Phishing

Penyerang Melewati Coinbase dan MetaMask 2FA Melalui TeamViewer, Obrolan Dukungan Palsu

November 22, 2022 by Mally

Kampanye phishing pencuri crypto sedang dilakukan untuk melewati otentikasi multi-faktor dan mendapatkan akses ke akun di Coinbase, MetaMask, Crypto.com, dan KuCoin dan mencuri cryptocurrency.

Pelaku ancaman menyalahgunakan layanan Microsoft Azure Web Apps untuk menghosting jaringan situs phishing dan memikat korban melalui pesan phishing yang menyamar sebagai permintaan konfirmasi transaksi palsu atau deteksi aktivitas mencurigakan.

email phishing yang menyamar sebagai Coinbase
Sumber: PIXM

Saat target mengunjungi situs phishing, mereka disuguhi jendela obrolan yang seharusnya untuk ‘dukungan pelanggan’, yang dikendalikan oleh scammer yang mengarahkan pengunjung melalui proses penipuan multi-langkah.

Melewati 2FA
Fase pertama serangan di situs phishing pertukaran crypto palsu melibatkan formulir login palsu diikuti dengan prompt otentikasi dua faktor.

Terlepas dari kredensial yang dimasukkan selama tahap ini, kredensial tersebut masih akan dicuri oleh pelaku ancaman. Halaman tersebut kemudian melanjutkan ke prompt yang meminta kode 2FA yang diperlukan untuk mengakses akun.

Langkah 2FA dari situs phishing
Sumber: PIXM

Penyerang mencoba kredensial yang dimasukkan di situs web yang sah, memicu pengiriman kode 2FA ke korban, yang kemudian memasukkan 2FA yang valid di situs phishing.

Mengobrol dengan penipu
ini dilakukan dengan menampilkan pesan kesalahan palsu yang menyatakan bahwa akun telah ditangguhkan karena aktivitas yang mencurigakan dan meminta pengunjung menghubingi dukungan untuk menyelesaikan masalah tersebut

Menghasilkan kesalahan login palsu
Sumber: PIXM

“Mereka akan menanyakan nama pengguna, kata sandi, dan kode autentikasi 2 faktor kepada pengguna secara langsung di obrolan,” jelas laporan PIXM yang baru.

“Penjahat kemudian akan membawa ini langsung ke browser di mesin mereka dan kembali mencoba mengakses akun pengguna.”

Untuk akun yang berhasil dilanggar, korban masih berhubungan dengan dukungan pelanggan jika mereka perlu mengkonfirmasi transfer dana sementara para penjahat mengosongkan dompet mereka.

Tipuan Jarak Jauh
Selanjutnya, penipu meminta korban untuk masuk ke dompet cryptocurrency atau akun pertukaran mereka, dan saat mereka melakukannya, pelaku ancaman menambahkan karakter acak di bidang kata sandi untuk menyebabkan kegagalan masuk.

Penyerang kemudian meminta korban untuk menempelkan kata sandi pada obrolan TeamViewer, menggunakan kata sandi (minus karakter acak) untuk masuk ke perangkat mereka, dan kemudian merebut tautan konfirmasi perangkat yang dikirim ke korban untuk mengautentikasi perangkat mereka sebagai tepercaya.

Untuk menghindari scammed dalam serangan seperti ini, penting untuk selalu memperhatikan alamat email pengirim dan URL yang dikirim.

Jika URL ini tidak cocok dengan platform mata uang kripto, Anda harus segera menganggap email tersebut mencurigakan dan menghapusnya.

sumber : bleeping computer

Malware Infostealer Aurora Semakin Diadopsi Oleh Cybergangs

November 22, 2022 by Mally

Cybercriminals beralih ke pencuri informasi berbasis Go-based bernama ‘Aurora’ untuk mencuri informasi sensitif dari browser dan aplikasi cryptocurrency, mengekstraksi data langsung dari disk, dan memuat muatan tambahan.

Latar belakang peningkatan popularitas Aurora yang tiba-tiba ini adalah tingkat deteksi yang rendah dan status yang tidak diketahui secara umum, membuat infeksinya cenderung tidak terdeteksi.

Aurora menawarkan fitur pencurian data tingkat lanjut dan mungkin stabilitas infrastruktur dan fungsional.

Sejarah Aurora
Aurora pertama kali diumumkan pada April 2022 di forum berbahasa Rusia, diiklankan sebagai proyek botnet dengan fitur mencuri informasi dan akses jarak jauh yang canggih.

Namun, pada akhir Agustus 2022, SEKOIA menyadari bahwa Aurora diiklankan sebagai pencuri, sehingga proyek tersebut mengabaikan tujuannya untuk membuat alat multifungsi.

Fitur utama yang tercantum dalam postingan promosi adalah:

Kompilasi polimorfik yang tidak memerlukan pembungkus crypter
Dekripsi data sisi server
Menargetkan lebih dari 40 dompet cryptocurrency
Pengurangan frase seed otomatis untuk MetaMask
Reverse lookup untuk pengumpulan kata sandi
Berjalan pada soket TCP
Berkomunikasi dengan C2 hanya sekali, selama pemeriksaan lisensi
Muatan kecil yang sepenuhnya asli (4,2 MB) tidak memerlukan ketergantungan

Fitur-fitur di atas diarahkan pada kemampuan sembunyi-sembunyi tingkat tinggi, yang merupakan keunggulan utama Aurora dibandingkan pencuri info populer lainnya.

Biaya untuk menyewa malware ditetapkan menjadi $250 per bulan atau $1.500 untuk lisensi seumur hidup.

Analisis Pencuri
Setelah eksekusi, Aurora menjalankan beberapa perintah melalui WMIC untuk mengumpulkan informasi host dasar, mengambil gambar desktop, dan mengirimkan semuanya ke C2.

Perintah yang dijalankan Aurora saat diluncurkan
Sumber: SEKOIA

Selanjutnya, malware menargetkan data yang disimpan di beberapa browser (cookie, kata sandi, riwayat, kartu kredit), ekstensi browser cryptocurrency, aplikasi desktop dompet cryptocurrency, dan Telegram.

Aplikasi dompet desktop yang ditargetkan termasuk Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda, dan Jaxx Liberty.

Para analis mengamati pemuat malware Aurora yang menggunakan “net_http_Get” untuk menjatuhkan muatan baru ke sistem file menggunakan nama acak dan kemudian menggunakan PowerShell untuk menjalankannya.

Distribusi saat ini
Saat ini, Aurora didistribusikan kepada para korban melalui berbagai saluran, yang diharapkan dengan melibatkan tujuh operator berbeda.

SEKOIA mengetahui bahwa situs phishing mata uang kripto dipromosikan melalui email phishing dan video YouTube yang tertaut ke perangkat lunak palsu dan situs katalog curang.

Sumber : bleeping computer

Microsoft Memperingatkan Peretas Menggunakan Iklan Google untuk Mendistribusikan Royal Ransomware

November 21, 2022 by Mally

Kluster aktivitas ancaman yang sedang berkembang telah ditemukan menggunakan Google Ads di salah satu kampanyenya untuk mendistribusikan berbagai muatan pasca-kompromi, termasuk ransomware Royal yang baru ditemukan.

Microsoft, yang melihat metode pengiriman malware yang diperbarui pada akhir Oktober 2022, melacak grup tersebut dengan nama DEV-0569.

Pelaku ancaman diketahui mengandalkan malvertising untuk mengarahkan korban yang tidak menaruh curiga ke tautan pengunduh malware yang berperan sebagai penginstal perangkat lunak untuk aplikasi yang sah seperti Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams, dan Zoom.

Pengunduh malware, jenis yang disebut BATLOADER, adalah penetes yang berfungsi sebagai saluran untuk mendistribusikan muatan tahap berikutnya. Telah diamati untuk berbagi tumpang tindih dengan malware lain yang disebut ZLoader.

Analisis BATLOADER baru-baru ini oleh eSentire dan VMware menyebut siluman dan kegigihan malware, selain penggunaan peracunan optimisasi mesin pencari (SEO) untuk memikat pengguna mengunduh malware dari situs web yang disusupi atau domain yang dibuat penyerang.

Alternatifnya, tautan phishing dibagikan melalui email spam, halaman forum palsu, komentar blog, dan bahkan formulir kontak yang ada di situs web organisasi yang ditargetkan.

Penggunaan Google Ads untuk mengirimkan BATLOADER secara selektif menandai diversifikasi vektor distribusi DEV-0569, memungkinkannya menjangkau lebih banyak target dan mengirimkan muatan malware, kata perusahaan tersebut.

Memposisikan grup untuk berfungsi sebagai broker akses awal untuk operasi ransomware lainnya, bergabung dengan malware seperti Emotet, IcedID, Qakbot.

“Karena skema phishing DEV-0569 menyalahgunakan layanan yang sah, organisasi juga dapat memanfaatkan aturan aliran email untuk menangkap kata kunci yang mencurigakan atau meninjau pengecualian yang luas, seperti yang terkait dengan rentang IP dan daftar izin tingkat domain,” kata Microsoft.

Sumber : the hacker news

Peretas ‘Mustang Panda’ Cina Secara Aktif Menargetkan Pemerintah di Seluruh Dunia

November 21, 2022 by Mally

Seorang aktor ancaman gigih terkenal yang dikenal sebagai Mustang Panda telah dikaitkan dengan serentetan serangan spear-phishing yang menargetkan sektor pemerintah, pendidikan, dan penelitian di seluruh dunia.

Sasaran utama intrusi dari Mei hingga Oktober 2022 termasuk negara-negara di kawasan Asia Pasifik seperti Myanmar, Australia, Filipina, Jepang, dan Taiwan, kata perusahaan keamanan siber Trend Micro dalam laporan Jumat.

Dalam beberapa kasus, pesan phishing dikirim dari akun email yang sebelumnya disusupi milik entitas tertentu, menunjukkan upaya yang dilakukan oleh aktor Mustang Panda untuk meningkatkan kemungkinan keberhasilan kampanyenya.

File arsip, ketika dibuka, dirancang untuk menampilkan dokumen iming-iming kepada korban, sambil secara diam-diam memuat malware di latar belakang melalui metode yang disebut sebagai pemuatan samping DLL.

Rantai serangan pada akhirnya mengarah pada pengiriman tiga keluarga malware – PUBLOAD, TONEINS, dan TONESHELL – yang mampu mengunduh muatan tahap berikutnya dan terbang di bawah radar.

TONESHELL, pintu belakang utama yang digunakan dalam serangan, diinstal melalui TONEINS dan merupakan pemuat kode shell, dengan versi awal implan terdeteksi pada September 2021, menunjukkan upaya berkelanjutan dari pihak pelaku ancaman untuk memperbarui persenjataannya.

“Begitu kelompok tersebut menyusup ke sistem korban yang ditargetkan, dokumen sensitif yang dicuri dapat disalahgunakan sebagai vektor masuk untuk gelombang penyusupan berikutnya. Strategi ini sebagian besar memperluas cakupan yang terpengaruh di wilayah yang terlibat.”

sumber : the hacker news

QBot Phishing Menyalahgunakan Windows untuk Menginfeksi Perangkat

November 18, 2022 by Mally

Pembajakan DLL adalah metode serangan umum yang memanfaatkan cara Dynamic Link Libraries (DLL) dimuat di Windows.

Ketika Windows executable diluncurkan, itu akan mencari semua dependensi DLL di jalur pencarian Windows. Namun, jika pelaku ancaman membuat DLL berbahaya menggunakan nama yang sama dengan salah satu DLL yang diperlukan program dan menyimpannya di folder yang sama dengan file yang dapat dieksekusi, program akan memuat DLL berbahaya tersebut dan menginfeksi komputer.

QBot, juga dikenal sebagai Qakbot, adalah malware Windows yang dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware berfitur lengkap. Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, juga menggunakan malware untuk mendapatkan akses awal ke jaringan perusahaan.

Menyalahgunakan Panel Kontrol Windows
Dalam kampanye phishing yang dilihat oleh ProxyLife, pelaku ancaman menggunakan email berantai balasan yang dicuri untuk mendistribusikan lampiran file HTML yang mengunduh arsip ZIP yang dilindungi kata sandi dengan file ISO di dalamnya.

Email phishing QBot dalam kampanye baru
Sumber: BleepingComputer

File HTML, bernama mirip dengan ‘RNP_[angka]_[angka].html, menampilkan gambar yang berpura-pura menjadi Google Drive dan kata sandi untuk arsip ZIP yang diunduh secara otomatis, seperti yang ditunjukkan di bawah ini.

Pintasan Windows (.LNK) yang disertakan dalam ISO menggunakan ikon yang mencoba membuatnya terlihat seperti folder. Namun, ketika pengguna mencoba untuk membuka folder palsu ini, pintasan meluncurkan Panel Kontrol Windows 10 yang dapat dieksekusi, control.exe, yang disimpan dalam file ISO, seperti yang ditunjukkan di bawah ini.

Karena pelaku ancaman membundel DLL edputil.dll berbahaya di folder yang sama dengan control.exe, DLL berbahaya tersebut akan dimuat sebagai gantinya.

Setelah dimuat, DLL edputil.dll berbahaya menginfeksi perangkat dengan malware QBot (msoffice32.dll) menggunakan perintah regsvr32.exe msoffice32.dll.

Dengan menginstal QBot melalui program tepercaya seperti Panel Kontrol Windows 10, perangkat lunak keamanan mungkin tidak menandai malware sebagai berbahaya, memungkinkannya menghindari deteksi.

QBot sekarang akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing dan mengunduh muatan tambahan seperti Brute Ratel atau Cobalt Strike.

sumber : bleeping computer

42.000 Situs Digunakan Untuk Skema Peniruan Identitas Merek

November 15, 2022 by Mally

Grup nirlaba jahat bernama ‘Fangxiao’ telah membuat jaringan besar-besaran dengan lebih dari 42.000 domain web yang menyamar sebagai merek terkenal untuk mengarahkan pengguna ke situs yang mempromosikan aplikasi adware, situs kencan, atau hadiah ‘gratis’.

Domain penipu digunakan sebagai bagian dari apa yang tampaknya merupakan skema penghasil lalu lintas besar-besaran yang menghasilkan pendapatan iklan untuk situs Fangxiao sendiri atau lebih banyak pengunjung untuk ‘pelanggan’ yang membeli lalu lintas dari grup.

Ancaman berbasis di China. Mereka telah beroperasi sejak 2017, memalsukan lebih dari 400 merek terkenal dari sektor ritel, perbankan, perjalanan, farmasi, transportasi, keuangan, dan energi.

faktor keuntungan
Untuk menghasilkan keramaian besar bagi pelanggan dan situsnya sendiri, Fangxiao mendaftarkan sekitar 300 domain peniruan merek baru setiap hari.

Sebagian besar situs ini menggunakan TLD “.top”, diikuti oleh “.cn”, “.cyou”, “.xyz”, “.work”, dan “.tech”. Situs tersebut tersembunyi di balik Cloudflare dan terdaftar melalui GoDaddy, Namecheap, dan Wix.

Pengguna tiba di situs ini melalui iklan seluler atau setelah menerima pesan WhatsApp yang berisi tautan, biasanya membuat penawaran khusus atau memberi tahu penerima bahwa mereka memenangkan sesuatu.

Dalam beberapa kasus, menyelesaikan survei mengarah pada pengunduhan aplikasi, yang diminta oleh korban untuk diluncurkan dan tetap terbuka setidaknya selama tiga puluh detik, kemungkinan akan memberikan cukup waktu untuk mendaftarkan pengguna baru dari rujukan Fangxiao.

Tujuan lain yang diamati dari kampanye Fangxiao adalah halaman Play Store dari aplikasi ‘App Booster Lite – RAM Booster’, penguat kinerja untuk perangkat Android dengan lebih dari 10 juta unduhan.

Investigasi Cyjax menghasilkan beberapa indikasi bahwa Fangxiao adalah operator Cina, seperti menggunakan bahasa Mandarin di salah satu panel kontrol yang terbuka.

sumber : bleeping computer

Layanan Phishing Robin Banks untuk Penjahat Cyber Kembali dengan Server Rusia

November 8, 2022 by Mally

Platform phishing-as-a-service (PhaaS) yang dikenal sebagai Robin Banks telah memindahkan infrastruktur serangannya ke DDoS-Guard, penyedia layanan hosting antipeluru Rusia.

Robin Banks pertama kali didokumentasikan pada Juli 2022 ketika kemampuan platform untuk menawarkan kit phishing siap pakai kepada pelaku kriminal terungkap, sehingga memungkinkan untuk mencuri informasi keuangan pelanggan bank populer dan layanan online lainnya.

Keputusan Cloudflare untuk memblokir infrastrukturnya setelah pengungkapan publik telah mendorong aktor Robin Banks untuk memindahkan frontend dan backendnya ke DDoS-Guard,

pembaruan baru yang diperkenalkan adalah fungsi mencuri cookie, dalam apa yang dilihat sebagai upaya untuk melayani klien yang lebih luas seperti kelompok ancaman persisten tingkat lanjut (APT) yang ingin berkompromi dengan lingkungan perusahaan tertentu. Ini ditawarkan seharga $ 1.500 per bulan.

Ini dicapai dengan menggunakan kembali kode dari evilginx2,

Robin Banks juga dikatakan telah memasukkan langkah keamanan baru yang mengharuskan pelanggannya mengaktifkan otentikasi dua faktor (2FA)

sumber : the hacker news

Karena Twitter mengenakan biaya $8, email phishing menargetkan akun terverifikasi

November 8, 2022 by Mally

Awal pekan ini, Elon Musk menunjuk dirinya sebagai CEO Twitter dan mengumumkan rencana untuk mengubah proses verifikasi Twitter. Sebagai bagian dari tinjauan ini, Twitter awalnya mengusulkan untuk mulai membebankan biaya bulanan $20 kepada pengguna yang diverifikasi. Kemudian, Musk menyatakan biayanya akan diturunkan menjadi $8.

Bersamaan dengan itu kampanye phishing baru yang muncul dengan aktor ancaman yang sekarang menargetkan akun terverifikasi.

Seperti banyak email phishing, email ini menyampaikan rasa urgensi yang salah, mendesak pengguna untuk masuk ke akun Twitter mereka atau berisiko “penangguhan”.

Email-email ini berasal dari server situs web dan blog yang diretas yang mungkin, misalnya, menghosting versi WordPress yang sudah ketinggalan zaman atau menjalankan plugin yang tidak ditambal dan rentan.

Mengklik tautan membawa pengguna ke halaman web phishing di mana aktor ancaman menyalahgunakan pengumuman biaya bulanan $8 dari tweet Musk:

Alur kerja phishing mengumpulkan nama pengguna, kata sandi Twitter pengguna, dan melanjutkan untuk mengirimi mereka kode autentikasi dua faktor melalui SMS.

Kampanye phishing lain yang mengacu pada struktur biaya baru Twitter (BleepingComputer)

Email ini menggabungkan kata-kata yang identik dengan halaman phishing itu sendiri dan memiliki tampilan dan nuansa keseluruhan yang lebih mirip dengan branding Twitter.

Lencana biru Twitter dengan tanda centang secara tradisional ditawarkan ke akun terverifikasi politisi, selebriti, bisnis, tokoh masyarakat, influencer, organisasi berita, dan jurnalis.

Kelangkaan akun lencana biru di platform, dibandingkan dengan sebagian besar akun Twitter yang tidak diverifikasi, telah menyebabkan “centang biru” dianggap oleh para tweeter sebagai simbol kesombongan dan status.

Pelaku ancaman juga berulang kali menargetkan pengguna terverifikasi melalui phishing, dan terkadang meretas akun lencana biru untuk mendorong penipuan kripto.

Dalam penipuan lain, pelaku ancaman telah meretas akun terverifikasi untuk menyamar sebagai orang lain untuk menyesatkan publik atau untuk mengirim DM palsu ‘penangguhan akun’ kepada pengguna Twitter.

Namun, selain sebagai persepsi “simbol status” yang dirasakan oleh beberapa orang, lencana biru terutama dimaksudkan untuk memisahkan akun asli dan otentik dari orang-orang terkenal dari akun peniru dan parodi yang dibuat oleh pihak ketiga—setidaknya secara teori.

Oleh karena itu verifikasi dimaksudkan untuk membatasi informasi yang salah dalam arti bahwa pengguna dapat melihat tweet yang berasal dari akun terverifikasi adalah asli dan tidak berasal dari seseorang yang menyamar sebagai figur publik.

Namun, dalam praktiknya, hasil dapat bervariasi karena akun ‘terverifikasi’ yang diretas dapat terus mempertahankan lencana biru meskipun peretas mengubah nama, bio, dan gambar profil di dalamnya, sehingga membuat keberadaan lencana menjadi sia-sia sejak awal.

Salah satu cara untuk mencapainya adalah penggunaan label khusus di akun Twitter politisi dan entitas afiliasi negara, yang kemudian menciptakan beberapa perbedaan antara akun otentik tokoh masyarakat dan akun berlencana biru berbayar.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Phishing

Cookies Settings