Credit image: Pixabay
Setiap ada celah pasti di sana ada kejahatan, perilaku penjahat siber ini terlihat saat mereka sasar staf SDM menipu lewat lamaran pekerjaan.
Seorang pelaku yang dilacak sebagai Venom Spider menargetkan staf SDM seperti perekrut dengan skema phising kompleks yang memanfaatkan lamaran yang dikirim dengan disertai lampiran email.
Dengan ini perusahaan-perusahaan di Indonesia harus lebih teliti terutama para staf SDM, terlebih lagi dengan maraknya pemutusan hubungan kerja, upaya pelamaran pekerjaan akan meningkat drastis.
Dari banyaknya lamaran tersebut, ini akan menjadi ujian ketelitian dan kewaspadaan bagi para staf SDM, untuk lebih jelas mari simak pembahasan berikut.
|
Baca juga: Backdoor Menyamar Software Kompresi |
Backdoor Venom Spider
Para peneliti melacak operasi tersebut, yang menargetkan manajer perekrutan dan perekrut dengan email spear-phising khusus. Alasan penargetan ini adalah karena karyawan yang bertanggung jawab atas proses perekrutan dapat menjadi yang paling rentan dalam serangan siber semacam ini.
Perekrut dan manajer perekrutan yang bekerja di departemen SDM sering dianggap sebagai titik lemah dalam suatu organisasi oleh para penyerang.
Karena sifat pekerjaan mereka mengharuskan mereka secara teratur membuka lampiran email misalnya: resume dan surat lamaran yang dikirim melalui email kepada mereka dari sumber eksternal dan tidak dikenal, termasuk kandidat pekerjaan dan agen perekrutan.
Menurut peneliti Venom Spider, pelaku melamar pekerjaan selayaknya pelamar lain namun mereka menggunakan resume palsu. Email yang dikirimnya berisi file yang saat diunduh akan menyusupkan backdoor serbaguna bernama “More_eggs.”
Cara Venom Spider Menargetkan Mangsanya
Venom Spider telah aktif selama beberapa tahun, dengan aktivitas yang dimulai setidaknya sejak akhir tahun 2010-an. Penelitian pada awal tahun 2019 merinci bagaimana backdoor More_eggs digunakan sejak pertengahan tahun 2018.
Melalui operasi tersebut, Venom Spider memposting lowongan pekerjaan palsu dan menghubungi pengguna melalui layanan pesan langsung LinkedIn. Pelaku kemudian akan mendistribusikan muatan melalui situs web perekrutan palsu serta lampiran berbahaya.
Dalam aktivitas terbarunya, Venom Spider telah mengirim email spear-phising ke perekrut perusahaan atau manajer perekrutan.
Pesan tersebut berisi tautan ke situs eksternal, yang menyertakan kotak captcha (digunakan untuk melewati pemindai otomatis). Setelah korban lolos pemeriksaan captcha, file zip diunduh “yang oleh perekrut diyakini sebagai resume kandidat.”
File zip tersebut malah berisi file gambar “g.jpg”, sebuah pengalih perhatian, serta pintasan Windows yang berbahaya, atau file .Ink yang bertindak sebagai muatan untuk tahap pertama serangan.
Lalu File .Ink mengunduh file .bat dari infrastruktur penyerang. File .bat tersebut kemudian membuka WordPad (untuk mengelabui karyawan agar mengira file asli sedang diakses).
Sambil secara diam-diam meluncurkan aplikasi Windows yang sah “ie4uinit.exe” untuk menjalankan perintah dan menjalankan kode JavaScript.
More Egg Dropper
Sebagai bagian dari semua ini, kode berbahaya tersebut membuat library yang dapat dieksekusi yang dikenal sebagai “More_eggs_Dropper.”
Library More_eggs_Dropper yang dapat dieksekusi itu rumit, menggunakan kode yang dikaburkan yang menghasilkan kode JavaScript secara polimorfik.
Eksekusi pustaka itu ditunda waktunya untuk menghindari sandboxing dan analisis oleh para peneliti. More_eggs_Dropper membuat Windows msxsl.exe yang sah untuk menjalankan file XML yang mungkin juga berisi kode JavaScript. Teknik ini diketahui telah digunakan oleh Venom Spider dalam operasi sebelumnya.
Demikian pula, file .Ink awal dihasilkan secara polimorfik, yang berarti file baru diunduh setiap kali dari server penyerang, dengan pengaburan dan ukuran file yang berbeda.
More_eggs_Dropper membuat peluncur JavaScript, muatan JavaScript, dan sebuah executable untuk menjalankan file XML. Muatannya akhirnya mengarah pada eksekusi More_eggs, muatan utama dalam rantai serangan.
Backdoor mengumpulkan informasi sistem korban dan berkomunikasi dengan server Command and Control (C2). Terakhir, More_eggs digunakan untuk menjalankan kode JavaScript tambahan atau file yang dapat dieksekusi pada sistem korban.
|
Baca juga: Skema Phising Kredensial |
Cara Melindungi Diri
Meskipun ada banyak hal yang dapat dikatakan tentang sifat kompleks dari operasi Venom Spider, pada akhirnya itu hanyalah operasi phising lainnya. Karena itu, perusahaan harus melakukan pelatihan karyawan secara berkala untuk mengidentifikasi dan melawan serangan spear-phising.
Selain itu, Karyawan yang bekerja di departemen yang rentan seperti SDM dan Perekrutan harus menerima pelatihan tambahan yang mengajarkan mereka untuk selalu ekstra hati-hati terhadap lampiran yang berupa file LNK, ISO, atau VBS.
Jenis file ini sering dikirim sebagai file zip untuk melewati filter email. Karyawan harus diajarkan untuk secara rutin memeriksa file lampiran dengan mengklik kanan file dan memilih ‘Properties’ pada Windows atau ‘Get Info’ pada Mac sebelum membukanya.
Walaupun elemen skema Venom Spider mungkin tampak jelas, peneliti mengatakan bahwa penting untuk dipahami bahwa dalam ekonomi saat ini, mungkin ada ratusan kandidat yang melamar lowongan pekerjaan yang diiklankan secara publik. Dengan kata lain, tekanan yang diberikan pada perekrut memberi penyerang keuntungan langsung.
Departemen SDM merupakan target umum bagi pelaku kejahatan siber, dan aktivitas ini telah berlangsung lama hingga saat ini, dengan sendirinya ini menunjukkan bahwa operasi tersebut berhasil dan terus berkembang.
Sumber berita:
