perkembangan QBot secara cermat, mereka dapat memperbarui aturan pendeteksian mereka dan berbagi info penting dengan vendor keamanan lainnya. Meskipun sejumlah kecil sampel telah muncul setelah infrastruktur C2 Qbot dimatikan tahun lalu, para peneliti percaya "bahwa aktivitas apa pun yang dilakukan oleh para pelaku ancaman untuk membawanya kembali layak untuk diawasi dan dicermati."

Kesimpulan

Qbot terus berkembang dengan teknik baru untuk menghindari deteksi. Penting untuk selalu waspada dan menggunakan solusi keamanan terbaru untuk melindungi diri dari malware ini. Dengan terus berkembangnya berbagai macam ancaman baru, kami memiliki one-stop-solution untuk cyber security atau keamanan siber pada organisasi atau bisnis kamu yaitu SOC as a Service dengan tim kami yang andal, kami siap mengamankan bisnis atau organisasi anda dari ancaman yang ada. Oleh karena itu, kunjungi landing page SOC as a Service kami atau hubungi tim marketing kami di marketing@primacs.co.id untuk konsultasi cyber security.