Credit image: Freepix
Kampanye Phising Global Sebar Malware Melalui Email – Sebuah kampanye phising yang berkembang pesat kini menargetkan pengguna Windows di seluruh dunia.
Para penyerang tidak hanya mencuri kredensial, tetapi juga menyebarkan berbagai remote access trojan (RAT) melalui skrip berbahaya.
Peneliti mendeteksi kampanye ini, yang beroperasi dalam skala global dan menargetkan organisasi di berbagai sektor, termasuk manufaktur, teknologi, kesehatan, konstruksi, dan retail.
Menurut laporan yang diterbitkan Fortinet, kampanye ini menggunakan skenario rekayasa sosial (social engineering) yang bervariasi untuk memancing korban ke halaman phising yang meyakinkan.
|
Baca juga: Phising Email Bertarget dan Jebakan Ganda |
Cara Kerja Serangan
Serangan ini dimulai dengan email phising yang sering kali menyamar sebagai pemberitahuan mendesak, seperti pesan suara yang tidak terjawab atau pesanan pembelian. Para penyerang mempersonalisasi halaman phising dengan menyertakan email dan logo perusahaan korban agar terlihat lebih sah.
Tujuan dari halaman palsu ini adalah untuk mendorong korban mengunduh file JavaScript yang berfungsi sebagai dropper untuk malware UpCrypter. Pada akhirnya, malware ini akan menyebarkan berbagai RAT, termasuk PureHVNC, DCRat, dan Babylon RAT.
Serangan ini lebih berbahaya daripada serangan phising pada umumnya. Selain mencuri kredensial untuk aktivitas jahat di masa depan, tujuan utamanya adalah untuk mendapatkan akses jangka panjang ke jaringan organisasi.
File berbahaya yang dikirimkan bukan hanya untuk mencuri kata sandi, tetapi untuk menginstal alat akses jarak jauh yang kuat yang memberikan kontrol jangka panjang kepada penyerang.
|
Baca juga: Lebih dari 84.000 Server Email Roundcube Berisiko Diserang |
Ancaman Serius yang Menyebar Cepat
Rantai serangan ini dimulai dengan skrip kecil dan obfuscated (tersembunyi) yang mengalihkan korban ke situs tiruan. Untuk mempersulit deteksi, para penyerang menggunakan teknik pengkodean canggih, seperti menyembunyikan malware dengan kode-kode yang rumit dan tidak berguna.
Selain itu, malware ini juga dilengkapi dengan mekanisme deteksi diri. Jika mendeteksi adanya alat forensik, debugger, atau lingkungan mesin virtual seperti any.run dan Wireshark, malware akan melakukan pemindaian dan memulai ulang.
Peneliti mengaitkan kompleksitas kampanye ini dengan ketersediaan alat dan phising kit siap pakai yang luas di situs peretas bawah tanah. Alat-alat ini memungkinkan mereka membangun sistem lengkap untuk menyebarkan malware, bukan hanya sekadar penipuan sederhana.
Sehingga kampanye ini menyebar dengan kecepatan yang luar biasa. Hanya dalam dua minggu sejak ditemukan, jumlah deteksinya telah berlipat ganda, menunjukkan pola pertumbuhan yang sangat agresif.
|
Baca juga: Operasi Siber RoundPress Curi Email Pemerintah di Seluruh Dunia |
Cara Bertahan dari Serangan Phising Kompleks
Mengingat semakin maraknya phising kit yang memungkinkan para pelaku kejahatan siber menyebarkan vektor serangan canggih dengan cepat, para tim keamanan harus merespons dengan pertahanan berlapis.
Untuk menghadapi situasi seperti ini ada beberapa langkah rekomendasi yang bisa menanggulanginya:
- Penyaringan Email yang Kuat: Gunakan filter email yang kuat untuk mendeteksi dan memblokir email berbahaya sebelum mencapai kotak masuk karyawan.
- Pelatihan Karyawan: Berikan pelatihan kepada karyawan untuk mengenali taktik dan jebakan phising terbaru.
- Perbarui Alat Keamanan: Pastikan semua firewall aplikasi web, filter email, EDR (endpoint detection and response), dan alat antivirus selalu diperbarui.
Selain itu, tim keamanan juga dapat menggunakan berbagai kontrol untuk menghentikan eksekusi skrip PowerShell berbahaya yang digunakan dalam kampanye ini. Kontrol tersebut meliputi:
- Penerapan Penandatanganan Skrip PowerShell: Konfigurasikan PowerShell untuk hanya menjalankan skrip yang memiliki tanda tangan digital yang valid dari penerbit tepercaya.
- Penggunaan Mode Bahasa Terbatas (Constrained Language Mode): Batasi fungsionalitas PowerShell untuk mencegah malware mengeksekusi perintah sensitif.
- Deteksi Rantai Peristiwa: Awasi rantai peristiwa mencurigakan, seperti membuka lampiran HTML di email yang mengarah pada penggunaan PowerShell, karena ini dapat menjadi indikator serangan.
Dengan menerapkan langkah-langkah pertahanan ini, organisasi dapat secara proaktif memblokir serangan dan melindungi jaringan mereka dari ancaman yang semakin canggih.
Sumber berita:
