Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

5 min read
Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

Credit image: Freepix

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit – Para peneliti keamanan siber telah mengeluarkan peringatan mengenai operasi spear phising baru yang memanfaatkan alat akses jarak jauh yang sah bernama Netbird.

Operasi ini secara khusus menargetkan Chief Financial Officer (CFO) dan eksekutif keuangan di bank, perusahaan energi, perusahaan asuransi, dan perusahaan investasi di seluruh Eropa, Afrika, Kanada, Timur Tengah, dan Asia Selatan.

Operasi phising multi-tahap ini bertujuan untuk menyebarkan Netbird, alat akses jarak jauh berbasis Wireguard yang sah, ke komputer korban.

Aktivitas berbahaya ini pertama kali terdeteksi oleh Trellix pada pertengahan Mei 2025 dan hingga saat ini belum dikaitkan dengan aktor atau kelompok ancaman tertentu.

Baca juga: Skema Phising Kredensial

Dari Email Palsu hingga Instalasi Malware

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
Credit image: Freepix

Titik awal serangan ini adalah email phising yang menyamar sebagai perekrut dari Rothschild & Co. Email tersebut menjanjikan “kesempatan strategis” dengan perusahaan.

Email dirancang untuk memancing penerima agar membuka lampiran PDF yang sebenarnya adalah tautan phising. Tautan ini akan mengarahkan mereka ke URL yang di-hosting oleh aplikasi Firebase.

Yang menarik dari infeksi ini adalah URL pengalihan sebenarnya disimpan dalam halaman dalam bentuk terenkripsi. URL ini hanya dapat diakses setelah korban berhasil memecahkan verifikasi CAPTCHA. Setelah CAPTCHA teratasi, korban akan diarahkan untuk mengunduh arsip ZIP.

Peneliti menjelaskan bahwa penyerang semakin mengandalkan gerbang CAPTCHA kustom ini, berharap dapat melewati pertahanan yang telah menandai situs phising yang dilindungi oleh Cloudflare Turnstile atau Google reCAPTCHA.

Di dalam arsip ZIP tersebut terdapat Visual Basic Script (VBScript). Skrip ini bertanggung jawab untuk mengambil VBScript tahap selanjutnya dari server eksternal dan meluncurkannya melalui “wscript.exe”.

VBScript pengunduh tahap kedua ini kemudian mengambil payload lain dari server yang sama, mengganti namanya menjadi “trm.zip”, dan mengekstrak dua file MSI darinya: NetBird dan OpenSSH.

Fase terakhir melibatkan instalasi kedua program tersebut pada host yang terinfeksi. Selain itu, malware ini juga membuat akun lokal tersembunyi, mengaktifkan akses desktop jarak jauh.

Dan menjadikan Netbird persisten melalui tugas terjadwal sehingga secara otomatis diluncurkan saat sistem di-boot ulang. Untuk memastikan bahwa kompromi tidak terdeteksi oleh korban, malware ini juga menghapus semua shortcut desktop Netbird.

Trellix menemukan URL pengalihan lain yang telah aktif selama hampir setahun dan menyajikan payload VBScript yang sama, menunjukkan bahwa kampanye ini mungkin sudah berlangsung cukup lama.

Dari Phising Tradisional hingga PhaaS

Penemuan ini kembali menunjukkan bagaimana para pelaku kejahatan siber semakin mengandalkan aplikasi akses jarak jauh yang sah seperti:

  • ConnectWise.
  • ScreenConnect.
  • Atera.
  • Splashtop.
  • FleetDeck.
  • dan LogMeIn Resolve.

Tujuannya adalah untuk membangun persistensi dan menggunakannya untuk menyusup ke jaringan korban, sekaligus menghindari deteksi.

Peneliti menekankan bahwa serangan ini “bukanlah penipuan phising biasa.” Ini adalah serangan multi-tahap yang terencana dengan baik serta bertarget.

Dan dirancang untuk melewati teknologi serta pengawasan manusia. Penyerang menggunakan teknik rekayasa sosial dan penghindaran pertahanan untuk menciptakan dan mempertahankan akses persisten ke sistem korban.

Baca juga: Program Pelatihan Anti Phising

Gelombang Social Engineering Berbasis Email Lainnya

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
Credit image: Freepix

Pengungkapan ini bertepatan dengan penemuan berbagai kampanye rekayasa sosial berbasis email lainnya yang beredar luas, di antaranya:

  • Serangan yang menyalahgunakan domain tepercaya yang terkait dengan penyedia layanan internet (ISP) Jepang terkenal untuk mengirim pesan phising dari alamat email “company@nifty[.]com” dalam upaya melewati pemeriksaan otentikasi email dan memanen kredensial.
  • Serangan yang menyalahgunakan platform pengembangan Google Apps Script untuk menghosting halaman phising yang terlihat sah dan mencuri kredensial masuk Microsoft dengan menggunakan umpan email bertema faktur.
  • Serangan yang meniru faktur Apple Pay untuk mencuri data sensitif pengguna, termasuk detail kartu kredit dan detail akun Yahoo Mail.
  • Serangan yang menyalahgunakan ruang kerja Notion untuk menghosting halaman phising yang menipu pengguna agar mengklik tautan yang membawa korban ke halaman masuk Microsoft palsu dengan dalih melihat dokumen bersama dan mengeksfiltrasi kredensial melalui bot Telegram.
  • Serangan yang mengeksploitasi cacat keamanan lama di Microsoft Office (CVE-2017-11882) untuk mengirimkan varian malware Formbook yang tersembunyi dalam file PNG palsu dan mencuri data sensitif dari host yang disusupi.

Layanan Phising-as-a-Service Menurunkan Batas Akses

Penemuan ini juga muncul seiring hubungan operasional antara kit phising Tycoon dan DadSec (alias Phoenix), menyoroti tumpang tindih infrastruktur mereka dan penggunaan infrastruktur phising terpusat. DadSec adalah hasil karya aktor ancaman yang dilacak oleh Microsoft dengan nama Storm-1575.

Peneliti menyatakan bahwa infrastruktur yang digunakan oleh DadSec juga terhubung dengan kampanye baru yang memanfaatkan platform Phising-as-a-Service (PhaaS) ‘Tycoon 2FA’.”

Investigasi terhadap kit phising Tycoon2FA mengungkapkan bagaimana penyerang terus menyempurnakan dan memperluas taktik mereka dalam ekosistem PhaaS.

Popularitas layanan PhaaS yang berkembang ditunjukkan oleh munculnya kit baru berbahasa Mandarin “plug-and-play” yang dijuluki Haozi.

Diperkirakan Haozi telah memfasilitasi transaksi kriminal senilai lebih dari $280.000 selama lima bulan terakhir dengan menjual iklan ke layanan pihak ketiga. Haozi beroperasi dengan basis langganan seharga $2.000 per tahun.

Setelah penyerang membeli server dan memasukkan kredensialnya ke panel, perangkat lunak phising secara otomatis disiapkan, tanpa perlu menjalankan satu perintah pun.

Penyiapan tanpa gesekan ini berbeda dengan alat PhaaS lainnya seperti suite Darcula yang didukung AI, di mana penggunaan baris perintah minimal masih diperlukan.

Selain mendukung panel admin tempat pengguna dapat mengelola semua kampanye mereka di satu tempat, Haozi juga ditemukan menawarkan ruang iklan, bertindak sebagai perantara untuk menghubungkan pembeli kit phising dengan layanan pihak ketiga, seperti yang terkait dengan vendor SMS.

Baca juga: Trik Phising Google Calendar

Fitur Lain Pembeda

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
Credit image: Freepix

Fitur lain yang membedakan Haozi dari kit lain adalah saluran Telegram purna jual khusus (@yuanbaoaichiyu) untuk membantu pelanggan dengan masalah debugging.

Selain juga mengoptimalkan kampanye mereka, memposisikannya sebagai pilihan menarik bagi penjahat siber yang bercita-cita tinggi namun tidak memiliki keahlian teknis.

Penawaran PhaaS menurunkan tingkat keterampilan dan menskalakan kampanye melalui otomatisasi dan dukungan komunitas. Model baru ini berfungsi lebih seperti bisnis SaaS daripada kelompok peretas pasar gelap, lengkap dengan harga langganan, layanan pelanggan, dan pembaruan produk.

Microsoft, dalam pemberitahuan yang diterbitkan minggu lalu, mengungkapkan bagaimana platform PhaaS semakin mendorong phising kredensial adversary-in-the-middle (AiTM) seiring dengan melonjaknya adopsi otentikasi multi-faktor (MFA).

Beberapa teknik lainnya termasuk:

  • Phising kode perangkat.
  • Phising persetujuan OAuth; dimana pelaku menggunakan protokol Open Authorization (OAuth) dan mengirim email dengan tautan persetujuan berbahaya.
  • Phising gabungan perangkat, dimana pelaku menggunakan tautan phising untuk menipu target agar mengizinkan penggabungan domain dari perangkat yang dikendalikan pelaku.

Microsoft telah mengamati aktor ancaman yang diduga terkait dengan Rusia menggunakan pesan atau email aplikasi pihak ketiga yang merujuk pada undangan rapat mendatang untuk mengirimkan tautan berbahaya yang berisi kode otorisasi yang valid.

Sampai di sini dulu pembahasan kita, semoga informasi mengenai spear phising canggih buru eksekutif keuangan dapat memberi manfaat.

 

 

 

Baca artikel lainnya: 

  • Phising Kode Perangkat
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Serangan Phising yang Jarang Diketahui
  • Metode Serangan Phising
  • Meretas Beragam Wajah Phising
  • Ratusan Juta Email Phising Melanda Dunia Maya
  • Ratusan Ribu Kartu Kredit Dicuri Darcula Lewat Phising
  • Hati-hati Lamaran Online Berisi Phising
  • Phising yang Didukung AI Jauh Lebih Berbahaya
  • Serangan Phising Semakin Cepat Beradaptasi dengan Situasi Terkini

 

 

 

Sumber berita:

 

WeLiveSecurity

Continue Reading

Previous: SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
Next: Manipulasi Psikologis di Balik Serangan Social Engineering Anak

Related Stories

Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025
SIM Card Dari Fisik ke Digital dan Risiko di Baliknya SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
4 min read
  • Teknologi

SIM Card Dari Fisik ke Digital dan Risiko di Baliknya

June 3, 2025
Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025

Recent Posts

  • Manipulasi Psikologis di Balik Serangan Social Engineering Anak
  • Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
  • SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025
Hati-hati Eksekutif Keuangan Phising Canggih Menguntit Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
5 min read
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

June 3, 2025
SIM Card Dari Fisik ke Digital dan Risiko di Baliknya SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
4 min read
  • Teknologi

SIM Card Dari Fisik ke Digital dan Risiko di Baliknya

June 3, 2025
Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025

Copyright © All rights reserved. | DarkNews by AF themes.