Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Mekotio Versi Lebih Tersembunyi Terlihat di Alam Bebas

by Leave a Comment

Trojan perbankan versi baru Mekotio sedang digunakan di alam bebas. Analis malware melaporkan bahwa itu menggunakan aliran infeksi baru yang lebih tersembunyi.

Aktivitas penting terakhir dari Mekotio dimulai pada musim panas 2020 ketika operator trojan menyebarkannya dalam kampanye yang menargetkan negara-negara Amerika Latin.

Aliran serangan baru

Infeksi dimulai dengan email phishing (berupa paket lampiran ZIP yang berisi skrip batch yang gak jelas) yang menjalankan skrip PowerShell.

Setelah skrip PowerShell masuk, skrip akan mengunduh arsip ZIP kedua setelah beberapa lokasi dasar dan pemeriksaan anti-analisis.

Jika pemeriksaan mengkonfirmasi korban berada di Amerika Latin dan malware tidak berjalan di mesin virtual, ZIP kedua yang berisi muatan Mekotio dalam bentuk DLL akan diekstraksi.

Sumber: CheckPoint

Alur serangan multi-langkah seperti di atas mungkin tampak tidak perlu rumit, tetapi mereka diperlukan untuk menghindari deteksi dan berhasil menyebarkan muatan akhir.

Salah satu keuntungan dari serangan modular adalah kemampuan tambahan untuk membuat perubahan halus yang membuat metode deteksi sebelumnya tidak berguna.

Inilah yang terjadi dalam pengembangan Mekotio, karena kode trojan sebagian besar tetap tidak berubah, dengan pembuatnya sebagian besar mengubah banyak hal daripada menambahkan kemampuan baru.

Sumber: CheckPoint

Kode lama dalam bungkus baru

Tiga elemen baru yang membuat versi Mekotio terbaru lebih sulit dideteksi adalah sebagai berikut:

  • File batch yang lebih tersembunyi dengan setidaknya dua lapisan kebingungan
  • Skrip PowerShell tanpa file baru yang berjalan langsung di memori
  • Penggunaan Themida v3 untuk mengemas muatan DLL akhir

Tujuan utama trojan tidak lain untuk mencuri kredensial e-banking dan kata sandi akun orang-orang.

Beberapa varian Mekotio sebelumnya juga dapat membajak pembayaran cryptocurrency dan mengarahkannya ke dompet yang dikendalikan aktor, tetapi versi terbaru telah menghapus fungsi ini.

Tahun lalu, ESET menandai trojan khusus ini “kacau” karena pengembangan bersamaan yang menghasilkan sirkulasi bersamaan untuk setiap variannya.

Aktivitas itu kini telah berkurang, dan aktivitas terbaru menggunakan varian yang dianalisis oleh CheckPoint.

Sumber: Bleepingcomputer

Usai Tutup: BlackMatter Ransomware Giring Korban ke Lockbit

by

Dengan ditutupnya operasi ransomware BlackMatter, afiliasi yang ada memindahkan korban mereka ke situs ransomware LockBit yang bersaing untuk pemerasan lanjutan.

Pagi ini, tersiar kabar bahwa geng ransomware BlackMatter ditutup setelah anggotanya hilang dan ditekan lebih kuat oleh penegak hukum.

Sebagai bagian dari penutupan ini, operator ransomware mengizinkan afiliasi menerima dekripsi untuk negosiasi yang ada sehingga mereka dapat terus memeras korban.

Sementara infrastruktur BlackMatter masih aktif, BleepingCompuer telah mengetahui bahwa afiliasi memindahkan korban yang ada ke situs negosiasi ransomware LockBit.

Dalam obrolan negosiasi BlackMatter yang ada, afiliasi menyediakan tautan korban ke situs Tor LockBit di mana halaman negosiasi baru telah disiapkan untuk mereka.

Sumber: Bleepingcomputer

Di halaman negosiasi LockBit ini, afiliasi BlackMatter terus bernegosiasi dengan korban untuk menerima pembayaran uang tebusan.

Adapun BlackMatter, mereka melanjutkan penutupan mereka. Agenda hari ini adalah menghapus kehadiran mereka dari forum peretasan berbahasa Rusia.

Peneliti keamanan pancak3lullz telah mengikuti aktivitas pembersihan BlackMatter, menunjukkan bahwa geng tersebut menarik 4 Bitcoin (~$250.000) hari ini dari forum peretasan Exploit dan menonaktifkan akun mereka.

Sumber: pancak3lullz

Mereka juga telah mengedit postingan-postingan sebelumnya dan meminta moderator untuk menghapusnya.

Sumber: pancak3lullz

Dengan REvil dan BlackMatter sekarang ditutup, LockBit telah menjadi salah satu operasi ransomware terbesar dan tersukses yang berjalan saat ini.

Perwakilan LockBit yang dikenal sebagai ‘LockbitSupp’ terbukti sebagai aktor yang cerdas yang terus-menerus menyesuaikan taktik untuk merekrut afiliasi baru, terutama saat operasi yang sudah mapan ditutup.

Sementara BlackMatter kemungkinan akan mengubah citra dan kembali sebagai operasi ransomware baru, kemitraan mereka dengan LockBit dapat merugikan mereka dalam jangka panjang karena mereka kehilangan afiliasi yang berpengalaman.

Sumber: Bleepingcomputer

BlackMatter Ransomware Diduga Tutup karena Desakan Polisi

by

Ransomware BlackMatter diduga menghentikan operasinya karena tekanan dari pihak berwenang dan operasi penegakan hukum baru-baru ini.

BlackMatter mengoperasikan situs web ransomware-as-a-service (RaaS) pribadi yang dapat digunakan afiliasi untuk berkomunikasi dengan operator inti, membuka tiket dukungan, dan menerima ransomware baru.

Hari ini, tim riset keamanan VX-Underground mengirim screenshot pesan yang diduga diposting oleh operator BlackMatter pada 1 November di situs webnya. Postingan ini mengingatkan para afiliasi bahwa operasi ransomware ditutup dalam 48 jam.

Source: VX-Underground

Kasarnya, artinya sebagai berikut:

Karena keadaan tertentu yang tidak dapat diselesaikan terkait dengan tekanan dari pihak berwenang (sebagian dari tim tidak lagi tersedia, setelah berita terbaru) – proyek ditutup.

Setelah 48 jam, seluruh infrastruktur akan dimatikan, sehingga:

  • Kirim surat ke perusahaan untuk informasi lebih lanjut.
  • Kasih decryptor di roomchat perusahaan, jika perlu.

Sukses selalu. Senang bekerja dengan kalian.

Jika postingan ini resmi dan BlackMatter berhenti beroperasi, bukan berarti oknum-oknum berhenti memeras korban yang ada.

Berdasarkan postingan tersebut, situs RaaS mengijinkan afiliasi untuk menerima decryptor untuk korban yang ada sehingga mereka dapat terus memeras korban.

Kemungkinan kembali sebagai ransomeware baru

Namun, kalau pun BlackMatter menghentikan operasinya, kemungkinan kita akan melihat mereka kembali sebagai grup yang berbeda di masa mendatang.

Ketika geng ransomware dapat tekanan dari penegak hukum, biasanya mereka menutup operasi dan balik lagi dengan nama baru.

BlackMatter sebenarnya adalah citra baru dari operasi DarkSide, yang ditutup setelah menyerang Colonial Pipeline dan ditekan penuh dari penegakan hukum internasional.

Operasi ransomware lain yang telah berganti nama di masa lalu meliputi:

  • REvil ke GandCrab
  • Labirin ke Egregor
  • Bitpaymer ke DoppelPaymer ke Duka
  • Nemty ke Nefilim ke Karma

Ini tinggal masalah waktu saja sampai operator BlackMatter rilis kembali dengan nama yang berbeda.

CyberDict

Afiliasi: Metode pemasaran/bisnis di mana seseorang mendapatkan sejumlah komisi karena berhasil menjual produk perusahaan. Dalam konteks RaaS, oknum memakai jasa BlackMatter sebagai sumber malware untuk disebar, lalu mendapatkan komisi dari korban yang menebus decryptor.

Decyrptor: Kunci untuk membuka data yang telah dienkripsi sehingga bisa diakses si pemilik data.

Sumber: Bleepingcomputer, Hostinger

Pembaruan Microsoft 365 Membuat Atasan Anda Dapat Melihat Aktivitas Browsing Anda

by

Microsoft sedang mempersiapkan beberapa pembaruan kecil yang dapat mengekang antusiasme karyawan yang melanggar aturan. Berita ini kembali datang dari layanan peta jalan Microsoft, di mana Redmond mempersiapkan Anda untuk kegembiraan yang akan datang.

“Pusat kepatuhan Microsoft 365: Manajemen risiko orang dalam — Peningkatan visibilitas di browser.”
Ini merupakan peta jalan untuk administrator. Ketika Anda memberikan “peningkatan visibilitas di browser” kepada administrator, hal tersebut merupakan peningkatan pengawasan terhadap apa yang diketik karyawan di browser tersebut.

Microsoft menargetkan “aktivitas berisiko.” Yang mungkin, memiliki semacam definisi. mereka menawarkan tautan ke pusat kepatuhannya, dimana kalimat pertama memiliki pelapor bawaan: “Browser web sering digunakan oleh pengguna untuk mengakses file sensitif dan non-sensitif dalam suatu organisasi.”

Dan apa yang dipantau oleh pusat kepatuhan? Mengapa, “file yang disalin ke penyimpanan cloud pribadi, file yang dicetak ke perangkat lokal atau jaringan, file yang ditransfer atau disalin ke jaringan berbagi, file yang disalin ke perangkat USB.”

Anda mungkin berasumsi bahwa ini masalahnya? Mungkin. Tapi sekarang akan ada peningkatan visibilitas secara misterius.

“Bagaimana visibilitas ini bisa ditingkatkan?,” Ada sedikit pembaruan peta jalan lain yang mungkin menawarkan petunjuk.

Microsoft menyatakan: “Pusat kepatuhan Microsoft 365: Manajemen risiko orang dalam — Pendeteksi ML baru.”

Perusahaan Anda akan segera memiliki robot ekstra-khusus untuk merangkak mengikuti dan mengamati setiap tindakan “berisiko” Anda. Meningkatkan visibilitas di browser tidaklah cukup, Anda juga harus memiliki Machine Learning yang terus-menerus waspada terhadap seseorang yang mengungkapkan jadwal makan siang Anda.

Microsoft menawarkan tautan ke halaman Manajemen Risiko Orang Dalam. “Pelanggan mengakui wawasan yang terkait dengan perilaku, karakter, atau kinerja pengguna individu yang secara material terkait dengan pekerjaan dapat dihitung oleh administrator dan tersedia bagi orang lain dalam organisasi.”

Semakin mudah bagi karyawan untuk berperilaku dengan cara yang sedikit jahat, maka harus ada keamanan untuk mencegah mereka melakukannya.
Semakin banyak kelemahan dunia maya, semakin seseorang mungkin ingin mengeksploitasinya.

Pada akhirnya, tentu saja, ini adalah representasi kecil lainnya dari kurangnya kepercayaan di antara manusia terutama antara manajemen dan karyawan. Semakin banyak perusahaan menurunkan perangkat lunak mata-mata kepada karyawan mereka terutama karyawan yang bekerja dari rumah maka semakin sedikit kepercayaan yang ada di antara mereka yang bekerja dan mereka yang mengelola.

Semakin banyak perusahaan ingin mengikuti setiap momen kehidupan kerja karyawan mereka dan bahkan kehidupan non-kerja maka akan semakin sedikit rasanya kita semua bersama-sama.

Microsoft 365 mengikuti Anda sekitar 365 hari setahun.

Selengkapnya : Microsoft will now snitch on you

Menerima Email Berisi Link Google Drive Misterius? Jangan Dibuka!

by Leave a Comment

Kampanye phishing baru mencari korban dengan mengirim supplier list palsu berisi ransomware MirCop yang meminta tebusan. Dapat mengenkripsi sistem target dalam waktu kurang dari lima belas menit.

Gambar Supplier List yang Diburamkan (sumber: bleeping computer)

Para pelaku memulai serangan dengan mengirimkan email yang tidak diminta korban. Email berisi gambar yang diburamkan dan link Google Drive yang dapat di klik.

Badan email berisi hyperlink ke URL Google Drive yang jika diklik akan mengunduh file MHT (arsip halaman web) ke perangkat korban.

Google Drive digunakan untuk memberikan legitimasi ke email dan sangat selaras dengan praktik pekerja sehari-hari.

Mereka yang membuka file tersebut hanya dapat melihat gambar buram dari apa yang seharusnya merupakan daftar pemasok, dicap dan ditandatangani untuk sentuhan legitimasi ekstra.

Ketika file MHT dibuka, itu akan mengunduh arsip RAR yang berisi pengunduh malware .NET dari “hXXps://a[.]pomf[.]cat/gectpe.rar”.

Arsip RAR berisi file EXE, yang menggunakan skrip VBS untuk menjatuhkan dan menjalankan muatan MirCop ke sistem yang terinfeksi.

Ransomware langsung aktif dan mulai mengambil tangkapan layar, mengunci file, mengubah latar belakang menjadi gambar bertema zombie yang mengerikan, dan menawarkan petunjuk kepada korban tentang apa yang harus dilakukan selanjutnya.

Menurut Cofense, seluruh proses ini memakan waktu kurang dari 15 menit sejak korban membuka email phishing.

Setelah itu, pengguna hanya diperbolehkan membuka browser web tertentu untuk berkomunikasi dengan pelaku dan mengatur pembayaran uang tebusan.

Para pelaku tidak tertarik untuk menyelinap ke dalam mesin korban secara sembunyi-sembunyi atau tinggal lama di sana untuk melakukan spionase dunia maya atau mencuri file untuk pemerasan.

Sebaliknya, serangan itu terjadi dengan cepat, dan sumber masalah menjadi jelas bagi korbannya

MicroCop adalah jenis ransomware lama yang digunakan untuk memberikan tuntutan tebusan yang tidak masuk akal kepada para korbannya.

Namun Michael Gillespie berhasil memecahkan enkripsinya dan merilis decryptor yang berfungsi secara gratis.

Bleeping Computer belum menguji apakah dekripsi lama itu berfungsi dengan muatan yang dijatuhkan di kampanye terbaru, tetapi ada kemungkinan bahwa itu masih dapat membuka kunci file.

Cofense mengatakan varian yang sama telah beredar sejak Juni tahun ini, jadi MicroCop masih ada di luar sana, dan orang harus berhati-hati dalam menangani email yang tidak diminta.

sumber: BLEEPING COMPUTER

Eksploitasi Microsoft Exchange ProxyShell yang digunakan untuk menyebarkan ransomware Babuk

by

Aktor ancaman baru meretas server Microsoft Exchange dan menerobos jaringan perusahaan menggunakan kerentanan ProxyShell untuk menyebarkan Ransomware Babuk.

Serangan ProxyShell terhadap server Microsoft Exchange yang rentan dimulai beberapa bulan yang lalu, dengan LockFile dan Conti menjadi salah satu kelompok ransomware pertama yang mengeksploitasinya.

Menurut sebuah laporan oleh para peneliti di Cisco Talos, afiliasi ransomware Babuk yang dikenal sebagai ‘Tortilla’ telah bergabung dengan klub pada bulan Oktober, ketika aktor tersebut mulai menggunakan web shell ‘China Chopper’ di server Exchange yang dilanggar.

Nama Tortilla didasarkan pada executable berbahaya yang terlihat dalam kampanye menggunakan nama Tortilla.exe.

Dimulai dengan Exchange

Serangan ransomware Babuk dimulai dengan DLL, atau .NET executable yang dijatuhkan di server Exchange menggunakan kerentanan ProxyShell. Proses pekerja Exchange IIS w3wp.exe kemudian mengeksekusi muatan berbahaya ini untuk menjalankan perintah PowerShell yang dikaburkan yang menampilkan perlindungan titik akhir yang melewati, yang akhirnya menjalankan permintaan web untuk mengambil pemuat muatan bernama ‘tortilla.exe.’

Pemuat ini akan terhubung ke ‘pastebin.pl’ dan mengunduh muatan yang dimuat ke dalam memori dan disuntikkan ke dalam proses NET Framework, yang pada akhirnya mengenkripsi perangkat dengan Babuk Ransomware.

Infection chain diagram
Source: Cisco

Meskipun analis Cisco menemukan bukti eksploitasi kerentanan ProxyShell di sebagian besar merupakan infeksi, terutama web shell ‘China Chopper’, data telemetri mencerminkan spektrum luas dari upaya eksploitasi.

Lebih khusus lagi, Tortilla mengikuti jalur ini untuk menghapus modul DLL dan NET:

  • Microsoft Exchange menemukan upaya pemalsuan permintaan sisi server secara otomatis
  • Upaya eksekusi kode jarak jauh injeksi Atlassian Confluence OGNL
  • Upaya eksekusi kode jarak jauh Apache Struts
  • Akses wp-config.php WordPress melalui upaya traversal direktori
  • Upaya bypass otentikasi SolarWinds Orion
  • Upaya eksekusi perintah jarak jauh Oracle WebLogic Server
  • Upaya deserialisasi objek Java sewenang-wenang Liferay

Serangan ini bergantung pada kerentanan yang ditambal, maka sangat disarankan agar admin meningkatkan server mereka ke versi terbaru untuk mencegahnya dieksploitasi dalam serangan.

Menggunakan Babuk dalam serangan baru

Babuk Locker adalah operasi ransomware yang diluncurkan pada awal 2021 ketika mulai menargetkan bisnis dan mengenkripsi data mereka dalam serangan pemerasan ganda.

Setelah melakukan serangan terhadap Departemen Kepolisian Metropolitan (MPD) Washinton DC, dan merasakan panas dari penegakan hukum AS, geng ransomware menutup operasi mereka.

Setelah kode sumber untuk versi pertama Babu dan pembuatnya bocor di forum peretasan, pelaku ancaman lainnya mulai memanfaatkan ransomware untuk meluncurkan serangan mereka sendiri.

Tidak jelas apakah Tortilla adalah afiliasi dari Babuk saat RaaS aktif atau apakah mereka hanya mengambil kode sumber strain ketika keluar untuk melakukan serangan baru.

Namun, karena catatan tebusan yang digunakan dalam serangan ini meminta uang $10.000 yang rendah di Monero, kemungkinan itu tidak dilakukan oleh operasi Babuk yang asli, yang menuntut uang tebusan yang jauh lebih besar dalam Bitcoin.

Tortilla’s ransom note
Source: Cisco

Menargetkan AS

Meskipun peneliti Talos melihat beberapa serangan di Jerman, Thailand, Brasil, dan Inggris, sebagian besar target Tortilla berbasis di AS.

I.P. alamat server unduhan terletak di Moskow, Rusia, yang dapat menunjukkan asal serangan ini, tetapi tidak ada kesimpulan atribusi dalam laporan tersebut. Domain ‘pastebin.pl’ yang digunakan untuk tahap pembongkaran sebelumnya telah disalahgunakan oleh kampanye distribusi AgentTesla dan FormBook.

Victim heatmap
Source: Cisco

Meskipun decryptor sebelumnya dirilis untuk ransomware Babuk, ia hanya dapat mendekripsi korban yang kunci pribadinya merupakan bagian dari kebocoran kode sumber.

Oleh karena itu, pelaku ancaman dapat terus menggunakan ransomware Babuk untuk meluncurkan operasi mereka sendiri, seperti ypelaku ancaman Tortilla.

SUMBER : Bleeping Computer

Cisco memperbaiki kredensial hard-code dan masalah kunci SSH default

by

Cisco telah merilis pembaruan keamanan untuk mengatasi kelemahan keamanan kritis yang memungkinkan penyerang yang tidak diautentikasi untuk masuk menggunakan kredensial hard-code atau kunci SSH default untuk mengambil alih perangkat yang belum ditambal.

CISA juga mendorong pengguna dan administrator hari ini untuk meninjau saran Cisco dan menerapkan semua pembaruan yang diperlukan untuk memblokir upaya untuk mengambil alih sistem yang terkena dampak.

Catalyst PON Switch kredensial hard-coded

Yang pertama dari dua kelemahan yang ditambal pada hari Rabu (dilacak sebagai CVE-2021-34795) hadir dengan skor CVSS 10/10 yang sempurna dan ditemukan di Cisco Catalyst Passive Optical Network (PON) Series Switches Optical Network Terminal (ONT).

“Kerentanan dalam layanan Telnet Cisco Catalyst PON Series Switches ONT dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi masuk ke perangkat yang terpengaruh dengan menggunakan akun debugging yang memiliki kata sandi default dan statis,” perusahaan menjelaskan dalam sebuah nasihat yang diterbitkan kemarin. .

Untungnya, kerentanan ini hanya dapat dieksploitasi dengan membuat sesi Telnet ke perangkat yang rentan dan masuk dengan kredensial hard-coded.

Karena Telnet tidak diaktifkan secara default pada perangkat yang terpengaruh, ini secara drastis membatasi jumlah target yang dapat diserang oleh aktor ancaman.

Daftar perangkat yang terpengaruh termasuk sakelar CGP-ONT-1P, CGP-ONT-4P, CGP-ONT-4PV, CGP-ONT-4PVC, dan CGP-ONT-4TVCW Catalyst PON.

Cisco mengkonfirmasi bahwa CVE-2021-34795 tidak berdampak pada Catalyst PON Switch CGP-OLT-8T dan Catalyst PON Switch CGP-OLT-16T.
Kunci SSH default di Cisco Policy Suite

Cacat keamanan kritis kedua yang ditambal kemarin dilacak sebagai CVE-2021-40119 dan disebabkan oleh penggunaan kembali kunci SSH statis di seluruh instalasi Cisco Policy Suite.

“Kerentanan dalam mekanisme otentikasi SSH berbasis kunci dari Cisco Policy Suite dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk masuk ke sistem yang terpengaruh sebagai pengguna root,” jelas Cisco.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengekstrak kunci dari sistem di bawah kendali mereka.”

Perangkat lunak Cisco Policy Suite merilis 21.2.0 dan yang lebih baru akan secara otomatis membuat kunci SSH baru selama proses instalasi tetapi tidak selama peningkatan.

Untuk menghasilkan kunci SSH baru dan menyebarkannya ke semua mesin, Anda dapat menggunakan langkah-langkah yang dirinci di bagian Rilis Tetap dari saran Cisco.

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan bahwa tidak ada kode eksploitasi konsep publik yang tersedia secara online untuk kedua kerentanan ini dan menambahkan bahwa mereka tidak mengetahui adanya eksploitasi yang sedang berlangsung di alam liar.

SUMBER : Bleeping Computer

Hati-hati: Phishing Discord Nitro menargetkan Steam Gamers

by

Phishing Steam baru yang dipromosikan melalui pesan Discord menjanjikan langganan Nitro gratis jika pengguna menghubungkan akun Steam mereka, yang kemudian digunakan peretas untuk mencuri item game atau mempromosikan penipuan lainnya.

Penipuan phishing dilakukan oleh banyak akun Discord yang dikontrol threat actors (orang yang mengancam keamanan di dunia maya) atau bot otomatis yang mengirim tautan ke pengguna lainnya tentang panduan cara mendapatkan Discord Nitro secara gratis.

“Lihat, di sini gratis nitro 1 bulan, cukup tautkan akun Steam Anda dan nikmati,” bunyi pesan phishing yang dikirim ke pengguna Discord seperti gambar di bawah ini.

Source: Malwarebytes

Meskipun terdengar seperti kampanye promosi, tautan membawa korban ke situs phishing yang dibuat penyerang agar terlihat seperti halaman Discord yang sah yang mempromosikan fitur Nitro.

Setelah mengklik tombol “Dapatkan Nitro”, formulir login Steam palsu ditampilkan, yang terlihat hampir identik dengan formulir yang sah.

Nyatanya, jendela pop-up yang terbuka adalah halaman phishing. Jadi, identitas Steam apa pun yang dimasukkan, dikirim langsung ke server peretas.

Source: Malwarebytes

Saat mencoba login, korban diperlihatkan kesalahan yang berkata, “Nama akun atau kata sandi yang Anda masukkan salah,” dan meminta pengguna untuk login lagi.

Metode verifikasi ganda ini memastikan bahwa tidak ada kesalahan pengetikan yang dibuat selama proses phishing dan identitas yang dicuri sudah benar.

Saat URL halaman phising ini dilaporkan dan dimasukkan ke daftar hitam, pelaku kejahatan mendaftarkan URL baru dan memindahkan operasi berbahaya mereka ke infrastruktur baru, seperti yang ditunjukkan oleh daftar di bawah.

Source: Malwarebytes

Begitulah umpan phishing terus berubah dengan umpan baru untuk memikat para gamer dengan janji akan sesuatu yang gratis.

Dengan demikian, saat menggunakan Discord, pengguna harus curiga terhadap pesan apa pun yang mengklaim menawarkan sesuatu secara gratis jika mereka mengklik URL.

Tidak ada hal yang ditawarkan secara gratis di luar platform itu sendiri, jadi jika Steam dan Discord menjalankan kampanye promosi bersama, Anda akan melihatnya di salah satu aplikasi/situs web resmi masing-masing.

Sumber: Bleeping Computer