Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Kelemahan plugin WordPress Jupiter yang kritis memungkinkan peretas mengambil alih situs

by

Analis keamanan WordPress telah menemukan serangkaian kerentanan yang memengaruhi plugin Jupiter Theme dan JupiterX Core untuk WordPress, salah satunya adalah kelemahan eskalasi hak istimewa yang kritis.

Jupiter adalah pembuat tema berkualitas tinggi yang kuat untuk situs WordPress yang digunakan oleh lebih dari 90.000 blog populer, majalah online, dan platform yang menikmati lalu lintas pengguna yang padat.

Kerentanan, dilacak sebagai CVE-2022-1654, dan diberi skor CVSS 9,9 (kritis), memungkinkan setiap pengguna yang diautentikasi di situs menggunakan plugin yang rentan untuk mendapatkan hak administratif.

Setelah mengeksploitasi kerentanan, penyerang dapat melakukan tindakan tak terbatas di situs, termasuk mengubah kontennya, menyuntikkan skrip berbahaya, atau menghapusnya sepenuhnya.

Penyerang dapat menjadi pelanggan atau pelanggan sederhana di situs untuk mengeksploitasi kerentanan ini, sehingga serangan tidak memiliki prasyarat yang sangat membatasi.

Penemuan dan perbaikan
Menurut Wordfence, yang menemukan kekurangannya, masalahnya terletak pada fungsi bernama “uninstallTemplate,” yang mengatur ulang situs setelah tema dihapus.

Fungsi ini meningkatkan hak istimewa pengguna menjadi admin, jadi jika pengguna yang masuk mengirim permintaan AJAX dengan parameter tindakan untuk memanggil fungsi, mereka akan meningkatkan hak istimewa mereka tanpa melalui nonce atau pemeriksaan lainnya.

Tim Wordfence Threat Intelligence menemukan masalah ini pada 5 April 2022, dan memberi tahu pengembang plugin dengan detail teknis lengkap.

Pada 28 April 2022, vendor merilis perbaikan sebagian untuk plugin yang terpengaruh. Kemudian, pada 10 Mei 2022, Artbees merilis pembaruan keamanan lain yang mengatasi masalah secara menyeluruh.

Versi yang terpengaruh oleh CVE-2022-1654 adalah Jupiter Theme versi 6.10.1 dan yang lebih lama (diperbaiki di 6.10.2), JupiterX Theme versi 2.0.6 dan yang lebih lama (diperbaiki di 2.0.7), dan JupiterX Core Plugin versi 2.0.7 dan lebih tua (diperbaiki di 2.0.8).

Satu-satunya cara untuk mengatasi masalah keamanan adalah memperbarui ke versi terbaru yang tersedia sesegera mungkin atau menonaktifkan plugin dan mengganti tema situs Anda.

Selama penyelidikan keamanan ini, Wordfence menemukan kelemahan tambahan, meskipun tidak terlalu parah, yang diperbaiki dengan pembaruan keamanan yang disebutkan pada 10 Mei 2022. Kelemahan ini adalah:

  • CVE-2022-1656: Keparahan sedang (skor CVSS: 6,5) penonaktifan plugin sewenang-wenang dan modifikasi pengaturan.
  • CVE-2022-1657: Tingkat keparahan tinggi (skor CVSS: 8.1) jalur traversal dan penyertaan file lokal.
  • CVE-2022-1658: Tingkat keparahan sedang (skor CVSS: 6,5) penghapusan plugin sewenang-wenang.
  • CVE-2022-1659: Tingkat keparahan sedang (skor CVSS: 6,3) pengungkapan informasi, modifikasi, dan penolakan layanan.

Empat kerentanan tambahan ini memerlukan otentikasi untuk dieksploitasi, dan mereka juga dapat diakses oleh pelanggan dan pelanggan situs, tetapi konsekuensinya tidak terlalu merusak.

Sumber: Bleeping Computer

Hapus Aplikasi Android Ini Sebelum Mereka Mencuri Kata Sandi Facebook dan Kripto Anda

by

Berikut adalah beberapa aplikasi yang harus Anda hapus secepatnya:

  • Daily Fitness OL
  • Enjoy Photo Editor
  • Panorama Camera
  • Photo Gaming Puzzle
  • Swarm Photo
  • Business Meta Manager
  • Cryptomining Farm Your own Coin

Kabar baiknya adalah ketujuh aplikasi pembawa malware ini telah segera dikeluarkan dari Play Store setelah Google diberi tahu tentang niat sebenarnya dan kemampuan mencuri data mereka.

Berita buruknya adalah itu tidak menyelesaikan pelanggaran jelas masalah privasi untuk semua pengguna Android yang menginstal aplikasi ini sebelum pengungkapan ini. Selain menghapus semua penyebab pada daftar di atas yang dapat Anda temukan di ponsel Anda, mungkin bijaksana untuk mengubah kata sandi Facebook Anda dan kredensial masuk lainnya untuk aplikasi dan layanan populer lainnya yang mungkin telah Anda simpan di perangkat Anda saat menggunakan aplikasi ini. Secepatnya!

Anda tidak boleh, selamanya, pernah mempercayai platform semacam itu (terutama platform dengan rekam jejak yang tidak terverifikasi dan tidak dapat diverifikasi) bahkan dengan kripto Anda yang bernilai satu dolar atau Anda akan berisiko kehilangan… semua yang ada di dompet Anda.

Sumber: PhoneArena

Peretas menargetkan plugin Tatsu WordPress dalam jutaan serangan

by

Peretas secara besar-besaran mengeksploitasi kerentanan eksekusi kode jarak jauh, CVE-2021-25094, di plugin Tatsu Builder untuk WordPress, yang diinstal di sekitar 100.000 situs web.

Hingga 50.000 situs web diperkirakan masih menjalankan versi plugin yang rentan, meskipun patch telah tersedia sejak awal April.

Gelombang serangan besar dimulai pada 10 Mei 2022 dan mencapai puncaknya empat hari kemudian. Eksploitasi saat ini sedang berlangsung.

Tatsu Builder adalah plugin populer yang menawarkan fitur pengeditan template canggih yang terintegrasi langsung ke browser web.

Kerentanan yang ditargetkan adalah CVE-2021-25094, memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer di server dengan versi plugin yang kedaluwarsa (semua dibuat sebelum 3.3.12).

Cacat itu ditemukan oleh peneliti independen Vincent Michel, yang mengungkapkannya secara terbuka pada 28 Maret 2022, bersama dengan kode eksploitasi proof of concept (PoC).

Vendor merilis tambalan di versi 3.3.13 dan memberi tahu pengguna melalui email pada 7 April 2022, mendesak mereka untuk menerapkan pembaruan.

Jumlah situs yang diserang (Wordfence)

Wordfence, sebuah perusahaan yang menawarkan solusi keamanan untuk plugin WordPress, telah memantau serangan saat ini. Para peneliti memperkirakan bahwa ada antara 20.000 dan 50.000 situs web yang menjalankan versi Tatsu Builder yang rentan.

Wordfence melaporkan melihat jutaan serangan terhadap pelanggannya, memblokir 5,9 juta upaya kekalahan pada 14 Mei 2022.

Serangan terdeteksi dan diblokir oleh Wordfence

Volume telah menurun pada hari-hari berikutnya, tetapi upaya eksploitasi terus berlanjut pada tingkat yang tinggi.

Pelaku ancaman mencoba menyuntikkan penetes malware ke dalam subfolder dari direktori “wp-content/uploads/typehub/custom/” dan menjadikannya file tersembunyi.

Fungsi pemeriksaan file ekstensi melewatkan file tersembunyi (darkpills)

Dropper bernama “.sp3ctra_XO.php” dan memiliki hash MD5 dari 3708363c5b7bf582f8477b1c82c8cbf8.

Wordfence melaporkan bahwa lebih dari satu juta serangan datang dari hanya tiga alamat IP: 148.251.183[.]254, 176.9.117[.]218, dan 217.160.145[.]62. Administrator situs web disarankan untuk menambahkan IP ini ke daftar blokir mereka.

Tentu saja, indikator kompromi ini tidak stabil dan penyerang dapat beralih ke yang lain, terutama sekarang setelah mereka diekspos ke publik.

Semua pengguna plugin Tatsu Builder sangat disarankan untuk meningkatkan ke versi 3.3.13 untuk menghindari risiko serangan.

Sumber: Bleeping Computer

Pelacak web pihak ketiga mencatat apa yang Anda ketik sebelum mengirimkan

by

Sebuah studi ekstensif yang melihat situs web peringkat 100k teratas telah mengungkapkan bahwa banyak yang membocorkan informasi yang Anda masukkan dalam formulir situs ke pelacak pihak ketiga bahkan sebelum Anda menekan kirim.

Data yang bocor ini mencakup pengenal pribadi, alamat email, nama pengguna, kata sandi, atau bahkan pesan yang dimasukkan ke dalam formulir dan kemudian dihapus dan tidak pernah benar-benar dikirimkan.

Kebocoran data ini licik karena pengguna internet secara otomatis berasumsi bahwa informasi yang mereka ketik di situs web tidak disimpan sampai mereka mengirimkannya, tetapi untuk hampir 3% dari semua situs yang diuji, ini tidak terjadi.

Penelitian dilakukan oleh peneliti universitas yang menggunakan crawler berbasis alat DuckDuckGo Tracker Radar Collector untuk memantau aktivitas eksfiltrasi.

Perayap dilengkapi dengan pengklasifikasi pembelajaran mesin yang telah dilatih sebelumnya yang mendeteksi bidang email dan kata sandi dan mencegat akses skrip ke bidang tersebut.

Diagram fungsi perayap (GitHub)

Para peneliti menguji 2,8 juta halaman di 100.000 situs dengan peringkat tertinggi di dunia dan menemukan bahwa 1.844 situs web memungkinkan pelacak mengeksfiltrasi alamat email sebelum dikirimkan saat dikunjungi dari Eropa.

Namun, ketika mengunjungi situs web yang sama dari AS, jumlah situs yang mengumpulkan informasi sebelum diserahkan melonjak menjadi 2.950.

Akhirnya, peneliti menentukan 52 situs web untuk mengumpulkan kata sandi dengan cara yang sama, tetapi semuanya mengatasi masalah tersebut setelah menerima laporan peneliti.

Tujuan pelacak situs web adalah untuk memantau aktivitas pengunjung, memperoleh titik data yang terkait dengan preferensi, mencatat interaksi, dan mempertahankan ID anonim (secara teoritis) persisten untuk setiap pengguna.

Situs tersebut menggunakan pelacak untuk memberikan pengalaman online yang lebih dipersonalisasi kepada penggunanya, tetapi mereka juga mengizinkan pelacak pihak ketiga untuk membantu pengiklan menayangkan iklan bertarget kepada pengunjung mereka dan meningkatkan keuntungan moneter.

Situs teratas menggunakan pelacak bocor (kuleuven.be)

Banyak dari pelacak pihak ketiga ini menggunakan skrip yang memantau penekanan tombol saat berada di dalam formulir, dan menyimpan konten, bahkan sebelum pengguna menekan tombol kirim

Dampak nyata dari memasukkan data pada formulir yang dicatat adalah kehilangan anonimitas pelacak, dan pada saat yang sama, risiko privasi dan keamanan muncul.

Data yang dikumpulkan oleh peneliti universitas menunjukkan bahwa masalahnya berasal dari sejumlah kecil pelacak yang lazim di web.

Misalnya, pelacak LiveRamp ditemukan di 662 situs yang alamat emailnya dicatat, Taboola ada di 383, Verizon mengumpulkan data dari 255 situs, dan Adobe’s Bizible berjalan di 191 situs.

Pelacak third party dan pemiliknya (kuleuven.be)

Dalam kategori perampasan kata sandi, Yandex berada di puncak daftar dengan jumlah kasus terkonfirmasi tertinggi.

Setengah dari pihak pertama dan ketiga yang terdaftar telah menanggapi para peneliti dengan komentar dan penjelasan, yang menghubungkan pengumpulan dengan kesalahan.

Perbedaan antara statistik UE dan AS dikaitkan dengan keberadaan GDPR, konteks peraturan hukum untuk melindungi data pribadi pengguna internet UE yang diproses oleh entitas online.

Kasus kepatuhan di sini tergantung pada pengungkapan pengumpulan data yang dimasukkan dalam formulir situs web, yang perlu dirinci dan didefinisikan dengan jelas.

Misalnya, ‘kami membagikan data pribadi Anda dengan mitra pemasaran tertentu’ tidak cocok untuk GDPR.

Menurut penelitian, eksfiltrasi email oleh pihak ketiga melalui pelacak melanggar setidaknya tiga persyaratan GDPR, yaitu prinsip transparansi, prinsip pembatasan tujuan, dan tidak adanya permintaan persetujuan.

Pelanggaran GDPR yang dikonfirmasi dapat dihukum dengan denda hingga 20.000.000 Euro atau hingga 4% dari omset tahunan global entitas.

Cara terbaik untuk mengatasi masalah ini adalah dengan memblokir semua pelacak pihak ketiga menggunakan pemblokir internal browser Anda. Semua browser utama memiliki pemblokir bawaan, dan Anda akan menemukannya di bagian privasi menu pengaturan.

Selain itu, layanan relai email pribadi memberi pengguna kemampuan untuk menghasilkan alamat email pseudonim, jadi meskipun seseorang mengambilnya, identifikasi tidak akan mungkin dilakukan.

Terakhir, bagi mereka yang ingin mengambil pendekatan yang lebih terlibat, para peneliti telah membuat dan merilis add-on browser bernama Leak Inspector, yang memantau peristiwa eksfiltrasi di situs mana pun dan memperingatkan pengguna yang sesuai.

Sumber: Bleeping Computer

CISA memperingatkan untuk tidak menginstal pembaruan Mei Windows pada pengontrol domain

by

Badan Keamanan Siber dan Infrastruktur (CISA) AS telah menghapus kelemahan keamanan Windows dari katalog kerentanan yang diketahui dieksploitasi karena masalah otentikasi Active Directory (AD) yang disebabkan oleh pembaruan Mei 2022 yang menambalnya.

Bug keamanan ini adalah Windows LSA spoofing zero-day yang dieksploitasi secara aktif yang dilacak sebagai CVE-2022-26925, dikonfirmasi sebagai vektor serangan PetitPotam Windows NTLM Relay baru.

Penyerang yang tidak diautentikasi menyalahgunakan CVE-2022-26925 untuk memaksa pengontrol domain untuk mengotentikasi mereka dari jarak jauh melalui protokol keamanan Windows NT LAN Manager (NTLM) dan, kemungkinan, mendapatkan kendali atas seluruh domain Windows.

Microsoft menambalnya bersama dengan 74 kelemahan keamanan lainnya (dua di antaranya juga zero-days) sebagai bagian dari patch keamanan yang dikeluarkan pada Patch Mei 2022 Selasa.

Namun, patch untuk dua peningkatan kerentanan hak istimewa di Windows Kerberos dan Layanan Domain Direktori Aktif (dilacak sebagai CVE-2022-26931 dan CVE-2022-26923) juga akan menyebabkan masalah otentikasi layanan saat digunakan pada pengontrol domain Windows Server.

Sebelum dihapus dari Katalog Kerentanan yang Diketahui, semua agensi Federal Civilian Executive Branch Agencies (FCEB) diharuskan untuk menerapkan pembaruan keamanan dalam waktu tiga minggu (hingga 1 Juni 2022), sesuai dengan arahan operasional mengikat BOD 22-01 yang dikeluarkan di November 2021.

Karena Microsoft tidak lagi menyediakan penginstal terpisah untuk setiap masalah keamanan yang ditanganinya selama Patch Tuesday, menginstal pembaruan keamanan bulan ini juga akan memicu masalah autentikasi AD karena admin tidak dapat memilih untuk menginstal hanya satu dari pembaruan keamanan (yaitu, yang harus ditangani vektor serangan PetitPotam baru).

Seperti yang dicatat CISA, “penginstalan pembaruan yang dirilis 10 Mei 2022, pada perangkat Windows klien dan Server Windows pengontrol non-domain tidak akan menyebabkan masalah ini dan masih sangat dianjurkan.”

Hingga Microsoft mengeluarkan pembaruan resmi untuk mengatasi masalah autentikasi AD yang disebabkan oleh penginstalan pembaruan keamanan bulan ini, perusahaan merekomendasikan pemetaan sertifikat secara manual ke akun mesin di Active Directory.

“Jika mitigasi pilihan tidak akan bekerja di lingkungan Anda, silakan lihat ‘KB5014754—perubahan otentikasi berbasis sertifikat pada pengontrol domain Windows’ untuk kemungkinan mitigasi lain di bagian kunci registri SChannel,” kata perusahaan itu.

Namun, admin Windows telah berbagi dengan BleepingComputer metode lain untuk memulihkan otentikasi bagi pengguna yang terpengaruh oleh masalah umum ini.

Salah satu dari mereka mengatakan bahwa satu-satunya cara mereka bisa masuk setelah menginstal pembaruan Windows Mei 2022 adalah dengan menonaktifkan kunci StrongCertificateBindingEnforcement dengan menyetelnya ke 0.

Jika tidak tersedia di registri pada sistem Anda, Anda dapat membuatnya dari awal menggunakan Tipe Data REG_DWORD dan menyetelnya ke 0 untuk menonaktifkan pemeriksaan pemetaan sertifikat yang kuat (meskipun tidak direkomendasikan oleh Microsoft, ini adalah satu-satunya cara untuk mengizinkan semua pengguna untuk masuk di beberapa lingkungan).

Sumber: Bleeping Computer

Pembaruan darurat Apple memperbaiki zero-day yang digunakan untuk meretas Mac, Jam Tangan

by

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day yang dapat dieksploitasi oleh pelaku ancaman dalam serangan yang menargetkan perangkat Mac dan Apple Watch.

Zero-days adalah kelemahan keamanan yang tidak disadari oleh vendor perangkat lunak dan belum ditambal. Dalam beberapa kasus, jenis kerentanan ini mungkin juga memiliki eksploitasi konsep yang tersedia untuk umum sebelum tambalan tiba atau dapat dieksploitasi secara aktif di alam liar.

Dalam peringatan keamanan yang dikeluarkan pada hari Senin, Apple mengungkapkan bahwa mereka mengetahui laporan bug keamanan ini “mungkin telah dieksploitasi secara aktif.”

Cacat tersebut adalah masalah penulisan di luar batas (CVE-2022-22675) di AppleAVD (ekstensi kernel untuk decoding audio dan video) yang memungkinkan aplikasi mengeksekusi kode arbitrer dengan hak istimewa kernel.

Bug tersebut dilaporkan oleh peneliti anonim dan diperbaiki oleh Apple di macOS Big Sur 11.6., watchOS 8.6, dan tvOS 15.5 dengan pemeriksaan batas yang ditingkatkan.

Daftar perangkat yang terpengaruh termasuk Apple Watch Series 3 atau lebih baru, Mac yang menjalankan macOS Big Sur, Apple TV 4K, Apple TV 4K (generasi ke-2), dan Apple TV HD.

Sementara Apple mengungkapkan laporan eksploitasi aktif di alam liar, itu tidak merilis info tambahan mengenai serangan ini.

Dengan menahan informasi, perusahaan kemungkinan bertujuan untuk memungkinkan pembaruan keamanan menjangkau sebanyak mungkin Apple Watch dan Mac sebelum penyerang mengetahui detail zero-day dan mulai menyebarkan eksploitasi dalam serangan lain.

Meskipun zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, tetap sangat disarankan untuk menginstal pembaruan keamanan macOS dan watchOS hari ini sesegera mungkin untuk memblokir upaya serangan.

Pada bulan Januari, Apple menambal dua zero-days lainnya yang dieksploitasi di alam liar untuk memungkinkan penyerang mendapatkan eksekusi kode arbitrer dengan hak kernel (CVE-2022-22587) dan melacak aktivitas penelusuran web dan identitas pengguna secara real-time (CVE-2022-22594) .

Satu bulan kemudian, Apple merilis pembaruan keamanan untuk menambal bug zero-day baru (CVE-2022-22620) yang dieksploitasi untuk meretas iPhone, iPad, dan Mac, yang menyebabkan crash OS dan eksekusi kode jarak jauh pada perangkat Apple yang disusupi.

Pada bulan Maret, dua lagi mengeksploitasi zero-days secara aktif di Intel Graphics Driver (CVE-2022-22674) dan dekoder media AppleAVD (CVE-2022-22675), yang terakhir juga di-backport hari ini di versi macOS yang lebih lama, di watchOS 8.6, dan di tvOS 15.5.

Lima zero-days ini berdampak pada iPhone (iPhone 6s dan yang lebih baru), Mac yang menjalankan macOS Monterey, dan beberapa model iPad.

Sepanjang tahun lalu, perusahaan juga menambal daftar panjang zero-days yang dieksploitasi di alam liar untuk menargetkan perangkat iOS, iPadOS, dan macOS.

Berikut daftar produk yang di update:

  • watchOS 8.6
  • tvOS 15.3
  • macOS Catalina
  • macOS Big Sur 11.6.6
  • macOS Monterey 12.4
  • iOS 15.5 and iPad OS 15.5
  • Xcode 13.4

Sumber: Bleeping Computer
Update Links: Software Patches Update

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) melaporkan kampanye phishing yang dilakukan oleh Armageddon APT menggunakan malware GammaLoad.PS1_v2.

by

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) melaporkan kampanye phishing menggunakan pesan dengan subjek “Pembalasan dendam di Kherson!” dan berisi lampiran “Plan Kherson.htm”.

File HTM akan memecahkan kode dan membuat arsip bernama “Herson.rar”, yang berisi pintasan file bernama “Rencana pendekatan dan penanaman bahan peledak pada objek infrastruktur kritis Kherson.lnk”.

Setelah mengklik file tautan, file HTA “precarious.xml” dimuat dan dieksekusi yang mengarah ke pembuatan dan eksekusi file “desktop.txt” dan “user.txt”.

Pada tahap terakhir dari rantai serangan, malware GammaLoad.PS1_v2 diunduh dan dieksekusi di komputer korban.

Para ahli pemerintah mengaitkan serangan itu dengan Armageddon APT (UAC-0010) yang terkait dengan Rusia (alias Gamaredon, Primitive Bear, Armageddon, Winterflounder, atau Iron Tilden) yang terlibat dalam serangkaian serangan panjang terhadap organisasi negara setempat.

“Akibatnya, program jahat GammaLoad.PS1_v2 akan diunduh ke komputer (mekanisme mengambil tangkapan layar dan mengirimkannya ke server manajemen telah diterapkan).” membaca nasihat yang diterbitkan oleh CERT-UA. “Kegiatan tersebut dilakukan oleh kelompok UAC-0010 (Armageddon).”

CERT Ukraina membagikan indikator kompromi (IoC) untuk kampanye ini.

Sumber: Security Affairs

Lampiran HTML tetap populer di kalangan pelaku phishing pada tahun 2022

by

File HTML tetap menjadi salah satu lampiran paling populer yang digunakan dalam serangan phishing selama empat bulan pertama tahun 2022, menunjukkan bahwa teknik ini tetap efektif melawan mesin antispam dan bekerja dengan baik pada korbannya sendiri.

Dalam email phishing, file HTML biasanya digunakan untuk mengarahkan pengguna ke situs berbahaya, mengunduh file, atau bahkan menampilkan formulir phishing secara lokal di dalam browser.

Karena HTML tidak berbahaya, lampiran cenderung tidak terdeteksi oleh produk keamanan email, sehingga mendarat dengan baik di kotak masuk penerima.

Lampiran phishing HTML yang meniru login Microsoft
Sumber: BleepingComputer

Data statistik dari Kaspersky menunjukkan bahwa tren penggunaan lampiran HTML dalam email berbahaya masih kuat, karena perusahaan keamanan mendeteksi 2 juta email semacam ini yang menargetkan pelanggannya dalam empat bulan pertama tahun ini.

Angka tersebut mencapai puncaknya pada Maret 2022, ketika data telemetri Kaspersky menghitung 851.000 deteksi, sementara penurunan menjadi 387.000 pada April bisa jadi hanya perubahan sesaat.

Deteksi lampiran HTML berbahaya (Kaspersky)

Formulir phishing, mekanisme pengalihan, dan elemen pencurian data dalam lampiran HTML biasanya diterapkan menggunakan berbagai metode, mulai dari pengalihan sederhana hingga mengaburkan JavaScript hingga menyembunyikan formulir phishing.

Lampiran dikodekan base64 saat ada dalam pesan email, memungkinkan gateway email yang aman dan perangkat lunak antivirus untuk dengan mudah memindai lampiran untuk URL, skrip, atau perilaku berbahaya lainnya.

Untuk menghindari deteksi, pelaku ancaman biasanya menggunakan JavaScript dalam lampiran HTML yang akan digunakan untuk menghasilkan bentuk phishing atau pengalihan berbahaya.

Penggunaan JavaScript dalam lampiran HTML untuk menyembunyikan URL dan perilaku berbahaya disebut penyelundupan HTML dan telah menjadi teknik yang sangat populer selama beberapa tahun terakhir.

Untuk membuatnya lebih sulit untuk mendeteksi skrip berbahaya, aktor ancaman mengaburkannya menggunakan alat yang tersedia secara bebas yang dapat menerima konfigurasi khusus untuk yang unik, dan dengan demikian lebih kecil kemungkinannya untuk dideteksi, dihasilkan dan dengan demikian menghindari deteksi.

Misalnya, pada bulan November, kami melaporkan bahwa pelaku ancaman menggunakan kode morse dalam lampiran HTML mereka untuk mengaburkan formulir phishing yang akan ditampilkan lampiran HTML saat dibuka.

Kaspersky mencatat bahwa dalam beberapa kasus, pelaku ancaman menggunakan metode pengkodean yang melibatkan fungsi usang seperti “unescape()”, yang menggantikan urutan karakter “%xx” dalam string dengan setara ASCII mereka.

Meskipun fungsi ini telah digantikan oleh decodeURI() dan decodeURIComponent() saat ini, sebagian besar browser modern masih mendukungnya. Namun, itu mungkin diabaikan oleh alat keamanan dan mesin antispam yang lebih fokus pada metode saat ini.

Distribusi lampiran HTML pertama kali terlihat melonjak pada tahun 2019, tetapi tetap menjadi teknik umum pada kampanye phishing tahun 2022, sehingga harus dilihat sebagai tanda bahaya.

Email phishing dengan lampiran HTML (Kaspersky)

Bleeping Computer