Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Phishing

Phishing

Phishing, ransomware, dan kesalahan manusia dipandang sebagai ancaman keamanan terbesar

by

Penelitian baru dari rumah perangkat lunak Python STX Next menemukan bahwa CTO melihat kesalahan manusia, ransomware, dan phishing sebagai ancaman keamanan terbesar.

Studi terhadap 500 CTO secara global menunjukkan 59 persen masih melihat kesalahan manusia sebagai ancaman keamanan utama bagi bisnis mereka, di samping kekhawatiran utama lainnya seperti ransomware (49 persen) dan phishing (36 persen).

Namun, meskipun menyadari ancaman tersebut, hanya 26 persen yang mengatakan bahwa mereka memiliki tim keamanan siber khusus dan hanya 50 persen yang melakukan outsourcing tanggung jawab siber.

Di antara temuan lainnya adalah bahwa adopsi otentikasi multifaktor kuat, dengan 88 persen organisasi menggunakannya dalam beberapa cara. Namun, 47 persen belum menerapkan perlindungan ransomware, dan 58 persen tidak menggunakan security information and event management (SIEM), dan 41 persen tidak menggunakan privileged access management (PAM).

Sebagai catatan positif, 92 persen telah menerapkan kemampuan pemulihan bencana seperti pencadangan otomatis.

Dziergwa menambahkan, “Kehadiran yang kuat dari perencanaan pemulihan bencana menunjukkan bahwa organisasi berjalan dengan baik dalam hal tanggung jawab yang lebih menyeluruh yang memastikan bisnis tangguh dalam menghadapi gangguan yang tidak terduga.

Langkah selanjutnya adalah bagi para pemimpin untuk menerapkan pendekatan ini ke elemen keamanan siber yang lebih terperinci, termasuk alat anti-ransomware.”

Selengkapnya: Beta News

Penipuan Phishing Omicron Sudah Terlihat di Inggris

by

Pandemi global telah memberikan perlindungan untuk semua jenis penipuan phishing selama beberapa tahun terakhir, dan peningkatan kewaspadaan atas penyebaran varian COVID-19 terbaru, Omicron, tidak terkecuali.

Ketika para profesional kesehatan masyarakat di seluruh dunia bergulat dengan apa yang mereka khawatirkan bisa menjadi varian COVID-19 yang bahkan lebih berbahaya daripada Delta, para pelaku ancaman telah mengambil kesempatan untuk mengubah ketidakpastian menjadi uang tunai.

Pengawas konsumen Inggris “Which?” telah memperingatkan bahwa penipuan phishing baru, yang dibuat agar terlihat seperti komunikasi resmi dari Layanan Kesehatan Nasional (NHS), menargetkan orang-orang dengan penawaran penipuan untuk tes PCR gratis untuk varian Omicron COVID-19.

Dikirim melalui teks, email, dan bahkan ditawarkan melalui telepon, pelaku ancaman menghubungi orang-orang di seluruh Inggris menawarkan apa yang mereka katakan sebagai alat uji baru yang dirancang khusus untuk mendeteksi varian Omicron.

Selain memberikan informasi palsu, email tersebut juga dipenuhi dengan kesalahan tata bahasa. Tetapi, jika korban mengklik tautan di bagian bawah korespondensi, orang tersebut akan dibawa ke halaman NHS palsu yang menanyakan nama lengkap, tanggal lahir, alamat, nomor telepon, dan alamat email.

Selain mengumpulkan informasi pengenal pribadi (PII), situs tersebut juga meminta £1,24 sebagai biaya pengiriman dan nama ibu, memberikan akses scammer ke informasi perbankan target juga.

Pengawas telah menyerahkan temuannya ke Pusat Keamanan Siber Nasional (NCSC), tetapi memperingatkan bahwa umpan Omicron serupa lainnya kemungkinan akan muncul selama beberapa minggu ke depan – jadi konsumen harus waspada.

Selengkapnya: Threat Post

Finlandia memperingatkan malware Flubot yang menargetkan pengguna Android

by

Pusat Keamanan Siber Nasional Finlandia (NCSC-FI) telah mengeluarkan “peringatan parah” kampanye besar-besaran yang menargetkan pengguna Android negara itu dengan malware perbankan Flubot yang didorong melalui pesan teks yang dikirim dari perangkat yang disusupi.

Kampanye spam tersebut menggunakan tema pesan suara, meminta target untuk membuka tautan yang memungkinkan mereka mengakses pesan pesan suara atau pesan dari operator seluler.

Namun, penerima SMS dialihkan ke situs berbahaya yang mendorong penginstal APK untuk menyebarkan malware perbankan Flubot di perangkat Android mereka alih-alih membuka pesan suara.

Target yang menggunakan iPhone atau perangkat lain hanya akan dialihkan ke halaman penipuan dan kemungkinan juga berbahaya lainnya seperti halaman arahan phishing yang mencoba mengelabui detail kartu kredit mereka.

“Kami berhasil menghilangkan FluBot hampir sepenuhnya dari Finlandia pada akhir musim panas berkat kerja sama antara pihak berwenang dan operator telekomunikasi. Kampanye malware yang aktif saat ini adalah yang baru, karena tindakan pengendalian yang diterapkan sebelumnya tidak efektif,” kata NCSC-FI penasihat keamanan informasi Aino-Maria Väyrynen.

Malware perbankan ini (juga dikenal sebagai Fedex Banker dan Cabassous) telah aktif sejak akhir 2020 dan digunakan untuk mencuri kredensial perbankan, informasi pembayaran, pesan teks, dan kontak dari perangkat yang terinfeksi.

Awalnya, botnet terutama menargetkan pengguna Android dari Spanyol. Namun, sekarang telah diperluas untuk menargetkan negara-negara Eropa tambahan (Jerman, Polandia, Hongaria, Inggris, Swiss) dan Australia dan Jepang dalam beberapa bulan terakhir.

Setelah menginfeksi perangkat Android, Flubot menyebar ke orang lain dengan mengirim spam pesan teks ke kontak yang dicuri dan menginstruksikan target untuk menginstal aplikasi yang mengandung malware dalam bentuk APK. Bulan lalu, Flubot juga mulai menipu korbannya agar menginfeksi diri mereka sendiri menggunakan pembaruan keamanan palsu yang memperingatkan infeksi Flubot.

Setelah digunakan pada perangkat baru, ia akan mencoba mengelabui korban agar memberikan izin tambahan dan memberikan akses ke layanan Aksesibilitas Android, yang memungkinkannya menyembunyikan dan menjalankan tugas berbahaya di latar belakang.

Kemudian mengambil alih perangkat yang terinfeksi, mendapatkan akses ke pembayaran korban dan info perbankan melalui halaman webview phishing yang dihamparkan di atas antarmuka aplikasi mobile banking dan cryptocurrency yang sah.

Flubot juga mengekstrak buku alamat ke server perintah-dan-kontrol (dengan kontak kemudian dikirim ke bot Flubot lain untuk mendorong spam), membaca pesan SMS, membuat panggilan telepon, dan memantau pemberitahuan sistem untuk aktivitas aplikasi.

Mereka yang telah menginfeksi perangkat mereka dengan malware Flubot disarankan untuk mengambil langkah-langkah berikut:

  • Lakukan reset pabrik pada perangkat. Jika Anda memulihkan pengaturan dari cadangan, pastikan Anda memulihkan dari cadangan yang dibuat sebelum malware diinstal.
  • Jika Anda menggunakan aplikasi perbankan atau menangani informasi kartu kredit pada perangkat yang terinfeksi, hubungi bank Anda.
  • Laporkan kerugian finansial apa pun kepada polisi.
  • Atur ulang kata sandi Anda pada layanan apa pun yang telah Anda gunakan dengan perangkat. Malware mungkin telah mencuri kata sandi Anda jika Anda masuk setelah menginstal malware.
  • Hubungi operator Anda, karena langganan Anda mungkin telah digunakan untuk mengirim pesan teks dengan dikenakan biaya. Malware yang saat ini aktif untuk perangkat Android menyebar dengan mengirim pesan teks dari perangkat yang terinfeksi.

Sumber : Bleeping Computer

Sistem E-Mail IKEA Terkena Serangan Siber Yang Sedang Berlangsung

by

Dalam email internal yang dilihat oleh BleepingComputer, IKEA memperingatkan karyawan tentang serangan cyber phishing reply-chain yang sedang berlangsung yang menargetkan kotak surat internal. Email ini juga dikirim dari organisasi dan mitra bisnis IKEA lainnya yang disusupi.

“Ada serangan cyber yang sedang berlangsung yang menargetkan kotak surat Inter IKEA. Organisasi, pemasok, dan mitra bisnis IKEA lainnya dikompromikan oleh serangan yang sama dan selanjutnya menyebarkan email jahat ke orang-orang di Inter IKEA,” jelas email internal yang dikirim ke IKEA karyawan dan dilihat oleh BleepingComputer.

“Ini berarti bahwa serangan itu dapat datang melalui email dari seseorang yang bekerja dengan Anda, dari organisasi eksternal mana pun, dan sebagai balasan atas percakapan yang sudah berlangsung. Oleh karena itu, sulit untuk dideteksi, dan kami meminta Anda untuk ekstra hati-hati.”

Tim TI IKEA memperingatkan karyawan bahwa email reply-chain berisi tautan dengan tujuh digit di bagian akhir dan berbagi contoh email, seperti yang ditunjukkan di bawah ini. Selain itu, karyawan diminta untuk tidak membuka email, terlepas dari siapa yang mengirimnya, dan segera melaporkannya ke departemen TI.

Pelaku ancaman baru-baru ini mulai mengkompromikan server Microsoft Exchange internal menggunakan kerentanan ProxyShell dan ProxyLogin untuk melakukan serangan phishing.

Begitu mereka mendapatkan akses ke server, mereka menggunakan server Microsoft Exchange internal untuk melakukan serangan berantai balasan terhadap karyawan menggunakan email perusahaan yang dicuri.

Karena email dikirim dari server internal yang disusupi dan rantai email yang ada, ada tingkat kepercayaan yang lebih tinggi bahwa email tersebut tidak berbahaya.

Selengkapnya: Bleeping Computer

Malware JavaScript baru yang tersembunyi menginfeksi PC Windows dengan RAT

by

Loader JavaScript tersembunyi baru bernama RATDispenser sedang digunakan untuk menginfeksi perangkat dengan berbagai trojan akses jarak jauh (RAT) dalam serangan phishing.

Loader baru dengan cepat membangun kemitraan distribusi dengan setidaknya delapan keluarga malware, semuanya dirancang untuk mencuri informasi dan memberi aktor kendali atas perangkat target.

Dalam 94% kasus yang dianalisis oleh tim Riset Ancaman HP, RATDispenser tidak berkomunikasi dengan server yang dikendalikan aktor dan hanya digunakan sebagai dropper malware tahap pertama.

Berlawanan dengan tren penggunaan dokumen Microsoft Office untuk menjatuhkan payload, loader ini menggunakan lampiran JavaScript, yang menurut HP memiliki tingkat deteksi yang rendah.

Infeksi dimulai dengan email phishing yang berisi lampiran JavaScript berbahaya yang diberi nama dengan ekstensi ganda ‘.TXT.js’. Karena Windows menyembunyikan ekstensi secara default, jika penerima menyimpan file ke komputer mereka, itu akan muncul sebagai file teks yang tidak berbahaya.

File teks ini sangat dikaburkan untuk melewati deteksi oleh perangkat lunak keamanan dan akan didekodekan saat file diklik dua kali dan diluncurkan.

Setelah diluncurkan, loader akan menulis file VBScript ke folder %TEMP%, yang kemudian dijalankan untuk mengunduh muatan malware (RAT).

Lapisan kebingungan ini membantu malware menghindari deteksi 89% setiap saat, berdasarkan hasil pemindaian VirusTotal.

Namun, email gateway akan mendeteksi loader jika organisasi telah mengaktifkan pemblokiran lampiran executable, seperti file .js, .exe, .bat, .com.

Cara lain untuk menghentikan rantai infeksi agar tidak terbuka adalah dengan mengubah file handler default untuk file JS, hanya mengizinkan skrip yang ditandatangani secara digital untuk dijalankan, atau menonaktifkan WSH (Windows Script Host).

Selengkapnya: Bleeping Computer

TrickBot bekerja sama dengan Phisher Shatak untuk serangan Ransomware Conti

by

Seorang aktor ancaman yang dilacak sebagai Shatak (TA551) baru-baru ini bermitra dengan geng ITG23 (alias TrickBot dan Wizard Spider) untuk menyebarkan Conti ransomware pada sistem yang ditargetkan. Operasi Shatak membuat kampanye phishing yang mengunduh dan menginfeksi korban dengan malware.

IBM X-Force menemukan bahwa Shatak dan TrickBot mulai bekerja sama pada Juli 2021 hingga hari ini. Serangan dimulai dengan email phishing yang dikirim oleh Shatak, kemudian mereka membawa arsip yang dilindungi kata sandi yang berisi dokumen berbahaya.

Menurut IBM X-Force, Shatak menggunakan email berantai balasan yang dicuri dari korban sebelumnya dan menambahkan lampiran arsip yang dilindungi kata sandi.

Lampiran ini berisi skrip kode yang disandikan base-64 untuk mengunduh dan menginstal malware TrickBot atau BazarBackdoor dari situs jarak jauh. Kemudian ITG23 mengambil alih dengan menerapkan suar Cobalt Strike pada sistem yang disusupi, menambahkannya ke tugas terjadwal untuk ketekunan.

Aktor Conti menggunakan BazarBackdoor untuk pengintaian jaringan, menghitung pengguna, admin domain, komputer bersama, dan sumber daya bersama. Mereka mencuri kredensial pengguna, hash kata sandi, dan data Active Directory, dan menyalahgunakan apa yang mereka bisa untuk menyebar secara lateral melalui jaringan.

Fitur pemantauan real-time Windows Defender juga dinonaktifkan untuk mencegah peringatan atau intervensi selama proses enkripsi. setelah itu mereka melakukan eksfiltrasi data, yang merupakan tahap terakhir sebelum enkripsi file, dengan menggunakan alat ‘Rclone’ untuk mengirim semuanya ke titik akhir jarak jauh di bawah kendali mereka. Conti menonaktifkan perlindungan real-time Defender.

Conti menonaktifkan perlindungan real-time Defender.
Sumber: Cybereason

Setelah mengumpulkan semua data berharga dari jaringan, pelaku ancaman menyebarkan ransomware untuk mengenkripsi perangkat.

Dalam laporan Computer Emergency Response Team (CERT) Prancis, TA551 muncul sebagai kolaborator ‘Lockean’, grup ransomware yang baru ditemukan dengan banyak afiliasi.

Shatak mengirim email phishing untuk mendistribusikan trojan perbankan Qbot/QakBot, yang digunakan untuk menyebarkan infeksi ransomware ProLock, Egregor, dan DoppelPaymer.

TA551 mungkin memiliki lebih banyak kolaborasi dengan geng ransomware lain selain yang ditemukan oleh para analis. Pelaku ancaman ini juga diidentifikasi dengan nama yang berbeda, seperti Shathak, UNC2420, dan Gold Cabin.

Pertahanan terbaik terhadap jenis serangan ini adalah dengan melatih karyawan tentang risiko email phishing. Admin juga harus menerapkan penggunaan otentikasi multi-faktor pada akun, menonaktifkan layanan RDP yang tidak digunakan, memantau log peristiwa yang relevan untuk perubahan konfigurasi yang tidak biasa, serta mencadangkan data penting secara teratur kemudian membuat cadangan tersebut offline sehingga tidak dapat ditargetkan oleh pelaku ancaman.

Selengkapnya : Bleeping Computer

Serangan phishing lebih sulit dikenali di ponsel cerdas Anda. Itu sebabnya peretas lebih sering menggunakannya

by

Terjadi lonjakan serangan phishing seluler yang menargetkan sektor energi karena penyerang dunia maya mencoba membobol jaringan yang digunakan untuk menyediakan layanan termasuk listrik dan gas.

Keinginan untuk membobol jaringan ini telah menghasilkan peningkatan tajam dalam serangan phishing terhadap sektor energi, khususnya serangan siber yang menargetkan perangkat seluler, demikian peringatan sebuah laporan oleh peneliti keamanan siber di Lookout.

Menurut laporan tersebut, telah terjadi peningkatan 161% dalam serangan phishing seluler yang menargetkan sektor energi sejak paruh kedua tahun lalu. Serangan yang menargetkan organisasi energi mencapai 17% dari semua serangan seluler secara global – menjadikannya sektor yang paling ditargetkan, di depan keuangan, pemerintah, farmasi, dan manufaktur.

Kerja jarak jauh telah meningkat pesat selama 18 bulan terakhir. Dan sementara peningkatan kerja seluler memungkinkan bisnis untuk terus beroperasi, peningkatan penggunaan perangkat pribadi dan kerja jarak jauh juga meningkatkan risiko keamanan – menurut Lookout, 41% perangkat seluler di industri energi tidak dikelola oleh pemberi kerja.

Situasi itu dapat menempatkan pengguna pada risiko serangan siber termasuk phishing dan malware yang dapat digunakan untuk membantu mendapatkan akses ke jaringan yang lebih luas.

Menyesuaikan email phishing ke perangkat seluler dapat membuatnya lebih sulit dikenali karena layar yang lebih kecil memberikan lebih sedikit kesempatan untuk memeriksa ulang bahwa tautan dalam email adalah sah, sementara ponsel cerdas dan tablet mungkin tidak diamankan secara menyeluruh seperti laptop dan PC desktop, memberikan penyerang kesempatan untuk mengkompromikan jaringan.

Selengkapnya: ZDNet

Menerima Email Berisi Link Google Drive Misterius? Jangan Dibuka!

by Leave a Comment

Kampanye phishing baru mencari korban dengan mengirim supplier list palsu berisi ransomware MirCop yang meminta tebusan. Dapat mengenkripsi sistem target dalam waktu kurang dari lima belas menit.

Gambar Supplier List yang Diburamkan (sumber: bleeping computer)

Para pelaku memulai serangan dengan mengirimkan email yang tidak diminta korban. Email berisi gambar yang diburamkan dan link Google Drive yang dapat di klik.

Badan email berisi hyperlink ke URL Google Drive yang jika diklik akan mengunduh file MHT (arsip halaman web) ke perangkat korban.

Google Drive digunakan untuk memberikan legitimasi ke email dan sangat selaras dengan praktik pekerja sehari-hari.

Mereka yang membuka file tersebut hanya dapat melihat gambar buram dari apa yang seharusnya merupakan daftar pemasok, dicap dan ditandatangani untuk sentuhan legitimasi ekstra.

Ketika file MHT dibuka, itu akan mengunduh arsip RAR yang berisi pengunduh malware .NET dari “hXXps://a[.]pomf[.]cat/gectpe.rar”.

Arsip RAR berisi file EXE, yang menggunakan skrip VBS untuk menjatuhkan dan menjalankan muatan MirCop ke sistem yang terinfeksi.

Ransomware langsung aktif dan mulai mengambil tangkapan layar, mengunci file, mengubah latar belakang menjadi gambar bertema zombie yang mengerikan, dan menawarkan petunjuk kepada korban tentang apa yang harus dilakukan selanjutnya.

Menurut Cofense, seluruh proses ini memakan waktu kurang dari 15 menit sejak korban membuka email phishing.

Setelah itu, pengguna hanya diperbolehkan membuka browser web tertentu untuk berkomunikasi dengan pelaku dan mengatur pembayaran uang tebusan.

Para pelaku tidak tertarik untuk menyelinap ke dalam mesin korban secara sembunyi-sembunyi atau tinggal lama di sana untuk melakukan spionase dunia maya atau mencuri file untuk pemerasan.

Sebaliknya, serangan itu terjadi dengan cepat, dan sumber masalah menjadi jelas bagi korbannya

MicroCop adalah jenis ransomware lama yang digunakan untuk memberikan tuntutan tebusan yang tidak masuk akal kepada para korbannya.

Namun Michael Gillespie berhasil memecahkan enkripsinya dan merilis decryptor yang berfungsi secara gratis.

Bleeping Computer belum menguji apakah dekripsi lama itu berfungsi dengan muatan yang dijatuhkan di kampanye terbaru, tetapi ada kemungkinan bahwa itu masih dapat membuka kunci file.

Cofense mengatakan varian yang sama telah beredar sejak Juni tahun ini, jadi MicroCop masih ada di luar sana, dan orang harus berhati-hati dalam menangani email yang tidak diminta.

sumber: BLEEPING COMPUTER