Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Google ads ‘YouTube’ yang terlihat meyakinkan membawa pengunjung ke penipuan Windows support

by

Iklan Google Penelusuran YouTube yang tampak realistis mengarahkan pengunjung ke penipuan tech support yang berpura-pura menjadi peringatan keamanan dari Windows Defender.

Hari ini, perusahaan keamanan siber Malwarebytes mengungkapkan bahwa mereka menemukan kampanye malvertising “besar” yang menyalahgunakan iklan Google.

Saat mencari kata kunci terkait “YouTube”, iklan pertama yang ditampilkan di hasil pencarian berjudul, ‘YouTube – Video YouTube Terbaik’ atau ‘YouTube.com – YouTube – Video YouTube Terbaik untuk Anda.’

Dilihat dari iklannya, tidak ada yang terlihat mencurigakan, karena berisi URL youtube.com yang benar dan juga menampilkan elemen iklan tambahan di bawah iklan, seperti yang ditunjukkan di bawah ini.

Iklan YouTube palsu di hasil pencarian Google
Sumber: BleepingComputer

Namun, mengklik iklan tidak akan membawa Anda ke YouTube melainkan ke penipuan dukungan teknis yang berpura-pura menjadi peringatan keamanan dari Windows Defender.

Dari tes yang dilakukan oleh BleepingComputer, penipuan dukungan teknis terletak di URL http://matkir[.]ml dan http://159.223.199[.]181/ dan memperingatkan pengunjung bahwa ‘Windows diblokir karena aktivitas yang meragukan’ dan bahwa Windows Defender mendeteksi Trojan Spyware bernama ‘Ads.financetrack(2).dll.’

Penipuan Dukungan Teknis ditunjukkan oleh iklan Google untuk Youtube
Sumber: BleepingComputer

Bagi mereka yang menggunakan VPN, kabar baiknya adalah situs scam akan memeriksa apakah Anda menjalankan VPN dan, jika demikian, mengarahkan pengguna ke situs YouTube yang sah.

Dalam kebanyakan kasus, scammers akan mengunci komputer Anda entah bagaimana atau memberi tahu Anda bahwa komputer Anda terinfeksi dan Anda perlu membeli lisensi dukungan. Either way mengarah ke kontrak dukungan mahal yang tidak memberikan manfaat bagi korban.

Kampanye malvertising masih berjalan di Google Penelusuran saat ini seperti yang ditunjukkan oleh tweet dari Malwarebytes.

Apa yang membuat kampanye malvertising ini begitu menakutkan adalah karena menunjukkan bahwa pelaku ancaman dapat membuat iklan yang meniru perusahaan untuk mendistribusikan malware, halaman phishing, atau jenis serangan lainnya.

Sumber: Bleeping Computer

Peretas Mendistribusikan Alat Pembobol Kata Sandi untuk PLC dan HMI untuk Menargetkan Sistem Industri

by

Insinyur dan operator industri menjadi target kampanye baru yang memanfaatkan perangkat lunak pembobol kata sandi untuk menguasai Programmable Logic Controllers (PLC) dan mengkooptasi mesin ke botnet.

Perangkat lunak itu “mengeksploitasi kerentanan dalam firmware yang memungkinkannya mengambil kata sandi sesuai perintah,” kata peneliti keamanan Dragos, Sam Hanson. “Selanjutnya, perangkat lunak itu adalah penetes malware, menginfeksi mesin dengan malware Sality dan mengubah host menjadi rekan di botnet peer-to-peer Sality.”

Perusahaan industri keamanan siber mengatakan bahwa eksploitasi pengambilan kata sandi yang tertanam dalam penetes malware dirancang untuk memulihkan kredensial yang terkait dengan Automation Direct DirectLOGIC 06 PLC.

Eksploitasi, dilacak sebagai CVE-2022-2003 (skor CVSS: 7,7), telah digambarkan sebagai kasus transmisi teks yang jelas dari data sensitif yang dapat menyebabkan pengungkapan informasi dan perubahan yang tidak sah. Masalah ini telah diatasi dalam firmware Versi 2.72 yang dirilis bulan lalu.

Infeksi memuncak dalam penyebaran malware Sality untuk melakukan tugas-tugas seperti penambangan cryptocurrency dan peretasan kata sandi secara terdistribusi, sementara juga mengambil langkah-langkah untuk tetap tidak terdeteksi dengan menghentikan perangkat lunak keamanan yang berjalan di workstation yang disusupi.

Terlebih lagi, artefak yang digali oleh Dragos menjatuhkan muatan crypto-clipper yang mencuri cryptocurrency selama transaksi dengan mengganti alamat dompet asli yang disimpan di clipboard dengan alamat dompet penyerang.

Automation Direct bukan satu-satunya vendor yang terkena dampak karena alat tersebut mengklaim mencakup beberapa PLC, human-machine interfaces (HMI), dan file proyek yang mencakup Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Pro-face Schneider Electric , Vigor PLC, Weintek, Allen-Bradley dari Rockwell Automation, Panasonic, Fatek, IDEC Corporation, dan LG.

Ini jauh dari pertama kalinya perangkat lunak trojan memilih jaringan teknologi operasional (OT). Pada Oktober 2021, Mandiant mengungkapkan bagaimana binari executable portabel yang sah dikompromikan oleh berbagai malware seperti Sality, Virus, dan Ramnit, antara lain.

Sumber: The Hacker News

Microsoft merilis eksploitasi PoC untuk kerentanan pelarian Sandbox macOS

by

Microsoft telah menerbitkan kode eksploit untuk kerentanan di macOS yang dapat membantu penyerang melewati batasan sandbox dan menjalankan kode pada sistem.

Perusahaan merilis detail teknis untuk masalah keamanan, yang saat ini diidentifikasi sebagai CVE-2022-26706, dan menjelaskan bagaimana aturan Kotak Pasir Aplikasi macOS dapat dihindari untuk memungkinkan kode makro berbahaya dalam dokumen Word untuk menjalankan perintah pada mesin.

Menyalahgunakan makro dalam dokumen Office untuk menyebarkan malware telah lama menjadi teknik yang efisien dan populer untuk menyusup ke sistem Windows.

Jonathan Bar Or dari Microsoft 365 Defender Research Team menjelaskan bahwa kerentanan ditemukan saat mencari metode untuk menjalankan dan mendeteksi makro berbahaya dalam dokumen Microsoft Office di macOS.

Untuk memastikan kompatibilitas mundur, Microsoft Word dapat membaca dan menulis file yang datang dengan awalan “~$,” yang ditentukan dalam aturan kotak pasir aplikasi.

Sandbox rule untuk Microsoft Word di macOS
sumber: Microsoft

Setelah mempelajari laporan yang lebih lama [1, 2] tentang keluar dari kotak pasir macOS, para peneliti menemukan bahwa menggunakan Layanan Peluncuran untuk menjalankan perintah open –stdin pada file Python khusus dengan awalan yang disebutkan di atas memungkinkan keluar dari Kotak Pasir Aplikasi di macOS, yang berpotensi menyebabkan kompromi sistem.

Para peneliti datang dengan proof-of-concept (PoC) yang menggunakan opsi -stdin untuk Perintah terbuka pada file Python untuk melewati pembatasan atribut tambahan “com.apple.quarantine”.

Kode eksploitasi demo semudah menjatuhkan file Python yang berisi perintah arbitrer dan memiliki awalan khusus untuk Word dalam namanya.

Menggunakan perintah open -stdin memulai aplikasi Python dengan file yang dibuat khusus sebagai input standar.

Sandbox macOS melarikan diri dari PoC
sumber: Microsoft

Para peneliti bahkan berhasil mengompres kode eksploit di atas sedemikian rupa sehingga pas menjadi sebuah tweet.

Versi ukuran tweet dari Sandbox macOS yang lolos dari PoC​​​​​
sumber: Microsoft

Microsoft melaporkan kerentanan terhadap Apple tahun lalu pada bulan Oktober dan perbaikan dikirimkan dengan pembaruan keamanan macOS pada Mei 2022 (Big Sur 11.6.6)

Sumber: Bleeping Computer

Kit phishing PayPal ditambahkan ke situs WordPress yang diretas untuk pencurian ID lengkap

by

Kit phishing yang baru ditemukan yang menargetkan pengguna PayPal mencoba mencuri sejumlah besar informasi pribadi dari para korban yang mencakup dokumen dan foto identitas pemerintah.

Kit ini di-host di situs web WordPress yang sah yang telah diretas, yang memungkinkannya untuk menghindari deteksi hingga tingkat tertentu.

Para peneliti di perusahaan teknologi internet Akamai menemukan kit phishing setelah pelaku ancaman menanamnya di honeypot WordPress mereka.

Pelaku ancaman menargetkan situs web yang kurang aman dan memaksa masuk mereka menggunakan daftar pasangan kredensial umum yang ditemukan secara online. Mereka menggunakan akses ini untuk menginstal plugin manajemen file yang memungkinkan pengunggahan kit phishing ke situs yang dilanggar.

Akamai menemukan bahwa salah satu metode yang digunakan kit phishing untuk menghindari deteksi adalah dengan referensi silang alamat IP ke domain milik sekumpulan perusahaan tertentu, termasuk beberapa organisasi di industri keamanan siber.

Para peneliti memperhatikan bahwa pembuat kit phishing berusaha membuat halaman penipuan terlihat profesional dan meniru situs PayPal asli sebanyak mungkin.

Salah satu aspek yang mereka amati adalah penulis menggunakan htaccess untuk menulis ulang URL sehingga tidak diakhiri dengan ekstensi file PHP. Ini menambah penampilan yang lebih bersih dan lebih halus yang memberikan legitimasi.

Menulis ulang URL untuk menghapus akhiran php (Akamai)

Selain itu, semua elemen antarmuka grafis dalam formulir ditata sesuai dengan tema PayPal, sehingga halaman phishing memiliki tampilan yang tampak autentik.

Mencuri data pribadi korban dimulai dengan memberi mereka tantangan CAPTCHA, sebuah langkah yang menciptakan rasa legitimasi yang salah.

CAPTCHA palsu menginjak situs phishing (Akamai)

Setelah tahap ini, korban diminta untuk masuk ke akun PayPal mereka menggunakan alamat email dan kata sandi mereka, yang secara otomatis dikirimkan ke pelaku ancaman. Setelah itu pelaku ancaman meminta informasi verifikasi lebih lanjut.

Di halaman berikutnya, korban diminta untuk memberikan sejumlah rincian pribadi dan keuangan yang mencakup data kartu pembayaran bersama dengan kode verifikasi kartu, alamat fisik, nomor jaminan sosial, nama gadis ibu.

Tampaknya kit phishing dibuat untuk memeras semua informasi pribadi dari korban. Selain data kartu yang biasanya dikumpulkan dalam penipuan phishing, yang satu ini juga meminta nomor jaminan sosial, nama gadis ibu, dan bahkan nomor PIN kartu untuk transaksi di mesin ATM.

Info lebih lanjut dikumpulkan (Akamai)

Mengumpulkan informasi sebanyak ini tidak khas untuk kit phishing. Namun, yang satu ini melangkah lebih jauh dan meminta korban untuk menautkan akun email mereka ke PayPal. Ini akan memberi penyerang token yang dapat digunakan untuk mengakses konten dari alamat email yang diberikan.

Akun email phishing (Akamai)

Meskipun telah mengumpulkan sejumlah besar informasi pribadi, pelaku ancaman belum selesai. Langkah selanjutnya, mereka meminta korban untuk mengunggah dokumen identitas resmi mereka untuk mengkonfirmasi identitas mereka.

Dokumen yang diterima adalah paspor, ID nasional, atau SIM dan prosedur pengunggahan dilengkapi dengan instruksi khusus, seperti yang diminta PayPal atau layanan resmi dari penggunanya.

Petunjuk tentang cara mengunggah dokumen (Akamai)

Penjahat dunia maya dapat menggunakan semua informasi ini untuk berbagai kegiatan ilegal mulai dari apa pun yang terkait dengan pencurian identitas hingga pencucian uang (misalnya membuat akun perdagangan mata uang kripto, mendaftarkan perusahaan) dan mempertahankan anonimitas saat membeli layanan hingga mengambil alih rekening perbankan atau mengkloning kartu pembayaran.

Meskipun kit phishing tampak canggih, para peneliti menemukan bahwa fitur unggah filenya dilengkapi dengan kerentanan yang dapat dieksploitasi untuk mengunggah shell web dan mengendalikan situs web yang disusupi.

Mengingat sejumlah besar informasi yang diminta, penipuan mungkin tampak jelas bagi sebagian pengguna. Namun, peneliti Akamai percaya bahwa elemen rekayasa sosial khusus inilah yang membuat kit ini berhasil.

Mereka menjelaskan bahwa verifikasi identitas adalah hal yang normal akhir-akhir ini dan ini dapat dilakukan dengan berbagai cara. “Orang-orang menilai merek dan perusahaan berdasarkan langkah-langkah keamanan mereka akhir-akhir ini,” kata para peneliti.

Penggunaan tantangan captcha menandakan dari awal bahwa verifikasi tambahan mungkin diharapkan. Dengan menggunakan metode yang sama seperti layanan yang sah, pelaku ancaman memantapkan kepercayaan korban.

Pengguna disarankan untuk memeriksa nama domain halaman yang meminta informasi sensitif. Mereka juga dapat membuka halaman resmi layanan, dengan mengetiknya secara manual di browser, untuk memeriksa apakah verifikasi identitas sudah dilakukan.

Sumber: Bleeping Computer

Malware Android baru di Google Play dipasang 3 juta kali

by

Keluarga malware Android baru di Google Play Store yang secara diam-diam membuat pengguna berlangganan layanan premium telah diunduh lebih dari 3.000.000 kali.

Malware bernama ‘Autolycos’, ditemukan oleh peneliti keamanan Evina, Maxime Ingrao, berada di setidaknya delapan aplikasi Android, dua di antaranya masih tersedia di Google Play Store pada saat penulisan ini.

Dua aplikasi yang masih tersedia diberi nama ‘Funny Camera’ oleh KellyTech, yang memiliki lebih dari 500.000 pemasangan, dan ‘Razer Keyboard & Tema’ oleh rxcheldiolola, yang menghitung lebih dari 50.000 pemasangan di Play Store.

Aplikasi Kamera Lucu di Play Store

Enam aplikasi yang tersisa telah dihapus dari Google Play Store, tetapi mereka yang masih menginstalnya berisiko dikenai biaya berlangganan yang mahal oleh aktivitas malware.

  • Vlog Star Video Editor (com.vlog.star.video.editor) – 1 juta unduhan
  • Creative 3D Launcher (app.launcher.creative3d) – 1 juta unduhan
  • Wow Beauty Camera (com.wowbeauty.camera) – 100.000 unduhan
  • Gif Emoji Keyboard (com.gif.emoji.keyboard) – 100.000 unduhan
  • Freeglow Camera 1.0.0 (com.glow.camera.open) – 5.000 unduhan
  • Coco Camera v1.1 (com.toomore.cool.camera) –1.000 unduhan

Selama diskusi dengan Ingrao, peneliti mengatakan bahwa ia menemukan aplikasi pada Juni 2021 dan melaporkan temuannya ke Google pada saat itu.

Meskipun Google mengakui menerima laporan itu, butuh waktu enam bulan bagi perusahaan untuk menghapus enam set, sementara dua aplikasi berbahaya tetap ada di Play Store hingga hari ini.

Setelah sekian lama berlalu sejak pelaporan awal, peneliti mengungkapkan temuannya kepada publik.

Autolycos adalah malware yang melakukan perilaku berbahaya diam-diam seperti mengeksekusi URL pada browser jarak jauh dan kemudian menyertakan hasilnya dalam permintaan HTTP alih-alih menggunakan Webview.

Perilaku ini dimaksudkan untuk membuat tindakannya kurang terlihat dan dengan demikian tidak terdeteksi oleh pengguna perangkat yang disusupi.

Dalam banyak kasus, aplikasi jahat meminta izin untuk membaca konten SMS saat dipasang di perangkat, memungkinkan aplikasi mengakses pesan teks SMS korban.

Untuk mempromosikan aplikasi kepada pengguna baru, operator Autolycos membuat banyak kampanye iklan di media sosial. Untuk Razer Keyboard & Theme saja, Ingrao menghitung 74 kampanye iklan di Facebook.

Selain itu, sementara beberapa aplikasi berbahaya mengalami ulasan negatif yang tak terhindarkan di Play Store, aplikasi dengan unduhan lebih sedikit mempertahankan peringkat pengguna yang baik karena ulasan bot.

Agar tetap aman dari ancaman ini, pengguna Android harus memantau data internet latar belakang dan konsumsi baterai, tetap mengaktifkan Play Protect, dan mencoba meminimalkan jumlah aplikasi yang mereka instal di ponsel cerdas mereka.

Pembaruan 13/7/2022: Google telah menghapus dua aplikasi adware yang tersisa dari Play Store segera setelah publikasi posting ini.

Sumber: Bleeping Computer

Microsoft: Phishing melewati MFA dalam serangan terhadap 10.000 organisasi

by

Microsoft mengatakan serangkaian besar serangan phishing telah menargetkan lebih dari 10.000 organisasi mulai September 2021, menggunakan akses yang diperoleh ke kotak surat korban dalam serangan kompromi email bisnis (BEC) lanjutan.

Pelaku ancaman menggunakan halaman arahan yang dirancang untuk membajak proses otentikasi Office 365 (bahkan pada akun yang dilindungi oleh otentikasi multifaktor (MFA) dengan memalsukan halaman otentikasi online Office.

Dalam beberapa serangan yang diamati, calon korban diarahkan ke halaman arahan dari email phishing menggunakan lampiran HTML yang bertindak sebagai penjaga gerbang memastikan target dikirim melalui redirector HTML.

Setelah mencuri kredensial target dan cookie sesi mereka, pelaku ancaman di balik serangan ini masuk ke akun email korban. Mereka kemudian menggunakan akses mereka dalam kampanye kompromi email bisnis (BRC) yang menargetkan organisasi lain.

“Kampanye phishing skala besar yang menggunakan situs phishing adversary-in-the-middle (AiTM) mencuri kata sandi, membajak sesi masuk pengguna, dan melewatkan proses otentikasi meskipun pengguna telah mengaktifkan otentikasi multifaktor (MFA),” kata tim peneliti Microsoft 365 Defender dan Microsoft Threat Intelligence Center (MSTIC).

“Para penyerang kemudian menggunakan kredensial yang dicuri dan cookie sesi untuk mengakses kotak surat pengguna yang terpengaruh dan melakukan kampanye kompromi email bisnis (BEC) lanjutan terhadap target lain.”

Ikhtisar kampanye phishing (Microsoft)

​Proses phishing yang digunakan dalam kampanye phishing skala besar ini dapat diotomatisasi dengan bantuan beberapa toolkit phishing open-source, termasuk Evilginx2, Modlishka, dan Muraena yang banyak digunakan.

Situs phishing yang digunakan dalam kampanye ini berfungsi sebagai proxy terbalik dan dihosting di server web yang dirancang untuk mem-proksi permintaan autentikasi target ke situs web sah yang mereka coba masuki melalui dua sesi Transport Layer Security (TLS) terpisah.

Menggunakan taktik ini, halaman phishing penyerang bertindak sebagai agen man-in-the-middle yang mencegat proses otentikasi untuk mengekstrak informasi sensitif dari permintaan HTTP yang dibajak, termasuk kata sandi dan, yang lebih penting, cookie sesi.

Setelah penyerang mendapatkan cookie sesi target, mereka menyuntikkannya ke browser web mereka sendiri, yang memungkinkan mereka untuk melewati proses otentikasi, bahkan jika korban mengaktifkan MFA pada akun yang disusupi.

Otentikasi penyadapan situs phishing (Microsoft)

​Untuk mempertahankan diri dari serangan semacam itu, Microsoft merekomendasikan penggunaan implementasi MFA “tahan phish” dengan otentikasi berbasis sertifikat dan dukungan Fast ID Online (FIDO) v2.0.

Praktik terbaik lain yang direkomendasikan yang akan meningkatkan perlindungan termasuk pemantauan upaya masuk yang mencurigakan dan aktivitas kotak surat, serta kebijakan akses bersyarat yang akan memblokir upaya penyerang untuk menggunakan cookie sesi yang dicuri dari perangkat yang tidak sesuai atau alamat IP yang tidak tepercaya.

Sumber: Bleeping Computer

Peretas meniru perusahaan keamanan siber dalam serangan callback phishing

by

Peretas meniru perusahaan keamanan siber terkenal, seperti CrowdStrike, dalam email phishing panggilan balik untuk mendapatkan akses awal ke jaringan perusahaan.

Selama setahun terakhir, pelaku ancaman semakin sering menggunakan kampanye phishing “Callback” yang meniru perusahaan terkenal yang meminta Anda menelepon nomor untuk menyelesaikan masalah, membatalkan perpanjangan langganan, atau mendiskusikan masalah lain.

Ketika target memanggil nomor, pelaku ancaman menggunakan rekayasa sosial untuk meyakinkan pengguna untuk menginstal perangkat lunak akses jarak jauh pada perangkat mereka, menyediakan akses awal ke jaringan perusahaan. Akses ini kemudian digunakan untuk mengkompromikan seluruh domain Windows.

Dalam kampanye phishing callback baru, para peretas meniru CrowdStrike untuk memperingatkan penerima bahwa penyusup jaringan jahat telah menyusup ke stasiun kerja mereka dan bahwa audit keamanan mendalam diperlukan.

Email phishing yang meniru CrowdStrike

Kampanye callback phishing ini berfokus pada manipulasi psikologis, menjelaskan secara rinci mengapa mereka harus diberikan akses ke perangkat penerima.

Pada akhirnya, email phishing meminta karyawan untuk menghubungi mereka melalui nomor telepon terlampir untuk menjadwalkan audit keamanan tempat kerja mereka.

Jika dipanggil, peretas akan memandu karyawan melalui pemasangan alat administrasi jarak jauh (RAT) yang memungkinkan pelaku ancaman untuk mendapatkan kendali penuh atas workstation.

Pelaku ancaman ini sekarang dapat menginstal alat tambahan dari jarak jauh yang memungkinkan mereka menyebar secara lateral melalui jaringan, mencuri data perusahaan, dan berpotensi menyebarkan ransomware untuk mengenkripsi perangkat.

Dalam sebuah laporan oleh CrowdStrike, perusahaan yakin kampanye ini kemungkinan akan mengarah pada serangan ransomware, seperti yang terlihat pada kampanye phishing panggilan balik sebelumnya.

CrowdStrike mencatat bahwa pada Maret 2022, analisnya mengidentifikasi kampanye serupa di mana pelaku ancaman menggunakan AteraRMM untuk menginstal Cobalt Strike dan kemudian bergerak secara lateral di jaringan korban sebelum mereka menyebarkan malware.

Kampanye phishing panggilan balik menjadi umum pada tahun 2021 dengan peluncuran kampanye phishing BazarCall yang digunakan oleh geng ransomware Conti untuk mendapatkan akses awal ke jaringan perusahaan.

Sejak itu, kampanye callback phishing telah menggunakan berbagai umpan, termasuk antivirus dan langganan dukungan serta pembaruan kursus online.

Vitali Kremez dari AdvIntel mengatakan bahwa kampanye yang dilihat oleh CrowdStrike diyakini dilakukan oleh geng ransomware Quantum, yang telah meluncurkan kampanye mirip BazarCall mereka sendiri.

Quantum adalah salah satu operasi ransomware penargetan perusahaan yang paling cepat berkembang saat ini, baru-baru ini dikaitkan dengan serangan terhadap PFC yang berdampak pada lebih dari 650 organisasi layanan kesehatan.

Analis keamanan juga telah mengkonfirmasi bahwa banyak mantan anggota Conti telah melompat ke Quantum setelah operasi sebelumnya ditutup karena peningkatan pengawasan oleh para peneliti dan penegak hukum.

Meskipun akan sulit bagi email phishing untuk menemukan kesuksesan massal di masa lalu, dalam situasi saat ini, dengan banyak karyawan yang bekerja dari jarak jauh dari rumah dan jauh dari tim TI mereka, prospek pelaku ancaman meningkat secara signifikan.

Sumber: Bleeping Computer

Peretas Menggunakan Tawaran Pekerjaan Palsu untuk Meretas dan Mencuri $540 Juta dari Axie Infinity

by

Peretasan Bridge Ronin Axie Infinity senilai $ 540 juta pada akhir Maret 2022 adalah konsekuensi dari salah satu mantan karyawannya yang ditipu oleh tawaran pekerjaan palsu di LinkedIn, telah muncul.

Menurut sebuah laporan, seorang insinyur senior di perusahaan tersebut ditipu untuk melamar pekerjaan di perusahaan yang tidak ada, menyebabkan individu tersebut mengunduh dokumen penawaran palsu yang disamarkan sebagai PDF.

Dokumen penawaran kemudian bertindak sebagai saluran untuk menyebarkan malware yang dirancang untuk menembus jaringan Ronin, yang pada akhirnya memfasilitasi salah satu peretasan terbesar di sektor kripto hingga saat ini.

“Karyawan Sky Mavis berada di bawah serangan spear-phishing tingkat lanjut yang konstan di berbagai saluran sosial dan satu karyawan dikompromikan,” kata perusahaan itu dalam analisis post-mortem pada bulan April.

“Karyawan ini tidak lagi bekerja di Sky Mavis. Penyerang berhasil memanfaatkan akses itu untuk menembus infrastruktur TI Sky Mavis dan mendapatkan akses ke node validator.”

Pada April 2022, Departemen Keuangan AS melibatkan Grup Lazarus yang didukung Korea Utara dalam insiden tersebut, dengan menyebut sejarah serangan kolektif musuh yang menargetkan sektor cryptocurrency untuk mengumpulkan dana bagi kerajaan pertapa.

Tawaran pekerjaan palsu telah lama digunakan oleh ancaman terus-menerus yang canggih sebagai iming-iming rekayasa sosial, sejak Agustus 2020 hingga kampanye yang dijuluki oleh perusahaan keamanan siber Israel ClearSky sebagai “Operation Dream Job.”

Dalam Laporan Ancaman T1 untuk tahun 2022, ESET mencatat bagaimana aktor yang beroperasi di bawah payung Lazarus telah menggunakan tawaran pekerjaan palsu melalui media sosial seperti LinkedIn sebagai strategi mereka untuk menyerang kontraktor pertahanan dan perusahaan kedirgantaraan.

Sementara Bridge Ethereum Ronin diluncurkan kembali pada bulan Juni, tiga bulan setelah peretasan, Grup Lazarus juga diduga berada di balik pencurian altcoin senilai $100 juta baru-baru ini dari Jembatan Harmony Horizon.

Temuan ini juga datang ketika proyek blockchain yang berpusat di sekitar Web 3.0 telah kehilangan lebih dari $2 miliar karena peretasan dan eksploitasi dalam enam bulan pertama tahun ini, audit blockchain dan perusahaan keamanan CertiK mengungkapkan dalam sebuah laporan minggu lalu.

Sumber : The Hacker News