Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Phishing

Phishing

FBI memperingatkan tentang penipuan otentikasi Google Voice yang sedang berlangsung

by

Biro Investigasi Federal (FBI) mengatakan orang Amerika yang membagikan nomor telepon mereka secara online menjadi sasaran penipuan otentikasi Google Voice.

Seperti yang dijelaskan oleh badan penegak hukum federal, para penipu menargetkan mereka yang telah memposting nomor telepon mereka sebagai bentuk kontak ketika mencoba menjual berbagai barang di pasar online atau aplikasi media sosial.

Jika berhasil, mereka akan membuat akun Google Voice atas nama korbannya atau membajak akun Gmail mereka yang nantinya akan digunakan dalam skema penipuan lain atau dalam serangan phishing.

Penipu akan menjangkau target mereka melalui pesan teks atau email yang menunjukkan minat mereka pada barang yang dijual, meminta penjual untuk memverifikasi bahwa penawaran mereka sah dan mereka adalah orang sungguhan dan bukan bot dengan membagikan kode otentikasi yang mereka berikan. akan menerima dari Google.

“Apa yang sebenarnya dia lakukan adalah menyiapkan akun Google Voice atas nama Anda menggunakan nomor telepon asli Anda sebagai verifikasi,” tambah agensi.

“Setelah diatur, dia dapat menggunakan akun Google Voice itu untuk melakukan sejumlah penipuan terhadap korban lain yang tidak akan langsung kembali kepadanya. Dia juga dapat menggunakan kode itu untuk mendapatkan akses dan mengambil alih akun Gmail Anda. ”

Apa yang harus dilakukan jika Anda menjadi target penipuan otentikasi?
FBI menyarankan korban untuk memeriksa situs web dukungan Google untuk informasi tentang cara mengambil kembali kendali akun Google Voice mereka dan mendapatkan kembali nomor Voice mereka.

Agen federal juga memberikan tip berikut untuk menghindari scammed di tempat pertama jika Anda pernah menjadi target:

  • Jangan pernah membagikan kode verifikasi Google dengan orang lain.
  • Hanya berurusan dengan pembeli, penjual, dan pencari Fluffy secara langsung. Jika uang akan ditukarkan, pastikan Anda menggunakan pemroses pembayaran yang sah.
  • Jangan memberikan alamat email Anda kepada pembeli/penjual yang melakukan bisnis melalui telepon.
  • Jangan biarkan seseorang membuat Anda terburu-buru dalam penjualan. Jika mereka menekan Anda untuk merespons, kemungkinan besar mereka mencoba memanipulasi Anda untuk bertindak tanpa berpikir.

Sumber : Bleeping Computer

Serangan phishing menyamar sebagai Pfizer dalam permintaan penawaran palsu

by

Pelaku ancaman sedang melakukan kampanye phishing yang sangat bertarget yang menyamar sebagai Pfizer untuk mencuri informasi bisnis dan keuangan dari korban.

Pfizer adalah perusahaan farmasi terkenal yang memproduksi salah satu vaksin mRNA yang saat ini tersedia untuk melawan COVID-19.

Pelaku phishing bertujuan untuk mengeksploitasi nama merek Pfizer, karena peluang keberhasilan mereka meningkat secara dramatis dibandingkan dengan meniru entitas fiksi.

Dalam laporan baru INKY, para peneliti menjelaskan bahwa pelaku ancaman meniru Pfizer dalam kampanye email phishing yang dimulai sekitar 15 Agustus 2021.

Pelaku di balik kampanye ini rajin dalam operasi phishing mereka, menggabungkan lampiran PDF “bersih” dengan domain baru terdaftar yang muncul sebagai online space resmi Pfizer.

Kemudian, mereka menelurkan akun email dari domain ini untuk distribusi email phishing guna melewati solusi perlindungan email.

Domain didaftarkan melalui Namecheap, yang menerima cryptocurrency sebagai metode pembayaran, memungkinkan para aktor untuk tetap anonim.

Beberapa contoh yang dilihat oleh INKY adalah:

  • pfizer-nl[.]com
  • pfizer-bv[.]org
  • pfizerhtlinc[.]xyz
  • pfizertenders[.]xyz

Baris subjek biasanya melibatkan kutipan mendesak, undangan untuk menawar, dan topik terkait pasokan peralatan industri.

Sementara tujuan yang sebenernya dari kampanye ini kurang jelas, fakta bahwa persyaratan pembayaran termasuk dalam PDF merupakan indikasi bahwa pelaku ancaman akan meminta penerima untuk membagikan rincian perbankan mereka.

Jika informasi pembayaran diberikan, itu dapat digunakan oleh penyerang dalam kampanye BEC di masa mendatang yang dapat digunakan terhadap pelanggan perusahaan yang ditargetkan.

Selengkapnya: Bleeping Computer

Kampanye phishing menggunakan macro PowerPoint untuk menjatuhkan Agent Tesla

by

Varian baru dari malware Agent Tesla telah terlihat dalam kampanye phishing yang sedang berlangsung yang mengandalkan dokumen Microsoft PowerPoint yang dicampur dengan kode macro berbahaya.

Agent Tesla adalah pencuri informasi berbasis .Net yang telah beredar di internet selama bertahun-tahun tetapi tetap menjadi ancaman di tangan pelaku phishing.

Dalam kampanye terbaru, peneliti di Fortinet menjelaskan bahwa pelaku ancaman menargetkan pengguna Korea dengan email yang diduga berisi detail “pesanan”.

Karena lampiran adalah file PowerPoint, kemungkinan meyakinkan penerima bahwa mereka perlu “mengaktifkan konten” di Microsoft Office untuk melihatnya dengan benar meningkat.

Agent Tesla memiliki keylogger, cookie browser dan pencuri kredensial yang disimpan, sniffer data Clipboard, dan bahkan alat tangkapan layar.

Penyerang dapat memilih fitur mana yang akan diaktifkan selama kompilasi payload, sehingga memilih antara keseimbangan kekuatan dan siluman.

Secara total, Agent Tesla dapat mengambil data dari lebih dari 70 aplikasi, dengan yang paling populer tercantum di bawah ini.

Chromium-based Web Browsers:

Epic Privacy, Uran, Chedot, Comodo Dragon, Chromium, Orbitum, Cool Novo, Sputnik, Coowon, Brave, Liebao Browser, Elements Browser, Sleipnir 6, Vivaldi, 360 Browser, Torch Browser, Yandex Browser, QIP Surf, Amigo, Kometa, Citrio, Opera Browser, CentBrowser, 7Star, Coccoc, and Iridium Browser

Web Browsers:

Chrome, Microsoft Edge, Firefox, Safari, IceCat, Waterfox, Tencent QQBrowser, Flock Browser, SeaMonkey, IceDragon, Falkon, UCBrowser, Cyberfox, K-Meleon, PaleMoon

VPN clients:

OpenVPN, NordVPN, RealVNC, TightVNC, UltraVNC, Private Internet Access VPN

Dan masih banyak lagi. Lalu bagaimana cara melindungi diri dari Agent Tesla?
Pertahankan perisai keamanan Internet Anda, perbarui perangkat lunak Anda, Nonaktifkan macro Microsoft Office Anda, dan kendalikan rasa ingin tahu Anda.

Selengkapnya: Bleeping Computer

Phishing, ransomware, dan kesalahan manusia dipandang sebagai ancaman keamanan terbesar

by

Penelitian baru dari rumah perangkat lunak Python STX Next menemukan bahwa CTO melihat kesalahan manusia, ransomware, dan phishing sebagai ancaman keamanan terbesar.

Studi terhadap 500 CTO secara global menunjukkan 59 persen masih melihat kesalahan manusia sebagai ancaman keamanan utama bagi bisnis mereka, di samping kekhawatiran utama lainnya seperti ransomware (49 persen) dan phishing (36 persen).

Namun, meskipun menyadari ancaman tersebut, hanya 26 persen yang mengatakan bahwa mereka memiliki tim keamanan siber khusus dan hanya 50 persen yang melakukan outsourcing tanggung jawab siber.

Di antara temuan lainnya adalah bahwa adopsi otentikasi multifaktor kuat, dengan 88 persen organisasi menggunakannya dalam beberapa cara. Namun, 47 persen belum menerapkan perlindungan ransomware, dan 58 persen tidak menggunakan security information and event management (SIEM), dan 41 persen tidak menggunakan privileged access management (PAM).

Sebagai catatan positif, 92 persen telah menerapkan kemampuan pemulihan bencana seperti pencadangan otomatis.

Dziergwa menambahkan, “Kehadiran yang kuat dari perencanaan pemulihan bencana menunjukkan bahwa organisasi berjalan dengan baik dalam hal tanggung jawab yang lebih menyeluruh yang memastikan bisnis tangguh dalam menghadapi gangguan yang tidak terduga.

Langkah selanjutnya adalah bagi para pemimpin untuk menerapkan pendekatan ini ke elemen keamanan siber yang lebih terperinci, termasuk alat anti-ransomware.”

Selengkapnya: Beta News

Penipuan Phishing Omicron Sudah Terlihat di Inggris

by

Pandemi global telah memberikan perlindungan untuk semua jenis penipuan phishing selama beberapa tahun terakhir, dan peningkatan kewaspadaan atas penyebaran varian COVID-19 terbaru, Omicron, tidak terkecuali.

Ketika para profesional kesehatan masyarakat di seluruh dunia bergulat dengan apa yang mereka khawatirkan bisa menjadi varian COVID-19 yang bahkan lebih berbahaya daripada Delta, para pelaku ancaman telah mengambil kesempatan untuk mengubah ketidakpastian menjadi uang tunai.

Pengawas konsumen Inggris “Which?” telah memperingatkan bahwa penipuan phishing baru, yang dibuat agar terlihat seperti komunikasi resmi dari Layanan Kesehatan Nasional (NHS), menargetkan orang-orang dengan penawaran penipuan untuk tes PCR gratis untuk varian Omicron COVID-19.

Dikirim melalui teks, email, dan bahkan ditawarkan melalui telepon, pelaku ancaman menghubungi orang-orang di seluruh Inggris menawarkan apa yang mereka katakan sebagai alat uji baru yang dirancang khusus untuk mendeteksi varian Omicron.

Selain memberikan informasi palsu, email tersebut juga dipenuhi dengan kesalahan tata bahasa. Tetapi, jika korban mengklik tautan di bagian bawah korespondensi, orang tersebut akan dibawa ke halaman NHS palsu yang menanyakan nama lengkap, tanggal lahir, alamat, nomor telepon, dan alamat email.

Selain mengumpulkan informasi pengenal pribadi (PII), situs tersebut juga meminta £1,24 sebagai biaya pengiriman dan nama ibu, memberikan akses scammer ke informasi perbankan target juga.

Pengawas telah menyerahkan temuannya ke Pusat Keamanan Siber Nasional (NCSC), tetapi memperingatkan bahwa umpan Omicron serupa lainnya kemungkinan akan muncul selama beberapa minggu ke depan – jadi konsumen harus waspada.

Selengkapnya: Threat Post

Finlandia memperingatkan malware Flubot yang menargetkan pengguna Android

by

Pusat Keamanan Siber Nasional Finlandia (NCSC-FI) telah mengeluarkan “peringatan parah” kampanye besar-besaran yang menargetkan pengguna Android negara itu dengan malware perbankan Flubot yang didorong melalui pesan teks yang dikirim dari perangkat yang disusupi.

Kampanye spam tersebut menggunakan tema pesan suara, meminta target untuk membuka tautan yang memungkinkan mereka mengakses pesan pesan suara atau pesan dari operator seluler.

Namun, penerima SMS dialihkan ke situs berbahaya yang mendorong penginstal APK untuk menyebarkan malware perbankan Flubot di perangkat Android mereka alih-alih membuka pesan suara.

Target yang menggunakan iPhone atau perangkat lain hanya akan dialihkan ke halaman penipuan dan kemungkinan juga berbahaya lainnya seperti halaman arahan phishing yang mencoba mengelabui detail kartu kredit mereka.

“Kami berhasil menghilangkan FluBot hampir sepenuhnya dari Finlandia pada akhir musim panas berkat kerja sama antara pihak berwenang dan operator telekomunikasi. Kampanye malware yang aktif saat ini adalah yang baru, karena tindakan pengendalian yang diterapkan sebelumnya tidak efektif,” kata NCSC-FI penasihat keamanan informasi Aino-Maria Väyrynen.

Malware perbankan ini (juga dikenal sebagai Fedex Banker dan Cabassous) telah aktif sejak akhir 2020 dan digunakan untuk mencuri kredensial perbankan, informasi pembayaran, pesan teks, dan kontak dari perangkat yang terinfeksi.

Awalnya, botnet terutama menargetkan pengguna Android dari Spanyol. Namun, sekarang telah diperluas untuk menargetkan negara-negara Eropa tambahan (Jerman, Polandia, Hongaria, Inggris, Swiss) dan Australia dan Jepang dalam beberapa bulan terakhir.

Setelah menginfeksi perangkat Android, Flubot menyebar ke orang lain dengan mengirim spam pesan teks ke kontak yang dicuri dan menginstruksikan target untuk menginstal aplikasi yang mengandung malware dalam bentuk APK. Bulan lalu, Flubot juga mulai menipu korbannya agar menginfeksi diri mereka sendiri menggunakan pembaruan keamanan palsu yang memperingatkan infeksi Flubot.

Setelah digunakan pada perangkat baru, ia akan mencoba mengelabui korban agar memberikan izin tambahan dan memberikan akses ke layanan Aksesibilitas Android, yang memungkinkannya menyembunyikan dan menjalankan tugas berbahaya di latar belakang.

Kemudian mengambil alih perangkat yang terinfeksi, mendapatkan akses ke pembayaran korban dan info perbankan melalui halaman webview phishing yang dihamparkan di atas antarmuka aplikasi mobile banking dan cryptocurrency yang sah.

Flubot juga mengekstrak buku alamat ke server perintah-dan-kontrol (dengan kontak kemudian dikirim ke bot Flubot lain untuk mendorong spam), membaca pesan SMS, membuat panggilan telepon, dan memantau pemberitahuan sistem untuk aktivitas aplikasi.

Mereka yang telah menginfeksi perangkat mereka dengan malware Flubot disarankan untuk mengambil langkah-langkah berikut:

  • Lakukan reset pabrik pada perangkat. Jika Anda memulihkan pengaturan dari cadangan, pastikan Anda memulihkan dari cadangan yang dibuat sebelum malware diinstal.
  • Jika Anda menggunakan aplikasi perbankan atau menangani informasi kartu kredit pada perangkat yang terinfeksi, hubungi bank Anda.
  • Laporkan kerugian finansial apa pun kepada polisi.
  • Atur ulang kata sandi Anda pada layanan apa pun yang telah Anda gunakan dengan perangkat. Malware mungkin telah mencuri kata sandi Anda jika Anda masuk setelah menginstal malware.
  • Hubungi operator Anda, karena langganan Anda mungkin telah digunakan untuk mengirim pesan teks dengan dikenakan biaya. Malware yang saat ini aktif untuk perangkat Android menyebar dengan mengirim pesan teks dari perangkat yang terinfeksi.

Sumber : Bleeping Computer

Malware JavaScript baru yang tersembunyi menginfeksi PC Windows dengan RAT

by

Loader JavaScript tersembunyi baru bernama RATDispenser sedang digunakan untuk menginfeksi perangkat dengan berbagai trojan akses jarak jauh (RAT) dalam serangan phishing.

Loader baru dengan cepat membangun kemitraan distribusi dengan setidaknya delapan keluarga malware, semuanya dirancang untuk mencuri informasi dan memberi aktor kendali atas perangkat target.

Dalam 94% kasus yang dianalisis oleh tim Riset Ancaman HP, RATDispenser tidak berkomunikasi dengan server yang dikendalikan aktor dan hanya digunakan sebagai dropper malware tahap pertama.

Berlawanan dengan tren penggunaan dokumen Microsoft Office untuk menjatuhkan payload, loader ini menggunakan lampiran JavaScript, yang menurut HP memiliki tingkat deteksi yang rendah.

Infeksi dimulai dengan email phishing yang berisi lampiran JavaScript berbahaya yang diberi nama dengan ekstensi ganda ‘.TXT.js’. Karena Windows menyembunyikan ekstensi secara default, jika penerima menyimpan file ke komputer mereka, itu akan muncul sebagai file teks yang tidak berbahaya.

File teks ini sangat dikaburkan untuk melewati deteksi oleh perangkat lunak keamanan dan akan didekodekan saat file diklik dua kali dan diluncurkan.

Setelah diluncurkan, loader akan menulis file VBScript ke folder %TEMP%, yang kemudian dijalankan untuk mengunduh muatan malware (RAT).

Lapisan kebingungan ini membantu malware menghindari deteksi 89% setiap saat, berdasarkan hasil pemindaian VirusTotal.

Namun, email gateway akan mendeteksi loader jika organisasi telah mengaktifkan pemblokiran lampiran executable, seperti file .js, .exe, .bat, .com.

Cara lain untuk menghentikan rantai infeksi agar tidak terbuka adalah dengan mengubah file handler default untuk file JS, hanya mengizinkan skrip yang ditandatangani secara digital untuk dijalankan, atau menonaktifkan WSH (Windows Script Host).

Selengkapnya: Bleeping Computer

TrickBot bekerja sama dengan Phisher Shatak untuk serangan Ransomware Conti

by

Seorang aktor ancaman yang dilacak sebagai Shatak (TA551) baru-baru ini bermitra dengan geng ITG23 (alias TrickBot dan Wizard Spider) untuk menyebarkan Conti ransomware pada sistem yang ditargetkan. Operasi Shatak membuat kampanye phishing yang mengunduh dan menginfeksi korban dengan malware.

IBM X-Force menemukan bahwa Shatak dan TrickBot mulai bekerja sama pada Juli 2021 hingga hari ini. Serangan dimulai dengan email phishing yang dikirim oleh Shatak, kemudian mereka membawa arsip yang dilindungi kata sandi yang berisi dokumen berbahaya.

Menurut IBM X-Force, Shatak menggunakan email berantai balasan yang dicuri dari korban sebelumnya dan menambahkan lampiran arsip yang dilindungi kata sandi.

Lampiran ini berisi skrip kode yang disandikan base-64 untuk mengunduh dan menginstal malware TrickBot atau BazarBackdoor dari situs jarak jauh. Kemudian ITG23 mengambil alih dengan menerapkan suar Cobalt Strike pada sistem yang disusupi, menambahkannya ke tugas terjadwal untuk ketekunan.

Aktor Conti menggunakan BazarBackdoor untuk pengintaian jaringan, menghitung pengguna, admin domain, komputer bersama, dan sumber daya bersama. Mereka mencuri kredensial pengguna, hash kata sandi, dan data Active Directory, dan menyalahgunakan apa yang mereka bisa untuk menyebar secara lateral melalui jaringan.

Fitur pemantauan real-time Windows Defender juga dinonaktifkan untuk mencegah peringatan atau intervensi selama proses enkripsi. setelah itu mereka melakukan eksfiltrasi data, yang merupakan tahap terakhir sebelum enkripsi file, dengan menggunakan alat ‘Rclone’ untuk mengirim semuanya ke titik akhir jarak jauh di bawah kendali mereka. Conti menonaktifkan perlindungan real-time Defender.

Conti menonaktifkan perlindungan real-time Defender.
Sumber: Cybereason

Setelah mengumpulkan semua data berharga dari jaringan, pelaku ancaman menyebarkan ransomware untuk mengenkripsi perangkat.

Dalam laporan Computer Emergency Response Team (CERT) Prancis, TA551 muncul sebagai kolaborator ‘Lockean’, grup ransomware yang baru ditemukan dengan banyak afiliasi.

Shatak mengirim email phishing untuk mendistribusikan trojan perbankan Qbot/QakBot, yang digunakan untuk menyebarkan infeksi ransomware ProLock, Egregor, dan DoppelPaymer.

TA551 mungkin memiliki lebih banyak kolaborasi dengan geng ransomware lain selain yang ditemukan oleh para analis. Pelaku ancaman ini juga diidentifikasi dengan nama yang berbeda, seperti Shathak, UNC2420, dan Gold Cabin.

Pertahanan terbaik terhadap jenis serangan ini adalah dengan melatih karyawan tentang risiko email phishing. Admin juga harus menerapkan penggunaan otentikasi multi-faktor pada akun, menonaktifkan layanan RDP yang tidak digunakan, memantau log peristiwa yang relevan untuk perubahan konfigurasi yang tidak biasa, serta mencadangkan data penting secara teratur kemudian membuat cadangan tersebut offline sehingga tidak dapat ditargetkan oleh pelaku ancaman.

Selengkapnya : Bleeping Computer