IND | ENG
Usai Absen, Geng Hacker Evil Corp Muncul dengan Malware Baru

Ilustrasi | Foto: ThreatPost

Usai Absen, Geng Hacker Evil Corp Muncul dengan Malware Baru
Andi Nugroho Diposting : Senin, 03 Februari 2020 - 12:45 WIB

Cyberthreat.id – Geng peretas (hacker) Evil Corp (a.k.a TA505) kembali muncul dalam kampanye serangan phishing. Kali ini, mereka menggunakan taktik malware baru yaitu menyelipkan dokumen program Excel berbahaya.

Kampanye phishing  tersebut dideteksi oleh peneliti Microsoft seperti diberitakan TechRadar yang diakses Senin (3 Februari 2020).

Evil Corp muncul pertama kali ke permukaan sebagai aktor ancaman siber sejak 2014. Geng ini termasuk kelompok penjahat siber yang termotivasi oleh uang. Mereka dikenal menargetkan pada perusahaan-perusahaan ritel dan lembaga keuangan. Senjata mereka adalah kampanye spam berbahaya yang didukung oleh botnet  Necurs.

Peneliti Microsoft Security Intelligence menjelaskan, bagaimana kampanye baru Evil Corp bekerja, yaitu

  • kampanye tersebut menggunakan pengalihan HTML (HTML redirector) yang dilampirkan ke email.
  • saat email dibuka, HTML mengarah ke unduhan “Dudear”, yaitu file Excel makro jahat yang menjatuhkan muatan.

Kampanye baru ini menandai pertama kalinya Evil Corp menggunakan HTML redirector  sebagai bagian dari serangannya. Kampanye email sebelumnya yang dilakukan oleh grup tersebut menggunakan lampiran (attachments) atau URL unduhan berbahaya untuk mengirimkan muatan (payloads) berbahayanya.

Namun, tulis ThreatPost, Microsoft tidak menjelaskan apakah HTML redirector tersebut berupa URL di badan email atau mereka tertanam dalam lampiran email.

Dalam serangan phishing, umumnya pengalihan ke halaman domain baru (URL redirection) dimasukkan ke dalam tubuh email. Misalnya, jika URL jahat tertentu diblokir oleh filter phishing peramban web, penyerang akan menggunakan URL redirection untuk menerabas filter ini dan mengarahkan korban ke halaman pendaratan phishing (landing page phishing).

"Jika situs phishing mereka ditutup, mereka dapat dengan mudah mengubah tujuan pengalihan untuk menunjuk ke situs phishing lain," menurut PhishLabs seperti dikutip oleh ThreatPost.

"Ini berarti bahwa setiap orang yang menerima email dengan tautan redirector dan mengkliknya masih akan berakhir di situs phishing."

Teknik ini memungkinkan penyerang menghindari penggunaan email atau lampiran yang mengandung konten berbahaya yang diketahui anti-phishing. Selain itu, trik itu dapat langsung mengunduh file berbahaya pada sistem korban, ujar Roger Grimes, peneliti keamanan siber KnowBe4.

Skema serangan Evil Corp

Kampanye terbaru Evil Corp yaitu mengirimkan pesan phishing yang datang dengan lampiran HTML. Efeknya secara otomatis ketika korban mulai mengunduh file Excel yang digunakan untuk menjatuhkan muatan.

Para korban selanjutnya akan diminta untuk membuka dokumen Excel di komputer, bahkan korban diberi akses untuk mengedit kontennya. Ketika korban mengaktifkan pengeditan dalam file Excel itu, payload akhir akan dihapus.

Setelah unduhan selesai, malware juga akan mencoba menjatuhkan Trojan akses jarak jauh (RAT) yang dikenal sebagai “Grace Wire” atau “FlawedGrace” ke sistem korban.

Evil Corp telah mendistribusikan GraceWire dalam kampanye sebelumnya, tapi grup ini terkenal karena menyebarkan trojan perbankan Dridex (juga dikenal sebagai Bugat dan Cridex), yang dikirim melalui email phising.

Dalam serangan terbaru ini, Evil Corp menggunakan file HTML lokal dalam berbagai bahasa untuk menjangkau korban dari seluruh dunia. “Mereka juga menggunakan layanan pelacakan IP untuk melacak alamat IP mesin yang mengunduh file Excel berbahaya tersebut,” tulis ThreatPost.

Evil Corp telah absen melakukan kampanye serangan sejak Desember 2019 ketika FBI mulai menindak kelompok tersebut. FBI menawarkan US$ 5 juta bagi yang menemukan informasi terkait dengan pemimpin Evil Corp Maksim V. Yakubets (32) asal Rusia yang dikenal berjuluk “aqua."[]


Istilah dalam artikel:

  • Phishing         : penipuan online dengan menjebak korban agar memberikan informasi pribadinya. Caranya, pelaku mengirimkan tautan via email, SMS,    pesan singkat, atau iklan agar diklik. Tautan ini menyerupai situs web yang tampak sah, padahal mengandung malware. Ketika korban mengisi informasi kredensial, seperti nomor kartu kredit, kata sandi dll, malware akan segera memanennya dan mengirimkan ke peladen (server) penjahat.
  • Spam            : pesan yang dikirimkan massal tanpa dikehendaki penerima. Spamming bisa bersifat jahat juga baik.
  • Botnet          : Gabungan dari kata “robot” dan “network”. Robot ini didesain untuk berjalan otomatis di suatu jaringan. Bot bisa dipakai untuk aktivitas baik atau buruk tergantung aktor di balik operasionalnya.
#phishing   #emailphishing   #htmlredirector   #evilcorp

Share:




BACA JUGA
Gunakan Bot Telekopye Telegram, Penjahat Siber Membuat Phishing Scams Skala Besar
Otoritas Malaysia Bongkat Sindikat PhaaS 'BulletProofLink'
Gunakan Spear-phishing, Hacker Iran MuddyWater Targetkan Israel
Framework MATA yang Canggih Serang Perusahaan Minyak dan Gas
D-Link Mengonfirmasi Pelanggaran Data: Karyawan Menjadi Korban Serangan Phishing