Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Phishing

Phishing

Malware Qbot sekarang menggunakan Windows MSDT zero-day dalam serangan phishing

by

Kerentanan kritis Windows zero-day, yang dikenal sebagai Follina dan masih menunggu perbaikan resmi dari Microsoft, sekarang sedang dieksploitasi secara aktif dalam serangan phishing yang sedang berlangsung untuk menginfeksi penerima dengan malware Qbot.

Proofpoint pertama kali melaporkan Senin bahwa zero-day yang sama digunakan dalam phishing yang menargetkan lembaga pemerintah AS dan UE.

Pekan lalu, perusahaan keamanan perusahaan juga mengungkapkan bahwa kelompok peretas TA413 China mengeksploitasi bug tersebut dalam serangan yang menargetkan diaspora Tibet.

Seperti yang dibagikan peneliti keamanan Proofpoint hari ini, afiliasi Qbot TA570 sekarang telah mulai menggunakan dokumen Microsoft Office .docx yang berbahaya untuk menyalahgunakan kelemahan keamanan Follina CVE-2022-30190 dan menginfeksi penerima dengan Qbot.

Penyerang menggunakan pesan utas email yang dibajak dengan lampiran HTML yang akan mengunduh arsip ZIP yang berisi file IMG. Di dalam IMG, target akan menemukan file DLL, Word, dan shortcut.

Sementara file pintasan secara langsung memuat file Qbot DLL yang sudah ada di gambar disk IMG, dokumen .docx kosong akan menjangkau server eksternal untuk memuat file HTML yang mengeksploitasi kelemahan Follina untuk menjalankan kode PowerShell yang mengunduh dan menjalankan kode berbeda Qbot DLL muatan.

Muatan phishing Qbot (BleepingComputer)

Kumpulan indikator kompromi yang terkait dengan kampanye ini oleh analis malware ExecuteMalware dapat ditemukan di sini.

Taktik yang digunakan dalam kampanye phishing ini cocok dengan laporan sebelumnya yang menjelaskan bagaimana TA570 sebelumnya menggunakan pembajakan utas email untuk mendorong lampiran berbahaya.

Keputusan TA570 untuk menggunakan dua metode berbeda untuk menginfeksi calon korban mengisyaratkan pelaku ancaman kejahatan dunia maya yang kemungkinan menjalankan kampanye pengujian A/B untuk menilai taktik mana yang akan memberi mereka hasil terbaik untuk “upaya” mereka.

Ini adalah salah satu dari beberapa kali afiliasi Qbot mencoba mengubah metode serangan mereka tahun ini, pertama kali beralih ke trik lama yang dikenal sebagai Squiblydoo pada bulan Februari untuk menyebarkan malware melalui dokumen Microsoft Office menggunakan regsvr32.exe.

Pada bulan April, setelah Microsoft mulai meluncurkan fitur pemblokiran otomatis makro VBA ke pengguna Office untuk Windows, pelaku ancaman berhenti menggunakan dokumen Microsoft Office dengan makro berbahaya dan beralih ke lampiran arsip ZIP yang dilindungi kata sandi dengan paket Penginstal Windows MSI yang berbahaya.

Qbot (alias Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows modular dengan kemampuan worming untuk menginfeksi lebih banyak perangkat di jaringan yang disusupi melalui eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif terhadap akun admin Active Directory.

Laporan DFIR baru-baru ini menjelaskan serangan kecepatan ringan Qbot di mana malware mampu mencuri data pengguna yang sensitif (termasuk kredensial Windows dan email) dalam waktu sekitar 30 menit setelah infeksi awal.

Sumber: Bleeping Computer

Windows Zero-day Dieksploitasi Dalam Serangan Phishing Yang Menargetkan Pemerintah Lokal AS & Eropa

by

Pemerintah Eropa dan pemerintah lokal AS menjadi target kampanye phishing menggunakan dokumen Rich Text Format (RTF) berbahaya yang dirancang untuk mengeksploitasi kerentanan kritis Windows zero-day yang dikenal sebagai Follina.

BleepingComputer mengetahui pemerintah lokal di setidaknya dua negara bagian AS yang menjadi sasaran kampanye phishing ini.

Penyerang menggunakan janji kenaikan gaji untuk memancing karyawan membuka dokumen berbahaya, yang akan menjalankan skrip Powershell sebagai muatan terakhir.

Seperti yang ditemukan BleepingComputer saat memeriksa muatan PowerShell terakhir dari serangan ini, pelaku ancaman mengumpulkan sejumlah besar info yang mengungkapkan sifat dari serangan pengintaian karena data yang dikumpulkan dapat digunakan untuk akses awal:

  • Kata sandi browser: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc, dan AVAST Browser.
  • Data dari aplikasi lain: Mozilla Thunderbird, file session Netsarang, kontak Windows Live Mail, kata sandi Filezilla, file konfigurasi ToDesk, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat
  • Informasi Windows: Informasi komputer, daftar nama pengguna, informasi domain Windows

CVE-2022-30190 masih belum ditambal dan memengaruhi semua versi Windows yang masih menerima pembaruan keamanan (mis., Windows 7+ dan Server 2008+).

Hingga Microsoft merilis pembaruan keamanan resmi, Anda dapat menambal sistem Anda terhadap serangan yang sedang berlangsung ini menggunakan tambalan tidak resmi yang dirilis oleh layanan micropatch 0patch.

Selengkapnya: Bleeping Computer

Phishing menghindar menggabungkan terowongan terbalik dan layanan pemendekan URL

by

Peneliti keamanan melihat peningkatan dalam penggunaan layanan terowongan terbalik bersama dengan penyingkat URL untuk kampanye phishing skala besar, membuat aktivitas jahat lebih sulit dihentikan.

Praktik ini menyimpang dari metode yang lebih umum untuk mendaftarkan domain dengan penyedia hosting, yang cenderung menanggapi keluhan dan menghapus situs phishing.

Dengan terowongan terbalik, pelaku ancaman dapat meng-host halaman phishing secara lokal di komputer mereka sendiri dan merutekan koneksi melalui layanan eksternal. Menggunakan layanan pemendekan URL, mereka dapat membuat tautan baru sesering yang mereka inginkan untuk melewati deteksi.

Banyak tautan phishing diperbarui dalam waktu kurang dari 24 jam, membuat pelacakan dan penghapusan domain menjadi tugas yang lebih menantang.

Perusahaan perlindungan risiko digital CloudSEK mengamati peningkatan jumlah kampanye phishing yang menggabungkan layanan untuk tunneling terbalik dan pemendekan URL.

Dalam sebuah laporan yang dibagikan, para peneliti mengatakan mereka menemukan lebih dari 500 situs yang dihosting dan didistribusikan dengan cara ini.

Layanan terowongan terbalik yang paling banyak disalahgunakan yang ditemukan CloudSEK dalam penelitian mereka adalah Ngrok, LocalhostRun, dan Argo Cloudflare. Mereka juga melihat Bit.ly, is.gd, dan layanan pemendekan URL cutt.ly menjadi lebih umum.

Layanan terowongan terbalik melindungi situs phishing dengan menangani semua koneksi ke server lokal yang dihostingnya. Dengan cara ini, setiap koneksi yang masuk diselesaikan oleh layanan tunnel dan diteruskan ke mesin lokal.

Modus operandi pelaku phising (CloudSEK)

Korban yang berinteraksi dengan situs phishing ini berakhir dengan data sensitif mereka disimpan langsung di komputer penyerang.

Dengan menggunakan penyingkat URL, aktor ancaman menutupi nama URL, yang biasanya berupa string karakter acak, kata CloudSEK. Dengan demikian, nama domain yang akan menimbulkan kecurigaan disembunyikan di URL pendek.

Menurut CloudSEK, musuh mendistribusikan tautan ini melalui saluran komunikasi populer seperti WhatsApp, Telegram, email, teks, atau halaman media sosial palsu.

Salah satu contoh kampanye phishing yang menyalahgunakan layanan ini yang dideteksi CloudSEK adalah meniru YONO, platform perbankan digital yang ditawarkan oleh State Bank of India.

Situs phishing YONO yang dihosting secara lokal (CloudSEK)

URL yang ditentukan oleh penyerang disembunyikan di balik “cutt[.]ly/UdbpGhs” dan mengarah ke domain “ultimate-boy-bacterial-generates[.]trycloudflare[.]com/sbi” yang menggunakan layanan tunneling Argo Cloudflare.

Halaman phishing ini meminta kredensial rekening bank, nomor kartu PAN, nomor identifikasi unik Aadhaar, dan nomor ponsel.

CloudSEK tidak menjelaskan seberapa efektif kampanye ini tetapi menyoroti bahwa pelaku ancaman jarang menggunakan nama domain yang sama selama lebih dari 24 jam, meskipun mereka mendaur ulang template halaman phishing.

Informasi sensitif yang dikumpulkan dengan cara ini dapat dijual di web gelap atau digunakan oleh penyerang untuk mengosongkan rekening bank. Jika data berasal dari perusahaan, pelaku ancaman dapat menggunakannya untuk meluncurkan serangan ransomware, atau penipuan kompromi email bisnis (BEC).

Untuk melindungi dari jenis ancaman ini, pengguna harus menghindari mengklik tautan yang diterima dari sumber yang tidak dikenal atau mencurigakan. Mengetik nama domain bank di browser secara manual adalah metode yang baik untuk mencegah terkena situs palsu.

Sumber: Bleeping Computer

Platform blogging Telegram disalahgunakan dalam serangan phishing

by

Platform blogging anonim Telegram, Telegraph, secara aktif dieksploitasi oleh pelaku phishing yang memanfaatkan kebijakan lemah platform untuk menyiapkan halaman arahan sementara yang mengarah pada pencurian kredensial akun.

Telegraph adalah platform blogging yang memungkinkan siapa pun mempublikasikan apa pun tanpa membuat akun atau memberikan detail identifikasi apa pun.

Postingan Telegraph yang diterbitkan menghasilkan tautan yang dapat didistribusikan oleh pelaku ancaman dengan cara apa pun yang mereka pilih, tetapi tidak ada lokasi pusat untuk mempromosikan postingan ini ke komunitas. Oleh karena itu, Telegraph cepat, sederhana, dan anonim.

Selain itu, karena editor Telegraph mendukung penambahan gambar, tautan, dan menawarkan opsi pemformatan teks, seseorang dapat membuat posting blog tampak seperti halaman web, termasuk formulir login.

Menurut laporan INKY pelaku phishing menggunakan Telegraph secara ekstensif untuk membuat situs phishing yang terlihat seperti halaman arahan situs web atau portal masuk.

Data INKY dari akhir 2019 hingga Mei 2022 menunjukkan bahwa penyertaan tautan Telegraph dalam email phishing telah mengalami peningkatan yang tajam baru-baru ini, karena lebih dari 90% dari semua deteksi terjadi tahun ini.

Tingkat pengiriman email phishing sangat baik karena tautan ini dihosting di Telegraph, platform yang tidak ditandai sebagai berbahaya atau mencurigakan oleh solusi keamanan email apa pun.

Dalam banyak kasus, INKY memperhatikan bahwa email phishing berasal dari akun email yang dibajak, sehingga daftar blokir pada alamat scam yang diketahui akan dilewati.

Dalam sebagian besar kasus yang tercatat, tujuan pelaku phishing adalah melakukan penipuan cryptocurrency atau memanen kredensial akun target mereka.

Kasus-kasus yang dilihat oleh INKY sangat bervariasi, menunjukkan bahwa penyalahgunaan Telegraph berasal dari beberapa kelompok/pelaku, bukan kelompok ancaman tertentu.

Salah satu contohnya adalah pemberitahuan OneDrive yang mengarah ke halaman masuk Microsoft yang tampak realistis di mana korban diminta untuk memasukkan kredensial akun mereka.

Peringatan OneDrive yang dipalsukan di Telegraph (INKY)
Portal phishing akun Microsoft (INKY)

Dalam kasus lain, INKY melihat pesan pemerasan yang mengancam akan membocorkan file pribadi jika penerima tidak membayar uang tebusan. Portal pembayaran di-host langsung di Telegraph, menawarkan beberapa opsi pembayaran untuk korban penipuan.

Pembayaran penipuan Cryptocurrency di Telegraph (INKY)

Pelaku phishing terus-menerus bereksperimen dengan cara baru yang dapat meningkatkan peluang keberhasilan mereka. Mereka sering mencapai tujuan ini dengan menggabungkan akun email curian dan situs gratis seperti Telegraph.

Untuk alasan ini, pengguna tidak boleh mempercayai email hanya karena melewati perlindungan. Jika mendapat tautan arahkan kursor ke atasnya untuk melihat ke mana arahnya sebelum mengklik.

Setiap kali Anda tiba di situs yang meminta kredensial akun Anda, konfirmasikan bahwa Anda telah masuk ke portal masuk resmi sebelum mengetik apa pun di dalam kotak.

Sumber: Bleeping Computer

Peretas SideWinder menanam aplikasi VPN Android palsu di Google Play Store

by

Kampanye phishing yang dikaitkan dengan aktor ancaman tingkat lanjut bernama SideWinder melibatkan aplikasi VPN palsu untuk perangkat Android yang dipublikasikan di Google Play Store bersama dengan alat khusus yang memfilter korban untuk penargetan yang lebih baik.

SideWinder adalah grup APT yang sudah aktif setidaknya sejak 2012, diyakini sebagai aktor asal India dengan tingkat kecanggihan yang relatif tinggi.

Peneliti keamanan di Kaspersky mengaitkan hampir 1.000 serangan dengan kelompok ini dalam dua tahun terakhir. Di antara target utamanya adalah organisasi di Pakistan, Cina, Nepal, dan Afghanistan.

Musuh mengandalkan infrastruktur yang cukup besar yang mencakup lebih dari 92 alamat IP, terutama untuk serangan phishing, menampung ratusan domain dan subdomain yang digunakan sebagai server perintah dan kontrol.

Infrastruktur grup APT SideWinder, sumber: Group-IB

Kampanye phishing baru-baru ini yang dikaitkan dengan SideWinder (alias RattleSnake, Razor Tiger, T-APT-04, APT-C-17, Hardcore Nationalist) menargetkan organisasi di Pakistan baik di sektor publik maupun swasta.

Para peneliti di perusahaan keamanan siber Group-IB awal tahun ini mendeteksi dokumen phishing yang memikat para korban dengan dokumen yang mengusulkan “diskusi formal tentang dampak penarikan AS dari Afghanistan terhadap keamanan maritim.”

Umpan yang digunakan oleh grup APT SideWinder dalam kampanye phishing, sumber: Group-IB

Dalam laporan yang dibagikan dengan BleepingComputer, Group-IB mengatakan bahwa SideWinder juga telah diamati di situs web pemerintah yang mengkloning sebelumnya (misalnya portal pemerintah di Sri Lanka) untuk mencuri kredensial pengguna.

Kampanye phishing baru-baru ini juga menggunakan metode ini terhadap target, karena aktor tersebut membuat beberapa situs web yang meniru domain sah pemerintah Pakistan:
Selengkapnya

Selama penyelidikan, para peneliti menemukan tautan phishing yang dialihkan ke domain sah “securevpn.com.” Tujuannya masih belum jelas, tetapi bisa jadi untuk memilih target yang menarik dan mengarahkan mereka ke situs jahat.

Tautan lain yang ditemukan oleh Group-IB diunduh dari Google Play, toko aplikasi Android resmi, versi palsu dari aplikasi ‘VPN Aman’, yang masih ada di Google Play pada saat penulisan dan memiliki lebih dari 10 unduhan.

Aplikasi VPN Aman Palsu di Google Play yang digunakan oleh SiderWinder APT dalam kampanye phishing, sumber: BleepingComputer

Para peneliti mencatat bahwa deskripsi yang tersedia untuk aplikasi Secure VPN palsu SideWinder telah disalin dari aplikasi NordVPN yang sah.

Saat runtime, aplikasi Secure VPN palsu membuat beberapa permintaan ke dua domain yang kemungkinan dimiliki oleh penyerang tetapi ini tidak tersedia selama penyelidikan dan permintaan ke direktori root dialihkan ke domain NordVPN yang sah.

Sayangnya, para peneliti tidak dapat mengkonfirmasi tujuan dari aplikasi VPN palsu atau apakah itu berbahaya atau tidak. Namun, SideWinder telah menggunakan aplikasi palsu di Google Play di masa lalu, seperti yang ditunjukkan oleh penelitian sebelumnya dari Trend Micro.

Daftar tindakan yang dapat dilakukan oleh aplikasi palsu sebelumnya dari SideWinder untuk mengumpulkan dan mengirim ke perintah dan mengontrol informasi server seperti:
Selengkapnya

aplikasi mereka mampu mengumpulkan sejumlah parameter pada host yang ditargetkan dan mengirim informasi kembali ke C2 mereka. Parameter tersebut meliputi: Lokasi, Status baterai, File di perangkat, Daftar aplikasi yang diinstal, Informasi perangkat, Informasi sensor, Informasi kamera, Tangkapan layar, Akun, informasi Wifi, Data WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail, dan Chrome .

Group-IB juga menemukan bahwa musuh menggunakan alat khusus yang baru saja ditambahkan ke gudang senjata mereka, dilacak secara internal oleh Group-IB sebagai SideWinder.AntiBot.Script.

Jika skrip mendeteksi pengunjung dari IP di Pakistan, skrip akan dialihkan ke lokasi berbahaya. Parameter berikut diperiksa untuk menentukan apakah pengunjung merupakan target potensial atau tidak:

  • Posisi geografis
  • Versi sistem operasi
  • Data tentang agen pengguna
  • Pengaturan bahasa sistem

Itu juga dapat menentukan jumlah prosesor logis pada sistem dan kartu video yang digunakan oleh host, serta mengakses wadah kredensial di browser web, yang dapat mengembalikan kata sandi yang disimpan.

Memeriksa kartu video kemungkinan akan menentukan apakah host digunakan untuk tujuan analisis malware, karena dibandingkan dengan ukuran layar perangkat.

Fungsi lain dalam skrip, yang paling signifikan, digunakan untuk menyajikan file berbahaya dan untuk mengarahkan target non-minat ke sumber daya yang sah.

Sumber: Bleeping Computer

Lampiran HTML tetap populer di kalangan pelaku phishing pada tahun 2022

by

File HTML tetap menjadi salah satu lampiran paling populer yang digunakan dalam serangan phishing selama empat bulan pertama tahun 2022, menunjukkan bahwa teknik ini tetap efektif melawan mesin antispam dan bekerja dengan baik pada korbannya sendiri.

Dalam email phishing, file HTML biasanya digunakan untuk mengarahkan pengguna ke situs berbahaya, mengunduh file, atau bahkan menampilkan formulir phishing secara lokal di dalam browser.

Karena HTML tidak berbahaya, lampiran cenderung tidak terdeteksi oleh produk keamanan email, sehingga mendarat dengan baik di kotak masuk penerima.

Lampiran phishing HTML yang meniru login Microsoft
Sumber: BleepingComputer

Data statistik dari Kaspersky menunjukkan bahwa tren penggunaan lampiran HTML dalam email berbahaya masih kuat, karena perusahaan keamanan mendeteksi 2 juta email semacam ini yang menargetkan pelanggannya dalam empat bulan pertama tahun ini.

Angka tersebut mencapai puncaknya pada Maret 2022, ketika data telemetri Kaspersky menghitung 851.000 deteksi, sementara penurunan menjadi 387.000 pada April bisa jadi hanya perubahan sesaat.

Deteksi lampiran HTML berbahaya (Kaspersky)

Formulir phishing, mekanisme pengalihan, dan elemen pencurian data dalam lampiran HTML biasanya diterapkan menggunakan berbagai metode, mulai dari pengalihan sederhana hingga mengaburkan JavaScript hingga menyembunyikan formulir phishing.

Lampiran dikodekan base64 saat ada dalam pesan email, memungkinkan gateway email yang aman dan perangkat lunak antivirus untuk dengan mudah memindai lampiran untuk URL, skrip, atau perilaku berbahaya lainnya.

Untuk menghindari deteksi, pelaku ancaman biasanya menggunakan JavaScript dalam lampiran HTML yang akan digunakan untuk menghasilkan bentuk phishing atau pengalihan berbahaya.

Penggunaan JavaScript dalam lampiran HTML untuk menyembunyikan URL dan perilaku berbahaya disebut penyelundupan HTML dan telah menjadi teknik yang sangat populer selama beberapa tahun terakhir.

Untuk membuatnya lebih sulit untuk mendeteksi skrip berbahaya, aktor ancaman mengaburkannya menggunakan alat yang tersedia secara bebas yang dapat menerima konfigurasi khusus untuk yang unik, dan dengan demikian lebih kecil kemungkinannya untuk dideteksi, dihasilkan dan dengan demikian menghindari deteksi.

Misalnya, pada bulan November, kami melaporkan bahwa pelaku ancaman menggunakan kode morse dalam lampiran HTML mereka untuk mengaburkan formulir phishing yang akan ditampilkan lampiran HTML saat dibuka.

Kaspersky mencatat bahwa dalam beberapa kasus, pelaku ancaman menggunakan metode pengkodean yang melibatkan fungsi usang seperti “unescape()”, yang menggantikan urutan karakter “%xx” dalam string dengan setara ASCII mereka.

Meskipun fungsi ini telah digantikan oleh decodeURI() dan decodeURIComponent() saat ini, sebagian besar browser modern masih mendukungnya. Namun, itu mungkin diabaikan oleh alat keamanan dan mesin antispam yang lebih fokus pada metode saat ini.

Distribusi lampiran HTML pertama kali terlihat melonjak pada tahun 2019, tetapi tetap menjadi teknik umum pada kampanye phishing tahun 2022, sehingga harus dilihat sebagai tanda bahaya.

Email phishing dengan lampiran HTML (Kaspersky)

Bleeping Computer

LinkedIn paling banyak ditiru dalam serangan phishing

by

Peneliti keamanan memperingatkan bahwa LinkedIn telah menjadi merek yang paling dipalsukan dalam serangan phishing, terhitung lebih dari 52% dari semua insiden semacam itu di tingkat global.

Data tersebut berasal dari perusahaan keamanan siber Check Point, yang mencatat peningkatan dramatis dalam penyalahgunaan merek LinkedIn dalam insiden phishing pada kuartal pertama tahun ini.

Menurut perusahaan, pada kuartal terakhir tahun 2021, LinkedIn menempati posisi kelima dalam daftar, jumlah serangan meniru menjadi jauh lebih rendah 8%.

Statistik peniruan identitas phishing untuk Q1 2022 (Check Point)

Menggabungkan DHL dengan FedEx, Maersk, dan Ali Express, pesan phishing terkait pengiriman menyumbang 21,8% dalam tiga bulan pertama tahun 2022, masih memegang porsi yang signifikan.

Dalam sampel peniruan identitas LinkedIn yang disediakan oleh Check Point, email phishing yang mencapai kotak masuk target menampilkan logo LinkedIn dan gaya khusus perusahaan, dengan permintaan palsu untuk terhubung dengan perusahaan buatan.

Pesan phishing yang menampilkan branding LinkedIn
(Titik Periksa)

Mengklik tombol “Terima” akan membawa korban ke situs web phishing yang terlihat seperti halaman login LinkedIn yang sebenarnya yang dihosting di URL tidak resmi – carriermasr.com/public/linkedin.com/linkedin.com/login.php

Situs phishing bertema LinkedIn (Check Point)

Phishing media sosial sedang meningkat, seperti juga dilaporkan perusahaan cybersecurity Vade baru-baru ini. Ini karena pengambilalihan akun pada platform ini membuka sejumlah kemungkinan praktis bagi para pelaku ancaman.

Misalnya, peretas dapat menggunakan akun media sosial yang disusupi untuk melakukan serangan spear-phishing yang sangat efektif, mengeposkan tautan ke situs hosting malware, atau mengirim spyware langsung ke pengguna yang memercayainya.

Dalam kasus LinkedIn, yang merupakan platform media sosial yang berfokus pada profesional, pelaku ancaman kemungkinan besar bertujuan untuk melakukan serangan spear-phishing pada target dengan minat tinggi, karyawan dari perusahaan dan organisasi tertentu.

Skenario eksploitasi potensial lainnya adalah mengirim dokumen yang disamarkan sebagai tawaran pekerjaan ke target tertentu, meyakinkan mereka untuk membuka file dan mengaktifkan kode makro berbahaya.

Sumber : Bleeping Computer

Serangan Browser-in-the Browser (BITB) Baru Membuat Phishing Hampir Tidak Terdeteksi

by

Teknik phishing baru yang disebut serangan browser-in-the-browser (BitB) dapat dimanfaatkan untuk mensimulasikan jendela browser di dalam browser untuk menipu domain yang sah, sehingga memungkinkan untuk melakukan serangan phishing yang meyakinkan.

Menurut penguji penetrasi dan peneliti keamanan, yang menggunakan pegangan mrd0x_, metode ini memanfaatkan opsi masuk tunggal (SSO) pihak ketiga yang disematkan di situs web seperti “Masuk dengan Google” (atau Facebook, Apple, atau Microsoft ).

Sementara perilaku default ketika pengguna mencoba untuk masuk melalui metode ini akan disambut oleh jendela pop-up untuk menyelesaikan proses otentikasi, serangan BitB bertujuan untuk mereplikasi seluruh proses ini menggunakan campuran kode HTML dan CSS untuk membuat jendela browser yang sepenuhnya dibuat-buat.

“Gabungkan desain jendela dengan iframe yang menunjuk ke server jahat yang menghosting halaman phishing, dan itu pada dasarnya tidak dapat dibedakan,” kata mrd0x_ dalam penulisan teknis yang diterbitkan minggu lalu. “JavaScript dapat dengan mudah digunakan untuk membuat jendela muncul pada tautan atau klik tombol, pada pemuatan halaman, dll.”

Meskipun metode ini secara signifikan mempermudah pemasangan kampanye manipulasi psikologis yang efektif, perlu diperhatikan bahwa calon korban perlu dialihkan ke domain phishing yang dapat menampilkan jendela autentikasi palsu untuk pengambilan kredensial.

“Tapi begitu mendarat di situs web milik penyerang, pengguna akan merasa nyaman saat mereka mengetikkan kredensial mereka di situs yang tampaknya sah (karena URL yang dapat dipercaya mengatakan demikian),” tambah mrd0x_.

Sumber : The Hacker News