Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Phishing

Phishing

Hati-hati Pengguna Android: Malware Hook Baru dengan Kemampuan RAT Muncul

by

trojan

Aktor ancaman di balik trojan perbankan BlackRock dan ERMAC Android telah merilis malware lain untuk disewakan yang disebut Hook yang memperkenalkan kemampuan baru untuk mengakses file yang disimpan di perangkat dan membuat sesi interaktif jarak jauh.

ThreatFabric, dalam laporan yang dibagikan dengan The Hacker News, mencirikan Hook sebagai fork ERMAC baru yang diiklankan untuk dijual seharga $7.000 per bulan sambil menampilkan “semua kemampuan pendahulunya”.

Sebagian besar aplikasi keuangan yang ditargetkan oleh malware tersebut berada di AS, Spanyol, Australia, Polandia, Kanada, Turki, Inggris, Prancis, Italia, dan Portugal.

Hook adalah hasil karya aktor ancaman yang dikenal sebagai DukeEugene dan mewakili evolusi terbaru ERMAC, yang pertama kali diungkapkan pada September 2021 dan didasarkan pada trojan lain bernama Cerberus yang kode sumbernya bocor pada tahun 2020.

Keluarga Malware Terdeteksi Paling Banyak

Di antara fitur-fitur utama lainnya yang akan ditambahkan ke Hook adalah kemampuan untuk melihat dan berinteraksi dari jarak jauh dengan layar perangkat yang terinfeksi, mendapatkan file, mengekstrak frase benih dari dompet crypto, dan melacak lokasi ponsel, mengaburkan batas antara spyware dan malware perbankan.

ThreatFabric mengatakan artefak Hook diamati sejauh ini dalam tahap pengujian, tetapi mencatat bahwa itu dapat dikirimkan melalui kampanye phishing, saluran Telegram, atau dalam bentuk aplikasi dropper Google Play Store.

selengkapnya : thehackernews

Pengguna Italia Diperingatkan Tentang Serangan Malware yang Menargetkan Informasi Sensitif

by

Kampanye malware baru telah diamati menargetkan Italia dengan email phishing yang dirancang untuk menyebarkan pencuri informasi pada sistem Windows yang disusupi.

Urutan infeksi multi-tahap dimulai dengan email phishing bertema faktur yang berisi tautan yang, ketika diklik, mengunduh file arsip ZIP yang dilindungi kata sandi, yang menyimpan dua file: file pintasan (.LNK) dan kumpulan (.BAT) mengajukan.

Terlepas dari file mana yang diluncurkan, rantai serangan tetap sama, karena membuka file pintasan mengambil skrip batch yang sama yang dirancanag untuk menginstal muatan pencuri informasi dari repositori GitHub. Ini dicapai dengan memanfaatkan biner PowerShell yang sah yang juga diambil dari Github

Setelah diinstal, malware berbasis C# mengumpulkan metadata sistem, dan informasi dari lusinan browser web (misalnya, cookie, bookmark, kartu kredit, unduhan, dan kredensial), serta nbeberapa dompet mata uang kripto, yang semuanya dikirim ke seorang aktor. domain-terkendali.

Untuk mengurangi serangan tersebut, organisasi disarankan untuk menerapkan “kontrol keamanan yang ketat dan visibilitas berlapis serta solusi keamanan untuk mengidentifikasi dan mendeteksi malware.”

sumber : thehackernews

Serangan Flipper Zero Phishing yang Menargetkan Komunitas Infosec

by

Kampanye phishing baru memanfaatkan meningkatnya minat anggota komunitas keamanan terhadap Flipper Zero untuk mencuri informasi pribadi dan mata uang kripto mereka.

Flipper Zero adalah alat keamanan siber multi-fungsi portabel untuk penguji pena dan penggemar peretasan. Alat ini memungkinkan peneliti untuk mengutak-atik berbagai perangkat keras dengan mendukung emulasi RFID, kloning kunci akses digital, komunikasi radio, NFC, inframerah, Bluetooth, dan banyak lagi.

Pengembang meluncurkan perangkat setelah kampanye Kickstarter 2020 yang sangat sukses, yang melampaui target pendanaan sebesar $60.000 sebanyak 81 kali, setelah menerima $4.882.784 dalam janji.

Menargetkan peneliti keamanan siber
Aktor ancaman sekarang memanfaatkan minat besar pada Flipper Zero dan kurangnya ketersediaannya dengan membuat toko palsu yang berpura-pura menjualnya.

Kampanye phishing ini ditemukan oleh analis keamanan Dominic Alvieri, yang melihat tiga akun Twitter palsu dan dua toko Flipper Zero palsu.

Sekilas, salah satu akun Twitter palsu itu tampak memiliki pegangan yang sama dengan akun resmi Flipper Zero. Namun, pada kenyataannya, ia menggunakan huruf besar “I” pada namanya, yang terlihat seperti huruf “l” di Twitter.

Akun Twitter palsu (kiri) Akun Twitter asli (kanan)
Flipper Zero shop palsu

Tujuannya adalah membawa pembeli ke halaman checkout phishing, di mana mereka diminta untuk memasukkan alamat email, nama lengkap, dan alamat pengiriman.

Para korban kemudian diberikan pilihan untuk membayar menggunakan cryptocurrency Ethereum atau Bitcoin dan diberitahu bahwa pesanan mereka akan diproses dalam waktu 15 menit setelah penyerahan.

Pelaku ancaman sejak itu beralih menggunakan faktur plisio.net untuk menerima pembayaran crypto, yang sekarang termasuk Litecoin. Namun, faktur tersebut tidak berfungsi, yang menyatakan bahwa pesanan telah kedaluwarsa.

sangat penting untuk mencari promosi ini dan toko yang mengklaim ketersediaan produk langsung dan hanya membeli dari toko resmi.

sumber : bleepingcomputer

Kampanye Malware BitRAT Menggunakan Data Bank Curian Untuk Phishing

by Leave a Comment

Pelaku ancaman di balik kampanye malware baru-baru ini telah menggunakan informasi yang dicuri dari nasabah bank di Kolombia sebagai umpan dalam email phishing yang dirancang untuk menginfeksi target dengan trojan BitRAT, menurut perusahaan keamanan cloud Qualys.

Infrastruktur bank koperasi Kolombia yang dirahasiakan telah dibajak oleh penyerang saat menyelidiki umpan BitRAT dalam serangan phishing aktif. Sejumlah 418.777 catatan berisi data sensitif pelanggan dicuri dari server yang dilanggar.

Qualys juga menemukan bukti bahwa penyerang telah mengakses data pelanggan, termasuk log yang menunjukkan bahwa mereka mencari bug injeksi SQL menggunakan alat sqlmap.

Belum ada informasi yang dicuri dari server bank Kolombia yang ditemukan di web yang dipantau oleh Qualys.

Malware dikirim ke komputer korban melalui file Excel berbahaya yang menjatuhkan dan mengeksekusi file INF, disandikan dalam makro yang disamarkan, dibundel dengan lampiran.

Umpan BitRAT Excel (Qualys)

Pada tahap terakhir serangan, malware RAT memindahkan pemuatnya ke folder startup Windows untuk mendapatkan persistensi dan memulai ulang secara otomatis setelah sistem dinyalakan ulang.

Setidaknya Agustus 2020, BitRAT telah dijual sebagai malware siap pakai di pasar web gelap dan forum kejahatan dunia maya dengan harga $20 untuk akses seumur hidup.

BitRAT dapat digunakan untuk berbagai tujuan jahat, seperti merekam video dan audio, pencurian data, serangan DDoS, penambangan mata uang kripto, dan mengirimkan muatan tambahan.

Selengkapnya: BleepingComputer

Pusat Panggilan Desi Ilegal Di Balik Kerugian Rs 6.400 Crore Orang Amerika Dalam Penipuan ‘Tech Support’ di 2022

by

Penipuan terkait asmara dan pop up ‘tech support’, yang sebagian besar berasal dari call center ilegal dan geng phising di India, telah menyebabkan kerugian lebih dari $3 miliar (Rs 25.000 crore) bagi warga lansia AS yang mudah tertipu dalam dua tahun terakhir sendiri, menurut data FBI. Tren ini bertahan, dengan total uang yang hilang oleh orang Amerika dalam semua penipuan terkait internet/pusat panggilan dalam 11 bulan terakhir diperkirakan mencapai $10,2 miliar, meningkat 47% dibandingkan tahun lalu sebesar $6,9 miliar.

Biro Investigasi Federal (FBI) menugaskan perwakilan tetap di kedutaan besar AS di New Delhi untuk bekerja sama dengan CBI, Interpol dan Polisi Delhi untuk menangkap geng phising dan membekukan uang yang ditransfer melalui kabel dan mata uang kripto ke sindikat yang beroperasi dari tanah India.

Suhel Daud, atase Hukum Kedutaan Besar AS dan Kepala FBI Asia Selatan, mengatakan kepada TOI bahwa penipuan terkait asmara yang dilaporkan di situs web FBI oleh para korban menunjukkan perkiraan kerugian sebesar Rs 8.000 crore dalam 23 bulan sejak tahun 2021. Sebagian besar korban penipuan ini adalah lansia di atas usia 60 tahun.

Kasus ‘tech support’ mengalami peningkatan lebih dari 130% tiap tahunnya dan kembali meningkat 137% pada tahun 2021. Hal ini merugikan orang Amerika sebesar 9.200 crore dalam dua tahun terakhir. Kejahatan ini berasal dari pop-up yang muncul di komputer korban dengan berkedok memberikan dukungan teknis.

Kepala FBI Asia Selatan berbicara tentang peningkatan kerja sama Biro dengan agen-agen India untuk menangkap geng phising ilegal yang telah menempatkan ekonomi terbesar kelima di dunia dalam resiko dicap sebagai pengekspor bersih internet dan penipuan terkait pusat panggilan.

Selengkapnya: THE TIMES OF INDIA

Pasar web gelap otomatis menjual akun email perusahaan seharga $2

by

Pasar web gelap menjual alamat email korporat yang dicuri dengan harga serendah $2 untuk memenuhi permintaan yang meningkat dari peretas yang menggunakannya untuk business email compromise dan serangan phishing atau akses awal ke jaringan.

Analis di perusahaan intelijen siber Israel KELA telah mengikuti tren ini dengan cermat, melaporkan setidaknya 225.000 akun email dijual di pasar bawah tanah.

Toko email web terbesar adalah Xleet dan Lufix, mengklaim menawarkan akses ke lebih dari 100 ribu akun email perusahaan yang dilanggar, dengan harga berkisar antara $2 dan $30.

Biasanya, akun ini dicuri melalui peretasan kata sandi (brute-forcing) atau isian kredensial, kredensialnya dicuri melalui phishing, atau dibeli dari penjahat dunia maya lainnya.

Peretas menggunakan akses mereka ke akun email perusahaan dalam serangan yang ditargetkan seperti business email compromise (BEC), rekayasa sosial, spear-phishing, dan infiltrasi jaringan yang lebih dalam.

Penjualan akses email perusahaan tetap stabil di ruang kejahatan dunia maya selama beberapa tahun terakhir, dengan pelaku ancaman di semua forum peretasan utama menjual “daftar kombo” email untuk mengakses berbagai perusahaan.

Daftar kombo dijual di forum ‘Breached’ (KELA)

Dalam kasus profil tinggi baru-baru ini, aktor ransomware ‘Everest’ diduga menawarkan akses ke akun email perusahaan manufaktur kedirgantaraan seharga $15.000.

Baik penawaran massal maupun penawaran yang dikuratori melibatkan proses negosiasi yang membosankan dengan penjual dan mengambil risiko atas validitas klaim. Pada saat yang sama, permintaan email korporat terus meningkat.

Hal tersebut menciptakan kebutuhan akan toko email web otomatis seperti Xleet, Odin, Xmina, dan Lufix, yang memungkinkan penjahat dunia maya dengan mudah membeli akses ke akun email pilihan mereka.

Sistem checker yang tergabung pada keempat toko (KELA)

Penawaran paling menarik adalah akun Office 365, yang merupakan hampir setengah dari semua webmail yang terdaftar, diikuti oleh penyedia hosting seperti cPanel, GoDaddy, dan Ionos.

Penjual di toko-toko ini tidak menggunakan nama samaran tetapi bersembunyi di balik sistem penyamaran dengan memberi mereka nomor. Odin menawarkan detail lebih lanjut tentang penjual, seperti jumlah barang yang terjual, angka penjualan total, dan peringkat pengguna.

Odin dan Xleet juga mengklarifikasi bagaimana webmail itu bersumber, dengan kategori termasuk “diretas”, “diretas”, “log”, atau “dibuat”. Namun, mayoritas (98%) di Xleet “diretas” atau “diretas”.

“Log” adalah kredensial email yang dicuri oleh malware pencuri info, sementara “dibuat” adalah akun email baru yang dibuat oleh penyusup jaringan di perusahaan yang dilanggar menggunakan akun administrator yang disusupi.

Karena sebagian besar email web yang ditawarkan telah diretas atau diretas, menggunakan kata sandi yang kuat (lebih panjang), pengaturan ulang kata sandi secara berkala dan melatih personel untuk mengidentifikasi email phishing akan membantu mengurangi ancaman ini secara signifikan.

Sumber: Bleeping Computer

Phishing Menjatuhkan Malware IceXLoader di Ribuan Perangkat Rumah dan Perusahaan

by Leave a Comment

Kampanye phishing yang sedang berlangsung telah menginfeksi ribuan pengguna rumahan dan perusahaan dengan versi baru malware ‘IceXLoader’.

Penemuan malware berbasis Nim datang pada Juni 2022 oleh Fortinet, ketika IceXLoader masih dalam versi 3.0, tetapi loader kehilangan fitur-fitur utama dan umumnya tampak seperti pekerjaan dalam proses.’

rantai pengiriman saat ini

Infeksi dimulai dengan kedatangan file ZIP melalui email phishing yang berisi ekstraktor tahap pertama.

Extractor membuat folder tersembunyi baru (.tmp) di bawah “C:\Users\\AppData\Local\Temp” dan meninggalkan executable tahap berikutnya, ‘STOREM~2.exe.’

Kemudian, tergantung pada pengaturan ekstrak yang dipilih oleh operator, sistem yang terinfeksi dapat di-boot ulang, dan kunci registri baru akan ditambahkan untuk menghapus folder temp saat komputer dihidupkan ulang.

executable yang ditinggalkan adalah pengunduh yang mengambil file PNG dari URL hardcoded dan mengubahnya menjadi file DLL yang dikaburkan yang merupakan muatan IceXLoader.

Setelah mendekripsi muatan, penetes melakukan pemeriksaan untuk memastikannya tidak berjalan di dalam emulator dan menunggu 35 detik sebelum menjalankan pemuat malware untuk menghindari kotak pasir.

Akhirnya, IceXLoader disuntikkan ke dalam proses STOREM~2.exe menggunakan proses lekukan.

Rantai infeksi IceXLoader lengkap
(Minerva Labs)

IceXLloader Baru
Saat peluncuran pertama, IceXLoader versi 3.3.3 menyalin dirinya sendiri ke dalam dua direktori yang dinamai sesuai nama panggilan operator dan kemudian mengumpulkan informasi berikut tentang host dan mengekstraknya ke C2:

  • IP address
  • UUID
  • Username and machine name
  • Windows OS version
  • Installed security products
  • Presence of .NET Framework v2.0 and/or v4.0
  • Hardware information
  • Timestamp

Untuk memastikan kegigihan antara reboot, pemuat malware juga membuat kunci registri baru di “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.”

Perintah yang didukung oleh loader adalah sebagai berikut:

  • stop execution
  • collect system info and exfiltrate to C2
  • display dialog box with specified message
  • restart icexloader
  • Send GET request to download a file and open it with “cmd/ C”
  • Send GET request to download an executable to run it from memory
  • Load and execute a .NET assembly
  • Change C2 server beaconing interval
  • Update IceXLoader
  • Remove all copies from the disk and stop running

Peneliti keamanan telah memberi tahu perusahaan yang terkena dampak paparan, tetapi database diperbarui dengan entri baru setiap hari.

sumber : bleeping computer

Peretas OPERA1ER Mencuri Lebih dari $11 Juta dari Bank dan Perusahaan Telekomunikasi

by

Sebuah kelompok ancaman yang peneliti sebut OPERA1ER telah mencuri setidaknya $ 11 juta dari bank dan penyedia layanan telekomunikasi di Afrika menggunakan alat peretasan yang tersedia.

Antara 2018 dan 2022, para peretas meluncurkan lebih dari 35 serangan yang berhasil,

Kelompok peretas ini terdiri dari anggota berbahasa Prancis yang diyakini beroperasi dari Afrika. Selain menargetkan perusahaan di Afrika, geng itu juga menyerang organisasi di Argentina, Paraguay, dan Bangladesh.

OPERA1ER bergantung pada alat sumber terbuka, malware komoditas, dan kerangka kerja seperti Metasploit dan Cobalt Strike untuk mengkompromikan server perusahaan.

Mereka mendapatkan akses awal melalui email spear-phishing yang memanfaatkan topik populer seperti faktur atau pemberitahuan pengiriman pos.

OPERA1ER dapat menghabiskan antara tiga hingga dua belas bulan di dalam jaringan yang disusupi, dan terkadang mereka menyerang perusahaan yang sama dua kali.

peretas menargetkan akun operator yang mengendalikan sejumlah besar uang dan menggunakan kredensial curian untuk mentransfer dana ke akun Pengguna Saluran, yang akhirnya memindahkannya ke akun pelanggan di bawah kendali mereka.


OPERA1ER’s cashing out procedure (Group-IB)

Biasanya, acara pencairan uang terjadi pada hari libur atau selama akhir pekan untuk meminimalkan kemungkinan organisasi yang dikompromikan merespons situasi tepat waktu.

sumber : bleeping computer