Operasi Phising PhantomBlu

March, 26 2024 15:13
Teknologi
Operasi Phising PhantomBlu

Serangan phising tak pernah sepi dari gejolak dunia maya, yang terbaru dari kasus ini adalah trik Microsoft Office kirim NetSupport RAT melalui operasi phising PhantomBlu

Operasi phishing baru tersebut menargetkan perusahaan-perusahaan dengan tujuan menyebarkan trojan akses jarak jauh yang disebut NetSupport RAT.

Baca juga: Aplikasi Peniru Berbahaya

Operasi Phising PhantomBlu

Perusahaan keamanan siber melacak aktivitas tersebut yang kemudian diketahui memiliki nama Operation PhantomBlu, yang memperkenalkan metode eksploitasi yang berbeda, menyimpang dari mekanisme pengiriman khas NetSupport RAT.

Mereka dengan memanfaatkan manipulasi templat OLE (Object Linking and Embedding), mengeksploitasi templat dokumen Microsoft Office untuk mengeksekusi kode berbahaya sambil menghindari deteksi.

NetSupport RAT adalah cabang berbahaya dari alat desktop jarak jauh sah yang dikenal sebagai NetSupport Manager, yang memungkinkan pelaku melakukan serangkaian tindakan pengumpulan data pada endpoint yang disusupi.

Baca juga: Teknik Canggih Serangan Email

Modus Phising PhantomBlu

Titik awalnya adalah email phishing bertema gaji yang mengaku berasal dari departemen akuntansi dan mendesak penerima untuk membuka dokumen Microsoft Word terlampir untuk melihat “laporan gaji bulanan”.

Analisis lebih dekat terhadap header pesan email – khususnya bidang Return-Path dan Message-ID – menunjukkan bahwa pelaku menggunakan platform pemasaran email sah yang disebut Brevo (sebelumnya Sendinblue) untuk mengirim email.

Dokumen Word, saat dibuka, memerintahkan korban untuk memasukkan kata sandi yang diberikan di badan email dan mengaktifkan pengeditan, diikuti dengan mengklik dua kali ikon printer yang tertanam di dokumen untuk melihat grafik gaji.

Melakukannya akan membuka file arsip ZIP (“Chart20072007.zip”) yang berisi satu file pintasan Windows, yang berfungsi sebagai dropper PowerShell untuk mengambil dan mengeksekusi biner NetSupport RAT dari server jarak jauh.

Dengan menggunakan .docs terenkripsi untuk mengirimkan NetSupport RAT melalui templat OLE dan injeksi templat, PhantomBlu menandai penyimpangan dari TTP konvensional yang umumnya dikaitkan dengan penerapan NetSupport RAT.

Teknik yang diperbarui menunjukkan inovasi PhantomBlu dalam memadukan taktik penghindaran yang canggih dengan social engineering.

Baca juga: 10 Cara Mengamankan Gadget

Meningkatnya Penyalahgunaan Platform Cloud dan CDN Populer

Perkembangan ini terjadi ketika terungkap bahwa pelaku ancaman semakin banyak menyalahgunakan layanan cloud publik seperti:

  • Dropbox.
  • GitHub.
  • IBM Cloud.
  • Oracle Cloud Storage.

Platform hosting data Web 3.0 yang dibangun di atas protokol InterPlanetary File System (IPFS) seperti Pinata. untuk menghasilkan URL phishing yang sepenuhnya tidak terdeteksi (FUD) menggunakan kit siap pakai.

Tautan FUD tersebut ditawarkan di Telegram oleh vendor bawah tanah seperti BulletProofLink, FUDLINKSHOP, FUDSENDER, ONNX, dan XPLOITRVERIFIER dengan harga mulai dari $200 per bulan

Sebagai bagian dari model berlangganan. Tautan ini selanjutnya diamankan di balik penghalang antibot untuk menyaring lalu lintas masuk dan menghindari deteksi.

Yang juga melengkapi layanan ini adalah alat seperti HeartSender yang memungkinkan untuk mendistribusikan tautan FUD yang dihasilkan dalam skala besar. Grup Telegram yang terkait dengan HeartSender memiliki hampir 13.000 pelanggan.

FUD Links mewakili langkah selanjutnya dalam phishing-as-a-service dan inovasi penerapan malware. Dan sebagai catatan, para pelaku menggunakan kembali infrastruktur bereputasi tinggi untuk kasus penggunaan yang berbahaya.

Salah satu operasi jahat baru-baru ini, yang memanfaatkan Rhadamanthys Stealer untuk menargetkan sektor minyak dan gas, menggunakan URL tersemat yang mengeksploitasi pengalihan terbuka pada domain yang sah.

Terutama Google Maps dan Google Images. Teknik penyarangan domain ini membuat URL berbahaya kurang terlihat dan lebih mungkin untuk menjebak korban.

Demikian informasi mengenai operasi phising PhantomBlu, semoga informasi yang disajikan dan bermanfaat dan menambah wawasan bagi pembacanya.

 

 

 

Baca lainnya:

 

 

Sumber berita:

 

Prosperita IT News

 

Digitalmaniainternetpenyalahgunaan layanan cloudpenyalahgunaan platform cloudPhisingphising microsoftphising phatomBlutrik microsoft office

Related Posts

April, 04 2024 10:57 Serangan SMS di Android
April, 01 2024 11:34 Anak Aman Berinternet dengan Komunikasi
April, 22 2024 11:48 Tren Ancaman Keamanan Teknologi Informasi
April, 15 2024 14:37 Mitigasi Serangan Phising
April, 26 2024 16:48 Klasifikasi Jenis Ancaman Uang Digital
April, 17 2024 13:48 Kenapa Penjahat Siber Menargetkan Informasi Pribad...
March, 18 2024 13:49 Tipuan DocuSign Malware Perbankan
March, 28 2024 11:17 Manipulasi Digital Document Publishing
March, 22 2024 16:35 APT28 Menyebar Phising Secara Global
April, 16 2024 11:26 Perlukah Menggunakan Kata Sandi
April, 25 2024 11:44 Penipuan Peniruan Identitas
April, 02 2024 11:40 Darcula Memakan Korban 100 Negara
April, 05 2024 11:36 Malware Disembunyikan Dalam Gambar
March, 25 2024 16:01 Risiko Keamanan Aplikasi Kesehatan
March, 20 2024 11:31 Bahaya Siber Smartphone
April, 03 2024 11:04 Insiden Siber Paling Mematikan Di Dunia
April, 24 2024 10:35 Penipuan Pinjaman Online
March, 19 2024 11:57 Berbagi File dengan Aman
March, 27 2024 11:18 Aplikasi Palsu Penguras Dompet
March, 21 2024 13:33 Smartphone: Antisipasi Malware dan Pelacakan