Phishing

Kampanye MirrorBlast Baru yang Eksplosif Menargetkan Perusahaan Keuangan

October 16, 2021 by Søren

Tim Morphisec Labs telah melacak versi baru kampanye yang menargetkan organisasi keuangan. Dijuluki “MirrorBlast” oleh ET Labs, kampanye serangan saat ini yang dilacak tim Labs dimulai pada awal September. Ada kegiatan serupa pada April 2021 juga, tetapi kampanye saat ini dimulai baru-baru ini.

Rantai serangan infeksi memiliki kesamaan dengan taktik, teknik, dan prosedur yang biasa digunakan oleh kelompok ancaman TA505 yang diduga berbasis di Rusia. Kesamaan meluas ke rantai serangan, fungsionalitas GetandGo, muatan akhir, dan kesamaan dalam pola nama domain.

Pada bulan September peneliti mengamati kampanye malspam yang mengirimkan dokumen Excel sebagai lampiran. Kampanye ini menargetkan beberapa sektor dari Kanada, Amerika Serikat, Hong Kong, Eropa, dan banyak lagi.

Rantai serangan dimulai dengan dokumen lampiran email, tetapi pada tahap selanjutnya, itu berubah untuk menggunakan URL proksi umpan Google dengan SharePoint dan umpan OneDrive, yang bertindak sebagai permintaan berbagi file. URL ini mengarah ke SharePoint yang disusupi atau situs OneDrive palsu yang digunakan penyerang untuk menghindari deteksi, selain persyaratan masuk (SharePoint) yang membantu menghindari sandboxing.

MirrorBlast memiliki deteksi yang rendah pada VirusTotal karena makro yang sangat ringan yang tertanam dalam file Excel-nya, membuatnya sangat berbahaya bagi organisasi yang bergantung pada keamanan berbasis deteksi dan sandboxing

Selengkapnya: Security Boulevard

Kampanye phishing DocuSign menargetkan karyawan berpangkat rendah

October 16, 2021 by Søren

Pelaku phishing mengikuti tren baru yang menargetkan karyawan non-eksekutif tetapi masih memiliki akses ke area berharga dalam suatu organisasi.

Seperti yang dilaporkan oleh peneliti Avanan, setengah dari semua email phishing yang mereka analisis dalam beberapa bulan terakhir menyamar sebagai non-eksekutif, dan 77% di antaranya menargetkan karyawan pada tingkat yang sama.

Sebelumnya, pelaku phishing akan menyamar sebagai CEO dan CFO untuk mengelabui karyawan perusahaan dalam serangan phishing yang ditargetkan.

Ini masuk akal karena mengirim instruksi dan membuat permintaan mendesak sebagai karyawan berpangkat tinggi meningkatkan kemungkinan kepatuhan oleh penerima pesan ini.

Seperti yang dijelaskan Avanan dalam laporannya, trik khas yang digunakan dalam kampanye ini adalah keterlibatan DocuSign, platform penandatanganan dokumen berbasis cloud yang sah.

Aktor menawarkan DocuSign sebagai metode penandatanganan alternatif dalam email yang mereka kirim, dan meminta penerima memasukkan kredensial mereka untuk melihat dokumen dan menandatanganinya.

Meskipun email ini dibuat agar terlihat seperti pesan DocuSign yang sah, mereka tidak dikirim dari platform. Pada email DocuSign asli, pengguna tidak pernah diminta untuk memasukkan kata sandi, melainkan kode otentikasi yang dikirim melalui email ke penerima.

Dalam kesibukan pekerjaan sehari-hari, kemungkinan beberapa karyawan akan tertipu oleh pesan ini dan memperlakukannya sebagai permintaan DocuSign nyata, memasukkan kredensial email mereka dan menyerahkannya kepada pelaku phishing.

Selengkapnya: Bleeping Computer

Operasi Phishing-as-a-Service Skala Besar Terkena

September 27, 2021 by Winnie the Pooh

Microsoft menemukan operasi phishing-as-a-service (PhaaS) berskala besar, terorganisir dengan baik, dan canggih.

Platform turnkey memungkinkan pengguna untuk menyesuaikan kampanye dan mengembangkan taktik phishing mereka sendiri sehingga mereka kemudian dapat menggunakan platform PhaaS untuk membantu kit phishing, template email, dan layanan hosting yang diperlukan untuk meluncurkan serangan.

Peneliti Microsoft menemukan operasi tersebut, yang dipasarkan oleh penjahat sebagai BulletProofLink, ketika mereka menemukan volume tinggi subdomain yang baru dibuat dan unik—lebih dari 300.000 dalam sekali jalan, menurut sebuah pos yang diterbitkan oleh Tim Defender Threat Intelligence Microsoft 365.

“Penyelidikan ini membawa kami ke lubang kelinci saat kami menemukan salah satu operasi yang memungkinkan kampanye tersebut,” tulis para peneliti.

Dengan lebih dari 100 template phishing yang tersedia yang meniru merek dan layanan terkenal—termasuk Microsoft sendiri—operasi BulletProofLink bertanggung jawab atas banyak kampanye phishing yang berdampak pada perusahaan saat ini, kata mereka.

BulletProofLink—juga dikenal sebagai BulletProftLink atau Anthrax oleh operatornya di berbagai situs web, iklan, dan materi promosi lainnya—memberikan titik awal bagi orang-orang tanpa sumber daya yang signifikan untuk masuk ke bisnis phishing.

Para peneliti mempelajari lebih dalam mengenai operasi PhaaS BulletProofLink untuk mengungkap bagaimana grup tersebut telah menciptakan jaringan phisher yang berkembang pesat.

Biaya layanan bulanan sebanyak $800, sementara layanan lain berharga sekitar $50 dolar untuk tautan hosting satu kali, dengan Bitcoin menjadi metode pembayaran umum di situs BulletProofLink.

Poin menarik tentang model kerja PhaaS yang digunakan BulletProofLink adalah model ini mengikuti metode pemerasan ganda model RaaS—atau dalam hal ini, “pencurian ganda”, seperti yang dijelaskan para peneliti. Grup tersebut menyertakan lokasi sekunder dalam kit phishingnya untuk kredensial yang akan dikirim setelah diperoleh.

Sumber: The Threat Post

Kata kunci teratas yang digunakan dalam baris subjek email phishing

September 13, 2021 by Winnie the Pooh

Pada hari Rabu, Expel merilis laporan, menyoroti kata kunci teratas yang digunakan dalam baris subjek upaya phishing. Berdasarkan temuan, karyawan mungkin perlu sangat waspada terhadap email yang tampaknya tidak berbahaya di kotak masuk mereka.

Untuk menentukan daftar kata kunci ini, Expel melihat 10.000 email berbahaya. Dalam posting blog tentang temuan tersebut, Expel mengatakan kata kunci dalam baris subjek ini menargetkan satu atau beberapa tema dalam upaya untuk “membuat penerima berinteraksi dengan konten.” Tema-tema ini termasuk “meniru aktivitas bisnis yang sah, menghasilkan “rasa mendesak” dan memberi isyarat kepada “penerima untuk bertindak.”

Beberapa kata kunci phishing teratas yang terdaftar dirancang untuk meniru faktur bisnis yang sah.

Secara berurutan, tiga baris subjek teratas termasuk “RE: INVOICE,” “Missing Inv ####; From [Nama Bisnis Sah] and “INV####.”

Per Expel, baris subjek yang menyoroti sifat baru sering digunakan dalam upaya phishing dengan contoh termasuk “New Message from ####, “New Scanned Fax Doc-Delivery for ####” dan “New FaxTransmission from ####.”

Menambahkan konteks pada kumpulan baris subjek “baru” ini, Expel mengatakan komunikasi dan peringatan yang sah secara teratur menggunakan istilah “baru” untuk “meningkatkan minat penerima,” menambahkan bahwa “orang tertarik pada hal-hal baru di kotak masuk mereka, ingin memastikan mereka tidak melewatkan sesuatu yang penting.”

Selengkapnya: Tech Republic

Microsoft Memperingatkan Serangan Phishing yang Meluas Menggunakan Open Redirects

August 30, 2021 by Winnie the Pooh

Microsoft memperingatkan kampanye phishing kredensial yang meluas yang memanfaatkan tautan redirector terbuka dalam komunikasi email sebagai vektor untuk mengelabui pengguna agar mengunjungi situs web berbahaya sambil secara efektif melewati perangkat lunak keamanan.

“Penyerang menggabungkan tautan ini dengan umpan rekayasa sosial yang meniru alat dan layanan produktivitas terkenal untuk memikat pengguna agar mengklik,” kata Microsoft 365 Defender Threat Intelligence Team dalam laporan yang diterbitkan minggu ini.

“Melakukannya mengarah ke serangkaian pengalihan — termasuk halaman verifikasi CAPTCHA yang menambahkan rasa legitimasi dan upaya untuk menghindari beberapa sistem analisis otomatis — sebelum membawa pengguna ke halaman login palsu. Ini pada akhirnya mengarah pada kompromi kredensial, yang membuka pengguna dan organisasi mereka untuk serangan lain.”

Meskipun tautan pengalihan dalam pesan email berfungsi sebagai alat vital untuk membawa penerima ke situs web pihak ketiga atau melacak tingkat klik dan mengukur keberhasilan kampanye penjualan dan pemasaran, teknik yang sama dapat disalahgunakan oleh musuh untuk mengalihkan tautan tersebut ke infrastruktur mereka sendiri, pada saat yang sama menjaga domain tepercaya di URL lengkap tetap utuh untuk menghindari analisis oleh mesin anti-malware, bahkan ketika pengguna mencoba mengarahkan tautan untuk memeriksa tanda-tanda konten yang mencurigakan.

Microsoft mengatakan telah mengamati setidaknya 350 domain phishing unik sebagai bagian dari kampanye — upaya lain untuk mengaburkan deteksi — menggarisbawahi penggunaan efektif kampanye dari umpan rekayasa sosial yang meyakinkan yang dimaksudkan sebagai pesan pemberitahuan dari aplikasi seperti Office 365 dan Zoom, yang dibuat dengan baik teknik penghindaran deteksi yang dibuat dengan baik, dan infrastruktur yang tahan lama untuk melakukan serangan.

Selengkapnya: The Hacker News

Peretas Terlihat Menggunakan Kode Morse dalam Serangan Phishing untuk Menghindari Deteksi

August 16, 2021 by Winnie the Pooh

Microsoft telah mengungkapkan rincian kampanye rekayasa sosial selama setahun di mana operator terus mengubah mekanisme penyamaran dan enkripsi mereka rata-rata setiap 37 hari, termasuk mengandalkan kode Morse, dalam upaya untuk menutupi jejak mereka dan secara diam-diam mengumpulkan kredensial pengguna.

Serangan phishing berbentuk umpan bertema faktur yang meniru transaksi bisnis terkait keuangan, dengan email yang berisi file HTML (“XLS.HTML”). Tujuan utamanya adalah untuk mengumpulkan nama pengguna dan kata sandi, yang kemudian digunakan sebagai titik masuk awal untuk upaya penyusupan selanjutnya.

Microsoft menyamakan lampiran dengan “teka-teki jigsaw”, mencatat bahwa setiap bagian dari file HTML dirancang untuk tampak tidak berbahaya dan lolos dari perangkat lunak keamanan endpoint, hanya untuk mengungkapkan niat sebenarnya ketika segmen ini didekodekan dan dirakit bersama. Perusahaan tidak mengidentifikasi peretas di balik operasi tersebut.

“Kampanye phishing ini menunjukkan ancaman email modern: canggih, mengelak, dan terus berkembang,” kata Tim Microsoft 365 Defender Threat Intelligence dalam sebuah analisis.

Kampanye ini dikatakan telah mengalami 10 iterasi sejak ditemukan pada Juli 2020, dengan musuh secara berkala mengganti metode pengkodeannya untuk menutupi sifat jahat dari lampiran HTML dan segmen serangan berbeda yang terkandung dalam file.

Microsoft mengatakan telah mendeteksi penggunaan kode Morse dalam serangan gelombang Februari dan Mei 2021, sementara varian kit phishing kemudian ditemukan untuk mengarahkan korban ke halaman Office 365 yang sah alih-alih menampilkan pesan kesalahan palsu setelah kata sandi dimasukkan.

Selengkapnya: The Hacker News

Kampanye phishing pintar menargetkan pengguna Office 365

August 5, 2021 by Winnie the Pooh

Microsoft memperingatkan tentang kampanye phishing “lebih licik dari biasanya” yang sedang berlangsung yang ditujukan untuk pengguna Office 365.

Para phisher menggunakan berbagai tema sebagai umpan, dan email dikirim dari alamat email dari berbagai domain tingkat atas.

Alamat pengirim mengandung variasi kata “referral” – misalnya zreffertalt.com.com, refferal.net, irefferal.com, dan sejenisnya. Email dibuat agar terlihat seperti mengarah ke dokumen bersama yang disimpan di Microsoft SharePoint, platform kolaboratif berbasis web yang terintegrasi dengan Microsoft Office, dan menyertakan branding Microsoft.

Dokumen palsu itu konon laporan staf, “perubahan buku harga”, berisi informasi tentang bonus, dan sebagainya. Tetapi mengklik tautan akan membawa pengguna ke halaman phishing bertema Office 365.

“Email berisi dua URL yang memiliki header HTTP yang salah. URL phishing utama adalah sumber daya penyimpanan Google yang mengarah ke domain AppSpot yang mengharuskan pengguna untuk masuk sebelum akhirnya menyajikan domain Konten Pengguna Google lainnya dengan halaman phishing Office 365,” kata Microsoft.

“URL kedua terletak di dalam pengaturan notifikasi dan mengarah ke situs SharePoint yang disusupi yang digunakan penyerang untuk menambahkan legitimasi serangan. Kedua URL memerlukan masuk untuk melanjutkan ke halaman terakhir, melewati banyak kotak pasir.”

Selengkapnya: Help Net Security

Serangan phishing WeTransfer baru memalsukan berbagi file untuk mencuri kredensial

August 5, 2021 by Winnie the Pooh

Menurut laporan dari Armorblox, penjahat dunia maya memalsukan sistem hosting file WeTransfer untuk melakukan serangan phishing kredensial di mana email palsu mengarah ke halaman phishing yang menampilkan branding Microsoft Excel.

Tujuan utama serangan ini adalah untuk mengambil kredensial email Office 365 korban. Perlu dicatat bahwa WeTransfer digunakan untuk berbagi file yang terlalu besar untuk dikirim melalui email.

Email phishing tampaknya dikirim oleh WeTransfer karena menggunakan nama pengirim Wetransfer dan memiliki judul Lihat File yang Dikirim Melalui WeTransfer.

Kesamaannya cukup untuk tampil sebagai email WeTransfer asli dan dapat dengan mudah menipu pengguna yang tidak menaruh curiga. Badan email juga membuat beberapa referensi ke organisasi target agar tampak sah.

Berbagai teknik telah digunakan untuk menghindari filter keamanan email konvensional dan memikat pengguna yang tidak curiga. Ini termasuk rekayasa sosial, karena judul email, konten, dan nama pengirim telah dirancang untuk menciptakan rasa “kepercayaan dan urgensi pada para korban,” tulis Mark Royall dari Armorblox dalam sebuah posting blog.

Teknik lain yang digunakan dalam kampanye ini adalah peniruan identitas brand. Gaya HTML email sangat mirip dengan WeTransfer, dan halaman phishing telah dirancang untuk muncul sebagai halaman login Microsoft Excel yang sah. Satu-satunya hal yang membuatnya tampak mencurigakan adalah Microsoft dieja sebagai MicroSoft.

Selengkapnya: Hackread

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Phishing

Cookies Settings