Phishing

LinkedIn tetap menjadi brand yang paling banyak ditiru dalam serangan phishing

July 21, 2022 by Mally

LinkedIn masih memegang posisi teratas sebagai Brand yang paling banyak ditiru dalam kampanye phishing yang diamati selama kuartal kedua tahun 2022.

Data statistik dari perusahaan keamanan siber, Check Point, menunjukkan bahwa platform sosial untuk para profesional tersebut berada di urutan teratas daftar untuk kuartal kedua berturut-turut.

Brand yang paling banyak ditiru oleh pelaku phishing di Q2 2022 (Check Point)

Dibandingkan dengan kuartal pertama tahun ini, peniruan identitas LinkedIn turun dari 52% menjadi 45%. Namun, ia mempertahankan jarak yang cukup jauh dari merek kedua yang paling banyak ditiru oleh penipu, yaitu Microsoft yang saat ini sebesar 13%.

Tema sentral dalam email Microsoft palsu adalah permintaan untuk memverifikasi akun Outlook untuk mencuri nama pengguna dan kata sandi.

DHL saat ini memegang posisi ketiga dalam daftar dengan 12%, turun dari 14%.

Sedangkan Amazon naik ke posisi keempat, melompat dari 2% pada Q1 2022 menjadi 9% pada kuartal ini, sementara Apple mengikuti di tempat kelima dengan 3%; juga meningkat signifikan dibandingkan dengan 0,8% kuartal lalu.

Dalam kasus Amazon, email phishing berusaha mencuri informasi penagihan target, termasuk data kartu kredit lengkap, kata para peneliti.

Seperti yang dijelaskan oleh Check Point dalam laporannya, kampanye phishing menggunakan email LinkedIn palsu mencoba untuk meniru pesan umum dari platform kepada penggunanya, seperti “Anda muncul di 8 pencari minggu ini”, atau “Anda memiliki satu pesan baru.”

Alamat pengirim dipalsukan agar muncul seolah-olah pesan itu otomatis atau berasal dari dukungan atau bahkan departemen keamanan.

Beberapa umpan yang digunakan dalam kampanye ini termasuk promosi palsu untuk layanan LinkedIn Pro, pembaruan kebijakan palsu, atau bahkan ancaman penghentian akun untuk “pelanggan yang belum diverifikasi.”

Mereka semua mengarah ke halaman web phishing di mana para korban diminta untuk memasukkan kredensial LinkedIn mereka, memungkinkan pelaku ancaman untuk mengambil alih akun.

Halaman web login palsu LinkedIn (Check Point)

Dengan akses ke akun LinkedIn, pelaku ancaman dapat menyebarkan kampanye phishing yang ditargetkan untuk menjangkau rekan kerja korban atau individu berharga di jaringan koneksi mereka.

Alasan lain untuk menargetkan akun LinkedIn adalah bahwa mereka dapat digunakan untuk menyiapkan kampanye tawaran pekerjaan palsu. Dalam contoh baru-baru ini, peretas Korea Utara dapat mengelabui seorang karyawan video game online berbasis token agar mengunduh PDF berbahaya yang memungkinkan aktor ancaman mencuri cryptocurrency senilai $620 juta.

Sumber: Bleeping Computer

Microsoft: Phishing melewati MFA dalam serangan terhadap 10.000 organisasi

July 14, 2022 by Mally

Microsoft mengatakan serangkaian besar serangan phishing telah menargetkan lebih dari 10.000 organisasi mulai September 2021, menggunakan akses yang diperoleh ke kotak surat korban dalam serangan kompromi email bisnis (BEC) lanjutan.

Pelaku ancaman menggunakan halaman arahan yang dirancang untuk membajak proses otentikasi Office 365 (bahkan pada akun yang dilindungi oleh otentikasi multifaktor (MFA) dengan memalsukan halaman otentikasi online Office.

Dalam beberapa serangan yang diamati, calon korban diarahkan ke halaman arahan dari email phishing menggunakan lampiran HTML yang bertindak sebagai penjaga gerbang memastikan target dikirim melalui redirector HTML.

Setelah mencuri kredensial target dan cookie sesi mereka, pelaku ancaman di balik serangan ini masuk ke akun email korban. Mereka kemudian menggunakan akses mereka dalam kampanye kompromi email bisnis (BRC) yang menargetkan organisasi lain.

“Kampanye phishing skala besar yang menggunakan situs phishing adversary-in-the-middle (AiTM) mencuri kata sandi, membajak sesi masuk pengguna, dan melewatkan proses otentikasi meskipun pengguna telah mengaktifkan otentikasi multifaktor (MFA),” kata tim peneliti Microsoft 365 Defender dan Microsoft Threat Intelligence Center (MSTIC).

“Para penyerang kemudian menggunakan kredensial yang dicuri dan cookie sesi untuk mengakses kotak surat pengguna yang terpengaruh dan melakukan kampanye kompromi email bisnis (BEC) lanjutan terhadap target lain.”

Proses phishing yang digunakan dalam kampanye phishing skala besar ini dapat diotomatisasi dengan bantuan beberapa toolkit phishing open-source, termasuk Evilginx2, Modlishka, dan Muraena yang banyak digunakan.

Situs phishing yang digunakan dalam kampanye ini berfungsi sebagai proxy terbalik dan dihosting di server web yang dirancang untuk mem-proksi permintaan autentikasi target ke situs web sah yang mereka coba masuki melalui dua sesi Transport Layer Security (TLS) terpisah.

Menggunakan taktik ini, halaman phishing penyerang bertindak sebagai agen man-in-the-middle yang mencegat proses otentikasi untuk mengekstrak informasi sensitif dari permintaan HTTP yang dibajak, termasuk kata sandi dan, yang lebih penting, cookie sesi.

Setelah penyerang mendapatkan cookie sesi target, mereka menyuntikkannya ke browser web mereka sendiri, yang memungkinkan mereka untuk melewati proses otentikasi, bahkan jika korban mengaktifkan MFA pada akun yang disusupi.

Otentikasi penyadapan situs phishing (Microsoft)

Untuk mempertahankan diri dari serangan semacam itu, Microsoft merekomendasikan penggunaan implementasi MFA “tahan phish” dengan otentikasi berbasis sertifikat dan dukungan Fast ID Online (FIDO) v2.0.

Praktik terbaik lain yang direkomendasikan yang akan meningkatkan perlindungan termasuk pemantauan upaya masuk yang mencurigakan dan aktivitas kotak surat, serta kebijakan akses bersyarat yang akan memblokir upaya penyerang untuk menggunakan cookie sesi yang dicuri dari perangkat yang tidak sesuai atau alamat IP yang tidak tepercaya.

Sumber: Bleeping Computer

Peretas meniru perusahaan keamanan siber dalam serangan callback phishing

July 14, 2022 by Mally

Peretas meniru perusahaan keamanan siber terkenal, seperti CrowdStrike, dalam email phishing panggilan balik untuk mendapatkan akses awal ke jaringan perusahaan.

Selama setahun terakhir, pelaku ancaman semakin sering menggunakan kampanye phishing “Callback” yang meniru perusahaan terkenal yang meminta Anda menelepon nomor untuk menyelesaikan masalah, membatalkan perpanjangan langganan, atau mendiskusikan masalah lain.

Ketika target memanggil nomor, pelaku ancaman menggunakan rekayasa sosial untuk meyakinkan pengguna untuk menginstal perangkat lunak akses jarak jauh pada perangkat mereka, menyediakan akses awal ke jaringan perusahaan. Akses ini kemudian digunakan untuk mengkompromikan seluruh domain Windows.

Dalam kampanye phishing callback baru, para peretas meniru CrowdStrike untuk memperingatkan penerima bahwa penyusup jaringan jahat telah menyusup ke stasiun kerja mereka dan bahwa audit keamanan mendalam diperlukan.

Kampanye callback phishing ini berfokus pada manipulasi psikologis, menjelaskan secara rinci mengapa mereka harus diberikan akses ke perangkat penerima.

Pada akhirnya, email phishing meminta karyawan untuk menghubungi mereka melalui nomor telepon terlampir untuk menjadwalkan audit keamanan tempat kerja mereka.

Jika dipanggil, peretas akan memandu karyawan melalui pemasangan alat administrasi jarak jauh (RAT) yang memungkinkan pelaku ancaman untuk mendapatkan kendali penuh atas workstation.

Pelaku ancaman ini sekarang dapat menginstal alat tambahan dari jarak jauh yang memungkinkan mereka menyebar secara lateral melalui jaringan, mencuri data perusahaan, dan berpotensi menyebarkan ransomware untuk mengenkripsi perangkat.

Dalam sebuah laporan oleh CrowdStrike, perusahaan yakin kampanye ini kemungkinan akan mengarah pada serangan ransomware, seperti yang terlihat pada kampanye phishing panggilan balik sebelumnya.

CrowdStrike mencatat bahwa pada Maret 2022, analisnya mengidentifikasi kampanye serupa di mana pelaku ancaman menggunakan AteraRMM untuk menginstal Cobalt Strike dan kemudian bergerak secara lateral di jaringan korban sebelum mereka menyebarkan malware.

Kampanye phishing panggilan balik menjadi umum pada tahun 2021 dengan peluncuran kampanye phishing BazarCall yang digunakan oleh geng ransomware Conti untuk mendapatkan akses awal ke jaringan perusahaan.

Sejak itu, kampanye callback phishing telah menggunakan berbagai umpan, termasuk antivirus dan langganan dukungan serta pembaruan kursus online.

Vitali Kremez dari AdvIntel mengatakan bahwa kampanye yang dilihat oleh CrowdStrike diyakini dilakukan oleh geng ransomware Quantum, yang telah meluncurkan kampanye mirip BazarCall mereka sendiri.

Quantum adalah salah satu operasi ransomware penargetan perusahaan yang paling cepat berkembang saat ini, baru-baru ini dikaitkan dengan serangan terhadap PFC yang berdampak pada lebih dari 650 organisasi layanan kesehatan.

Analis keamanan juga telah mengkonfirmasi bahwa banyak mantan anggota Conti telah melompat ke Quantum setelah operasi sebelumnya ditutup karena peningkatan pengawasan oleh para peneliti dan penegak hukum.

Meskipun akan sulit bagi email phishing untuk menemukan kesuksesan massal di masa lalu, dalam situasi saat ini, dengan banyak karyawan yang bekerja dari jarak jauh dari rumah dan jauh dari tim TI mereka, prospek pelaku ancaman meningkat secara signifikan.

Sumber: Bleeping Computer

$540 Juta Crypto Gaming Hack Dimungkinkan Dengan Skema Phishing yang Rumit

July 8, 2022 by Mally

Klon Pokémon NFT, Axie Infinity, berubah dari terkenal karena pemain yang mengambil untung dari penipuan game “play-to-earn” menjadi terkenal karena diretas dari $ 540 juta dalam cryptocurrency.

Bagi mereka yang tidak terbiasa dengan grift Axie, pengembang Sky Mavis mengembangkan sidechain terkait Ethereum yang disebut Ronin Network dan mencangkok pada game tentang bertarung dan membiakkan monster lucu yang disebut Axie Infinity.

Di game tersebut pemain diundang untuk mendapatkan cryptocurrency berbasis Ethereum, awalnya game tersebut menghasilkan keuntungan besar karena pemain baru mencurahkan waktu dan uang mereka ke dalam platform. Namun pada awal tahun ini, perusahaan itu menghadapi segala macam hambatan, mulai dari pertumbuhan yang stagnan hingga inflasi mata uang dan, yang paling penting, salah satu peretasan crypto terbesar sepanjang masa.

Pengembang Sky Mavis mengungkapkan kembali pada bulan April bahwa pelanggaran keamanan dimungkinkan oleh seorang karyawan yang “dikompromikan” oleh “serangan spear-phishing tingkat lanjut.” “Penyerang berhasil memanfaatkan akses itu untuk menembus infrastruktur TI Sky Mavis dan mendapatkan akses ke node validator,” tulis perusahaan saat itu.

The Block sekarang melaporkan, berdasarkan dua sumber yang mengetahui langsung insiden tersebut, bahwa karyawan tersebut adalah seorang insinyur senior di Axie Infinity dan cara untuk menyusup ke komputer mereka adalah tawaran pekerjaan yang terlalu bagus untuk menjadi kenyataan.

Menurut The Block, penipu yang mewakili perusahaan palsu mendekati insinyur melalui LinkedIn, mendorong mereka untuk melamar pekerjaan, mengadakan beberapa putaran wawancara, dan akhirnya membuat tawaran pekerjaan yang mencakup “paket kompensasi yang sangat murah hati.” Namun tawaran itu tertuang dalam file PDF.

Setelah Mark mengunduhnya, spyware dilaporkan dapat menyusup ke sistem Jaringan Ronin dan memberi peretas akses ke empat dari lima node (dari total sembilan) yang mereka butuhkan untuk diuangkan. Akses ke yang kelima diperoleh melalui sesuatu yang disebut Axie DAO—organisasi terpisah yang diminta oleh Sky Mavis untuk membantu masuknya transaksi selama puncak popularitas Axie Infinity. Sky Mavis gagal menghapus akses DAO dari sistemnya setelah bantuannya tidak lagi diperlukan.

Salah satu daya tarik teknologi blockchain yang banyak digembar-gemborkan adalah kemampuannya untuk membuat basis data publik dan dapat diakses oleh semua orang sambil tetap menjaganya tetap aman. Tetapi setiap pintu yang terkunci, tidak peduli seberapa kuatnya, hanya akan seaman orang yang memegang kuncinya.

Di sini, dengan Axie Infinity, kerentanan karyawan Sky Mavis diperparah oleh pintasan ceroboh yang diperlukan untuk tetap berada di puncak pertumbuhan meteorik game musim gugur lalu. (Sky Mavis telah meningkatkan total node validatornya menjadi 11, dengan rencana jangka panjang untuk memiliki lebih dari 100.)

Tentu saja, sementara itu perusahaan masih perlu membayar kembali semua orang yang kehilangan uang dalam peretasan. Pada bulan April, ia mengumpulkan $150 juta lagi, sebagian dalam upaya untuk membuat playerbase yang ada menjadi utuh kembali.

Pada bulan yang sama, FBI mengidentifikasi peretas Korea Utara “Lazarus Group” sebagai pelaku di balik serangan Axie Infinity. Badan penegak hukum federal juga baru-baru ini memperingatkan perusahaan agar tidak secara tidak sengaja mempekerjakan peretas Korea Utara sebagai spesialis TI jarak jauh.

Sumber: Kotaku

OpenSea mengungkapkan pelanggaran data, memperingatkan pengguna akan serangan phishing

July 4, 2022 by Mally

OpenSea, pasar non-fungible token (NFT) terbesar, mengungkapkan pelanggaran data pada hari Rabu dan memperingatkan pengguna tentang serangan phishing yang dapat menargetkan mereka dalam beberapa hari mendatang.

Pasar NFT online mengatakan memiliki lebih dari 600.000 pengguna dan volume transaksi yang melampaui $20 miliar.

Kepala Keamanan perusahaan, Cory Hardman, mengatakan bahwa seorang karyawan Customer.io, vendor pengiriman email platform, mengunduh alamat email milik pengguna OpenSea dan pelanggan buletin.

Karena alamat email yang dicuri dalam insiden tersebut juga dibagikan dengan pihak eksternal yang tidak berwenang, Hardman mendesak pengguna yang berpotensi terpengaruh untuk waspada terhadap upaya phishing yang meniru OpenSea.

“Jika Anda pernah membagikan email Anda dengan OpenSea di masa lalu, Anda harus berasumsi bahwa Anda terkena dampaknya. Kami sedang bekerja dengan Customer.io dalam penyelidikan mereka yang sedang berlangsung, dan kami telah melaporkan kejadian ini ke penegak hukum,” kata Hardman.

Pemberitahuan pelanggaran data OpenSea (Yocantseeme)

Pengguna juga diminta untuk mencari email yang dikirim dari domain yang dapat digunakan oleh pelaku jahat untuk menipu domain email resmi OpenSea, opensea.io.

Contoh domain yang dapat digunakan dalam serangan phishing yang menargetkan pengguna OpenSea termasuk opensea.org, opensea.xyz, dan opeansae.io.

Hardman juga membagikan serangkaian rekomendasi keamanan yang akan membantu mempertahankan diri dari upaya phishing yang menyarankan mereka untuk curiga terhadap email apa pun yang mencoba meniru OpenSea, tidak mengunduh dan membuka lampiran email, dan untuk memeriksa URL halaman yang ditautkan dalam email OpenSea.

Pengguna juga diimbau untuk tidak pernah membagikan atau mengonfirmasi kata sandi atau frasa dompet rahasia mereka dan tidak pernah menandatangani transaksi dompet jika diminta langsung melalui email.

Di masa lalu, pengguna OpenSea telah ditargetkan oleh aktor ancaman yang menyamar sebagai staf pendukung palsu dan oleh serangan phishing yang menyebabkan lebih dari selusin pengguna tanpa ratusan NFT senilai sekitar $2 juta.

Pada bulan September, OpenSea juga menutup bug yang dapat membuat penyerang mengosongkan dompet cryptocurrency pemilik akun OpenSea dengan memikat mereka untuk mengklik seni NFT yang berbahaya.

Sumber: Bleeping Computer

Malware BRATA yang menghapus Android berkembang menjadi ancaman yang terus-menerus

June 21, 2022 by Mally

Pelaku ancaman di balik trojan perbankan BRATA telah mengembangkan taktik mereka dan meningkatkan malware dengan kemampuan mencuri informasi.

Perusahaan keamanan seluler Italia Cleafy telah melacak aktivitas BRATA dan memperhatikan perubahan kampanye terbaru yang menyebabkan persistensi lebih lama pada perangkat.

Malware itu sendiri juga telah diperbarui dengan teknik phishing baru, kelas baru untuk meminta izin tambahan pada perangkat, dan sekarang juga menjatuhkan payload tahap kedua dari server command and control (C2).

Malware BRATA juga lebih bertarget, karena para peneliti menemukan bahwa malware itu berfokus pada satu lembaga keuangan pada satu waktu dan hanya berporos ke lembaga lain ketika serangan mereka dianggap tidak efisien oleh tindakan pencegahan.

Misalnya, BRATA kini telah dimuat sebelumnya dengan overlay phishing tunggal alih-alih memperoleh daftar aplikasi yang diinstal dan mengambil suntikan yang tepat dari C2.

Hamparan yang digunakan dalam kampanye baru-baru ini (Cleafy)

Dalam versi yang lebih baru, BRATA menambahkan lebih banyak izin yang memungkinkannya mengirim dan menerima SMS, yang dapat membantu penyerang mencuri kode sementara seperti kata sandi satu kali (OTP) dan otentikasi dua faktor (2FA) yang dikirimkan bank kepada pelanggan mereka.

Setelah bersarang ke perangkat, BRATA mengambil arsip ZIP dari server C2 yang berisi paket JAR (“unrar.jar”).

Utilitas keylogging ini memantau peristiwa yang dihasilkan aplikasi dan menyimpannya secara lokal di perangkat dengan data teks dan stempel waktu yang cocok.

Analis Cleafy melihat tanda-tanda bahwa alat ini masih dalam pengembangan awal dan para peneliti berpikir bahwa tujuan akhir penulis adalah menyalahgunakan Layanan Aksesibilitas untuk mendapatkan data dari aplikasi lain.

BRATA dimulai sebagai trojan perbankan di Brasil pada tahun 2019, mampu melakukan tangkapan layar, menginstal aplikasi baru, dan mematikan layar untuk membuat perangkat tampak mati.

Pada Juni 2021, BRATA muncul pertama kali di Eropa, menggunakan aplikasi anti-spam palsu sebagai iming-iming dan mempekerjakan agen pendukung palsu yang menipu korban dan menipu mereka agar memberi mereka kendali penuh atas perangkat mereka.

Pada Januari 2022, versi baru BRATA muncul di alam liar, menggunakan pelacakan GPS, beberapa saluran komunikasi C2, dan versi yang disesuaikan untuk pelanggan perbankan di berbagai negara. Versi itu juga menampilkan perintah reset pabrik yang menghapus perangkat setelah semua data dicuri.

Sekarang, selain versi BRATA baru dan perubahan taktik, Cleafy juga menemukan proyek baru: aplikasi pencuri SMS yang berkomunikasi dengan infrastruktur C2 yang sama.

Perbandingan berdampingan BRATA dan pencuri SMS (Cleafy)

Ini menggunakan kerangka kerja yang sama dengan BRATA dan nama kelas yang sama, tetapi tampaknya hanya berfokus pada menyedot pesan teks pendek. Saat ini, pihaknya menargetkan Inggris, Italia, dan Spanyol.

Layar pemilihan bahasa pada aplikasi SMS stealer (Cleafy)

Untuk mencegat SMS yang masuk, aplikasi meminta pengguna untuk mengaturnya sebagai aplikasi perpesanan default sambil juga meminta izin untuk mengakses kontak di perangkat.

Pencuri SMS meminta selama instalasi (Cleafy)

Untuk saat ini, tidak jelas apakah ini hanya percobaan dari upaya tim BRATA untuk membuat aplikasi sederhana yang ditujukan untuk peran tertentu.

Sumber: Bleeping Computer

Operasi phishing Facebook Messenger besar-besaran menghasilkan jutaan

June 9, 2022 by Mally

Para peneliti telah menemukan operasi phishing skala besar yang menyalahgunakan Facebook dan Messenger untuk memikat jutaan pengguna ke halaman phishing, menipu mereka agar memasukkan kredensial akun mereka dan melihat iklan.

Operator kampanye menggunakan akun curian ini untuk mengirim pesan phishing lebih lanjut ke teman-teman mereka, menghasilkan pendapatan yang signifikan melalui komisi iklan online.

Menurut PIXM, sebuah perusahaan keamanan siber yang berfokus pada AI yang berbasis di New York, kampanye tersebut mencapai puncaknya pada April-Mei 2022 tetapi telah aktif setidaknya sejak September 2021.

PIXM dapat melacak pelaku ancaman dan memetakan kampanye karena salah satu halaman phishing yang teridentifikasi menghosting tautan ke aplikasi pemantauan lalu lintas (whos.amung.us) yang dapat diakses publik tanpa autentikasi.

Meskipun tidak diketahui bagaimana kampanye awalnya dimulai, PIXM menyatakan bahwa korban tiba di halaman arahan phishing dari serangkaian pengalihan yang berasal dari Facebook Messenger.

Karena semakin banyak akun Facebook yang dicuri, pelaku ancaman menggunakan alat otomatis untuk mengirim tautan phishing lebih lanjut ke teman akun yang disusupi, menciptakan pertumbuhan besar-besaran dalam akun yang dicuri.

Sementara Facebook memiliki langkah-langkah perlindungan untuk menghentikan penyebaran URL phishing, pelaku ancaman menggunakan trik untuk melewati perlindungan ini.

Pesan phishing menggunakan layanan pembuatan URL yang sah seperti litch.me, famous.co, amaze.co, dan funnel-preview.com, yang akan menjadi masalah untuk diblokir karena aplikasi yang sah menggunakannya.

Beberapa URL yang digunakan dalam kampanye phishing (PIXM)

Setelah menemukan bahwa mereka dapat memperoleh akses yang tidak diautentikasi ke halaman statistik kampanye phishing, para peneliti menemukan bahwa pada tahun 2021, 2,7 juta pengguna telah mengunjungi salah satu portal phishing. Angka ini naik menjadi 8,5 juta pada tahun 2022, mencerminkan pertumbuhan besar-besaran dari kampanye.

Dengan menyelam lebih dalam, para peneliti mengidentifikasi 405 nama pengguna unik yang digunakan sebagai pengidentifikasi kampanye, masing-masing memiliki halaman phishing Facebook yang terpisah. Halaman phishing ini memiliki tampilan halaman mulai dari hanya 4.000 tampilan hingga jutaan, dengan satu tampilan halaman mencapai 6 juta.

Contoh pengguna diseminasi yang teridentifikasi (PIXM)

Para peneliti percaya bahwa 405 nama pengguna ini hanya mewakili sebagian kecil dari akun yang digunakan untuk kampanye.

Setelah korban memasukkan kredensial mereka di halaman arahan phishing, babak baru pengalihan dimulai, membawa mereka ke halaman iklan, formulir survei, dll.

Salah satu iklan ditampilkan kepada pengguna phishing (PIXM)

Pelaku ancaman menerima pendapatan rujukan dari pengalihan ini, yang diperkirakan mencapai jutaan USD pada skala operasi ini.

PIXM menemukan potongan kode umum di semua halaman arahan, yang berisi referensi ke situs web yang telah disita dan merupakan bagian dari penyelidikan terhadap seorang pria Kolombia yang diidentifikasi sebagai Rafael Dorado.

Pencarian whois terbalik mengungkapkan tautan ke perusahaan pengembangan web yang sah di Kolombia dan situs lama yang menawarkan Facebook “seperti bot” dan layanan peretasan.

PIXM membagikan hasil penyelidikannya kepada Polisi Kolombia dan Interpol, tetapi seperti yang mereka ketahui, kampanye masih berlangsung, meskipun banyak URL yang diidentifikasi telah offline.

Sumber: Bleeping Computer

Malware SVCReady baru dimuat dari properti dokumen Word

June 8, 2022 by Mally

Pemuat malware yang sebelumnya tidak dikenal bernama SVCReady telah ditemukan dalam serangan phishing, menampilkan cara yang tidak biasa untuk memuat malware dari dokumen Word ke mesin yang disusupi.

Lebih khusus lagi, ia menggunakan kode makro VBA untuk mengeksekusi shellcode yang disimpan di properti dokumen yang tiba di target sebagai lampiran email.

Menurut laporan baru oleh HP, malware tersebut telah digunakan sejak April 2022, dengan pengembang merilis beberapa pembaruan pada Mei 2022. Ini menunjukkan bahwa malware tersebut saat ini sedang dalam pengembangan berat, kemungkinan masih dalam tahap awal.

Namun, itu sudah mendukung eksfiltrasi informasi, ketekunan, fitur anti-analisis, dan komunikasi C2 terenkripsi.

Rantai infeksi dimulai dengan email phishing yang membawa lampiran .doc berbahaya.

Namun, bertentangan dengan praktik standar menggunakan PowerShell atau MSHTA melalui makro berbahaya untuk mengunduh muatan dari lokasi yang jauh, kampanye ini menggunakan VBA untuk menjalankan shellcode yang bersembunyi di properti file.

Seperti yang ditunjukkan di bawah ini, shellcode ini disimpan di properti dokumen Word, yang diekstraksi dan dieksekusi oleh makro.

Shellcode disembunyikan di properti dokumen (HP)

Dengan memisahkan makro dari kode shell berbahaya, pelaku ancaman berusaha untuk melewati perangkat lunak keamanan yang biasanya dapat mendeteksinya.

Kode shell yang sesuai dimuat memori tino dari mana ia akan menggunakan fungsi Windows API “Virtual Protect” untuk memperoleh hak akses yang dapat dieksekusi.

Selanjutnya, SetTimer API meneruskan alamat shellcode dan mengeksekusinya. Tindakan ini menghasilkan DLL (payload malware) jatuh ke direktori %TEMP%.

Salinan “rundll32.exe”, biner Windows yang sah, juga ditempatkan di direktori yang sama dengan nama yang berbeda dan akhirnya disalahgunakan untuk menjalankan SVCReady.

Malware SVCReady dimulai dengan membuat profil sistem melalui kueri Registry dan panggilan Windows API dan mengirimkan semua informasi yang dikumpulkan ke server C2 melalui permintaan HTTP POST.

Komunikasi dengan C2 dienkripsi menggunakan kunci RC4. Analis HP berkomentar bahwa fungsi ini ditambahkan pada bulan Mei selama salah satu pembaruan malware.

Malware ini juga membuat dua kueri WMI pada host untuk mencari tahu apakah itu berjalan di lingkungan virtual dan memasuki mode tidur selama 30 menit jika melakukannya untuk menghindari analisis.

Malware memasuki mode tidur untuk menggagalkan analisis (HP)

Mekanisme persistensi saat ini bergantung pada pembuatan tugas terjadwal dan kunci registri baru, tetapi karena kesalahan dalam penerapannya, malware tidak akan diluncurkan setelah reboot.

Tugas terjadwal yang dibuat oleh SVCready (HP)

Fase pengumpulan informasi kedua dimulai setelah semua itu, dan itu melibatkan tangkapan layar, mengekstraksi “osinfo”, dan mengirimkan semuanya ke C2.

Mekanisme pengambilan tangkapan layar (HP) malware

SVCReady terhubung ke C2 setiap lima menit untuk melaporkan statusnya, menerima tugas baru, mengirim informasi yang dicuri, atau memvalidasi domain.

Fungsi-fungsi yang didukung oleh SVCReady saat ini adalah sebagai berikut:

Unduh file ke klien yang terinfeksi
Ambil tangkapan layar
Jalankan perintah shell

Selengkapnya

Laporan HP melihat tautan ke kampanye TA551 (Shatak) sebelumnya seperti gambar memikat yang digunakan dalam dokumen berbahaya, URL sumber daya yang digunakan untuk mengambil muatan, dll. Sebelumnya, geng phishing menggunakan domain ini untuk menampung muatan Ursnif dan IcedID.

TA551 telah ditautkan ke berbagai operator malware dan bahkan afiliasi ransomware, sehingga hubungan dengan SVCReady saat ini tidak jelas dan dapat berupa kemitraan distribusi.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Phishing

Cookies Settings