Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

CISA Mendesak Vendor untuk Menyelesaikan Patch Bug BrakTooth

by

Para peneliti telah merilis kode eksploitasi publik dan alat bukti konsep untuk menguji perangkat Bluetooth terhadap bug keamanan System-on-a-Chip (SoC) yang berdampak pada beberapa vendor, termasuk Intel, Qualcomm, Texas Instruments, dan Cypress.

Secara kolektif dikenal sebagai BrakTooth, 16 kelemahan ini berdampak pada tumpukan Bluetooth komersial pada lebih dari 1.400 chipset yang digunakan di miliaran perangkat seperti smartphone, komputer, perangkat audio, mainan, perangkat IoT, dan peralatan industri.

Daftar perangkat dengan SoC yang rentan termasuk desktop dan laptop Dell, MacBook dan iPhone, beberapa model laptop Microsoft Surface, smartphone Sony dan Oppo, sistem infotainment Volo.

(Kamis, 4/11/21)CISA meminta vendor untuk menambal kerentanan ini setelah peneliti keamanan merilis bukti alat konsep untuk menguji perangkat Bluetooth terhadap eksploitasi BrakTooth.

federal agency juga mendorong produsen dan pengembang untuk meninjau rincian kerentanan yang diterbitkan oleh para peneliti pada bulan Agustus dan “memperbarui aplikasi Bluetooth System-on-a-Chip (SoC) yang rentan atau menerapkan solusi yang sesuai.”

Vendor Masih Mengerjakan Patch BrakTooth
Dampak yang terkait dengan bug BrakTooth adalah penolakan layanan (DoS) dengan merusak firmware perangkat atau membekukannya dengan memblokir komunikasi Bluetooth hingga eksekusi kode arbitrer yang dapat menyebabkan pengambilalihan total tergantung pada SoC rentan yang digunakan dalam target.

Pelaku ancaman yang mungkin ingin meluncurkan serangan BrakTooth hanya memerlukan papan ESP32 siap pakai yang harganya kurang dari $15, firmware Link Manager Protocol (LMP) kustom, dan komputer untuk menjalankan proof-of-concept (PoC) alat.

Sementara beberapa vendor telah mengeluarkan patch keamanan untuk mengatasi kerentanan BrakTooth, akan memakan waktu berbulan-bulan untuk menyebar ke semua perangkat yang belum ditambal.

Dalam kasus lain, vendor masih menyelidiki masalah, masih mengerjakan patch, atau belum mengumumkan status patch mereka.

Daftar vendor yang terkena dampak yang dilacak oleh peneliti dan status patch dapat ditemukan di tabel yang disematkan di bawah.

sumber: BLEEPING COMPUTER

Menerima Email Berisi Link Google Drive Misterius? Jangan Dibuka!

by Leave a Comment

Kampanye phishing baru mencari korban dengan mengirim supplier list palsu berisi ransomware MirCop yang meminta tebusan. Dapat mengenkripsi sistem target dalam waktu kurang dari lima belas menit.

Gambar Supplier List yang Diburamkan (sumber: bleeping computer)

Para pelaku memulai serangan dengan mengirimkan email yang tidak diminta korban. Email berisi gambar yang diburamkan dan link Google Drive yang dapat di klik.

Badan email berisi hyperlink ke URL Google Drive yang jika diklik akan mengunduh file MHT (arsip halaman web) ke perangkat korban.

Google Drive digunakan untuk memberikan legitimasi ke email dan sangat selaras dengan praktik pekerja sehari-hari.

Mereka yang membuka file tersebut hanya dapat melihat gambar buram dari apa yang seharusnya merupakan daftar pemasok, dicap dan ditandatangani untuk sentuhan legitimasi ekstra.

Ketika file MHT dibuka, itu akan mengunduh arsip RAR yang berisi pengunduh malware .NET dari “hXXps://a[.]pomf[.]cat/gectpe.rar”.

Arsip RAR berisi file EXE, yang menggunakan skrip VBS untuk menjatuhkan dan menjalankan muatan MirCop ke sistem yang terinfeksi.

Ransomware langsung aktif dan mulai mengambil tangkapan layar, mengunci file, mengubah latar belakang menjadi gambar bertema zombie yang mengerikan, dan menawarkan petunjuk kepada korban tentang apa yang harus dilakukan selanjutnya.

Menurut Cofense, seluruh proses ini memakan waktu kurang dari 15 menit sejak korban membuka email phishing.

Setelah itu, pengguna hanya diperbolehkan membuka browser web tertentu untuk berkomunikasi dengan pelaku dan mengatur pembayaran uang tebusan.

Para pelaku tidak tertarik untuk menyelinap ke dalam mesin korban secara sembunyi-sembunyi atau tinggal lama di sana untuk melakukan spionase dunia maya atau mencuri file untuk pemerasan.

Sebaliknya, serangan itu terjadi dengan cepat, dan sumber masalah menjadi jelas bagi korbannya

MicroCop adalah jenis ransomware lama yang digunakan untuk memberikan tuntutan tebusan yang tidak masuk akal kepada para korbannya.

Namun Michael Gillespie berhasil memecahkan enkripsinya dan merilis decryptor yang berfungsi secara gratis.

Bleeping Computer belum menguji apakah dekripsi lama itu berfungsi dengan muatan yang dijatuhkan di kampanye terbaru, tetapi ada kemungkinan bahwa itu masih dapat membuka kunci file.

Cofense mengatakan varian yang sama telah beredar sejak Juni tahun ini, jadi MicroCop masih ada di luar sana, dan orang harus berhati-hati dalam menangani email yang tidak diminta.

sumber: BLEEPING COMPUTER

Pengguna NPM Library ‘coa’ Siap-siap Ganti Sandi!

by

Jumat, 5 November 2021 NPM Library ‘coa’ dibajak, terdapat kode berbahaya yang berdampak pada pipeline React di seluruh dunia dipastikan kata sandi pengguna dicuri.

Library ‘coa’, kependekan dari Command-Option-Argument, menerima sekitar 9 juta unduhan mingguan di npm, dan digunakan oleh hampir 5 juta repositori open source di GitHub. Beberapa jam setelah penemuan ini, komponen npm lain yang umum digunakan ‘rc’ juga ditemukan telah dibajak. Pustaka ‘rc’ rata-rata mendapatkan 14 juta unduhan per minggu.

Kode Berbahaya Disuntikkan dalam Rilis ‘coa’
Hari ini, pengembang di seluruh dunia dibuat terkejut melihat rilis baru untuk npm library ‘coa’—proyek yang belum tersentuh selama bertahun-tahun, tiba-tiba muncul di npm. ‘coa’ adalah parser opsi baris perintah untuk proyek Node.js. Versi stabil terakhir 2.0.2 untuk proyek ini dirilis pada Desember 2018. Namun, beberapa versi mencurigakan 2.0.3, 2.0.4, 2.1.1, 2.1.3, dan 3.1.3 mulai muncul di npm beberapa jam yang lalu, merusak paket React yang bergantung pada ‘coa’.

“Saya tidak yakin mengapa atau apa yang terjadi tetapi 10 menit yang lalu ada rilis (meskipun perubahan terakhir di GitHub adalah pada 2018). Apa pun yang dilakukan rilis ini, itu merusak internet,” kata Roberto Wesley Overdijk, pengembang React. Pengguna GitHub lain dengan pegangan ElBidouilleur melihat salah satu dari versi ‘coa’ ini, 2.1.3 merusak build mereka:

Beberapa pengembang bergabung dalam diskusi, membenarkan mengalami masalah dengan build mereka sejak rilis ‘coa’ baru mencapai npm. Tak lama setelah menerbitkan bagian ini, BleepingComputer juga menemukan klaim bahwa perpustakaan npm populer lainnya, ‘rc’ juga dibajak, dengan versi jahat 1.2.9, 1.3.9, dan 2.3.9 muncul di npm.

Apa yang Harus Dilakukan Pengguna COA dan RC?
Sangat disarankan agar semua pengguna perpustakaan “coa” dan “rc” memeriksa proyek mereka untuk perangkat lunak berbahaya.

Periksa keberadaan compile.js, compile.bat, sdd.dll dan menghapus file jika ditemukan.

Karena varian “sdd.dll” ini juga telah diidentifikasi sebagai trojan di VirusTotal, dan yang dijatuhkan oleh “ua-parser-js” adalah pencuri kredensial, pengguna yang terinfeksi juga harus menganggap perangkat mereka sepenuhnya disusupi dan mengubah kata sandi, kunci , dan merefresh token, karena kemungkinan telah disusupi dan dikirim ke pelaku ancaman.

Sumber: BLEEPING COMPUTER

Samsung Galaxy S21 diretas pada hari kedua Pwn2Own Austin

by

Para kontestan meretas smartphone Samsung Galaxy S21 dihari kedua kompetisi Pwn2Own Austin 2021, serta router, perangkat NAS, speaker, dan printer dari Cisco, TP-Link, Western Digital, Sonos, Canon, Lexmark, dan HP.

Zero Day Initiative dari Trend Micro telah memberikan $777.500 selama dua hari pertama Pwn2Own Austin, dengan $415.000 diberikan pada hari kedua dan $362.500 won pada hari pertama.

Tim Synacktiv mempertahankan sedikit keunggulan di klasemen Master of Pwn dengan 15 poin Master of Pwn dan $ 150.000 sejauh ini, satu poin di depan tim DEVCORE yang memiliki 14 poin dan telah mendapatkan $ 140.000.

Image : ZD

Mr L dan Nguyễn Hoàng Thạch (@hi_im_d4rkn3ss) dari STARLabs bisa mengeksekusi kode pada Samsung Galaxy S21 yang menjalankan pembaruan keamanan Android 11 terbaru.

Meskipun begitu, upaya tersebut ditandai sebagai “tabrakan” setelah terungkap bahwa mereka menggunakan bug yang diketahui vendor. Namun, mereka masih mendapatkan $25.000 dan 2,5 poin Master of Pwn, mencapai total $75.000 dalam penghargaan setelah dua hari pertama kompetisi.

Samsung Galaxy S21 juga merupakan satu-satunya perangkat yang tidak terganggu pada hari pertama setelah Ken Gannon dari F-Secure Labs tidak dapat menjalankan eksploitasi zero-day-nya dalam waktu yang ditentukan.

Peneliti keamanan menargetkan ponsel, printer, router, penyimpanan yang terpasang ke jaringan (NAS), speaker pintar, TV, penyimpanan eksternal, dan perangkat lain, semuanya terbaru dan dalam konfigurasi default mereka. Satu-satunya pengecualian yaitu perangkat 3TB My Cloud Home Personal Cloud NAS Western Digital, yang masih menjalankan rilis perangkat lunak beta.

Hadiah tertinggi adalah untuk perangkat dalam kategori ponsel, dengan hadiah uang tunai hingga $ 150.000.

Peneliti juga bisa mendapatkan bonus $50.000 jika eksploitasi browser iPhone atau Pixel mereka akan dijalankan dengan hak istimewa tingkat kernel, mengambil penghargaan maksimum untuk satu tantangan menjadi total $200.000.

Edisi acara yang berfokus pada konsumen Pwn2Own Austin ini juga merupakan yang pertama diperpanjang hingga empat hari setelah 22 kontestan berbeda mendaftar untuk 58 total entri.

Selengkapnya : Bleeping Computer

Eksploitasi Microsoft Exchange ProxyShell yang digunakan untuk menyebarkan ransomware Babuk

by

Aktor ancaman baru meretas server Microsoft Exchange dan menerobos jaringan perusahaan menggunakan kerentanan ProxyShell untuk menyebarkan Ransomware Babuk.

Serangan ProxyShell terhadap server Microsoft Exchange yang rentan dimulai beberapa bulan yang lalu, dengan LockFile dan Conti menjadi salah satu kelompok ransomware pertama yang mengeksploitasinya.

Menurut sebuah laporan oleh para peneliti di Cisco Talos, afiliasi ransomware Babuk yang dikenal sebagai ‘Tortilla’ telah bergabung dengan klub pada bulan Oktober, ketika aktor tersebut mulai menggunakan web shell ‘China Chopper’ di server Exchange yang dilanggar.

Nama Tortilla didasarkan pada executable berbahaya yang terlihat dalam kampanye menggunakan nama Tortilla.exe.

Dimulai dengan Exchange

Serangan ransomware Babuk dimulai dengan DLL, atau .NET executable yang dijatuhkan di server Exchange menggunakan kerentanan ProxyShell. Proses pekerja Exchange IIS w3wp.exe kemudian mengeksekusi muatan berbahaya ini untuk menjalankan perintah PowerShell yang dikaburkan yang menampilkan perlindungan titik akhir yang melewati, yang akhirnya menjalankan permintaan web untuk mengambil pemuat muatan bernama ‘tortilla.exe.’

Pemuat ini akan terhubung ke ‘pastebin.pl’ dan mengunduh muatan yang dimuat ke dalam memori dan disuntikkan ke dalam proses NET Framework, yang pada akhirnya mengenkripsi perangkat dengan Babuk Ransomware.

Infection chain diagram
Source: Cisco

Meskipun analis Cisco menemukan bukti eksploitasi kerentanan ProxyShell di sebagian besar merupakan infeksi, terutama web shell ‘China Chopper’, data telemetri mencerminkan spektrum luas dari upaya eksploitasi.

Lebih khusus lagi, Tortilla mengikuti jalur ini untuk menghapus modul DLL dan NET:

  • Microsoft Exchange menemukan upaya pemalsuan permintaan sisi server secara otomatis
  • Upaya eksekusi kode jarak jauh injeksi Atlassian Confluence OGNL
  • Upaya eksekusi kode jarak jauh Apache Struts
  • Akses wp-config.php WordPress melalui upaya traversal direktori
  • Upaya bypass otentikasi SolarWinds Orion
  • Upaya eksekusi perintah jarak jauh Oracle WebLogic Server
  • Upaya deserialisasi objek Java sewenang-wenang Liferay

Serangan ini bergantung pada kerentanan yang ditambal, maka sangat disarankan agar admin meningkatkan server mereka ke versi terbaru untuk mencegahnya dieksploitasi dalam serangan.

Menggunakan Babuk dalam serangan baru

Babuk Locker adalah operasi ransomware yang diluncurkan pada awal 2021 ketika mulai menargetkan bisnis dan mengenkripsi data mereka dalam serangan pemerasan ganda.

Setelah melakukan serangan terhadap Departemen Kepolisian Metropolitan (MPD) Washinton DC, dan merasakan panas dari penegakan hukum AS, geng ransomware menutup operasi mereka.

Setelah kode sumber untuk versi pertama Babu dan pembuatnya bocor di forum peretasan, pelaku ancaman lainnya mulai memanfaatkan ransomware untuk meluncurkan serangan mereka sendiri.

Tidak jelas apakah Tortilla adalah afiliasi dari Babuk saat RaaS aktif atau apakah mereka hanya mengambil kode sumber strain ketika keluar untuk melakukan serangan baru.

Namun, karena catatan tebusan yang digunakan dalam serangan ini meminta uang $10.000 yang rendah di Monero, kemungkinan itu tidak dilakukan oleh operasi Babuk yang asli, yang menuntut uang tebusan yang jauh lebih besar dalam Bitcoin.

Tortilla’s ransom note
Source: Cisco

Menargetkan AS

Meskipun peneliti Talos melihat beberapa serangan di Jerman, Thailand, Brasil, dan Inggris, sebagian besar target Tortilla berbasis di AS.

I.P. alamat server unduhan terletak di Moskow, Rusia, yang dapat menunjukkan asal serangan ini, tetapi tidak ada kesimpulan atribusi dalam laporan tersebut. Domain ‘pastebin.pl’ yang digunakan untuk tahap pembongkaran sebelumnya telah disalahgunakan oleh kampanye distribusi AgentTesla dan FormBook.

Victim heatmap
Source: Cisco

Meskipun decryptor sebelumnya dirilis untuk ransomware Babuk, ia hanya dapat mendekripsi korban yang kunci pribadinya merupakan bagian dari kebocoran kode sumber.

Oleh karena itu, pelaku ancaman dapat terus menggunakan ransomware Babuk untuk meluncurkan operasi mereka sendiri, seperti ypelaku ancaman Tortilla.

SUMBER : Bleeping Computer

Cisco memperbaiki kredensial hard-code dan masalah kunci SSH default

by

Cisco telah merilis pembaruan keamanan untuk mengatasi kelemahan keamanan kritis yang memungkinkan penyerang yang tidak diautentikasi untuk masuk menggunakan kredensial hard-code atau kunci SSH default untuk mengambil alih perangkat yang belum ditambal.

CISA juga mendorong pengguna dan administrator hari ini untuk meninjau saran Cisco dan menerapkan semua pembaruan yang diperlukan untuk memblokir upaya untuk mengambil alih sistem yang terkena dampak.

Catalyst PON Switch kredensial hard-coded

Yang pertama dari dua kelemahan yang ditambal pada hari Rabu (dilacak sebagai CVE-2021-34795) hadir dengan skor CVSS 10/10 yang sempurna dan ditemukan di Cisco Catalyst Passive Optical Network (PON) Series Switches Optical Network Terminal (ONT).

“Kerentanan dalam layanan Telnet Cisco Catalyst PON Series Switches ONT dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi masuk ke perangkat yang terpengaruh dengan menggunakan akun debugging yang memiliki kata sandi default dan statis,” perusahaan menjelaskan dalam sebuah nasihat yang diterbitkan kemarin. .

Untungnya, kerentanan ini hanya dapat dieksploitasi dengan membuat sesi Telnet ke perangkat yang rentan dan masuk dengan kredensial hard-coded.

Karena Telnet tidak diaktifkan secara default pada perangkat yang terpengaruh, ini secara drastis membatasi jumlah target yang dapat diserang oleh aktor ancaman.

Daftar perangkat yang terpengaruh termasuk sakelar CGP-ONT-1P, CGP-ONT-4P, CGP-ONT-4PV, CGP-ONT-4PVC, dan CGP-ONT-4TVCW Catalyst PON.

Cisco mengkonfirmasi bahwa CVE-2021-34795 tidak berdampak pada Catalyst PON Switch CGP-OLT-8T dan Catalyst PON Switch CGP-OLT-16T.
Kunci SSH default di Cisco Policy Suite

Cacat keamanan kritis kedua yang ditambal kemarin dilacak sebagai CVE-2021-40119 dan disebabkan oleh penggunaan kembali kunci SSH statis di seluruh instalasi Cisco Policy Suite.

“Kerentanan dalam mekanisme otentikasi SSH berbasis kunci dari Cisco Policy Suite dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk masuk ke sistem yang terpengaruh sebagai pengguna root,” jelas Cisco.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengekstrak kunci dari sistem di bawah kendali mereka.”

Perangkat lunak Cisco Policy Suite merilis 21.2.0 dan yang lebih baru akan secara otomatis membuat kunci SSH baru selama proses instalasi tetapi tidak selama peningkatan.

Untuk menghasilkan kunci SSH baru dan menyebarkannya ke semua mesin, Anda dapat menggunakan langkah-langkah yang dirinci di bagian Rilis Tetap dari saran Cisco.

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan bahwa tidak ada kode eksploitasi konsep publik yang tersedia secara online untuk kedua kerentanan ini dan menambahkan bahwa mereka tidak mengetahui adanya eksploitasi yang sedang berlangsung di alam liar.

SUMBER : Bleeping Computer

MITER membagikan daftar kelemahan perangkat keras paling berbahaya

by

MITER membagikan daftar pemrograman, desain, dan kelemahan keamanan arsitektur paling berbahaya yang mengganggu perangkat keras tahun ini.

Kelemahan tersebut dapat ditemukan dalam pemrograman, desain, atau arsitektur perangkat keras, yang mengarah pada kerentanan yang dapat dieksploitasi dan mengekspos sistem terhadap serangan.

Daftar ini adalah hasil dari organisasi MITER nirlaba yang berkolaborasi dalam Hardware CWE Special Interest Group (SIG), komunitas individu yang mewakili organisasi dari “desain perangkat keras, manufaktur, penelitian, dan domain keamanan, serta akademisi dan pemerintah.”

“Metodologi yang digunakan untuk menghasilkan Daftar Kelemahan Perangkat Keras Paling Penting CWE yang pertama agak terbatas dalam hal ketelitian ilmiah dan statistik,” MITRE menjelaskan.

“Dengan tidak adanya data yang lebih relevan untuk melakukan penyelidikan sistematis, daftar itu disusun menggunakan metode Delphi yang dimodifikasi dengan memanfaatkan opini subjektif, meskipun dari pakar pengetahuan konten yang terinformasi.”
Daftar kelemahan perangkat keras tanpa peringkat

Tujuan utama dari Kelemahan Perangkat Keras Paling Penting MITRE 2021 CWE adalah untuk mendorong kesadaran akan kelemahan perangkat keras umum melalui Common Weakness Enumeration (CWE).

Ini dapat membantu mencegah masalah keamanan perangkat keras pada sumbernya dengan mendidik pemrogram dan desainer tentang cara menghilangkan kesalahan kritis di awal siklus hidup pengembangan produk.

Selanjutnya, insinyur pengujian dan analis keamanan juga dapat menggunakan daftar tersebut untuk mempersiapkan rencana pengujian dan evaluasi keamanan.

Daftar yang disematkan di bawah ini memberikan wawasan tentang sepuluh kelemahan keamanan perangkat keras yang paling mengkhawatirkan dari 96 entri perangkat keras di korpus CWE.

  • CWE-1189 Improper Isolation of Shared Resources on System-on-a-Chip (SoC)
  • CWE-1191 On-Chip Debug and Test Interface With Improper Access Control
  • CWE-1231 Improper Prevention of Lock Bit Modification
  • CWE-1233 Security-Sensitive Hardware Controls with Missing Lock Bit Protection
  • CWE-1240 Use of a Cryptographic Primitive with a Risky Implementation
  • CWE-1244 Internal Asset Exposed to Unsafe Debug Access Level or State
  • CWE-1256 Improper Restriction of Software Interfaces to Hardware Features
  • CWE-1260 Improper Handling of Overlap Between Protected Memory Ranges
  • CWE-1272 Sensitive Information Uncleared Before Debug/Power State Transition
  • CWE-1274 Improper Access Control for Volatile Memory Containing Boot Code
  • CWE-1277 Firmware Not Updateable
  • CWE-1300 Improper Protection of Physical Side Channels

“Konsumen perangkat keras dapat menggunakan daftar untuk membantu mereka meminta produk perangkat keras yang lebih aman dari pemasok mereka,” tambah MITER.

“Akhirnya, para manajer dan CIO dapat menggunakan daftar tersebut sebagai tolok ukur kemajuan dalam upaya mereka untuk mengamankan perangkat keras mereka dan memastikan ke mana harus mengarahkan sumber daya untuk mengembangkan alat keamanan atau proses otomatisasi yang mengurangi kelas kerentanan yang luas dengan menghilangkan akar penyebab yang mendasarinya. ”

Pada bulan Juli, MITER juga membagikan 25 besar kelemahan paling umum dan berbahaya yang mengganggu perangkat lunak selama dua tahun sebelumnya.

Tahun lalu, pada bulan Mei, CISA dan FBI juga menerbitkan daftar 10 kelemahan keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019.

SUMBER : Bleeping Computer

Hati-hati: Phishing Discord Nitro menargetkan Steam Gamers

by

Phishing Steam baru yang dipromosikan melalui pesan Discord menjanjikan langganan Nitro gratis jika pengguna menghubungkan akun Steam mereka, yang kemudian digunakan peretas untuk mencuri item game atau mempromosikan penipuan lainnya.

Penipuan phishing dilakukan oleh banyak akun Discord yang dikontrol threat actors (orang yang mengancam keamanan di dunia maya) atau bot otomatis yang mengirim tautan ke pengguna lainnya tentang panduan cara mendapatkan Discord Nitro secara gratis.

“Lihat, di sini gratis nitro 1 bulan, cukup tautkan akun Steam Anda dan nikmati,” bunyi pesan phishing yang dikirim ke pengguna Discord seperti gambar di bawah ini.

Source: Malwarebytes

Meskipun terdengar seperti kampanye promosi, tautan membawa korban ke situs phishing yang dibuat penyerang agar terlihat seperti halaman Discord yang sah yang mempromosikan fitur Nitro.

Setelah mengklik tombol “Dapatkan Nitro”, formulir login Steam palsu ditampilkan, yang terlihat hampir identik dengan formulir yang sah.

Nyatanya, jendela pop-up yang terbuka adalah halaman phishing. Jadi, identitas Steam apa pun yang dimasukkan, dikirim langsung ke server peretas.

Source: Malwarebytes

Saat mencoba login, korban diperlihatkan kesalahan yang berkata, “Nama akun atau kata sandi yang Anda masukkan salah,” dan meminta pengguna untuk login lagi.

Metode verifikasi ganda ini memastikan bahwa tidak ada kesalahan pengetikan yang dibuat selama proses phishing dan identitas yang dicuri sudah benar.

Saat URL halaman phising ini dilaporkan dan dimasukkan ke daftar hitam, pelaku kejahatan mendaftarkan URL baru dan memindahkan operasi berbahaya mereka ke infrastruktur baru, seperti yang ditunjukkan oleh daftar di bawah.

Source: Malwarebytes

Begitulah umpan phishing terus berubah dengan umpan baru untuk memikat para gamer dengan janji akan sesuatu yang gratis.

Dengan demikian, saat menggunakan Discord, pengguna harus curiga terhadap pesan apa pun yang mengklaim menawarkan sesuatu secara gratis jika mereka mengklik URL.

Tidak ada hal yang ditawarkan secara gratis di luar platform itu sendiri, jadi jika Steam dan Discord menjalankan kampanye promosi bersama, Anda akan melihatnya di salah satu aplikasi/situs web resmi masing-masing.

Sumber: Bleeping Computer