Peneliti telah menemukan pelaku kejahatan siber yang baru-baru ini yang dilakukan melalui penyalahgunaan platform Ngrok untuk serangan phising yang cukup meresahkan.
Peneliti keamanan siber menemukan gelombang baru serangan phising yang menargetkan beberapa perusahaan yang menyalahgunakan platform Ngrok melalui terowongan yang aman dan dapat diintrospeksi ke localhost.
Ngrok adalah aplikasi lintas platform yang digunakan untuk mengekspos server pengembangan lokal ke Internet, server tersebut tampaknya dihosting pada subdomain Ngrok dengan membuat terowongan TCP yang berumur panjang ke localhost.
Menyalahgunakan Protokol
Banyak pelaku ancaman telah menyalahgunakan platform Ngrok untuk mendapatkan akses tidak sah ke target guna mengirimkan muatan tambahan, mencuri data keuangan seperti informasi kartu kredit/debit, dan melakukan serangan phising yang ditargetkan.
Para ahli menunjukkan bahwa serangan yang menyalahgunakan platform Ngrok sulit dideteksi karena koneksi ke subdomain Ngrok.com tidak difilter oleh langkah-langkah keamanan.
Mereka juga memberikan daftar serangan berbasis Ngrok yang dilakukan oleh perusahaan kejahatan dunia maya dan pelaku yang diakui negara seperti kelompok APT Fox Kitten dan Pioneer Kitten.
Selain itu, para ahli ikut melaporkan beberapa jenis malware dan kampanye phising yang menyalahgunakan tunneling Ngrok, termasuk
Beberapa jenis malware/kampanye phising baru yang menggunakan tunneling Ngrok adalah:
- Njrat
- DarkComet
- Quasar RAT
- asynrat
- Nanocore RAT
Menariknya, peneliti menemukan beberapa tautan Ngrok.io yang digunakan di pasar/kebocoran darkweb dan forum kejahatan dunia maya oleh berbagai pelaku ancaman seperti BIN CARDERS, Telegram-carder data, dan linlogpass.
Mereka juga menemukan perangkat alat phising, bernama “KingFish3 (Social master), yang diiklankan di forum kejahatan dunia maya. Para ahli menemukan bahwa pelaku membagikan tautan Github ke alat tersebut di forum, yang juga menyalahgunakan terowongan Ngrok untuk melakukan serangan.
Modus Operandi
Berikut langkah-langkah yang diidentifikasi oleh para ahli untuk menyalahgunakan terowongan Ngrok dan melakukan serangan phising:
- Alat tersebut membuat terowongan menggunakan Ngrok ke URL phising yang dipilih dengan port yang ditentukan.
- Peretas melacak log waktu nyata di sesi pertama dan menunggu korban memasukkan nomor telepon mereka.
- Peretas kemudian masuk ke situs resmi aplikasi yang terpengaruh dengan kredensial yang diperoleh dan membuat OTP (2FA). Korban kemudian memasukkan OTP yang diterima di situs phising, yang ditangkap oleh peretas.
- Akhirnya, peretas memperoleh akses ke akun resmi korban menggunakan OTP(2FA).
Postingan tersebut menyertakan sebagian daftar Indikator Kompromi (IOC) phising berbasis Ngrok.
Rekomendasi Keamanan Siber
Berikut beberapa rekomendasi keamanan siber sebagai langkah pencegahan terhadap ancaman Ngrok, sebagai berikut:
- Pengguna Ngrok dan layanan tunneling lainnya disarankan untuk mendapatkan otorisasi dari tim keamanan informasi mereka.
- Disarankan untuk melindungi akses tunnel mereka dengan kata sandi dan mengaktifkan daftar putih IP untuk membatasi akses hanya ke alamat IP tepercaya.
- Aktifkan fitur pembaruan perangkat lunak otomatis di komputer, ponsel, dan perangkat lain yang terhubung jika memungkinkan dan praktis.
- Pantau transaksi keuangan Anda secara teratur, dan jika Anda melihat aktivitas yang mencurigakan, segera hubungi bank Anda.
- Gunakan paket perangkat lunak anti-virus dan keamanan Internet yang bereputasi baik di perangkat Anda yang terhubung, termasuk PC, laptop, dan ponsel.
- Jangan membuka tautan dan lampiran email yang tidak tepercaya tanpa memverifikasi keasliannya.
Baca lainnya:
- Situs Phising AnyDesk
- Phising Menggunakan Postingan Facebook
- Lampiran Email Aman Dibuka
- Tanda Peringatan Email Berbahaya
- Investigasi Serangan Phising
- Layanan Phising Crypto Tipu Ribuan Korban
- Phising Layanan Microsoft 365
- Phising Masalah Siber Terbesar
- Qbot Menyebar Melalui Phising
- Phising QRIS
Sumber berita: