Varian Baru Emotet Mencuri Informasi Kartu Kredit Google Chrome
Jenis malware emotet terbaru telah menyebarkan modul baru yang bertujuan untuk mencuri informasi kartu kredit yang disimpan di browser web Google Chrome.
Menurut perusahaan keamanan Proofpoint, yang menemukan komponen pada 6 Juni, pencuri kartu kredit, yang hanya menargetkan Chrome, memiliki kemampuan untuk mengekstrak informasi yang dikumpulkan ke server command-and-control (C2) yang berbeda.
Perkembangan itu muncul di tengah lonjakan aktivitas Emotet sejak dibangkitkan kembali akhir tahun lalu setelah jeda 10 bulan yang disebabkan oleh operasi penegakan hukum yang menghancurkan infrastruktur serangannya pada Januari 2021.
Emotet, yang dikaitkan dengan aktor ancaman TA542 (alias Mummy Spider atau Gold Crestwood), adalah trojan yang canggih, yang menyebar sendiri, dan modular yang didistribusikan melalui kampanye email dan berfungsi sebagai distributor untuk muatan lain seperti ransomware.
Menurut Check Point, pada April 2022, Emotet masih menjadi malware paling populer, dengan dampak global 6% dari organisasi di seluruh dunia, diikuti oleh Formbook dan Agent Tesla, dengan malware yang menguji metode pengiriman baru menggunakan URL OneDrive dan PowerShell. Lampiran LNK untuk menghindari pembatasan makro Microsoft.
On June 6th, Proofpoint observed a new #Emotet module being dropped by the E4 botnet. To our surprise it was a credit card stealer that was solely targeting the Chrome browser. Once card details were collected they were exfiltrated to different C2 servers than the module loader. pic.twitter.com/zy92TyYKzs
— Threat Insight (@threatinsight) June 7, 2022
Peningkatan terus-menerus dalam ancaman terkait Emotet lebih lanjut didukung oleh fakta bahwa jumlah email phishing, yang sering membajak korespondensi yang ada, meningkat dari 3.000 pada Februari 2022 menjadi sekitar 30.000 pada Maret, menargetkan organisasi di berbagai negara sebagai bagian dari skala massal kampanye spam.
ESET mengatakan bahwa aktivitas Emotet "bergerak ke tingkat yang lebih tinggi" pada bulan Maret dan April 2022, melaporkan peningkatan deteksi 100 kali lipat selama empat bulan pertama tahun ini jika dibandingkan dengan periode tiga bulan sebelumnya dari September hingga Desember 2021.
Jepang, Italia, dan Meksiko telah sering menjadi target umum sejak kebangkitan botnet, menurut perusahaan keamanan siber Slovakia, dengan gelombang terbesar yang tercatat pada 16 Maret 2022.
"Skala kampanye LNK dan XLL Emotet baru-baru ini secara signifikan lebih kecil daripada yang didistribusikan pada bulan Maret melalui file DOC yang rusak," kata Duan Lacika, senior detection engineer di Duan Lacika.
"Ini menunjukkan bahwa operator hanya memanfaatkan sebagian dari potensi botnet saat bereksperimen dengan vektor distribusi baru yang mungkin menggantikan makro VBA yang sudah dinonaktifkan secara default."
Peneliti dari CyberArk juga mendemonstrasikan teknik baru untuk mengekstrak kredensial plaintext langsung dari memori di browser web berbasis Chromium.
"Data kredensial disimpan dalam format teks yang jelas di memori Chrome," Zeev Ben Porat dari CyberArk menjelaskan. "Selain data yang dimasukkan secara dinamis saat masuk ke aplikasi web tertentu, penyerang dapat menyebabkan browser memuat semua kata sandi yang disimpan di pengelola kata sandi ke dalam memori."
Ini termasuk informasi terkait cookie seperti cookie sesi, yang mungkin diambil dan digunakan oleh penyerang untuk membajak akun pengguna meskipun akun tersebut diamankan dengan multi-factor authentication.