Credit image: Pixabay
Phising selalu memiliki ruang untuk berkembang, ini yang harus menjadi perhatian bagi pengguna email dimana pun. Seperti perkembangan teknik phising terbaru yang disebut sebagai phising multi persona.
Di balik teknik terbaru tersebut adalah sebuah kelompok peretas Iran yang menggunakan teknik yang rumit ini.
Dimana mereka menggunakan banyak persona dan akun email untuk memikat target agar berpikir bahwa ini adalah percakapan email yang realistis.
Pelaku mengirim email ke target sambil meng-CC alamat email lain di bawah kendali mereka dan kemudian merespons dari email itu, lalu terlibat dalam percakapan palsu.
Teknik phising multi persona memanfaatkan prinsip psikologi “bukti sosial” untuk mengaburkan pemikiran logis dan menambahkan unsur kepercayaan pada rangkaian phising.
TA453 adalah kelompok peretas Iran yang diyakini beroperasi dari dalam IRGC atau Islamic Revolution Guard Corps.
Yang sebelumnya terlihat menyamar sebagai jurnalis untuk menargetkan akademisi dan pakar kebijakan di Timur Tengah.
|
Baca juga: Fitur-fitur Phising |
Meniru Multi Persona
Taktik baru TA453 membutuhkan lebih banyak upaya untuk melakukan serangan phising, karena setiap target harus terlibat dalam percakapan realistis yang rumit yang diadakan oleh persona palsu.
Namun, upaya ekstra ini terbayar, karena menciptakan pertukaran email yang tampak realistis sehingga membuat percakapan terlihat sah.
Seperti dalam kasus-kasus berikut:
- Pengirim menyamar sebagai Direktur Penelitian di FRPI dan email yang dikirim ke target dan mem-CC Director of Global Attitudes Research di Pusat Penelitian PEW. Keesokan harinya, direktur PEW yang menyamar menjawab pertanyaan yang dikirim oleh direktur FRPI, menciptakan kesan palsu dari percakapan jujur yang akan menarik target untuk bergabung.
- Pada kasus lain yang melibatkan ilmuwan yang mengkhususkan diri dalam penelitian genom, persona CCed menjawab dengan tautan OneDrive yang mengarah pada pengunduhan dokumen DOCX yang dicampur dengan makro jahat.
- Serangan phising MPI ketiga yang diluncurkan oleh TA453 terhadap dua akademisi yang berspesialisasi dalam pengendalian senjata nuklir, para pelaku ancaman mengirim CC tiga persona, melakukan serangan yang bahkan lebih rumit.
Dari semua kasus, pelaku menggunakan alamat email pribadi Gmail, Outlook, AOL, Hotmail untuk pengirim dan orang yang di-CC
Mereka tidak menggunakan alamat dari institusi dimana mereka menyamar. Jadi jelas bahwa aktivitas ini sangat mencurigakan.
|
Baca juga: Ciri Khas Email Phising |
Muatan Berbahaya
Dokumen yang ditargetkan untuk diunduh melalui tautan OneDrive dalam kampanye terbaru TA453 adalah file yang dilindungi kata sandi yang melakukan injeksi template.
Template yang diunduh, dijuluki Korg oleh Proofpoint, memiliki tiga makro:
- Module1.bas.
- Module2.bas
- ThisDocument.cls.
Makro mengumpulkan informasi seperti nama pengguna, daftar proses yang berjalan bersama dengan IP publik pengguna dari my-ip.io dan kemudian mengekstrak informasi itu menggunakan API Telegram.
Para peneliti tidak dapat melewati tahap suar informasi pengintaian tetapi berasumsi bahwa eksploitasi tambahan terjadi pada langkah-langkah berikutnya untuk memberikan kemampuan eksekusi kode kepada pelaku ancaman jarak jauh pada host.
|
Baca lainnya: |
Sumber berita:
