Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Mozilla Rilis Produk Keamanan untuk Beberapa Produk Firefox

by

Mozilla mengumumkan pembaruan keamanan pada situs resminya pada hari jum’at, 20 mei. Versi baru Firefox ini adalah Firefox 100.0.2, Firefox ESR 91.9.1, Thunderbird 91.9.1 dan Firefox untuk Android 100.3.

Pembaruan ini memperbaiki 2 kerentanan, yang dapat dieksploitasi untuk mengendalikan sistem yang terpengaruh. Kerentanan tersebut adalah :

  • CVE-2022-1802: Polusi prototipe dalam implementasi Tingkat Atas Menunggu. Jika penyerang dapat merusak metode objek Array dalam JavaScript melalui polusi prototipe, mereka dapat mencapai eksekusi kode JavaScript yang dikendalikan penyerang dalam konteks istimewa.
  • CVE-2022-1529: Input tidak tepercaya yang digunakan dalam pengindeksan objek JavaScript, yang menyebabkan polusi prototipe. Penyerang bisa saja mengirim pesan ke proses induk di mana konten digunakan untuk mengindeks ganda ke objek JavaScript, yang mengarah ke polusi prototipe dan akhirnya JavaScript yang dikendalikan penyerang mengeksekusi dalam proses induk yang diistimewakan.

Oleh karena itu, pengguna disarankan untuk segera melakukan pembaruan keamanan.

Sumber: Mozilla Update

Google: Predator spyware menginfeksi perangkat Android menggunakan zero-days

by

Grup Analisis Ancaman Google (TAG) mengatakan bahwa aktor ancaman yang didukung negara menggunakan lima kerentanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.

Dalam serangan ini, bagian dari tiga kampanye yang dimulai antara Agustus dan Oktober 2021, penyerang menggunakan eksploitasi zero-day yang menargetkan Chrome dan OS Android untuk memasang implan spyware Predator pada perangkat Android yang sepenuhnya diperbarui.

Pelaku kejahatan yang didukung pemerintah yang membeli dan menggunakan eksploitasi ini untuk menginfeksi target Android dengan spyware berasal dari Mesir, Armenia, Yunani, Madagaskar, Pantai Gading, Serbia, Spanyol, dan Indonesia, menurut analisis Google.

Temuan ini sejalan dengan laporan tentang spyware tentara bayaran Cytrox yang diterbitkan oleh CitizenLab pada Desember 2021, ketika para penelitinya menemukan alat berbahaya di telepon politisi Mesir yang diasingkan, Ayman Nour.

Ponsel Nour juga terinfeksi spyware Pegasus NSO Group, dengan dua alat yang dioperasikan oleh dua klien pemerintah yang berbeda menurut penilaian CitizenLab.

Lima kerentanan keamanan 0 hari yang sebelumnya tidak diketahui yang digunakan dalam kampanye ini meliputi CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 di Chrome dan CVE-2021-1048 di Android

Pelaku ancaman menyebarkan eksploitasi yang menargetkan zero-days ini dalam tiga kampanye terpisah:

  • Kampanye #1 – mengalihkan ke SBrowser dari Chrome (CVE-2021-38000)
  • Kampanye #2 – Escape sandbox Chrome (CVE-2021-37973, CVE-2021-37976)
  • Kampanye #3 – Rantai eksploitasi Android 0 hari penuh (CVE-2021-38003, CVE-2021-1048)

“Ketiga kampanye mengirimkan tautan satu kali yang meniru layanan pemendek URL ke pengguna Android yang ditargetkan melalui email. Kampanye terbatas — dalam setiap kasus, kami menilai jumlah target mencapai puluhan pengguna,” tambah analis Google TAG.

“Setelah diklik, tautan mengarahkan target ke domain milik penyerang yang mengirimkan eksploitasi sebelum mengarahkan browser ke situs web yang sah. Jika tautan tidak aktif, pengguna diarahkan langsung ke situs web yang sah.”

Teknik serangan ini juga digunakan terhadap jurnalis dan pengguna Google lainnya yang diberi tahu bahwa mereka adalah target serangan yang didukung pemerintah.

Dalam kampanye ini, penyerang pertama kali menginstal trojan perbankan Android Alien dengan fungsi RAT yang digunakan untuk memuat implan Android Predator, memungkinkan perekaman audio, menambahkan sertifikat CA, dan menyembunyikan aplikasi.

Laporan ini merupakan tindak lanjut dari analisis Juli 2021 dari empat kelemahan 0 hari lainnya yang ditemukan pada tahun 2021 di Chrome, Internet Explorer, dan WebKit (Safari).

Seperti yang diungkapkan peneliti Google TAG, peretas pemerintah yang didukung Rusia yang terhubung dengan Layanan Intelijen Asing Rusia (SVR) mengeksploitasi Safari zero-day untuk menargetkan perangkat iOS milik pejabat pemerintah dari negara-negara Eropa Barat.

Sumber: Bleeping Computer

PDF menyelundupkan dokumen Microsoft Word untuk menjatuhkan malware Snake Keylogger

by

Analis ancaman telah menemukan kampanye distribusi malware baru-baru ini menggunakan lampiran PDF untuk menyelundupkan dokumen Word berbahaya yang menginfeksi pengguna dengan malware.

Pilihan PDF tidak biasa, karena sebagian besar email berbahaya saat ini datang dengan lampiran DOCX atau XLS yang dicampur dengan kode makro yang memuat malware.

Dalam laporan baru oleh HP Wolf Security, para peneliti menggambarkan bagaimana PDF digunakan sebagai transportasi untuk dokumen dengan makro jahat yang mengunduh dan menginstal malware pencuri informasi di mesin korban.

PDF datang melalui email bernama “Faktur Pengiriman Uang”, dan dugaan kami adalah bahwa badan email berisi janji pembayaran yang tidak jelas kepada penerima.

Saat PDF dibuka, Adobe Reader meminta pengguna untuk membuka file DOCX yang ada di dalamnya, yang sudah tidak biasa dan mungkin membingungkan korban.

Karena pelaku ancaman menyebut dokumen yang disematkan “telah diverifikasi”, perintah Buka File di bawah menyatakan, “File ‘telah diverifikasi.” Pesan ini dapat mengelabui penerima agar percaya bahwa Adobe memverifikasi file tersebut sebagai sah dan bahwa file tersebut aman untuk dibuka.

Dialog meminta persetujuan tindakan (HP)

Sementara analis malware dapat memeriksa file yang disematkan dalam PDF menggunakan parser dan skrip, pengguna biasa yang menerima email rumit ini tidak akan bertindak sejauh itu atau bahkan tahu harus mulai dari mana.

Dengan demikian, banyak yang dapat membuka DOCX di Microsoft Word, dan jika makro diaktifkan, akan mengunduh file RTF (format teks kaya) dari sumber jarak jauh dan membukanya.

DAPATKAN permintaan untuk mengambil file RTF (HP)

Pengunduhan RTF adalah hasil dari perintah berikut, yang disematkan dalam file Word bersama dengan URL hardcode “vtaurl[.]com/IHytw”, yang merupakan tempat payload di-host.

URL yang menghosting file RTF (HP)

Dokumen RTF diberi nama “f_document_shp.doc” dan berisi objek OLE yang salah format, kemungkinan menghindari analisis. Setelah beberapa rekonstruksi yang ditargetkan, analis HP menemukan bahwa ia mencoba menyalahgunakan kerentanan Editor Persamaan Microsoft lama untuk menjalankan kode arbitrer.

Shellcode yang didekripsi menyajikan payload (HP)

Shellcode yang digunakan mengeksploitasi CVE-2017-11882, bug eksekusi kode jarak jauh di Editor Persamaan yang diperbaiki pada November 2017 tetapi masih tersedia untuk dieksploitasi di alam liar.

Dengan mengeksploitasi CVE-2017-11882, shellcode dalam RTF mengunduh dan menjalankan Snake Keylogger, pencuri info modular dengan ketekunan yang kuat, penghindaran pertahanan, akses kredensial, pengumpulan data, dan kemampuan eksfiltrasi data.

Sumber: Bleeping Computer

Microsoft Teams di Windows 11 diretas pada hari pertama Pwn2Own

by

Selama hari pertama Pwn2Own Vancouver 2022, kontestan memenangkan $800.000 setelah berhasil mengeksploitasi 16 bug zero-day untuk meretas beberapa produk, termasuk sistem operasi Microsoft Windows 11 dan platform komunikasi Teams.

Yang pertama jatuh adalah Microsoft Teams dalam kategori komunikasi perusahaan setelah Hector Peralta mengeksploitasi cacat konfigurasi yang tidak tepat.

Tim STAR Labs (Billy Jheng Bing-Jhong, Muhammad Alifa Ramdhan, dan Nguyễn Hoàng Thạch) juga mendemonstrasikan rantai eksploitasi tanpa klik dari 2 bug (injeksi dan penulisan file arbitrer).

Microsoft Teams diretas untuk ketiga kalinya oleh Masato Kinugawa, yang mengeksploitasi rantai 3-bug dari injeksi, kesalahan konfigurasi, dan pelarian sandbox.

Masing-masing dari mereka memperoleh $150.000 karena berhasil mendemonstrasikan tim Microsoft mereka zero-days.

STAR Labs juga mendapatkan tambahan $40.000 setelah meningkatkan hak istimewa pada sistem yang menjalankan Windows 11 menggunakan kelemahan Use-After-Free dan tambahan $40.000 dengan mencapai eskalasi hak istimewa di Oracle Virtualbox.

Setelah kerentanan keamanan ditunjukkan dan diungkapkan selama Pwn2Own, vendor perangkat lunak dan perangkat keras memiliki waktu 90 hari untuk mengembangkan dan merilis perbaikan keamanan untuk semua kelemahan yang dilaporkan.

Selama kontes Pwn2Own Vancouver 2022, peneliti keamanan akan menargetkan produk di browser web, virtualisasi, Peningkatan Hak Istimewa Lokal, server, komunikasi perusahaan, dan kategori otomotif.

Sumber: BleepingComputer

Microsoft mendeteksi lonjakan besar dalam aktivitas malware XorDDoS Linux

by

Malware tersembunyi dan modular yang digunakan untuk meretas perangkat Linux dan membangun botnet DDoS telah mengalami peningkatan aktivitas yang sangat besar sebesar 254% selama enam bulan terakhir, seperti yang diungkapkan Microsoft hari ini.

Malware ini (aktif setidaknya sejak 2014) dikenal sebagai XorDDoS (atau XOR DDoS) karena penggunaan enkripsi berbasis XOR saat berkomunikasi dengan server perintah-dan-kontrol (C2) dan digunakan untuk meluncurkan penolakan layanan terdistribusi (DDoS) serangan.

Seperti yang diungkapkan perusahaan, keberhasilan botnet kemungkinan karena penggunaan ekstensif berbagai taktik penghindaran dan ketekunan yang memungkinkannya tetap tersembunyi dan sulit dihilangkan.

XorDDoS dikenal untuk menargetkan banyak arsitektur sistem Linux, dari ARM (IoT) hingga x64 (server), dan mengorbankan yang rentan dalam serangan brute force SSH.

Untuk menyebar ke lebih banyak perangkat, ia menggunakan skrip shell yang akan mencoba masuk sebagai root menggunakan berbagai kata sandi terhadap ribuan sistem yang terpapar Internet hingga akhirnya menemukan kecocokan.

Alur serangan XorDDoS (Microsoft)

Selain meluncurkan serangan DDoS, operator malware menggunakan botnet XorDDoS untuk menginstal rootkit, mempertahankan akses ke perangkat yang diretas, dan, kemungkinan, menjatuhkan muatan berbahaya tambahan.

Peningkatan besar dalam aktivitas XorDDoS yang dideteksi Microsoft sejak Desember sejalan dengan laporan oleh perusahaan keamanan siber CrowdStrike yang mengatakan bahwa malware Linux telah mengalami pertumbuhan 35% selama tahun 2021 dibandingkan tahun sebelumnya.

XorDDoS, Mirai, dan Mozi adalah keluarga yang paling umum, terhitung 22% dari semua serangan malware yang menargetkan perangkat Linux yang diamati pada tahun 2021.

Dari ketiganya, CrowdStrike mengatakan bahwa XorDDoS mengalami peningkatan signifikan dari tahun ke tahun sebesar 123%, sementara Mozi memiliki pertumbuhan aktivitas yang eksplosif, dengan sepuluh kali lebih banyak sampel terdeteksi di alam liar sepanjang tahun lalu.

Laporan Februari 2021 dari Intezer juga mengungkapkan bahwa keluarga malware Linux meningkat sekitar 40% pada tahun 2020 dibandingkan dengan 2019.

Sumber: Bleeping Computer

Geng Ransomware lebih mengandalkan kerentanan persenjataan

by

Peneliti keamanan memperingatkan bahwa layanan akses jarak jauh eksternal terus menjadi vektor utama geng ransomware untuk menembus jaringan perusahaan, tetapi ada peningkatan penting dalam mengeksploitasi kerentanan.

Seiring dengan phishing dan mengeksploitasi kerentanan dalam aplikasi yang menghadap publik, ini adalah metode utama kompromi yang pada akhirnya menyebabkan pelaku ancaman mencuri data dan mengenkripsi sistem.

sumber: Group-IB

Menurut perusahaan keamanan siber Group-IB, pelaku ancaman biasanya menargetkan server desktop jarak jauh (RDP) yang diekspos di web untuk akses awal ke jaringan.

Kredensial yang disusupi juga populer di beberapa afiliasi ransomware, yang menggunakan login untuk menyerang infrastruktur dari dalam.

Perusahaan keamanan siber mencatat dalam sebuah laporan hari ini bahwa tahun lalu geng ransomware mulai fokus pada beberapa kerentanan dalam aplikasi yang dihadapi publik, dan bergerak cepat untuk menambahkan eksploitasi untuk masalah keamanan yang baru diungkapkan.

Di antara kerentanan paling menonjol yang diidentifikasi oleh Group-IB sebagai digunakan oleh pelaku ancaman ransomware pada tahun 2021 adalah sebagai berikut:

  • CVE-2021-20016 (SonicWall SMA100 SSL VPN)
  • CVE-2021-26084 (Pertemuan Atlassian)
  • CVE-2021-26855 (Microsoft Exchange)
  • CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, dan CVE-2021-27104 (Accellion FTA)
  • CVE-2021-30116 (Kaseya VSA)
  • CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207 (Microsoft Exchange)
  • CVE-2021-35211 (Angin Matahari)

Laporan bersama yang baru-baru ini diterbitkan dari Cyber ​​Security Works, Securin, Cyware, dan Ivanti mencatat bahwa jumlah kerentanan yang terkait dengan serangan ransomware telah berkembang menjadi 310 pada kuartal pertama tahun 2022.

Namun, tidak semua bug itu baru. Setengah dari kelemahan yang baru-baru ini terkait dengan serangan ransomware terungkap pada tahun 2019. Namun, ada banyak eksploitasi publik untuk mereka, yang membuat pekerjaan penyerang menjadi lebih mudah.

Pada kuartal pertama tahun 2022, keempat perusahaan menemukan bahwa pelaku ransomware secara aktif mengeksploitasi total 157 kerentanan, sedikit lebih banyak dari pada kuartal sebelumnya.

sumber: laporan penelitian ransomware

Melihat situs kebocoran aktor ancaman, Group-IB mengatakan bahwa geng ransomware menerbitkan informasi dari 3.500 korban, kebanyakan dari mereka berbasis di AS (1.655).

Operasi ransomware paling agresif pada tahun 2021 adalah LockBit dan Conti (juga dikonfirmasi dalam laporan dari perusahaan lain), masing-masing dengan jumlah korban 670 dan 640, masing-masing. Tempat ketiga ditempati oleh Pysa, dengan data dari 186 korban dipublikasikan di situs kebocoran mereka.

sumber: Group-IB

Tim forensik digital dan respons insiden (DFIR) perusahaan menyelidiki lebih dari 700 serangan ransomware tahun lalu dan menemukan bahwa pemalsuan data telah terjadi pada 63% kasus.

Berdasarkan data yang dikumpulkan dari insiden ini, Group-IB memperkirakan bahwa permintaan tebusan rata-rata $247.000 tahun lalu.

Eksfiltrasi data tetap menjadi taktik yang kuat bagi pelaku ransomware untuk menekan korban agar membayar uang tebusan. Beberapa geng telah melangkah lebih jauh dengan membuat alat khusus dan menawarkannya kepada afiliasi.

Di antara teknik yang diamati oleh Group-IB dalam serangan ransomware, di bagian atas bagan adalah penggunaan penerjemah perintah dan skrip serta layanan jarak jauh, keduanya menjadi bagian dari semua serangan yang diselidiki oleh para peneliti.

Selain itu, musuh juga menggunakan berbagai metode untuk menemukan sistem jarak jauh, mencuri kredensial (Mimikatz, Lazagne), dan menonaktifkan alat keamanan.

Sumber: Group IB

Adapun alat yang digunakan dalam berbagai langkah serangan, Group-IB membuat 10 besar, di mana SoftPerfect Network Scanner berada di urutan teratas.

Di lebih dari setengah insiden ransomware yang diselidiki, para peneliti menemukan suar Cobalt Strike, alat umum untuk tahap pasca-eksploitasi karena memungkinkan berbagai tindakan (eksekusi skrip, penekanan tombol logging, unduhan file).

Sumber: Group IB

Pembela dapat menggunakan informasi ini untuk mengatur deteksi yang dapat menangkap aktivitas berbahaya yang sedang berlangsung sebelum serangan terakhir terjadi.

Namun, meskipun mengubah taktik, dan mengadopsi alat dan teknik baru, tahap utama serangan ransomware tetap sama:

Sumber: Group IB

Oleg Skulkin, kepala tim DFIR Group-IB, mengatakan bahwa penggabungan taktik, teknik, dan prosedur (TTPs) karena afiliasi yang bermigrasi dari satu operasi ransomware ke operasi ransomware lainnya mempersulit profesional keamanan untuk melacak metode yang diadopsi musuh ini.

Namun, mendefinisikan tren utama dengan cara standar seperti matriks MITER ATT@CK akan mempermudah persiapan menghadapi insiden ransomware.

Sumber: Bleeping Computer

Peretas Lazarus menargetkan server VMware dengan eksploitasi Log4Shell

by

Kelompok peretas Korea Utara yang dikenal sebagai Lazarus mengeksploitasi kerentanan eksekusi kode jarak jauh Log4J untuk menyuntikkan pintu belakang yang mengambil muatan pencuri informasi di server VMware Horizon.

Kerentanan dilacak sebagai CVE-2021-44228, alias Log4Shell, dan berdampak pada banyak produk, termasuk VMware Horizon.

Eksploitasi penyebaran Horizon yang rentan dimulai pada Januari 2022, tetapi banyak admin belum menerapkan pembaruan keamanan yang tersedia.

Menurut laporan yang diterbitkan oleh analis di ASEC Ahnlab, Lazarus telah menargetkan produk VMware yang rentan melalui Log4Shell sejak April 2022.

Untuk memulai serangan, pelaku ancaman mengeksploitasi kerentanan Log4j melalui layanan Apache Tomcat Vmware Horizon untuk menjalankan perintah PowerShell. Perintah PowerShell ini pada akhirnya akan mengarah pada pemasangan pintu belakang NukeSped di server.

Log untuk instalasi NukeSped (ASEC)

NukeSped (atau NukeSpeed) adalah malware backdoor yang pertama kali dikaitkan dengan peretas DPRK pada musim panas 2018 dan kemudian ditautkan ke kampanye 2020 yang diatur oleh Lazarus.

Varian terbaru yang diambil sampelnya dan dianalisis oleh ASEC ditulis dalam C++ dan menggunakan enkripsi RC4 untuk berkomunikasi secara aman dengan infrastruktur C2. Sebelumnya, ini menggunakan XOR.

NukeSped melakukan berbagai operasi spionase di lingkungan yang disusupi, seperti mengambil tangkapan layar, merekam penekanan tombol, mengakses file, dll. Selain itu, NukeSped mendukung perintah baris perintah.

Dua modul baru yang terlihat pada varian NukeSped saat ini adalah satu untuk membuang konten USB dan satu untuk mengakses perangkat kamera web.

Lazarus menggunakan NukeSped untuk menginstal malware pencuri informasi berbasis konsol tambahan, yang mengumpulkan informasi yang disimpan di browser web.

Pencuri info mengambil data dari browser (ASEC)

Lebih khusus lagi, malware yang dianalisis oleh ASEC dapat mencuri data berikut:

  • Kredensial akun dan riwayat penelusuran disimpan di Google Chrome, Mozilla Firefox, Internet Explorer, Opera, dan Naver Whale.
  • Informasi akun email yang disimpan di Outlook Express, MS Office Outlook, dan Windows Live Mail.
  • Nama file yang baru saja digunakan dari MS Office (PowerPoint, Excel, dan Word) dan Hancom 2010.
  • Dalam beberapa serangan, Lazarus terlihat menggunakan Jin Miner alih-alih NukeSped dengan memanfaatkan Log4Shell.

      • Karena Jin Miner adalah penambang cryptocurrency, Lazarus mungkin menggunakannya pada sistem yang kurang kritis yang ditargetkan untuk keuntungan moneter daripada spionase dunia maya.

      Sejak awal tahun, Lazarus terlihat menggunakan LoLBins dalam kampanye penargetan Windows dan aplikasi cryptocurrency berbahaya untuk menyusup ke komputer Windows dan macOS.

      Eksploitasi Log4Shell muncul di atas ini untuk menggarisbawahi berbagai taktik yang digunakan oleh kelompok peretasan dan untuk menggarisbawahi bahwa kelemahan RCE yang kritis tetap menjadi masalah keamanan yang signifikan.

      Pada bulan Maret, sebagian besar upaya eksploitasi dilakukan oleh botnet, sehingga banyak yang berasumsi bahwa penargetan berfokus pada sistem yang kurang diperhatikan dengan baik dan kurang penting.

      Pada bulan April, analis keamanan mengingatkan publik bahwa permukaan serangan Log4Shell tetap besar dan akan bertahan lama karena tantangan praktis.

      Sumber: Bleeping Computer

    Situs web phishing sekarang menggunakan chatbot untuk mencuri kredensial Anda

    by

    Serangan phishing sekarang menggunakan chatbot otomatis untuk memandu pengunjung melalui proses penyerahan kredensial login mereka kepada pelaku ancaman.

    Pendekatan ini mengotomatiskan proses untuk penyerang dan memberikan rasa legitimasi kepada pengunjung situs jahat, karena chatbot biasanya ditemukan di situs web untuk merek yang sah.

    Perkembangan baru dalam serangan phishing ini ditemukan oleh para peneliti di Trustwave.

    Proses phishing dimulai dengan email yang mengklaim berisi informasi tentang pengiriman paket, menyamar sebagai merek pengiriman DHL.

    Contoh email phishing (Trustwave)

    Mengklik tombol ‘Ikuti instruksi kami’ di email memuat file PDF yang berisi tautan ke situs phishing. Pelaku ancaman menampilkan tautan phishing dalam dokumen PDF untuk melewati perangkat lunak keamanan email.

    PDF yang dapat diunduh berisi tautan berbahaya
    (gelombang kepercayaan)

    Namun, tombol URL (atau tautan) dalam PDF membawa korban ke situs phishing (dhiparcel-management[.]support-livechat[.]24mhd[.]com) tempat mereka seharusnya menyelesaikan masalah yang menyebabkan paket menjadi tidak terkirim.

    Saat halaman phishing dimuat, pengunjung akan disambut dengan obrolan web yang menjelaskan mengapa paket tidak dapat dikirimkan, alih-alih diperlihatkan formulir login palsu yang biasa digunakan untuk mencuri kredensial.

    Webchat ini menjelaskan bahwa label paket rusak, mencegah pengirimannya. Obrolan web juga menampilkan foto paket yang diduga untuk menambah legitimasi penipuan.

    Chatbot di situs phishing (Trustwave)

    Asisten virtual ini menawarkan tanggapan yang telah ditentukan sebelumnya untuk pengunjung, sehingga percakapan tetap, selalu mengarah ke foto paket yang diduga menampilkan label yang rusak.

    Karena masalah ini, chatbot meminta korban untuk memberikan informasi pribadi mereka seperti alamat rumah atau bisnis, nama lengkap, nomor telepon, dll.

    Setelah itu, pengiriman seharusnya dijadwalkan, dan langkah CAPTCHA palsu ditampilkan untuk bertindak sebagai satu lagi pengiriman legitimasi palsu ke halaman phishing.

    Selanjutnya, korban diarahkan ke halaman phishing yang mengharuskan memasukkan kredensial akun DHL dan akhirnya, mengarah ke langkah pembayaran, yang seharusnya untuk menutupi biaya pengiriman.

    Halaman “Pembayaran Aman” terakhir berisi bidang pembayaran kartu kredit biasa, termasuk nama pemegang kartu, nomor kartu, tanggal kedaluwarsa, dan kode CVV.

    Bidang pembayaran kartu kredit (Trustwave)

    Ketika rincian dimasukkan dan tombol “Bayar Sekarang” diklik, korban menerima kata sandi satu kali (OTP) pada nomor ponsel yang diberikan melalui SMS, yang menambah rasa legitimasi.

    Layar verifikasi kata sandi satu kali (Trustwave)

    Analis Trustwave menguji memasukkan karakter acak, dan sistem mengembalikan kesalahan tentang kode keamanan yang tidak valid, sehingga implementasi verifikasi OTP adalah nyata.

    Jika kode yang dimasukkan benar, halaman palsu menampilkan “Terima kasih!” pesan dan mengkonfirmasi bahwa kiriman telah diterima.

    Pelaku ancaman semakin menggunakan mekanisme yang umumnya ditemukan di situs web nyata, seperti CAPTCHA, OTP, dan sekarang bahkan chatbot, sehingga menyulitkan korban untuk menemukan upaya untuk mencuri informasi mereka.

    Ini memerlukan kewaspadaan yang lebih besar saat menerima komunikasi yang tidak diminta yang meminta tindakan segera Anda, terutama jika pesan ini berisi tombol yang disematkan dan tautan URL.

    Jika DHL atau layanan pengiriman lainnya memerlukan tindakan Anda, Anda harus selalu membuka situs web yang sebenarnya di tab browser baru alih-alih mengklik tautan yang disediakan.

    Cara terbaik untuk menemukan halaman phishing adalah dengan memeriksa URL situs web tersebut. Jika terlihat mencurigakan atau tidak cocok dengan domain yang sah, jangan masukkan informasi pribadi apa pun ke dalam halaman.

    Dalam hal ini, URL DHL palsu diakhiri dengan domain “24mhd.com,” yang jelas-jelas bukan situs web DHL dan merupakan tanda yang jelas dari upaya phishing.

    Sumber: Bleeping Computer