Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Email Phishing

Email Phishing

Peretas Iran Menargetkan Target Bernilai Tinggi dalam Keamanan Nuklir dan Riset Genomik

by

Peretas yang terkait dengan pemerintah Iran telah menargetkan individu yang berspesialisasi dalam urusan Timur Tengah, keamanan nuklir, dan penelitian genom sebagai bagian dari kampanye rekayasa sosial baru yang dirancang untuk berburu informasi sensitif.

Perusahaan keamanan perusahaan Proofpoint mengaitkan serangan yang ditargetkan dengan aktor ancaman bernama TA453, yang secara luas tumpang tindih dengan aktivitas dunia maya yang dipantau di bawah moniker APT42, Charming Kitten, dan Phosphorus.

Semuanya dimulai dengan email phishing yang menyamar sebagai individu yang sah di organisasi penelitian kebijakan luar negeri Barat yang pada akhirnya dirancang untuk mengumpulkan intelijen atas nama Korps Pengawal Revolusi Islam (IRGC) Iran.

Akun sock puppet termasuk orang-orang dari Pew Research Center, Institut Penelitian Kebijakan Luar Negeri (FRPI), Chatham House Inggris, dan jurnal ilmiah Nature. Teknik ini dikatakan telah dikerahkan pada pertengahan Juni 2022.

Namun, yang membedakan ini dari serangan phishing lainnya adalah penggunaan taktik Proofpoint yang disebut Multi-Persona Impersonation (MPI), di mana pelaku ancaman menggunakan tidak hanya satu tetapi beberapa persona yang dikendalikan aktor dalam percakapan email yang sama untuk meningkatkan peluang keberhasilan.

Idenya adalah untuk “memanfaatkan prinsip psikologi dari bukti sosial” dan meningkatkan keaslian korespondensi aktor ancaman sehingga membuat target membeli ke dalam skema, sebuah taktik yang menunjukkan kemampuan musuh yang berkelanjutan untuk meningkatkan permainannya.

Setelah email awal mendapat tanggapan dari target, persona kemudian mengirim pesan tindak lanjut yang berisi tautan OneDrive berbahaya yang mengunduh dokumen Microsoft Office, salah satunya konon menyinggung bentrokan antara Rusia dan AS.

Dokumen ini selanjutnya menggunakan teknik yang disebut injeksi templat jarak jauh untuk mengunduh Korg, templat yang terdiri dari tiga makro yang mampu mengumpulkan nama pengguna, daftar proses yang berjalan, dan alamat IP publik korban.

Selain penggalian informasi suar, tidak ada tindakan pasca-eksploitasi lainnya yang diamati. Kurangnya “abnormal” eksekusi kode dan perilaku perintah-dan-kontrol telah menyebabkan penilaian bahwa pengguna yang disusupi dapat menjadi sasaran serangan lebih lanjut berdasarkan perangkat lunak yang diinstal.

Ini bukan pertama kalinya aktor ancaman melakukan kampanye peniruan identitas. Pada Juli 2021, Proofpoint mengungkapkan operasi phishing yang dijuluki SpoofedScholars yang menargetkan individu yang berfokus pada urusan Timur Tengah di AS dan Inggris dengan kedok sarjana dengan School of Oriental and African Studies (SOAS) Universitas London.

Kemudian pada Juli 2022, perusahaan keamanan siber menemukan upaya dari pihak TA453 untuk menyamar sebagai jurnalis untuk memikat akademisi dan pakar kebijakan agar mengklik tautan jahat yang mengarahkan target ke domain pengambilan kredensial.

Pengungkapan terbaru datang di tengah kesibukan aktivitas dunia maya terkait Iran. Pekan lalu, Microsoft menyelesaikan serangkaian serangan ransomware yang dipasang oleh subkelompok Fosfor yang dijuluki DEV-0270 menggunakan binari yang hidup di luar negeri seperti BitLocker.

Selain itu, perusahaan keamanan siber Mandiant, yang sekarang secara resmi menjadi bagian dari Google Cloud, merinci aktivitas aktor spionase Iran dengan nama sandi APT42 yang telah dikaitkan dengan lebih dari 30 operasi sejak 2015.

Di atas semua itu, Departemen Keuangan mengumumkan sanksi terhadap Kementerian Intelijen dan Keamanan Iran (MOIS) dan Menteri Intelijennya, Esmaeil Khatib, sebagai tanggapan atas “aktivitas yang mendukung dunia maya terhadap Amerika Serikat dan sekutunya.”

Albania, yang telah memutuskan hubungan diplomatik dengan Iran setelah menyalahkannya atas serangkaian serangan dunia maya sejak Juli, menuding “agresor yang sama” selama akhir pekan karena melakukan serangan lain terhadap sistem pemerintah yang digunakan untuk melacak penyeberangan perbatasan.

Sumber: The Hackernews

Serangan phishing Instagram dengan tawaran Centang biru.

by

Kampanye phishing Instagram baru sedang berlangsung, mencoba menipu pengguna platform media sosial populer dengan memikat mereka dengan tawaran Centang biru.

Centang biru sangat didambakan karena Instagram menyediakannya ke akun yang diverifikasi keasliannya, mewakili tokoh masyarakat, selebritas, atau merek.

Email tombak dalam kampanye phishing yang baru-baru ini diamati, memberi tahu penerima bahwa mereka Instagram meninjau akun mereka dan menganggapnya memenuhi syarat untuk mendapatkan lencana biru.

Pengguna yang terjerat penipuan, diminta untuk mengisi formulir dan mengklaim lencana verifikasi mereka dalam 48 jam ke depan.

Kampanye baru ini ditemukan oleh analis ancaman di Vade, layanan keamanan email berbasis AI, yang melaporkan bahwa pesan pertama ke target dikirim pada 22 Juli.

Selama penerapan, volume distribusi email melonjak dua kali, sekali pada 28 Juli dan lagi pada 9 Agustus 2022, dengan lebih dari 1.000 pesan phishing per hari.

Pesan Phising tersebut menampilkan logo Instagram dan Facebook dan memberi tahu penerima bahwa akun mereka memenuhi syarat untuk lencana biru, mendesak mereka untuk mengklik tombol yang disematkan yang akan membawa mereka ke formulir pengiriman yang relevan.

Contoh email phishing (Vade)

Pengguna diperingatkan bahwa jika mereka mengabaikan pesan, formulir akan dihapus secara permanen dalam 48 jam, menciptakan rasa urgensi dan ilusi kesempatan terbatas.

Formulir phishing di-host di domain bernama “teamcorrectionbadges”, untuk membuatnya tampak seolah-olah Instagram menggunakan domain khusus yang terpisah untuk memverifikasi pengguna.

Proses phishing di situs itu bergantung pada bentuk tiga tahap, setiap langkah menampilkan logo Instagram, Facebook, WhatsApp, Messenger, dan Meta, dalam upaya menciptakan rasa legitimasi.

Langkah kedua dalam proses phishing
(Vade)

Formulir pertama meminta “nama pengguna”, yang kedua meminta korban untuk memasukkan “nama”, “email”, dan “nomor telepon”, sedangkan langkah ketiga dan terakhir meminta memasukkan “kata sandi” pengguna, untuk memverifikasi bahwa mereka memilikinya. Akun.

Setelah korban menyelesaikan prosesnya, sebuah pesan menginformasikan bahwa akun mereka sekarang telah diverifikasi dan tim Instagram akan menghubungi mereka dalam dua hari ke depan. ID kasus palsu juga ditampilkan pada langkah terakhir ini.

Pesan terlihat setelah terkena phishing (Vade)

Untuk memahami bagaimana Anda dapat melindungi diri dari penipuan ini, penting untuk mengetahui cara kerja program verifikasi Instagram.

Pertama, platform media sosial tidak akan pernah menghubungi Anda untuk menawarkan lencana biru. Pengguna hanya bisa mendapatkannya dengan menerapkan sendiri.

Kedua, mengajukan verifikasi hanya dapat dilakukan melalui platform resmi, tidak pernah dengan mengunjungi domain terpisah.

Ketiga, lencana biru Instagram disediakan untuk tokoh masyarakat, selebriti, dan merek terkenal, sehingga akun biasa tidak memenuhi syarat.

Untuk melindungi akun Anda, Instagram menawarkan autentikasi dua faktor untuk keamanan tambahan, jadi meskipun Anda memberikan semua detail Anda kepada pelaku phishing, kehilangan akses ke akun Anda akan lebih rumit.

Sumber: Bleeping Computer

Bagaimana peretas ‘Kimsuky’ memastikan malware mereka hanya mencapai target yang valid

by

Aktor ancaman ‘Kimsuky’ Korea Utara akan berusaha keras untuk memastikan bahwa muatan berbahaya mereka hanya diunduh oleh target yang valid dan bukan pada sistem peneliti keamanan.

Menurut laporan Kaspersky yang diterbitkan hari ini, kelompok ancaman telah menggunakan teknik baru untuk menyaring permintaan unduhan yang tidak valid sejak awal tahun 2022, ketika kelompok tersebut meluncurkan kampanye baru terhadap berbagai target di semenanjung Korea.

Perlindungan baru yang diterapkan oleh Kimsuky sangat efektif sehingga Kaspersky melaporkan ketidakmampuan untuk memperoleh muatan akhir bahkan setelah berhasil terhubung ke server perintah dan kontrol pelaku ancaman.

Serangan yang ditemukan oleh Kaspersky dimulai dengan email phishing yang dikirim ke politisi, diplomat, profesor universitas, dan jurnalis di Korea Utara dan Selatan.

Kaspersky dapat mengkompilasi daftar target potensial berkat skrip C2 yang diambil yang berisi sebagian alamat email target.

Target potensial yang diturunkan oleh Kaspersky

Email berisi tautan yang membawa korban ke server C2 tahap pertama yang memeriksa dan memverifikasi beberapa parameter sebelum mengirimkan dokumen berbahaya. Jika pengunjung tidak cocok dengan daftar target, mereka akan disuguhi dokumen yang tidak berbahaya.

Parameter termasuk alamat email pengunjung, OS (Windows valid), dan file “[who].txt” yang dijatuhkan oleh server tahap kedua.

Pada saat yang sama, alamat IP pengunjung diteruskan ke server C2 tahap kedua sebagai parameter pemeriksaan berikutnya.

Dokumen yang dijatuhkan oleh C2 tahap pertama berisi makro berbahaya yang menghubungkan korban ke C2 tahap kedua, mengambil muatan tahap berikutnya, dan menjalankannya dengan proses mshta.exe.

Beberapa dokumen dikirim ke target (Kaspersky)

Payload adalah file .HTA yang juga membuat tugas terjadwal untuk eksekusi otomatis. Fungsinya untuk profil korban dengan memeriksa jalur folder ProgramFiles, nama AV, nama pengguna, versi OS, versi MS Office, versi .NET framework, dan banyak lagi.

Hasil sidik jari disimpan dalam string (“chnome”), salinan dikirim ke C2, dan muatan baru diambil dan didaftarkan dengan mekanisme persistensi.

Payload berikutnya adalah file VBS yang dapat membawa korban ke blog yang sah atau, jika targetnya valid, bawa mereka ke fase download payload berikutnya.

Ini adalah saat sistem korban diperiksa untuk keberadaan string “chnome” yang tidak biasa, yang sengaja salah eja untuk berfungsi sebagai validator unik yang masih tidak menimbulkan kecurigaan.

Proses infeksi terbaru Kimsuky (Kaspersky)

Sayangnya, Kaspersky tidak dapat melanjutkan dari sini dan mengambil payload tahap berikutnya, jadi apakah itu akan menjadi yang terakhir atau jika ada sebagian besar langkah validasi masih belum diketahui.

Kimsuky adalah aktor ancaman yang sangat canggih yang baru-baru ini terlihat menyebarkan malware khusus dan menggunakan ekstensi Google Chrome untuk mencuri email dari korban.

Kampanye yang disorot oleh Kaspersky menggambarkan teknik rumit yang digunakan oleh peretas Korea untuk menghalangi analisis dan membuat pelacakan mereka jauh lebih sulit.

Sumber:

Malware Android ERMAC 2.0 baru mencuri akun, dompet dari 467 aplikasi

by

Trojan perbankan Android ERMAC telah merilis versi 2.0, meningkatkan jumlah aplikasi yang ditargetkan dari 378 menjadi 467, mencakup lebih banyak aplikasi untuk mencuri kredensial akun dan dompet kripto.

Tujuan dari trojan adalah untuk mengirim kredensial login yang dicuri ke pelaku ancaman, yang kemudian menggunakannya untuk mengendalikan akun perbankan dan cryptocurrency orang lain dan melakukan penipuan keuangan atau bentuk lain.

ERMAC saat ini dijual kepada anggota situs darknet dengan tarif berlangganan $5.000 per bulan, yaitu $2k di atas label harga versi pertama, yang mencerminkan peningkatan fitur dan popularitasnya.

ERMAC dijual di forum peretas (ESET)

Kampanye malware pertama yang menggunakan malware ERMAC 2.0 baru adalah aplikasi Bolt Food palsu yang menargetkan pasar Polandia.

Menurut peneliti ESET, para pelaku ancaman mendistribusikan aplikasi Android melalui situs web “bolt-food[.]site”, meniru layanan pengiriman makanan Eropa yang sah. Situs palsu ini masih aktif pada saat penulisan ini.

Situs hosting malware (ESET)

Pengguna kemungkinan berakhir di situs palsu melalui email phishing, posting media sosial berbahaya, smishing, malvertising, dll. Jika mereka mengunduh aplikasi, mereka akan mendapatkan permintaan izin yang menuntut kontrol penuh atas perangkat mereka.

Izin diminta saat instalasi
(ESET)

Pemberian akses ke Layanan Aksesibilitas diperlukan untuk melayani overlay aplikasi, menipu korban untuk memasukkan kredensial mereka pada formulir yang terlihat sah tetapi hanya tiruan dari antarmuka aplikasi yang sebenarnya.

Cyble telah mengambil sampel malware untuk analisis teknis yang lebih dalam dan mengonfirmasi bahwa ia memberikan dirinya sendiri 43 izin saat penginstalan (melalui Aksesibilitas), termasuk akses SMS, akses kontak, pembuatan jendela peringatan sistem, perekaman audio, dan akses baca dan tulis penyimpanan penuh.

ERMAC pertama-tama menentukan aplikasi apa yang diinstal pada perangkat host dan kemudian mengirimkan informasi ke server C2.

Respons berisi modul injeksi yang cocok dengan daftar aplikasi dalam bentuk HTML terenkripsi, yang didekripsi oleh malware dan disimpan ke dalam file Preferensi Bersama sebagai “setting.xml.”

Tanggapan dari C2 yang berisi suntikan (Cyble)

Ketika korban mencoba untuk meluncurkan aplikasi yang sebenarnya, tindakan injeksi terjadi, dan halaman phishing dimuat di atas GUI yang sebenarnya. Kredensial yang dipanen dikirim ke C2 yang sama yang memberikan suntikan.

Injeksi yang terjadi pada perangkat (Cyble)

Analis Cyble telah menemukan banyak kesamaan dengan malware “Cerberus”, sehingga tampaknya versi kedua dari trojan kuat didasarkan pada malware tersebut.

Daftar ekstensif aplikasi yang didukung menjadikannya malware yang kuat, tetapi perlu dicatat bahwa itu akan tersandung pada masalah di Android versi 11 dan 12, berkat batasan tambahan yang ditambahkan Google untuk mencegah penyalahgunaan Layanan Aksesibilitas.

Untuk mencegah infeksi dari trojan Android, hindari mengunduh APK dari luar Play Store, terutama dari situs web yang belum Anda konfirmasikan sebagai sah.

Sumber: Bleeping Computer

EmoCheck sekarang mendeteksi versi 64-bit baru dari malware Emotet

by

Japan CERT telah merilis versi baru dari utilitas EmoCheck mereka untuk mendeteksi versi 64-bit baru dari malware Emotet yang mulai menginfeksi pengguna bulan ini.

Emotet adalah salah satu malware terdistribusi paling aktif yang menyebar melalui email menggunakan email phishing dengan lampiran berbahaya, termasuk dokumen Word/Excel, pintasan Windows, file ISO, dan file zip yang dilindungi kata sandi.

Email phishing menggunakan umpan kreatif untuk mengelabui pengguna agar membuka lampiran, termasuk email berantai balasan, pemberitahuan pengiriman, dokumen pajak, laporan akuntansi, atau bahkan undangan pesta liburan.

Undangan pesta liburan palsu memasang Emotet

Setelah perangkat terinfeksi, Emotet akan mencuri email pengguna untuk digunakan dalam serangan phishing berantai balasan di masa mendatang dan mengunduh muatan malware lebih lanjut di komputer.

Karena malware lebih lanjut biasanya mengarah ke pencurian data dan serangan ransomware, sangat penting untuk mendeteksi infeksi malware Emotet dengan cepat sebelum kerusakan lebih lanjut terjadi.

Pada tahun 2020, CERT Jepang (tim tanggap darurat komputer) merilis alat gratis bernama EmoCheck untuk memindai komputer dari infeksi Emotet.

Jika salah satu terdeteksi, maka akan ditampilkan path lengkap infeksi malware tersebut sehingga bisa dihapus.

Namun, awal bulan ini, geng Emotet beralih ke loader dan pencuri versi 64-bit, membuat deteksi yang ada menjadi kurang berguna. Selanjutnya, dengan sakelar ini, alat EmoCheck tidak lagi dapat mendeteksi versi Emotet 64-bit yang baru.

EmoCheck mendeteksi infeksi malware Emotet

Untuk memeriksa apakah Anda terinfeksi Emotet, Anda dapat mengunduh utilitas EmoCheck dari repositori GitHub CERT Jepang.

Setelah diunduh, klik dua kali pada emocheck_x64.exe (versi 64-bit) atau emocheck_x86.exe (versi 32-bit), tergantung pada apa yang Anda unduh.

EmoCheck akan memindai Emotet Trojan, dan jika malware terdeteksi, tampilkan ID proses yang dijalankannya di bawah dan lokasi DLL malware.

Emotet saat ini sedang diinstal di folder acak di bawah C:\Users\[nama pengguna]\AppData\Local. Meskipun malware Emotet adalah DLL, ia tidak akan memiliki ekstensi DLL melainkan ekstensi tiga huruf acak, seperti .bbo atau .qvp.

Emotet dipasang di bawah %LocalAppData%

EmoCheck juga akan membuat log di folder yang sama dengan program yang berisi informasi yang terdeteksi, sehingga Anda dapat merujuknya sesuai kebutuhan.

Jika Anda menjalankan EmoCheck dan menemukan bahwa Anda terinfeksi, Anda harus segera membuka Task Manager dan menghentikan proses yang terdaftar, biasanya regsvr32.exe.

Anda kemudian harus memindai komputer Anda dengan perangkat lunak antivirus tepercaya untuk memastikan malware lain belum diinstal pada perangkat Anda.

Sumber: Bleeping Computer

Bank-bank Afrika sangat ditargetkan dalam kampanye malware RemcosRAT

by

Bank-bank Afrika semakin menjadi sasaran kampanye distribusi malware yang menggunakan trik penyelundupan HTML dan domain salah ketik untuk menjatuhkan trojan akses jarak jauh (RAT).

Penjahat dunia maya yang tertarik dengan keuntungan finansial yang cepat adalah sumber masalah yang konstan bagi bank-bank di Afrika, yang terpaksa menerapkan kontrol keamanan gerbang yang ketat.

Ini telah memaksa para pelaku ancaman untuk membuat serangan yang lebih pintar yang dapat melewati langkah-langkah perlindungan, dan pada tahun 2022, kampanye penargetan bank terlihat menggunakan kombinasi trik.

Serangan dimulai dengan email phishing yang dikirim ke karyawan bank dari domain salah ketik yang menyerupai URL perusahaan yang sah, biasanya bank pesaing.

Email tersebut memberi penerima tawaran pekerjaan yang menggiurkan dan tautan ke detail di situs tersebut. Mengikuti tautan itu membawa korban ke halaman web yang berisi instruksi aplikasi.

Domain yang salah ketik menghosting konten curian (HP)

Situs-situs ini tidak melakukan phishing atau menghosting malware, jadi satu-satunya tujuan mereka adalah mengarahkan korban ke jalur infeksi.

Payload tiba dalam bentuk lampiran HTML pada pesan email tersebut, yang merupakan file arsip ISO yang disandikan base64 yang didekodekan dengan cepat dan ditawarkan untuk diunduh melalui gumpalan JavaScript di browser.

File ISO yang disandikan base64 (HP)

Teknik menyelinap format file berisiko tanpa meningkatkan alarm dari produk keamanan email disebut penyelundupan HTML, dan ini adalah metode distribusi muatan yang mapan dan sedang tren.

File ISO berisi file Visual Basic Script (VBS), yang dijalankan setelah klik dua kali untuk membuat kunci Registry baru dan menjalankan perintah PowerShell yang memanggil berbagai fungsi Windows API.

Setelah serangkaian eksekusi kode berbahaya dan penyalahgunaan Windows API, GuLoader dipasang di sistem dan dieksekusi untuk mengunduh dan menjalankan malware RemcosRAT.

Menurut analis ancaman HP, GuLoader memiliki dua URL unduhan dalam konfigurasinya, satu mengarah ke Dropbox dan satu lagi ke OneDrive, jadi ada beberapa redundansi yang diterapkan pada tahap ini.

Penting juga untuk dicatat bahwa GuLoader dijalankan melalui PowerShell yang disimpan di registri, dan berjalan di memori sistem, sehingga sebagian besar alat anti-virus tidak akan mendeteksinya.

Seperti yang ditunjukkan HP, satu-satunya cara untuk memutus rantai infeksi adalah dengan mengatur aplikasi default untuk file skrip dari Windows Script Host ke Notepad, yang akan mengungkapkan sifat sebenarnya dari file VBS.

Isi file VBS seperti yang terlihat di Notepad (HP)

Remcos adalah alat akses jarak jauh komersial (RAT) yang sah yang telah digunakan oleh penjahat dunia maya untuk tujuan jahat selama beberapa tahun sekarang.

Ini adalah alat canggih yang mendukung eksekusi perintah jarak jauh, pengambilan tangkapan layar, pencatatan penekanan tombol, perekaman webcam dan mikrofon, dan banyak lagi.

Pelaku ancaman menggunakan Remcos untuk mengendus detail transaksi, mencuri kredensial berharga, bergerak secara lateral di jaringan bank, atau mencuri informasi yang diperlukan untuk serangan BEC.

Pemerasan finansial melalui eksfiltrasi data atau penyebaran ransomware juga mungkin terjadi, sementara pelaku ancaman selalu dapat memilih untuk menjual akses jaringan mereka ke peretas lain dan menghasilkan uang dengan cepat tanpa mempertaruhkan masalah penegakan hukum.

Sumber : Bleeping Computer

Malware Qbot beralih ke vektor infeksi Pemasang Windows baru

by

Botnet Qbot sekarang mendorong muatan malware melalui email phishing dengan lampiran arsip ZIP yang dilindungi kata sandi yang berisi paket Penginstal Windows MSI yang berbahaya.

Ini adalah pertama kalinya operator Qbot menggunakan taktik ini, beralih dari cara standar mereka mengirimkan malware melalui email phishing yang menjatuhkan dokumen Microsoft Office dengan makro berbahaya pada perangkat target.

Peneliti keamanan menduga langkah ini mungkin merupakan reaksi langsung terhadap Microsoft yang mengumumkan rencana untuk membunuh pengiriman malware melalui makro VBA Office pada bulan Februari setelah menonaktifkan makro Excel 4.0 (XLM) secara default pada bulan Januari.

Microsoft telah mulai meluncurkan fitur blokir otomatis makro VBA ke pengguna Office untuk Windows pada awal April 2022, dimulai dengan Versi 2203 di Saluran Saat Ini (Pratinjau) dan ke saluran rilis lain dan versi yang lebih lama nanti.

“Perlu dicatat bahwa sementara ancaman menggunakan makro Excel 4.0 sebagai upaya untuk menghindari deteksi, fitur ini sekarang dinonaktifkan secara default dan dengan demikian mengharuskan pengguna untuk mengaktifkannya secara manual agar ancaman tersebut dapat dieksekusi dengan benar.”

Ini adalah peningkatan keamanan yang signifikan untuk melindungi pelanggan Office karena menggunakan makro VBA berbahaya yang disematkan dalam dokumen Office adalah metode umum untuk mendorong berbagai jenis malware dalam serangan phishing, termasuk Qbot, Emotet, TrickBot, dan Dridex.

Qbot (juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows modular dengan fitur worm yang digunakan setidaknya sejak 2007 untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan, serta untuk menjatuhkan backdoors pada komputer yang disusupi dan menyebarkan Cobalt Suar pemogokan.

Malware ini juga dikenal menginfeksi perangkat lain di jaringan yang disusupi menggunakan eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif yang menargetkan akun admin Active Directory.

Meskipun aktif selama lebih dari satu dekade, malware Qbot terutama digunakan dalam serangan yang sangat ditargetkan terhadap entitas perusahaan karena mereka memberikan pengembalian investasi yang lebih tinggi.

Beberapa geng ransomware, termasuk REvil, Egregor, ProLock, PwndLocker, dan MegaCortex, juga telah menggunakan Qbot untuk menembus jaringan perusahaan.

Karena infeksi Qbot dapat menyebabkan infeksi berbahaya dan serangan yang sangat mengganggu, admin TI dan profesional keamanan harus terbiasa dengan malware ini, taktik yang digunakan untuk menyebar ke seluruh jaringan, dan yang digunakan oleh operator botnet untuk mengirimkannya ke target baru.

Sumber : Bleeping Computer

Pengguna OpenSea kehilangan NFT senilai $2 juta dalam serangan phishing

by

Pasar non-fungible token (NFT) OpenSea sedang menyelidiki serangan phishing yang menyebabkan 17 penggunanya tidak memiliki lebih dari 250 NFT senilai sekitar $2 juta.

NFT mewakili data yang disimpan di blockchain, Ethereum dalam hal ini, yang menyatakan kepemilikan file digital, biasanya file media karya seni.

Para peneliti di Check Point mengatakan bahwa pelaku phishing mengetahui tentang OpenSea yang meningkatkan sistem kontrak pintarnya untuk membersihkan daftar lama dan tidak aktif di platform dan bersiap untuk migrasi dengan email dan situs web mereka sendiri.

OpenSea memberi tahu penggunanya bahwa mereka harus memperbarui daftar mereka antara 18 – 25 Februari jika mereka ingin terus menggunakan platform.

Untuk membantu mereka dalam prosesnya, platform mengirim email kepada semua pengguna dengan instruksi tentang cara mengonfirmasi migrasi daftar.

Pelaku phishing mengambil keuntungan dari proses ini dan menggunakan alamat email mereka sendiri untuk mengirim pesan dari OpenSea ke pengguna yang divalidasi, menipu mereka dengan berpikir bahwa konfirmasi asli mereka tidak berhasil.

Email phishing yang dikirim oleh pelaku ancaman terlihat identik dengan yang asli (Check Point)

Tautan yang disematkan ke dalam email palsu itu mengarah ke situs web phishing tempat para korban diminta untuk menandatangani transaksi, yang diduga terkait dengan migrasi.

Permintaan transaksi asli dan berbahaya berdampingan (Check Point)

Seperti yang dijelaskan oleh Check Point, aktor tersebut bahkan melakukan uji coba pada 21 Januari 2022, untuk memverifikasi bahwa serangan itu akan berhasil sebagaimana dimaksud.

OpenSea dengan cepat menunjukkan bahwa serangan itu tidak mengeksploitasi kerentanan apa pun pada platform atau sistem perdagangannya, melainkan hanya mengandalkan menipu pengguna melalui phishing.

Dengan demikian, platform telah menyarankan pengguna untuk tetap waspada dan menghindari mengikuti tautan apa pun yang bukan milik domain opensea.io.

Selain itu, email phishing dikonfirmasi berasal dari luar platform, yang mengonfirmasi bahwa sistem distribusi email platform tidak disusupi.

Menandatangani transaksi tanpa memperhatikan memberikan izin kepada orang lain untuk mentransfer kepemilikan aset digital Anda. Permintaan dari platform pertukaran dikecualikan, semua permintaan transaksi lainnya harus ditolak.

Sumber : Bleeping Computer