Phising Gaya Baru

Phising Gaya Baru
Email Security

Phising selalu memiliki ruang untuk berkembang, ini yang harus menjadi perhatian bagi pengguna email dimana pun. Seperti kemunculan phising gaya baru yang cukup menghebohkan belakangan ini.

Yang dimaksud adalah teknik phising multi persona yang baru-baru ini digagas oleh kelompok peretas Iran, mereka adalah yang pertama memperkenalkan teknik yang cukup rumit tersebut.

Dimana mereka menggunakan banyak persona dan akun email untuk memikat target agar berpikir bahwa ini adalah percakapan email yang realistis.

Pelaku mengirim email ke target sambil meng-CC alamat email lain di bawah kendali mereka dan kemudian merespons dari email itu, lalu terlibat dalam percakapan palsu.

Teknik phising multi persona memanfaatkan prinsip psikologi “bukti sosial” untuk mengaburkan pemikiran logis dan menambahkan unsur kepercayaan pada rangkaian phising.

TA453 adalah kelompok peretas Iran yang diyakini beroperasi dari dalam IRGC (Islamic Revolution Guard Corps),

Mereka sebelumnya pernah menyamar sebagai jurnalis untuk menargetkan akademisi dan pakar kebijakan di Timur Tengah.

Meniru Multi Persona

Dengan trik ini TA453 membutuhkan lebih banyak upaya untuk melakukan serangan phising, karena setiap target harus terlibat dalam percakapan realistis yang rumit yang diadakan oleh persona palsu.

Namun, upaya ekstra terbayar, karena menciptakan pertukaran email yang tampak realistis, yang membuat percakapan terlihat sah.

Diketahui pengirim menyamar sebagai Direktur Penelitian di FRPI dan email yang dikirim ke target dan mem-CC Direktur Penelitian Sikap Global di Pusat Penelitian PEW.

Keesokan harinya, direktur PEW yang menyamar menjawab pertanyaan yang dikirim oleh direktur FRPI, menciptakan kesan palsu dari percakapan jujur ​​​​yang akan menarik target untuk bergabung.

Dalam kasus lain yang melibatkan ilmuwan yang mengkhususkan diri dalam penelitian genom, persona CCed menjawab dengan tautan OneDrive yang mengarah pada pengunduhan dokumen DOCX yang disusupi dengan makro jahat.

Serangan phising MPI ketiga yang diluncurkan oleh TA453 terhadap dua akademisi yang berspesialisasi dalam pengendalian senjata nuklir, para pelaku ancaman mengirim CC tiga persona, melakukan serangan yang bahkan lebih rumit.

Dalam semua kasus, pelaku ancaman menggunakan alamat email pribadi seperti Gmail, Outlook, AOL, Hotmail untuk pengirim

Dan orang yang di-CC alih-alih alamat dari institusi yang menyamar, yang merupakan tanda jelas dari aktivitas mencurigakan.

Muatan Berbahaya

Dalam operasi terbaru TA453, mereka menggunakan tautan OneDrive untuk dokumen yang ditargetkan untuk diunduh

Adalah file yang dilindungi kata sandi yang melakukan injeksi template. Template yang diunduh, dijuluki Korg, memiliki tiga makro:

  • Module1.bas,
  • Module2.bas,
  • ThisDocument.cls.

Makro mengumpulkan informasi seperti nama pengguna, daftar proses yang berjalan bersama dengan IP publik pengguna dari my-ip.io dan kemudian mengekstrak informasi itu menggunakan API Telegram.

Para peneliti tidak dapat melewati tahap suar informasi pengintaian tetapi berasumsi bahwa eksploitasi tambahan terjadi pada langkah-langkah berikutnya untuk memberikan kemampuan eksekusi kode kepada pelaku ancaman jarak jauh pada host.

Bacaan lainnya:

Sumber berita:

Prosperita IT News