Phising sangat fleksible dalam prakteknya di dunia maya, serangan semacam ini dapat dilakukan dengan berbagai media, seperti dokumen OneNote menjadi media pengelabuan.
Serangan phising dengan metode baru seperti dokumen OneNote merupakan salah satu inovasi penjahat siber untuk mendapatkan jalan dalam upaya mereka mencari peruntungan.
Penting bagi para pengguna internet untuk memahami setiap metode baru yang muncul, yang tentu saja tujuan agar terhindar menjadi korban dan menambah wawasan tentang ancaman terkini.
Modus Operandi
Penjahat siber menggunakan email phising yang dibuat secara unik untuk menginfeksi korbannya dengan malware dan menggunakan dokumen OneNote menjadi media pengelabuan dalam mengirimkan muatan berbahaya.
Dan hal ini terlihat dengan terdapat peningkatan jumlah penyerang siber yang mencoba mengirimkan malware menggunakan dokumen OneNote, sebuah buku catatan digital yang ditandai dengan ekstensi .one yang merupakan bagian dari rangkaian aplikasi office Microsoft 365.
Peneliti keamanan siber mencatat bahwa dokumen OneNote tidak biasa disalahgunakan dengan cara ini dan ada satu alasan sederhana mengapa penyerang bereksperimen dengan dokumen tersebut karena dokumen tersebut dapat lebih mudah melewati deteksi ancaman dibandingkan lampiran lainnya. Dan tampaknya itu berhasil.
Baca juga: 3 Fase Serangan Ransomware |
Berbagai Eksperimen
Berdasarkan data dalam repositori open source malware, lampiran yang diamati pada awalnya tidak terdeteksi sebagai berbahaya oleh beberapa mesin antivirus, sehingga kemungkinan operasi awal memiliki tingkat kemanjuran yang tinggi jika email tidak diblokir.
Sejak Microsoft mulai memblokir makro secara default pada tahun 2022, pelaku telah bereksperimen dengan banyak taktik, teknik, dan prosedur (TTP) baru, termasuk penggunaan jenis file yang sebelumnya jarang diamati seperti:
- Hard disk virtual (VHD).
- HTML terkompilasi (CHM).
- dan sekarang OneNote (.one).”
Email phising, yang pertama kali dikirim pada bulan Desember 2022, dan jumlahnya meningkat secara signifikan pada bulan Januari 2023, mencoba mengirimkan salah satu dari beberapa muatan malware yang berbeda, seperti:
- AsyncRAT.
- Redline.
- AgentTesla.
- Doubleback
Yang semua malware di atas itu dirancang untuk mencuri informasi sensitif dari korban, termasuk nama pengguna dan kata sandi.
Peneliti juga mencatat bahwa kelompok penjahat siber yang mereka lacak sebagai TA577 mulai memanfaatkan OneNote dalam operasi untuk menghadirkan Qbot.
Ketimbang mencuri informasi untuk digunakan sendiri, TA577 bertindak sebagai broker akses awal, menjual nama pengguna dan kata sandi yang dicuri kepada penjahat dunia maya lainnya, termasuk geng ransomware.
Lebih dari 60 operasi tersebut telah terdeteksi sejauh ini dan semuanya memiliki karakteristik serupa, dengan email dan lampiran file yang ditautkan ke tema termasuk faktur, pengiriman uang, pengiriman, dan tema musiman, seperti informasi tentang bonus Natal, dan lain-lain.
Misalnya, pesan phising yang dikirim ke target di sektor manufaktur dan industri menyertakan nama lampiran yang terkait dengan suku cadang dan spesifikasi mesin, yang menunjukkan adanya penelitian tingkat tinggi yang dilakukan untuk membuat umpan tersebut.
Baca juga: Permukaan Serangan atau Attack Surface |
Operasi Phising OneNote
Operasi phising OneNote lainnya sedikit lebih umum dan dikirimkan ke ribuan calon korban sekaligus. Salah satu operasi tersebut menyasar sektor pendidikan dengan tagihan palsu, sedangkan operasi lainnya lebih luas, mengklaim menawarkan hadiah Natal atau bonus kepada ribuan calon korban.
Dalam setiap kasus, serangan phising bergantung pada korban membuka email, membuka lampiran OneNote, dan mengklik tautan berbahaya.
Meskipun OneNote menawarkan pesan peringatan tentang tautan mencurigakan, pengguna yang telah dikirimi email yang dibuat khusus untuk mengajukan banding langsung ke tautan tersebut atau mengira mereka mungkin mendapatkan bonus, mencoba mengabaikan peringatan ini.
Para peneliti memperingatkan bahwa kemungkinan besar kampanye ini memiliki tingkat keberhasilan yang tinggi jika email tidak diblokir dan lebih banyak kelompok ancaman dunia maya yang cenderung mengadopsi teknik ini agar berhasil melancarkan kampanye phising dan malware.
Melihat situasi tersebut disarankan agar perusahaan menggunakan filter spam yang kuat yang mencegah pesan-pesan ini masuk ke kotak masuk orang, dan perusahaan harus mengedukasi pengguna akhir tentang teknik ini, dan mendorong pengguna untuk melaporkan email dan lampiran yang mencurigakan.
Ini adalah teknik phising yang meyakinkan korban untuk membuka dokumen dengan lampiran berbahaya yang tertanam dan kemudian melewati perintah keamanan untuk menjalankan lampiran tersebut.
Oleh karena itu pengguna internet harus mempraktikkan kebiasaan komputasi yang baik secara online, termasuk berhati-hati saat mengeklik tautan ke laman web atau membuka file yang tidak dikenal.
Sumber berita: