Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Phishing

Phishing

Serangan phishing menyamar sebagai Pfizer dalam permintaan penawaran palsu

by

Pelaku ancaman sedang melakukan kampanye phishing yang sangat bertarget yang menyamar sebagai Pfizer untuk mencuri informasi bisnis dan keuangan dari korban.

Pfizer adalah perusahaan farmasi terkenal yang memproduksi salah satu vaksin mRNA yang saat ini tersedia untuk melawan COVID-19.

Pelaku phishing bertujuan untuk mengeksploitasi nama merek Pfizer, karena peluang keberhasilan mereka meningkat secara dramatis dibandingkan dengan meniru entitas fiksi.

Dalam laporan baru INKY, para peneliti menjelaskan bahwa pelaku ancaman meniru Pfizer dalam kampanye email phishing yang dimulai sekitar 15 Agustus 2021.

Pelaku di balik kampanye ini rajin dalam operasi phishing mereka, menggabungkan lampiran PDF “bersih” dengan domain baru terdaftar yang muncul sebagai online space resmi Pfizer.

Kemudian, mereka menelurkan akun email dari domain ini untuk distribusi email phishing guna melewati solusi perlindungan email.

Domain didaftarkan melalui Namecheap, yang menerima cryptocurrency sebagai metode pembayaran, memungkinkan para aktor untuk tetap anonim.

Beberapa contoh yang dilihat oleh INKY adalah:

  • pfizer-nl[.]com
  • pfizer-bv[.]org
  • pfizerhtlinc[.]xyz
  • pfizertenders[.]xyz

Baris subjek biasanya melibatkan kutipan mendesak, undangan untuk menawar, dan topik terkait pasokan peralatan industri.

Sementara tujuan yang sebenernya dari kampanye ini kurang jelas, fakta bahwa persyaratan pembayaran termasuk dalam PDF merupakan indikasi bahwa pelaku ancaman akan meminta penerima untuk membagikan rincian perbankan mereka.

Jika informasi pembayaran diberikan, itu dapat digunakan oleh penyerang dalam kampanye BEC di masa mendatang yang dapat digunakan terhadap pelanggan perusahaan yang ditargetkan.

Selengkapnya: Bleeping Computer

Penipuan Phishing Omicron Sudah Terlihat di Inggris

by

Pandemi global telah memberikan perlindungan untuk semua jenis penipuan phishing selama beberapa tahun terakhir, dan peningkatan kewaspadaan atas penyebaran varian COVID-19 terbaru, Omicron, tidak terkecuali.

Ketika para profesional kesehatan masyarakat di seluruh dunia bergulat dengan apa yang mereka khawatirkan bisa menjadi varian COVID-19 yang bahkan lebih berbahaya daripada Delta, para pelaku ancaman telah mengambil kesempatan untuk mengubah ketidakpastian menjadi uang tunai.

Pengawas konsumen Inggris “Which?” telah memperingatkan bahwa penipuan phishing baru, yang dibuat agar terlihat seperti komunikasi resmi dari Layanan Kesehatan Nasional (NHS), menargetkan orang-orang dengan penawaran penipuan untuk tes PCR gratis untuk varian Omicron COVID-19.

Dikirim melalui teks, email, dan bahkan ditawarkan melalui telepon, pelaku ancaman menghubungi orang-orang di seluruh Inggris menawarkan apa yang mereka katakan sebagai alat uji baru yang dirancang khusus untuk mendeteksi varian Omicron.

Selain memberikan informasi palsu, email tersebut juga dipenuhi dengan kesalahan tata bahasa. Tetapi, jika korban mengklik tautan di bagian bawah korespondensi, orang tersebut akan dibawa ke halaman NHS palsu yang menanyakan nama lengkap, tanggal lahir, alamat, nomor telepon, dan alamat email.

Selain mengumpulkan informasi pengenal pribadi (PII), situs tersebut juga meminta £1,24 sebagai biaya pengiriman dan nama ibu, memberikan akses scammer ke informasi perbankan target juga.

Pengawas telah menyerahkan temuannya ke Pusat Keamanan Siber Nasional (NCSC), tetapi memperingatkan bahwa umpan Omicron serupa lainnya kemungkinan akan muncul selama beberapa minggu ke depan – jadi konsumen harus waspada.

Selengkapnya: Threat Post

Bot Twitter Berpose Sebagai Staf Pendukung untuk Mencuri Cryptocurrency Anda

by

Scammers memantau setiap tweet yang berisi permintaan dukungan pada MetaMask, TrustWallet, dan dompet crypto populer lainnya, dan menanggapinya dengan tautan penipuan hanya dalam hitungan detik.

Untuk melakukan serangan phishing yang ditargetkan ini, scammers menyalahgunakan API Twitter yang memungkinkan mereka memantau semua tweet publik untuk kata kunci atau frasa tertentu.

Jika frasa tersebut hadir, program yang sama ini akan mengarahkan bot Twitter di bawah kendali scammer untuk secara otomatis membalas tweet sebagai agen dukungan palsu dengan tautan ke penipuan yang mencuri dompet cryptocurrency.

Saya butuh kepercayaan CS dompet metamask phantom yoroi!
Saya kehilangan semua frase pemulihan crypto dan password saya.
Ayo maju semua bot Anda!
— @LawrencAbrams

Serangan ini bukan hal baru, dan kami melaporkannya pada bulan Mei. Namun, serangan ini telah berkembang ke cryptocurrency lainnya, dan penipuan terus merajalela.

Oleh karena itu, kami merasa sangat penting bagi pembaca kami untuk meninjau kembali serangan ini dan menggambarkan cara kerjanya, sehingga Anda tidak secara tidak sengaja menjadi korban.
Anatomi penipuan crypto Twitter

Tes pertama kami dari bot penipuan cryptocurrency ini adalah mengemas tweet dengan banyak kata kunci dan melihat apa yang akan terjadi.

Dalam tes yang dilakukan oleh BleepingComputer, tweet yang berisi kata-kata ‘dukungan,’ ‘bantuan,’ atau ‘bantuan’ bersama dengan kata kunci seperti ‘MetaMask,’ ‘Phantom,’ ‘Yoroi,’ dan ‘Trust Wallet’ akan menghasilkan balasan yang hampir seketika dari bot Twitter dengan formulir atau akun dukungan palsu.

Kata kunci lain memiliki hasil yang beragam, seperti nama dompet dan kata ‘dicuri.’
————————————————————–

Kami kemudian melakukan tes lebih lanjut untuk mencoba dan mempersempit kata kunci apa yang akan memicu balasan bot.

Dalam beberapa detik setelah memposting tes kami, kami menerima balasan dari banyak akun penipuan yang berpura-pura menjadi akun dukungan MetaMask dan TrustWallet, “korban sebelumnya,” atau pengguna yang membantu.

Semua balasan scammer berbagi tujuan yang sama – untuk mencuri frasa pemulihan untuk dompet korban, yang kemudian dapat digunakan penyerang untuk mengimpor dompet ke perangkat mereka sendiri.

Ketika memandu untuk mengisi frase pemulihan, mereka memakai bahasa konyol kalau itu sedang diproses oleh mereka “bot cloud terenkripsi,” mencoba meyakinkan pengguna untuk memposting informasi sensitif.

Setelah frase pemulihan dikirim ke penyerang, pupus sudah harapan. Mereka sekarang memiliki akses penuh ke cryptocurrency dalam dompet Anda dan dapat mentransfernya ke dompet lain di bawah kendali mereka.

Sebelum Anda mengatakan bahwa tidak ada yang “kena” penipuan ini, sayangnya, itu tidak benar. Sudah banyak pengguna Twitter yang dompet, cryptocurrency, dan NFT-nya dicuri.

@merchant_token saya tidak dapat mengubah alamat penarikan saya dari Binance ke metamask, jadi saya menghubungi dan telah tertipu oleh dukungan metamask palsu @MetaMasko yang mencuri token saya dari Dompet Metamask saya.
— @fc_sebastien

Terima kasih Kenzie. Saya mendapatkan apa yang saya pikir adalah dukungan pelanggan untuk dana yang hilang sejak minggu lalu. Dukungan pelanggan palsu berbagi tautan, dan melalui itu mereka mengekstrak Metamask saya. Saya sudah sepanjang hari mencoba untuk setidaknya memulihkan seni yang tidak dijual.
— @NightversionHQ

————————————————————–

Twitter mengatakan kepada BleepingComputer bahwa menggunakan API Twitter untuk spam bertentangan dengan aturan dan bahwa mereka secara aktif bekerja pada metode baru untuk mencegah serangan ini.

“Ini melanggar aturan kami untuk menggunakan taktik penipuan di Twitter untuk mendapatkan uang atau informasi keuangan pribadi, termasuk melalui aktivitas otomatis. Kebijakan Pengembang kami juga secara ketat melarang penggunaan API Twitter dan produk pengembang untuk mengirim spam kepada orang-orang,” jelas juru bicara Twitter.

“Ketika kami mengidentifikasi aplikasi atau akun yang melanggar kebijakan ini, kami mengambil tindakan penegakan hukum yang tepat. Kami terus beradaptasi dengan metode yang berkembang dari aktor jahat dan kami akan terus bergerak cepat untuk mengatasi penipuan cryptocurrency di platform saat mereka berevolusi.”

Jangan pernah berbagi frasa pemulihan!

Sebagai aturan umum, Anda tidak boleh membagikan frasa pemulihan dompet Anda dengan siapa pun. Frasa pemulihan hanya untuk Anda, dan tidak ada orang pendukung yang sah dari MetaMask, TrustWallet, atau di tempat lain yang akan memintanya.

Penting juga untuk diingat untuk tidak membagikan layar Anda dengan pengguna yang tidak tepercaya yang kemudian meminta Anda menampilkan frasa pemulihan Anda. Pada saat itu, mereka dapat dengan mudah mengambil tangkapan layar dan menuliskannya secara manual.

Pada akhirnya, serangan ini akan berlanjut kecuali Twitter mencari cara untuk mencegah bot ini merajalela, membatasi penggunaan kata kunci tertentu, atau menempatkan kontrol yang lebih ketat pada siapa yang dapat bergabung dengan platform pengembang mereka.

Pembaruan 12/7/21: Menambahkan pernyataan dari Twitter.

Sumber: Bleepingcomputer

Aplikasi Android Berbahaya Mencuri Kredensial Bank Malaysia, Kode MFA

by Leave a Comment

Aplikasi Android palsu menyamar sebagai layanan rumah tangga untuk mencuri kredensial perbankan online dari pelanggan delapan bank Malaysia.

Aplikasi ini dipromosikan melalui beberapa situs web palsu atau kloning dan akun media sosial untuk mempromosikan APK berbahaya, ‘Cleaning Service Malaysia.’

Aplikasi ini pertama kali ditemukan oleh MalwareHunterTeam minggu lalu dan kemudian dianalisis oleh para peneliti di Cyble, yang memberikan informasi rinci tentang perilaku jahat aplikasi.

Proses phishing

Setelah menginstal aplikasi, pengguna diminta untuk menyetujui tidak kurang dari 24 izin, termasuk ‘RECEIVE_SMS’ berisiko, yang memungkinkan aplikasi untuk memantau dan membaca semua teks SMS yang diterima di telepon.

Izin ini disalahgunakan untuk memantau teks SMS untuk mencuri kata sandi satu kali dan kode MFA yang digunakan dalam layanan e-banking, yang kemudian dikirim ke server penyerang.

Setelah diluncurkan, aplikasi berbahaya akan menampilkan formulir yang meminta pengguna untuk memesan janji pembersihan rumah.

Setelah pengguna memasukkan rincian layanan pembersihan mereka (nama, alamat, nomor telepon) pada aplikasi palsu, mereka diminta untuk memilih metode pembayaran.

Langkah ini menawarkan pilihan bank Malaysia dan opsi internet banking, dan jika korban mengklik satu, mereka dibawa ke halaman login palsu yang dibuat untuk meniru penampilan yang asli.

Halaman login ini di-host di infrastruktur aktor, tetapi tentu saja, korban tidak memiliki cara untuk menyadarinya dari dalam antarmuka aplikasi.

Setiap kredensial perbankan yang dimasukkan dalam langkah ini dikirim langsung ke aktor, yang dapat menggunakannya bersama dengan kode SMS yang dicegat untuk mengakses akun e-banking korban.

Tanda-tanda penipuan

Beberapa tanda penipuan yang jelas di akun media sosial yang mempromosikan APK ini adalah jumlah pengikut mereka yang rendah dan fakta bahwa mereka diciptakan baru-baru ini.

Masalah lain adalah ketidakcocokan dalam rincian kontak yang diberikan. Karena sebagian besar situs umpan memilih layanan pembersihan nyata untuk ditiru, nomor telepon atau perbedaan email adalah bendera merah besar.

Izin yang diminta juga menunjukkan ada sesuatu yang tidak beres, karena aplikasi layanan pembersihan tidak memiliki alasan yang sah untuk meminta akses ke teks perangkat.

Untuk meminimalkan kemungkinan menjadi korban serangan phishing semacam ini, hanya unduh aplikasi Android dari Google Play Store resmi.

Selain itu, selalu tinjau izin yang diminta dengan hati-hati dan jangan menginstal aplikasi yang meminta hak istimewa yang lebih besar daripada yang diperlukan untuk fungsinya.

Akhirnya, tetap up to date perangkat Anda dengan menerapkan update keamanan terbaru yang tersedia dan menggunakan solusi keamanan mobile dari vendor terkemuka.

Sumber: Beepingcomputer

Peretas sembunyi-sembunyi WIRTE menargetkan pemerintah di Timur Tengah

by

Grup peretas tersembunyi bernama WIRTE telah dikaitkan dengan kampanye penargetan pemerintah yang melakukan serangan setidaknya sejak 2019 menggunakan makro Excel 4.0 yang berbahaya.

Cakupan penargetan utama mencakup entitas publik dan swasta profil tinggi di Timur Tengah, tetapi peneliti juga mengamati target di wilayah lain.

Kaspersky menyimpulkan bahwa WIRTE memiliki motif pro-Palestina dan diduga menjadi bagian dari ‘Gaza Cybergang’. WIRTE memiliki OpSec yang lebih baik dan teknik yang lebih tersembunyi, dan mereka dapat menghindari deteksi untuk waktu yang lama.

WIRTE melakukan email phishing dengan menyertakan dokumen Excel yang mengeksekusi makro berbahaya untuk mengunduh dan menginstal muatan malware di perangkat penerima.

Sementara fokus utama WIRTE menyerang pemerintah dan entitas diplomatik, Kaspersky telah melihat serangan ini menargetkan berbagai industri di seluruh Timur Tengah dan wilayah lainnya.

“Entitas yang terkena dampak berlokasi di Armenia, Siprus, Mesir, Yordania, Lebanon, Palestina, Suriah, dan Turki.”

Dokumen jahat tersebut dirancang untuk meningkatkan minat korban yang ditargetkan, dan menggunakan logo dan tema yang meniru merek, otoritas, atau organisasi yang ditargetkan.

Dokumen phishing dikirim ke korban
Sumber: Kaspersky

Penetes Excel pertama-tama menjalankan serangkaian rumus di kolom tersembunyi, yang menyembunyikan permintaan “aktifkan pengeditan” dari file asli dan memperlihatkan spreadsheet sekunder yang berisi umpan.

Penetes kemudian menjalankan rumus dari spreadsheet ketiga dengan kolom tersembunyi, dan melakukan tiga pemeriksaan anti-kotak pasir berikut:

  • Dapatkan nama lingkungan
  • Periksa apakah ada tikus
  • Periksa apakah komputer host dapat memutar suara

kemudian makro menulis skrip VBS yang menulis cuplikan PowerShell yang disematkan dengan dua kunci registri

Menambahkan dua kunci registri
Sumber: Kaspersky

Makro kemudian melanjutkan dengan menulis PowerShell dengan kode VB ke %ProgramData%. Cuplikan ini adalah stager ‘LitePower’ yang akan mengunduh muatan dan menerima perintah dari C2.

Perintah dan kontrol yang tidak jelas

Para aktor telah menempatkan domain C2 mereka di belakang Cloudflare untuk menyembunyikan alamat IP yang sebenarnya, tetapi Kaspersky dapat mengidentifikasi beberapa dari mereka dan menemukan bahwa mereka di-host di Ukraina dan Estonia.

Banyak dari domain ini berasal dari setidaknya Desember 2019, yang menunjukkan kemampuan WIRTE untuk menghindari deteksi, analisis, dan pelaporan untuk waktu yang lama.

Infrastruktur WIRTE C2 yang dipetakan
Sumber: Kaspersky

Intrusi terbaru menggunakan TCP/443 melalui HTTPS dalam komunikasi C2, tetapi mereka juga menggunakan port TCP 2096 dan 2087, seperti yang disebutkan dalam laporan 2019 oleh Lab52.

Fungsi tidur pada skrip
Sumber: Kaspersky

WIRTE sekarang terlihat secara tentatif memperluas cakupan penargetannya ke lembaga keuangan dan organisasi swasta besar, yang dapat merupakan hasil eksperimen atau perubahan fokus secara bertahap.

Kaspersky memperingatkan bahwa meskipun TTP yang digunakan oleh aktor-aktor ini sederhana dan agak biasa, mereka masih sangat efektif terhadap target kelompok.

Selengkapnya : Bleeping Computer

Sistem E-Mail IKEA Terkena Serangan Siber Yang Sedang Berlangsung

by

Dalam email internal yang dilihat oleh BleepingComputer, IKEA memperingatkan karyawan tentang serangan cyber phishing reply-chain yang sedang berlangsung yang menargetkan kotak surat internal. Email ini juga dikirim dari organisasi dan mitra bisnis IKEA lainnya yang disusupi.

“Ada serangan cyber yang sedang berlangsung yang menargetkan kotak surat Inter IKEA. Organisasi, pemasok, dan mitra bisnis IKEA lainnya dikompromikan oleh serangan yang sama dan selanjutnya menyebarkan email jahat ke orang-orang di Inter IKEA,” jelas email internal yang dikirim ke IKEA karyawan dan dilihat oleh BleepingComputer.

“Ini berarti bahwa serangan itu dapat datang melalui email dari seseorang yang bekerja dengan Anda, dari organisasi eksternal mana pun, dan sebagai balasan atas percakapan yang sudah berlangsung. Oleh karena itu, sulit untuk dideteksi, dan kami meminta Anda untuk ekstra hati-hati.”

Tim TI IKEA memperingatkan karyawan bahwa email reply-chain berisi tautan dengan tujuh digit di bagian akhir dan berbagi contoh email, seperti yang ditunjukkan di bawah ini. Selain itu, karyawan diminta untuk tidak membuka email, terlepas dari siapa yang mengirimnya, dan segera melaporkannya ke departemen TI.

Pelaku ancaman baru-baru ini mulai mengkompromikan server Microsoft Exchange internal menggunakan kerentanan ProxyShell dan ProxyLogin untuk melakukan serangan phishing.

Begitu mereka mendapatkan akses ke server, mereka menggunakan server Microsoft Exchange internal untuk melakukan serangan berantai balasan terhadap karyawan menggunakan email perusahaan yang dicuri.

Karena email dikirim dari server internal yang disusupi dan rantai email yang ada, ada tingkat kepercayaan yang lebih tinggi bahwa email tersebut tidak berbahaya.

Selengkapnya: Bleeping Computer

Phishing TikTok Mengancam Terhapusnya Akun Influencer

by

Para peneliti telah mengamati kampanye phishing baru yang terutama menargetkan akun TikTok menarik milik influencer, konsultan merek, studio produksi, dan manajer influencer.

Peneliti Keamanan Abnormal yang melihat serangan itu, mengamati dua puncak aktivitas saat mengamati distribusi email dalam kampanye khusus ini, pada 2 Oktober 2021, dan pada 1 November 2021, sehingga babak baru kemungkinan akan dimulai dalam beberapa minggu.

Surat masuk!

Dalam beberapa kasus yang dilihat oleh Abnormal Security, para aktor meniru karyawan TikTok, mengancam penerima dengan penghapusan akun yang akan segera terjadi karena dugaan pelanggaran persyaratan platform.

Sumber: Abnormal Security

Tema lain yang digunakan dalam email adalah menawarkan lencana ‘Verified’ yang menambah kredibilitas dan keaslian akun.

Lencana ‘Verified’ TikTok memberi bobot pada konten yang diposting oleh akun terverifikasi dan memberi sinyal pada algoritma platform untuk meningkatkan tingkat paparan posting dari akun ini.

Menggunakan umpan ini untuk phishing sangat efektif karena banyak orang akan senang menerima email yang menawarkan mereka kesempatan untuk mendapatkan lencana verifikasi.

Sumber: Abnormal Security

Dalam kedua kasus, penyerang menyediakan target mereka dengan cara untuk memverifikasi akun mereka dengan mengklik tautan yang disematkan.

Namun, mereka malah diarahkan ke ruang obrolan WhatsApp di mana mereka disambut oleh scammer yang berpura-pura menjadi karyawan TikTok yang sudah menunggu.

Sumber: Abnormal Security

Pengambilalihan akun atau pemerasan?

Tidak jelas apa tujuan aktor phishing dalam kampanye ini, tetapi bisa jadi upaya untuk mengambil alih akun target atau memeras pemilik akun dan memaksa mereka untuk membayar uang tebusan demi mendapatkan akum mereka kembali.

Persyaratan layanan TikTok memperjelas bahwa jika akun, terutama yang memiliki banyak pengikut, melanggar layanannya, itu akan ditangguhkan atau dihentikan secara permanen.

Ini berarti bahwa para aktor dapat dengan mudah mengancam untuk memposting sesuatu yang tidak pantas, berujung penghapusan profil yang pemiliknya mungkin telah menghabiskan banyak waktu dan uang untuk membangunnya.

Jika Anda memiliki dan / atau mengelola akun media sosial yang berharga, pastikan untuk mencadangkan semua konten dan data Anda di tempat yang aman.

Selain itu, Anda harus selalu mengamankan akun Anda dengan otentikasi dua faktor (2FA) atau verifikasi 2 langkah, seperti yang disebut TikTok, idealnya dengan kunci keamanan perangkat keras.

Jika Anda hanya dapat menggunakan opsi 2FA berbasis SMS (yang kurang aman), ambil nomor pribadi yang tidak Anda bagikan dengan siapa pun dan gunakan hanya untuk tujuan ini.

Sumber: Bleepingcomputer

Server Microsoft Exchange Diretas Dalam Serangan Reply-Chain Internal

by

Pelaku ancaman meretas server Microsoft Exchange menggunakan ProxyShell dan eksploitasi ProxyLogon untuk mendistribusikan malware dan melewati deteksi menggunakan email reply-chain internal yang dicuri.

Saat pelaku ancaman melakukan kampanye email berbahaya, bagian tersulit adalah mengelabui pengguna agar cukup memercayai pengirim sehingga mereka membuka tautan atau menyertakan lampiran yang menyebarkan malware.

Peneliti TrendMicro telah menemukan taktik menarik yang digunakan untuk mendistribusikan email berbahaya ke pengguna internal perusahaan menggunakan server pertukaran Microsoft milik korban.

Pelaku di balik serangan ini diyakini sebagai ‘TR’, aktor ancaman terkenal yang mendistribusikan email dengan lampiran berbahaya yang menjatuhkan malware, termasuk Qbot, IcedID, Cobalt Strike, dan muatan SquirrelWaffle.

Sebagai cara untuk mengelabui target perusahaan agar membuka lampiran berbahaya, pelaku ancaman mengeksploitasi server Microsoft Exchange menggunakan kerentanan ProxyShell dan ProxyLogon.

Pelaku ancaman kemudian menggunakan server Exchange yang disusupi ini untuk membalas email internal perusahaan dalam serangan berantai balasan yang berisi tautan ke dokumen berbahaya yang menginstal berbagai malware.

“Dalam gangguan yang sama, kami menganalisis header email untuk email berbahaya yang diterima, jalur email internal (antara tiga kotak pesan server pertukaran internal), menunjukkan bahwa email tidak berasal dari pengirim eksternal, relai email terbuka, atau semua agen transfer pesan (MTA),” jelas laporan Trend Micro.

Selengkapnya: Bleeping Computer