Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Phishing

Phishing

Serangan phishing di seluruh dunia menghasilkan tiga jenis malware baru

by Leave a Comment

Kampanye phishing berskala global yang menargetkan organisasi di seluruh dunia di berbagai industri dengan rangkaian malware yang belum pernah terlihat sebelumnya dikirim melalui umpan yang disesuaikan secara khusus.

Serangan itu menghantam setidaknya 50 organisasi dari berbagai industri dalam dua gelombang, pada 2 Desember dan antara 11 dan 18 Desember, menurut laporan Mandiant.

UNC2529, bagaimana peneliti ancaman Mandiant menyebut kelompok ancaman yang “tidak dikategorikan” di balik kampanye ini, telah menyebarkan tiga jenis malware baru ke komputer target menggunakan umpan phishing khusus.

Malware yang digunakan oleh UNC2529 dalam serangan ini sangat disamarkan untuk menghalangi analisis, dan mencoba menghindari deteksi dengan menyebarkan muatan dalam memori jika memungkinkan.

Sepanjang dua gelombang serangan, grup ancaman menggunakan email phishing dengan tautan ke pengunduh berbasis JavaScript (dijuluki DOUBLEDRAG) atau dokumen Excel dengan makro tertanam yang mengunduh dropper berbasis PowerShell dalam memori (dikenal sebagai DOUBLEDROP) dari penyerang ‘server perintah-dan-kontrol (C2).

Kemudian DOUBLEDROP memuat backdoor di dalam memory (bernama DOUBLEBACK), malware yang dibuat dalam versi 32-bit dan 64-bit, yang diimplementasikan sebagai PE dynamic library.

Selengkapnya: Bleeping Computer

Peretas Passwordstate melakukan phish untuk lebih banyak korban dengan malware yang diperbarui

by

Click Studios, perusahaan perangkat lunak di balik pengelola kata sandi perusahaan Passwordstate, memperingatkan pelanggan tentang serangan phishing yang sedang berlangsung yang menargetkan mereka dengan malware Moserpass yang diperbarui.

Minggu lalu, perusahaan memberi tahu penggunanya bahwa penyerang berhasil menyusupi mekanisme pembaruan pengelola kata sandi untuk mengirimkan malware pencuri info yang dikenal sebagai Moserpass ke sejumlah pelanggan yang belum diungkapkan antara 20 April dan 22 April.

Click Studios menerbitkan peringatan kedua pada hari Minggu, mengatakan bahwa “hanya pelanggan yang melakukan Peningkatan Di Tempat antara waktu yang disebutkan di atas yang diyakini terpengaruh dan mungkin catatan kata sandi Passwordstate mereka diambil”.

Sejak itu, Click Studios telah membantu pelanggan yang berpotensi terkena dampak melalui email, menyediakan perbaikan terbaru yang dirancang untuk membantu mereka menghapus malware dari sistem mereka.

Namun, seperti yang terungkap hari ini dalam sebuah advisory baru, email yang diterima dari Click Studios dibagikan oleh pelanggan di media sosial yang memungkinkan pelaku ancaman yang tidak dikenal untuk membuat email phishing yang cocok dengan korespondensi perusahaan dan mendorong varian Moserpass baru.

Perusahaan sekarang meminta mereka yang menerima email mencurigakan “untuk tetap waspada dan memastikan validitas email” yang mereka terima.

Selengkapnya: Bleeping Computer

Phishing Microsoft Office 365 menghindari deteksi dengan potongan HTML Lego

by

Kampanye phishing baru-baru ini menggunakan trik cerdas untuk mengirimkan halaman web penipuan yang mengumpulkan kredensial Microsoft Office 365 dengan membangunnya dari potongan kode HTML yang disimpan secara lokal dan jarak jauh.

Metode ini terdiri dari menempelkan beberapa bagian HTML yang disembunyikan dalam file JavaScript untuk mendapatkan antarmuka login palsu dan meminta calon korban untuk mengetikkan informasi sensitif.

Para korban menerima email dengan hanya lampiran yang mengaku sebagai file Excel (.XLSX) tentang investasi. Pada kenyataannya, file tersebut adalah dokumen HTML dengan potongan teks yang dienkode URL.

Para peneliti di Trustwave menerjemahkan teks tersebut dan menemukan lebih banyak decoding di depan karena teks tersebut selanjutnya dikaburkan melalui kode Entity. Dengan menggunakan CyberChef GCHQ, mereka mengungkapkan tautan ke dua file JavaScript yang dihosting di “yourjavascript.com”, sebuah domain yang digunakan untuk kampanye phishing lainnya.

Masing-masing dari dua file JavaScript memiliki dua blok teks yang disandikan yang menyembunyikan kode HTML, URL dan Base64 yang dikodekan.

Di salah satunya, peneliti menemukan halaman awal dan kode phishing yang memvalidasi email dan password dari korban.

Secara keseluruhan, para peneliti menerjemahkan lebih dari 367 baris kode HTML yang tersebar dalam lima bagian di antara dua file JavaScript dan satu lampiran email, yang, ditumpuk bersama, membangun halaman phishing Microsoft Office 365.

Sumber: Bleeping Computer

Trustwave mengatakan bahwa hal yang tidak biasa tentang kampanye ini adalah bahwa JavaScript diunduh dalam potongan yang dikaburkan dari lokasi yang jauh dan kemudian disatukan secara lokal.

Dalam posting blog nya, Trustwave mencatat bahwa URL yang menerima kredensial yang dicuri untuk kampanye ini masih aktif.

Bleeping Computer

Kampanye Phishing Baru Mengirim Tawaran Pekerjaan yang mengandung Malware Melalui LinkedIn

by

Dengan pengangguran pada tingkat yang luar biasa dan ekonomi melakukan pembalikan aneh terkait covid, saya pikir kita semua bisa setuju bahwa perburuan pekerjaan adalah pekerjaan yang cukup sulit saat ini. Di tengah semua itu, Anda tahu apa yang sebenarnya tidak dibutuhkan pekerja? Kotak masuk LinkedIn yang penuh dengan malware. Ya, mereka sama sekali tidak membutuhkan itu.

Namun demikian, tampaknya itulah yang mungkin didapat beberapa orang, berkat satu kelompok jahat dunia maya.

Perusahaan keamanan eSentire baru-baru ini menerbitkan laporan yang merinci bagaimana peretas yang terhubung ke grup yang dijuluki “Ayam Emas” (saya tidak yakin siapa yang menemukan yang itu) telah melancarkan kampanye jahat yang memangsa keinginan pencari kerja untuk posisi yang sempurna .

Kampanye ini melibatkan penipuan profesional bisnis yang tidak menaruh curiga agar mengklik tawaran pekerjaan yang berjudul sama dengan posisi mereka saat ini. Sebuah pesan, dimasukkan ke DM korban, mengumpan mereka dengan “penawaran” yang benar-benar dicurangi dengan file .zip yang dimuat pegas. Di dalamnya .zip adalah malware tanpa file yang disebut “more_eggs” yang dapat membantu membajak perangkat yang ditargetkan. Peneliti merinci bagaimana serangan itu bekerja:

Siapapun mereka, “Ayam” mungkin tidak melakukan serangan ini sendiri. Sebaliknya, mereka mengayuh apa yang akan diklasifikasikan sebagai Malware-as-a-service (MaaS) —yang berarti penjahat dunia maya lain membeli malware dari mereka untuk melakukan kampanye peretasan mereka sendiri. Laporan tersebut mencatat bahwa tidak jelas siapa sebenarnya di balik kampanye baru-baru ini.

Trojan pintu belakang seperti “more_eggs” pada dasarnya adalah program yang memungkinkan jenis malware lain yang lebih merusak untuk dimuat ke dalam sistem perangkat atau komputer. Setelah penjahat menggunakan trojan untuk mendapatkan tumpuan ke dalam sistem korban, mereka kemudian dapat menerapkan hal-hal lain seperti ransomware, malware perbankan, atau pencuri kredensial, untuk mendatangkan malapetaka yang lebih luas pada korbannya.

selengkapnya : gizmodo.com

Google Forms dan Telegram disalahgunakan untuk mengumpulkan kredensial phishing

by

Peneliti keamanan mencatat peningkatan metode alternatif untuk mencuri data dari serangan phishing, karena penipu mendapatkan info yang dicuri melalui Google Forms atau bot Telegram pribadi.

Email tetap menjadi metode yang disukai untuk mengekstrak info yang dicuri, tetapi saluran ini menunjukkan tren baru dalam evolusi kit phishing.

Menganalisis perangkat phishing selama setahun terakhir, para peneliti di perusahaan keamanan siber Group-IB memperhatikan bahwa lebih banyak dari alat ini memungkinkan pengumpulan data pengguna yang dicuri menggunakan Google Forms dan Telegram.

Ini dianggap sebagai metode alternatif untuk memperoleh data yang disusupi dan menyumbang hampir 6% dari apa yang ditemukan oleh analis Grup-IB, sebuah bagian yang kemungkinan besar akan meningkat dalam jangka pendek.

Menyimpan info dalam file lokal di sumber daya phishing juga merupakan bagian dari metode eksfiltrasi alternatif dan menyumbang persentase tertinggi dari semuanya.

Sumber: Group-IB

Mengirim data curian yang dikumpulkan dari situs phishing ke Google Forms dilakukan melalui permintaan POST ke formulir online yang tautannya tertanam dalam kit phishing.

Dibandingkan dengan email, yang dapat diblokir atau dibajak dan lognya hilang, ini adalah metode yang lebih aman untuk mengekstrak informasi, kata Group – IB kepada BleepingComputer.

Selengkapnya: Bleeping Computer

Perubahan merek Pulse BP Chargemaster memungkinkan penjahat mengirim trojan perbankan IcedID dari kotak surat yang sebelumnya sah

by

BP Chargemaster, pemasok soket untuk kendaraan listrik, tampaknya domain emailnya dibajak oleh penjahat yang menggunakan alamat yang sebelumnya sah untuk mengirim trojan perbankan ke pelanggan.

Email yang mengandung malware dikirim dari alamat email perusahaan awal bulan ini – dan lampirannya menyertakan malware pencuri kredensial IcedID.

Tampaknya server email perusahaan mungkin dibiarkan tanpa pengawasan setelah BP Chargemaster berganti nama menjadi BP Pulse pada awal Desember 2020. Selama pengubahan citra, situs web BP Chargemaster dan Polar digantikan oleh bppulse.co.uk, “untuk menghindari kebingungan “.

Pembaca register Matt menerima beberapa email dari BP Chargemaster yang dia yakin tidak berasal dari perusahaan.

Namun ketika dia mulai mendengar kabar dari pengirim itu lagi, email yang dia terima berisi teks seperti “Halo. Terlampir di bawah membutuhkan perhatian Anda,” mendesak Matt untuk membuka file .zip terlampir. Bacaan lainnya: “Silakan lihat file terlampir. Pasti menarik.” Kedua pesan tersebut tampaknya telah dikirim dari alamat email bpchargemaster [.] Com, dan Matt memperhitungkan pada saat mereka telah lulus validasi Sender Policy Framework (SPF).

Kami meminta F-Secure untuk melihat lampiran berbahaya yang dikirim ke Matt dan Calvin Gan perusahaan, manajer senior di Unit Pertahanan Taktis, mengatakan kepada The Register: “Email tersebut adalah kampanye malspam yang menyebarkan versi baru dari trojan perbankan IcedID . File zip berisi spreadsheet Excel berbahaya yang menggunakan fitur makro Excel 4.0 untuk menyembunyikan kodenya. ”

Dia menambahkan bahwa infosec Binary Defense memiliki catatan terbaru tentang evolusi terbaru trojan. Perusahaan menemukan bahwa ketika berhasil diterapkan, trojan tersebut menjatuhkan suar Cobalt Strike dan penjahat kemudian memetakan jaringan tempat orang jahat itu mendarat, dengan menyatakan: “IcedID adalah ancaman hebat yang membuat analisis menjadi kompleks dan menantang.”

Ini pertama kali ditemukan pada tahun 2017 oleh divisi keamanan X-Force IBM, seperti yang kami laporkan pada saat itu.

selengkapnya : www.theregister.com

Microsoft memperingatkan serangan phishing yang melewati gateway email

by

Operasi phishing berkelanjutan yang mencuri sekitar 400.000 kredensial OWA (Outlook Web Access) dan Office 365 sejak Desember kini telah meluas dengan menyalahgunakan layanan baru yang sah untuk melewati secure email gateways (SEG).

Serangan tersebut merupakan bagian dari beberapa kampanye phishing yang secara kolektif dijuluki Kampanye “Compact”, aktif sejak awal tahun 2020 yang pertama kali terdeteksi oleh Tim Intelijen Ancaman Global WMC.

“Phisher terus menemukan keberhasilan dalam menggunakan akun yang disusupi di layanan pemasaran email untuk mengirim email berbahaya dari domain dan range IP yang sah,” kata pakar keamanan Microsoft.

Email phishing mereka disamarkan sebagai pemberitahuan dari layanan konferensi video, berbagai solusi keamanan, dan alat produktivitas untuk menambah legitimasi.

Pelaku ancaman juga menggunakan akun yang disusupi untuk layanan pengiriman email SendGrid dan MailGun, memanfaatkan gateway email yang aman memungkinkan daftar tersebut menjadi domain tepercaya.

Hal ini memungkinkan pesan phishing untuk melewati mereka dan masuk ke kotak masuk target, membujuk mereka untuk mengklik hyperlink yang disematkan yang mengarahkan mereka ke halaman arahan phishing yang dirancang untuk meniru halaman login Microsoft.

Sumber: Microsoft

Domain dan akun yang digunakan selama kampanye phishing ini akan dihapus segera setelah Microsoft dan WMC Global mendeteksinya.

Selengkapnya: Bleeping Computer

Target sempurna Phisher: Karyawan kembali ke kantor

by

Phisher telah mengeksploitasi ketakutan dan keingintahuan orang-orang tentang terobosan dan berita umum terkait pandemi COVID-19 sejak awal, dan akan terus melakukannya selama hal itu memengaruhi kehidupan pribadi dan pekerjaan.

Penjahat siber terus mengeksploitasi kepentingan publik dalam bantuan COVID-19, vaksin, dan berita varian, menipu Pusat Pengendalian Penyakit (CDC), Layanan Pendapatan Internal AS (IRS), Departemen Kesehatan dan Layanan Kemanusiaan (HHS) AS, Organisasi Kesehatan Dunia (WHO), dan badan serta bisnis lainnya.

Menurut peneliti Inky, karyawan yang perlahan-lahan kembali bekerja di kantor dan lokasi perusahaan lain dapat ditargetkan oleh penjahat siber yang menyamar sebagai kolega dan kepemimpinan perusahaan mereka.

Dilihat dari kampanye yang terdeteksi sebelumnya, penyerang akan memukul karyawan dengan email yang dibuat seolah-olah mereka berasal dari HR atau departemen lain, atau dari CEO.

Sumber: Helpnetsecurity

Email tersebut akan berisi elemen desain yang terkait dengan perusahaan (logo, dll.). Tautan akan mengarah ke pengumpulan kredensial atau situs yang menyajikan malware pada domain yang dibajak, dan akan terlihat seperti mengarah ke alat yang sah (Google, Basecamp, SharePoint, dll).

Phisher akan mencoba menciptakan rasa urgensi, kewajiban, dan bahkan mengancam karyawan dengan sanksi agar mereka mengikuti tautan tersebut.

Selengkapnya: Help Net Security