Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Phishing

Phishing

Microsoft sekarang menjadi brand yang paling banyak ditiru dalam serangan phishing

by

Sebuah posting blog hari Senin dari penyedia intelijen ancaman cyber, Check Point Research menemukan bahwa Microsoft adalah brand yang paling sering dipalsukan dalam upaya phishing selama kuartal ketiga.

Sekitar 19% dari semua upaya phishing brand di seluruh dunia mencoba menipu raksasa perangkat lunak tersebut pada kuartal ketiga, naik dari hanya 7% pada kuartal sebelumnya. Check Point mengaitkan kenaikan peringkat Microsoft dengan iklim kerja jarak jauh yang sedang berlangsung yang diharuskan karena COVID-19.

Sebagai satu contoh, Check Point menemukan kampanye email phishing berbahaya pada pertengahan Agustus di mana para penyerang mencoba untuk mendapatkan kredensial akun Microsoft. Strateginya adalah meyakinkan penerima untuk mengklik link berbahaya di email yang kemudian akan mengarahkan mereka ke halaman login Microsoft palsu.

Di belakang Microsoft, DHL adalah brand kedua yang paling banyak ditiru pada kuartal terakhir, muncul dalam 9% serangan phishing yang dilihat oleh Check Point. Google berada di posisi ketiga, diikuti oleh PayPal dan Netflix. Di urutan 10 teratas adalah Facebook, Apple, WhatsApp, Amazon, dan Instagram.

Untuk melindungi Anda dan organisasi Anda dari serangan Phishing, lakukan beberapa langkah di bawah ini;

  • Perhatikan pengirim dan link pada email sebelum membuka nya
  • Tidak mengunduh lampiran, apalagi dengan ekstensi yang mencurigakan
  • Melakukan pembaruan perangkat lunak secara reguler
  • Perhatikan indikator-indikator mencurigakan lainnya, seperti salam yang umum pada email/pesan teks
  • Laporkan kepada IT staff Anda ketika Anda menemukan hal mencurigakan, agar dapat ditindaklanjuti

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tech Republic

Malware baru ini menggunakan serangan overlay jarak jauh untuk membajak rekening bank Anda

by

Para peneliti telah menemukan bentuk baru sebuah malware menggunakan serangan overlay jarak jauh untuk menyerang pemegang rekening bank Brasil.

Varian malware baru, yang dijuluki Vizom oleh IBM, sedang digunakan dalam kampanye aktif di seluruh Brasil yang dirancang untuk menyusupi rekening bank melalui layanan keuangan online.

Pada hari Selasa, peneliti keamanan IBM Chen Nahman, Ofir Ozer, dan Limor Kessem mengatakan malware tersebut menggunakan taktik yang menarik untuk tetap tersembunyi dan membahayakan perangkat pengguna secara real-time – yaitu, teknik overlay jarak jauh dan pembajakan DLL.

Vizom menyebar melalui kampanye phishing berbasis spam dan menyamar sebagai perangkat lunak konferensi video populer, alat yang telah menjadi sangat penting keberadaanya untuk bisnis dan acara sosial karena pandemi virus corona.

Setelah malware mendarat di PC Windows yang rentan, Vizom pertama-tama akan menyerang direktori AppData untuk memulai rantai infeksi. Dengan memanfaatkan pembajakan DLL, malware akan mencoba memaksa pemuatan DLL berbahaya dengan menamai varian berbasis Delphi miliknya sendiri dengan nama yang diharapkan oleh perangkat lunak yang sah di direktori mereka.

Dengan membajak “logika inheren” sistem, IBM mengatakan sistem operasi tersebut tertipu untuk memuat malware Vizom sebagai child proses dari file konferensi video yang sah. DLL bernama Cmmlib.dll, file yang terkait dengan Zoom.

Sebuah dropper kemudian akan meluncurkan zTscoder.exe melalui command prompt dan muatan kedua, sebuah Remote Access Trojan (RAT), diekstrak dari server jarak jauh – dengan trik pembajakan yang sama dilakukan pada browser Internet Vivaldi.

Karena Vizom telah menerapkan kemampuan RAT, penyerang dapat mengambil alih sesi yang dikompromikan dan overlay konten untuk mengelabui korban agar mengirimkan akses dan kredensial akun untuk rekening bank mereka. Vizom juga dapat mengambil tangkapan layar melalui fungsi cetak dan kaca pembesar Windows.

Berita selengkapnya:
Source: ZDNet

Peretas China Menargetkan Kampanye Biden Meniru McAfee Antivirus, Kata Google

by

Peretas menggunakan berbagai metode untuk menargetkan korbannya. mereka kerap memikat pengguna melalui email phishing. Sekarang, mereka telah menemukan cara unik lain meniru antivirus McAfee untuk mengelabui pengguna agar mengunduh malware.

Menurut tim keamanan Google, trik baru telah dikembangkan oleh kelompok peretas China APT31, juga dikenal sebagai Zirkonium, dan target utama mereka adalah orang-orang terkenal, termasuk kampanye pemilihan Presiden calon Demokrat AS Joe Biden. Google mengatakan targetnya adalah akun email pribadi stafnya.
Dalam sebuah posting blog pada hari Jumat, tim keamanan Google mengungkapkan bahwa mereka telah mengidentifikasi tautan email phishing yang dirancang untuk memikat korban agar mengunduh malware yang dikembangkan menggunakan kode Python. Melalui itu, peretas dapat mengubah kode berbahaya menggunakan Dropbox, layanan penyimpanan cloud gratis.

“Malware memungkinkan penyerang untuk mengunggah dan mengunduh file serta menjalankan perintah sewenang-wenang. Setiap bagian berbahaya dari serangan ini dihosting pada layanan yang sah, sehingga mempersulit pembela untuk mengandalkan sinyal jaringan untuk mendeteksi,” kata Shane Huntley, seorang peneliti keamanan dari Google di posting blog.

Menyamar sebagai McAfee Antivirus

Aspek paling menarik dari upaya peretasan ini adalah bahwa mereka mengembangkan teknik canggih untuk menyamarkan upaya phishing dalam versi perangkat lunak antivirus McAfee yang sah. “Target akan diminta untuk menginstal versi sah dari perangkat lunak antivirus McAfee dari GitHub, sementara malware itu secara bersamaan diinstal ke sistem secara diam-diam,” kata Huntley.

Namun, serangan malware tidak hanya menargetkan staf kampanye Biden. Sebelumnya, Microsoft juga mencatat bahwa anggota terkemuka dari komunitas hubungan internasional, akademisi dari lebih dari 15 universitas menjadi sasaran. Penggunaan perangkat lunak antivirus populer McAfee mungkin mengejutkan, tetapi Google mengatakan peretas yang didukung negara sebelumnya telah menggunakan perangkat lunak resmi untuk menyamarkan perangkat lunak jahat.

Google mengatakan serangan itu dari kelompok peretas China bernama APT31 yang diduga terkait dengan pemerintah negara itu. Raksasa teknologi itu telah mengembangkan sistem peringatan dan memfilter sebagian besar serangan berbahaya di masa lalu. Jika sistem Google mendeteksi upaya peretasan atau phishing yang didukung negara, ia akan mengirimkan peringatan, menjelaskan bahwa pemerintah asing mungkin bertanggung jawab. Huntley mengatakan bahwa Google telah membagikan temuan tersebut dengan FBI.

Microsoft dalam blognya bulan lalu juga mencatat bahwa setidaknya seorang staf kampanye pemilihan kembali Presiden AS Donald Trump juga menjadi sasaran APT31. Selain grup China, grup hacker Iran yang dikenal dengan APT35 juga sempat mengincar kampanye Trump dengan email phishing.

Source : ibtimes

Grup peretas kriminal besar ini baru saja beralih ke serangan ransomware

by

Operasi peretasan yang tersebar luas yang telah menargetkan organisasi di seluruh dunia dalam kampanye phishing dan malware yang telah aktif sejak 2016 kini telah beralih ke serangan ransomware, yang mencerminkan betapa suksesnya ransomware telah menjadi alat penghasil uang bagi penjahat siber.

Dijuluki FIN11, kampanye tersebut telah dirinci oleh para peneliti keamanan siber di FireEye Mandiant, yang menggambarkan para peretas sebagai ‘kelompok kejahatan keuangan mapan’ yang telah melakukan beberapa kampanye peretasan yang paling lama berjalan.

Grup ini mulai dengan memfokuskan serangan pada bank, pengecer, dan restoran, tetapi telah berkembang dengan menargetkan berbagai sektor di berbagai lokasi di seluruh dunia tanpa pandang bulu, mengirimkan ribuan email phishing dan secara bersamaan melakukan serangan terhadap beberapa organisasi pada satu waktu.

Dengan keuangan menjadi fokus grup, kemungkinan FIN11 menjual informasi ini kepada penjahat siber lainnya di dark web, atau hanya mengeksploitasi detailnya untuk keuntungan mereka sendiri.

Namun sekarang FIN11 menggunakan jaringannya yang luas sebagai sarana untuk mengirimkan ransomware ke jaringan yang dikompromikan, dengan para penyerang lebih menyukai Clop ransomware dan menuntut bitcoin untuk memulihkan jaringan.

Dalam upaya untuk memeras korban agar membayar tebusan, beberapa geng ransomware telah menggunakan akses mereka ke jaringan untuk mencuri data sensitif atau pribadi dan mengancam akan membocorkannya jika mereka tidak menerima pembayaran untuk kunci dekripsi – FIN11 telah mengadopsi taktik ini, mempublikasikan data dari korban yang tidak membayar.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Kelompok peretas ‘Bayaran’ merajalela di Timur Tengah, menurut penelitian keamanan siber

by

Dijuluki Bahamut, kelompok peretasan bayaran telah melakukan operasi ekstensif terhadap target di seluruh dunia dalam serangan multi-cabang yang telah dirinci oleh peneliti keamanan siber di BlackBerry. Kampanye tersebut tampaknya telah beroperasi setidaknya sejak 2016.

Operasi spionase ini menggunakan teknik phishing, rekayasa sosial, aplikasi jahat, malware khusus, dan serangan zero-day yang secara diam-diam menargetkan pemerintah, industri swasta, dan individu selama bertahun-tahun.

“Kecanggihan dan cakupan aktivitas berbahaya yang dapat ditautkan oleh tim kami ke Bahamut sungguh mengejutkan,” kata Eric Milam, VP operasi penelitian di BlackBerry.

Kemampuan Bahamut untuk memanfaatkan eksploitasi zero-day menempatkannya dengan beberapa operasi peretasan paling kuat.

Namun, peneliti BlackBerry mencatat bahwa penggunaan malware seringkali hanya menjadi pilihan terakhir bagi Bahamut, karena malware dapat meninggalkan bukti serangan dan bahwa kelompok tersebut lebih suka menggunakan rekayasa sosial dan serangan phishing sebagai cara utama untuk secara diam-diam membobol jaringan organisasi target dengan bantuan kredensial yang dicuri.

Dalam satu kasus, Bahamut mengambil alih domain asli untuk apa yang dulunya merupakan situs web teknologi dan keamanan informasi dan menggunakannya untuk memposting artikel tentang geopolitik, penelitian, dan berita industri, lengkap dengan profil penulis. Sementara penulis menggunakan persona palsu, mereka menggunakan gambar jurnalis asli.

Selain malware dan rekayasa sosial, Bahamut juga menggunakan aplikasi seluler berbahaya untuk pengguna iPhone dan Android. Dengan menginstal salah satu aplikasi berbahaya, pengguna memasang backdoor ke perangkat mereka yang dapat digunakan penyerang untuk memantau semua aktivitas korban, seperti kemampuan untuk membaca pesan, mendengarkan panggilan, memantau lokasi dan aktivitas spionase lainnya.

Bahamut diyakini masih berusaha untuk melakukan kampanye aktif dan sifat kelompok tentara bayaran yang berarti bahwa setiap organisasi atau individu profil tinggi berpotensi menjadi target.

BlackBerry tidak menyebut salah satu target Bahamut secara langsung, tetapi para peneliti sebelumnya telah secara terbuka mengidentifikasi aktivis hak asasi manusia Timur Tengah, pejabat militer Pakistan, dan pengusaha Teluk Arab sebagai sasaran kelompok tersebut.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Reuters | ZDNet

Keamanan email di tempat kerja dalam lima langkah

by

David Mitchell, Direktur Senior Manajemen Produk Email di Sophos, membagikan kiat utamanya untuk mengoptimalkan keamanan email di tempat kerja.

Data terbaru dari SophosLabs menunjukkan bahwa pada September 2020, 97% spam berbahaya yang ditangkap oleh perangkap spam mereka adalah email phishing, untuk mencari kredensial atau informasi lainnya.

Phishing tetap menjadi taktik yang sangat efektif bagi penyerang, terlepas dari tujuan akhirnya.

Contoh yang bagus adalah munculnya Business Email Compromise (BEC). Tidak lagi terbatas pada pesan yang dieja atau diformat dengan buruk yang berpura-pura datang dari CEO dan menuntut transfer dana yang signifikan secara langsung dan rahasia, iterasi terbaru lebih halus dan lebih cerdas.

Lima langkah untuk mengamankan email organisasi Anda

Berikut adalah lima langkah penting untuk mengamankan email organisasi Anda.

Langkah 1: Instal solusi keamanan multi-kemampuan yang cerdas yang akan menyaring, mendeteksi, dan memblokir sebagian besar hal buruk sebelum mencapai Anda
Untuk mempertahankan jaringan, data, dan karyawan Anda dari serangan berbasis email yang berkembang pesat, Anda harus mulai dengan perangkat lunak keamanan yang efektif. Agar solusi keamanan Anda berfungsi dengan baik, Anda juga perlu menyetel kontrol yang sesuai untuk email masuk dan keluar.

Langkah 2: Terapkan langkah-langkah canggih untuk autentikasi email
Solusi keamanan email Anda harus dapat memeriksa setiap email masuk terhadap aturan autentikasi yang ditetapkan oleh domain asal email tersebut. Cara terbaik untuk melakukannya adalah dengan menerapkan satu atau lebih standar yang diakui untuk autentikasi email.

Standar industri utama adalah:

  • Sender Policy Framework (SPF)
  • DomainKeys Identified Mail (DKIM)
  • Domain Message Authentication Reporting and Conformance(DMARC)

Langkah 3: Didik karyawan tentang apa yang harus diwaspadai
Memberi tahu karyawan yang mengetahui tanda peringatan dari email yang mencurigakan adalah garis pertahanan yang luar biasa.
Anda dapat menerapkan pelatihan online formal, membagikan contoh ancaman terbaru, menjalankan pengujian, dan menunjukkan kepada mereka beberapa pemeriksaan standar.

Langkah 4: Didik karyawan tentang apa yang harus dilakukan ketika mereka menemukan sesuatu
Anda perlu memudahkan rekan kerja untuk melaporkan hal-hal yang tidak mereka yakini. Ini berarti memberi mereka proses sederhana, seperti kotak surat intranet untuk melaporkan pesan yang mencurigakan.

Langkah 5: Jangan lupa tentang email keluar
Email yang dikirim dari organisasi Anda akan dinilai sendiri oleh penerima berdasarkan metode autentikasi yang tercantum di atas. Anda perlu memastikan bahwa Anda memiliki kontrol yang kuat terhadap nama domain Anda sendiri. Anda mungkin juga ingin mempertimbangkan apa lagi yang perlu Anda pantau dan kendalikan terkait email keluar.

Apakah Anda memindai aktivitas yang tidak wajar atau pola perilaku yang tidak biasa yang dapat mengindikasikan akun email internal yang disusupi atau serangan cyber aktif, misalnya?

Ancaman email berkembang sepanjang waktu saat penyerang memanfaatkan teknologi baru, lingkungan baru, atau sekadar mengasah taktik manipulasi psikologis mereka. Tinjau keamanan email Anda secara teratur dan pastikan keamanannya mengikuti perubahan dalam organisasi dan teknik penyerang.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Naked Security

Peringatan CISA memperingatkan serangan Emotet terhadap entitas pemerintah AS

by

Badan Keamanan Siber dan Infrastruktur (CISA) mengeluarkan peringatan untuk memperingatkan gelombang serangan Emotet yang telah menargetkan beberapa negara bagian dan pemerintah lokal di AS sejak Agustus.

Selama waktu itu, Sistem Deteksi Intrusi EINSTEIN milik agensi tersebut telah mendeteksi sekitar 16.000 peringatan terkait aktivitas Emotet.

Menurut para ahli dari CISA, serangan Emotet ditargetkan pada entitas pemerintah AS.

Trojan perbankan Emotet telah aktif setidaknya sejak 2014, botnet dioperasikan oleh pelaku ancaman yang dilacak sebagai TA542. Pada pertengahan Agustus, malware tersebut digunakan dalam kampanye spam baru bertema COVID19.

Trojan perbankan terkenal juga digunakan untuk memberikan kode berbahaya lainnya, seperti Trickbot dan QBot trojan atau ransomware seperti Conti (TrickBot) atau ProLock (QBot).

Peringatan yang diterbitkan oleh CISA didasarkan pada data yang disediakan oleh Multi-State Information Sharing & Analysis Center (MS-ISAC) dan CISA sendiri sejak Juli 2020.

CISA dan MS-ISAC merekomendasikan admin dan pengguna untuk menggunakan solusi antimalware untuk memblokir lampiran yang mencurigakan dan untuk memblokir alamat IP yang mencurigakan.

Peringatan tersebut mencakup mitigasi, Indikator Kompromi (IoCs) dan Teknik MITRE ATT&CK.

Korea Utara mencoba meretas 11 pejabat Dewan Keamanan PBB

by

Sebuah kelompok peretas yang sebelumnya terkait dengan pemerintah Korea Utara telah terlihat meluncurkan serangan spear-phishing untuk membahayakan pejabat Dewan Keamanan Perserikatan Bangsa-Bangsa.

Serangan diungkapkan dalam laporan PBB bulan lalu, terjadi tahun ini dan menargetkan setidaknya 28 pejabat PBB, termasuk setidaknya 11 individu yang mewakili enam negara Dewan Keamanan PBB.

Serangan tersebut dikaitkan dengan kelompok hacker Korea Utara yang dikenal dengan nama sandi Kimsuky.

Email tersebut dirancang agar terlihat seperti peringatan keamanan PBB

Source : Member State
atau permintaan wawancara dari wartawan, keduanya dirancang untuk meyakinkan pejabat agar mengakses halaman phishing atau menjalankan file malware di sistem mereka.

Negara yang melaporkan serangan Kimsuky ke Dewan Keamanan PBB itu juga mengatakan bahwa kampanye serupa juga dilakukan terhadap anggota pemerintahannya sendiri, dengan beberapa serangan terjadi melalui WhatsApp, dan bukan hanya email.

Laporan PBB, yang melacak dan merinci tanggapan Korea Utara terhadap sanksi internasional, juga mencatat bahwa kampanye ini telah aktif selama lebih dari setahun.

Dalam laporan serupa yang diterbitkan pada Maret, Dewan Keamanan PBB mengungkapkan dua kampanye Kimsuky lainnya terhadap pejabat.
Yang pertama adalah serangkaian serangan spear-phishing terhadap 38 alamat email yang terkait dengan pejabat Dewan Keamanan – semuanya adalah anggota Dewan Keamanan pada saat serangan itu.

Yang kedua adalah operasi yang dirinci dalam laporan dari Badan Keamanan Siber Nasional Prancis [PDF]. Terhitung sejak Agustus 2019, ini adalah serangan spear-phishing terhadap pejabat dari China, Prancis, Belgia, Peru, dan Afrika Selatan, yang semuanya adalah anggota Dewan Keamanan PBB pada saat itu.

Source : ZDNet