Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Phishing

Phishing

TeamTNT Cloaks Malware Dengan Open-Source Tool

by

Alat penghindaran deteksi, libprocesshider, menyembunyikan malware TeamTNT dari program informasi proses.

Grup ancaman TeamTNT telah menambahkan alat penghindaran deteksi baru ke gudang senjatanya, membantu perangkat lunak perusak cryptomining oleh tim pertahanan.

Grup kejahatan dunia maya TeamTNT dikenal karena serangan berbasis cloud, termasuk menargetkan kredensial Amazon Web Services (AWS) untuk masuk ke cloud dan menggunakannya untuk menambang cryptocurrency Monero. Ini juga sebelumnya menargetkan instance cloud Docker dan Kubernetes.

Alat penghindaran deteksi baru, libprocesshider, disalin dari repositori sumber terbuka. Open-Source Tool, dari tahun 2014 telah ditempatkan di Github, dan dideskripsikan memiliki kemampuan untuk “menyembunyikan proses di Linux menggunakan prapemuat ld.”

Alat baru ini dikirimkan dalam skrip base64-encoded, tersembunyi di biner cryptominer TeamTNT, atau melalui bot Internet Relay Chat (IRC), yang disebut TNTbotinger, yang mampu melakukan serangan distributed denial of service (DDoS).

Dari waktu ke waktu, TeamTNT terlihat menyebarkan berbagai pembaruan pada malware cryptomining, termasuk pemuat memori baru yang ditemukan beberapa minggu yang lalu, yang didasarkan pada Ezuri dan ditulis dalam GOlang.

Pada bulan Agustus, worm cryptomining TeamTNT ditemukan menyebar melalui cloud AWS dan mengumpulkan kredensial. Kemudian, setelah jeda, grup TeamTNT kembali pada bulan September untuk menyerang instance cloud Docker dan Kubernetes dengan menyalahgunakan alat pemantauan cloud yang sah yang disebut Weave Scope.

selengkapnya :ThreatPost

FBI memperingatkan serangan vishing yang mencuri rekening perusahaan

by

Biro Investigasi Federal (FBI) telah mengeluarkan peringatan pemberitahuan tentang serangan vishing yang sedang berlangsung yang mencoba mencuri akun dan kredensial perusahaan untuk akses jaringan dan eskalasi hak istimewa dari AS dan karyawan yang berbasis internasional.

Vishing (juga dikenal sebagai phishing suara) adalah serangan manipulasi psikologis di mana penyerang meniru entitas tepercaya selama panggilan suara untuk membujuk target mereka agar mengungkapkan informasi sensitif seperti kredensial perbankan atau login.

Menurut TLP: WHITE Private Industry Notification (PIN) yang dibagikan pada hari Jumat [PDF], pelaku ancaman menggunakan platform Voice over Internet Protocol (VoIP) (alias layanan telepon IP) untuk menargetkan karyawan perusahaan di seluruh dunia, mengabaikan tingkat korporat mereka.

“Selama Covid-19 shelter-in-place and social distancing, banyak perusahaan harus cepat beradaptasi dengan perubahan lingkungan dan teknologi,” kata PIN. “Dengan pembatasan ini, akses jaringan dan eskalasi hak istimewa mungkin tidak sepenuhnya dipantau.”

selengkapnya : BleepingComputer

Penipuan phishing memiliki semua lonceng dan peluit — kecuali satu

by

Penjahat di balik penipuan phishing baru-baru ini telah mengumpulkan semua bagian penting. Malware yang melewati antivirus — check. Template email yang memanfaatkan Microsoft Office 365 Advanced Threat Protection — periksa. Pasokan akun email dengan reputasi kuat untuk mengirim email scam — check.

Hanya ada satu masalah: para penipu menyembunyikan sandi yang diperoleh dengan susah payah di server publik tempat siapa pun — termasuk mesin pencarian — dapat (dan memang) mengindeksnya.

Peneliti Check Point menemukan hasil tangkapan tersebut saat mereka menyelidiki kampanye phishing yang dimulai pada bulan Agustus. Penipuan tiba di email yang konon berasal dari Xerox atau Xeros. Email tersebut dikirim melalui alamat yang, sebelum dibajak, memiliki skor reputasi tinggi yang melewati banyak pertahanan antispam dan antiphishing. Di dalam pesan tersebut terlampir file HTML berbahaya yang tidak memicu salah satu dari 60 mesin antimalware yang paling sering digunakan.

Setelah diklik, file HTML tersebut menampilkan dokumen yang terlihat seperti ini:

Sumber: Check Point

Ketika penerima dibodohi dan masuk ke akun palsu, para penipu menyimpan kredensial di lusinan situs WordPress yang telah disusupi dan diubah menjadi apa yang disebut drop-zones.

Namun, para penyerang gagal menetapkan situs tersebut sebagai terlarang untuk Google dan mesin telusur lainnya. Hasilnya, pencarian Web dapat menemukan data dan mengarahkan peneliti keamanan ke cache kredensial yang disusupi.

Berdasarkan analisis terhadap sekitar 500 kredensial yang dikompromikan, Check Point dapat mengumpulkan rincian industri yang ditargetkan berikut ini.

Sumber: Check Point

Sumber: Ars Technica

Peringatan phishing: Ini adalah merek yang paling mungkin ditiru oleh penjahat, tetap waspada!

by

Peneliti keamanan siber di Check Point menganalisis email phishing yang dikirim selama tiga bulan terakhir dan menemukan bahwa 43% dari semua upaya phishing yang meniru merek mencoba menyamar sebagai pesan dari Microsoft.

Microsoft adalah daya tarik yang populer karena distribusi Office 365 yang luas di antara perusahaan. Dengan mencuri kredensial ini, penjahat berharap mendapatkan akses ke jaringan perusahaan.

Merek kedua yang paling sering ditiru selama periode analisis Check Point adalah DHL, dengan serangan yang meniru penyedia logistik terhitung 18% dari semua upaya phishing. DHL telah menjadi umpan phishing yang populer bagi para penjahat karena banyak orang sekarang terjebak di rumah karena pembatasan COVID-19 dan menerima lebih banyak paket – sehingga orang lebih cenderung lengah ketika melihat pesan yang mengaku dari perusahaan pengiriman.

Merek lain yang biasanya ditiru dalam email phishing termasuk LinkedIn, Amazon, Google, PayPal, dan Yahoo. Mengompromikan salah satu akun ini dapat memberi penjahat siber akses ke informasi pribadi yang sensitif yang dapat mereka eksploitasi.

“Penjahat meningkatkan upaya mereka pada Q4 2020 untuk mencuri data pribadi orang-orang dengan meniru merek terkemuka, dan data kami dengan jelas menunjukkan bagaimana mereka mengubah taktik phishing untuk meningkatkan peluang sukses mereka,” kata Maya Horowitz, direktur intelijen dan penelitian ancaman di Check Titik.

“Seperti biasa, kami mendorong pengguna untuk berhati-hati saat memberikan data pribadi dan kredensial ke aplikasi bisnis, dan berpikir dua kali sebelum membuka lampiran atau tautan email, terutama email yang mengklaim dari perusahaan, seperti Microsoft atau Google, yang kemungkinan besar akan ditiru,” tambahnya.

Sumber: ZDNet

Waspadalah: Teks phishing PayPal menyatakan akun Anda ‘terbatas’

by

Kampanye phishing pesan teks PayPal sedang berlangsung yang berupaya mencuri kredensial akun Anda dan informasi sensitif lainnya yang dapat digunakan untuk pencurian identitas.

Phishing baru tersebut berpura-pura berasal dari PayPal, yang menyatakan bahwa akun Anda telah dibatasi secara permanen kecuali Anda memverifikasi akun dengan mengeklik tautan.

Saat PayPal mendeteksi aktivitas mencurigakan atau penipuan di akun, status akun akan disetel ke “terbatas/limited”, yang akan memberi batasan sementara pada penarikan, pengiriman, atau penerimaan uang.

Pesan teks smishing itu berbunyi, “PayPal: Kami telah membatasi akun Anda secara permanen, silakan klik tautan di bawah untuk memverifikasi”.

Mengklik tautan terlampir akan membawa Anda ke halaman phishing yang meminta Anda untuk masuk ke akun Anda, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Jika Anda masuk di halaman phishing, kredensial PayPal yang dimasukkan akan dikirim ke pelaku ancaman. Halaman phishing kemudian melangkah lebih jauh dan akan mencoba mengumpulkan detail lebih lanjut dari Anda, termasuk nama, tanggal lahir, alamat, detail bank, dan lainnya.

Informasi yang dikumpulkan digunakan untuk melakukan serangan pencurian identitas, mendapatkan akses ke akun Anda yang lain, atau melakukan serangan spear-phishing yang ditargetkan.

Sumber: Bleeping Computer

Malware yang dihosting di GitHub menghitung muatan Cobalt Strike dari gambar Imgur

by

Serangkaian malware baru ditemukan menggunakan file Word dengan makro untuk mengunduh skrip PowerShell dari GitHub.

Skrip PowerShell ini selanjutnya mengunduh file gambar yang sah dari layanan hosting gambar Imgur untuk memecahkan kode skrip Cobalt Strike pada sistem Windows.

Beberapa peneliti mengaitkan strain ini dengan MuddyWater (alias SeedWorm dan TEMP.Zagros), kelompok advanced persistent threat (APT) yang didukung pemerintah, pertama kali diamati pada tahun 2017 sementara terutama menargetkan entitas Timur Tengah.

Malware yang terlihat “seperti MuddyWater”, menurut peneliti Arkbird, dikirimkan sebagai makro yang disematkan dalam file Microsoft Word (*.doc) lama, dengan gaya grup APT. Dalam pengujian oleh BleepingComputer, ketika dokumen Word dibuka, dokumen tersebut menjalankan makro yang disematkan. Makro selanjutnya meluncurkan PowerShell.exe dan memberinya lokasi dari skrip PowerShell yang dihosting di GitHub.

Sumber: BleepingComputer

Skrip single-line PowerShell memiliki instruksi untuk mengunduh file PNG asli dari layanan hosting gambar Imgur. Meskipun gambar ini sendiri mungkin tidak berbahaya, nilai pikselnya digunakan oleh skrip PowerShell dalam menghitung muatan tahap berikutnya. Skrip yang didekodekan yang diperoleh dari manipulasi nilai piksel PNG adalah skrip Cobalt Strike.

Teknik menyembunyikan kode, data rahasia, atau muatan berbahaya dalam file biasa, seperti gambar, dikenal sebagai steganografi.

Peneliti telah menyediakan YARA rule yang dapat digunakan untuk mendeteksi varian di lingkungan Anda.

IOC yang terkait dengan dokumen Word yang berisi makro yang digunakan dalam kampanye malware ini diberikan di bawah ini:
d1c7a7511bd09b53c651f8ccc43e9c36ba80265ba11164f88d6863f0832d8f81
ed93ce9f84dbea3c070b8e03b82b95eb0944c44c6444d967820a890e8218b866

Jika Anda menerima dokumen Word yang mencurigakan dalam email phishing atau melalui cara lain, jangan membukanya atau menjalankan “makro” di dalamnya.

Sumber: Bleeping Computer

Sistem pemasaran Subway diretas untuk mengirim email malware TrickBot

by

Subway UK telah mengungkapkan bahwa sistem yang digunakan untuk pemasaran perusahaan telah diretas dan bertanggung jawab atas email phishing yang berisi malware yang dikirim ke pelanggan kemarin.

Pelanggan Subway UK menerima email aneh dari ‘Subcard’ tentang pesanan Subway yang dilakukan. Di dalam email tersebut terdapat tautan ke dokumen yang diduga berisi konfirmasi pesanan.

Sumber: Bleeping Computer

Setelah menganalisis email phishing ini, ditemukan bahwa mereka menyebarkan dokumen Excel berbahaya yang akan menginstal versi terbaru malware TrickBot.

TrickBot adalah infeksi malware jahat yang memungkinkan penyerang, menyebar ke seluruh jaringan, data browser, data RDP, VNC, dan PuTTY Credentials, dan banyak lagi. Lebih buruk lagi, TrickBot pada akhirnya dapat menyediakan akses ke operasi ransomware Ryuk atau Conti.

Subway juga telah mengirim email pemberitahuan ke pelanggan yang terkena dampak yang menyatakan bahwa nama depan dan nama belakang pelanggan terungkap dalam serangan itu.

Jika Anda menerima email ini dan keliru membuka dokumen Excel yang berbahaya, Anda dapat memeriksa versi TrickBot saat ini dengan membuka Task Manager dan mencari proses bernama ‘Windows Problem Reporting’. Jika proses itu ditemukan, klik tombol ‘End Task’ untuk menghentikannya.

Sekarang lakukan pemindaian menyeluruh pada komputer Anda menggunakan perangkat lunak antivirus dan bersihkan apa pun yang ditemukan.

Sumber: Bleeping Computer

Phisher melewati kontrol keamanan Microsoft 365 dengan Microsoft.com yang dipalsukan

by

Kampanye email phishing domain spoofing yang sangat meyakinkan meniru Microsoft dan berhasil menipu secure email gateway yang lama baru-baru ini telah ditemukan oleh Ironscales.

Itu juga membuat mereka menemukan bahwa server Microsoft saat ini tidak menerapkan protokol DMARC. “Hal ini sangat membingungkan ketika mengingat Microsoft sering menempati peringkat 5 teratas merek paling sering dipalsukan dari tahun ke tahun,” kata Lomy Ovadia, Wakil Presiden bidang penelitian dan pengembangan perusahaan.

Pada kampanye email phishing baru-baru ini, penyerang memalsukan domain pengirim agar terlihat seperti email yang berasal dari Microsoft. Kemudian penyerang menggunakan kemampuan Microsoft 365 yang relatif baru (untuk meninjau pesan yang dikarantina) sebagai alasan untuk mengelabui pengguna agar mengikuti tautan yang ditawarkan serta menciptakan rasa urgensi.

Tautan tersebut membawa pengguna ke halaman login palsu yang “meminta” kredensial login Microsoft 365, informasi tersebut nantinya akan dikirim ke penyerang.

“Alasan mengapa SEG [secure email gateway] secara tradisional dapat menghentikan spoofing domain yang tepat adalah karena, ketika dikonfigurasi dengan benar, kontrol ini sesuai dengan Domain-based Message Authentication, Reporting and Conformance (DMARC)”, kata Ovadia.

“Layanan email lain yang menghormati dan memberlakukan DMARC akan memblokir email semacam itu. Masih belum diketahui mengapa Microsoft mengizinkan adanya spoof domain mereka sendiri terhadap infrastruktur email mereka,” Ovadia menyimpulkan.

Saat ini kampanye phishing ditujukan untuk pengguna perusahaan Microsoft 365 dalam berbagai industri (finsec, perawatan kesehatan, asuransi, manufaktur, utilitas, telekomunikasi, dll.).

Sumber: Help Net Security