| Sumber Gambar: Toptal |
Malware Emotet yang terkenal jahat telah beralih untuk menyebarkan modul baru yang dirancang untuk menyedot informasi kartu kredit yang disimpan di browser web Chrome.
Pencuri kartu kredit, yang secara eksklusif memilih Chrome, memiliki kemampuan untuk mengekstrak informasi yang dikumpulkan ke berbagai server perintah-dan-kontrol (C2) jarak jauh, menurut perusahaan keamanan perusahaan titik buktiyang mengamati komponen pada 6 Juni.
Perkembangan itu terjadi di tengah lonjakan aktivitas Emotet sejak dibangkitkan akhir tahun lalu setelah jeda selama 10 bulan setelah operasi penegakan hukum yang melumpuhkan infrastruktur serangannya pada Januari 2021.
Emotet, dikaitkan dengan aktor ancaman yang dikenal sebagai TA542 (alias Mummy Spider atau Gold Crestwood), adalah trojan canggih, yang menyebar sendiri dan modular yang dikirimkan melalui kampanye email dan digunakan sebagai distributor untuk muatan lain seperti ransomware.
Pada April 2022, Emotet masih menjadi malware paling populer dengan dampak global 6% organisasi di seluruh dunia, diikuti oleh Formbook dan Agen Tesla, per Check Point, dengan malware menguji metode pengiriman baru menggunakan URL OneDrive dan PowerShell dalam lampiran .LNK untuk mengatasi pembatasan makro Microsoft.
Pertumbuhan stabil dalam ancaman terkait Emotet diperkuat lebih lanjut oleh fakta bahwa jumlah email phishing, yang sering kali membajak korespondensi yang sudah ada, tumbuh dari 3.000 pada Februari 2022 menjadi sekitar 30.000 pada Maret yang menargetkan organisasi di berbagai negara sebagai bagian dari skala massal kampanye spam.
Menyatakan bahwa aktivitas Emotet telah “bergeser ke tingkat yang lebih tinggi” pada bulan Maret dan April 2022, ESET mengatakan bahwa deteksi melonjak 100 kali lipat, mencatat pertumbuhan lebih dari 11.000% selama empat bulan pertama tahun ini jika dibandingkan dengan tiga bulan sebelumnya. periode bulan September sampai Desember 2021.
Beberapa target umum sejak kebangkitan botnet adalah Jepang, Italia, dan Meksiko, perusahaan keamanan siber Slovakia mencatat, menambahkan gelombang terbesar tercatat pada 16 Maret 2022.
“Ukuran kampanye LNK dan XLL terbaru Emotet secara signifikan lebih kecil daripada yang didistribusikan melalui file DOC yang disusupi yang terlihat pada bulan Maret,” kata Dušan Lacika, insinyur deteksi senior di Dušan Lacika.
“Ini menunjukkan bahwa operator hanya menggunakan sebagian kecil dari potensi botnet saat menguji vektor distribusi baru yang dapat menggantikan makro VBA yang sekarang dinonaktifkan secara default.”
Temuan ini juga datang ketika para peneliti dari CyberArk mendemonstrasikan teknik baru untuk mengekstrak kredensial plaintext langsung dari memori di browser web berbasis Chromium.
“Data kredensial disimpan dalam memori Chrome dalam format teks yang jelas,” kata Zeev Ben Porat dari CyberArk. “Selain data yang dimasukkan secara dinamis saat masuk ke aplikasi web tertentu, penyerang dapat menyebabkan browser memuat semua kata sandi yang disimpan di pengelola kata sandi ke dalam memori.”
Ini juga mencakup informasi terkait cookie seperti cookie sesi, yang berpotensi memungkinkan penyerang mengekstrak informasi dan menggunakannya untuk membajak akun pengguna bahkan ketika mereka dilindungi oleh otentikasi multi-faktor.