• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for Phishing

Phishing

$540 Juta Crypto Gaming Hack Dimungkinkan Dengan Skema Phishing yang Rumit

July 8, 2022 by Eevee

Klon Pokémon NFT, Axie Infinity, berubah dari terkenal karena pemain yang mengambil untung dari penipuan game “play-to-earn” menjadi terkenal karena diretas dari $ 540 juta dalam cryptocurrency.

Bagi mereka yang tidak terbiasa dengan grift Axie, pengembang Sky Mavis mengembangkan sidechain terkait Ethereum yang disebut Ronin Network dan mencangkok pada game tentang bertarung dan membiakkan monster lucu yang disebut Axie Infinity.

Di game tersebut pemain diundang untuk mendapatkan cryptocurrency berbasis Ethereum, awalnya game tersebut menghasilkan keuntungan besar karena pemain baru mencurahkan waktu dan uang mereka ke dalam platform. Namun pada awal tahun ini, perusahaan itu menghadapi segala macam hambatan, mulai dari pertumbuhan yang stagnan hingga inflasi mata uang dan, yang paling penting, salah satu peretasan crypto terbesar sepanjang masa.

Pengembang Sky Mavis mengungkapkan kembali pada bulan April bahwa pelanggaran keamanan dimungkinkan oleh seorang karyawan yang “dikompromikan” oleh “serangan spear-phishing tingkat lanjut.” “Penyerang berhasil memanfaatkan akses itu untuk menembus infrastruktur TI Sky Mavis dan mendapatkan akses ke node validator,” tulis perusahaan saat itu.

The Block sekarang melaporkan, berdasarkan dua sumber yang mengetahui langsung insiden tersebut, bahwa karyawan tersebut adalah seorang insinyur senior di Axie Infinity dan cara untuk menyusup ke komputer mereka adalah tawaran pekerjaan yang terlalu bagus untuk menjadi kenyataan.

Menurut The Block, penipu yang mewakili perusahaan palsu mendekati insinyur melalui LinkedIn, mendorong mereka untuk melamar pekerjaan, mengadakan beberapa putaran wawancara, dan akhirnya membuat tawaran pekerjaan yang mencakup “paket kompensasi yang sangat murah hati.” Namun tawaran itu tertuang dalam file PDF.

Setelah Mark mengunduhnya, spyware dilaporkan dapat menyusup ke sistem Jaringan Ronin dan memberi peretas akses ke empat dari lima node (dari total sembilan) yang mereka butuhkan untuk diuangkan. Akses ke yang kelima diperoleh melalui sesuatu yang disebut Axie DAO—organisasi terpisah yang diminta oleh Sky Mavis untuk membantu masuknya transaksi selama puncak popularitas Axie Infinity. Sky Mavis gagal menghapus akses DAO dari sistemnya setelah bantuannya tidak lagi diperlukan.

Salah satu daya tarik teknologi blockchain yang banyak digembar-gemborkan adalah kemampuannya untuk membuat basis data publik dan dapat diakses oleh semua orang sambil tetap menjaganya tetap aman. Tetapi setiap pintu yang terkunci, tidak peduli seberapa kuatnya, hanya akan seaman orang yang memegang kuncinya.

Di sini, dengan Axie Infinity, kerentanan karyawan Sky Mavis diperparah oleh pintasan ceroboh yang diperlukan untuk tetap berada di puncak pertumbuhan meteorik game musim gugur lalu. (Sky Mavis telah meningkatkan total node validatornya menjadi 11, dengan rencana jangka panjang untuk memiliki lebih dari 100.)

Tentu saja, sementara itu perusahaan masih perlu membayar kembali semua orang yang kehilangan uang dalam peretasan. Pada bulan April, ia mengumpulkan $150 juta lagi, sebagian dalam upaya untuk membuat playerbase yang ada menjadi utuh kembali.

Pada bulan yang sama, FBI mengidentifikasi peretas Korea Utara “Lazarus Group” sebagai pelaku di balik serangan Axie Infinity. Badan penegak hukum federal juga baru-baru ini memperingatkan perusahaan agar tidak secara tidak sengaja mempekerjakan peretas Korea Utara sebagai spesialis TI jarak jauh.

Sumber: Kotaku

Tagged With: Crypto Gaming, Klon Pokémon NFT, Korea Utara, Lazarus Group, Phishing, play-to-earn, Sky Mavis, Spyware

OpenSea mengungkapkan pelanggaran data, memperingatkan pengguna akan serangan phishing

July 4, 2022 by Eevee

OpenSea, pasar non-fungible token (NFT) terbesar, mengungkapkan pelanggaran data pada hari Rabu dan memperingatkan pengguna tentang serangan phishing yang dapat menargetkan mereka dalam beberapa hari mendatang.

Pasar NFT online mengatakan memiliki lebih dari 600.000 pengguna dan volume transaksi yang melampaui $20 miliar.

Kepala Keamanan perusahaan, Cory Hardman, mengatakan bahwa seorang karyawan Customer.io, vendor pengiriman email platform, mengunduh alamat email milik pengguna OpenSea dan pelanggan buletin.

Karena alamat email yang dicuri dalam insiden tersebut juga dibagikan dengan pihak eksternal yang tidak berwenang, Hardman mendesak pengguna yang berpotensi terpengaruh untuk waspada terhadap upaya phishing yang meniru OpenSea.

“Jika Anda pernah membagikan email Anda dengan OpenSea di masa lalu, Anda harus berasumsi bahwa Anda terkena dampaknya. Kami sedang bekerja dengan Customer.io dalam penyelidikan mereka yang sedang berlangsung, dan kami telah melaporkan kejadian ini ke penegak hukum,” kata Hardman.

Pemberitahuan pelanggaran data OpenSea (Yocantseeme)

Pengguna juga diminta untuk mencari email yang dikirim dari domain yang dapat digunakan oleh pelaku jahat untuk menipu domain email resmi OpenSea, opensea.io.

Contoh domain yang dapat digunakan dalam serangan phishing yang menargetkan pengguna OpenSea termasuk opensea.org, opensea.xyz, dan opeansae.io.

Hardman juga membagikan serangkaian rekomendasi keamanan yang akan membantu mempertahankan diri dari upaya phishing yang menyarankan mereka untuk curiga terhadap email apa pun yang mencoba meniru OpenSea, tidak mengunduh dan membuka lampiran email, dan untuk memeriksa URL halaman yang ditautkan dalam email OpenSea.

Pengguna juga diimbau untuk tidak pernah membagikan atau mengonfirmasi kata sandi atau frasa dompet rahasia mereka dan tidak pernah menandatangani transaksi dompet jika diminta langsung melalui email.

Di masa lalu, pengguna OpenSea telah ditargetkan oleh aktor ancaman yang menyamar sebagai staf pendukung palsu dan oleh serangan phishing yang menyebabkan lebih dari selusin pengguna tanpa ratusan NFT senilai sekitar $2 juta.

Pada bulan September, OpenSea juga menutup bug yang dapat membuat penyerang mengosongkan dompet cryptocurrency pemilik akun OpenSea dengan memikat mereka untuk mengklik seni NFT yang berbahaya.

Sumber: Bleeping Computer

Tagged With: NFT, OpenSea, Pelanggaran data, peringatkan, Phishing

Malware BRATA yang menghapus Android berkembang menjadi ancaman yang terus-menerus

June 21, 2022 by Eevee

Pelaku ancaman di balik trojan perbankan BRATA telah mengembangkan taktik mereka dan meningkatkan malware dengan kemampuan mencuri informasi.

Perusahaan keamanan seluler Italia Cleafy telah melacak aktivitas BRATA dan memperhatikan perubahan kampanye terbaru yang menyebabkan persistensi lebih lama pada perangkat.

Malware itu sendiri juga telah diperbarui dengan teknik phishing baru, kelas baru untuk meminta izin tambahan pada perangkat, dan sekarang juga menjatuhkan payload tahap kedua dari server command and control (C2).

Malware BRATA juga lebih bertarget, karena para peneliti menemukan bahwa malware itu berfokus pada satu lembaga keuangan pada satu waktu dan hanya berporos ke lembaga lain ketika serangan mereka dianggap tidak efisien oleh tindakan pencegahan.

Misalnya, BRATA kini telah dimuat sebelumnya dengan overlay phishing tunggal alih-alih memperoleh daftar aplikasi yang diinstal dan mengambil suntikan yang tepat dari C2.

Hamparan yang digunakan dalam kampanye baru-baru ini (Cleafy)

Dalam versi yang lebih baru, BRATA menambahkan lebih banyak izin yang memungkinkannya mengirim dan menerima SMS, yang dapat membantu penyerang mencuri kode sementara seperti kata sandi satu kali (OTP) dan otentikasi dua faktor (2FA) yang dikirimkan bank kepada pelanggan mereka.

Setelah bersarang ke perangkat, BRATA mengambil arsip ZIP dari server C2 yang berisi paket JAR (“unrar.jar”).

Utilitas keylogging ini memantau peristiwa yang dihasilkan aplikasi dan menyimpannya secara lokal di perangkat dengan data teks dan stempel waktu yang cocok.

Modul keylogging baru di BRATA (Cleafy)

Analis Cleafy melihat tanda-tanda bahwa alat ini masih dalam pengembangan awal dan para peneliti berpikir bahwa tujuan akhir penulis adalah menyalahgunakan Layanan Aksesibilitas untuk mendapatkan data dari aplikasi lain.

BRATA dimulai sebagai trojan perbankan di Brasil pada tahun 2019, mampu melakukan tangkapan layar, menginstal aplikasi baru, dan mematikan layar untuk membuat perangkat tampak mati.

Pada Juni 2021, BRATA muncul pertama kali di Eropa, menggunakan aplikasi anti-spam palsu sebagai iming-iming dan mempekerjakan agen pendukung palsu yang menipu korban dan menipu mereka agar memberi mereka kendali penuh atas perangkat mereka.

Pada Januari 2022, versi baru BRATA muncul di alam liar, menggunakan pelacakan GPS, beberapa saluran komunikasi C2, dan versi yang disesuaikan untuk pelanggan perbankan di berbagai negara. Versi itu juga menampilkan perintah reset pabrik yang menghapus perangkat setelah semua data dicuri.

Sekarang, selain versi BRATA baru dan perubahan taktik, Cleafy juga menemukan proyek baru: aplikasi pencuri SMS yang berkomunikasi dengan infrastruktur C2 yang sama.

Perbandingan berdampingan BRATA dan pencuri SMS (Cleafy)

Ini menggunakan kerangka kerja yang sama dengan BRATA dan nama kelas yang sama, tetapi tampaknya hanya berfokus pada menyedot pesan teks pendek. Saat ini, pihaknya menargetkan Inggris, Italia, dan Spanyol.

Layar pemilihan bahasa pada aplikasi SMS stealer (Cleafy)

Untuk mencegat SMS yang masuk, aplikasi meminta pengguna untuk mengaturnya sebagai aplikasi perpesanan default sambil juga meminta izin untuk mengakses kontak di perangkat.

Pencuri SMS meminta selama instalasi (Cleafy)

Untuk saat ini, tidak jelas apakah ini hanya percobaan dari upaya tim BRATA untuk membuat aplikasi sederhana yang ditujukan untuk peran tertentu.

Sumber: Bleeping Computer

Tagged With: C2, Malware BRATA, Phishing

Operasi phishing Facebook Messenger besar-besaran menghasilkan jutaan

June 9, 2022 by Eevee

Para peneliti telah menemukan operasi phishing skala besar yang menyalahgunakan Facebook dan Messenger untuk memikat jutaan pengguna ke halaman phishing, menipu mereka agar memasukkan kredensial akun mereka dan melihat iklan.

Operator kampanye menggunakan akun curian ini untuk mengirim pesan phishing lebih lanjut ke teman-teman mereka, menghasilkan pendapatan yang signifikan melalui komisi iklan online.

Menurut PIXM, sebuah perusahaan keamanan siber yang berfokus pada AI yang berbasis di New York, kampanye tersebut mencapai puncaknya pada April-Mei 2022 tetapi telah aktif setidaknya sejak September 2021.

PIXM dapat melacak pelaku ancaman dan memetakan kampanye karena salah satu halaman phishing yang teridentifikasi menghosting tautan ke aplikasi pemantauan lalu lintas (whos.amung.us) yang dapat diakses publik tanpa autentikasi.

Meskipun tidak diketahui bagaimana kampanye awalnya dimulai, PIXM menyatakan bahwa korban tiba di halaman arahan phishing dari serangkaian pengalihan yang berasal dari Facebook Messenger.

Karena semakin banyak akun Facebook yang dicuri, pelaku ancaman menggunakan alat otomatis untuk mengirim tautan phishing lebih lanjut ke teman akun yang disusupi, menciptakan pertumbuhan besar-besaran dalam akun yang dicuri.

Sementara Facebook memiliki langkah-langkah perlindungan untuk menghentikan penyebaran URL phishing, pelaku ancaman menggunakan trik untuk melewati perlindungan ini.

Pesan phishing menggunakan layanan pembuatan URL yang sah seperti litch.me, famous.co, amaze.co, dan funnel-preview.com, yang akan menjadi masalah untuk diblokir karena aplikasi yang sah menggunakannya.

Beberapa URL yang digunakan dalam kampanye phishing (PIXM)

Setelah menemukan bahwa mereka dapat memperoleh akses yang tidak diautentikasi ke halaman statistik kampanye phishing, para peneliti menemukan bahwa pada tahun 2021, 2,7 juta pengguna telah mengunjungi salah satu portal phishing. Angka ini naik menjadi 8,5 juta pada tahun 2022, mencerminkan pertumbuhan besar-besaran dari kampanye.

Dengan menyelam lebih dalam, para peneliti mengidentifikasi 405 nama pengguna unik yang digunakan sebagai pengidentifikasi kampanye, masing-masing memiliki halaman phishing Facebook yang terpisah. Halaman phishing ini memiliki tampilan halaman mulai dari hanya 4.000 tampilan hingga jutaan, dengan satu tampilan halaman mencapai 6 juta.

Contoh pengguna diseminasi yang teridentifikasi (PIXM)

Para peneliti percaya bahwa 405 nama pengguna ini hanya mewakili sebagian kecil dari akun yang digunakan untuk kampanye.

Setelah korban memasukkan kredensial mereka di halaman arahan phishing, babak baru pengalihan dimulai, membawa mereka ke halaman iklan, formulir survei, dll.

Salah satu iklan ditampilkan kepada pengguna phishing (PIXM)

Pelaku ancaman menerima pendapatan rujukan dari pengalihan ini, yang diperkirakan mencapai jutaan USD pada skala operasi ini.

PIXM menemukan potongan kode umum di semua halaman arahan, yang berisi referensi ke situs web yang telah disita dan merupakan bagian dari penyelidikan terhadap seorang pria Kolombia yang diidentifikasi sebagai Rafael Dorado.

Situs web milik operator kampanye

Pencarian whois terbalik mengungkapkan tautan ke perusahaan pengembangan web yang sah di Kolombia dan situs lama yang menawarkan Facebook “seperti bot” dan layanan peretasan.

PIXM membagikan hasil penyelidikannya kepada Polisi Kolombia dan Interpol, tetapi seperti yang mereka ketahui, kampanye masih berlangsung, meskipun banyak URL yang diidentifikasi telah offline.

Sumber: Bleeping Computer

Tagged With: Facebook Messenger, Phishing

Malware SVCReady baru dimuat dari properti dokumen Word

June 8, 2022 by Eevee

Pemuat malware yang sebelumnya tidak dikenal bernama SVCReady telah ditemukan dalam serangan phishing, menampilkan cara yang tidak biasa untuk memuat malware dari dokumen Word ke mesin yang disusupi.

Lebih khusus lagi, ia menggunakan kode makro VBA untuk mengeksekusi shellcode yang disimpan di properti dokumen yang tiba di target sebagai lampiran email.

Menurut laporan baru oleh HP, malware tersebut telah digunakan sejak April 2022, dengan pengembang merilis beberapa pembaruan pada Mei 2022. Ini menunjukkan bahwa malware tersebut saat ini sedang dalam pengembangan berat, kemungkinan masih dalam tahap awal.

Namun, itu sudah mendukung eksfiltrasi informasi, ketekunan, fitur anti-analisis, dan komunikasi C2 terenkripsi.

Rantai infeksi dimulai dengan email phishing yang membawa lampiran .doc berbahaya.

Namun, bertentangan dengan praktik standar menggunakan PowerShell atau MSHTA melalui makro berbahaya untuk mengunduh muatan dari lokasi yang jauh, kampanye ini menggunakan VBA untuk menjalankan shellcode yang bersembunyi di properti file.

Seperti yang ditunjukkan di bawah ini, shellcode ini disimpan di properti dokumen Word, yang diekstraksi dan dieksekusi oleh makro.

Shellcode disembunyikan di properti dokumen (HP)

Dengan memisahkan makro dari kode shell berbahaya, pelaku ancaman berusaha untuk melewati perangkat lunak keamanan yang biasanya dapat mendeteksinya.

Kode shell yang sesuai dimuat memori tino dari mana ia akan menggunakan fungsi Windows API “Virtual Protect” untuk memperoleh hak akses yang dapat dieksekusi.

Selanjutnya, SetTimer API meneruskan alamat shellcode dan mengeksekusinya. Tindakan ini menghasilkan DLL (payload malware) jatuh ke direktori %TEMP%.

Salinan “rundll32.exe”, biner Windows yang sah, juga ditempatkan di direktori yang sama dengan nama yang berbeda dan akhirnya disalahgunakan untuk menjalankan SVCReady.

Malware SVCReady dimulai dengan membuat profil sistem melalui kueri Registry dan panggilan Windows API dan mengirimkan semua informasi yang dikumpulkan ke server C2 melalui permintaan HTTP POST.

Komunikasi dengan C2 dienkripsi menggunakan kunci RC4. Analis HP berkomentar bahwa fungsi ini ditambahkan pada bulan Mei selama salah satu pembaruan malware.

Malware ini juga membuat dua kueri WMI pada host untuk mencari tahu apakah itu berjalan di lingkungan virtual dan memasuki mode tidur selama 30 menit jika melakukannya untuk menghindari analisis.

Malware memasuki mode tidur untuk menggagalkan analisis (HP)

Mekanisme persistensi saat ini bergantung pada pembuatan tugas terjadwal dan kunci registri baru, tetapi karena kesalahan dalam penerapannya, malware tidak akan diluncurkan setelah reboot.

Tugas terjadwal yang dibuat oleh SVCready (HP)

Fase pengumpulan informasi kedua dimulai setelah semua itu, dan itu melibatkan tangkapan layar, mengekstraksi “osinfo”, dan mengirimkan semuanya ke C2.

Mekanisme pengambilan tangkapan layar (HP) malware

SVCReady terhubung ke C2 setiap lima menit untuk melaporkan statusnya, menerima tugas baru, mengirim informasi yang dicuri, atau memvalidasi domain.

Fungsi-fungsi yang didukung oleh SVCReady saat ini adalah sebagai berikut:

  • Unduh file ke klien yang terinfeksi
  • Ambil tangkapan layar
  • Jalankan perintah shell

Selengkapnya

Laporan HP melihat tautan ke kampanye TA551 (Shatak) sebelumnya seperti gambar memikat yang digunakan dalam dokumen berbahaya, URL sumber daya yang digunakan untuk mengambil muatan, dll. Sebelumnya, geng phishing menggunakan domain ini untuk menampung muatan Ursnif dan IcedID.

TA551 telah ditautkan ke berbagai operator malware dan bahkan afiliasi ransomware, sehingga hubungan dengan SVCReady saat ini tidak jelas dan dapat berupa kemitraan distribusi.

Sumber: Bleeping Computer

Tagged With: HP, Malware, Microsoft Word, Phishing, rundll32.exe, SVCReady, TA551, VBA

Malware Qbot sekarang menggunakan Windows MSDT zero-day dalam serangan phishing

June 8, 2022 by Eevee

Kerentanan kritis Windows zero-day, yang dikenal sebagai Follina dan masih menunggu perbaikan resmi dari Microsoft, sekarang sedang dieksploitasi secara aktif dalam serangan phishing yang sedang berlangsung untuk menginfeksi penerima dengan malware Qbot.

Proofpoint pertama kali melaporkan Senin bahwa zero-day yang sama digunakan dalam phishing yang menargetkan lembaga pemerintah AS dan UE.

Pekan lalu, perusahaan keamanan perusahaan juga mengungkapkan bahwa kelompok peretas TA413 China mengeksploitasi bug tersebut dalam serangan yang menargetkan diaspora Tibet.

Seperti yang dibagikan peneliti keamanan Proofpoint hari ini, afiliasi Qbot TA570 sekarang telah mulai menggunakan dokumen Microsoft Office .docx yang berbahaya untuk menyalahgunakan kelemahan keamanan Follina CVE-2022-30190 dan menginfeksi penerima dengan Qbot.

Penyerang menggunakan pesan utas email yang dibajak dengan lampiran HTML yang akan mengunduh arsip ZIP yang berisi file IMG. Di dalam IMG, target akan menemukan file DLL, Word, dan shortcut.

Sementara file pintasan secara langsung memuat file Qbot DLL yang sudah ada di gambar disk IMG, dokumen .docx kosong akan menjangkau server eksternal untuk memuat file HTML yang mengeksploitasi kelemahan Follina untuk menjalankan kode PowerShell yang mengunduh dan menjalankan kode berbeda Qbot DLL muatan.

Muatan phishing Qbot (BleepingComputer)

Kumpulan indikator kompromi yang terkait dengan kampanye ini oleh analis malware ExecuteMalware dapat ditemukan di sini.

Taktik yang digunakan dalam kampanye phishing ini cocok dengan laporan sebelumnya yang menjelaskan bagaimana TA570 sebelumnya menggunakan pembajakan utas email untuk mendorong lampiran berbahaya.

Keputusan TA570 untuk menggunakan dua metode berbeda untuk menginfeksi calon korban mengisyaratkan pelaku ancaman kejahatan dunia maya yang kemungkinan menjalankan kampanye pengujian A/B untuk menilai taktik mana yang akan memberi mereka hasil terbaik untuk “upaya” mereka.

Ini adalah salah satu dari beberapa kali afiliasi Qbot mencoba mengubah metode serangan mereka tahun ini, pertama kali beralih ke trik lama yang dikenal sebagai Squiblydoo pada bulan Februari untuk menyebarkan malware melalui dokumen Microsoft Office menggunakan regsvr32.exe.

Pada bulan April, setelah Microsoft mulai meluncurkan fitur pemblokiran otomatis makro VBA ke pengguna Office untuk Windows, pelaku ancaman berhenti menggunakan dokumen Microsoft Office dengan makro berbahaya dan beralih ke lampiran arsip ZIP yang dilindungi kata sandi dengan paket Penginstal Windows MSI yang berbahaya.

Qbot (alias Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows modular dengan kemampuan worming untuk menginfeksi lebih banyak perangkat di jaringan yang disusupi melalui eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif terhadap akun admin Active Directory.

Laporan DFIR baru-baru ini menjelaskan serangan kecepatan ringan Qbot di mana malware mampu mencuri data pengguna yang sensitif (termasuk kredensial Windows dan email) dalam waktu sekitar 30 menit setelah infeksi awal.

Sumber: Bleeping Computer

Tagged With: Malware Qbot, Phishing, Windows MSDT, Zero Day

Windows Zero-day Dieksploitasi Dalam Serangan Phishing Yang Menargetkan Pemerintah Lokal AS & Eropa

June 7, 2022 by Winnie the Pooh

Pemerintah Eropa dan pemerintah lokal AS menjadi target kampanye phishing menggunakan dokumen Rich Text Format (RTF) berbahaya yang dirancang untuk mengeksploitasi kerentanan kritis Windows zero-day yang dikenal sebagai Follina.

BleepingComputer mengetahui pemerintah lokal di setidaknya dua negara bagian AS yang menjadi sasaran kampanye phishing ini.

Penyerang menggunakan janji kenaikan gaji untuk memancing karyawan membuka dokumen berbahaya, yang akan menjalankan skrip Powershell sebagai muatan terakhir.

Seperti yang ditemukan BleepingComputer saat memeriksa muatan PowerShell terakhir dari serangan ini, pelaku ancaman mengumpulkan sejumlah besar info yang mengungkapkan sifat dari serangan pengintaian karena data yang dikumpulkan dapat digunakan untuk akses awal:

  • Kata sandi browser: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc, dan AVAST Browser.
  • Data dari aplikasi lain: Mozilla Thunderbird, file session Netsarang, kontak Windows Live Mail, kata sandi Filezilla, file konfigurasi ToDesk, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat
  • Informasi Windows: Informasi komputer, daftar nama pengguna, informasi domain Windows

CVE-2022-30190 masih belum ditambal dan memengaruhi semua versi Windows yang masih menerima pembaruan keamanan (mis., Windows 7+ dan Server 2008+).

Hingga Microsoft merilis pembaruan keamanan resmi, Anda dapat menambal sistem Anda terhadap serangan yang sedang berlangsung ini menggunakan tambalan tidak resmi yang dirilis oleh layanan micropatch 0patch.

Selengkapnya: Bleeping Computer

Tagged With: Cybersecurity, Follina, Keamanan Siber, Phishing, Windows, Zero Day

Phishing menghindar menggabungkan terowongan terbalik dan layanan pemendekan URL

June 6, 2022 by Eevee

Peneliti keamanan melihat peningkatan dalam penggunaan layanan terowongan terbalik bersama dengan penyingkat URL untuk kampanye phishing skala besar, membuat aktivitas jahat lebih sulit dihentikan.

Praktik ini menyimpang dari metode yang lebih umum untuk mendaftarkan domain dengan penyedia hosting, yang cenderung menanggapi keluhan dan menghapus situs phishing.

Dengan terowongan terbalik, pelaku ancaman dapat meng-host halaman phishing secara lokal di komputer mereka sendiri dan merutekan koneksi melalui layanan eksternal. Menggunakan layanan pemendekan URL, mereka dapat membuat tautan baru sesering yang mereka inginkan untuk melewati deteksi.

Banyak tautan phishing diperbarui dalam waktu kurang dari 24 jam, membuat pelacakan dan penghapusan domain menjadi tugas yang lebih menantang.

Perusahaan perlindungan risiko digital CloudSEK mengamati peningkatan jumlah kampanye phishing yang menggabungkan layanan untuk tunneling terbalik dan pemendekan URL.

Dalam sebuah laporan yang dibagikan, para peneliti mengatakan mereka menemukan lebih dari 500 situs yang dihosting dan didistribusikan dengan cara ini.

Layanan terowongan terbalik yang paling banyak disalahgunakan yang ditemukan CloudSEK dalam penelitian mereka adalah Ngrok, LocalhostRun, dan Argo Cloudflare. Mereka juga melihat Bit.ly, is.gd, dan layanan pemendekan URL cutt.ly menjadi lebih umum.

Layanan terowongan terbalik melindungi situs phishing dengan menangani semua koneksi ke server lokal yang dihostingnya. Dengan cara ini, setiap koneksi yang masuk diselesaikan oleh layanan tunnel dan diteruskan ke mesin lokal.

Modus operandi pelaku phising (CloudSEK)

Korban yang berinteraksi dengan situs phishing ini berakhir dengan data sensitif mereka disimpan langsung di komputer penyerang.

Dengan menggunakan penyingkat URL, aktor ancaman menutupi nama URL, yang biasanya berupa string karakter acak, kata CloudSEK. Dengan demikian, nama domain yang akan menimbulkan kecurigaan disembunyikan di URL pendek.

Menurut CloudSEK, musuh mendistribusikan tautan ini melalui saluran komunikasi populer seperti WhatsApp, Telegram, email, teks, atau halaman media sosial palsu.

Salah satu contoh kampanye phishing yang menyalahgunakan layanan ini yang dideteksi CloudSEK adalah meniru YONO, platform perbankan digital yang ditawarkan oleh State Bank of India.

Situs phishing YONO yang dihosting secara lokal (CloudSEK)

URL yang ditentukan oleh penyerang disembunyikan di balik “cutt[.]ly/UdbpGhs” dan mengarah ke domain “ultimate-boy-bacterial-generates[.]trycloudflare[.]com/sbi” yang menggunakan layanan tunneling Argo Cloudflare.

Halaman phishing ini meminta kredensial rekening bank, nomor kartu PAN, nomor identifikasi unik Aadhaar, dan nomor ponsel.

CloudSEK tidak menjelaskan seberapa efektif kampanye ini tetapi menyoroti bahwa pelaku ancaman jarang menggunakan nama domain yang sama selama lebih dari 24 jam, meskipun mereka mendaur ulang template halaman phishing.

Informasi sensitif yang dikumpulkan dengan cara ini dapat dijual di web gelap atau digunakan oleh penyerang untuk mengosongkan rekening bank. Jika data berasal dari perusahaan, pelaku ancaman dapat menggunakannya untuk meluncurkan serangan ransomware, atau penipuan kompromi email bisnis (BEC).

Untuk melindungi dari jenis ancaman ini, pengguna harus menghindari mengklik tautan yang diterima dari sumber yang tidak dikenal atau mencurigakan. Mengetik nama domain bank di browser secara manual adalah metode yang baik untuk mencegah terkena situs palsu.

Sumber: Bleeping Computer

Tagged With: Argo, Cloudflare, India, LocalhostRun, Ngrok, Phishing, URL, YONO

  • « Go to Previous Page
  • Page 1
  • Interim pages omitted …
  • Page 3
  • Page 4
  • Page 5
  • Page 6
  • Page 7
  • Interim pages omitted …
  • Page 21
  • Go to Next Page »

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo