phising

Repositori Open-source Dibanjiri Oleh 144.000 Package Phishing

December 15, 2022 by Coffee Bean

Unknown threat actors have uploaded a massive 144,294 phishing-related packages on open-source package repositories, inluding NPM, PyPi, and NuGet.

Serangan skala besar dihasilkan dari otomatisasi, karena paket diunggah dari akun menggunakan skema penamaan tertentu, menampilkan deskripsi serupa, dan mengarah ke kelompok yang sama dari 90 domain yang menampung lebih dari 65.000 halaman phishing.

Operasi besar-besaran
NuGet memiliki bagian terbesar dari unggahan paket berbahaya, terhitung 136.258, PyPI memiliki 7.894 infeksi, dan NPM hanya memiliki 212.

Paket phishing diunggah di trove dalam beberapa hari, yang umumnya merupakan tanda aktivitas berbahaya.

Diagram unggahan paket berbahaya (Checkmarx)

URL ke situs phishing ditanamkan dalam deskripsi paket, dengan harapan tautan dari repositori akan meningkatkan SEO situs phishing mereka.

Deskripsi paket ini juga mendesak pengguna untuk mengeklik tautan untuk mendapatkan info lebih lanjut tentang dugaan kode kartu hadiah, aplikasi, alat peretasan, dll.

Hampir semua situs tersebut meminta pengunjung untuk memasukkan email, nama pengguna, dan kata sandi akun mereka, yang merupakan tempat terjadinya langkah phishing.

Ini memulai serangkaian pengalihan ke situs survei, akhirnya mendarat di situs web e-niaga yang sah menggunakan tautan afiliasi, begitulah cara pelaku ancaman menghasilkan pendapatan dari kampanye.

Peneliti keamanan yang menemukan kampanye ini memberi tahu NuGet tentang infeksi tersebut, dan semua paket telah dihapus dari daftar.

Namun, mengingat metode otomatis yang digunakan oleh pelaku ancaman untuk mengunggah sejumlah besar paket dalam waktu singkat, mereka dapat memperkenalkan kembali ancaman tersebut menggunakan akun baru dan nama paket yang berbeda kapan saja.

Untuk daftar lengkap URL yang digunakan dalam kampanye ini, lihat file teks IoC ini di GitHub.

sumber : bleeping computer

Akun email perusahaan yang diretas digunakan untuk mengirim alat akses jarak jauh MSP

December 9, 2022 by Eevee

Peretas MuddyWater, kelompok yang terkait dengan Kementerian Intelijen dan Keamanan Iran (MOIS), menggunakan akun email perusahaan yang disusupi untuk mengirimkan pesan phishing ke target mereka.

Grup mengadopsi taktik baru dalam kampanye yang mungkin telah dimulai pada bulan September tetapi tidak diamati hingga Oktober dan menggabungkan penggunaan alat administrasi jarak jauh yang sah.

MuddyWater telah menggunakan alat administrasi jarak jauh yang sah untuk aktivitas peretasannya di masa lalu. Peneliti menemukan kampanye dari grup ini pada tahun 2020 dan 2021 yang mengandalkan RemoteUtilities dan ScreenConnect.

Dalam kampanye lain di bulan Juli, para peretas melanjutkan taktik ini tetapi beralih ke Atera, seperti yang disoroti oleh Simon Kenin, seorang peneliti keamanan di Deep Instinct.

Peneliti Deep Instinct menangkap kampanye MuddyWater baru pada bulan Oktober yang menggunakan Syncro, alat administrasi jarak jauh yang dirancang untuk penyedia layanan terkelola (MSP).

Kenin mencatat dalam sebuah laporan bahwa vektor infeksi awal adalah phishing yang dikirim dari akun email perusahaan yang sah yang disusupi oleh peretas.

Ikhtisar kampanye MuddyWater
sumber: Deep Instinct

Peneliti mengatakan sementara tanda tangan resmi perusahaan hilang dari pesan phishing, korban masih mempercayai email tersebut karena berasal dari alamat resmi milik perusahaan yang mereka kenal.

Di antara target dalam kampanye ini adalah dua perusahaan hosting Mesir, salah satunya dilanggar untuk mengirimkan email phishing. Yang lainnya adalah penerima pesan jahat.

Untuk mengurangi kemungkinan terdeteksi oleh solusi keamanan email, penyerang melampirkan file HTML yang berisi tautan untuk mengunduh penginstal Syncro MSI.

Alat ini dihosting di penyimpanan file Microsoft OneDrive. Pesan sebelumnya yang dikirim dari akun email yang dikompromikan dari perusahaan hosting Mesir menyimpan penginstal Syncro di Dropbox.

Namun, peneliti mengatakan bahwa sebagian besar penginstal Syncro yang digunakan oleh MuddyWater dihosting di penyimpanan cloud OneHub, layanan yang digunakan aktor di masa lalu untuk kampanye peretasannya.

Syncro telah digunakan oleh aktor ancaman lain seperti BatLoader dan LunaMoth. Alat ini memiliki versi uji coba yang berlaku selama 21 hari yang hadir dengan antarmuka web lengkap dan memberikan kontrol penuh atas komputer dengan agen Syncro yang diinstal.

Begitu berada di sistem target, penyerang dapat menggunakannya untuk menyebarkan backdoor guna membangun kegigihan serta mencuri data.

Target lain dalam kampanye MuddyWater ini mencakup beberapa perusahaan asuransi di Israel. Aktor tersebut menggunakan taktik yang sama dan mengirimkan email dari akun email yang diretas milik sebuah entitas di industri perhotelan Israel.

Dengan berpura-pura mencari asuransi, peretas menambahkan lampiran HTML dengan tautan ke penginstal Syncro yang dihosting di OneDrive.

Email phishing MuddyWater menargetkan perusahaan asuransi di Israel
sumber: Deep Instinct

Kenin mengamati bahwa meskipun email ditulis dalam bahasa Ibrani, penutur asli dapat melihat bendera merah karena pilihan kata yang buruk.

Taktik MuddyWater tidak terlalu canggih, namun menunjukkan bahwa alat yang tersedia secara bebas dapat efektif untuk operasi peretasan.

MuddyWater dilacak dengan nama berbeda (Static Kitten, Cobalt Ulster, Mercury) dan telah aktif setidaknya sejak 2017.

Ini biasanya terlibat dalam operasi spionase yang menargetkan organisasi publik dan swasta (perusahaan telekomunikasi, pemerintah daerah, pertahanan, perusahaan minyak dan gas) di Timur Tengah, Asia, Eropa, Amerika Utara, dan Afrika.

Sumber: Bleeping Computer

AS menuntut tersangka BEC dengan penargetan program perawatan kesehatan federal

November 24, 2022 by Coffee Bean

Departemen Kehakiman AS (DOJ) telah menuntut sepuluh terdakwa atas dugaan keterlibatan mereka dalam skema kompromi email bisnis (BEC) yang menargetkan banyak korban di seluruh negeri, termasuk program pendanaan federal AS seperti Medicare dan Medicaid.

Untuk mengelabui target agar percaya bahwa pembayaran dilakukan ke akun yang sah, US DOJ mengatakan penyerang memalsukan alamat email rumah sakit untuk meminta program asuransi kesehatan publik dan swasta untuk beralih ke rekening bank baru (dikendalikan oleh rekan konspirator) untuk mengirim pembayaran. pelayanan medis.

Tuduhan US DOJ yang tidak disegel juga terkait dengan pencucian uang dan skema penipuan kawat terhadap para terdakwa di berbagai negara bagian:

enam terdakwa di Distrik Utara Georgia (Patrick Ndong-Bike, Desmond Nkwenya, Cory Smith, Chisom Okonkwo, Olugbenga Abu, Trion Thomas)
satu terdakwa di Distrik Carolina Selatan (Biliamin Fagbewesa)
satu terdakwa sebelumnya didakwa di Distrik Utara Georgia (Malachi Mullings)
yang sebelumnya dibebankan di Distrik Timur Virginia (Sauveur Blanchard)
terdakwa ketiga yang sebelumnya didakwa di Distrik Utara Texas (Adewale Adesanya) telah mengajukan pengakuan bersalah dan dijatuhi hukuman empat tahun penjara

Skema mereka diduga menyebabkan kerugian lebih dari $4,7 juta bagi Medicare, Medicaid, dan perusahaan asuransi kesehatan swasta A.S. dan kerugian lebih dari $6,4 juta bagi lembaga pemerintah federal A.S., perusahaan swasta, dan individu.

Business email compromise is a $43 billion scam
Penipu BEC menggunakan banyak taktik—termasuk phishing, rekayasa sosial, dan peretasan—untuk mengalihkan transfer bank target ke rekening bank yang mereka kendalikan.

Sayangnya, seperti yang diungkapkan FBI, tingkat keberhasilan mereka juga sangat tinggi karena mereka umumnya menyamar sebagai orang yang dipercaya oleh target, seperti mitra bisnis atau eksekutif perusahaan.

sumber : bleeping computer

Penyerang Melewati Coinbase dan MetaMask 2FA Melalui TeamViewer, Obrolan Dukungan Palsu

November 22, 2022 by Coffee Bean

Kampanye phishing pencuri crypto sedang dilakukan untuk melewati otentikasi multi-faktor dan mendapatkan akses ke akun di Coinbase, MetaMask, Crypto.com, dan KuCoin dan mencuri cryptocurrency.

Pelaku ancaman menyalahgunakan layanan Microsoft Azure Web Apps untuk menghosting jaringan situs phishing dan memikat korban melalui pesan phishing yang menyamar sebagai permintaan konfirmasi transaksi palsu atau deteksi aktivitas mencurigakan.

email phishing yang menyamar sebagai Coinbase
Sumber: PIXM

Saat target mengunjungi situs phishing, mereka disuguhi jendela obrolan yang seharusnya untuk ‘dukungan pelanggan’, yang dikendalikan oleh scammer yang mengarahkan pengunjung melalui proses penipuan multi-langkah.

Melewati 2FA
Fase pertama serangan di situs phishing pertukaran crypto palsu melibatkan formulir login palsu diikuti dengan prompt otentikasi dua faktor.

Terlepas dari kredensial yang dimasukkan selama tahap ini, kredensial tersebut masih akan dicuri oleh pelaku ancaman. Halaman tersebut kemudian melanjutkan ke prompt yang meminta kode 2FA yang diperlukan untuk mengakses akun.

Langkah 2FA dari situs phishing
Sumber: PIXM

Penyerang mencoba kredensial yang dimasukkan di situs web yang sah, memicu pengiriman kode 2FA ke korban, yang kemudian memasukkan 2FA yang valid di situs phishing.

Mengobrol dengan penipu
ini dilakukan dengan menampilkan pesan kesalahan palsu yang menyatakan bahwa akun telah ditangguhkan karena aktivitas yang mencurigakan dan meminta pengunjung menghubingi dukungan untuk menyelesaikan masalah tersebut

Menghasilkan kesalahan login palsu
Sumber: PIXM

“Mereka akan menanyakan nama pengguna, kata sandi, dan kode autentikasi 2 faktor kepada pengguna secara langsung di obrolan,” jelas laporan PIXM yang baru.

“Penjahat kemudian akan membawa ini langsung ke browser di mesin mereka dan kembali mencoba mengakses akun pengguna.”

Untuk akun yang berhasil dilanggar, korban masih berhubungan dengan dukungan pelanggan jika mereka perlu mengkonfirmasi transfer dana sementara para penjahat mengosongkan dompet mereka.

Tipuan Jarak Jauh
Selanjutnya, penipu meminta korban untuk masuk ke dompet cryptocurrency atau akun pertukaran mereka, dan saat mereka melakukannya, pelaku ancaman menambahkan karakter acak di bidang kata sandi untuk menyebabkan kegagalan masuk.

Penyerang kemudian meminta korban untuk menempelkan kata sandi pada obrolan TeamViewer, menggunakan kata sandi (minus karakter acak) untuk masuk ke perangkat mereka, dan kemudian merebut tautan konfirmasi perangkat yang dikirim ke korban untuk mengautentikasi perangkat mereka sebagai tepercaya.

Untuk menghindari scammed dalam serangan seperti ini, penting untuk selalu memperhatikan alamat email pengirim dan URL yang dikirim.

Jika URL ini tidak cocok dengan platform mata uang kripto, Anda harus segera menganggap email tersebut mencurigakan dan menghapusnya.

sumber : bleeping computer

Malware Infostealer Aurora Semakin Diadopsi Oleh Cybergangs

November 22, 2022 by Coffee Bean

Cybercriminals beralih ke pencuri informasi berbasis Go-based bernama ‘Aurora’ untuk mencuri informasi sensitif dari browser dan aplikasi cryptocurrency, mengekstraksi data langsung dari disk, dan memuat muatan tambahan.

Latar belakang peningkatan popularitas Aurora yang tiba-tiba ini adalah tingkat deteksi yang rendah dan status yang tidak diketahui secara umum, membuat infeksinya cenderung tidak terdeteksi.

Aurora menawarkan fitur pencurian data tingkat lanjut dan mungkin stabilitas infrastruktur dan fungsional.

Sejarah Aurora
Aurora pertama kali diumumkan pada April 2022 di forum berbahasa Rusia, diiklankan sebagai proyek botnet dengan fitur mencuri informasi dan akses jarak jauh yang canggih.

Namun, pada akhir Agustus 2022, SEKOIA menyadari bahwa Aurora diiklankan sebagai pencuri, sehingga proyek tersebut mengabaikan tujuannya untuk membuat alat multifungsi.

Fitur utama yang tercantum dalam postingan promosi adalah:

Kompilasi polimorfik yang tidak memerlukan pembungkus crypter
Dekripsi data sisi server
Menargetkan lebih dari 40 dompet cryptocurrency
Pengurangan frase seed otomatis untuk MetaMask
Reverse lookup untuk pengumpulan kata sandi
Berjalan pada soket TCP
Berkomunikasi dengan C2 hanya sekali, selama pemeriksaan lisensi
Muatan kecil yang sepenuhnya asli (4,2 MB) tidak memerlukan ketergantungan

Fitur-fitur di atas diarahkan pada kemampuan sembunyi-sembunyi tingkat tinggi, yang merupakan keunggulan utama Aurora dibandingkan pencuri info populer lainnya.

Biaya untuk menyewa malware ditetapkan menjadi $250 per bulan atau $1.500 untuk lisensi seumur hidup.

Analisis Pencuri
Setelah eksekusi, Aurora menjalankan beberapa perintah melalui WMIC untuk mengumpulkan informasi host dasar, mengambil gambar desktop, dan mengirimkan semuanya ke C2.

Perintah yang dijalankan Aurora saat diluncurkan
Sumber: SEKOIA

Selanjutnya, malware menargetkan data yang disimpan di beberapa browser (cookie, kata sandi, riwayat, kartu kredit), ekstensi browser cryptocurrency, aplikasi desktop dompet cryptocurrency, dan Telegram.

Aplikasi dompet desktop yang ditargetkan termasuk Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda, dan Jaxx Liberty.

Para analis mengamati pemuat malware Aurora yang menggunakan “net_http_Get” untuk menjatuhkan muatan baru ke sistem file menggunakan nama acak dan kemudian menggunakan PowerShell untuk menjalankannya.

Distribusi saat ini
Saat ini, Aurora didistribusikan kepada para korban melalui berbagai saluran, yang diharapkan dengan melibatkan tujuh operator berbeda.

SEKOIA mengetahui bahwa situs phishing mata uang kripto dipromosikan melalui email phishing dan video YouTube yang tertaut ke perangkat lunak palsu dan situs katalog curang.

Sumber : bleeping computer

42.000 Situs Digunakan Untuk Skema Peniruan Identitas Merek

November 15, 2022 by Coffee Bean

Grup nirlaba jahat bernama ‘Fangxiao’ telah membuat jaringan besar-besaran dengan lebih dari 42.000 domain web yang menyamar sebagai merek terkenal untuk mengarahkan pengguna ke situs yang mempromosikan aplikasi adware, situs kencan, atau hadiah ‘gratis’.

Domain penipu digunakan sebagai bagian dari apa yang tampaknya merupakan skema penghasil lalu lintas besar-besaran yang menghasilkan pendapatan iklan untuk situs Fangxiao sendiri atau lebih banyak pengunjung untuk ‘pelanggan’ yang membeli lalu lintas dari grup.

Ancaman berbasis di China. Mereka telah beroperasi sejak 2017, memalsukan lebih dari 400 merek terkenal dari sektor ritel, perbankan, perjalanan, farmasi, transportasi, keuangan, dan energi.

faktor keuntungan
Untuk menghasilkan keramaian besar bagi pelanggan dan situsnya sendiri, Fangxiao mendaftarkan sekitar 300 domain peniruan merek baru setiap hari.

Sebagian besar situs ini menggunakan TLD “.top”, diikuti oleh “.cn”, “.cyou”, “.xyz”, “.work”, dan “.tech”. Situs tersebut tersembunyi di balik Cloudflare dan terdaftar melalui GoDaddy, Namecheap, dan Wix.

Pengguna tiba di situs ini melalui iklan seluler atau setelah menerima pesan WhatsApp yang berisi tautan, biasanya membuat penawaran khusus atau memberi tahu penerima bahwa mereka memenangkan sesuatu.

Dalam beberapa kasus, menyelesaikan survei mengarah pada pengunduhan aplikasi, yang diminta oleh korban untuk diluncurkan dan tetap terbuka setidaknya selama tiga puluh detik, kemungkinan akan memberikan cukup waktu untuk mendaftarkan pengguna baru dari rujukan Fangxiao.

Tujuan lain yang diamati dari kampanye Fangxiao adalah halaman Play Store dari aplikasi ‘App Booster Lite – RAM Booster’, penguat kinerja untuk perangkat Android dengan lebih dari 10 juta unduhan.

Investigasi Cyjax menghasilkan beberapa indikasi bahwa Fangxiao adalah operator Cina, seperti menggunakan bahasa Mandarin di salah satu panel kontrol yang terbuka.

sumber : bleeping computer

15.000 situs diretas untuk kampanye peracunan besar-besaran Google SEO

November 10, 2022 by Coffee Bean

Serangan pertama kali ditemukan oleh Sucuri, yang mengatakan bahwa setiap situs yang disusupi berisi sekitar 20.000 file yang digunakan sebagai bagian dari kampanye spam mesin pencari, dengan sebagian besar situs adalah WordPress.

Para peneliti percaya bahwa tujuan pelaku ancaman adalah untuk menghasilkan halaman yang cukup diindeks untuk meningkatkan otoritas situs Q&A palsu dan dengan demikian peringkat lebih baik di mesin pencari.

Kampanye tersebut kemungkinan akan menjadikan situs-situs tersebut untuk digunakan di masa mendatang sebagai situs penetes malware atau situs phishing, karena bahkan operasi jangka pendek di halaman pertama Google Penelusuran, akan mengakibatkan banyak infeksi. Atau dengan file ‘ads.txt’

Menargetkan situs WordPress
Sucuri melaporkan bahwa peretas sedang memodifikasi file WordPress PHP, seperti ‘wp-singup.php’, ‘wp-cron.php’, ‘wp-settings.php’, ‘wp-mail.php’, dan ‘wp-blog -header.php’, untuk menyuntikkan pengalihan ke forum diskusi Tanya Jawab palsu.

Kode berbahaya di salah satu file yang terinfeksi (Sucuri)

File yang terinfeksi atau disuntikkan berisi kode berbahaya yang memeriksa apakah pengunjung situs web masuk ke WordPress, dan jika tidak, mengarahkan mereka ke URL https://ois.is/images/logo-6.png.

Sucuri tidak dapat mengidentifikasi bagaimana pelaku ancaman melanggar situs web yang digunakan untuk pengalihan. Namun, kemungkinan itu terjadi dengan mengeksploitasi plugin yang rentan atau memaksa kata sandi admin WordPress.

Oleh karena itu, rekomendasinya adalah untuk meningkatkan semua plugin WordPress dan CMS situs web ke versi terbaru dan mengaktifkan otentikasi dua faktor (2FA) di akun admin.

sumber : bleeping computer

Varian Baru IceXLoader Malware Loader Menginfeksi Ribuan Korban di Seluruh Dunia

November 10, 2022 by Coffee Bean

Versi terbaru dari pemuat malware dengan nama kode IceXLoader diduga telah menyusupkan ribuan mesin Windows pribadi dan perusahaan di seluruh dunia.

Juni lalu, Fortinet FortiGuard Labs mengatakan telah menemukan versi trojan yang ditulis dalam bahasa pemrograman Nim dengan tujuan menghindari analisis dan deteksi.

IceXLoader sebelumnya didistribusikan melalui kampanye phishing, dengan email yang berisi arsip ZIP berfungsi sebagai pemicu untuk menyebarkan malware. Rantai infeksi telah membantu IceXLoader untuk menghadirkan DarkCrystal RAT dan penambang cryptocurrency.

Dalam urutan serangan yang dirinci oleh Minerva Labs, file ZIP telah ditemukan menyimpan penetes, yang menjatuhkan pengunduh berbasis .NET yang, seperti namanya, mengunduh gambar PNG (“Ejvffhop.png”) dari hard- kode URL.

File gambar ini, penetes lain, kemudian diubah menjadi array byte, yang secara efektif memungkinkannya untuk mendekripsi dan menyuntikkan IceXLoader ke dalam proses baru menggunakan teknik yang disebut proses pengosongan.

Minerva Labs mengatakan file database SQLite yang dihosting di server command-and-control (C2) terus diperbarui dengan informasi tentang ribuan korban, menambahkannya dalam proses memberi tahu perusahaan yang terkena dampak.

sumber : the hacker news

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

phising

Cookies Settings