Phishing

Situs web phishing sekarang menggunakan chatbot untuk mencuri kredensial Anda

May 20, 2022 by Eevee

Serangan phishing sekarang menggunakan chatbot otomatis untuk memandu pengunjung melalui proses penyerahan kredensial login mereka kepada pelaku ancaman.

Pendekatan ini mengotomatiskan proses untuk penyerang dan memberikan rasa legitimasi kepada pengunjung situs jahat, karena chatbot biasanya ditemukan di situs web untuk merek yang sah.

Perkembangan baru dalam serangan phishing ini ditemukan oleh para peneliti di Trustwave.

Proses phishing dimulai dengan email yang mengklaim berisi informasi tentang pengiriman paket, menyamar sebagai merek pengiriman DHL.

Mengklik tombol ‘Ikuti instruksi kami’ di email memuat file PDF yang berisi tautan ke situs phishing. Pelaku ancaman menampilkan tautan phishing dalam dokumen PDF untuk melewati perangkat lunak keamanan email.

PDF yang dapat diunduh berisi tautan berbahaya
(gelombang kepercayaan)

Namun, tombol URL (atau tautan) dalam PDF membawa korban ke situs phishing (dhiparcel-management[.]support-livechat[.]24mhd[.]com) tempat mereka seharusnya menyelesaikan masalah yang menyebabkan paket menjadi tidak terkirim.

Saat halaman phishing dimuat, pengunjung akan disambut dengan obrolan web yang menjelaskan mengapa paket tidak dapat dikirimkan, alih-alih diperlihatkan formulir login palsu yang biasa digunakan untuk mencuri kredensial.

Webchat ini menjelaskan bahwa label paket rusak, mencegah pengirimannya. Obrolan web juga menampilkan foto paket yang diduga untuk menambah legitimasi penipuan.

Asisten virtual ini menawarkan tanggapan yang telah ditentukan sebelumnya untuk pengunjung, sehingga percakapan tetap, selalu mengarah ke foto paket yang diduga menampilkan label yang rusak.

Karena masalah ini, chatbot meminta korban untuk memberikan informasi pribadi mereka seperti alamat rumah atau bisnis, nama lengkap, nomor telepon, dll.

Setelah itu, pengiriman seharusnya dijadwalkan, dan langkah CAPTCHA palsu ditampilkan untuk bertindak sebagai satu lagi pengiriman legitimasi palsu ke halaman phishing.

Selanjutnya, korban diarahkan ke halaman phishing yang mengharuskan memasukkan kredensial akun DHL dan akhirnya, mengarah ke langkah pembayaran, yang seharusnya untuk menutupi biaya pengiriman.

Halaman “Pembayaran Aman” terakhir berisi bidang pembayaran kartu kredit biasa, termasuk nama pemegang kartu, nomor kartu, tanggal kedaluwarsa, dan kode CVV.

Bidang pembayaran kartu kredit (Trustwave)

Ketika rincian dimasukkan dan tombol “Bayar Sekarang” diklik, korban menerima kata sandi satu kali (OTP) pada nomor ponsel yang diberikan melalui SMS, yang menambah rasa legitimasi.

Layar verifikasi kata sandi satu kali (Trustwave)

Analis Trustwave menguji memasukkan karakter acak, dan sistem mengembalikan kesalahan tentang kode keamanan yang tidak valid, sehingga implementasi verifikasi OTP adalah nyata.

Jika kode yang dimasukkan benar, halaman palsu menampilkan “Terima kasih!” pesan dan mengkonfirmasi bahwa kiriman telah diterima.

Pelaku ancaman semakin menggunakan mekanisme yang umumnya ditemukan di situs web nyata, seperti CAPTCHA, OTP, dan sekarang bahkan chatbot, sehingga menyulitkan korban untuk menemukan upaya untuk mencuri informasi mereka.

Ini memerlukan kewaspadaan yang lebih besar saat menerima komunikasi yang tidak diminta yang meminta tindakan segera Anda, terutama jika pesan ini berisi tombol yang disematkan dan tautan URL.

Jika DHL atau layanan pengiriman lainnya memerlukan tindakan Anda, Anda harus selalu membuka situs web yang sebenarnya di tab browser baru alih-alih mengklik tautan yang disediakan.

Cara terbaik untuk menemukan halaman phishing adalah dengan memeriksa URL situs web tersebut. Jika terlihat mencurigakan atau tidak cocok dengan domain yang sah, jangan masukkan informasi pribadi apa pun ke dalam halaman.

Dalam hal ini, URL DHL palsu diakhiri dengan domain “24mhd.com,” yang jelas-jelas bukan situs web DHL dan merupakan tanda yang jelas dari upaya phishing.

Sumber: Bleeping Computer

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) melaporkan kampanye phishing yang dilakukan oleh Armageddon APT menggunakan malware GammaLoad.PS1_v2.

May 17, 2022 by Eevee

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) melaporkan kampanye phishing menggunakan pesan dengan subjek “Pembalasan dendam di Kherson!” dan berisi lampiran “Plan Kherson.htm”.

File HTM akan memecahkan kode dan membuat arsip bernama “Herson.rar”, yang berisi pintasan file bernama “Rencana pendekatan dan penanaman bahan peledak pada objek infrastruktur kritis Kherson.lnk”.

Setelah mengklik file tautan, file HTA “precarious.xml” dimuat dan dieksekusi yang mengarah ke pembuatan dan eksekusi file “desktop.txt” dan “user.txt”.

Pada tahap terakhir dari rantai serangan, malware GammaLoad.PS1_v2 diunduh dan dieksekusi di komputer korban.

Para ahli pemerintah mengaitkan serangan itu dengan Armageddon APT (UAC-0010) yang terkait dengan Rusia (alias Gamaredon, Primitive Bear, Armageddon, Winterflounder, atau Iron Tilden) yang terlibat dalam serangkaian serangan panjang terhadap organisasi negara setempat.

“Akibatnya, program jahat GammaLoad.PS1_v2 akan diunduh ke komputer (mekanisme mengambil tangkapan layar dan mengirimkannya ke server manajemen telah diterapkan).” membaca nasihat yang diterbitkan oleh CERT-UA. “Kegiatan tersebut dilakukan oleh kelompok UAC-0010 (Armageddon).”

CERT Ukraina membagikan indikator kompromi (IoC) untuk kampanye ini.

Sumber: Security Affairs

Lampiran HTML tetap populer di kalangan pelaku phishing pada tahun 2022

May 17, 2022 by Eevee

File HTML tetap menjadi salah satu lampiran paling populer yang digunakan dalam serangan phishing selama empat bulan pertama tahun 2022, menunjukkan bahwa teknik ini tetap efektif melawan mesin antispam dan bekerja dengan baik pada korbannya sendiri.

Dalam email phishing, file HTML biasanya digunakan untuk mengarahkan pengguna ke situs berbahaya, mengunduh file, atau bahkan menampilkan formulir phishing secara lokal di dalam browser.

Karena HTML tidak berbahaya, lampiran cenderung tidak terdeteksi oleh produk keamanan email, sehingga mendarat dengan baik di kotak masuk penerima.

Lampiran phishing HTML yang meniru login Microsoft
Sumber: BleepingComputer

Data statistik dari Kaspersky menunjukkan bahwa tren penggunaan lampiran HTML dalam email berbahaya masih kuat, karena perusahaan keamanan mendeteksi 2 juta email semacam ini yang menargetkan pelanggannya dalam empat bulan pertama tahun ini.

Angka tersebut mencapai puncaknya pada Maret 2022, ketika data telemetri Kaspersky menghitung 851.000 deteksi, sementara penurunan menjadi 387.000 pada April bisa jadi hanya perubahan sesaat.

Deteksi lampiran HTML berbahaya (Kaspersky)

Formulir phishing, mekanisme pengalihan, dan elemen pencurian data dalam lampiran HTML biasanya diterapkan menggunakan berbagai metode, mulai dari pengalihan sederhana hingga mengaburkan JavaScript hingga menyembunyikan formulir phishing.

Lampiran dikodekan base64 saat ada dalam pesan email, memungkinkan gateway email yang aman dan perangkat lunak antivirus untuk dengan mudah memindai lampiran untuk URL, skrip, atau perilaku berbahaya lainnya.

Untuk menghindari deteksi, pelaku ancaman biasanya menggunakan JavaScript dalam lampiran HTML yang akan digunakan untuk menghasilkan bentuk phishing atau pengalihan berbahaya.

Penggunaan JavaScript dalam lampiran HTML untuk menyembunyikan URL dan perilaku berbahaya disebut penyelundupan HTML dan telah menjadi teknik yang sangat populer selama beberapa tahun terakhir.

Untuk membuatnya lebih sulit untuk mendeteksi skrip berbahaya, aktor ancaman mengaburkannya menggunakan alat yang tersedia secara bebas yang dapat menerima konfigurasi khusus untuk yang unik, dan dengan demikian lebih kecil kemungkinannya untuk dideteksi, dihasilkan dan dengan demikian menghindari deteksi.

Misalnya, pada bulan November, kami melaporkan bahwa pelaku ancaman menggunakan kode morse dalam lampiran HTML mereka untuk mengaburkan formulir phishing yang akan ditampilkan lampiran HTML saat dibuka.

Kaspersky mencatat bahwa dalam beberapa kasus, pelaku ancaman menggunakan metode pengkodean yang melibatkan fungsi usang seperti “unescape()”, yang menggantikan urutan karakter “%xx” dalam string dengan setara ASCII mereka.

Meskipun fungsi ini telah digantikan oleh decodeURI() dan decodeURIComponent() saat ini, sebagian besar browser modern masih mendukungnya. Namun, itu mungkin diabaikan oleh alat keamanan dan mesin antispam yang lebih fokus pada metode saat ini.

Distribusi lampiran HTML pertama kali terlihat melonjak pada tahun 2019, tetapi tetap menjadi teknik umum pada kampanye phishing tahun 2022, sehingga harus dilihat sebagai tanda bahaya.

Email phishing dengan lampiran HTML (Kaspersky)

Bleeping Computer

Peretas Iran terungkap dalam kampanye spionase yang sangat ditargetkan

May 13, 2022 by Eevee

Analis ancaman telah melihat serangan baru yang dikaitkan dengan kelompok peretasan Iran yang dikenal sebagai kelompok APT34 atau Oilrig, yang menargetkan seorang diplomat Yordania dengan alat yang dibuat khusus.

Serangan itu melibatkan teknik anti-deteksi dan anti-analisis tingkat lanjut dan memiliki beberapa karakteristik yang menunjukkan persiapan yang panjang dan hati-hati.

Peneliti keamanan di Fortinet telah mengumpulkan bukti dan artefak dari serangan pada Mei 2022 dan menyusun laporan teknis untuk menyoroti teknik dan metode terbaru APT34.

Email spear-phishing yang dilihat oleh Fortinet menargetkan seorang diplomat Yordania, berpura-pura dari seorang rekan di pemerintahan, dengan alamat email yang dipalsukan.

Email tersebut membawa lampiran Excel berbahaya yang berisi kode makro VBA yang dijalankan untuk membuat tiga file, file yang dapat dieksekusi berbahaya, file konfigurasi, dan DLL yang ditandatangani dan dibersihkan.

Makro juga menciptakan kegigihan untuk executable berbahaya (update.exe) dengan menambahkan tugas terjadwal yang berulang setiap empat jam.

Temuan lain yang tidak biasa menyangkut dua mekanisme anti-analisis yang diterapkan di makro: pengalihan visibilitas lembar dalam spreadsheet dan yang lainnya memeriksa keberadaan mouse, yang mungkin tidak ada pada layanan kotak pasir analisis malware.

Eksekusi berbahaya adalah biner .NET yang memeriksa status program dan membuat dirinya tertidur selama delapan jam setelah diluncurkan. Para analis percaya para peretas mungkin menetapkan penundaan ini dengan asumsi bahwa diplomat akan membuka email di pagi hari dan pergi setelah delapan jam sehingga komputer tidak akan dijaga.

Saat aktif, malware berkomunikasi dengan subdomain C2 menggunakan alat algoritma pembuatan domain (DGA). DGA adalah teknik yang digunakan secara luas yang membuat operasi malware lebih tahan terhadap penghapusan domain dan daftar blokir.

Sistem algoritma pembuatan domain (Fortinet)

Kemudian membuat terowongan DNS untuk berkomunikasi dengan alamat IP yang disediakan. Ini adalah teknik yang jarang terlihat yang membantu pelaku ancaman mengenkripsi data yang dipertukarkan dalam konteks komunikasi ini, sehingga menyulitkan pemantau jaringan untuk menangkap sesuatu yang mencurigakan.

Terowongan DNS dalam komunikasi C2 (Fortinet)

Beberapa domain yang digunakan dalam kampanye diberi nama yang mencurigakan, jelas berusaha menyamar sebagai entitas terkenal dan tepercaya seperti AstraZeneca, HSBC, dan Cisco.

Selanjutnya, C2 mengirimkan dua puluh dua perintah backdoor yang berbeda ke malware, yang dijalankan melalui PowerShell atau Windows CMD interpreter.

Terakhir, eksfiltrasi data yang dicuri dilakukan melalui DNS, dengan data yang disematkan ke dalam permintaan, membuatnya tampak standar dalam log jaringan.

APT34 sebelumnya telah dikaitkan dengan pemerintah Iran dan merupakan aktor ancaman yang cakap yang beroperasi dalam bayang-bayang, tidak meninggalkan banyak jejak.

Dengan demikian, laporan Fortinet sangat berharga bagi para peneliti dan pembela, yang harus memperhatikan indikator kompromi yang dipublikasikan.

Sumber: Bleeping Computer

Departemen Pertahanan Ditipu $23M dalam Serangan Phishing pada Vendor Jet-Fuel

May 4, 2022 by Eevee

Departemen Kehakiman telah mengumumkan hukuman atas enam tuduhan terhadap seorang pria California yang mencuri lebih dari $23 juta dari Departemen Pertahanan dengan penipuan phishing.

Sercan Oyuntur, penjahat dunia maya yang berbasis di Northridge, California, bersama dengan rekan konspirator dari Jerman, Turki, dan New Jersey, menargetkan pemasok bahan bakar jet untuk pasukan AS di Asia Tenggara. Tujuannya adalah untuk mencegat pembayaran dari Departemen Pertahanan, menurut Kantor Kejaksaan AS di Distrik New Jersey.

Dikatakan dalam pengumuman tentang kemenangan pengadilan bahwa setelah membuat akun email dan membuat situs web Administrasi Layanan Umum palsu, pelaku ancaman mengirim email phishing untuk mencoba dan menipu vendor agar menyerahkan kredensial login mereka. Penjahat dunia maya kemudian menggunakannya untuk mengalihkan pembayaran ke rekening mereka sendiri.

Oyuntur mengaku bersalah dan akan dijatuhi hukuman pada 21 Juni. Dua tuduhan konspirasi dan penipuan bank bisa datang dengan hukuman hingga 30 tahun, bersama dengan denda yang besar, kata Departemen Kehakiman.

Sumber: Darkreading

Peretas Korea Utara menargetkan jurnalis dengan malware baru

April 26, 2022 by Eevee

Peretas yang disponsori negara Korea Utara yang dikenal sebagai APT37 telah ditemukan menargetkan jurnalis yang berspesialisasi di DPRK dengan jenis malware baru.

Malware ini didistribusikan melalui serangan phishing yang pertama kali ditemukan oleh NK News, sebuah situs berita Amerika yang didedikasikan untuk meliput berita dan menyediakan penelitian dan analisis tentang Korea Utara, menggunakan intelijen dari dalam negeri.

Kelompok peretas APT37, alias Ricochet Chollima, diyakini disponsori oleh pemerintah Korea Utara, yang melihat pelaporan berita sebagai operasi permusuhan, dan berusaha menggunakan serangan ini untuk mengakses informasi yang sangat sensitif dan berpotensi mengidentifikasi sumber jurnalis.

Stairwell menemukan sampel malware baru bernama “Goldbackdoor,” yang dinilai sebagai penerus “Bluelight.”

Perlu dicatat bahwa ini bukan pertama kalinya APT37 dikaitkan dengan kampanye malware yang menargetkan jurnalis, dengan yang terbaru adalah laporan November 2021 yang menggunakan pintu belakang “Chinotto” yang sangat dapat disesuaikan.

Email phishing tersebut berasal dari akun mantan direktur National Intelligence Service (NIS) Korea Selatan, yang sebelumnya dikompromikan oleh APT37.

Email yang dikirim ke jurnalis berisi tautan untuk mengunduh arsip ZIP yang memiliki file LNK, keduanya bernama ‘editan Kang Min-chol’. Kang Min-chol adalah Menteri Industri Pertambangan Korea Utara.

File LNK (pintasan Windows) disamarkan dengan ikon dokumen dan menggunakan bantalan untuk meningkatkan ukurannya secara artifisial menjadi 282,7 MB, menghalangi pengunggahan yang mudah ke Total Virus dan alat deteksi online lainnya.

Setelah dieksekusi, skrip PowerShell meluncurkan dan membuka dokumen umpan (doc) untuk gangguan saat mendekode skrip kedua di latar belakang.

Skrip PowerShell pertama yang digunakan dalam serangan (Stairwell)

Dokumen umpan berisi gambar eksternal tertanam yang dihosting di platform Heroku, yang memperingatkan pelaku ancaman saat dokumen dilihat.

Tautan pelacak tertanam dalam dokumen (Stairwell)

Skrip kedua mengunduh dan menjalankan muatan shellcode yang disimpan di Microsoft OneDrive, layanan hosting file berbasis cloud yang sah yang tidak mungkin menghasilkan peringatan AV.

Payload ini disebut “Fantasy,” dan menurut Stairwell, ini adalah yang pertama dari dua mekanisme penggelaran Goldbackdoor, keduanya mengandalkan injeksi proses tersembunyi.

Goldbackdoor dijalankan sebagai file PE (portable executable) dan dapat menerima perintah dasar dari jarak jauh dan mengekstrak data.

Untuk ini, ia datang dengan satu set kunci API yang digunakan untuk mengautentikasi ke Azure dan mengambil perintah untuk dieksekusi. Perintah-perintah ini terkait dengan keylogging, operasi file, RCE dasar, dan kemampuan untuk menghapus instalasi itu sendiri.

Malware menggunakan layanan cloud yang sah untuk eksfiltrasi file, dengan Stairwell memperhatikan penyalahgunaan Google Drive dan Microsoft OneDrive.

File yang ditargetkan oleh Goldbackdoor terutama dokumen dan media, seperti PDF, DOCX, MP3, TXT, M4A, JPC, XLS, PPT, BIN, 3GP, dan MSG.

Meskipun ini adalah kampanye yang sangat bertarget, penemuan, paparan, dan aturan deteksi yang dihasilkan serta hash file yang tersedia di laporan teknis Stairwell masih signifikan bagi komunitas infosec.

Sumber: Bleeping Computer

Hacker Menyisipkan Malware ‘More_Eggs’ ke dalam Resume Dikirim ke Manajer Perekrutan Perusahaan

April 22, 2022 by Eevee

Satu set baru serangan phishing yang memberikan malware more_eggs telah diamati menyerang manajer perekrutan perusahaan dengan resume palsu sebagai vektor infeksi, setahun setelah kandidat potensial yang mencari pekerjaan di LinkedIn terpikat dengan tawaran pekerjaan bersenjata.

“Tahun ini operasi more_eggs telah membalik skrip rekayasa sosial, menargetkan manajer perekrutan dengan resume palsu alih-alih menargetkan pencari kerja dengan tawaran pekerjaan palsu,” kata pemimpin penelitian dan pelaporan eSentire, Keegan Keplinger, dalam sebuah pernyataan.

Perusahaan cybersecurity Kanada mengatakan telah mengidentifikasi dan mengganggu empat insiden keamanan terpisah, tiga di antaranya terjadi pada akhir Maret. Entitas yang ditargetkan termasuk perusahaan kedirgantaraan yang berbasis di AS, bisnis akuntansi yang berlokasi di Inggris, sebuah firma hukum, dan agen kepegawaian, keduanya berbasis di Kanada.

Malware, yang diduga merupakan hasil karya aktor ancaman yang disebut Golden Chickens (alias Venom Spider), adalah suite backdoor modular yang tersembunyi yang mampu mencuri informasi berharga dan melakukan gerakan lateral di seluruh jaringan yang dikompromikan.

“More_eggs mencapai eksekusi dengan meneruskan kode berbahaya ke proses windows yang sah dan membiarkan proses windows tersebut melakukan pekerjaan untuk mereka,” kata Keplinger. Tujuannya adalah untuk memanfaatkan resume sebagai umpan untuk meluncurkan malware dan menghindari deteksi.

“Aktor ancaman di balik more_eggs menggunakan pendekatan spear-phishing yang terukur yang mempersenjatai komunikasi yang diharapkan, seperti resume, yang sesuai dengan harapan manajer perekrutan atau tawaran pekerjaan, menargetkan kandidat yang penuh harapan yang sesuai dengan jabatan mereka saat ini atau masa lalu,” kata Keplinger.

Sumber: The Hacker News

LinkedIn paling banyak ditiru dalam serangan phishing

April 20, 2022 by Eevee

Peneliti keamanan memperingatkan bahwa LinkedIn telah menjadi merek yang paling dipalsukan dalam serangan phishing, terhitung lebih dari 52% dari semua insiden semacam itu di tingkat global.

Data tersebut berasal dari perusahaan keamanan siber Check Point, yang mencatat peningkatan dramatis dalam penyalahgunaan merek LinkedIn dalam insiden phishing pada kuartal pertama tahun ini.

Menurut perusahaan, pada kuartal terakhir tahun 2021, LinkedIn menempati posisi kelima dalam daftar, jumlah serangan meniru menjadi jauh lebih rendah 8%.

Statistik peniruan identitas phishing untuk Q1 2022 (Check Point)

Menggabungkan DHL dengan FedEx, Maersk, dan Ali Express, pesan phishing terkait pengiriman menyumbang 21,8% dalam tiga bulan pertama tahun 2022, masih memegang porsi yang signifikan.

Dalam sampel peniruan identitas LinkedIn yang disediakan oleh Check Point, email phishing yang mencapai kotak masuk target menampilkan logo LinkedIn dan gaya khusus perusahaan, dengan permintaan palsu untuk terhubung dengan perusahaan buatan.

Pesan phishing yang menampilkan branding LinkedIn
(Titik Periksa)

Mengklik tombol “Terima” akan membawa korban ke situs web phishing yang terlihat seperti halaman login LinkedIn yang sebenarnya yang dihosting di URL tidak resmi – carriermasr.com/public/linkedin.com/linkedin.com/login.php

Situs phishing bertema LinkedIn (Check Point)

Phishing media sosial sedang meningkat, seperti juga dilaporkan perusahaan cybersecurity Vade baru-baru ini. Ini karena pengambilalihan akun pada platform ini membuka sejumlah kemungkinan praktis bagi para pelaku ancaman.

Misalnya, peretas dapat menggunakan akun media sosial yang disusupi untuk melakukan serangan spear-phishing yang sangat efektif, mengeposkan tautan ke situs hosting malware, atau mengirim spyware langsung ke pengguna yang memercayainya.

Dalam kasus LinkedIn, yang merupakan platform media sosial yang berfokus pada profesional, pelaku ancaman kemungkinan besar bertujuan untuk melakukan serangan spear-phishing pada target dengan minat tinggi, karyawan dari perusahaan dan organisasi tertentu.

Skenario eksploitasi potensial lainnya adalah mengirim dokumen yang disamarkan sebagai tawaran pekerjaan ke target tertentu, meyakinkan mereka untuk membuka file dan mengaktifkan kode makro berbahaya.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Phishing

Cookies Settings