Phishing

Framework Otomatis Malware TgToxic Menargetkan Pengguna Android di Asia Tenggara

February 7, 2023 by Mally

Trend Micro melihat kampanye malware yang sedang berlangsung, mereka menyebutnya sebagai TgToxic, menargetkan pengguna ponsel Android di Taiwan, Thailand, dan Indonesia sejak Juli 2022.

Malware tersebut mencuri kredensial dan aset pengguna seperti mata uang kripto dari dompet digital, serta uang dari aplikasi bank dan keuangan.

Aktor ancaman menyalahgunakan kerangka uji Easyclick yang sah untuk menulis skrip otomatisasi berbasis Javascript untuk fungsi seperti klik dan gerakan.

Tujuan kampanye berkelanjutan yang menargetkan pengguna Android adalah untuk mencuri aset korban dari aplikasi keuangan dan perbankan, melalui trojan perbankan yang kami beri nama TgToxic yang disematkan di beberapa aplikasi palsu.

Trend Micro mengamati aktivitas penipuan dan umpan phising. Pihaknya menemukan kampanye phishing media sosial dan infrastruktur jaringan yang menargetkan Taiwan, Indonesia, dan Thailand serupa. Malware tersebut tidak canggih tapi menarik.

Penyalahgunaan kerangka otomatisasi yang sah seperti Easyclick dan Autojs dapat mempermudah pengembangan malware canggih, terutama untuk trojan perbankan Android yang dapat menyalahgunakan layanan Aksesibilitas.

Selengkapnya: Trend Micro

Hacker Menggunakan Trik Baru Untuk Serangan Phishing

February 4, 2023 by Mally

Penjahat dunia maya menggunakan email phishing yang dibuat secara unik untuk menginfeksi korban dengan malware — dan mereka melakukannya dengan bereksperimen dengan metode baru untuk mengirimkan muatan berbahaya.

Menurut analisis oleh Proofpoint, telah terjadi peningkatan penyerang dunia maya yang mencoba mengirimkan malware menggunakan dokumen OneNote, buku catatan digital yang ditandai dengan ekstensi .one yang merupakan bagian dari rangkaian aplikasi perkantoran Microsoft 365.

Email phishing, yang pertama kali dikirim selama Desember 2022, dengan jumlah yang meningkat secara signifikan pada Januari 2023, berusaha mengirimkan salah satu dari beberapa muatan malware yang berbeda, termasuk AsyncRAT, Redline, AgentTesla, dan Doubleback, yang semuanya dirancang untuk mencuri informasi sensitif dari korban, termasuk username dan password.

Peneliti Proofpoint juga mencatat bahwa kelompok penjahat dunia maya yang mereka lacak sebagai TA577 juga mulai memanfaatkan OneNote dalam kampanye untuk menghadirkan Qbot.

Para peneliti memperingatkan bahwa kemungkinan kampanye ini memiliki tingkat keberhasilan yang tinggi jika email tidak diblokir — dan lebih banyak kelompok ancaman dunia maya cenderung mengadopsi teknik ini untuk berhasil mengirimkan kampanye phishing dan malware.

“Proofpoint semakin mengamati lampiran OneNote digunakan untuk mengirimkan malware. Berdasarkan penelitian kami, kami yakin banyak pelaku ancaman menggunakan lampiran OneNote dalam upaya untuk melewati deteksi ancaman,” kata peneliti.

walaupun serangan phishing adalah alat yang efektif untuk penjahat dunia maya, jatuhnya korban tidak bisa dihindari. Proofpoint menyarankan bahwa organisasi harus menggunakan filter spam yang kuat yang mencegah pesan ini masuk ke kotak masuk orang, dan bahwa organisasi harus mendidik pengguna akhir tentang teknik ini, dan mendorong pengguna untuk melaporkan email dan lampiran yang mencurigakan.

Sumber : zdnet.com

Iklan Google Mendorong Malware ‘Tervirtualisasi’ yang Dibuat Untuk Penghindaran Antivirus

February 3, 2023 by Mally

KoiVM adalah plugin untuk pelindung ConfuserEx .NET yang mengaburkan opcode program sehingga mesin virtual hanya memahaminya. Kemudian, saat diluncurkan, mesin virtual menerjemahkan opcode kembali ke bentuk aslinya sehingga aplikasi dapat dijalankan.

“Kerangka kerja virtualisasi seperti KoiVM mengaburkan executable dengan mengganti kode asli, seperti instruksi NET Common Intermediate Language (CIL), dengan kode virtualisasi yang hanya dipahami oleh kerangka kerja virtualisasi,” jelas laporan baru oleh SentinelLabs.

Menyalahgunakan iklan pencarian Google
Selama sebulan terakhir, para peneliti telah melihat peningkatan penyalahgunaan iklan pencarian Google untuk mendistribusikan berbagai malware, termasuk RedLine Stealer, Gozi/Ursnif, Vidar, pencuri Rhadamanthys, IcedID, Raccoon Stealer, dan banyak lagi.

Dalam kampanye yang sedang berlangsung yang dilihat oleh SentinelLabs, pelaku ancaman mendorong pemuat MalVirt dalam iklan yang berpura-pura untuk perangkat lunak Blender 3D.

Malicious Google Search results (Sentinel Labs)

Download yang ditawarkan oleh situs palsu ini menggunakan tanda tangan digital tidak valid yang meniru identitas Microsoft, Acer, DigiCert, Sectigo, dan AVG Technologies USA.

SentinelLabs says that in the samples it analyzed, it saw Formbook communicating with 17 domains, only one of which was the actual C2 server, and the rest serving as mere decoys to confuse network traffic monitoring tools.

Menggunakan banyak IP palsu dalam komunikasi malware (Sentinel Labs)

Ini adalah sistem baru pada jenis malware yang cukup lama, menunjukkan bahwa operatornya tertarik untuk memberdayakan dengan fitur-fitur baru yang akan membuatnya lebih baik untuk tetap tersembunyi dari alat keamanan dan analis

sumber : bleepingcomputer

Password Vault Bitwarden Ditargetkan Dalam Serangan Phishing Google Ads

January 28, 2023 by Mally

Bitwarden dan password manager lainnya manjadi sasaran dalam kampanye phishing iklan Google untuk mencuri kredensial brankas kata sandi pengguna.

Saat perusahaan dan konsumen beralih menggunakan kata sandi unik di setiap situs, penting untuk menggunakan pengelola kata sandi untuk melacak semua kata sandi.

Namun, kecuali anda menggunakan pengelola kata sandi lokal, seperti KeePass, sebagian besar pengelola kata sandi ebrbasis cloud memungkinkan pengguna untuk mengakses kata sandi mereka melalui situs web dan aplikasi seluler.

Pengguna bitwarden yang ditargetkan oleh phishing iklan Google
Domain yang digunakan dalam iklan adalah ‘appbitwarden.com’ dan, saat diklik, mengarahkan pengguna ke situs ‘bitwardenlogin.com.’

Situs phishing Bitwarden dipromosikan melalui iklan Google
Sumber: Reddit

Halaman di ‘bitwardenlogin.com’ adalah replika persis dari halaman login Bitwarden Web Vault yang sah, seperti yang terlihat di bawah ini.

Bitwarden phishing page
Source: BleepingComputer

Dalam pengujian kami, halaman phishing akan menerima kredensial dan, setelah dikirimkan, mengarahkan pengguna ke halaman login Bitwarden yang sah.

Namun, pengujian awal kami menggunakan kredensial palsu, dan halaman ditutup saat kami mulai menguji dengan kredensial login pengujian Bitwarden yang sebenarnya.

Oleh karena itu, kami tidak dapat melihat apakah halaman phishing juga akan mencoba mencuri cookie sesi yang didukung MFA (token autentikasi) seperti banyak halaman phishing tingkat lanjut.

Melindungi brankas kata sandi Anda
Dalam hal melindungi brankas kata sandi Anda dari serangan phishing, garis pertahanan pertama selalu mengonfirmasi bahwa Anda memasukkan kredensial di situs web yang benar.

Namun, jika Anda salah memasukkan kredensial di situs phishing, Anda harus selalu mengonfigurasi autentikasi multifaktor dengan pengelola kata sandi.

Serangan phishing AiTM adalah saat pelaku ancaman menggunakan perangkat khusus seperti Evilginx2, Modlishka, dan Muraena untuk membuat halaman arahan phishing yang mewakili formulir masuk yang sah di layanan yang ditargetkan.

Dengan menggunakan metode ini, pengunjung halaman phishing akan melihat formulir masuk layanan yang sah, seperti Microsoft 365. Saat mereka memasukkan kredensial dan kode verifikasi MFA, informasi ini juga diteruskan ke situs yang sebenarnya.

Namun, begitu pengguna masuk dan situs yang sah mengirimkan cookie sesi yang didukung MFA, perangkat phishing dapat mencuri token ini untuk digunakan nanti.

phishing attack flow — The flow of an AiTM phishing attack
Source: BleepingComputer

Sayangnya, hal ini membawa kita kembali ke garis pertahanan pertama — pastikan Anda hanya memasukkan kredensial Anda di situs web atau aplikasi seluler yang sah.

selengkapnya : bleepingcomputer

SEABORGIUM dan TA453 Melanjutkan Kampanye Spear-phishing masing-masing

January 26, 2023 by Mally Leave a Comment

Pelaku SEABORGIUM (Callisto Group/TA446/COLDRIVER/TAG-53) yang berbasis di Rusia dan TA453 (APT42/Charming Kitten/Yellow Garuda/ITG18) yang berbasis di Iran terus berhasil menggunakan serangan spear-phishing terhadap organisasi dan individu yang ditargetkan di Inggris , dan bidang minat lainnya, untuk kegiatan pengumpulan informasi.

Menggunakan sumber daya sumber terbuka untuk melakukan pengintaian, termasuk media sosial dan platform jejaring profesional, SEABORGIUM dan TA453 mengidentifikasi pengait untuk melibatkan target mereka. Mereka meluangkan waktu untuk meneliti minat mereka dan mengidentifikasi kontak sosial atau profesional dunia nyata mereka.

Mereka juga telah membuat profil media sosial atau jaringan palsu yang menyamar sebagai pakar yang dihormati, dan menggunakan undangan konferensi atau acara yang seharusnya, serta pendekatan palsu dari jurnalis.

Pusat Intelijen Ancaman Microsoft (MSTIC) menyediakan daftar Indikator Kompromi (IOC) yang diamati di blog SEABORGIUM mereka, meskipun ini tidak boleh dianggap lengkap.

Meskipun spear-phishing adalah teknik mapan yang digunakan oleh banyak aktor, SEABORGIUM dan TA453 terus menggunakannya dengan sukses dan mengembangkan teknik tersebut untuk mempertahankan kesuksesan mereka.

Individu dan organisasi dari sektor yang ditargetkan sebelumnya harus waspada terhadap teknik di atas. Di Inggris Raya, laporkan aktivitas sesuai dengan yang dijelaskan di atas ke NCSC.

sumber : National Cyber Security Centre

Roaming Mantis Menyebarkan Malware Seluler Yang Membajak Pengaturan DNS Router Wi-Fi

January 23, 2023 by Mally

Pelaku ancaman yang terkait dengan kampanye serangan Roaming Mantis telah diamati mengirimkan varian terbaru dari malware seluler paten mereka yang dikenal sebagai Wroba untuk menyusup ke router Wi-Fi dan melakukan pembajakan Domain Name System (DNS).

Kaspersky, yang melakukan analisis artefak jahat, mengatakan fitur tersebut dirancang untuk menargetkan router Wi-Fi tertentu yang berlokasi di Korea Selatan.

Mantis, adalah operasi bermotivasi finansial jangka panjang yang memilih pengguna smartphone Android dengan malware yang mampu mencuri kredensial rekening bank serta memanen jenis informasi sensitif lainnya.

Serangan tersebut memanfaatkan pesan smishing sebagai vektor intrusi awal pilihan untuk mengirimkan URL jebakan yang menawarkan APK berbahaya atau mengalihkan korban ke halaman phishing berdasarkan sistem operasi yang dipasang di perangkat seluler.

beberapa kompromi juga memanfaatkan router Wi-Fi sebagai sarana untuk membawa pengguna yang tidak menaruh curiga ke halaman arahan palsu dengan menggunakan teknik yang disebut pembajakan DNS

“Pengguna dengan perangkat Android yang terinfeksi yang terhubung ke jaringan Wi-Fi gratis atau publik dapat menyebarkan malware ke perangkat lain di jaringan jika jaringan Wi-Fi yang mereka sambungkan rentan,” kata peneliti.

selengkapnya : thehackernews

Pengguna Italia Diperingatkan Tentang Serangan Malware yang Menargetkan Informasi Sensitif

January 11, 2023 by Mally

Kampanye malware baru telah diamati menargetkan Italia dengan email phishing yang dirancang untuk menyebarkan pencuri informasi pada sistem Windows yang disusupi.

Urutan infeksi multi-tahap dimulai dengan email phishing bertema faktur yang berisi tautan yang, ketika diklik, mengunduh file arsip ZIP yang dilindungi kata sandi, yang menyimpan dua file: file pintasan (.LNK) dan kumpulan (.BAT) mengajukan.

Terlepas dari file mana yang diluncurkan, rantai serangan tetap sama, karena membuka file pintasan mengambil skrip batch yang sama yang dirancanag untuk menginstal muatan pencuri informasi dari repositori GitHub. Ini dicapai dengan memanfaatkan biner PowerShell yang sah yang juga diambil dari Github

Setelah diinstal, malware berbasis C# mengumpulkan metadata sistem, dan informasi dari lusinan browser web (misalnya, cookie, bookmark, kartu kredit, unduhan, dan kredensial), serta nbeberapa dompet mata uang kripto, yang semuanya dikirim ke seorang aktor. domain-terkendali.

Untuk mengurangi serangan tersebut, organisasi disarankan untuk menerapkan “kontrol keamanan yang ketat dan visibilitas berlapis serta solusi keamanan untuk mengidentifikasi dan mendeteksi malware.”

sumber : thehackernews

Serangan Flipper Zero Phishing yang Menargetkan Komunitas Infosec

January 4, 2023 by Mally

Kampanye phishing baru memanfaatkan meningkatnya minat anggota komunitas keamanan terhadap Flipper Zero untuk mencuri informasi pribadi dan mata uang kripto mereka.

Flipper Zero adalah alat keamanan siber multi-fungsi portabel untuk penguji pena dan penggemar peretasan. Alat ini memungkinkan peneliti untuk mengutak-atik berbagai perangkat keras dengan mendukung emulasi RFID, kloning kunci akses digital, komunikasi radio, NFC, inframerah, Bluetooth, dan banyak lagi.

Pengembang meluncurkan perangkat setelah kampanye Kickstarter 2020 yang sangat sukses, yang melampaui target pendanaan sebesar $60.000 sebanyak 81 kali, setelah menerima $4.882.784 dalam janji.

Menargetkan peneliti keamanan siber
Aktor ancaman sekarang memanfaatkan minat besar pada Flipper Zero dan kurangnya ketersediaannya dengan membuat toko palsu yang berpura-pura menjualnya.

Kampanye phishing ini ditemukan oleh analis keamanan Dominic Alvieri, yang melihat tiga akun Twitter palsu dan dua toko Flipper Zero palsu.

Sekilas, salah satu akun Twitter palsu itu tampak memiliki pegangan yang sama dengan akun resmi Flipper Zero. Namun, pada kenyataannya, ia menggunakan huruf besar “I” pada namanya, yang terlihat seperti huruf “l” di Twitter.

Akun Twitter palsu (kiri) Akun Twitter asli (kanan)

Tujuannya adalah membawa pembeli ke halaman checkout phishing, di mana mereka diminta untuk memasukkan alamat email, nama lengkap, dan alamat pengiriman.

Para korban kemudian diberikan pilihan untuk membayar menggunakan cryptocurrency Ethereum atau Bitcoin dan diberitahu bahwa pesanan mereka akan diproses dalam waktu 15 menit setelah penyerahan.

Pelaku ancaman sejak itu beralih menggunakan faktur plisio.net untuk menerima pembayaran crypto, yang sekarang termasuk Litecoin. Namun, faktur tersebut tidak berfungsi, yang menyatakan bahwa pesanan telah kedaluwarsa.

sangat penting untuk mencari promosi ini dan toko yang mengklaim ketersediaan produk langsung dan hanya membeli dari toko resmi.

sumber : bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Phishing

Cookies Settings