Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Phishing

Phishing

Pusat Panggilan Desi Ilegal Di Balik Kerugian Rs 6.400 Crore Orang Amerika Dalam Penipuan ‘Tech Support’ di 2022

by

Penipuan terkait asmara dan pop up ‘tech support’, yang sebagian besar berasal dari call center ilegal dan geng phising di India, telah menyebabkan kerugian lebih dari $3 miliar (Rs 25.000 crore) bagi warga lansia AS yang mudah tertipu dalam dua tahun terakhir sendiri, menurut data FBI. Tren ini bertahan, dengan total uang yang hilang oleh orang Amerika dalam semua penipuan terkait internet/pusat panggilan dalam 11 bulan terakhir diperkirakan mencapai $10,2 miliar, meningkat 47% dibandingkan tahun lalu sebesar $6,9 miliar.

Biro Investigasi Federal (FBI) menugaskan perwakilan tetap di kedutaan besar AS di New Delhi untuk bekerja sama dengan CBI, Interpol dan Polisi Delhi untuk menangkap geng phising dan membekukan uang yang ditransfer melalui kabel dan mata uang kripto ke sindikat yang beroperasi dari tanah India.

Suhel Daud, atase Hukum Kedutaan Besar AS dan Kepala FBI Asia Selatan, mengatakan kepada TOI bahwa penipuan terkait asmara yang dilaporkan di situs web FBI oleh para korban menunjukkan perkiraan kerugian sebesar Rs 8.000 crore dalam 23 bulan sejak tahun 2021. Sebagian besar korban penipuan ini adalah lansia di atas usia 60 tahun.

Kasus ‘tech support’ mengalami peningkatan lebih dari 130% tiap tahunnya dan kembali meningkat 137% pada tahun 2021. Hal ini merugikan orang Amerika sebesar 9.200 crore dalam dua tahun terakhir. Kejahatan ini berasal dari pop-up yang muncul di komputer korban dengan berkedok memberikan dukungan teknis.

Kepala FBI Asia Selatan berbicara tentang peningkatan kerja sama Biro dengan agen-agen India untuk menangkap geng phising ilegal yang telah menempatkan ekonomi terbesar kelima di dunia dalam resiko dicap sebagai pengekspor bersih internet dan penipuan terkait pusat panggilan.

Selengkapnya: THE TIMES OF INDIA

Pasar web gelap otomatis menjual akun email perusahaan seharga $2

by

Pasar web gelap menjual alamat email korporat yang dicuri dengan harga serendah $2 untuk memenuhi permintaan yang meningkat dari peretas yang menggunakannya untuk business email compromise dan serangan phishing atau akses awal ke jaringan.

Analis di perusahaan intelijen siber Israel KELA telah mengikuti tren ini dengan cermat, melaporkan setidaknya 225.000 akun email dijual di pasar bawah tanah.

Toko email web terbesar adalah Xleet dan Lufix, mengklaim menawarkan akses ke lebih dari 100 ribu akun email perusahaan yang dilanggar, dengan harga berkisar antara $2 dan $30.

Biasanya, akun ini dicuri melalui peretasan kata sandi (brute-forcing) atau isian kredensial, kredensialnya dicuri melalui phishing, atau dibeli dari penjahat dunia maya lainnya.

Peretas menggunakan akses mereka ke akun email perusahaan dalam serangan yang ditargetkan seperti business email compromise (BEC), rekayasa sosial, spear-phishing, dan infiltrasi jaringan yang lebih dalam.

Penjualan akses email perusahaan tetap stabil di ruang kejahatan dunia maya selama beberapa tahun terakhir, dengan pelaku ancaman di semua forum peretasan utama menjual “daftar kombo” email untuk mengakses berbagai perusahaan.

Daftar kombo dijual di forum ‘Breached’ (KELA)

Dalam kasus profil tinggi baru-baru ini, aktor ransomware ‘Everest’ diduga menawarkan akses ke akun email perusahaan manufaktur kedirgantaraan seharga $15.000.

Baik penawaran massal maupun penawaran yang dikuratori melibatkan proses negosiasi yang membosankan dengan penjual dan mengambil risiko atas validitas klaim. Pada saat yang sama, permintaan email korporat terus meningkat.

Hal tersebut menciptakan kebutuhan akan toko email web otomatis seperti Xleet, Odin, Xmina, dan Lufix, yang memungkinkan penjahat dunia maya dengan mudah membeli akses ke akun email pilihan mereka.

Sistem checker yang tergabung pada keempat toko (KELA)

Penawaran paling menarik adalah akun Office 365, yang merupakan hampir setengah dari semua webmail yang terdaftar, diikuti oleh penyedia hosting seperti cPanel, GoDaddy, dan Ionos.

Penjual di toko-toko ini tidak menggunakan nama samaran tetapi bersembunyi di balik sistem penyamaran dengan memberi mereka nomor. Odin menawarkan detail lebih lanjut tentang penjual, seperti jumlah barang yang terjual, angka penjualan total, dan peringkat pengguna.

Odin dan Xleet juga mengklarifikasi bagaimana webmail itu bersumber, dengan kategori termasuk “diretas”, “diretas”, “log”, atau “dibuat”. Namun, mayoritas (98%) di Xleet “diretas” atau “diretas”.

“Log” adalah kredensial email yang dicuri oleh malware pencuri info, sementara “dibuat” adalah akun email baru yang dibuat oleh penyusup jaringan di perusahaan yang dilanggar menggunakan akun administrator yang disusupi.

Karena sebagian besar email web yang ditawarkan telah diretas atau diretas, menggunakan kata sandi yang kuat (lebih panjang), pengaturan ulang kata sandi secara berkala dan melatih personel untuk mengidentifikasi email phishing akan membantu mengurangi ancaman ini secara signifikan.

Sumber: Bleeping Computer

42.000 Domain Penipu Digunakan oleh Peretas Tiongkok dalam Kampanye Phishing Besar

by

Kampanye phishing besar-besaran yang dioperasikan oleh kelompok peretasan China “Fangxiao” menempatkan ribuan orang dalam bahaya. Kampanye ini telah menggunakan 42.000 domain palsu untuk memfasilitasi serangan phishing. Domain penipu ini dirancang untuk mengarahkan pengguna ke aplikasi adware (periklanan malware), hadiah, dan situs kencan.

Cyjax, sebuah perusahaan solusi keamanan dan ancaman siber, menemukan 42.000 domain palsu yang digunakan dalam kampanye ini. Dalam posting blog Cyjax oleh Emily Dennison dan Alana Witten, penipuan itu digambarkan sebagai canggih, dengan kemampuan untuk “mengeksploitasi reputasi internasional, merek tepercaya di berbagai vertikal termasuk ritel, perbankan, perjalanan, farmasi, perjalanan dan energi”.

Penipuan dimulai dengan pesan WhatsApp berbahaya, di mana merek tepercaya ditiru. Contoh merek tersebut termasuk Emirates, Coca-Cola, McDonald’s, dan Unilever. Pesan ini memberi penerima tautan ke halaman web yang diberi daya pikat. Situs pengalihan tergantung pada alamat IP target, serta agen pengguna mereka.

Misalnya, McDonald’s mungkin mengklaim melakukan pemberian gratis. Ketika korban menyelesaikan pendaftaran mereka ke giveaway, unduhan malware Triada Trojan dapat dipicu. Malware juga dapat diinstal setelah mengunduh aplikasi tertentu, yang diminta untuk dipasang oleh korban agar dapat terus mengikuti giveaway.

Selengkapnya: Make Use Of

Phishing Menjatuhkan Malware IceXLoader di Ribuan Perangkat Rumah dan Perusahaan

by Leave a Comment

Kampanye phishing yang sedang berlangsung telah menginfeksi ribuan pengguna rumahan dan perusahaan dengan versi baru malware ‘IceXLoader’.

Penemuan malware berbasis Nim datang pada Juni 2022 oleh Fortinet, ketika IceXLoader masih dalam versi 3.0, tetapi loader kehilangan fitur-fitur utama dan umumnya tampak seperti pekerjaan dalam proses.’

rantai pengiriman saat ini

Infeksi dimulai dengan kedatangan file ZIP melalui email phishing yang berisi ekstraktor tahap pertama.

Extractor membuat folder tersembunyi baru (.tmp) di bawah “C:\Users\\AppData\Local\Temp” dan meninggalkan executable tahap berikutnya, ‘STOREM~2.exe.’

Kemudian, tergantung pada pengaturan ekstrak yang dipilih oleh operator, sistem yang terinfeksi dapat di-boot ulang, dan kunci registri baru akan ditambahkan untuk menghapus folder temp saat komputer dihidupkan ulang.

executable yang ditinggalkan adalah pengunduh yang mengambil file PNG dari URL hardcoded dan mengubahnya menjadi file DLL yang dikaburkan yang merupakan muatan IceXLoader.

Setelah mendekripsi muatan, penetes melakukan pemeriksaan untuk memastikannya tidak berjalan di dalam emulator dan menunggu 35 detik sebelum menjalankan pemuat malware untuk menghindari kotak pasir.

Akhirnya, IceXLoader disuntikkan ke dalam proses STOREM~2.exe menggunakan proses lekukan.

Rantai infeksi IceXLoader lengkap
(Minerva Labs)

IceXLloader Baru
Saat peluncuran pertama, IceXLoader versi 3.3.3 menyalin dirinya sendiri ke dalam dua direktori yang dinamai sesuai nama panggilan operator dan kemudian mengumpulkan informasi berikut tentang host dan mengekstraknya ke C2:

  • IP address
  • UUID
  • Username and machine name
  • Windows OS version
  • Installed security products
  • Presence of .NET Framework v2.0 and/or v4.0
  • Hardware information
  • Timestamp

Untuk memastikan kegigihan antara reboot, pemuat malware juga membuat kunci registri baru di “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.”

Perintah yang didukung oleh loader adalah sebagai berikut:

  • stop execution
  • collect system info and exfiltrate to C2
  • display dialog box with specified message
  • restart icexloader
  • Send GET request to download a file and open it with “cmd/ C”
  • Send GET request to download an executable to run it from memory
  • Load and execute a .NET assembly
  • Change C2 server beaconing interval
  • Update IceXLoader
  • Remove all copies from the disk and stop running

Peneliti keamanan telah memberi tahu perusahaan yang terkena dampak paparan, tetapi database diperbarui dengan entri baru setiap hari.

sumber : bleeping computer

Peretas OPERA1ER Mencuri Lebih dari $11 Juta dari Bank dan Perusahaan Telekomunikasi

by

Sebuah kelompok ancaman yang peneliti sebut OPERA1ER telah mencuri setidaknya $ 11 juta dari bank dan penyedia layanan telekomunikasi di Afrika menggunakan alat peretasan yang tersedia.

Antara 2018 dan 2022, para peretas meluncurkan lebih dari 35 serangan yang berhasil,

Kelompok peretas ini terdiri dari anggota berbahasa Prancis yang diyakini beroperasi dari Afrika. Selain menargetkan perusahaan di Afrika, geng itu juga menyerang organisasi di Argentina, Paraguay, dan Bangladesh.

OPERA1ER bergantung pada alat sumber terbuka, malware komoditas, dan kerangka kerja seperti Metasploit dan Cobalt Strike untuk mengkompromikan server perusahaan.

Mereka mendapatkan akses awal melalui email spear-phishing yang memanfaatkan topik populer seperti faktur atau pemberitahuan pengiriman pos.

OPERA1ER dapat menghabiskan antara tiga hingga dua belas bulan di dalam jaringan yang disusupi, dan terkadang mereka menyerang perusahaan yang sama dua kali.

peretas menargetkan akun operator yang mengendalikan sejumlah besar uang dan menggunakan kredensial curian untuk mentransfer dana ke akun Pengguna Saluran, yang akhirnya memindahkannya ke akun pelanggan di bawah kendali mereka.


OPERA1ER’s cashing out procedure (Group-IB)

Biasanya, acara pencairan uang terjadi pada hari libur atau selama akhir pekan untuk meminimalkan kemungkinan organisasi yang dikompromikan merespons situasi tepat waktu.

sumber : bleeping computer

130 Github Repositori Dicuri dari Dropbox oleh Hacker

by

Dropbox mengungkapkan pelanggaran keamanan setelah pelaku ancaman mencuri 130 repositori kode setelah mendapatkan akses ke salah satu akun GitHub-nya menggunakan kredensial karyawan yang dicuri dalam serangan phishing.

Perusahaan menemukan penyerangan akun pada 14 Oktober ketika GitHub memberi tahunya tentang aktivitas mencurigakan yang dimulai sehari sebelum peringatan dikirim.

“Kode dan data di sekitarnya juga mencakup beberapa ribu nama dan alamat email milik karyawan Dropbox, pelanggan saat ini dan sebelumnya, prospek penjualan, dan vendor (untuk konteksnya, Dropbox memiliki lebih dari 700 juta pengguna terdaftar).”

serangan phishing yang menargetkan beberapa karyawan Dropbox menggunakan email yang meniru platform integrasi dan pengiriman berkelanjutan CircleCI dan mengarahkan mereka ke halaman arahan phishing di mana mereka diminta untuk memasukkan nama pengguna dan kata sandi GitHub mereka.

karyawan juga diminta untuk “menggunakan kunci otentikasi perangkat keras mereka untuk memberikan One Time Password (OTP).”


Email phishing yang meniru CircleCI (BleepingComputer)

130 kode repositori telah dicuri saat pemberantasan

penyerang memperoleh akses ke salah satu organisasi GitHub Dropbox dan mencuri 130 repositori kodenya.

“Yang penting, mereka tidak menyertakan kode untuk aplikasi atau infrastruktur inti kami. Akses ke repositori itu bahkan lebih terbatas dan dikontrol dengan ketat.”

Dropbox menambahkan bahwa penyerang tidak pernah memiliki akses ke akun pelanggan, kata sandi, atau informasi pembayaran, dan aplikasi serta infrastruktur intinya tidak terpengaruh akibat pelanggaran ini.

Menanggapi insiden tersebut, Dropbox berupaya mengamankan seluruh lingkungannya menggunakan WebAuthn dan token perangkat keras atau faktor biometrik.

Pada bulan September, pengguna GitHub lainnya juga menjadi sasaran dalam serangan serupa yang meniru platform CircleCI dan meminta mereka untuk masuk ke akun GitHub mereka untuk menerima persyaratan pengguna dan pembaruan kebijakan privasi untuk tetap menggunakan layanan.

“Sementara GitHub sendiri tidak terpengaruh, kampanye tersebut telah berdampak pada banyak organisasi korban,” kata GitHub dalam sebuah nasihat saat itu.

GitHub mengatakan mendeteksi eksfiltrasi konten dari repositori pribadi segera setelah kompromi, dengan pelaku ancaman menggunakan VPN atau layanan proxy untuk membuat pelacakan lebih sulit.

sumber : bleeping computer

Pengawas data Inggris mendenda konstruksi biz £ 4,4 juta untuk kebersihan infosec yang buruk

by

Pengawas data Inggris telah menampar bisnis konstruksi Interserve Group dengan potensi denda £ 4,4 juta ($ 4,98 juta) setelah serangan phishing yang berhasil oleh penjahat mengekspos data pribadi hingga 113.000 karyawan.

Kantor Komisaris Informasi mengatakan perusahaan yang berbasis di Berkshire gagal menerapkan kebersihan keamanan yang baik, peringatan yang hilang dan banyak lagi, dan karenanya dianggap telah melanggar undang-undang perlindungan data.

Dalam kasus klasik, salah satu anggota staf Interserve meneruskan email yang berisi kejahatan tersembunyi kepada seorang rekan, yang kemudian membukanya dan mengunduh konten, memungkinkan malware untuk melakukan tugasnya.

Anti-virus yang digunakan mengkarantina malware dan mengirimkan peringatan, tetapi Interserve “gagal menyelidiki aktivitas mencurigakan secara menyeluruh,” dan melakukan hal itu mungkin mengungkapkan bahwa pelaku jahat telah memperoleh akses ke sistem perusahaan.

Penjahat kemudian mengkompromikan 283 sistem dan 16 akun, dan menghapus instalan perangkat lunak AV. “Data pribadi hingga 113.000 karyawan saat ini dan mantan karyawan dienkripsi dan tidak tersedia,” kata ICO dalam sebuah pernyataan.

Penyelidikan selanjutnya oleh regulator data menemukan sejumlah kesalahan yang dibuat oleh Interserve termasuk tidak menanggapi peringatan awal dari aktivitas yang mencurigakan, menggunakan sistem dan protokol perangkat lunak yang sudah ketinggalan zaman, kurangnya pelatihan yang sesuai untuk staf, dan penilaian risiko yang tidak memadai. Ini, klaim ICO, pada akhirnya membuat bisnis rentan terhadap penjahat dunia maya.

ICO telah melayani Interserve dengan pemberitahuan niat dokumen hukum yang datang sebelum denda. Denda sementara adalah £4,4 juta dan setelah mempertimbangkan perwakilan dari Interserve, ICO memutuskan untuk tidak mengabaikannya.

John Edwards, Komisaris Informasi Inggris, mengatakan dalam sebuah pernyataan:

“Bisnis risiko dunia maya terbesar yang dihadapi bukan dari peretas di luar perusahaan mereka, tetapi dari rasa puas diri di dalam perusahaan mereka. Jika bisnis Anda tidak secara teratur memantau aktivitas mencurigakan dalam sistemnya dan gagal bertindak berdasarkan peringatan, atau tidak memperbarui perangkat lunak dan gagal memberikan pelatihan kepada staf, Anda dapat mengharapkan denda serupa dari kantor saya.

“Membiarkan pintu terbuka bagi penyerang cyber tidak pernah dapat diterima, terutama ketika berurusan dengan informasi paling sensitif dari orang-orang. Pelanggaran data ini berpotensi menyebabkan kerugian nyata bagi staf Interserve, karena membuat mereka rentan terhadap kemungkinan pencurian identitas dan penipuan keuangan. ”

Sumber: The Register

Layanan kafein memungkinkan siapa saja meluncurkan serangan phishing Microsoft 365

by

Platform phishing-as-a-service (PhaaS) bernama ‘Caffeine’ memudahkan pelaku ancaman untuk meluncurkan serangan, menampilkan proses pendaftaran terbuka yang memungkinkan siapa saja untuk masuk dan memulai kampanye phishing mereka sendiri.

Kafein tidak memerlukan undangan atau rujukan, juga tidak memerlukan calon pelaku ancaman untuk mendapatkan persetujuan dari admin di Telegram atau forum peretasan. Karena itu, Caffeine menghilangkan banyak hambatan yang menjadi ciri hampir semua platform semacam ini.

Ciri khas lain dari Caffeine adalah bahwa template phishingnya menargetkan platform Rusia dan Cina, sedangkan sebagian besar platform PhaaS cenderung berfokus pada umpan untuk layanan Barat.

Analis Mandiant menemukan dan menguji Caffeine secara menyeluruh, dan melaporkan bahwa Caffeine adalah PhaaS kaya fitur yang mengkhawatirkan mengingat hambatannya yang rendah untuk masuk.

Dalam hal opsi phishing, beberapa fitur lanjutan yang ditawarkan oleh platform ini meliputi:

  • Mekanisme untuk menyesuaikan skema URL dinamis untuk membantu menghasilkan halaman yang diisi sebelumnya secara dinamis dengan informasi khusus korban.
  • Halaman pengalihan kampanye tahap pertama dan halaman iming-iming terakhir.
  • Opsi pemblokiran IP untuk pemblokiran geografis, pemblokiran berbasis range CIDR, dll.

Selengkapnya: Bleeping Computer