Phiser

Telegram telah menjadi tempat bagi pembuat bot dan kit phishing yang ingin memasarkan produk mereka kepada audiens yang lebih besar atau merekrut pekerja yang tidak dibayar.

Peneliti dari Kaspersky telah mengamati sebuah tren di mana sebuah komunitas telah terbentuk di sekitar topik phishing yang semakin populer di Telegram.

Pelaku phishing sangat aktif di Telegram, menawarkan layanan mulai dari menjual kit siap pakai, halaman palsu, langganan alat, panduan, hingga dukungan teknis kepada pembeli yang tertarik.

Menurut laporan dari Kaspersky, layanan phishing berikut ini ditawarkan melalui Telegram saat ini:

kit phishing gratis dengan alat pra-paket yang memungkinkan pengguna membuat halaman phishing yang meniru merek terkenal.
Pembuatan halaman phishing otomatis (berbasis bot) dan pengumpulan data pengguna dilakukan secara otomatis menggunakan bot.
Halaman phishing dan scam premium menawarkan antarmuka yang dapat disesuaikan, sistem anti-bot, blokir geografis, enkripsi URL, dan elemen rekayasa sosial. Biaya kit ini bervariasi antara $10 hingga $300, tergantung pada fiturnya.
Data pribadi yang dicuri meliputi kredensial perbankan online yang sering diverifikasi.
Langganan Phishing-as-a-service (PhaaS) menyediakan akses ke alat, panduan pemula, dukungan teknis, dan pembaruan rutin untuk sistem anti-deteksi yang disediakan. Layanan ini ditawarkan pada model langganan dengan harga sekitar $130/minggu, atau $500/bulan untuk penerapan khusus.
Bot kata sandi satu kali (OTP) membantu phisher melewati perlindungan 2FA (autentikasi dua faktor) secara otomatis.

Beberapa vendor menjual kit yang mengenkripsi data yang dicuri, sehingga operator dan vendor tidak dapat mengakses informasi korban tanpa membayar.

Telegram menjadi tempat bagi calon penipu untuk belajar bisnis phishing gratis. Phisher yang berpengalaman membuat saluran Telegram dengan bot yang memberikan petunjuk langkah demi langkah untuk membuat halaman phishing.

Kaspersky telah mendeteksi lebih dari 2,5 juta URL jahat yang dihasilkan menggunakan kit phishing dan mencegah 7,1 upaya akses oleh pengguna produknya dalam enam bulan terakhir. Proliferasi kit dan layanan di Telegram telah memungkinkan pertumbuhan operasi phishing yang besar.

Selengkapnya: Bleeping Computer

Seorang aktor ancaman yang dilacak sebagai Shatak (TA551) baru-baru ini bermitra dengan geng ITG23 (alias TrickBot dan Wizard Spider) untuk menyebarkan Conti ransomware pada sistem yang ditargetkan. Operasi Shatak membuat kampanye phishing yang mengunduh dan menginfeksi korban dengan malware.

IBM X-Force menemukan bahwa Shatak dan TrickBot mulai bekerja sama pada Juli 2021 hingga hari ini. Serangan dimulai dengan email phishing yang dikirim oleh Shatak, kemudian mereka membawa arsip yang dilindungi kata sandi yang berisi dokumen berbahaya.

Menurut IBM X-Force, Shatak menggunakan email berantai balasan yang dicuri dari korban sebelumnya dan menambahkan lampiran arsip yang dilindungi kata sandi.

Lampiran ini berisi skrip kode yang disandikan base-64 untuk mengunduh dan menginstal malware TrickBot atau BazarBackdoor dari situs jarak jauh. Kemudian ITG23 mengambil alih dengan menerapkan suar Cobalt Strike pada sistem yang disusupi, menambahkannya ke tugas terjadwal untuk ketekunan.

Aktor Conti menggunakan BazarBackdoor untuk pengintaian jaringan, menghitung pengguna, admin domain, komputer bersama, dan sumber daya bersama. Mereka mencuri kredensial pengguna, hash kata sandi, dan data Active Directory, dan menyalahgunakan apa yang mereka bisa untuk menyebar secara lateral melalui jaringan.

Fitur pemantauan real-time Windows Defender juga dinonaktifkan untuk mencegah peringatan atau intervensi selama proses enkripsi. setelah itu mereka melakukan eksfiltrasi data, yang merupakan tahap terakhir sebelum enkripsi file, dengan menggunakan alat ‘Rclone’ untuk mengirim semuanya ke titik akhir jarak jauh di bawah kendali mereka. Conti menonaktifkan perlindungan real-time Defender.

Conti menonaktifkan perlindungan real-time Defender.
Sumber: Cybereason

Setelah mengumpulkan semua data berharga dari jaringan, pelaku ancaman menyebarkan ransomware untuk mengenkripsi perangkat.

Dalam laporan Computer Emergency Response Team (CERT) Prancis, TA551 muncul sebagai kolaborator ‘Lockean’, grup ransomware yang baru ditemukan dengan banyak afiliasi.

Shatak mengirim email phishing untuk mendistribusikan trojan perbankan Qbot/QakBot, yang digunakan untuk menyebarkan infeksi ransomware ProLock, Egregor, dan DoppelPaymer.

TA551 mungkin memiliki lebih banyak kolaborasi dengan geng ransomware lain selain yang ditemukan oleh para analis. Pelaku ancaman ini juga diidentifikasi dengan nama yang berbeda, seperti Shathak, UNC2420, dan Gold Cabin.

Pertahanan terbaik terhadap jenis serangan ini adalah dengan melatih karyawan tentang risiko email phishing. Admin juga harus menerapkan penggunaan otentikasi multi-faktor pada akun, menonaktifkan layanan RDP yang tidak digunakan, memantau log peristiwa yang relevan untuk perubahan konfigurasi yang tidak biasa, serta mencadangkan data penting secara teratur kemudian membuat cadangan tersebut offline sehingga tidak dapat ditargetkan oleh pelaku ancaman.

Selengkapnya : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Telegram Kini Menjadi Tempat Tujuan Untuk Menjual Alat dan Layanan Phishing

TrickBot bekerja sama dengan Phisher Shatak untuk serangan Ransomware Conti

Phiser

Cookies Settings