Phishing

Conti Cybercrime Cartel Menggunakan Serangan Phishing ‘BazarCall’ sebagai Vektor Serangan Awal

August 12, 2022 by Mally Leave a Comment

Tiga cabang dari kartel kejahatan dunia maya Conti yang terkenal kejam telah menggunakan teknik phishing panggilan balik sebagai vektor akses awal untuk menembus jaringan yang ditargetkan.

“Tiga kelompok ancaman otonom sejak itu mengadopsi dan secara independen mengembangkan taktik phishing bertarget mereka sendiri yang berasal dari metodologi phishing panggilan balik,” kata perusahaan keamanan siber AdvIntel dalam laporan hari Rabu.

Kampanye yang ditargetkan ini “meningkatkan secara substansial” serangan terhadap entitas di sektor keuangan, teknologi, hukum, dan asuransi, perusahaan menambahkan.

Aktor yang dimaksud termasuk Silent Ransom, Quantum, dan Roy/Zeon, yang semuanya berpisah dari Conti setelah kartel ransomware-as-a-service (RaaS) mengatur penutupannya pada Mei 2022 menyusul dukungan publiknya untuk Rusia di Russo yang sedang berlangsung. -Konflik Ukraina.

Taktik rekayasa sosial tingkat lanjut, juga disebut BazaCall (alias BazarCall), menjadi sorotan pada 2020/2021 ketika digunakan oleh operator ransomware Ryuk, yang kemudian diganti namanya menjadi Conti.

Dikatakan telah menerima peningkatan operasional yang substansial pada bulan Mei, sekitar waktu yang sama tim Conti sibuk mengoordinasikan restrukturisasi seluruh organisasi sambil mensimulasikan pergerakan kelompok yang aktif.

Serangan phishing juga unik karena menghilangkan tautan atau lampiran berbahaya dalam pesan email demi nomor telepon yang ditipu oleh penerima untuk menelepon dengan memberi tahu mereka tentang tagihan yang akan datang pada kartu kredit mereka untuk langganan premium.

Jika penerima target jatuh untuk skema dan memutuskan untuk memanggil nomor telepon yang ditunjukkan dalam email, orang sungguhan dari pusat panggilan palsu yang didirikan oleh operator BazaCall mencoba meyakinkan korban untuk memberikan kontrol desktop jarak jauh kepada petugas layanan pelanggan untuk membantu membatalkan langganan yang seharusnya.

Dengan akses ke desktop, pelaku ancaman diam-diam mengambil langkah untuk menyusup ke jaringan pengguna serta membangun ketekunan untuk aktivitas lanjutan seperti eksfiltrasi data.

“Phishing panggilan balik adalah taktik yang memungkinkan perubahan luas dalam pendekatan penyebaran ransomware,” kata AdvIntel, menambahkan “vektor serangan secara intrinsik tertanam ke dalam tradisi organisasi Conti.”

Silent Ransom, “nenek moyang BazarCall” dan grup turunan pertama yang pindah dari Conti pada Maret 2022, sejak itu telah dikaitkan dengan serangkaian serangan pemerasan data yang memerlukan akses awal melalui email kedaluwarsa langganan yang mengklaim memberi tahu pengguna tentang penundaan pembayaran untuk layanan Zoho Masterclass dan Duolingo.

“Serangan ini dapat dikategorikan sebagai serangan pelanggaran data tebusan, di mana fokus utama kelompok ini adalah untuk mendapatkan akses ke dokumen dan informasi sensitif, dan meminta pembayaran untuk menahan publikasi data yang dicuri,” kata Sygnia bulan lalu, menggambarkan infeksi tersebut. prosedur.

Sumber: The Hacker News

Meningkatnya Jumlah Serangan Malware dengan Memanfaatkan Dark Utilities ‘C2-as-a-Service’

August 7, 2022 by Mally

Layanan baru yang disebut Dark Utilities telah menarik 3.000 pengguna karena kemampuannya untuk menyediakan layanan command-and-control (C2) dengan tujuan menguasai sistem yang dikompromikan.

“Ini dipasarkan sebagai sarana untuk mengaktifkan akses jarak jauh, eksekusi perintah, serangan penolakan layanan terdistribusi (DDoS) dan operasi penambangan cryptocurrency pada sistem yang terinfeksi,” kata Cisco Talos dalam sebuah laporan yang dibagikan dengan The Hacker News.

Dark Utilities, yang muncul pada awal 2022, diiklankan sebagai “C2-as-a-Service” (C2aaS), menawarkan akses ke infrastruktur yang di-hosting di clearnet serta jaringan TOR dan muatan terkait dengan dukungan untuk Windows, Linux, dan implementasi berbasis Python hanya dengan €9,99.

Pengguna yang diautentikasi pada platform disajikan dengan dasbor yang memungkinkan untuk menghasilkan muatan baru yang disesuaikan dengan sistem operasi tertentu yang kemudian dapat digunakan dan dijalankan pada host korban.

Selain itu, pengguna diberikan panel administratif untuk menjalankan perintah pada mesin di bawah kendali mereka saat membuat saluran C2 aktif, yang secara efektif memberikan penyerang akses penuh ke sistem.

Idenya adalah untuk memungkinkan aktor ancaman untuk menargetkan beberapa arsitektur tanpa memerlukan upaya pengembangan yang signifikan. Juga diperluas ke pelanggannya adalah dukungan teknis dan bantuan melalui Discord dan Telegram.

“Mengingat biaya yang relatif rendah dibandingkan dengan jumlah fungsionalitas yang ditawarkan platform, kemungkinan menarik bagi musuh yang mencoba untuk berkompromi dengan sistem tanpa mengharuskan mereka untuk membuat implementasi C2 mereka sendiri di dalam muatan malware mereka,” catat para peneliti.

Untuk menambah bahan bakar ke api, artefak malware di-host dalam solusi Sistem File InterPlanetary (IPFS) terdesentralisasi, membuatnya tahan terhadap moderasi konten atau intervensi penegakan hukum dengan cara yang mirip dengan “hosting antipeluru.”

“IPFS saat ini disalahgunakan oleh berbagai pelaku ancaman yang menggunakannya untuk meng-host konten berbahaya sebagai bagian dari kampanye distribusi phishing dan malware,” kata peneliti Talos Edmund Brumaghin kepada The Hacker News.

“[Gateway IPFS] memungkinkan komputer di internet untuk mengakses konten yang dihosting dalam jaringan IPFS tanpa persyaratan untuk instalasi perangkat lunak klien, mirip dengan cara gateway Tor2Web menyediakan fungsionalitas itu untuk konten yang dihosting dalam jaringan Tor.”

Dark Utilities diyakini sebagai hasil karya aktor ancaman yang menggunakan moniker Inplex-sys di ruang bawah tanah cybercriminal, dengan Talos mengidentifikasi semacam “hubungan kolaboratif” antara Inplex-sys dan salah satu operator layanan botnet disebut Bot Cerdas.

Sumber: The Hacker News

Peneliti Memperingatkan Peningkatan Serangan Phishing Menggunakan Jaringan IPFS Terdesentralisasi

July 30, 2022 by Mally

Solusi sistem file terdesentralisasi yang dikenal sebagai IPFS menjadi “sarang” baru untuk hosting situs phishing.

Perusahaan keamanan siber Trustwave SpiderLabs, yang mengungkapkan secara spesifik kampanye serangan tersebut, mengatakan pihaknya mengidentifikasi tidak kurang dari 3.000 email yang berisi URL phishing IPFS sebagai vektor serangan dalam tiga bulan terakhir.

IPFS, kependekan dari InterPlanetary File System, adalah jaringan peer-to-peer (P2P) untuk menyimpan dan berbagi file dan data menggunakan hash kriptografi, alih-alih URL atau nama file, seperti yang diamati dalam pendekatan client-server tradisional. Setiap hash membentuk dasar untuk pengidentifikasi konten unik (CID).

Idenya adalah untuk membuat sistem file terdistribusi tangguh yang memungkinkan data disimpan di banyak komputer. Ini akan memungkinkan informasi diakses tanpa harus bergantung pada pihak ketiga seperti penyedia penyimpanan cloud, yang secara efektif membuatnya tahan terhadap sensor.

“Menghapus konten phishing yang disimpan di IPFS bisa sulit karena meskipun dihapus di satu node, mungkin masih tersedia di node lain,” kata peneliti Trustwave Karla Agregado dan Katrina Udquin dalam sebuah laporan.

Masalah rumit lebih lanjut adalah kurangnya Uniform Resource Identifier (URI) statis yang dapat digunakan untuk mencari dan memblokir satu bagian dari konten yang sarat malware. Ini juga berarti akan lebih sulit untuk menghapus situs phishing yang dihosting di IPFS.

Serangan yang diamati oleh Trust biasanya melibatkan beberapa jenis rekayasa sosial untuk menurunkan penjaga target untuk membujuk mereka untuk mengklik tautan IPFS palsu dan mengaktifkan rantai infeksi.

Domain ini meminta calon korban untuk memasukkan kredensial mereka untuk melihat dokumen, melacak paket di DHL, atau memperbarui langganan Azure mereka, hanya untuk menyedot alamat email dan kata sandi ke server jarak jauh.

“Dengan persistensi data, jaringan yang kuat, dan sedikit regulasi, IPFS mungkin merupakan platform yang ideal bagi penyerang untuk menghosting dan berbagi konten berbahaya,” kata para peneliti.

Temuan ini muncul di tengah pergeseran yang lebih besar dalam lanskap ancaman email, dengan rencana Microsoft untuk memblokir makro yang menyebabkan pelaku ancaman menyesuaikan taktik mereka untuk mendistribusikan executable yang dapat mengarah pada pengintaian lanjutan, pencurian data, dan ransomware.

Dilihat dari sudut pandang itu, penggunaan IPFS menandai evolusi lain dalam phishing, memberikan penyerang tempat bermain lain yang menguntungkan untuk bereksperimen.

“Teknik phishing telah mengambil lompatan dengan memanfaatkan konsep layanan cloud terdesentralisasi menggunakan IPFS,” para peneliti menyimpulkan.

“Para spammer dapat dengan mudah menyamarkan aktivitas mereka dengan meng-hosting konten mereka di layanan hosting web yang sah atau menggunakan beberapa teknik pengalihan URL untuk membantu menggagalkan pemindai menggunakan reputasi URL atau analisis URL otomatis.”

Terlebih lagi, perubahan ini juga disertai dengan penggunaan kit phishing siap pakai – tren yang disebut phishing-as-a-service (PhaaS) – yang menawarkan cara cepat dan mudah bagi pelaku ancaman untuk melakukan serangan melalui email dan SMS.

Memang, kampanye skala besar yang ditemukan bulan lalu diamati menggunakan platform PhaaS berusia empat bulan yang dijuluki Robin Banks untuk menjarah kredensial dan mencuri informasi keuangan dari pelanggan bank terkenal di Australia, Kanada, Inggris, dan AS, perusahaan keamanan siber IronNet mengungkapkan minggu ini.

“Sementara motivasi utama scammers menggunakan kit ini tampaknya finansial, kit juga meminta korban untuk kredensial Google dan Microsoft mereka setelah mereka melakukan perjalanan ke halaman arahan phishing, menunjukkan itu juga dapat digunakan oleh pelaku ancaman yang lebih maju yang ingin mendapatkan keuntungan. akses awal ke jaringan perusahaan untuk ransomware atau aktivitas pasca-intrusi lainnya,” kata para peneliti.

Sumber: The Hacker News

Layanan phishing ‘Robin Banks’ baru menargetkan BofA, Citi, dan Wells Fargo

July 28, 2022 by Mally

Platform phishing sebagai layanan (PhaaS) baru bernama ‘Robin Banks’ telah diluncurkan, menawarkan kit phishing siap pakai yang menargetkan pelanggan bank terkenal dan layanan online.

Entitas yang ditargetkan termasuk Citibank, Bank of America, Capital One, Wells Fargo, PNC, U.S. Bank, Lloyds Bank, Commonwealth Bank di Australia, dan Santander.

Selain itu, Robin Banks menawarkan template untuk mencuri akun Microsoft, Google, Netflix, dan T-Mobile.

Menurut sebuah laporan oleh IronNet, yang analisnya menemukan platform phishing baru, Robin Banks telah digunakan dalam kampanye skala besar yang dimulai pada pertengahan Juni, menargetkan korban melalui SMS dan email.

Robin Banks adalah proyek baru dari kelompok kejahatan dunia maya yang diyakini aktif setidaknya sejak Maret 2022, dibuat untuk membuat halaman phishing berkualitas tinggi dengan cepat untuk menargetkan pelanggan organisasi keuangan besar.

Itu dijual dalam dua tingkatan harga, satu menawarkan satu halaman dan dukungan 24/7 seharga $50 per bulan, dan yang lainnya memberikan akses tak terbatas ke semua template dan dukungan 24/7 seharga $200 per bulan.

Setelah pendaftaran, pelaku ancaman menerima dasbor pribadi yang berisi laporan tentang operasi mereka, pembuatan halaman yang mudah, pengelolaan dompet, dan opsi untuk membuat situs phishing khusus.

Platform ini juga memberikan opsi kepada pengguna seperti menambahkan reCAPTCHA untuk menggagalkan bot atau memeriksa string agen pengguna untuk memblokir korban tertentu dari kampanye yang sangat bertarget.

Memilih bank target untuk phishing (IronNet)

Selain itu, platform PhaaS baru terus menambahkan template baru dan memperbarui yang lama untuk mencerminkan perubahan gaya dan skema warna entitas yang ditargetkan.

Keuntungan ini telah membuat Robin Banks populer di ruang kejahatan dunia maya, dan banyak penjahat dunia maya telah mengadopsinya dalam beberapa bulan terakhir.

Dalam satu kampanye yang ditemukan oleh IronNet bulan lalu, operator Robin Banks menargetkan pelanggan Citibank melalui SMS yang memperingatkan mereka tentang “penggunaan yang tidak biasa” dari kartu debit mereka.

Pesan smishing dikirim ke target acak (IronNet)

Tautan yang disediakan untuk mencabut dugaan pembatasan keamanan membawa korban ke halaman phishing di mana mereka diminta untuk memasukkan detail pribadi mereka.

Setelah mendarat di situs phishing, browser korban diambil sidik jarinya untuk menentukan apakah mereka menggunakan desktop atau seluler, dan versi halaman web yang sesuai dimuat.

Setelah korban memasukkan semua detail yang diperlukan di bidang formulir situs phishing, permintaan POST dikirim ke API Robin Banks, yang berisi dua token unik, satu untuk operator kampanye dan satu untuk korban.

POST permintaan untuk mentransfer data yang dicuri (IronNet)

Situs phishing mengirimkan satu permintaan POST untuk setiap halaman web yang diisi oleh korban, yang berfungsi sebagai fail-safe untuk mencuri detail sebanyak mungkin karena proses phishing dapat berhenti kapan saja karena kecurigaan atau alasan lain.

Semua data yang dikirim ke Robin Banks API dapat dilihat dari webGUI platform untuk operator dan administrator platform.

Robin Banks juga memberikan opsi untuk meneruskan detail yang dicuri ke saluran Telegram pribadi operator untuk kenyamanan.

Munculnya platform PhaaS baru berkualitas tinggi tidak menguntungkan bagi pengguna internet, karena mempromosikan phishing ke penjahat dunia maya berketerampilan rendah dan menambah pemboman pesan-pesan rumit.

Untuk menjaga diri Anda aman dari upaya jahat ini, jangan pernah mengklik tautan yang dikirim melalui SMS atau email, dan selalu pastikan situs web yang Anda kunjungi adalah situs resmi.

Terakhir, aktifkan 2FA di semua akun Anda dan gunakan nomor telepon pribadi untuk menerima kata sandi satu kali.

Selengkapnya : Bleeping Computer

QBot phishing menggunakan sideloading Kalkulator Windows untuk menginfeksi perangkat

July 25, 2022 by Mally

Operator malware QBot telah menggunakan Kalkulator Windows untuk memuat muatan berbahaya di komputer yang terinfeksi.

Pemuatan samping DLL adalah metode serangan umum yang memanfaatkan cara Dynamic Link Libraries (DLL) ditangani di Windows. Ini terdiri dari memalsukan DLL yang sah dan menempatkannya di folder tempat sistem operasi memuatnya, bukan yang sah.

QBot, juga dikenal sebagai Qakbot adalah jenis malware Windows yang dimulai sebagai trojan perbankan tetapi berkembang menjadi penetes malware, dan digunakan oleh geng ransomware pada tahap awal serangan untuk menjatuhkan suar Cobalt Strike.

Peneliti keamanan ProxyLife baru-baru ini menemukan bahwa Qakbot, telah menyalahgunakan aplikasi Kalkulator Windows 7 untuk serangan pemuatan samping DLL setidaknya sejak 11 Juli. Metode ini terus digunakan dalam kampanye malspam.

Untuk membantu pembela melindungi dari ancaman ini, ProxyLife dan peneliti di Cyble mendokumentasikan rantai infeksi QBot terbaru.

Email yang digunakan dalam kampanye terbaru membawa lampiran file HTML yang mengunduh arsip ZIP yang dilindungi kata sandi dengan file ISO di dalamnya.

Kata sandi untuk membuka file ZIP ditampilkan dalam file HTML, dan alasan mengunci arsip adalah untuk menghindari deteksi antivirus.

ISO berisi file .LNK, salinan ‘calc.exe’ (Kalkulator Windows), dan dua file DLL, yaitu WindowsCodecs.dll dan muatan bernama 7533.dll.

Saat pengguna memasang file ISO, itu hanya menampilkan file .LNK, yang disamarkan agar terlihat seperti PDF yang menyimpan informasi penting atau file yang dibuka dengan browser Microsoft Edge.

Namun, pintasan mengarah ke aplikasi Kalkulator di Windows, seperti yang terlihat di dialog properti untuk file.

Mengklik pintasan memicu infeksi dengan menjalankan Calc.exe melalui Command Prompt.

Saat dimuat, Kalkulator Windows 7 secara otomatis mencari dan mencoba memuat file DLL WindowsCodecs yang sah. Namun, itu tidak memeriksa DLL di jalur kode keras tertentu, dan akan memuat DLL apa pun dengan nama yang sama jika ditempatkan di folder yang sama dengan yang dapat dieksekusi Calc.exe.

Pelaku ancaman memanfaatkan kelemahan ini dengan membuat file WindowsCodecs.dll berbahaya mereka sendiri yang meluncurkan file .dll [bernomor] lainnya, yang merupakan malware QBot.

Dengan menginstal QBot melalui program tepercaya seperti Kalkulator Windows, beberapa perangkat lunak keamanan mungkin tidak mendeteksi malware saat dimuat, sehingga pelaku ancaman dapat menghindari deteksi.

Perlu dicatat, bahwa kelemahan sideloading DLL ini tidak lagi berfungsi di Windows 10 Calc.exe dan yang lebih baru, itulah sebabnya pelaku ancaman menggabungkan versi Windows 7.

QBot telah ada selama lebih dari satu dekade, dengan asal-usul sejak 2009 [1, 2, 3, 4]. Meskipun kampanye yang mengirimkannya tidak sering, itu diamati didistribusikan oleh botnet Emotet di masa lalu untuk menjatuhkan muatan ransomware.

Sumber: Bleeping Computer

Serangan Siber di Pelabuhan Los Angeles Telah Berlipat Ganda Sejak Pandemi

July 24, 2022 by Mally

Jumlah serangan bulanan yang menargetkan Pelabuhan Los Angeles sekarang sekitar 40 juta, direktur eksekutif pelabuhan Gene Seroka mengatakan kepada BBC.

Los Angeles adalah pelabuhan tersibuk di belahan bumi barat, menangani lebih dari $250 miliar (£210bn) kargo setiap tahun.

Ancaman diyakini datang terutama dari Eropa dan Rusia, dan bertujuan untuk mengganggu ekonomi AS, kata Seroka.

“Intelijen kami menunjukkan ancaman datang dari Rusia dan sebagian Eropa. Kami harus tetap selangkah di depan mereka yang ingin merusak perdagangan internasional,” katanya kepada BBC World Service.

Mereka menghadapi serangan ransomware, malware, spear phishing, dan pengumpulan kredensial setiap hari, dengan tujuan menyebabkan gangguan sebanyak mungkin dan memperlambat ekonomi.

Pelabuhan tersebut telah menginvestasikan jutaan dolar dalam perlindungan siber, mengembangkan salah satu Pusat Ketahanan Siber pertama di dunia, yang merupakan bagian dari FBI.

“Kita harus mengambil setiap tindakan pencegahan terhadap potensi insiden siber, terutama yang dapat mengancam atau mengganggu arus kargo,” kata Seroka.

Pusat Ketahanan Siber menyediakan pengumpulan intelijen yang ditingkatkan dan perlindungan yang ditingkatkan terhadap ancaman siber dalam rantai pasokan maritim.

Ini adalah hub bagi pelabuhan untuk menerima, menganalisis, dan berbagi informasi dengan mereka yang beroperasi di dermaga, seperti penangan kargo dan jalur pelayaran.

Ketegangan pada rantai pasokan telah mereda, kata Seroka. Pada Januari 2022 ada 109 kapal kontainer yang antri selama lebih dari dua hari untuk masuk ke Pelabuhan Los Angeles. Saat ini ada sekitar 20 orang yang menunggu untuk berlabuh.

Tapi Seroka yakin penyumbatan tidak akan hilang sepenuhnya sampai 2023. “Ada begitu banyak kargo masuk dan tidak cukup ruang,” katanya.

“Dua tahun terakhir telah membuktikan peran vital yang dimiliki pelabuhan terhadap infrastruktur kritis, rantai pasokan, dan ekonomi negara kita. Sangat penting bagi kita untuk menjaga sistem seaman mungkin,” tambahnya.

Sumber: BBC

Kampanye Peretasan Pro-Rusia Merajalela di Ukraina

July 23, 2022 by Mally

Pelaku ancaman pro-Rusia melanjutkan pengejaran tanpa henti mereka terhadap target Ukraina, dengan serangkaian kampanye yang mencakup aplikasi Android palsu, serangan peretasan yang mengeksploitasi kerentanan kritis, dan serangan phishing email yang mencoba mengambil kredensial login, kata peneliti dari Google.

Salah satu kampanye baru-baru ini datang dari Turla, aktor ancaman gigih tingkat lanjut berbahasa Rusia yang telah aktif setidaknya sejak 1997 dan merupakan salah satu yang paling canggih secara teknis di dunia. Menurut Google, kelompok tersebut menargetkan sukarelawan pro-Ukraina dengan aplikasi Android yang berperan sebagai landasan peluncuran untuk melakukan serangan penolakan layanan terhadap situs web Rusia.

“Yang perlu Anda lakukan untuk meluncurkan prosesnya adalah menginstal aplikasi, membukanya dan tekan mulai,” klaim situs palsu yang mempromosikan aplikasi tersebut. “Aplikasi segera mulai mengirim permintaan ke situs web Rusia untuk membanjiri sumber daya mereka dan menyebabkan penolakan layanan.”

Faktanya, aplikasi mengirimkan satu permintaan GET ke situs web target. Di balik layar, peneliti Google yang berbeda mengatakan kepada Vice bahwa aplikasi tersebut dirancang untuk memetakan infrastruktur Internet pengguna dan “mencari tahu di mana orang-orang yang berpotensi melakukan serangan semacam ini.”

Aplikasi, yang dihosting di domain spoofing Resimen Azov Ukraina, meniru aplikasi Android lain yang pertama kali dilihat Google pada bulan Maret yang juga mengklaim melakukan serangan DoS terhadap situs Rusia. Tidak seperti aplikasi Turla, stopwar.apk, seperti nama aplikasi yang terakhir, mengirimkan aliran permintaan terus-menerus hingga pengguna menghentikannya.

“Berdasarkan analisis kami, kami percaya bahwa aplikasi StopWar dikembangkan oleh pengembang pro-Ukraina dan menjadi inspirasi bagi aktor Turla yang mendasari aplikasi CyberAzov DoS palsu mereka,” tulis peneliti Google Billy Leonard.

Kelompok peretas lain yang disponsori oleh Kremlin juga menargetkan kelompok Ukraina. Kampanye termasuk eksploitasi Follina, nama yang diberikan untuk kerentanan kritis di semua versi Windows yang didukung yang secara aktif ditargetkan di alam liar selama lebih dari dua bulan sebagai zero-day.

Peneliti Google mengkonfirmasi laporan CERT-UA dari bulan Juni yang mengatakan kelompok peretasan berbeda yang disponsori Kremlin — dilacak dengan berbagai nama termasuk Fancy Bear, yang dikenal sebagai Pawn Storm, Sofacy Group, dan APT28 — juga mengeksploitasi Follina dalam upaya untuk menginfeksi target dengan malware yang dikenal sebagai CredoMap. Selain itu, Google mengatakan bahwa Sandworm—kelompok lain yang disponsori oleh pemerintah Rusia—juga mengeksploitasi Follina. Kampanye itu menggunakan akun pemerintah yang disusupi untuk mengirim tautan ke dokumen Microsoft Office yang dihosting di domain yang disusupi, terutama menargetkan organisasi media di Ukraina.

Perusahaan keamanan Palo Alto Networks, sementara itu, melaporkan pada hari Selasa bahwa kelompok peretasan Cloaked Ursa Rusia (juga dikenal sebagai APT29, Nobelium, dan Cozy Bear) juga telah meningkatkan serangan malware sejak dimulainya invasi Rusia ke Ukraina, sebagian dengan membuat file berbahaya. untuk diunduh tersedia di Dropbox dan Google Drive. Badan intelijen AS dan Inggris secara terbuka mengaitkan APT29 dengan Badan Intelijen Asing (SVR) Rusia.

“Ini sejalan dengan fokus penargetan historis grup, sejak kampanye malware melawan Chechnya dan negara-negara bekas blok Soviet lainnya pada 2008,” tulis peneliti Palo Alto Networks, Mike Harbison dan Peter Renals. Baru-baru ini, APT29 telah dikaitkan dengan peretasan Komite Nasional Demokrat AS yang ditemukan pada tahun 2016 dan serangan rantai pasokan SolarWinds dari tahun 2020.

Baru-baru ini, seorang aktor bermotivasi finansial yang dilacak sebagai UAC-0098 meniru Layanan Pajak Negara Ukraina dan mengirimkan dokumen jahat yang berusaha mengeksploitasi Follina. Google mengatakan aktor tersebut adalah mantan broker akses ransomware awal yang sebelumnya bekerja dengan grup ransomware Conti.

“Agresi militer Rusia yang tidak beralasan dan tidak dapat dibenarkan terhadap Ukraina telah disertai dengan peningkatan signifikan aktivitas siber berbahaya, termasuk sejumlah peretas dan kelompok peretas yang menyerang dan mengkhawatirkan tanpa pandang bulu yang menargetkan entitas penting secara global,” tulis pejabat Uni Eropa. “Peningkatan aktivitas siber berbahaya ini, dalam konteks perang melawan Ukraina, menciptakan risiko efek limpahan yang tidak dapat diterima, salah tafsir, dan kemungkinan eskalasi.”

Sumber: Ars Technica

LinkedIn tetap menjadi brand yang paling banyak ditiru dalam serangan phishing

July 21, 2022 by Mally

LinkedIn masih memegang posisi teratas sebagai Brand yang paling banyak ditiru dalam kampanye phishing yang diamati selama kuartal kedua tahun 2022.

Data statistik dari perusahaan keamanan siber, Check Point, menunjukkan bahwa platform sosial untuk para profesional tersebut berada di urutan teratas daftar untuk kuartal kedua berturut-turut.

Brand yang paling banyak ditiru oleh pelaku phishing di Q2 2022 (Check Point)

Dibandingkan dengan kuartal pertama tahun ini, peniruan identitas LinkedIn turun dari 52% menjadi 45%. Namun, ia mempertahankan jarak yang cukup jauh dari merek kedua yang paling banyak ditiru oleh penipu, yaitu Microsoft yang saat ini sebesar 13%.

Tema sentral dalam email Microsoft palsu adalah permintaan untuk memverifikasi akun Outlook untuk mencuri nama pengguna dan kata sandi.

DHL saat ini memegang posisi ketiga dalam daftar dengan 12%, turun dari 14%.

Sedangkan Amazon naik ke posisi keempat, melompat dari 2% pada Q1 2022 menjadi 9% pada kuartal ini, sementara Apple mengikuti di tempat kelima dengan 3%; juga meningkat signifikan dibandingkan dengan 0,8% kuartal lalu.

Dalam kasus Amazon, email phishing berusaha mencuri informasi penagihan target, termasuk data kartu kredit lengkap, kata para peneliti.

Seperti yang dijelaskan oleh Check Point dalam laporannya, kampanye phishing menggunakan email LinkedIn palsu mencoba untuk meniru pesan umum dari platform kepada penggunanya, seperti “Anda muncul di 8 pencari minggu ini”, atau “Anda memiliki satu pesan baru.”

Alamat pengirim dipalsukan agar muncul seolah-olah pesan itu otomatis atau berasal dari dukungan atau bahkan departemen keamanan.

Beberapa umpan yang digunakan dalam kampanye ini termasuk promosi palsu untuk layanan LinkedIn Pro, pembaruan kebijakan palsu, atau bahkan ancaman penghentian akun untuk “pelanggan yang belum diverifikasi.”

Mereka semua mengarah ke halaman web phishing di mana para korban diminta untuk memasukkan kredensial LinkedIn mereka, memungkinkan pelaku ancaman untuk mengambil alih akun.

Halaman web login palsu LinkedIn (Check Point)

Dengan akses ke akun LinkedIn, pelaku ancaman dapat menyebarkan kampanye phishing yang ditargetkan untuk menjangkau rekan kerja korban atau individu berharga di jaringan koneksi mereka.

Alasan lain untuk menargetkan akun LinkedIn adalah bahwa mereka dapat digunakan untuk menyiapkan kampanye tawaran pekerjaan palsu. Dalam contoh baru-baru ini, peretas Korea Utara dapat mengelabui seorang karyawan video game online berbasis token agar mengunduh PDF berbahaya yang memungkinkan aktor ancaman mencuri cryptocurrency senilai $620 juta.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Phishing

Cookies Settings