Peneliti keamanan siber menyoroti jenis baru skema phising kredensial atau dikenal juga sebagai spear phising tingkat lanjut yang memastikan bahwa informasi yang dicuri dikaitkan dengan akun daring yang valid.

Teknik ini diberi nama sandi phising validasi presisi, yang katanya menggunakan validasi email waktu nyata sehingga hanya sekumpulan target bernilai tinggi terpilih yang akan menerima layar login palsu.

Taktik ini tidak hanya memberi pelaku ancaman tingkat keberhasilan yang lebih tinggi dalam memperoleh kredensial yang dapat digunakan karena mereka hanya terlibat dengan daftar akun email valid tertentu yang telah dipanen sebelumnya.

Baca juga: Program Pelatihan Anti Phising

Spear Phising Tingkat Lanjut

Tidak seperti operasi pengumpulan kredensial “spray-and-pray” yang biasanya melibatkan distribusi massal email spam untuk memperoleh informasi login korban secara sembarangan.

Taktik serangan terbaru ini membawa spear-phising ke tingkat berikutnya dengan hanya terlibat dengan alamat email yang telah diverifikasi oleh penyerang sebagai aktif, sah, dan bernilai tinggi. Keamanan siber

Dalam skenario ini, alamat email yang dimasukkan korban di halaman arahan phising divalidasi terhadap basis data penyerang, setelah itu halaman login palsu ditampilkan.

Jika alamat email tidak ada dalam basis data, halaman tersebut akan menampilkan kesalahan atau pengguna akan diarahkan ke halaman yang tidak berbahaya seperti Wikipedia untuk menghindari analisis keamanan.

Pemeriksaan dilakukan dengan mengintegrasikan layanan validasi berbasis API atau JavaScript ke dalam kit phising yang mengonfirmasi alamat email sebelum melanjutkan ke langkah penangkapan kata sandi.

Ini meningkatkan efisiensi serangan dan kemungkinan kredensial yang dicuri adalah milik akun asli yang digunakan secara aktif, sehingga meningkatkan kualitas data yang dikumpulkan untuk dijual kembali atau dieksploitasi lebih lanjut.

Perayap keamanan otomatis dan lingkungan sandbox juga kesulitan menganalisis serangan ini karena tidak dapat melewati filter validasi.

Pendekatan yang ditargetkan ini mengurangi risiko penyerang dan memperpanjang masa pakai operasi phising.

Baca juga: Multi Faktor Autentikasi Anti Phising

Serangan Bercabang Dua

Dalam penelitian lebih lanjut, terungkap detail operasi phising email yang menggunakan pengingat penghapusan file sebagai umpan untuk mengambil kredensial sekaligus mengirimkan malware.

Serangan bercabang dua ini memanfaatkan URL tertanam yang tampaknya mengarah ke file PDF yang dijadwalkan untuk dihapus dari layanan penyimpanan file sah yang disebut files.fm.

Jika penerima pesan mengeklik tautan tersebut, mereka akan diarahkan ke tautan files.fm yang sah tempat mereka dapat mengunduh file PDF yang dimaksud.

Namun, saat PDF dibuka, pengguna diberikan dua opsi untuk melihat pratinjau atau mengunduh file. Pengguna yang memilih yang pertama akan diarahkan ke layar login Microsoft palsu yang dirancang untuk mencuri kredensial mereka.

Saat opsi unduhan dipilih, ia akan menjatuhkan file yang dapat dieksekusi yang mengklaim sebagai Microsoft OneDrive.

Tetapi, pada kenyataannya, adalah perangkat lunak desktop jarak jauh ScreenConnect dari ConnectWise.

Hampir seolah-olah pelaku ancaman sengaja merancang serangan untuk menjebak pengguna, memaksa mereka untuk memilih ‘racun’ mana yang akan mereka terima.

Kedua opsi tersebut mengarah pada hasil yang sama, dengan tujuan yang serupa tetapi pendekatan yang berbeda untuk mencapainya.

Baca juga: Evolusi Serangan Phising

Serangan Multitahap Canggih

Temuan tersebut juga mengikuti penemuan serangan multitahap canggih yang menggabungkan:

• Vishing
• Peralatan akses jarak jauh
• Dan Kemampuan persistensi untuk mendapatkan akses awal.

Keahlian yang diamati dalam aktivitas tersebut konsisten dengan kluster yang dilacak sebagai Storm-1811 dan STAC5777.

Pelaku ancaman mengeksploitasi saluran komunikasi yang terekspos dengan mengirimkan muatan PowerShell berbahaya melalui pesan Microsoft Teams.

Lalu diikuti dengan penggunaan Quick Assist untuk mengakses lingkungan dari jarak jauh. Hal ini menyebabkan:

• Penyebaran biner yang ditandatangani (misalnya, TeamViewer.exe).
• DLL berbahaya yang diunggah (TV.dll).
• Dan akhirnya backdoor C2 berbasis JavaScript yang dijalankan melalui Node.js.

 

 

Baca artikel lainnya:  Serangan Phising Lebih Berbahaya dengan AI Apa yang Menyebabkan Phising Sulit Dideteksi Perusahaan Indonesia Biang Kerok Phising Terbesar Serangan Phising Kredensial Phising Induk Ragam Serangan Langkah Pemulihan Serangan Phising Bahaya Disinformasi dan Phising di Masa Kritis Memahami dan Mengatasi Phising Secara Sederhana

 

Sumber berita:

 

Prosperita IT News