Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Phishing

Phishing

Framework Otomatis Malware TgToxic Menargetkan Pengguna Android di Asia Tenggara

by

Trend Micro melihat kampanye malware yang sedang berlangsung, mereka menyebutnya sebagai TgToxic, menargetkan pengguna ponsel Android di Taiwan, Thailand, dan Indonesia sejak Juli 2022.

Malware tersebut mencuri kredensial dan aset pengguna seperti mata uang kripto dari dompet digital, serta uang dari aplikasi bank dan keuangan.

Aktor ancaman menyalahgunakan kerangka uji Easyclick yang sah untuk menulis skrip otomatisasi berbasis Javascript untuk fungsi seperti klik dan gerakan.

Tujuan kampanye berkelanjutan yang menargetkan pengguna Android adalah untuk mencuri aset korban dari aplikasi keuangan dan perbankan, melalui trojan perbankan yang kami beri nama TgToxic yang disematkan di beberapa aplikasi palsu.

Trend Micro mengamati aktivitas penipuan dan umpan phising. Pihaknya menemukan kampanye phishing media sosial dan infrastruktur jaringan yang menargetkan Taiwan, Indonesia, dan Thailand serupa. Malware tersebut tidak canggih tapi menarik.

Penyalahgunaan kerangka otomatisasi yang sah seperti Easyclick dan Autojs dapat mempermudah pengembangan malware canggih, terutama untuk trojan perbankan Android yang dapat menyalahgunakan layanan Aksesibilitas.

Selengkapnya: Trend Micro

Hacker Menggunakan Trik Baru Untuk Serangan Phishing

by

Penjahat dunia maya menggunakan email phishing yang dibuat secara unik untuk menginfeksi korban dengan malware — dan mereka melakukannya dengan bereksperimen dengan metode baru untuk mengirimkan muatan berbahaya.

Menurut analisis oleh Proofpoint, telah terjadi peningkatan penyerang dunia maya yang mencoba mengirimkan malware menggunakan dokumen OneNote, buku catatan digital yang ditandai dengan ekstensi .one yang merupakan bagian dari rangkaian aplikasi perkantoran Microsoft 365.

Email phishing, yang pertama kali dikirim selama Desember 2022, dengan jumlah yang meningkat secara signifikan pada Januari 2023, berusaha mengirimkan salah satu dari beberapa muatan malware yang berbeda, termasuk AsyncRAT, Redline, AgentTesla, dan Doubleback, yang semuanya dirancang untuk mencuri informasi sensitif dari korban, termasuk username dan password.

Peneliti Proofpoint juga mencatat bahwa kelompok penjahat dunia maya yang mereka lacak sebagai TA577 juga mulai memanfaatkan OneNote dalam kampanye untuk menghadirkan Qbot.

Para peneliti memperingatkan bahwa kemungkinan kampanye ini memiliki tingkat keberhasilan yang tinggi jika email tidak diblokir — dan lebih banyak kelompok ancaman dunia maya cenderung mengadopsi teknik ini untuk berhasil mengirimkan kampanye phishing dan malware.

“Proofpoint semakin mengamati lampiran OneNote digunakan untuk mengirimkan malware. Berdasarkan penelitian kami, kami yakin banyak pelaku ancaman menggunakan lampiran OneNote dalam upaya untuk melewati deteksi ancaman,” kata peneliti.

walaupun serangan phishing adalah alat yang efektif untuk penjahat dunia maya, jatuhnya korban tidak bisa dihindari. Proofpoint menyarankan bahwa organisasi harus menggunakan filter spam yang kuat yang mencegah pesan ini masuk ke kotak masuk orang, dan bahwa organisasi harus mendidik pengguna akhir tentang teknik ini, dan mendorong pengguna untuk melaporkan email dan lampiran yang mencurigakan.

Sumber : zdnet.com

Iklan Google Mendorong Malware ‘Tervirtualisasi’ yang Dibuat Untuk Penghindaran Antivirus

by

KoiVM adalah plugin untuk pelindung ConfuserEx .NET yang mengaburkan opcode program sehingga mesin virtual hanya memahaminya. Kemudian, saat diluncurkan, mesin virtual menerjemahkan opcode kembali ke bentuk aslinya sehingga aplikasi dapat dijalankan.

“Kerangka kerja virtualisasi seperti KoiVM mengaburkan executable dengan mengganti kode asli, seperti instruksi NET Common Intermediate Language (CIL), dengan kode virtualisasi yang hanya dipahami oleh kerangka kerja virtualisasi,” jelas laporan baru oleh SentinelLabs.

Menyalahgunakan iklan pencarian Google
Selama sebulan terakhir, para peneliti telah melihat peningkatan penyalahgunaan iklan pencarian Google untuk mendistribusikan berbagai malware, termasuk RedLine Stealer, Gozi/Ursnif, Vidar, pencuri Rhadamanthys, IcedID, Raccoon Stealer, dan banyak lagi.

Dalam kampanye yang sedang berlangsung yang dilihat oleh SentinelLabs, pelaku ancaman mendorong pemuat MalVirt dalam iklan yang berpura-pura untuk perangkat lunak Blender 3D.

Malicious Google Search results (Sentinel Labs)

Download yang ditawarkan oleh situs palsu ini menggunakan tanda tangan digital tidak valid yang meniru identitas Microsoft, Acer, DigiCert, Sectigo, dan AVG Technologies USA.

SentinelLabs says that in the samples it analyzed, it saw Formbook communicating with 17 domains, only one of which was the actual C2 server, and the rest serving as mere decoys to confuse network traffic monitoring tools.

Menggunakan banyak IP palsu dalam komunikasi malware (Sentinel Labs)

Ini adalah sistem baru pada jenis malware yang cukup lama, menunjukkan bahwa operatornya tertarik untuk memberdayakan dengan fitur-fitur baru yang akan membuatnya lebih baik untuk tetap tersembunyi dari alat keamanan dan analis

sumber : bleepingcomputer

Password Vault Bitwarden Ditargetkan Dalam Serangan Phishing Google Ads

by

Bitwarden dan password manager lainnya manjadi sasaran dalam kampanye phishing iklan Google untuk mencuri kredensial brankas kata sandi pengguna.

Saat perusahaan dan konsumen beralih menggunakan kata sandi unik di setiap situs, penting untuk menggunakan pengelola kata sandi untuk melacak semua kata sandi.

Namun, kecuali anda menggunakan pengelola kata sandi lokal, seperti KeePass, sebagian besar pengelola kata sandi ebrbasis cloud memungkinkan pengguna untuk mengakses kata sandi mereka melalui situs web dan aplikasi seluler.

Pengguna bitwarden yang ditargetkan oleh phishing iklan Google
Domain yang digunakan dalam iklan adalah ‘appbitwarden.com’ dan, saat diklik, mengarahkan pengguna ke situs ‘bitwardenlogin.com.’

Situs phishing Bitwarden dipromosikan melalui iklan Google
Sumber: Reddit

Halaman di ‘bitwardenlogin.com’ adalah replika persis dari halaman login Bitwarden Web Vault yang sah, seperti yang terlihat di bawah ini.

Bitwarden phishing page
Source: BleepingComputer

Dalam pengujian kami, halaman phishing akan menerima kredensial dan, setelah dikirimkan, mengarahkan pengguna ke halaman login Bitwarden yang sah.

Namun, pengujian awal kami menggunakan kredensial palsu, dan halaman ditutup saat kami mulai menguji dengan kredensial login pengujian Bitwarden yang sebenarnya.

Oleh karena itu, kami tidak dapat melihat apakah halaman phishing juga akan mencoba mencuri cookie sesi yang didukung MFA (token autentikasi) seperti banyak halaman phishing tingkat lanjut.

Melindungi brankas kata sandi Anda
Dalam hal melindungi brankas kata sandi Anda dari serangan phishing, garis pertahanan pertama selalu mengonfirmasi bahwa Anda memasukkan kredensial di situs web yang benar.

Namun, jika Anda salah memasukkan kredensial di situs phishing, Anda harus selalu mengonfigurasi autentikasi multifaktor dengan pengelola kata sandi.

Serangan phishing AiTM adalah saat pelaku ancaman menggunakan perangkat khusus seperti Evilginx2, Modlishka, dan Muraena untuk membuat halaman arahan phishing yang mewakili formulir masuk yang sah di layanan yang ditargetkan.

Dengan menggunakan metode ini, pengunjung halaman phishing akan melihat formulir masuk layanan yang sah, seperti Microsoft 365. Saat mereka memasukkan kredensial dan kode verifikasi MFA, informasi ini juga diteruskan ke situs yang sebenarnya.

Namun, begitu pengguna masuk dan situs yang sah mengirimkan cookie sesi yang didukung MFA, perangkat phishing dapat mencuri token ini untuk digunakan nanti.

phishing attack flow
The flow of an AiTM phishing attack
Source: BleepingComputer

Sayangnya, hal ini membawa kita kembali ke garis pertahanan pertama — pastikan Anda hanya memasukkan kredensial Anda di situs web atau aplikasi seluler yang sah.

selengkapnya : bleepingcomputer

SEABORGIUM dan TA453 Melanjutkan Kampanye Spear-phishing masing-masing

by Leave a Comment

Pelaku SEABORGIUM (Callisto Group/TA446/COLDRIVER/TAG-53) yang berbasis di Rusia dan TA453 (APT42/Charming Kitten/Yellow Garuda/ITG18) yang berbasis di Iran terus berhasil menggunakan serangan spear-phishing terhadap organisasi dan individu yang ditargetkan di Inggris , dan bidang minat lainnya, untuk kegiatan pengumpulan informasi.

Menggunakan sumber daya sumber terbuka untuk melakukan pengintaian, termasuk media sosial dan platform jejaring profesional, SEABORGIUM dan TA453 mengidentifikasi pengait untuk melibatkan target mereka. Mereka meluangkan waktu untuk meneliti minat mereka dan mengidentifikasi kontak sosial atau profesional dunia nyata mereka.

Mereka juga telah membuat profil media sosial atau jaringan palsu yang menyamar sebagai pakar yang dihormati, dan menggunakan undangan konferensi atau acara yang seharusnya, serta pendekatan palsu dari jurnalis.

Pusat Intelijen Ancaman Microsoft (MSTIC) menyediakan daftar Indikator Kompromi (IOC) yang diamati di blog SEABORGIUM mereka, meskipun ini tidak boleh dianggap lengkap.

Meskipun spear-phishing adalah teknik mapan yang digunakan oleh banyak aktor, SEABORGIUM dan TA453 terus menggunakannya dengan sukses dan mengembangkan teknik tersebut untuk mempertahankan kesuksesan mereka.

Individu dan organisasi dari sektor yang ditargetkan sebelumnya harus waspada terhadap teknik di atas. Di Inggris Raya, laporkan aktivitas sesuai dengan yang dijelaskan di atas ke NCSC.

sumber : National Cyber Security Centre

Roaming Mantis Menyebarkan Malware Seluler Yang Membajak Pengaturan DNS Router Wi-Fi

by

Pelaku ancaman yang terkait dengan kampanye serangan Roaming Mantis telah diamati mengirimkan varian terbaru dari malware seluler paten mereka yang dikenal sebagai Wroba untuk menyusup ke router Wi-Fi dan melakukan pembajakan Domain Name System (DNS).

Kaspersky, yang melakukan analisis artefak jahat, mengatakan fitur tersebut dirancang untuk menargetkan router Wi-Fi tertentu yang berlokasi di Korea Selatan.

Mantis, adalah operasi bermotivasi finansial jangka panjang yang memilih pengguna smartphone Android dengan malware yang mampu mencuri kredensial rekening bank serta memanen jenis informasi sensitif lainnya.

Serangan tersebut memanfaatkan pesan smishing sebagai vektor intrusi awal pilihan untuk mengirimkan URL jebakan yang menawarkan APK berbahaya atau mengalihkan korban ke halaman phishing berdasarkan sistem operasi yang dipasang di perangkat seluler.

beberapa kompromi juga memanfaatkan router Wi-Fi sebagai sarana untuk membawa pengguna yang tidak menaruh curiga ke halaman arahan palsu dengan menggunakan teknik yang disebut pembajakan DNS

“Pengguna dengan perangkat Android yang terinfeksi yang terhubung ke jaringan Wi-Fi gratis atau publik dapat menyebarkan malware ke perangkat lain di jaringan jika jaringan Wi-Fi yang mereka sambungkan rentan,” kata peneliti.

selengkapnya : thehackernews

Serangan ‘Blank Image’ baru menyembunyikan skrip phishing di file SVG

by

Teknik phishing yang tidak biasa telah diamati di alam liar, menyembunyikan file SVG kosong di dalam lampiran HTML yang berpura-pura menjadi dokumen DocuSign.

Peneliti keamanan di penyedia keamanan email Avanan menamakannya “Blank Image.” Mereka menjelaskan bahwa serangan tersebut memungkinkan pelaku phishing untuk menghindari deteksi URL pengalihan.

Email phishing yang dikirim ke calon korban dimaksudkan sebagai dokumen dari DocuSign, merek yang banyak disalahgunakan karena banyak penerima mengetahuinya dari pekerjaan kantor mereka.

File HTML populer di kalangan pelaku phishing karena biasanya diabaikan oleh produk keamanan email sehingga memiliki peluang lebih tinggi untuk mencapai kotak masuk target.

Jika korban mengklik tombol “Lihat Dokumen Lengkap”, mereka akan dibawa ke halaman web DocuSign asli. Namun, jika mereka mencoba membuka lampiran HTML, serangan ‘Gambar Kosong’ diaktifkan.

Tidak seperti gambar raster, seperti JPG dan PNG, SVG adalah gambar vektor berbasis XML dan dapat berisi tag skrip HTML. Saat dokumen HTML menampilkan gambar SVG melalui tag atau