Kit Phishing

Kit phishing PayPal ditambahkan ke situs WordPress yang diretas untuk pencurian ID lengkap

July 15, 2022 by Eevee

Kit phishing yang baru ditemukan yang menargetkan pengguna PayPal mencoba mencuri sejumlah besar informasi pribadi dari para korban yang mencakup dokumen dan foto identitas pemerintah.

Kit ini di-host di situs web WordPress yang sah yang telah diretas, yang memungkinkannya untuk menghindari deteksi hingga tingkat tertentu.

Para peneliti di perusahaan teknologi internet Akamai menemukan kit phishing setelah pelaku ancaman menanamnya di honeypot WordPress mereka.

Pelaku ancaman menargetkan situs web yang kurang aman dan memaksa masuk mereka menggunakan daftar pasangan kredensial umum yang ditemukan secara online. Mereka menggunakan akses ini untuk menginstal plugin manajemen file yang memungkinkan pengunggahan kit phishing ke situs yang dilanggar.

Akamai menemukan bahwa salah satu metode yang digunakan kit phishing untuk menghindari deteksi adalah dengan referensi silang alamat IP ke domain milik sekumpulan perusahaan tertentu, termasuk beberapa organisasi di industri keamanan siber.

Para peneliti memperhatikan bahwa pembuat kit phishing berusaha membuat halaman penipuan terlihat profesional dan meniru situs PayPal asli sebanyak mungkin.

Salah satu aspek yang mereka amati adalah penulis menggunakan htaccess untuk menulis ulang URL sehingga tidak diakhiri dengan ekstensi file PHP. Ini menambah penampilan yang lebih bersih dan lebih halus yang memberikan legitimasi.

Menulis ulang URL untuk menghapus akhiran php (Akamai)

Selain itu, semua elemen antarmuka grafis dalam formulir ditata sesuai dengan tema PayPal, sehingga halaman phishing memiliki tampilan yang tampak autentik.

Mencuri data pribadi korban dimulai dengan memberi mereka tantangan CAPTCHA, sebuah langkah yang menciptakan rasa legitimasi yang salah.

CAPTCHA palsu menginjak situs phishing (Akamai)

Setelah tahap ini, korban diminta untuk masuk ke akun PayPal mereka menggunakan alamat email dan kata sandi mereka, yang secara otomatis dikirimkan ke pelaku ancaman. Setelah itu pelaku ancaman meminta informasi verifikasi lebih lanjut.

Di halaman berikutnya, korban diminta untuk memberikan sejumlah rincian pribadi dan keuangan yang mencakup data kartu pembayaran bersama dengan kode verifikasi kartu, alamat fisik, nomor jaminan sosial, nama gadis ibu.

Tampaknya kit phishing dibuat untuk memeras semua informasi pribadi dari korban. Selain data kartu yang biasanya dikumpulkan dalam penipuan phishing, yang satu ini juga meminta nomor jaminan sosial, nama gadis ibu, dan bahkan nomor PIN kartu untuk transaksi di mesin ATM.

Mengumpulkan informasi sebanyak ini tidak khas untuk kit phishing. Namun, yang satu ini melangkah lebih jauh dan meminta korban untuk menautkan akun email mereka ke PayPal. Ini akan memberi penyerang token yang dapat digunakan untuk mengakses konten dari alamat email yang diberikan.

Meskipun telah mengumpulkan sejumlah besar informasi pribadi, pelaku ancaman belum selesai. Langkah selanjutnya, mereka meminta korban untuk mengunggah dokumen identitas resmi mereka untuk mengkonfirmasi identitas mereka.

Dokumen yang diterima adalah paspor, ID nasional, atau SIM dan prosedur pengunggahan dilengkapi dengan instruksi khusus, seperti yang diminta PayPal atau layanan resmi dari penggunanya.

Petunjuk tentang cara mengunggah dokumen (Akamai)

Penjahat dunia maya dapat menggunakan semua informasi ini untuk berbagai kegiatan ilegal mulai dari apa pun yang terkait dengan pencurian identitas hingga pencucian uang (misalnya membuat akun perdagangan mata uang kripto, mendaftarkan perusahaan) dan mempertahankan anonimitas saat membeli layanan hingga mengambil alih rekening perbankan atau mengkloning kartu pembayaran.

Meskipun kit phishing tampak canggih, para peneliti menemukan bahwa fitur unggah filenya dilengkapi dengan kerentanan yang dapat dieksploitasi untuk mengunggah shell web dan mengendalikan situs web yang disusupi.

Mengingat sejumlah besar informasi yang diminta, penipuan mungkin tampak jelas bagi sebagian pengguna. Namun, peneliti Akamai percaya bahwa elemen rekayasa sosial khusus inilah yang membuat kit ini berhasil.

Mereka menjelaskan bahwa verifikasi identitas adalah hal yang normal akhir-akhir ini dan ini dapat dilakukan dengan berbagai cara. “Orang-orang menilai merek dan perusahaan berdasarkan langkah-langkah keamanan mereka akhir-akhir ini,” kata para peneliti.

Penggunaan tantangan captcha menandakan dari awal bahwa verifikasi tambahan mungkin diharapkan. Dengan menggunakan metode yang sama seperti layanan yang sah, pelaku ancaman memantapkan kepercayaan korban.

Pengguna disarankan untuk memeriksa nama domain halaman yang meminta informasi sensitif. Mereka juga dapat membuka halaman resmi layanan, dengan mengetiknya secara manual di browser, untuk memeriksa apakah verifikasi identitas sudah dilakukan.

Sumber: Bleeping Computer

Metode phishing yang licik melewati MFA menggunakan perangkat lunak akses jarak jauh

February 23, 2022 by Eevee

Teknik phishing baru yang licik memungkinkan musuh untuk melewati otentikasi multi-faktor (MFA) dengan secara diam-diam meminta korban masuk ke akun mereka secara langsung di server yang dikendalikan penyerang menggunakan sistem berbagi layar VNC.

Untuk mendapatkan akses ke akun target yang dilindungi MFA, kit phishing telah diperbarui untuk menggunakan proxy terbalik atau metode lain untuk mengumpulkan kode MFA dari korban tanpa disadari.

Namun, perusahaan menangkap metode ini dan mulai memperkenalkan langkah-langkah keamanan yang memblokir login atau menonaktifkan akun ketika proxy terbalik terdeteksi.

Saat melakukan uji penetrasi untuk pelanggan, peneliti keamanan mr.d0x berusaha membuat serangan phishing pada karyawan klien untuk mendapatkan kredensial akun perusahaan.

Karena semua akun dikonfigurasi dengan MFA, mr.d0x menyiapkan serangan phishing menggunakan kerangka kerja serangan Evilginx2 yang bertindak sebagai proxy terbalik untuk mencuri kredensial dan kode MFA.

Saat melakukan pengujian, peneliti menemukan bahwa Google mencegah login saat mendeteksi proxy terbalik atau serangan man-in-the-middle (MiTM).

Masuk Google Chrome memblokir serangan MiTM
Sumber: mr.d0x

Untuk mengatasi kendala ini, mr.d0x datang dengan teknik phishing baru yang licik yang menggunakan perangkat lunak akses jarak jauh noVNC dan browser yang berjalan dalam mode kios untuk menampilkan permintaan login email yang berjalan di server penyerang tetapi ditampilkan di browser korban.

VNC adalah perangkat lunak akses jarak jauh yang memungkinkan pengguna jarak jauh untuk terhubung dan mengontrol desktop pengguna yang masuk. Kebanyakan orang terhubung ke server VNC melalui klien VNC khusus yang membuka desktop jarak jauh dengan cara yang mirip dengan Windows Remote Desktop.

Namun, sebuah program yang disebut noVNC memungkinkan pengguna untuk terhubung ke server VNC langsung dari dalam browser hanya dengan mengklik tautan, saat itulah teknik phishing baru peneliti ikut bermain.

Dengan menggunakan konfigurasi ini, pelaku ancaman dapat mengirimkan email spear-phishing yang ditargetkan yang berisi tautan yang secara otomatis meluncurkan browser target dan masuk ke server VNC jarak jauh penyerang.

Tautan ini sangat dapat disesuaikan dan memungkinkan penyerang membuat tautan yang tidak terlihat seperti URL masuk VNC yang mencurigakan, seperti di bawah ini:

Contoh[.]com/index.html?id=VNCPASSWORD
Contoh[.]com/auth/login?name=password

Karena server VNC penyerang dikonfigurasi untuk menjalankan browser dalam mode kios, yang menjalankan browser dalam mode layar penuh, ketika korban mengklik tautan, mereka hanya akan melihat layar login untuk layanan email yang ditargetkan dan login seperti biasa.

Demonstrasi teknik phishing VNC
Sumber: mr.d0x

Namun, karena prompt login sebenarnya sedang ditampilkan oleh server VNC penyerang, semua upaya login akan dilakukan langsung di server jauh. mr.d0x memberi tahu bahwa begitu pengguna masuk ke akun, penyerang dapat menggunakan berbagai alat untuk mencuri kredensial dan token keamanan.

Lebih berbahaya lagi, teknik ini akan melewati MFA karena pengguna akan memasukkan kode akses satu kali langsung di server penyerang, yang mengizinkan perangkat untuk mencoba login di masa mendatang.

Alternatif lain adalah saya menyuntikkan JS ke browser sebelum mengirim tautan phishing. Ketika pengguna mulai menggunakan browser, itu menjalankan JS saya. Ada lebih banyak opsi karena pada akhirnya pengguna mengautentikasi ke server Anda.”

Jika serangan digunakan secara terbatas untuk menargetkan hanya beberapa orang, cukup masuk ke akun email mereka melalui sesi VNC penyerang akan mengizinkan perangkat untuk terhubung ke akun di masa mendatang.

Karena VNC memungkinkan banyak orang untuk memantau sesi yang sama, penyerang dapat memutuskan sesi korban setelah akun masuk dan menyambung ke sesi yang sama nanti untuk mengakses akun dan semua emailnya.

Adapun cara melindungi diri Anda dari jenis serangan ini, semua saran phishing tetap sama: jangan klik URL dari pengirim yang tidak dikenal, periksa tautan yang disematkan untuk domain yang tidak biasa, dan perlakukan semua email sebagai mencurigakan, terutama saat meminta Anda untuk masuk ke akun Anda.

Sumber : Bleeping Computer

Kit Phishing Deteksi Rendah Semakin Melewati MFA

February 4, 2022 by Eevee

Semakin banyak kit phishing yang berfokus pada melewati metode otentikasi multi-faktor (MFA), para peneliti telah memperingatkan biasanya mereka mencuri token otentikasi melalui serangan man-in-the-middle (MiTM).

Menurut analisis dari Proofpoint, kit phishing bypass MFA berkembang biak dengan cepat, “mulai dari kit open-source sederhana dengan kode yang dapat dibaca manusia dan fungsionalitas tanpa embel-embel hingga kit canggih yang menggunakan banyak lapisan kebingungan dan modul bawaan yang memungkinkan untuk mencuri. nama pengguna, kata sandi, token MFA, nomor Jaminan Sosial, dan nomor kartu kredit.”

Para peneliti juga mencatat bahwa kit MFA-bypass mewakili titik buta keamanan, dengan alamat IP dan domain terkait yang sering kali diselingi oleh deteksi VirusTotal.

Trik Proxy Terbalik Transparan
Menurut Proofpoint, salah satu pendekatan kit phishing yang sangat populer adalah penggunaan transparent reverse proxies (TRPs), yang memungkinkan penyerang untuk memasukkan diri mereka ke dalam sesi browser yang ada. Pendekatan MiTM ini memungkinkan musuh bersembunyi dan mengumpulkan informasi saat informasi tersebut masuk atau muncul di layar.

Kit TRP menunjukkan “situs web sebenarnya kepada korban,” catat para peneliti dalam analisis hari Kamis. “Halaman web modern bersifat dinamis dan sering berubah. Oleh karena itu, menampilkan situs sebenarnya alih-alih faksimili sangat meningkatkan ilusi bahwa seseorang masuk dengan aman.”

Proofpoint mengatakan bahwa ada tiga kit TRP khususnya yang telah melihat peningkatan yang digunakan belakangan ini.

Modlishka
Proofpoint mengatakan bahwa ini memungkinkan pengguna untuk melakukan phishing hanya pada satu situs pada satu waktu. Ini menggunakan antarmuka baris perintah dan memiliki mekanisme berbasis GUI untuk mencuri kredensial dan informasi sesi, tambah mereka.

“Modlishka juga mengintegrasikan Let’s Encrypt sehingga dapat membuat halaman arahan domain palsu sedikit lebih dapat dipercaya dengan mengenkripsi lalu lintas dan memberikan gembok kecil di bilah web,” kata mereka.

Muraena/Necrobrowser
Muraena berjalan di sisi server dan menggunakan crawler untuk memindai situs target untuk memastikan situs tersebut dapat menulis ulang semua lalu lintas yang diperlukan dengan benar, untuk tidak memperingatkan korban. Ini memanen kredensial dan cookie sesi korban, lalu menyebarkan Necrobrowser.

Necrobrowser merupakan browser tanpa GUI yang digunakan untuk otomatisasi, yang memanfaatkan cookie sesi yang dicuri untuk masuk ke situs target dan melakukan hal-hal seperti mengubah kata sandi, menonaktifkan pemberitahuan Google Workspace, membuang email, mengubah kunci sesi SSH di GitHub dan unduh semua repositori kode.

Evilginx2

Keunggulannya adalah pengaturan yang mudah dan kemampuan untuk menggunakan “phishlet” yang telah diinstal sebelumnya, yaitu file konfigurasi yaml yang digunakan mesin untuk mengonfigurasi proxy ke situs target. Pengguna juga dapat membuat phishlet baru.

Setelah korban mengklik tautan berbahaya, mereka dibawa ke halaman aman untuk masuk, di mana penyerang mengangkat kredensial, kode MFA, dan cookie sesi.

Meskipun alat-alat ini bukan hal baru, mereka semakin sering digunakan untuk melewati MFA, perusahaan mencatat, yang mengkhawatirkan karena kurangnya deteksi. Peneliti dari Stony Brook University dan Palo Alto Networks mengembangkan alat yang berhasil mengidentifikasi 1.200 situs phishing MitM. Namun, hanya 43,7 persen dari domain tersebut dan 18,9 persen alamat IP mereka yang muncul di VirusTotal – meskipun memiliki masa hidup hingga 20 hari atau lebih.

Selengkapnya : Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Kit Phishing

Cookies Settings