Ragam cara dilakukan oleh penjahat siber, salah satunya adalah trik tipuan minesweeper yang merupakan metode baru phising dalam mencari korban.
Peretas menggunakan kode dari tiruan Python dari game Minesweeper milik Microsoft untuk menyembunyikan skrip berbahaya dalam serangan terhadap organisasi finansial di dunia.
Serangan tersebut adalah pelaku yang dilacak sebagai ‘UAC-0188’, yang menggunakan kode sah untuk menyembunyikan skrip Python yang mengunduh dan menginstal SuperOps RMM.
Superops RMM adalah perangkat lunak manajemen jarak jauh sah yang memberikan akses langsung kepada aktor jarak jauh ke sistem yang disusupi.
Dilaporkan bahwa penelitian setelah penemuan awal serangan ini mengungkapkan setidaknya lima potensi pelanggaran oleh file yang sama di lembaga-lembaga keuangan.
Baca juga: Social Engineering, Phising dan Psikologi |
Modus Operandi
Serangan dimulai dengan email yang dikirim dari alamat “support@patient-docs-mail.com”, yang meniru identitas pusat medis dengan subjek “Arsip Web Pribadi Dokumen Medis”.
Penerima diminta untuk mengunduh file .SCR berukuran 33MB dari tautan Dropbox yang disediakan. File ini berisi kode tidak berbahaya dari tiruan Python dari game Minesweeper bersama dengan kode Python berbahaya yang mengunduh skrip tambahan dari sumber jarak jauh (“anotepad.com”).
Memasukkan kode Minesweeper ke dalam file yang dapat dieksekusi berfungsi sebagai penutup untuk string berkode base64 berukuran 28MB.
Kode tersebut merupakan kode berbahaya, mencoba membuatnya tampak tidak berbahaya bagi perangkat lunak keamanan.
Selain itu, kode Minesweeper berisi fungsi bernama “create_license_ver” yang digunakan untuk memecahkan kode dan mengeksekusi kode berbahaya yang tersembunyi.
Sehingga komponen perangkat lunak yang sah digunakan untuk menutupi dan memfasilitasi serangan siber.
String base64 didekodekan untuk merakit file ZIP yang berisi penginstal MSI untuk SuperOps RMM, yang akhirnya diekstraksi dan dieksekusi menggunakan kata sandi statis.
SuperOps RMM adalah alat akses jarak jauh yang sah, namun dalam kasus ini digunakan untuk memberikan pelaku akses tidak sah ke komputer korban.
Baca juga: APT28 Menyebar Phising Secara Global |
Tindakan Pencegahan
Sebagai catatan perusahaan yang tidak menggunakan produk SuperOps RMM harus menganggap kehadirannya atau aktivitas jaringan terkait, seperti panggilan ke domain:
- superops.com
- superops.ai
sebagai tanda kompromi peretas. sehingga dapat segera mengambil tindakan untuk mengatasi ancaman trik tipuan Minesweeper.
Gunakan teknologi keamanan email yang mumpuni seperti misalnya Vimanamail sebagai salah satu cara untuk menjaring email-email berbahaya yang masuk ke dalam sistem perusahaan.
Sementara itu di sisis lain CERT_UA diketahui juga telah membagikan indikator kompromi tambahan (IoC) yang terkait dengan serangan ini.
Semoga ulasan di atas mengenai trik tipuan Minesweeper dapat menjadi informasi yang berguna dan dapat menambah wawasan pengguna.
Sumber berita: