
Ilustrasi | Foto: ThreatPost
Ilustrasi | Foto: ThreatPost
Cyberthreat.id – Geng peretas (hacker) Evil Corp (a.k.a TA505) kembali muncul dalam kampanye serangan phishing. Kali ini, mereka menggunakan taktik malware baru yaitu menyelipkan dokumen program Excel berbahaya.
Kampanye phishing tersebut dideteksi oleh peneliti Microsoft seperti diberitakan TechRadar yang diakses Senin (3 Februari 2020).
Evil Corp muncul pertama kali ke permukaan sebagai aktor ancaman siber sejak 2014. Geng ini termasuk kelompok penjahat siber yang termotivasi oleh uang. Mereka dikenal menargetkan pada perusahaan-perusahaan ritel dan lembaga keuangan. Senjata mereka adalah kampanye spam berbahaya yang didukung oleh botnet Necurs.
Peneliti Microsoft Security Intelligence menjelaskan, bagaimana kampanye baru Evil Corp bekerja, yaitu
Kampanye baru ini menandai pertama kalinya Evil Corp menggunakan HTML redirector sebagai bagian dari serangannya. Kampanye email sebelumnya yang dilakukan oleh grup tersebut menggunakan lampiran (attachments) atau URL unduhan berbahaya untuk mengirimkan muatan (payloads) berbahayanya.
Namun, tulis ThreatPost, Microsoft tidak menjelaskan apakah HTML redirector tersebut berupa URL di badan email atau mereka tertanam dalam lampiran email.
Dalam serangan phishing, umumnya pengalihan ke halaman domain baru (URL redirection) dimasukkan ke dalam tubuh email. Misalnya, jika URL jahat tertentu diblokir oleh filter phishing peramban web, penyerang akan menggunakan URL redirection untuk menerabas filter ini dan mengarahkan korban ke halaman pendaratan phishing (landing page phishing).
"Jika situs phishing mereka ditutup, mereka dapat dengan mudah mengubah tujuan pengalihan untuk menunjuk ke situs phishing lain," menurut PhishLabs seperti dikutip oleh ThreatPost.
"Ini berarti bahwa setiap orang yang menerima email dengan tautan redirector dan mengkliknya masih akan berakhir di situs phishing."
Teknik ini memungkinkan penyerang menghindari penggunaan email atau lampiran yang mengandung konten berbahaya yang diketahui anti-phishing. Selain itu, trik itu dapat langsung mengunduh file berbahaya pada sistem korban, ujar Roger Grimes, peneliti keamanan siber KnowBe4.
Skema serangan Evil Corp
Kampanye terbaru Evil Corp yaitu mengirimkan pesan phishing yang datang dengan lampiran HTML. Efeknya secara otomatis ketika korban mulai mengunduh file Excel yang digunakan untuk menjatuhkan muatan.
Para korban selanjutnya akan diminta untuk membuka dokumen Excel di komputer, bahkan korban diberi akses untuk mengedit kontennya. Ketika korban mengaktifkan pengeditan dalam file Excel itu, payload akhir akan dihapus.
Setelah unduhan selesai, malware juga akan mencoba menjatuhkan Trojan akses jarak jauh (RAT) yang dikenal sebagai “Grace Wire” atau “FlawedGrace” ke sistem korban.
Evil Corp telah mendistribusikan GraceWire dalam kampanye sebelumnya, tapi grup ini terkenal karena menyebarkan trojan perbankan Dridex (juga dikenal sebagai Bugat dan Cridex), yang dikirim melalui email phising.
Dalam serangan terbaru ini, Evil Corp menggunakan file HTML lokal dalam berbagai bahasa untuk menjangkau korban dari seluruh dunia. “Mereka juga menggunakan layanan pelacakan IP untuk melacak alamat IP mesin yang mengunduh file Excel berbahaya tersebut,” tulis ThreatPost.
Evil Corp telah absen melakukan kampanye serangan sejak Desember 2019 ketika FBI mulai menindak kelompok tersebut. FBI menawarkan US$ 5 juta bagi yang menemukan informasi terkait dengan pemimpin Evil Corp Maksim V. Yakubets (32) asal Rusia yang dikenal berjuluk “aqua."[]
Istilah dalam artikel:
Share: