Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Phishing

Phishing

Peringatan phishing: Ini adalah merek yang paling mungkin ditiru oleh penjahat, tetap waspada!

by

Peneliti keamanan siber di Check Point menganalisis email phishing yang dikirim selama tiga bulan terakhir dan menemukan bahwa 43% dari semua upaya phishing yang meniru merek mencoba menyamar sebagai pesan dari Microsoft.

Microsoft adalah daya tarik yang populer karena distribusi Office 365 yang luas di antara perusahaan. Dengan mencuri kredensial ini, penjahat berharap mendapatkan akses ke jaringan perusahaan.

Merek kedua yang paling sering ditiru selama periode analisis Check Point adalah DHL, dengan serangan yang meniru penyedia logistik terhitung 18% dari semua upaya phishing. DHL telah menjadi umpan phishing yang populer bagi para penjahat karena banyak orang sekarang terjebak di rumah karena pembatasan COVID-19 dan menerima lebih banyak paket – sehingga orang lebih cenderung lengah ketika melihat pesan yang mengaku dari perusahaan pengiriman.

Merek lain yang biasanya ditiru dalam email phishing termasuk LinkedIn, Amazon, Google, PayPal, dan Yahoo. Mengompromikan salah satu akun ini dapat memberi penjahat siber akses ke informasi pribadi yang sensitif yang dapat mereka eksploitasi.

“Penjahat meningkatkan upaya mereka pada Q4 2020 untuk mencuri data pribadi orang-orang dengan meniru merek terkemuka, dan data kami dengan jelas menunjukkan bagaimana mereka mengubah taktik phishing untuk meningkatkan peluang sukses mereka,” kata Maya Horowitz, direktur intelijen dan penelitian ancaman di Check Titik.

“Seperti biasa, kami mendorong pengguna untuk berhati-hati saat memberikan data pribadi dan kredensial ke aplikasi bisnis, dan berpikir dua kali sebelum membuka lampiran atau tautan email, terutama email yang mengklaim dari perusahaan, seperti Microsoft atau Google, yang kemungkinan besar akan ditiru,” tambahnya.

Sumber: ZDNet

Serangan phishing baru ini menggunakan iming-iming aneh untuk mengirimkan malware trojan Windows

by

Kampanye phishing baru mencoba memikat korban agar mengunduh malware yang memberikan kontrol penuh kepada penjahat siber atas mesin Microsoft Windows yang terinfeksi.

Quaverse Remote Access Trojan (QRat) pertama kali muncul pada tahun 2015. Malware ini sulit dideteksi di bawah beberapa lapisan obfuscation dan menyediakan akses jarak jauh bagi peretas jahat ke komputer korban yang disusupi.

Kemampuan malware trojan ini termasuk mencuri kata sandi, keylogging, penelusuran file, mengambil screenshot dan banyak lagi yang semuanya memungkinkan peretas untuk mendapatkan akses ke informasi sensitif.

Peneliti keamanan siber di Trustwave telah mengidentifikasi kampanye QRat baru yang mencoba memikat orang agar mengunduh versi terbaru dari malware tersebut, sesuatu yang mereka gambarkan sebagai “ditingkatkan secara signifikan”.

Email phishing awal mengklaim menawarkan pinjaman kepada korban dengan “laba atas investasi yang baik” yang berpotensi menarik perhatian korban. Namun, lampiran berbahaya tersebut sama sekali tidak terkait dengan subjek email phishing, melainkan mengklaim berisi video Presiden Donald Trump.

Jika lampiran dibuka, file Java Archive (JAR) – akan menjalankan penginstal malware QRat.

Prosesnya bahkan dilengkapi dengan peringatan pop-up, memberi tahu pengguna bahwa perangkat lunak yang mereka instal dapat digunakan untuk akses jarak jauh dan penetration testing – jika pengguna setuju QRat ini untuk diunduh, dengan malware diambil oleh unduhan modular untuk membantu menghindari deteksi.

Sumber: ZDNet

Hati-hati: penipuan vaksin COVID-19 sekarang muncul secara online, melalui teks, dan melalui email

by

2020 adalah tahun yang ingin kita lupakan, dan ketika 2021 masuk dengan sedikit kemeriahan yang biasanya dikaitkan dengan perayaan Malam Tahun Baru, tantangan pandemi COVID-19 masih jauh dari selesai.

Selama beberapa minggu terakhir, penipu dan pelaku ancaman lainnya telah meluncurkan program mereka sendiri: bukan untuk kesehatan masyarakat, tetapi untuk mencuri informasi pribadi, melakukan pencurian identitas, korban penipuan, dan semua yang berpotensi untuk mendapatkan keuntungan finansial kriminal.

Pada bulan Desember, Interpol memperingatkan bahwa penegak hukum harus bersiap untuk menangani penipuan dan kejahatan siber terkait COVID-19 selama beberapa bulan mendatang.

Hanya empat minggu setelah peringatan tersebut dikeluarkan, skenario Interpol telah terwujud, dengan masyarakat umum dan rantai pasokan vaksin sebagai target utama.

PRODUK PALSU

Yang terburuk adalah vaksin palsu yang ditawarkan untuk dijual secara online, yang dapat berdampak buruk pada kesehatan pembeli. Peneliti Check Point menemukan “vaksin virus corona” dan “obat virus corona” dijual melalui posting forum yang terhubung ke Dark Web. Vendor yang mengklaim memiliki akses ke vaksin COVID-19 yang tidak ditentukan meminta bayaran hingga $300 dalam cryptocurrency.

EMAIL PHISHING

Email phishing terkait virus Corona beredar tinggi selama tahun 2020 dan tidak menunjukkan tanda-tanda penurunan – kecuali, sekarang, beberapa kampanye telah beralih ke vaksin sebagai subjeknya.

Dalam beberapa kasus, penipu akan meminta penerima untuk membuka situs web dan mengisi formulir untuk mengamankan tempat mereka di ‘antrean vaksin’. Informasi termasuk nama, alamat, nomor Jaminan Sosial, tanggal lahir, dan kemungkinan data medis dapat diminta – yang semuanya adalah Informasi Pribadi (PII) yang dapat digunakan untuk penipuan yang lebih rumit dan serangan manipulasi psikologis.

PESAN TEKS

Pesan teks penipuan terkait COVID-19 telah mulai beredar, dengan pesan yang mengklaim bahwa pejabat pemerintah meminta Anda untuk melakukan “tes virus korona online”, seperti yang dilaporkan oleh Better Business Bureau. Pejabat pemerintah juga ditiru, dan dalam beberapa sampel, penjahat juga mencoba untuk menggaet korban dengan mengirimkan pesan SMS terkait cek stimulus dan pembayaran IRS / pajak.

Sumber: ZDNet

Waspadalah: Teks phishing PayPal menyatakan akun Anda ‘terbatas’

by

Kampanye phishing pesan teks PayPal sedang berlangsung yang berupaya mencuri kredensial akun Anda dan informasi sensitif lainnya yang dapat digunakan untuk pencurian identitas.

Phishing baru tersebut berpura-pura berasal dari PayPal, yang menyatakan bahwa akun Anda telah dibatasi secara permanen kecuali Anda memverifikasi akun dengan mengeklik tautan.

Saat PayPal mendeteksi aktivitas mencurigakan atau penipuan di akun, status akun akan disetel ke “terbatas/limited”, yang akan memberi batasan sementara pada penarikan, pengiriman, atau penerimaan uang.

Pesan teks smishing itu berbunyi, “PayPal: Kami telah membatasi akun Anda secara permanen, silakan klik tautan di bawah untuk memverifikasi”.

Mengklik tautan terlampir akan membawa Anda ke halaman phishing yang meminta Anda untuk masuk ke akun Anda, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Jika Anda masuk di halaman phishing, kredensial PayPal yang dimasukkan akan dikirim ke pelaku ancaman. Halaman phishing kemudian melangkah lebih jauh dan akan mencoba mengumpulkan detail lebih lanjut dari Anda, termasuk nama, tanggal lahir, alamat, detail bank, dan lainnya.

Informasi yang dikumpulkan digunakan untuk melakukan serangan pencurian identitas, mendapatkan akses ke akun Anda yang lain, atau melakukan serangan spear-phishing yang ditargetkan.

Sumber: Bleeping Computer

Malware yang dihosting di GitHub menghitung muatan Cobalt Strike dari gambar Imgur

by

Serangkaian malware baru ditemukan menggunakan file Word dengan makro untuk mengunduh skrip PowerShell dari GitHub.

Skrip PowerShell ini selanjutnya mengunduh file gambar yang sah dari layanan hosting gambar Imgur untuk memecahkan kode skrip Cobalt Strike pada sistem Windows.

Beberapa peneliti mengaitkan strain ini dengan MuddyWater (alias SeedWorm dan TEMP.Zagros), kelompok advanced persistent threat (APT) yang didukung pemerintah, pertama kali diamati pada tahun 2017 sementara terutama menargetkan entitas Timur Tengah.

Malware yang terlihat “seperti MuddyWater”, menurut peneliti Arkbird, dikirimkan sebagai makro yang disematkan dalam file Microsoft Word (*.doc) lama, dengan gaya grup APT. Dalam pengujian oleh BleepingComputer, ketika dokumen Word dibuka, dokumen tersebut menjalankan makro yang disematkan. Makro selanjutnya meluncurkan PowerShell.exe dan memberinya lokasi dari skrip PowerShell yang dihosting di GitHub.

Sumber: BleepingComputer

Skrip single-line PowerShell memiliki instruksi untuk mengunduh file PNG asli dari layanan hosting gambar Imgur. Meskipun gambar ini sendiri mungkin tidak berbahaya, nilai pikselnya digunakan oleh skrip PowerShell dalam menghitung muatan tahap berikutnya. Skrip yang didekodekan yang diperoleh dari manipulasi nilai piksel PNG adalah skrip Cobalt Strike.

Teknik menyembunyikan kode, data rahasia, atau muatan berbahaya dalam file biasa, seperti gambar, dikenal sebagai steganografi.

Peneliti telah menyediakan YARA rule yang dapat digunakan untuk mendeteksi varian di lingkungan Anda.

IOC yang terkait dengan dokumen Word yang berisi makro yang digunakan dalam kampanye malware ini diberikan di bawah ini:
d1c7a7511bd09b53c651f8ccc43e9c36ba80265ba11164f88d6863f0832d8f81
ed93ce9f84dbea3c070b8e03b82b95eb0944c44c6444d967820a890e8218b866

Jika Anda menerima dokumen Word yang mencurigakan dalam email phishing atau melalui cara lain, jangan membukanya atau menjalankan “makro” di dalamnya.

Sumber: Bleeping Computer

PSA: Penipuan phishing Chase berpura-pura sebagai peringatan penipuan

by

Penipuan phishing skala besar sedang berlangsung yang berpura-pura sebagai pemberitahuan keamanan dari Chase yang menyatakan bahwa aktivitas penipuan telah terdeteksi dan menyebabkan akun penerima diblokir.

Diberitakan oleh BleepingComputer bahwa beberapa orang menerima penipuan “Pemberitahuan Keamanan” Chase palsu yang sama yang mencoba mencuri kredensial perbankan mereka.

Salah satu penerima mengatakan mereka tertipu setelah kartu mereka ditolak dalam pembelian online dan mengira email itu adalah peringatan penipuan Chase yang sah.

Email phishing ini menyatakan bahwa akun Chase penerima diblokir setelah aktivitas mencurigakan terdeteksi. Untuk “membuka” akun, penerima diminta untuk mengklik tombol ‘Restore Now’ di email, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Ketika tombol ‘Restore Now’ diklik, penerima akan dibawa ke halaman yang meminta mereka untuk masuk ke akun Chase mereka. Jika mereka memasukkan informasi login mereka, informasi tersebut akan dikirim ke penyerang, yang kemudian akan memiliki akses ke akun tersebut.

Penting untuk diingat bahwa peringatan penipuan Chase tidak pernah meminta Anda memasukkan informasi atau kredensial login Anda. Sebaliknya, email yang sah hanya meminta Anda untuk mengonfirmasi apakah transaksi itu sah dengan mengklik tombol di email.

Sumber: Bleeping Computer

Phisher melewati kontrol keamanan Microsoft 365 dengan Microsoft.com yang dipalsukan

by

Kampanye email phishing domain spoofing yang sangat meyakinkan meniru Microsoft dan berhasil menipu secure email gateway yang lama baru-baru ini telah ditemukan oleh Ironscales.

Itu juga membuat mereka menemukan bahwa server Microsoft saat ini tidak menerapkan protokol DMARC. “Hal ini sangat membingungkan ketika mengingat Microsoft sering menempati peringkat 5 teratas merek paling sering dipalsukan dari tahun ke tahun,” kata Lomy Ovadia, Wakil Presiden bidang penelitian dan pengembangan perusahaan.

Pada kampanye email phishing baru-baru ini, penyerang memalsukan domain pengirim agar terlihat seperti email yang berasal dari Microsoft. Kemudian penyerang menggunakan kemampuan Microsoft 365 yang relatif baru (untuk meninjau pesan yang dikarantina) sebagai alasan untuk mengelabui pengguna agar mengikuti tautan yang ditawarkan serta menciptakan rasa urgensi.

Tautan tersebut membawa pengguna ke halaman login palsu yang “meminta” kredensial login Microsoft 365, informasi tersebut nantinya akan dikirim ke penyerang.

“Alasan mengapa SEG [secure email gateway] secara tradisional dapat menghentikan spoofing domain yang tepat adalah karena, ketika dikonfigurasi dengan benar, kontrol ini sesuai dengan Domain-based Message Authentication, Reporting and Conformance (DMARC)”, kata Ovadia.

“Layanan email lain yang menghormati dan memberlakukan DMARC akan memblokir email semacam itu. Masih belum diketahui mengapa Microsoft mengizinkan adanya spoof domain mereka sendiri terhadap infrastruktur email mereka,” Ovadia menyimpulkan.

Saat ini kampanye phishing ditujukan untuk pengguna perusahaan Microsoft 365 dalam berbagai industri (finsec, perawatan kesehatan, asuransi, manufaktur, utilitas, telekomunikasi, dll.).

Sumber: Help Net Security

Peretas menargetkan pengguna MacOS dengan malware yang telah diperbarui

by

Bentuk malware yang baru ditemukan menargetkan pengguna Apple MacOS dalam kampanye yang menurut para peneliti memiliki kaitan dengan operasi peretasan yang didukung negara.

Kampanye tersebut telah dirinci oleh analis keamanan siber di Trend Micro yang telah menautkannya ke OceanLotus – juga dikenal sebagai APT32 – sebuah grup peretasan yang diduga memiliki hubungan dengan pemerintah Vietnam.

Mereka menduga ini ada kaitannya dengan OceanLotus karena kesamaan dalam kode dan perilaku malware yang digunakan dalam kampanye sebelumnya oleh grup tersebut.

Backdoor MacOS memberi penyerang celah ke mesin yang disusupi, memungkinkan mereka untuk mengintip dan mencuri informasi rahasia dan dokumen bisnis yang sensitif.

Serangan dimulai dengan email phishing yang mencoba mendorong korban untuk menjalankan file Zip yang menyamar sebagai dokumen Word. File ini menghindari deteksi anti-virus dengan menggunakan karakter khusus jauh di dalam serangkaian folder Zip.

Untuk membantu menghindar dari malware ini dan kampanye malware lainnya, Trend Micro mengimbau pengguna untuk berhati-hati dalam mengklik tautan atau mengunduh lampiran dari email yang datang dari sumber yang mencurigakan atau tidak dikenal.

Organisasi juga disarankan untuk menerapkan tambalan keamanan dan pembaruan lainnya ke perangkat lunak dan sistem operasi sehingga malware tidak dapat memanfaatkan kerentanan yang telah diketahui.

Sumber: ZDNet