Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Phishing

Phishing

Serangan phishing baru ini ‘lebih licik dari biasanya’, Microsoft memperingatkan

by

Tim Intelijen Keamanan Microsoft telah mengeluarkan peringatan kepada pengguna dan admin Office 365 untuk waspada terhadap email phishing “licik” dengan alamat pengirim palsu.

Microsoft mengeluarkan peringatan setelah mengamati kampanye aktif yang menargetkan organisasi Office 365 dengan email yang meyakinkan dan beberapa teknik untuk melewati deteksi phishing, termasuk halaman phishing Office 365, hosting aplikasi web cloud Google, dan situs SharePoint yang disusupi yang mendesak korban untuk mengetikkan kredensial.

Phishing terus menjadi masalah rumit bagi bisnis untuk dibasmi, membutuhkan pelatihan kesadaran phishing yang diperbarui secara berkala dan solusi teknis, seperti otentikasi multi-faktor di semua akun – yang sangat direkomendasikan oleh Microsoft dan CISA.

Grup phishing menggunakan Microsoft SharePoint dalam nama tampilan untuk menarik korban agar mengklik tautan. Email tersebut berpura-pura sebagai permintaan “berbagi file” untuk mengakses “Laporan Staf”, “Bonus”, “Buku Harga”, dan konten lain yang dihosting di spreadsheet Excel yang seharusnya.

Sementara logo Microsoft yang meyakinkan berserakan di seluruh email, URL phishing utama bergantung pada sumber daya penyimpanan Google yang mengarahkan korban ke domain Google App Engine AppSpot – tempat untuk meng-host aplikasi web.

URL kedua disematkan dalam pengaturan pemberitahuan yang menautkan korban ke situs SharePoint yang disusupi. Kedua URL memerlukan masuk untuk membuka halaman terakhir, memungkinkan serangan melewati sandbox.

Selengkapnya: ZDNet

Kaspersky menyebut aplikasi messenger favorit scammers

by

Woburn, MA – 12 Juli 2021 – Kaspersky merilis temuan penelitian yang mengidentifikasi aplikasi messenger yang paling populer di kalangan scammer phishing. Data anonim, yang disediakan secara sukarela oleh Kaspersky Internet Security untuk pengguna Android, mengungkapkan bahwa bagian terbesar dari tautan berbahaya yang terdeteksi antara Desember 2020 dan Mei 2021 dikirim melalui WhatsApp (89,6%), diikuti oleh Telegram (5,6%). Viber berada di tempat ketiga dengan pangsa 4,7% dan Hangouts kurang dari satu persen. Negara yang paling banyak mengalami serangan phishing adalah Rusia (46%), Brazil (15%) dan India (7%). Secara global, 480 deteksi dicatat per hari.

Menurut penelitian, aplikasi messenger melampaui jaringan sosial sebesar 20% pada tahun 2020, dalam hal popularitas di kalangan pengguna, menjadi alat komunikasi paling populer. Hasil survei juga menunjukkan bahwa pada tahun 2020, audiens global untuk messenger berjumlah 2,7 miliar orang. Pada tahun 2023, diperkirakan akan tumbuh menjadi 3,1 miliar. Itu hampir 40% dari populasi dunia.

Kaspersky Internet Security for Android telah menambahkan fitur baru, Safe Messaging, yang mencegah pengguna membuka tautan berbahaya yang mereka terima di aplikasi messenger, termasuk WhatsApp, Viber, Telegram, Hangouts, dan melalui SMS. Kaspersky menggunakan fitur tersebut untuk menganalisis klik anonim pada tautan phishing di seluruh aplikasi messenger, mencatat 91.242 deteksi secara global antara Desember 2020 dan Mei 2021.

Menurut hasil, Kaspersky Internet Security untuk Android mendeteksi jumlah tautan berbahaya terbesar di WhatsApp, sebagian karena fakta bahwa itu adalah messenger paling populer secara global. Bagian terbesar dari pesan tersebut terdeteksi di Rusia (42%), Brasil (17%) dan India (7%).

Di antara Kaspersky Internet Security untuk pengguna Android, Telegram memiliki deteksi paling sedikit, tetapi secara geografi mirip dengan WhatsApp. Jumlah tertinggi tautan berbahaya terdeteksi di Rusia (56%), India (6%) dan Turki (4%). Angka yang tinggi di Rusia mungkin karena meningkatnya tingkat popularitas utusan ini di negara itu.

selengkapnya : usa.kaspersky.com

Mengapa Phishing Masih Merupakan Teknik Peretasan Yang Paling Sukses?

by

Sebagian besar dari kita tidak akan mengklik email yang mengklaim bahwa kita adalah pemenang lotere saat ini. Namun, serangan phishing berkembang dan tetap menjadi serangan siber paling berbahaya bagi individu atau perusahaan sejak serangan phishing pertama pada tahun 1995.

Menurut laporan oleh perusahaan keamanan email Valimail, lebih dari tiga miliar pesan spoofing dikirim setiap hari, hampir 1% dari semua lalu lintas email. Dan ini menimbulkan kerugian yang cukup besar bagi masyarakat kita.

Pada tahun 2021, kerusakan kejahatan dunia maya global akan meningkat dari $ 3 triliun pada tahun 2015 menjadi $ 6 triliun setiap tahun, menurut perkiraan dari Official Annual Cybercrime Report 2020 oleh Cybersecurity Ventures.

Apa yang membuat serangan ini begitu sukses?

1# Manusia adalah Celah Terlemah dalam Keamanan Siber

Rekayasa sosial memanfaatkan elemen psikologis kita untuk membangun akses ke informasi atau keuntungan finansial dari kita. Email phishing adalah salah satu jenis cara paling umum yang digunakan peretas untuk mencoba mendapatkan informasi atau keuntungan finansial dari individu.

Tidak ada Signature untuk diperbarui atau firewall yang akan dipasang. Dengan demikian, peretas mengeksploitasi kerentanan psikologis yang belum ditambal, dan cara termudah untuk melakukannya adalah dengan phishing.

2# Work From Home + BYOD (Bring Your Own Device)

Bekerja dari rumah yang berarti bahwa karyawan lebih santai dan mungkin sering menggunakan perangkat mereka sendiri untuk bekerja (yaitu, BYOD), yang berarti bahwa, jika penjahat dunia maya menyusupi perangkat karyawan, mereka dapat memperoleh akses tidak hanya ke data yang ada di dalam perangkat, tetapi juga akses ke jaringan perusahaan.

3# Mudah untuk Memulai

Ketersediaan kit phishing online dan munculnya ransomware-as-a-service (RaaS) menurunkan peringkat untuk memulai. Hal ini mengakibatkan ledakan ransomware dan eksploitasi lainnya yang berasal dari rawa penjahat dunia maya amatir yang terus berkembang.

Selengkapnya: Technology Hits on Medium

Phishing Microsoft Office 365 menghindari deteksi dengan potongan HTML Lego

by

Kampanye phishing baru-baru ini menggunakan trik cerdas untuk mengirimkan halaman web penipuan yang mengumpulkan kredensial Microsoft Office 365 dengan membangunnya dari potongan kode HTML yang disimpan secara lokal dan jarak jauh.

Metode ini terdiri dari menempelkan beberapa bagian HTML yang disembunyikan dalam file JavaScript untuk mendapatkan antarmuka login palsu dan meminta calon korban untuk mengetikkan informasi sensitif.

Para korban menerima email dengan hanya lampiran yang mengaku sebagai file Excel (.XLSX) tentang investasi. Pada kenyataannya, file tersebut adalah dokumen HTML dengan potongan teks yang dienkode URL.

Para peneliti di Trustwave menerjemahkan teks tersebut dan menemukan lebih banyak decoding di depan karena teks tersebut selanjutnya dikaburkan melalui kode Entity. Dengan menggunakan CyberChef GCHQ, mereka mengungkapkan tautan ke dua file JavaScript yang dihosting di “yourjavascript.com”, sebuah domain yang digunakan untuk kampanye phishing lainnya.

Masing-masing dari dua file JavaScript memiliki dua blok teks yang disandikan yang menyembunyikan kode HTML, URL dan Base64 yang dikodekan.

Di salah satunya, peneliti menemukan halaman awal dan kode phishing yang memvalidasi email dan password dari korban.

Secara keseluruhan, para peneliti menerjemahkan lebih dari 367 baris kode HTML yang tersebar dalam lima bagian di antara dua file JavaScript dan satu lampiran email, yang, ditumpuk bersama, membangun halaman phishing Microsoft Office 365.

Sumber: Bleeping Computer

Trustwave mengatakan bahwa hal yang tidak biasa tentang kampanye ini adalah bahwa JavaScript diunduh dalam potongan yang dikaburkan dari lokasi yang jauh dan kemudian disatukan secara lokal.

Dalam posting blog nya, Trustwave mencatat bahwa URL yang menerima kredensial yang dicuri untuk kampanye ini masih aktif.

Bleeping Computer

Kampanye Phishing Baru Mengirim Tawaran Pekerjaan yang mengandung Malware Melalui LinkedIn

by

Dengan pengangguran pada tingkat yang luar biasa dan ekonomi melakukan pembalikan aneh terkait covid, saya pikir kita semua bisa setuju bahwa perburuan pekerjaan adalah pekerjaan yang cukup sulit saat ini. Di tengah semua itu, Anda tahu apa yang sebenarnya tidak dibutuhkan pekerja? Kotak masuk LinkedIn yang penuh dengan malware. Ya, mereka sama sekali tidak membutuhkan itu.

Namun demikian, tampaknya itulah yang mungkin didapat beberapa orang, berkat satu kelompok jahat dunia maya.

Perusahaan keamanan eSentire baru-baru ini menerbitkan laporan yang merinci bagaimana peretas yang terhubung ke grup yang dijuluki “Ayam Emas” (saya tidak yakin siapa yang menemukan yang itu) telah melancarkan kampanye jahat yang memangsa keinginan pencari kerja untuk posisi yang sempurna .

Kampanye ini melibatkan penipuan profesional bisnis yang tidak menaruh curiga agar mengklik tawaran pekerjaan yang berjudul sama dengan posisi mereka saat ini. Sebuah pesan, dimasukkan ke DM korban, mengumpan mereka dengan “penawaran” yang benar-benar dicurangi dengan file .zip yang dimuat pegas. Di dalamnya .zip adalah malware tanpa file yang disebut “more_eggs” yang dapat membantu membajak perangkat yang ditargetkan. Peneliti merinci bagaimana serangan itu bekerja:

Siapapun mereka, “Ayam” mungkin tidak melakukan serangan ini sendiri. Sebaliknya, mereka mengayuh apa yang akan diklasifikasikan sebagai Malware-as-a-service (MaaS) —yang berarti penjahat dunia maya lain membeli malware dari mereka untuk melakukan kampanye peretasan mereka sendiri. Laporan tersebut mencatat bahwa tidak jelas siapa sebenarnya di balik kampanye baru-baru ini.

Trojan pintu belakang seperti “more_eggs” pada dasarnya adalah program yang memungkinkan jenis malware lain yang lebih merusak untuk dimuat ke dalam sistem perangkat atau komputer. Setelah penjahat menggunakan trojan untuk mendapatkan tumpuan ke dalam sistem korban, mereka kemudian dapat menerapkan hal-hal lain seperti ransomware, malware perbankan, atau pencuri kredensial, untuk mendatangkan malapetaka yang lebih luas pada korbannya.

selengkapnya : gizmodo.com

Google Forms dan Telegram disalahgunakan untuk mengumpulkan kredensial phishing

by

Peneliti keamanan mencatat peningkatan metode alternatif untuk mencuri data dari serangan phishing, karena penipu mendapatkan info yang dicuri melalui Google Forms atau bot Telegram pribadi.

Email tetap menjadi metode yang disukai untuk mengekstrak info yang dicuri, tetapi saluran ini menunjukkan tren baru dalam evolusi kit phishing.

Menganalisis perangkat phishing selama setahun terakhir, para peneliti di perusahaan keamanan siber Group-IB memperhatikan bahwa lebih banyak dari alat ini memungkinkan pengumpulan data pengguna yang dicuri menggunakan Google Forms dan Telegram.

Ini dianggap sebagai metode alternatif untuk memperoleh data yang disusupi dan menyumbang hampir 6% dari apa yang ditemukan oleh analis Grup-IB, sebuah bagian yang kemungkinan besar akan meningkat dalam jangka pendek.

Menyimpan info dalam file lokal di sumber daya phishing juga merupakan bagian dari metode eksfiltrasi alternatif dan menyumbang persentase tertinggi dari semuanya.

Sumber: Group-IB

Mengirim data curian yang dikumpulkan dari situs phishing ke Google Forms dilakukan melalui permintaan POST ke formulir online yang tautannya tertanam dalam kit phishing.

Dibandingkan dengan email, yang dapat diblokir atau dibajak dan lognya hilang, ini adalah metode yang lebih aman untuk mengekstrak informasi, kata Group – IB kepada BleepingComputer.

Selengkapnya: Bleeping Computer

Perubahan merek Pulse BP Chargemaster memungkinkan penjahat mengirim trojan perbankan IcedID dari kotak surat yang sebelumnya sah

by

BP Chargemaster, pemasok soket untuk kendaraan listrik, tampaknya domain emailnya dibajak oleh penjahat yang menggunakan alamat yang sebelumnya sah untuk mengirim trojan perbankan ke pelanggan.

Email yang mengandung malware dikirim dari alamat email perusahaan awal bulan ini – dan lampirannya menyertakan malware pencuri kredensial IcedID.

Tampaknya server email perusahaan mungkin dibiarkan tanpa pengawasan setelah BP Chargemaster berganti nama menjadi BP Pulse pada awal Desember 2020. Selama pengubahan citra, situs web BP Chargemaster dan Polar digantikan oleh bppulse.co.uk, “untuk menghindari kebingungan “.

Pembaca register Matt menerima beberapa email dari BP Chargemaster yang dia yakin tidak berasal dari perusahaan.

Namun ketika dia mulai mendengar kabar dari pengirim itu lagi, email yang dia terima berisi teks seperti “Halo. Terlampir di bawah membutuhkan perhatian Anda,” mendesak Matt untuk membuka file .zip terlampir. Bacaan lainnya: “Silakan lihat file terlampir. Pasti menarik.” Kedua pesan tersebut tampaknya telah dikirim dari alamat email bpchargemaster [.] Com, dan Matt memperhitungkan pada saat mereka telah lulus validasi Sender Policy Framework (SPF).

Kami meminta F-Secure untuk melihat lampiran berbahaya yang dikirim ke Matt dan Calvin Gan perusahaan, manajer senior di Unit Pertahanan Taktis, mengatakan kepada The Register: “Email tersebut adalah kampanye malspam yang menyebarkan versi baru dari trojan perbankan IcedID . File zip berisi spreadsheet Excel berbahaya yang menggunakan fitur makro Excel 4.0 untuk menyembunyikan kodenya. ”

Dia menambahkan bahwa infosec Binary Defense memiliki catatan terbaru tentang evolusi terbaru trojan. Perusahaan menemukan bahwa ketika berhasil diterapkan, trojan tersebut menjatuhkan suar Cobalt Strike dan penjahat kemudian memetakan jaringan tempat orang jahat itu mendarat, dengan menyatakan: “IcedID adalah ancaman hebat yang membuat analisis menjadi kompleks dan menantang.”

Ini pertama kali ditemukan pada tahun 2017 oleh divisi keamanan X-Force IBM, seperti yang kami laporkan pada saat itu.

selengkapnya : www.theregister.com

Facebook Menghancurkan Kampanye Mata-mata Berbahaya yang Dilakukan oleh Peretas Tiongkok

by

Tim spionase siber Facebook mengklaim telah memecahkan kampanye jahat yang terjadi di platformnya, yang ditargetkan pada sekitar 500 pengguna.

Kampanye tersebut dikatakan dioperasikan oleh peretas Tiongkok, yang bertujuan untuk menginfeksi beberapa jurnalis, aktivis, dan pembangkang Uighur terpilih yang tinggal di berbagai negara, dan memata-matai mereka.

China diyakini melacak tidak hanya warganya sendiri dengan penuh semangat, tetapi juga orang-orang yang dicari lainnya dari seluruh dunia melalui metode terlarang. Sekarang, kampanye serupa dikatakan telah dipecah oleh tim spionase siber Facebook, setelah melacaknya beberapa saat.

Sesuai laporan mereka, mereka telah mengaitkan penulis kampanye jahat ini ke grup Earth Empusa atau Evil Eye, yang merupakan grup peretas China yang menargetkan jurnalis, aktivis, dan pembangkang.

Kampanye ini ditujukan untuk melacak semua individu dari kategori di atas yang tinggal di negara lain seperti Turki, Kazakhstan, Suriah, Australia, Kanada, dan AS. Basis target kira-kira sekitar 500 orang dan dimulai dengan memikat mereka untuk mengunjungi berbagai situs web dan aplikasi melalui Facebook dengan tujuan untuk mengumpulkan informasi sebanyak mungkin tentang orang-orang ini, dan menginfeksi perangkat mereka dengan kode pelacakan berbahaya untuk memata-matai mereka.

Sumber: Techdator