Phishing

Trojan baru yang jahat ini mencuri detail login dari Chrome, Edge, dan Outlook

February 19, 2021 by Winnie the Pooh

Tim intelijen ancaman di Cisco Talos telah menemukan kampanye trojan baru yang dapat mencuri kredensial pribadi dari browser web, Microsoft Outlook, dan aplikasi perpesanan instan. Metode serangan dimulai dengan email phishing yang berisi lampiran file HTML berbahaya.

“Metode ini menggunakan pendekatan multi-modular yang dimulai dengan email phishing awal dan dilanjutkan ke muatan akhir,” Vanja Svajcer, peneliti yang bekerja untuk Cisco Talos, menjelaskan. “Musuh di balik kampanye ini kemungkinan besar melakukan ini untuk menghindari deteksi. Tapi itu juga bisa menjadi kelemahan, karena ada banyak peluang bagi defender untuk menghancurkan killchain”.

Penyerang pertama-tama mengirim email dengan baris subjek yang mengklaim terkait dengan bisnis tertentu. Ini akan disertai dengan lampiran RAR yang membuat file dengan ekstensi RAR “r00” dan kemudian ekstensi .chm. File CHM adalah format HTML terkompilasi dan, dalam hal ini, berisi kode JavaScript yang akan memulai proses infeksi.

Jenis trojan yang digunakan dalam kampanye ini dikenal sebagai “Masslogger” dan telah terlihat di alam liar sebelumnya. Masslogger pertama kali dirilis pada April 2020 dan dijual di forum peretasan sebagai cara untuk mencuri kredensial, sebagian besar dari browser tetapi juga dari klien email dan aplikasi perpesanan.

Cisco Talos mengidentifikasi pesan email yang menargetkan Latvia, Lituania, Turki, Bulgaria, Estonia, Rumania, Hongaria, Italia, dan Spanyol, dengan beberapa pesan tertulis dalam bahasa Inggris.

Selengkapnya: Tech Radar | Cisco Talos

Seoranga Aktor Siber Diduga Di Balik 50% Penipuan Phishing Australia

February 16, 2021 by Winnie the Pooh

Investigasi Polisi Federal Australia (AFP) telah membantu menangkap seseorang yang diduga berada di balik salah satu penipuan phishing terbesar di dunia. Diperkirakan paket phishing bertanggung jawab atas sekitar 50% dari semua penipuan di Australia pada tahun 2019.

Pada tahun 2018, unit Operasi Kejahatan Siber AFP memeriksa serangkaian penipuan phishing dari informasi yang diberikan oleh lembaga perbankan Australia.

Tampaknya kit Universal Admin (U-Admin) digunakan untuk mencuri detail login bank dan mencegat transaksi. Hal ini mengakibatkan jutaan dolar dicuri dari rekening bank Australia.

AFP bekerja erat dengan mitra internasionalnya dan berbagi informasi dengan Kepolisian Nasional Ukraina dan FBI. Investigasi lepas pantai akhirnya menghasilkan penangkapan seorang pria berusia 31 tahun di Ternopil, Ukraina pekan lalu, menurut siaran pers.

Perangkat lunak penipuan mencuri puluhan juta dolar dari 11 negara. Polisi juga menuduh bahwa orang tersebut melakukan demonstrasi tentang bagaimana menggunakan produk ilegalnya untuk penjahat lain di Darknet.

Selengkapnya:
Gizmodo

Email phishing ini menjanjikan Anda bonus – tetapi sebenarnya mengirimkan malware trojan Windows

February 16, 2021 by Winnie the Pooh

Kampanye phishing baru mencoba memikat korban agar mengunduh versi terbaru dari trojan malware – dan memiliki tautan ke salah satu operasi kriminal siber paling produktif yang aktif di dunia saat ini.

Trojan Bazar pertama kali muncul tahun lalu dan penyebaran malware trojan yang berhasil dapat memberi penjahat siber sebuah backdoor ke dalam sistem Windows yang dikompromikan, memungkinkan mereka untuk mengontrol perangkat dan mendapatkan akses tambahan ke jaringan untuk mengumpulkan informasi sensitif atau mengirimkan malware, termasuk ransomware.

Para peneliti telah mengaitkannya dengan pengembang Trickbot, salah satu bentuk malware paling umum untuk peretas kriminal yang ingin masuk ke jaringan.

Sekarang para peneliti keamanan siber di Fortinet telah mengidentifikasi varian baru dari trojan Bazar, yang telah dilengkapi dengan teknik anti-analisis untuk membuat malware lebih sulit dideteksi oleh perangkat lunak anti-virus.

Ini termasuk menyembunyikan API berbahaya dalam kode dan hanya memanggilnya saat diperlukan, obfuscation kode tambahan, dan bahkan mengenkripsi string kode tertentu agar lebih sulit untuk dianalisis.

Teknik baru ditambahkan ke Bazar menjelang akhir Januari dan bertepatan dengan kampanye phishing yang dirancang untuk mendistribusikan versi terbaru dari malware tersebut.

Tema yang digunakan oleh email phishing yang dirancang untuk menarik minat dari calon korban perusahaan termasuk laporan keluhan pelanggan palsu, laporan tagihan palsu, dan penawaran bonus finansial palsu.

Untuk menghindari menjadi korban serangan phishing yang menyebarkan Bazar atau jenis malware lainnya, para peneliti merekomendasikan agar organisasi memberikan panduan kepada karyawan tentang cara mengidentifikasi dan melindungi diri dari serangan dan penipuan.

Sumber: ZDNet

Proofpoint menuntut Facebook untuk mendapatkan izin menggunakan domain yang mirip untuk pengujian phishing

February 11, 2021 by Winnie the Pooh

Pusat kekuatan keamanan siber Proofpoint telah mengajukan gugatan minggu ini terhadap Facebook sehubungan dengan upaya jaringan sosial untuk menyita nama domain yang digunakan perusahaan keamanan untuk pelatihan kesadaran phishing.

Kasus ini adalah tuntutan balasan untuk pengajuan Facebook mulai 30 November 2020, ketika jejaring sosial menggunakan permintaan UDRP (Uniform Domain-Name Dispute-Resolution) untuk memaksa pencatat nama domain Namecheap menyerahkan beberapa nama domain yang meniru Facebook dan Instagram merek.

Di antara nama domain yang terdaftar adalah orang-orang seperti facbook-login.com, facbook-login.net, instagrarn.ai, instagrarn.net, dan instagrarn.org.

PROOFPOINT KATAKAN DOMAIN ADALAH GAME FAIR
Dalam dokumen pengadilan yang diajukan pada hari Selasa, Proofpoint mengatakan UDRP tidak boleh berlaku untuk domain ini, yang harus diizinkan untuk disimpan dan terus digunakan.

Facebook dan Proofpoint belum menanggapi permintaan komentar.

selengkapnya : ZDNET

Google: Inilah mengapa beberapa orang mendapatkan lebih banyak email phishing dan spam malware

February 11, 2021 by Winnie the Pooh

Penjahat siber terus-menerus mengadaptasi teknik untuk mendistribusikan email phishing, tetapi hanya dengan alamat email Anda atau detail pribadi lainnya terungkap dalam pelanggaran data membuat Anda lima kali lebih mungkin menjadi target.

Google bekerja sama dengan Universitas Stanford untuk menganalisis lebih dari satu miliar email phishing yang coba dikirim oleh penjahat siber ke pengguna Gmail antara April dan Agustus tahun lalu dan menemukan bahwa informasi pribadi yang bocor dalam pelanggaran data pihak ketiga setelah insiden peretasan secara drastis meningkatkan kemungkinan menjadi sasaran email phishing, dibandingkan dengan pengguna yang detailnya belum dipublikasikan.

Faktor lain yang mungkin membuat Anda lebih mungkin terkena phishing menurut model Google meliputi;

Tempat tinggal Anda juga: di Australia, pengguna menghadapi 2X kemungkinan serangan dibandingkan dengan AS, meskipun AS adalah target paling populer berdasarkan volume (bukan per kapita).
Peluang mengalami serangan 1,64X lebih tinggi untuk usia 55 hingga 64 tahun, dibandingkan dengan usia 18 hingga 24 tahun.
Pengguna khusus seluler mengalami peluang serangan yang lebih rendah: 0,80X dibandingkan dengan pengguna multi-perangkat. Google mengatakan ini “mungkin berasal dari faktor sosial ekonomi yang terkait dengan kepemilikan perangkat dan penyerang yang menargetkan kelompok yang lebih kaya.”

Gmail menghentikan 99,9 persen serangan phishing agar tidak mencapai kotak masuk – tetapi itu tidak menghentikan penipu mencoba hal-hal baru dalam upaya menyelinap menembus pertahanan.

Google mengatakan bahwa phishing dan malware Gmail diaktifkan secara default, tetapi juga mendorong pengguna untuk menggunakan fungsi Pemeriksaan Keamanan untuk mendapatkan saran yang dipersonalisasi tentang cara menjaga kotak masuk mereka aman dari phishing dan serangan jahat lainnya.

Juga disarankan agar pengguna perusahaan menerapkan perlindungan phishing dan malware tingkat lanjut Google.

Sumber: ZDNet

Kampanye phishing Facebook yang menipu hampir 500.000 pengguna dalam dua minggu

February 11, 2021 by Winnie the Pooh

Investigasi Cybernews ke dalam pesan Facebook Messenger yang berbahaya mengungkap operasi phishing skala besar di Facebook. Mereka juga berpotensi mengidentifikasi aktor ancaman di balik kampanye phishing dan niatnya.

Saat laporan ini ditulis pada 8 Februari, jumlah korban yang berpotensi telah melebihi 480.000 sejak kampanye phishing dimulai pada 26 Januari 2020, dengan 77% korban berada di Jerman.

Menariknya, bagaimanapun, pelaku ancaman menggunakan layanan statistik web pihak ketiga yang sah untuk melacak kampanye, yang membantu Cybernews melakukan penyelidikan dan mengetahui tanggal mulai kampanye, jumlah pengguna yang terpengaruh, dan informasi yang lebih berguna.

Kampanye ini dimulai dengan mengirimkan pesan kepada calon korban dari salah satu kontak Facebook mereka. Pesan tersebut berisi tautan video dengan teks sugestif yang menanyakan korban ‘Apakah itu kamu?’ Dalam bahasa Jerman. Setelah mengklik link berbahaya tersebut, korban dialihkan ke halaman phishing Facebook palsu.

Menariknya, skrip berbahaya yang mengarahkan korban ke halaman phishing disembunyikan dalam apa yang tampak seperti situs web sah yang telah disusupi.

Halaman phishing asli juga menyertakan skrip yang dirancang untuk mengambil kredensial yang dimasukkan oleh korban dan mengumpulkan data lokasi mereka.

Jelas bahwa kampanye phishing “Apakah itu Anda” menargetkan penduduk Jerman untuk mendapatkan kredensial mereka.

Motif pelaku ancaman lebih lanjut, bagaimanapun, adalah kenyataan bahwa setelah kredensial mereka diambil, korban dialihkan ke situs web berbahaya yang menyajikan baik adware atau malware.

Selengkapnya: Cyber News

Bagaimana serangan phishing yang berhasil dapat merugikan organisasi Anda

February 9, 2021 by Winnie the Pooh

Serangan phishing tampak seperti taktik yang relatif sederhana di pihak penjahat siber. Namun, di sisi penerima, kampanye phishing yang berhasil dapat merusak organisasi dengan lebih dari satu cara.

Sebuah laporan yang dirilis pada hari Minggu oleh penyedia keamanan Proofpoint melihat dampak serangan phishing dan menawarkan tip tentang cara melawannya.

Tahun 2020 terlihat sedikit peningkatan serangan phishing di antara pelanggan Proofpoint. Sekitar 57% mengatakan organisasi mereka terkena serangan yang sukses tahun lalu, naik dari 55% pada 2019. Lebih dari 75% responden mengatakan mereka menghadapi serangan phishing berbasis luas – baik yang berhasil maupun yang tidak – pada tahun 2020.

Serangan phishing yang berhasil dapat memengaruhi organisasi dalam beberapa cara. Kehilangan data adalah efek samping terbesar, dikutip oleh rata-rata 60% di antara mereka yang disurvei.

Akun atau kredensial yang disusupi adalah pengaruh terbesar kedua, yang disebutkan oleh 52% responden. Hasil tambahan dari serangan phishing termasuk infeksi ransomware sebanyak 47%, infeksi malware lainnya sebesar 29%, dan kerugian finansial atau penipuan transfer bank sebesar 18%.

Untuk membantu organisasi dan karyawan Anda menggagalkan kampanye phishing, Proofpoint menawarkan berbagai saran yang dapat Anda lihat disini.

Sumber: Tech Republic

Serangan phishing baru menggunakan kode Morse untuk menyembunyikan URL berbahaya

February 8, 2021 by Winnie the Pooh

Kampanye phishing bertarget baru menyertakan teknik kebingungan baru menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam lampiran email.

Mulai minggu lalu, pelaku ancaman mulai menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam bentuk phishing mereka untuk melewati gerbang email dan filter email yang aman.

Setelah pertama kali mengetahui serangan ini dari sebuah pos di Reddit, BleepingComputer dapat menemukan banyak contoh serangan yang ditargetkan yang diunggah ke VirusTotal sejak 2 Februari 2021.

Serangan phishing dimulai dengan email yang berpura-pura menjadi faktur untuk perusahaan dengan subjek email seperti ‘Revenue_payment_invoice February_Wednesday 02/03/2021.’

Email ini menyertakan lampiran HTML yang diberi nama sedemikian rupa sehingga tampak seperti faktur Excel untuk perusahaan yang ditargetkan.

Saat melihat lampiran menggunakan text editor, Anda dapat melihat bahwa lampiran tersebut menyertakan JavaScript yang memetakan huruf dan angka ke kode Morse. Misalnya, huruf ‘a’ dipetakan ke ‘.-‘ dan huruf ‘b’ dipetakan menjadi ‘-…’, seperti yang ditunjukkan di bawah ini.

Skrip kemudian memanggil fungsi decodeMorse() untuk mendekode string kode Morse menjadi string heksadesimal. String heksadesimal ini selanjutnya diterjemahkan menjadi tag JavaScript yang dimasukkan ke dalam halaman HTML.

Skrip yang disuntikkan ini digabungkan dengan lampiran HTML berisi berbagai sumber daya yang diperlukan untuk membuat spreadsheet Excel palsu yang menyatakan waktu masuk mereka habis dan meminta mereka memasukkan kata sandi lagi.

Setelah pengguna memasukkan kata sandi, formulir akan mengirimkan kata sandi ke situs jarak jauh tempat penyerang dapat mengumpulkan kredensial login.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Phishing

Cookies Settings