Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Phishing

Phishing

Google Drive sekarang memperingatkan Anda tentang phishing yang mencurigakan, dokumen malware

by

Google meluncurkan peringatan baru di Google Drive tentang file yang berpotensi mencurigakan yang dapat digunakan oleh pelaku ancaman untuk pengiriman malware dan dalam serangan phishing.

“Jika pengguna membuka file yang berpotensi mencurigakan atau berbahaya di Google Drive, kami akan menampilkan spanduk peringatan untuk membantu melindungi mereka dan organisasi mereka dari malware, phishing, dan ransomware,” jelas Google.

Saat mendeteksi file mencurigakan di Google Drive Anda, aplikasi akan menampilkan “File ini terlihat mencurigakan. Mungkin digunakan untuk mencuri informasi pribadi Anda.”

Spanduk peringatan file mencurigakan Google Drive (Google)

Spanduk peringatan Google Drive tentang file mencurigakan tersedia untuk semua pelanggan Google Workspace, serta pelanggan G Suite Basic dan Business.

Perlindungan baru telah mulai diluncurkan secara bertahap ke semua pengguna di Rilis Cepat atau di trek Rilis Terjadwal Peluncuran bertahap dimulai pada 20 Januari 2022

Tahun lalu, Google juga menambahkan perlindungan phishing dan malware Google Drive baru dalam lingkungan perusahaan yang secara otomatis menandai semua file yang mencurigakan, sehingga hanya dapat dilihat oleh pemilik dan adminnya.

Dengan demikian, hal tersebut mengurangi jumlah pengguna dari terkena dampak serangan berbahaya yang menyalahgunakan Google Drive untuk pengiriman phishing dan malware.

Penambahan baru ini berfokus pada keamanan data yang lebih kuat dan datang setelah rilis Penjelajahan Aman, layanan daftar blokir Google yang dirancang untuk melindungi miliaran perangkat dan pengguna Chrome, Android, dan Gmail.

Sumber : Bleeping Computer

Emotet Sekarang Menggunakan Format Alamat IP Yang Tidak Konvensional untuk Menghindari Deteksi

by

Kampanye rekayasa sosial yang melibatkan penyebaran botnet malware Emotet telah diamati menggunakan format alamat IP “tidak konvensional” untuk pertama kalinya dalam upaya untuk menghindari deteksi oleh solusi keamanan.

Ini melibatkan penggunaan representasi heksadesimal dan oktal dari alamat IP yang, ketika diproses oleh sistem operasi yang mendasarinya, secara otomatis dikonversi “ke representasi quad desimal putus-putus untuk memulai permintaan dari server jarak jauh,” Analis Ancaman Trend Micro, Ian Kenefick, mengatakan dalam sebuah laporan Jumat.

Rantai infeksi, seperti serangan terkait Emotet sebelumnya, bertujuan untuk mengelabui pengguna agar mengaktifkan makro dokumen dan mengotomatisasi eksekusi malware. Dokumen ini menggunakan Excel 4.0 Macros, fitur yang telah berulang kali disalahgunakan oleh aktor jahat untuk mengirimkan malware.

Setelah diaktifkan, makro memanggil URL yang dikaburkan dengan carets, dengan host menggabungkan representasi heksadesimal dari alamat IP – “h ^ tt ^ p ^ : / ^ / 0xc12a24f5/cc.html” – untuk mengeksekusi kode aplikasi HTML (HTA) dari host jarak jauh.

Varian kedua dari serangan phishing mengikuti modus operandi yang sama, satu-satunya perbedaan adalah bahwa alamat IP sekarang dikodekan dalam format oktal – “h ^ tt ^ p ^:/^/0056.0151.0121.0114/c.html”.

“Penggunaan alamat IP heksadesimal dan oktal yang tidak konvensional dapat mengakibatkan menghindari solusi saat ini yang bergantung pada pencocokan pola,” kata Kenefick. “Teknik penghindaran seperti ini dapat dianggap sebagai bukti penyerang terus berinovasi untuk menggagalkan solusi deteksi berbasis pola.”

Perkembangan ini terjadi di tengah aktivitas Emotet yang diperbarui akhir tahun lalu setelah absen selama 10 bulan setelah operasi penegakan hukum yang terkoordinasi. Pada bulan Desember 2021, para peneliti menemukan bukti malware yang mengembangkan taktiknya untuk menjatuhkan Cobalt Strike Beacons langsung ke sistem yang dikompromikan.

Temuan ini juga muncul ketika Microsoft mengungkapkan rencana untuk menonaktifkan Makro Excel 4.0 (XLM) secara default untuk melindungi pelanggan dari ancaman keamanan. “Pengaturan ini sekarang default ke makro Excel 4.0 (XLM) dinonaktifkan di Excel (Build 16.0.14427.10000),” perusahaan mengumumkan pekan lalu.

Sumber: The Hacker News

File PowerPoint Berbahaya Digunakan untuk Mendorong Trojan Akses Jarak Jauh

by

Sejak Desember 2021, tren yang berkembang dalam kampanye phishing telah muncul yang menggunakan dokumen PowerPoint berbahaya untuk mendistribusikan berbagai jenis malware, termasuk akses jarak jauh dan trojan pencuri informasi.

Menurut sebuah laporan oleh Netskope’s Threat Labs yang dibagikan dengan Bleeping Computer sebelum dipublikasikan, para aktor menggunakan file PowerPoint yang dikombinasikan dengan layanan cloud yang sah yang meng-host muatan malware.

Keluarga yang dikerahkan dalam kampanye yang dilacak adalah Warzone (alias AveMaria) dan AgentTesla, dua RAT yang kuat dan pencuri info yang menargetkan banyak aplikasi, sementara para peneliti juga melihat jatuhnya pencuri cryptocurrency.

Geser malware ke perangkat Windows

Lampiran phishing PowerPoint yang berbahaya berisi makro yang dikaburkan yang dieksekusi melalui kombinasi PowerShell dan MSHTA, keduanya alat Windows bawaan.

Skrip VBS kemudian didefuscated dan menambahkan entri registri Windows baru untuk ketekunan, yang mengarah ke eksekusi dua skrip. Yang pertama mengambil AgentTesla dari URL eksternal, dan yang kedua menonaktifkan Windows Defender.

Selain itu, VBS menciptakan tugas terjadwal yang mengeksekusi skrip setiap jam, yang mengambil pencuri cryptocurrency PowerShell dari URL Blogger.

Muatan kedua yang disampaikan dalam kampanye ini adalah Warzone, juga RAT, tetapi Netskope tidak memberikan banyak rincian tentang hal itu dalam laporan.

Pencuri cryptocurrency adalah muatan ketiga dari kampanye ini, yang memeriksa data clipboard dengan regex yang sesuai dengan pola dompet cryptocurrency. Jika ditemukan, itu menggantikan alamat penerima dengan satu di bawah kendali aktor.

Pencuri mendukung Bitcoin, Ethereum, XMR, DOGE, dan banyak lagi. Netskope telah menerbitkan daftar lengkap IoCs (indikator kompromi) untuk kampanye ini, termasuk semua dompet yang digunakan oleh para aktor di halaman GitHub ini.

Selengkapnya: Bleepingcomputer

Singapura mendorong untuk memperkenalkan langkah-langkah keamanan di tengah penipuan perbankan online

by

Bank dan lembaga keuangan di Singapura menerapkan langkah-langkah keamanan baru yang telah diamanatkan menyusul serangkaian penipuan SMS phishing yang menghapus beberapa korban dari tabungan hidup mereka. Langkah-langkah ini termasuk penghapusan hyperlink dari email atau pesan SMS yang dikirim ke konsumen dan penundaan 12 jam dalam mengaktifkan token perangkat lunak seluler.

Otoritas Moneter Singapura (MAS) dan Asosiasi Bank di Singapura (ABS) mengatakan bahwa langkah-langkah tambahan bertujuan untuk memperkuat keamanan perbankan digital, mengingat penipuan baru-baru ini yang menargetkan pelanggan bank.

Penipuan SMS-phishing melibatkan setidaknya 469 pelanggan OCBC Bank dan mengakibatkan kerugian lebih dari SG$8,5 juta, dengan kerugian S$2,7 juta saja selama tiga hari akhir pekan Natal. Beberapa korban dilaporkan kehilangan tabungan hidup mereka, termasuk seorang pria berusia 43 tahun yang rekeningnya dihapus sebesar S$500.000, seorang insinyur perangkat lunak berusia 38 tahun yang kehilangan S$250.000, dan eksekutif keuangan berusia 33 tahun yang memilikinya. akun dikosongkan sebesar S$68.000.

Scammers memanipulasi detail ID Pengirim SMS yang tampaknya berasal dari OCBC. Pesan SMS ini mendorong para korban untuk menyelesaikan masalah dengan akun mereka, mengarahkan mereka ke situs web phishing dan menginstruksikan mereka untuk memasukkan detail login bank mereka, termasuk nama pengguna, PIN, dan One-Time Password (OTP).

Karena ID Pengirim OCBC yang sah berhasil dikloning, dan dipalsukan, pesan-pesan ini muncul di utas yang sama dengan peringatan atau pemberitahuan sebelumnya dari bank, membuat para korban percaya bahwa itu sah.

Pelanggan OCBC yang terkena dampak juga menyatakan frustrasi atas bagaimana mereka ditahan dalam upaya mereka untuk menghubungi hotline bank dan akun mereka dikunci, setelah mereka menerima pemberitahuan transfer pembayaran dan permintaan untuk meningkatkan batas transaksi mereka yang tidak pernah mereka lakukan.

Bank-bank lokal dengan berkonsultasi dengan MAS, akan berupaya menerapkan langkah-langkah yang lebih ketat dalam dua minggu ke depan. Ini akan mencakup pengaturan ambang default pemberitahuan transaksi transfer dana pada S$100 atau lebih rendah dan memicu pemberitahuan ke nomor ponsel atau email yang ada yang terdaftar di bank, setiap kali ada permintaan untuk mengubah nomor ponsel atau alamat email pelanggan.

Bank juga harus membentuk tim bantuan pelanggan yang berdedikasi dan “bersumber daya baik” untuk menangani umpan balik pelanggan tentang kasus penipuan potensial, kata MAS. Regulator menambahkan bahwa perlindungan lebih lanjut, seperti memberlakukan periode pendinginan sebelum permintaan untuk perubahan akun utama, termasuk detail kontak pelanggan, harus diterapkan.

Selain itu, bank akan bekerja sama dengan MAS, penegak hukum setempat, dan Otoritas Pengembangan Media Infokom (IMDA) untuk menangani “momok penipuan” saat ini. Ini akan termasuk bekerja pada langkah-langkah yang lebih permanen untuk memerangi spoofing SMS, termasuk adopsi registri ID Pengirim SMS oleh semua pemangku kepentingan terkait, kata MAS.

OCBC mengatakan semua pelanggan yang terkena penipuan SMS phishing akan menerima “pembayaran niat baik penuh” yang terdiri dari jumlah yang hilang. Ini terjadi setelah pernyataan bahwa mereka mulai melakukan “pembayaran niat baik” sejak 8 Januari, tetapi tidak menentukan apakah ini mencakup seluruh jumlah pelanggan yang hilang.

Sumber : ZDnet dan MAS

FBI Memperingatkan Kode QR Berbahaya yang Digunakan untuk Mencuri Uang Anda

by

Biro Investigasi Federal (FBI) memperingatkan orang Amerika minggu ini bahwa penjahat dunia maya menggunakan kode Quick Response (QR) yang dibuat dengan jahat untuk mencuri kredensial dan info keuangan mereka.

Peringatan itu dikeluarkan sebagai pengumuman layanan publik (PSA) yang diterbitkan di Pusat Pengaduan Kejahatan Internet Biro (IC3) awal pekan ini.

“Penjahat dunia maya merusak kode QR untuk mengarahkan korban ke situs berbahaya yang mencuri informasi login dan keuangan,” kata lembaga penegak hukum federal.

FBI mengatakan penjahat beralih kode QR yang sah yang digunakan oleh bisnis untuk tujuan pembayaran untuk mengarahkan korban potensial ke situs web berbahaya yang dirancang untuk mencuri informasi pribadi dan keuangan mereka, menginstal malware di perangkat mereka, atau mengalihkan pembayaran mereka ke akun di bawah kendali mereka.

Setelah para korban memindai apa yang tampak seperti kode yang sah, mereka dikirim ke situs phishing penyerang, di mana mereka diminta untuk memasukkan info login dan keuangan mereka. Setelah masuk, itu akan dikirim ke penjahat cyber yang dapat menggunakannya untuk mencuri uang menggunakan rekening perbankan yang dibajak.

“Sementara kode QR tidak berbahaya, penting untuk berhati-hati ketika memasukkan informasi keuangan serta memberikan pembayaran melalui situs yang dinavigasi melalui kode QR,” tambah FBI. “Penegakan hukum tidak dapat menjamin pemulihan dana yang hilang setelah transfer.”

Perhatikan saat memindai kode QR

FBI menyarankan orang Amerika untuk memperhatikan URL yang mereka kirim setelah memindai kode QR, selalu berhati-hati saat memasukkan data mereka setelah memindai kode QR, dan memastikan bahwa kode QR fisik belum tercakup dengan yang berbahaya.

Anda juga harus menghindari menginstal aplikasi melalui kode QR atau menginstal pemindai kode QR (sebagai gantinya, gunakan yang disertakan dengan OS ponsel Anda).

Last but not least, selalu masukkan URL dengan tangan saat melakukan pembayaran alih-alih memindai kode QR yang dapat diatur untuk mengarahkan Anda ke situs berbahaya.

Sumber: Bleepingcomputer

Kelemahan Plugin WordPress Menempatkan 20.000 Situs pada Risiko Phishing

by Leave a Comment

Plugin WordPress WP HTML Mail, yang diinstal di lebih dari 20.000 situs, rentan terhadap cacat tingkat keparahan tinggi yang dapat menyebabkan injeksi kode dan distribusi email phishing yang meyakinkan.

‘WP HTML Mail’ adalah plugin yang digunakan untuk merancang email khusus, pemberitahuan formulir kontak, dan pesan yang umumnya disesuaikan yang dikirim platform online ke audiens mereka.

Plugin ini kompatibel dengan WooCommerce, Ninja Forms, BuddyPress, dan lain-lain. Sementara jumlah situs yang menggunakannya tidak besar, banyak yang memiliki audiens yang besar, memungkinkan cacat untuk mempengaruhi sejumlah besar pengguna internet.

Menurut sebuah laporan oleh tim Threat Intelligence Wordfence, seorang aktor yang tidak diautistik dapat memanfaatkan cacat yang dilacak sebagai “CVE-2022-0218” untuk memodifikasi template email untuk berisi data sewenang-wenang yang dipilih penyerang.

Selain itu, aktor ancaman dapat menggunakan kerentanan yang sama untuk mengirim email phishing kepada siapa pun yang terdaftar di situs yang dikompromikan.

Titik akhir API yang tidak dilindungi

Masalahnya terletak pada pendaftaran plugin dari dua rute REST-API yang digunakan untuk mengambil dan memperbarui pengaturan template email.

Titik akhir API ini tidak dilindungi secara memadai dari akses yang tidak sah, sehingga bahkan pengguna yang tidak diautistik dapat memanggil dan menjalankan fungsi.

Terlepas dari kemungkinan serangan phishing, musuh juga bisa menyuntikkan JavaScript berbahaya ke dalam template surat, yang akan mengeksekusi kapan saja administrator situs mengakses editor email HTML.

Ini berpotensi membuka jalan untuk menambahkan akun admin baru, mengarahkan pengunjung situs ke situs phishing, menyuntikkan backdoor ke file tema, dan bahkan menyelesaikan pengambilalihan situs.

Pengungkapan dan perbaikan

Wordfence menemukan dan mengungkapkan kerentanan kepada pengembang plugin pada 23 Desember 2021, tetapi mereka baru mendapat tanggapan pada 10 Januari 2022.

Pembaruan keamanan yang mengatasi kerentanan datang pada 13 Januari 2022, dengan rilis versi 3.1.

Dengan demikian, semua pemilik dan administrator situs WordPress disarankan untuk memverifikasi bahwa mereka menjalankan versi terbaru dari plugin ‘WP HTML Mail’.

Sumber: Bleepingcomputer

DHL Melengserkan Microsoft Sebagai Merek yang Paling Ditiru dalam Serangan Phishing

by

DHL adalah merek yang paling ditiru dalam kampanye phishing sepanjang Q4 2021, mendorong Microsoft ke tempat kedua, dan Google ke posisi keempat.

Ini tidak mengherankan mengingat bahwa kuartal terakhir setiap tahun termasuk Black Friday, Cyber Monday, dan musim belanja Natal, sehingga umpan phishing berdasarkan pengiriman paket secara alami meningkat.

DHL adalah layanan pengiriman paket dan surat ekspres internasional, mengirimkan lebih dari 1,6 miliar paket per tahun.

Dengan demikian, kampanye phishing yang meniru merek memiliki peluang bagus untuk menjangkau orang-orang yang menunggu paket DHL tiba selama musim liburan.

Umpan spesifik berkisar dari paket yang terjebak di bea cukai dan memerlukan tindakan untuk izin ke nomor pelacakan yang seharusnya bersembunyi di dalam lampiran dokumen atau tautan tertanam.

Menurut sebuah laporan oleh perusahaan intelijen ancaman Check Point, sepuluh merek teratas yang ditiru oleh aktor phishing pada Q4 2021 adalah sebagai berikut:

    1. DHL (related to 23% of all phishing attacks globally)
    2. Microsoft (20%)
    3. WhatsApp (11%)
    4. Google (10%)
    5. LinkedIn (8%)
    6. Amazon (4%)
    7. FedEx (3%)
    8. Roblox (3%)
    9. Paypal (2%)
    10. Apple (2%)

Dalam contoh yang disajikan pada laporan Check Point, kampanye phishing menggunakan alamat email dukungan pelanggan DHL palsu untuk mengirim pesan “pemberitahuan pengiriman”, seperti yang ditunjukkan di bawah ini.

Dalam hal ini, email meminta pengguna untuk memverifikasi identitas mereka, yang terjadi pada halaman phishing yang dibuat agar terlihat persis seperti situs DHL yang sebenarnya.

Dalam umpan FedEx yang diambil sampelnya oleh CheckPoint, para aktor mengklaim tidak dapat mengirimkan paket ke penerima, meminta korban untuk memasukkan rincian mereka di situs phishing.

Akhirnya, ada spesimen phishing PayPal yang tidak menyenangkan yang meminta target untuk “mengkonfirmasi informasi akun mereka” untuk mencabut status penangguhan sementara.

Tetap tenang dan tetap waspada

Cara terbaik untuk menangani email masuk yang membuat klaim berani dan meminta tindakan-segera adalah berhati-hati.

Sebagai gantinya, Anda harus membuka tab browser baru, mengunjungi situs web resmi pengirim yang diduga, mengkonfirmasi validitas URL tempat Anda berada, dan baru kemudian masuk ke akun Anda. Jika ada tindakan yang diperlukan dari Anda, Anda akan melihat peringatan yang relevan di sana.

Jangan pernah mengklik tombol tertanam pada email dan hindari mengunduh dan membuka dokumen yang tiba melalui komunikasi yang tidak diminta.

Phishing bergantung pada menciptakan rasa urgensi, jadi setiap kali Anda berurusan dengan email yang menyebabkan Anda tertekan, pertimbangkan kemungkinan itu sebagai upaya untuk menipu Anda agar memberikan informasi sensitif.

Sumber: Bleepingcomputer

EA: 50 Akun Ternama FIFA 22 Diambil Alih oleh Aktor Phishing

by

Electronic Arts (EA) telah menerbitkan tanggapan resmi terhadap banyak laporan tentang akun pemain yang diretas, mengkonfirmasikan masalah dan menghubungkannya dengan aktor phishing.

Seperti yang dijelaskan pemberitahuan itu, peretas menggunakan rekayasa sosial terhadap tim pengalaman pelanggan EA untuk melewati otentikasi dua faktor dan mengambil lebih dari 50 akun pemain.

FIFA 22 adalah permainan simulasi sepak bola (sepak bola) yang sangat populer yang menampilkan mode multi-pemain di mana orang dapat bersaing secara real-time, memperdagangkan item dalam game, dll.

Perusahaan game telah berjanji untuk mengembalikan akses pemilik yang sah ke akun yang dikompromikan dan juga telah mengumumkan langkah-langkah berikut untuk mencegah hal ini terjadi lagi di masa depan:

  • Semua Penasihat EA dan individu yang membantu layanan Akun EA menerima pelatihan ulang individual dan pelatihan tim tambahan, dengan penekanan khusus pada praktik keamanan akun dan teknik phishing yang digunakan dalam contoh khusus ini.
  • Implementasi langkah-langkah tambahan untuk proses verifikasi kepemilikan akun, seperti persetujuan manajerial wajib untuk semua permintaan perubahan email.
  • Perangkat lunak pengalaman pelanggan akan diperbarui untuk mengidentifikasi aktivitas yang mencurigakan dengan lebih baik, menandai akun berisiko, dan selanjutnya membatasi potensi kesalahan manusia dalam proses pembaruan akun.

Perubahan di atas pasti akan membuat layanan pelanggan lebih rumit dan lambat, tetapi mereka akan meningkatkan keamanan akun, sesuatu yang telah dikeluhkan oleh komunitas FIFA selama bertahun-tahun.

“Kami ingin meminta maaf atas ketidaknyamanan dan frustrasi yang disebabkan ini, dan bahwa kami tidak dapat berbagi rincian tambahan dalam komunikasi asli kami minggu lalu saat kami melakukan penyelidikan menyeluruh.”

Akun profil ternama diretas

Akun yang ditargetkan oleh aktor phishing termasuk pemain sepak bola nyata seperti Valentin Rosier, streamer profesional, dan pedagang mata uang dalam game.

Akun-akun profil tinggi ini telah menginvestasikan sejumlah besar uang dalam permainan dan menggunakannya sebagai sumber pendapatan dengan memonetisasi kehadiran mereka di ruang virtual itu.

Beberapa pemegang akun yang diretas menunjukkan kemungkinan staf EA memberikan data pribadi mereka kepada peretas, yang akan melanggar GDPR, menimbulkan denda hingga 4% dari omset tahunan EA.

Namun, pada saat ini, tidak ada penyelidikan perlindungan data yang diumumkan, dan penyelidikan EA atas insiden tersebut masih berlangsung, sehingga ruang lingkup dampak belum ditentukan dengan pasti.

Perlu juga dicatat bahwa Bleeping Computer telah melihat laporan akun FIFA 22 tingkat rendah yang telah diretas baru-baru ini, sehingga jumlah akun yang diambil alih oleh aktor phishing mungkin jauh lebih besar dari 50.

Sumber: Bleepingcomputer