Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Phishing

Phishing

Malware QBot Menyalahgunakan Windows WordPad EXE untuk Menginfeksi Perangkat

by

Operasi malware QBot telah mulai menyalahgunakan cacat pembajakan DLL di program WordPad Windows 10 untuk menginfeksi komputer, menggunakan program yang sah untuk menghindari deteksi oleh perangkat lunak keamanan.

DLL adalah file pustaka yang berisi fungsi-fungsi yang dapat digunakan oleh lebih dari satu program pada saat yang bersamaan. Saat aplikasi diluncurkan, aplikasi akan mencoba memuat DLL apa pun yang diperlukan.

Pembajakan DLL adalah saat pelaku ancaman membuat DLL berbahaya dengan nama yang sama dengan yang sah, dan menempatkannya di jalur pencarian awal Windows, biasanya folder yang sama dengan file yang dapat dieksekusi. Ketika executable itu diluncurkan, itu akan memuat DLL malware daripada yang sah dan menjalankan perintah berbahaya apa pun di dalamnya.

QBot menyalahgunakan kelemahan pembajakan WordPad DLL. QBot atau Qakbot sendiri merupakan malware Windows yang awalnya dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware.

Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, telah bermitra dengan operasi malware untuk mendapatkan akses awal ke jaringan perusahaan untuk melakukan serangan pemerasan.

Properti file document.exe, ini hanyalah salinan nama dari file yang dapat dieksekusi Write.exe yang sah yang digunakan untuk meluncurkan editor dokumen Windows 10 WordPad.

Berganti nama Windows 10 WordPad dapat dieksekusi (Sumber: BleepingComputer)
Berganti nama Windows 10 WordPad dapat dieksekusi
(Sumber: BleepingComputer)

QBot akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing lebih lanjut dan akhirnya mengunduh muatan lain, seperti Cobalt Strike.

Dengan menginstal QBot melalui program tepercaya seperti Windows 10 WordPad (write.exe), pelaku ancaman berharap perangkat lunak keamanan tidak menandai malware sebagai berbahaya.

Saat ini, operasi QBot telah beralih ke metode infeksi lain dalam beberapa minggu terakhir, tetapi tidak jarang mereka beralih ke taktik sebelumnya dalam kampanye selanjutnya.

Selengkapnya: BleepingComputer

Telegram Kini Menjadi Tempat Tujuan Untuk Menjual Alat dan Layanan Phishing

by

Telegram telah menjadi tempat bagi pembuat bot dan kit phishing yang ingin memasarkan produk mereka kepada audiens yang lebih besar atau merekrut pekerja yang tidak dibayar.

Peneliti dari Kaspersky telah mengamati sebuah tren di mana sebuah komunitas telah terbentuk di sekitar topik phishing yang semakin populer di Telegram.

Pelaku phishing sangat aktif di Telegram, menawarkan layanan mulai dari menjual kit siap pakai, halaman palsu, langganan alat, panduan, hingga dukungan teknis kepada pembeli yang tertarik.

    Menurut laporan dari Kaspersky, layanan phishing berikut ini ditawarkan melalui Telegram saat ini:

  • kit phishing gratis dengan alat pra-paket yang memungkinkan pengguna membuat halaman phishing yang meniru merek terkenal.
  • Pembuatan halaman phishing otomatis (berbasis bot) dan pengumpulan data pengguna dilakukan secara otomatis menggunakan bot.
  • Halaman phishing dan scam premium menawarkan antarmuka yang dapat disesuaikan, sistem anti-bot, blokir geografis, enkripsi URL, dan elemen rekayasa sosial. Biaya kit ini bervariasi antara $10 hingga $300, tergantung pada fiturnya.
  • Data pribadi yang dicuri meliputi kredensial perbankan online yang sering diverifikasi.
  • Langganan Phishing-as-a-service (PhaaS) menyediakan akses ke alat, panduan pemula, dukungan teknis, dan pembaruan rutin untuk sistem anti-deteksi yang disediakan. Layanan ini ditawarkan pada model langganan dengan harga sekitar $130/minggu, atau $500/bulan untuk penerapan khusus.
  • Bot kata sandi satu kali (OTP) membantu phisher melewati perlindungan 2FA (autentikasi dua faktor) secara otomatis.

Beberapa vendor menjual kit yang mengenkripsi data yang dicuri, sehingga operator dan vendor tidak dapat mengakses informasi korban tanpa membayar.

Telegram menjadi tempat bagi calon penipu untuk belajar bisnis phishing gratis. Phisher yang berpengalaman membuat saluran Telegram dengan bot yang memberikan petunjuk langkah demi langkah untuk membuat halaman phishing.

Kaspersky telah mendeteksi lebih dari 2,5 juta URL jahat yang dihasilkan menggunakan kit phishing dan mencegah 7,1 upaya akses oleh pengguna produknya dalam enam bulan terakhir. Proliferasi kit dan layanan di Telegram telah memungkinkan pertumbuhan operasi phishing yang besar.

Selengkapnya: Bleeping Computer

Para Ahli: Chatbot AI Mempersulit untuk Menemukan Email Phishing

by

Ejaan dan tata bahasa yang buruk dapat membantu mengidentifikasi serangan penipuan yang diperbaiki oleh kecerdasan buatan (AI).

Menurut para ahli, Chatbots menghilangkan garis pertahanan utama terhadap penipuan email phishing dengan menghapus kesalahan tata bahasa dan ejaan yang mencolok.

Peringatan itu muncul ketika organisasi kepolisian Europol mengeluarkan penasehat internasional tentang potensi kriminal penggunaan ChatGPT dan model bahasa besar lainnya.

Email phishing adalah senjata penjahat siber untuk membodohi penerima agar mengklik tautan yang mengunduh perangkat lunak berbahaya atau mengelabui mereka agar menyerahkan detail pribadi.

Kelemahan mendasar dalam beberapa upaya phishing adalah ejaan dan tata bahasa yang buruk, sedang diperbaiki oleh chatbot kecerdasan buatan, yang dapat memperbaiki kesalahan yang membuat filter spam tersandung atau memperingatkan pembaca manusia.

Data menunjukkan bahwa ChatGPT digunakan untuk kejahatan siber dengan munculnya “model bahasa besar” (LLM) yang mendapatkan salah satu aplikasi komersial substansial pertamanya dalam pembuatan komunikasi berbahaya.

Sejak ChatGPT menjadi arus utama tahun lalu, volume keseluruhan penipuan email jahat yang diambil oleh alat pemantauan Darktrace menurun, tetapi kompleksitas linguistik dari email tersebut telah meningkat tajam.

Hal ini menunjukkan bahwa sejumlah besar scammer yang menyusun phishing dan email berbahaya lainnya telah memperoleh kemampuan untuk menyusun prosa yang lebih panjang dan lebih kompleks.

Dihubungi oleh Guardian, Google menunjuk pada kebijakan “penggunaan yang dilarang” untuk AI, mengatakan bahwa pengguna tidak boleh menggunakan model AI-nya untuk membuat konten untuk aktivitas penipuan atau penipuan, penipuan, phishing, atau malware.

Selengkapnya: The Guardian

Pencuri Enigma Menargetkan Industri Cryptocurrency dengan Pekerjaan Palsu

by

Baru-baru ini Trend Micro menemukan kampanye aktif yang menargetkan orang Eropoa Timur di Industri mata uang kripto untuk memasang pencuri informasi dengan berdalih pekerjaan palsu.

Pada ancaman tersebut, pelaku ancaman Rusia yang dicurigai menggunakan beberapa pemuat khusus dan sedang dikembangkan untuk menginfeksi mereka yang terlibat dalam industri cryptocurrency dengan Enigma Stealer, terdeteksi sebagai TrojanSpy.MSIL.ENIGMASTEALER.YXDBC.

Penyerang juga mengeksploitasi kerentanan driver intel, CVE-2015-2291, untuk memuat driver berbahaya yang dirancang untuk mengurangi integritas token Microsoft Defender.

Attack kill chain yang digunakan oleh operator Enigma Stealer
Attack kill chain yang digunakan oleh operator Enigma Stealer

Stealerium adalah pencuri informasi asli sebagai basis untuk Enigma Stealer, merupakan proyek open-source dalam bahasa C# yang memasarkan dirinya sebagai pencuri, pemangkas, dan keylogger dengan kemampuan logging menggunakan API Telegram.

Pengguna dan tim keamanan disarankan untuk selalu waspada dan terus memperbarui solusi keamanan sistem mereka.

Berikut adalah tindakan penyerang menggunakan wawancara cryptocurrency palsu untuk memikat korban dengan mengirimkan dokumen berisi daftar pertanyaan interview ke email target korban. Trend Micro juga menjelaskan lebih lanjut mengenai infrastruktur enigma dan bagaimana malware bekerja.

Terjemahan mesin dari pertanyaan Wawancara.txt
Terjemahan mesin dari pertanyaan Wawancara.txt

Berdasarkan hasil penelitian Trend Micro, kampanye ini menunjukkan vektor serangan yang giigh dan menguntungkan untuk berbagai kelompok dan aktor ancaman persisten tingkat lanjut (APT).

Individu dan organisasi diharapkan tetap waspada terhadap serangan phising, baik melalui sosial media atau media lainnya.

Selengkapnya: Trend Micro

Upaya Kedua Hacker Tim Tonto Tiongkok untuk Menargetkan Grup Perusahaan Keamanan Siber-IB Gagal

by

Pelaku ancaman persisten tingkat lanjut (APT), dikenal sebagai Tim Tonto, melakukan serangan yang gagal terhadap perusahaan keamanan siber Group-IB pada Juni 2022.

Perusahaan tersebut mendeteksi dan memblokir email phishing berbahaya yang berasal dari grup yang menargetkan karyawannya. Ini merupakan serangan kedua yang ditujukan ke Grup-IB, yang pertama terjadi pada Maret 2021.

Disebut Bronze Huntley, Cactus Pete, Earth Akhlut, Karma Panda, dan UAC-0018, Tim Tonto adalah kelompok peretas Cina yang diduga telah dikaitkan dengan serangan yang menargetkan berbagai organisasi di Asia dan Eropa Timur.

Aktor ini diketahui aktif setidaknya sejak tahun 2009 dan dikatakan memiliki hubungan dengan Departemen Ketiga (3PLA) Shenyang TRB Tentara Pembebasan Rakyat (Unit 65016).

Rantai serangan melibatkan umpan spear-phishing yang berisi lampiran berbahaya yang dibuat menggunakan perangkat eksploitasi Royal Road Rich Text Format (RTF) untuk menjatuhkan backdoor seperti Bisonal, Dexbia, dan ShadowPad.

Trend Micro pada tahun 2020 mengungkap bahwa metode sedikit berbeda yang digunakan oleh pelaku ancaman di alam liar adalah penggunaan alamat email perusahaan yang sah, kemungkinan besar diperoleh dengan phishing, untuk mengirim email ke pengguna lain.

Tangkapan layar Laporan di Grup-IB sandbox
Tangkapan layar Laporan di Grup-IB sandbox

Tim Tonto akan terus menyelidiki perusahaan TI dan keamanan siber dengan memanfaatkan spear-phishing untuk mengirimkan dokumen berbahaya menggunakan kerentanan dengan umpan yang disiapkan khusus untuk tujuan ini.

Selengkapnya: The Hacker News

Email NameCheap diretas untuk mengirim Metamask, Email Phishing DHL

by

Akun email registri domain Namecheap diretas pada Minggu malam, menyebabkan banjir email phishing MetaMask dan DHL yang berusaha mencuri informasi pribadi penerima dan dompet mata uang kripto.

Kampanye phishing berasal dari SendGrid, platform email yang digunakan secara historis oleh Namecheap untuk mengirim pemberitahuan pembaruan dan email pemasaran.

Setelah penerima mulai mengeluh di Twitter, CEO Namecheap Richard Kirkendall mengonfirmasi bahwa akun tersebut disusupi dan mereka menonaktifkan email melalui SendGrid saat mereka menyelidiki masalah tersebut.

Mereka yakin pelanggaran tersebut mungkin terkait dengan laporan CloudSek bulan Desember tentang kunci API Mailgun, MailChimp, dan SendGrid yang diekspos di aplikasi seluler.

E-mail Flood
Email phishing yang dikirim dalam kampanye menyamar sebagai DHL atau MetaMask.

Email phishing DHL berpura-pura menjadi tagihan untuk biaya pengiriman yang diperlukan untuk menyelesaikan pengiriman paket.

Email phishing pict-MetaMask dari Namecheap (Sumber: BleepingComputer.com)
Email phishing pict-MetaMask dari Namecheap (Sumber: BleepingComputer.com)

Email berisi tautan pemasaran dari Namecheap https://links.namecheap.com/, mengarahkan pengguna ke halaman phishing yang berpura-pura menjadi MetaMask.

Halaman ini meminta pengguna untuk memasukkan ‘Frasa Pemulihan Rahasia’ atau ‘Kunci pribadi’, seperti yang ditunjukkan di bawah ini.

Halaman phishing pict-MetaMask (Sumber: BleepingComputer.com)
Halaman phishing pict-MetaMask (Sumber: BleepingComputer.com)

Pelaku ancaman dapat menggunakan frase pemulihan atau kunci pribadi pengguna untuk mengimpor dompet ke perangkat mereka sendiri dan mencuri semua dana dan aset.

Jika menerima email phishing DHL atau MetaMask malam ini dari Namecheap, segera hapus dan jangan klik tautan apa pun.

Selengkapnya: Bleeping Computer

Phishing Kredensial Cloud | Login AWS Target Google Ads Berbahaya

by

Periklanan adalah bagian integral dari ekonomi digital modern, memberikan bisnis peluang untuk menjangkau audiens yang besar dan beragam. Namun, pelaku jahat memanfaatkan keberadaan iklan online di mana-mana untuk menyebarkan malware, penipuan phishing, dan bentuk konten berbahaya lainnya. Dalam beberapa minggu terakhir, Google Ads, salah satu platform periklanan online terbesar, telah menjadi sasaran populer untuk jenis serangan ini.

Dalam analisis ini, kami memeriksa Google Ads berbahaya baru-baru ini yang menargetkan login Amazon Web Services (AWS) melalui situs web phishing kredensial palsu.

Iklan jahat yang kami amati terjadi pada tanggal 30 dan 31 Januari 2023. Iklan ini paling mudah diidentifikasi dengan mencari “aws” di Google. Awalnya, domain phishing adalah iklan itu sendiri; namun, penyerang kemudian beralih ke iklan proxy melalui situs web blogspot.com. Seperti yang ditunjukkan gambar di bawah, penyerang memanfaatkan us1-eat-a-w-s.blogspot[.]com sebagai tujuan untuk iklan jahat. Ini mungkin merupakan upaya untuk menghindari deteksi otomatis oleh Google terhadap konten tujuan iklan yang mencurigakan.

Google Malvertising AWS Phishing Ad

Konten situs web us1-eat-a-w-s.blogspot[.]com adalah salinan dari blog makanan vegan yang sah. Namun, halaman memuat domain kedua, aws1-console-login[.]us/login, melalui tindakan HTML window.location.replace. Perhatikan, halaman blogger ditutup kurang dari sehari setelah pembuatannya.

AWS Login Page Palsu – Email
AWS Login Page Palsu – Password

Setelah pengguna memasukkan kredensial mereka, halaman terakhir zconfig01.php dimuat. Ini berisi satu baris kode untuk mengarahkan korban ke halaman login AWS yang sah.

Proliferasi Google Ads berbahaya yang mengarah ke situs web phishing AWS merupakan ancaman serius tidak hanya bagi pengguna biasa, tetapi juga administrator jaringan dan cloud. Kemudahan peluncuran serangan ini, dikombinasikan dengan audiens yang besar dan beragam yang dapat dijangkau Google Ads, menjadikannya ancaman yang sangat kuat.

selengkapnya : SentinelOne

Hacker Mengembangkan Malware ‘Screenshotter’ Baru untuk Menemukan Target Bernilai Tinggi

by

Pelaku ancaman baru dilacak saat TA886 menargetkan organisasi di Amerika Serikat dan Jerman dengan malware khusus baru untuk melakukan pengawasan dan pencurian data pada sistem yang terinfeksi.

Kelompok aktivitas yang sebelumnya tidak diketahui pertama kali ditemukan oleh Proofpoint pada Oktober 2022, dengan perusahaan keamanan melaporkan bahwa hal itu berlanjut hingga 2023.

Pelaku ancaman tampaknya memiliki motivasi finansial, melakukan evaluasi awal terhadap sistem yang dilanggar untuk menentukan apakah target cukup berharga untuk disusupi lebih lanjut.

Pelaku ancaman menargetkan korban menggunakan email phishing yang menyertakan lampiran Microsoft Publisher (.pub) dengan makro berbahaya, URL yang tertaut ke file .pub dengan makro, atau PDF berisi URL yang mengunduh file JavaScript berbahaya.

Proofpoint mengatakan jumlah email yang dikirim di TA886 meningkat secara eksponensial pada Desember 2022 dan terus meningkat pada Januari 2023, dengan email yang ditulis dalam bahasa Inggris atau Jerman, tergantung targetnya.

Penyerang kemudian secara manual memeriksa tangkapan layar ini dan memutuskan apakah korban berharga. Evaluasi ini mungkin termasuk membuat malware Screenshotter mengambil lebih banyak tangkapan layar atau menjatuhkan muatan khusus tambahan seperti:

  • Skrip profiler domain yang mengirimkan detail domain AD (Active Directory) ke C2
  • Skrip pemuat malware (AHK Bot loader) yang memuat pencuri info ke dalam memori

Pencuri yang dimuat dalam memori bernama Rhadamanthys, keluarga malware terlihat dipromosikan di forum bawah tanah sejak musim panas lalu dan menjadi lebih umum digunakan dalam serangan.

Kemampuannya termasuk mencuri dompet cryptocurrency, kredensial, dan cookie yang disimpan di browser web, klien FTP, akun Steam, akun Telegram dan Discord, konfigurasi VPN, dan klien email.

Proofpoint telah berusaha untuk menemukan tumpang tindih dan kesamaan dengan laporan sebelumnya yang menggambarkan TTP serupa (teknik, taktik, dan prosedur), tetapi tidak dapat membuat hubungan yang pasti.

Namun, ada tanda-tanda alat Bot AHK digunakan dalam kampanye spionase sebelumnya.

Selengkapnya : bleepingcomputer