Phishing

130 Github Repositori Dicuri dari Dropbox oleh Hacker

November 2, 2022 by Mally

Dropbox mengungkapkan pelanggaran keamanan setelah pelaku ancaman mencuri 130 repositori kode setelah mendapatkan akses ke salah satu akun GitHub-nya menggunakan kredensial karyawan yang dicuri dalam serangan phishing.

Perusahaan menemukan penyerangan akun pada 14 Oktober ketika GitHub memberi tahunya tentang aktivitas mencurigakan yang dimulai sehari sebelum peringatan dikirim.

“Kode dan data di sekitarnya juga mencakup beberapa ribu nama dan alamat email milik karyawan Dropbox, pelanggan saat ini dan sebelumnya, prospek penjualan, dan vendor (untuk konteksnya, Dropbox memiliki lebih dari 700 juta pengguna terdaftar).”

serangan phishing yang menargetkan beberapa karyawan Dropbox menggunakan email yang meniru platform integrasi dan pengiriman berkelanjutan CircleCI dan mengarahkan mereka ke halaman arahan phishing di mana mereka diminta untuk memasukkan nama pengguna dan kata sandi GitHub mereka.

karyawan juga diminta untuk “menggunakan kunci otentikasi perangkat keras mereka untuk memberikan One Time Password (OTP).”

Email phishing yang meniru CircleCI (BleepingComputer)

130 kode repositori telah dicuri saat pemberantasan

penyerang memperoleh akses ke salah satu organisasi GitHub Dropbox dan mencuri 130 repositori kodenya.

“Yang penting, mereka tidak menyertakan kode untuk aplikasi atau infrastruktur inti kami. Akses ke repositori itu bahkan lebih terbatas dan dikontrol dengan ketat.”

Dropbox menambahkan bahwa penyerang tidak pernah memiliki akses ke akun pelanggan, kata sandi, atau informasi pembayaran, dan aplikasi serta infrastruktur intinya tidak terpengaruh akibat pelanggaran ini.

Menanggapi insiden tersebut, Dropbox berupaya mengamankan seluruh lingkungannya menggunakan WebAuthn dan token perangkat keras atau faktor biometrik.

Pada bulan September, pengguna GitHub lainnya juga menjadi sasaran dalam serangan serupa yang meniru platform CircleCI dan meminta mereka untuk masuk ke akun GitHub mereka untuk menerima persyaratan pengguna dan pembaruan kebijakan privasi untuk tetap menggunakan layanan.

“Sementara GitHub sendiri tidak terpengaruh, kampanye tersebut telah berdampak pada banyak organisasi korban,” kata GitHub dalam sebuah nasihat saat itu.

GitHub mengatakan mendeteksi eksfiltrasi konten dari repositori pribadi segera setelah kompromi, dengan pelaku ancaman menggunakan VPN atau layanan proxy untuk membuat pelacakan lebih sulit.

sumber : bleeping computer

Kekacauan verifikasi Twitter sekarang menjadi masalah keamanan siber

November 1, 2022 by Mally

Penjahat dunia maya sudah memanfaatkan kekacauan verifikasi Twitter yang sedang berlangsung dengan mengirimkan email phishing yang dirancang untuk mencuri kata sandi pengguna tanpa disadari.

Kampanye email phishing mencoba untuk memikat pengguna Twitter agar memposting nama pengguna dan kata sandi mereka di situs web penyerang yang disamarkan sebagai formulir bantuan Twitter.

Email dikirim dari akun Gmail, dan tautan ke Google Documents dengan tautan lain ke Situs Google, yang memungkinkan pengguna meng-host konten web. Ini kemungkinan akan menciptakan beberapa lapisan kebingungan untuk mempersulit Google mendeteksi penyalahgunaan menggunakan alat pemindaian otomatisnya.

Tetapi halaman itu sendiri berisi bingkai yang disematkan dari situs lain, yang dihosting di host web Rusia Beget, yang meminta pegangan Twitter, kata sandi, dan nomor telepon pengguna cukup untuk mengkompromikan akun yang tidak menggunakan otentikasi dua faktor yang lebih kuat.

Google menghapus situs phishing beberapa saat setelah TechCrunch memberi tahu perusahaan.

Tangkapan layar email phishing yang dirancang untuk mencuri kredensial pengguna Twitter. Kredit Gambar: TechCrunch.

Kampanye ini tampak kasar, kemungkinan karena dengan cepat disatukan untuk memanfaatkan berita terbaru bahwa Twitter akan segera membebankan biaya bulanan kepada pengguna untuk fitur premium, termasuk verifikasi, serta kemungkinan yang dilaporkan untuk menghilangkan lencana terverifikasi dari pengguna Twitter yang tidak membayar.

Twitter belum membuat keputusan publik tentang masa depan program verifikasi, yang diluncurkan pada tahun 2009 untuk mengkonfirmasi keaslian akun Twitter tertentu, seperti tokoh masyarakat, selebriti dan pemerintah. Tapi itu jelas tidak menghentikan penjahat dunia maya bahkan di ujung yang berketerampilan lebih rendah dari mengambil keuntungan dari kurangnya informasi yang jelas dari Twitter sejak menjadi pribadi minggu ini setelah penutupan pengambilalihan $ 44 miliar Elon Musk.

Sumber: TechCrunch

Pengawas data Inggris mendenda konstruksi biz £ 4,4 juta untuk kebersihan infosec yang buruk

October 26, 2022 by Mally

Pengawas data Inggris telah menampar bisnis konstruksi Interserve Group dengan potensi denda £ 4,4 juta ($ 4,98 juta) setelah serangan phishing yang berhasil oleh penjahat mengekspos data pribadi hingga 113.000 karyawan.

Kantor Komisaris Informasi mengatakan perusahaan yang berbasis di Berkshire gagal menerapkan kebersihan keamanan yang baik, peringatan yang hilang dan banyak lagi, dan karenanya dianggap telah melanggar undang-undang perlindungan data.

Dalam kasus klasik, salah satu anggota staf Interserve meneruskan email yang berisi kejahatan tersembunyi kepada seorang rekan, yang kemudian membukanya dan mengunduh konten, memungkinkan malware untuk melakukan tugasnya.

Anti-virus yang digunakan mengkarantina malware dan mengirimkan peringatan, tetapi Interserve “gagal menyelidiki aktivitas mencurigakan secara menyeluruh,” dan melakukan hal itu mungkin mengungkapkan bahwa pelaku jahat telah memperoleh akses ke sistem perusahaan.

Penjahat kemudian mengkompromikan 283 sistem dan 16 akun, dan menghapus instalan perangkat lunak AV. “Data pribadi hingga 113.000 karyawan saat ini dan mantan karyawan dienkripsi dan tidak tersedia,” kata ICO dalam sebuah pernyataan.

Penyelidikan selanjutnya oleh regulator data menemukan sejumlah kesalahan yang dibuat oleh Interserve termasuk tidak menanggapi peringatan awal dari aktivitas yang mencurigakan, menggunakan sistem dan protokol perangkat lunak yang sudah ketinggalan zaman, kurangnya pelatihan yang sesuai untuk staf, dan penilaian risiko yang tidak memadai. Ini, klaim ICO, pada akhirnya membuat bisnis rentan terhadap penjahat dunia maya.

ICO telah melayani Interserve dengan pemberitahuan niat dokumen hukum yang datang sebelum denda. Denda sementara adalah £4,4 juta dan setelah mempertimbangkan perwakilan dari Interserve, ICO memutuskan untuk tidak mengabaikannya.

John Edwards, Komisaris Informasi Inggris, mengatakan dalam sebuah pernyataan:

“Bisnis risiko dunia maya terbesar yang dihadapi bukan dari peretas di luar perusahaan mereka, tetapi dari rasa puas diri di dalam perusahaan mereka. Jika bisnis Anda tidak secara teratur memantau aktivitas mencurigakan dalam sistemnya dan gagal bertindak berdasarkan peringatan, atau tidak memperbarui perangkat lunak dan gagal memberikan pelatihan kepada staf, Anda dapat mengharapkan denda serupa dari kantor saya.

“Membiarkan pintu terbuka bagi penyerang cyber tidak pernah dapat diterima, terutama ketika berurusan dengan informasi paling sensitif dari orang-orang. Pelanggaran data ini berpotensi menyebabkan kerugian nyata bagi staf Interserve, karena membuat mereka rentan terhadap kemungkinan pencurian identitas dan penipuan keuangan. ”

Sumber: The Register

Ekstensi Chrome dengan 1 juta pemasangan, membajak target browser

October 25, 2022 by Mally

Para peneliti di Guardio Labs telah menemukan kampanye malvertizing baru yang mendorong ekstensi Google Chrome yang membajak pencarian dan memasukkan tautan afiliasi ke dalam laman web.

Karena semua ekstensi ini menawarkan opsi penyesuaian warna dan tiba di mesin korban tanpa kode berbahaya untuk menghindari deteksi, para analis menamakan kampanye itu “Warna Tidak Aktif.”

Menurut laporan Guardio, pada pertengahan Oktober 2022, 30 varian ekstensi browser tersedia di toko web Chrome dan Edge, mengumpulkan lebih dari satu juta pemasangan.

30 pengaya yang ada di toko web hingga saat ini
(*Guardio*)

Infeksi dimulai dengan iklan atau pengalihan ketika mengunjungi halaman web yang menawarkan video atau unduhan.

Namun, ketika mencoba mengunduh program atau menonton video, Anda diarahkan ke situs lain yang menyatakan bahwa Anda harus memasang ekstensi untuk melanjutkan, seperti yang ditunjukkan di bawah ini.

Ketika pengunjung mengklik tombol ‘OK’ atau ‘Lanjutkan’, mereka kemudian diminta untuk memasang ekstensi pengubah warna yang tampak tidak berbahaya.

Namun, ketika ekstensi ini pertama kali diinstal, mereka akan mengarahkan pengguna ke berbagai halaman yang memuat skrip berbahaya yang menginstruksikan ekstensi tentang cara melakukan pembajakan pencarian dan di situs apa yang akan menyisipkan tautan afiliasi.

Bagaimana serangan ekstensi terungkap di host
(*Guardia*)

Saat melakukan pembajakan penelusuran, ekstensi akan mengarahkan kueri penelusuran untuk mengembalikan hasil dari situs yang berafiliasi dengan pengembang ekstensi, sehingga menghasilkan pendapatan dari tayangan iklan dan penjualan data penelusuran.

Dormant Colors melampaui ini dengan juga membajak penjelajahan korban pada daftar 10.000 situs web yang ekstensif dengan secara otomatis mengarahkan pengguna ke halaman yang sama tetapi kali ini dengan tautan afiliasi ditambahkan ke URL.

Setelah tag afiliasi ditambahkan ke URL, setiap pembelian yang dilakukan di situs akan menghasilkan komisi untuk pengembang.

Para peneliti memperingatkan bahwa menggunakan teknik pemuatan sisi kode berbahaya yang sama, operator Dormant Colors dapat mencapai hal-hal yang berpotensi lebih buruk daripada afiliasi pembajakan.

Para peneliti mengatakan adalah mungkin untuk mengarahkan korban ke halaman phishing untuk mencuri kredensial untuk Microsoft 365, Google Workspace, situs bank, atau platform media sosial.

Sumber: Bleeping Computer

Layanan kafein memungkinkan siapa saja meluncurkan serangan phishing Microsoft 365

October 12, 2022 by Mally

Platform phishing-as-a-service (PhaaS) bernama ‘Caffeine’ memudahkan pelaku ancaman untuk meluncurkan serangan, menampilkan proses pendaftaran terbuka yang memungkinkan siapa saja untuk masuk dan memulai kampanye phishing mereka sendiri.

Kafein tidak memerlukan undangan atau rujukan, juga tidak memerlukan calon pelaku ancaman untuk mendapatkan persetujuan dari admin di Telegram atau forum peretasan. Karena itu, Caffeine menghilangkan banyak hambatan yang menjadi ciri hampir semua platform semacam ini.

Ciri khas lain dari Caffeine adalah bahwa template phishingnya menargetkan platform Rusia dan Cina, sedangkan sebagian besar platform PhaaS cenderung berfokus pada umpan untuk layanan Barat.

Analis Mandiant menemukan dan menguji Caffeine secara menyeluruh, dan melaporkan bahwa Caffeine adalah PhaaS kaya fitur yang mengkhawatirkan mengingat hambatannya yang rendah untuk masuk.

Dalam hal opsi phishing, beberapa fitur lanjutan yang ditawarkan oleh platform ini meliputi:

Mekanisme untuk menyesuaikan skema URL dinamis untuk membantu menghasilkan halaman yang diisi sebelumnya secara dinamis dengan informasi khusus korban.
Halaman pengalihan kampanye tahap pertama dan halaman iming-iming terakhir.
Opsi pemblokiran IP untuk pemblokiran geografis, pemblokiran berbasis range CIDR, dll.

Selengkapnya: Bleeping Computer

Kematian Ratu Elizabeth II dieksploitasi untuk mencuri kredensial Microsoft

September 16, 2022 by Mally

Pelaku ancaman mengeksploitasi kematian Ratu Elizabeth II dalam serangan phishing untuk memikat target mereka ke situs yang mencuri kredensial akun Microsoft mereka.

Selain detail akun Microsoft, penyerang juga berusaha mencuri kode otentikasi multi-faktor (MFA) korban mereka untuk mengambil alih akun mereka.

Dalam kampanye yang ditemukan oleh Proofpoint, aktor phishing menyamar sebagai “tim Microsoft” dan mencoba memancing penerima untuk menambahkan memo mereka ke papan memori online “untuk mengenang Yang Mulia Ratu Elizabeth II.”

Setelah mengklik tombol yang disematkan di dalam email phishing, target malah dikirim ke halaman arahan phishing di mana mereka diminta untuk memasukkan kredensial Microsoft mereka terlebih dahulu.

Penyerang menggunakan platform reverse-proxy Phishing-as-a-Service (PaaS) baru yang dikenal sebagai EvilProxy yang dipromosikan di forum clearnet dan dark web hacking, yang memungkinkan aktor ancaman berketerampilan rendah mencuri token otentikasi untuk melewati MFA.

Pusat Keamanan Siber Nasional Inggris memperingatkan pada hari Selasa tentang peningkatan risiko penjahat dunia maya mengeksploitasi kematian Ratu untuk keuntungan mereka sendiri dalam kampanye phishing dan penipuan lainnya.

“Sementara NCSC – yang merupakan bagian dari GCHQ – belum melihat bukti ekstensif tentang hal ini, seperti biasa Anda harus menyadari kemungkinan itu dan memperhatikan email, pesan teks, dan komunikasi lain mengenai kematian Yang Mulia Raja. Ratu dan pengaturan pemakamannya,” kata NCSC.

Meskipun aktivitas berbahaya ini tampaknya terbatas, NCSC telah melihat serangan phishing tersebut dan saat ini sedang menyelidikinya.

Sumber juga mengatakan bahwa NCSC mengetahui pesan phishing di mana penyerang berusaha mengelabui calon korban agar menyerahkan informasi sensitif, termasuk rincian perbankan.

“Tujuannya sering kali membuat Anda mengunjungi situs web, yang mungkin mengunduh virus ke komputer Anda, atau mencuri detail bank atau informasi pribadi lainnya.”

Peretas JuiceLedger Di Balik Serangan Phishing Terbaru Terhadap Pengguna PyPI

September 5, 2022 by Mally

Rincian lebih lanjut telah muncul tentang operator di balik kampanye phishing pertama yang diketahui secara khusus ditujukan untuk Python Package Index (PyPI), repositori perangkat lunak pihak ketiga resmi untuk bahasa pemrograman.

Kampanye tersebut dikaitkan dengan aktor ancaman JuiceLedger, perusahaan keamanan siber SentinelOne, bersama dengan Checkmarx, menggambarkan kelompok itu sebagai entitas baru yang muncul pada awal 2022.

Kampanye “rendah” awal dikatakan telah melibatkan penggunaan aplikasi penginstal Python jahat untuk mengirimkan malware berbasis .NET yang disebut JuiceStealer yang direkayasa untuk menyedot kata sandi dan data sensitif lainnya dari browser web korban.

Serangan tersebut mengalami peningkatan yang signifikan bulan lalu ketika aktor JuiceLedger menargetkan kontributor paket PyPi dalam kampanye phishing, yang mengakibatkan kompromi tiga paket dengan malware.

“Serangan supply chain (rantai pasokan) terhadap kontributor paket PyPI tampaknya merupakan eskalasi dari kampanye yang dimulai awal tahun yang awalnya menargetkan calon korban melalui aplikasi perdagangan cryptocurrency palsu,” kata peneliti SentinelOne Amitai Ben Shushan Ehrlich dalam sebuah laporan.

Tujuannya mungkin untuk menginfeksi khalayak yang lebih luas dengan infostealer melalui campuran paket trojanized dan typosquat, perusahaan keamanan siber menambahkan.

Perkembangan tersebut menambah kekhawatiran yang berkembang seputar keamanan ekosistem open source, mendorong Google untuk mengambil langkah-langkah mengumumkan imbalan uang karena menemukan kekurangan dalam proyeknya yang tersedia di domain publik.

Dengan serangan pengambilalihan akun menjadi vektor infeksi populer bagi penyerang yang ingin meracuni rantai pasokan perangkat lunak, PyPI telah mulai memberlakukan persyaratan otentikasi dua faktor (2FA) wajib untuk proyek yang dianggap “kritis”.

“JuiceLedger tampaknya telah berkembang sangat cepat dari infeksi oportunistik skala kecil hanya beberapa bulan yang lalu menjadi melakukan serangan rantai pasokan pada distributor perangkat lunak utama,” kata SentinelOne.

Sumber: The Hackernews

Serangan phishing Instagram dengan tawaran Centang biru.

September 2, 2022 by Mally

Kampanye phishing Instagram baru sedang berlangsung, mencoba menipu pengguna platform media sosial populer dengan memikat mereka dengan tawaran Centang biru.

Centang biru sangat didambakan karena Instagram menyediakannya ke akun yang diverifikasi keasliannya, mewakili tokoh masyarakat, selebritas, atau merek.

Email tombak dalam kampanye phishing yang baru-baru ini diamati, memberi tahu penerima bahwa mereka Instagram meninjau akun mereka dan menganggapnya memenuhi syarat untuk mendapatkan lencana biru.

Pengguna yang terjerat penipuan, diminta untuk mengisi formulir dan mengklaim lencana verifikasi mereka dalam 48 jam ke depan.

Kampanye baru ini ditemukan oleh analis ancaman di Vade, layanan keamanan email berbasis AI, yang melaporkan bahwa pesan pertama ke target dikirim pada 22 Juli.

Selama penerapan, volume distribusi email melonjak dua kali, sekali pada 28 Juli dan lagi pada 9 Agustus 2022, dengan lebih dari 1.000 pesan phishing per hari.

Pesan Phising tersebut menampilkan logo Instagram dan Facebook dan memberi tahu penerima bahwa akun mereka memenuhi syarat untuk lencana biru, mendesak mereka untuk mengklik tombol yang disematkan yang akan membawa mereka ke formulir pengiriman yang relevan.

Pengguna diperingatkan bahwa jika mereka mengabaikan pesan, formulir akan dihapus secara permanen dalam 48 jam, menciptakan rasa urgensi dan ilusi kesempatan terbatas.

Formulir phishing di-host di domain bernama “teamcorrectionbadges”, untuk membuatnya tampak seolah-olah Instagram menggunakan domain khusus yang terpisah untuk memverifikasi pengguna.

Proses phishing di situs itu bergantung pada bentuk tiga tahap, setiap langkah menampilkan logo Instagram, Facebook, WhatsApp, Messenger, dan Meta, dalam upaya menciptakan rasa legitimasi.

Langkah kedua dalam proses phishing
(Vade)

Formulir pertama meminta “nama pengguna”, yang kedua meminta korban untuk memasukkan “nama”, “email”, dan “nomor telepon”, sedangkan langkah ketiga dan terakhir meminta memasukkan “kata sandi” pengguna, untuk memverifikasi bahwa mereka memilikinya. Akun.

Setelah korban menyelesaikan prosesnya, sebuah pesan menginformasikan bahwa akun mereka sekarang telah diverifikasi dan tim Instagram akan menghubungi mereka dalam dua hari ke depan. ID kasus palsu juga ditampilkan pada langkah terakhir ini.

Pesan terlihat setelah terkena phishing (Vade)

Untuk memahami bagaimana Anda dapat melindungi diri dari penipuan ini, penting untuk mengetahui cara kerja program verifikasi Instagram.

Pertama, platform media sosial tidak akan pernah menghubungi Anda untuk menawarkan lencana biru. Pengguna hanya bisa mendapatkannya dengan menerapkan sendiri.

Kedua, mengajukan verifikasi hanya dapat dilakukan melalui platform resmi, tidak pernah dengan mengunjungi domain terpisah.

Ketiga, lencana biru Instagram disediakan untuk tokoh masyarakat, selebriti, dan merek terkenal, sehingga akun biasa tidak memenuhi syarat.

Untuk melindungi akun Anda, Instagram menawarkan autentikasi dua faktor untuk keamanan tambahan, jadi meskipun Anda memberikan semua detail Anda kepada pelaku phishing, kehilangan akses ke akun Anda akan lebih rumit.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Phishing

Cookies Settings