Credit image: Freepix
Hati-hati Eksekutif Keuangan Phising Canggih Menguntit – Para peneliti keamanan siber telah mengeluarkan peringatan mengenai operasi spear phising baru yang memanfaatkan alat akses jarak jauh yang sah bernama Netbird.
Operasi ini secara khusus menargetkan Chief Financial Officer (CFO) dan eksekutif keuangan di bank, perusahaan energi, perusahaan asuransi, dan perusahaan investasi di seluruh Eropa, Afrika, Kanada, Timur Tengah, dan Asia Selatan.
Operasi phising multi-tahap ini bertujuan untuk menyebarkan Netbird, alat akses jarak jauh berbasis Wireguard yang sah, ke komputer korban.
Aktivitas berbahaya ini pertama kali terdeteksi oleh Trellix pada pertengahan Mei 2025 dan hingga saat ini belum dikaitkan dengan aktor atau kelompok ancaman tertentu.
|
Baca juga: Skema Phising Kredensial |
Dari Email Palsu hingga Instalasi Malware
Titik awal serangan ini adalah email phising yang menyamar sebagai perekrut dari Rothschild & Co. Email tersebut menjanjikan “kesempatan strategis” dengan perusahaan.
Email dirancang untuk memancing penerima agar membuka lampiran PDF yang sebenarnya adalah tautan phising. Tautan ini akan mengarahkan mereka ke URL yang di-hosting oleh aplikasi Firebase.
Yang menarik dari infeksi ini adalah URL pengalihan sebenarnya disimpan dalam halaman dalam bentuk terenkripsi. URL ini hanya dapat diakses setelah korban berhasil memecahkan verifikasi CAPTCHA. Setelah CAPTCHA teratasi, korban akan diarahkan untuk mengunduh arsip ZIP.
Peneliti menjelaskan bahwa penyerang semakin mengandalkan gerbang CAPTCHA kustom ini, berharap dapat melewati pertahanan yang telah menandai situs phising yang dilindungi oleh Cloudflare Turnstile atau Google reCAPTCHA.
Di dalam arsip ZIP tersebut terdapat Visual Basic Script (VBScript). Skrip ini bertanggung jawab untuk mengambil VBScript tahap selanjutnya dari server eksternal dan meluncurkannya melalui “wscript.exe”.
VBScript pengunduh tahap kedua ini kemudian mengambil payload lain dari server yang sama, mengganti namanya menjadi “trm.zip”, dan mengekstrak dua file MSI darinya: NetBird dan OpenSSH.
Fase terakhir melibatkan instalasi kedua program tersebut pada host yang terinfeksi. Selain itu, malware ini juga membuat akun lokal tersembunyi, mengaktifkan akses desktop jarak jauh.
Dan menjadikan Netbird persisten melalui tugas terjadwal sehingga secara otomatis diluncurkan saat sistem di-boot ulang. Untuk memastikan bahwa kompromi tidak terdeteksi oleh korban, malware ini juga menghapus semua shortcut desktop Netbird.
Trellix menemukan URL pengalihan lain yang telah aktif selama hampir setahun dan menyajikan payload VBScript yang sama, menunjukkan bahwa kampanye ini mungkin sudah berlangsung cukup lama.
Dari Phising Tradisional hingga PhaaS
Penemuan ini kembali menunjukkan bagaimana para pelaku kejahatan siber semakin mengandalkan aplikasi akses jarak jauh yang sah seperti:
- ConnectWise.
- ScreenConnect.
- Atera.
- Splashtop.
- FleetDeck.
- dan LogMeIn Resolve.
Tujuannya adalah untuk membangun persistensi dan menggunakannya untuk menyusup ke jaringan korban, sekaligus menghindari deteksi.
Peneliti menekankan bahwa serangan ini “bukanlah penipuan phising biasa.” Ini adalah serangan multi-tahap yang terencana dengan baik serta bertarget.
Dan dirancang untuk melewati teknologi serta pengawasan manusia. Penyerang menggunakan teknik rekayasa sosial dan penghindaran pertahanan untuk menciptakan dan mempertahankan akses persisten ke sistem korban.
|
Baca juga: Program Pelatihan Anti Phising |
Gelombang Social Engineering Berbasis Email Lainnya
Pengungkapan ini bertepatan dengan penemuan berbagai kampanye rekayasa sosial berbasis email lainnya yang beredar luas, di antaranya:
- Serangan yang menyalahgunakan domain tepercaya yang terkait dengan penyedia layanan internet (ISP) Jepang terkenal untuk mengirim pesan phising dari alamat email “company@nifty[.]com” dalam upaya melewati pemeriksaan otentikasi email dan memanen kredensial.
- Serangan yang menyalahgunakan platform pengembangan Google Apps Script untuk menghosting halaman phising yang terlihat sah dan mencuri kredensial masuk Microsoft dengan menggunakan umpan email bertema faktur.
- Serangan yang meniru faktur Apple Pay untuk mencuri data sensitif pengguna, termasuk detail kartu kredit dan detail akun Yahoo Mail.
- Serangan yang menyalahgunakan ruang kerja Notion untuk menghosting halaman phising yang menipu pengguna agar mengklik tautan yang membawa korban ke halaman masuk Microsoft palsu dengan dalih melihat dokumen bersama dan mengeksfiltrasi kredensial melalui bot Telegram.
- Serangan yang mengeksploitasi cacat keamanan lama di Microsoft Office (CVE-2017-11882) untuk mengirimkan varian malware Formbook yang tersembunyi dalam file PNG palsu dan mencuri data sensitif dari host yang disusupi.
Layanan Phising-as-a-Service Menurunkan Batas Akses
Penemuan ini juga muncul seiring hubungan operasional antara kit phising Tycoon dan DadSec (alias Phoenix), menyoroti tumpang tindih infrastruktur mereka dan penggunaan infrastruktur phising terpusat. DadSec adalah hasil karya aktor ancaman yang dilacak oleh Microsoft dengan nama Storm-1575.
Peneliti menyatakan bahwa infrastruktur yang digunakan oleh DadSec juga terhubung dengan kampanye baru yang memanfaatkan platform Phising-as-a-Service (PhaaS) ‘Tycoon 2FA’.”
Investigasi terhadap kit phising Tycoon2FA mengungkapkan bagaimana penyerang terus menyempurnakan dan memperluas taktik mereka dalam ekosistem PhaaS.
Popularitas layanan PhaaS yang berkembang ditunjukkan oleh munculnya kit baru berbahasa Mandarin “plug-and-play” yang dijuluki Haozi.
Diperkirakan Haozi telah memfasilitasi transaksi kriminal senilai lebih dari $280.000 selama lima bulan terakhir dengan menjual iklan ke layanan pihak ketiga. Haozi beroperasi dengan basis langganan seharga $2.000 per tahun.
Setelah penyerang membeli server dan memasukkan kredensialnya ke panel, perangkat lunak phising secara otomatis disiapkan, tanpa perlu menjalankan satu perintah pun.
Penyiapan tanpa gesekan ini berbeda dengan alat PhaaS lainnya seperti suite Darcula yang didukung AI, di mana penggunaan baris perintah minimal masih diperlukan.
Selain mendukung panel admin tempat pengguna dapat mengelola semua kampanye mereka di satu tempat, Haozi juga ditemukan menawarkan ruang iklan, bertindak sebagai perantara untuk menghubungkan pembeli kit phising dengan layanan pihak ketiga, seperti yang terkait dengan vendor SMS.
|
Baca juga: Trik Phising Google Calendar |
Fitur Lain Pembeda
Fitur lain yang membedakan Haozi dari kit lain adalah saluran Telegram purna jual khusus (@yuanbaoaichiyu) untuk membantu pelanggan dengan masalah debugging.
Selain juga mengoptimalkan kampanye mereka, memposisikannya sebagai pilihan menarik bagi penjahat siber yang bercita-cita tinggi namun tidak memiliki keahlian teknis.
Penawaran PhaaS menurunkan tingkat keterampilan dan menskalakan kampanye melalui otomatisasi dan dukungan komunitas. Model baru ini berfungsi lebih seperti bisnis SaaS daripada kelompok peretas pasar gelap, lengkap dengan harga langganan, layanan pelanggan, dan pembaruan produk.
Microsoft, dalam pemberitahuan yang diterbitkan minggu lalu, mengungkapkan bagaimana platform PhaaS semakin mendorong phising kredensial adversary-in-the-middle (AiTM) seiring dengan melonjaknya adopsi otentikasi multi-faktor (MFA).
Beberapa teknik lainnya termasuk:
- Phising kode perangkat.
- Phising persetujuan OAuth; dimana pelaku menggunakan protokol Open Authorization (OAuth) dan mengirim email dengan tautan persetujuan berbahaya.
- Phising gabungan perangkat, dimana pelaku menggunakan tautan phising untuk menipu target agar mengizinkan penggabungan domain dari perangkat yang dikendalikan pelaku.
Microsoft telah mengamati aktor ancaman yang diduga terkait dengan Rusia menggunakan pesan atau email aplikasi pihak ketiga yang merujuk pada undangan rapat mendatang untuk mengirimkan tautan berbahaya yang berisi kode otorisasi yang valid.
Sampai di sini dulu pembahasan kita, semoga informasi mengenai spear phising canggih buru eksekutif keuangan dapat memberi manfaat.
Sumber berita:
