Peneliti keamanan siber menemukan bahwa pelaku kejahatan terus meraih kesuksesan dengan memalsukan alamat email pengirim sebagai bagian dari berbagai kampanye malspam.
Memalsukan alamat pengirim email secara luas dipandang sebagai upaya untuk menjadikan pesan digital lebih sah dan melewati mekanisme keamanan yang dapat menandainya sebagai berbahaya.
Meskipun ada perlindungan seperti DomainKeys Identified Mail (DKIM), Domain-based Message Authentication, Reporting and Conformance (DMARC), dan Sender Policy Framework (SPF) yang dapat digunakan untuk mencegah pelaku spam melakukan spoofing pada domain terkenal, hal ini semakin meningkat. mengarahkan mereka untuk memanfaatkan domain lama yang terabaikan dalam operasi mereka.
Dengan melakukan hal ini, pesan email kemungkinan besar akan melewati pemeriksaan keamanan yang mengandalkan usia domain sebagai sarana untuk mengidentifikasi spam.
Perusahaan intelijen ancaman DNS, dalam analisis baru yang dibagikan kepada The Hacker News, menemukan bahwa pelaku ancaman, termasuk Muddling Meerkat dan lainnya, telah menyalahgunakan beberapa domain tingkat atas (TLD) lamanya yang sudah tidak digunakan lagi dan belum digunakan untuk menjadi tuan rumah. konten selama hampir 20 tahun.
“Mereka kekurangan sebagian besar catatan DNS, termasuk yang biasanya digunakan untuk memeriksa keaslian domain pengirim, misalnya catatan Sender Policy Framework (SPF),” kata perusahaan itu. “Domainnya pendek dan memiliki TLD yang bereputasi tinggi.”
Salah satu kampanye tersebut, yang aktif setidaknya sejak Desember 2022, melibatkan pendistribusian pesan email dengan lampiran berisi kode QR yang mengarah ke situs phishing. Ini juga menginstruksikan penerima untuk membuka lampiran dan menggunakan aplikasi AliPay atau WeChat di ponsel mereka untuk memindai kode QR.
Email tersebut menggunakan umpan terkait pajak yang ditulis dalam bahasa Mandarin, sekaligus mengunci dokumen kode QR di balik kata sandi empat digit yang disertakan dalam badan email dengan cara yang berbeda. Situs phishing, dalam satu kasus, mendesak pengguna untuk memasukkan identitas dan rincian kartu mereka, dan kemudian melakukan pembayaran palsu kepada penyerang.
“Meskipun kampanye tersebut menggunakan domain terabaikan yang kita lihat pada Muddling Meerkat, kampanye tersebut tampaknya memalsukan domain acak, bahkan domain yang tidak ada,” jelas Infoblox. “Aktor mungkin menggunakan teknik ini untuk menghindari email berulang dari pengirim yang sama.”
Perusahaan tersebut mengatakan pihaknya juga mengamati kampanye phishing yang menyamar sebagai merek populer seperti Amazon, Mastercard, dan SMBC untuk mengarahkan korban ke halaman login palsu menggunakan sistem distribusi lalu lintas (TDSes) dengan tujuan untuk mencuri kredensial mereka. Beberapa alamat email yang telah diidentifikasi menggunakan domain pengirim palsu tercantum di bawah –
- [email protected][.]organisasi
- [email protected][.]com
- [email protected][.]com
- [email protected][.]com
- [email protected][.]com
- [email protected][.]bersih
- [email protected][.]com
Kategori spam ketiga berkaitan dengan pemerasan, di mana penerima email diminta melakukan pembayaran $1.800 dalam bentuk Bitcoin untuk menghapus video memalukan diri mereka sendiri yang direkam menggunakan trojan akses jarak jauh yang terinstal di sistem mereka.
“Aktor memalsukan alamat email pengguna dan menantang mereka untuk memeriksa dan melihatnya,” Infoblox Email tersebut memberi tahu pengguna bahwa perangkat mereka telah disusupi, dan sebagai bukti, aktor tersebut menuduh bahwa pesan tersebut dikirim dari akun pengguna itu sendiri. “
Pengungkapan ini terjadi ketika sektor hukum, pemerintahan, dan konstruksi menjadi sasaran kampanye phishing baru yang dijuluki Butcher Shop yang bertujuan untuk mencuri kredensial Microsoft 365 sejak awal September 2024.
Serangan tersebut, menurut Obsidian Security, menyalahgunakan platform tepercaya seperti Canva, Dropbox DocSend, dan Google Accelerated Mobile Pages (AMPs) untuk mengarahkan pengguna ke situs berbahaya. Beberapa saluran lainnya mencakup email dan situs WordPress yang disusupi.
“Sebelum menampilkan halaman phishing, halaman khusus dengan Pintu Putar Cloudflare ditampilkan untuk memverifikasi bahwa pengguna sebenarnya adalah manusia,” kata perusahaan itu. “Pintu putar ini mempersulit sistem perlindungan email, seperti pemindai URL, untuk mendeteksi situs phishing.”
Dalam beberapa bulan terakhir, kampanye SMS phishing telah diamati meniru identitas otoritas penegak hukum di UEA untuk mengirimkan permintaan pembayaran palsu untuk pelanggaran lalu lintas yang sebenarnya tidak ada, pelanggaran parkir, dan perpanjangan izin. Beberapa situs palsu yang dibuat untuk tujuan ini telah dikaitkan dengan aktor ancaman yang dikenal bernama Smishing Triad.
Nasabah perbankan di Timur Tengah juga menjadi sasaran skema rekayasa sosial canggih yang menyamar sebagai pejabat pemerintah melalui panggilan telepon dan menggunakan perangkat lunak akses jarak jauh untuk mencuri informasi kartu kredit dan kata sandi satu kali (OTP).
Kampanye tersebut, yang dinilai dilakukan oleh penutur asli bahasa Arab yang tidak dikenal, ternyata ditujukan terutama terhadap konsumen wanita yang data pribadinya dibocorkan melalui malware pencuri di web gelap.
“Penipuan ini secara khusus menargetkan individu yang sebelumnya telah menyampaikan keluhan komersial ke portal layanan pemerintah, baik melalui situs web atau aplikasi seluler, mengenai produk atau layanan yang dibeli dari pedagang online,” kata Group-IB dalam analisis yang diterbitkan hari ini.
“Penipu mengeksploitasi kesediaan korban untuk bekerja sama dan mematuhi instruksi mereka, dengan harapan menerima pengembalian uang atas pembelian mereka yang tidak memuaskan.”
Kampanye lain yang diidentifikasi oleh Cofense melibatkan pengiriman email yang mengaku berasal dari Administrasi Jaminan Sosial Amerika Serikat yang menyematkan tautan untuk mengunduh penginstal perangkat lunak akses jarak jauh ConnectWise atau mengarahkan korban ke halaman pengumpulan kredensial.
Perkembangan ini terjadi karena domain tingkat atas umum (gTLD) seperti .top, .xyz, .shop, .vip, dan .club telah menyumbang 37% dari domain kejahatan dunia maya yang dilaporkan antara September 2023 dan Agustus 2024, meskipun hanya memiliki 11% domain dari total pasar nama domain, menurut laporan dari Interisle Consulting Group.
Domain-domain ini menjadi menguntungkan bagi pelaku kejahatan karena harganya yang murah dan kurangnya persyaratan pendaftaran, sehingga membuka pintu bagi penyalahgunaan. Di antara gTLD yang banyak digunakan untuk kejahatan dunia maya, 22 gTLD menawarkan biaya pendaftaran kurang dari $2,00.
Pelaku ancaman juga ditemukan mengiklankan plugin WordPress berbahaya bernama PhishWP yang dapat digunakan untuk membuat halaman pembayaran yang dapat disesuaikan dengan meniru pemroses pembayaran sah seperti Stripe untuk mencuri data pribadi dan keuangan melalui Telegram.
“Penyerang dapat menyusupi situs WordPress yang sah atau memasang situs palsu untuk menginstalnya,” kata SlashNext dalam laporan barunya. “Setelah mengonfigurasi plugin untuk meniru gateway pembayaran, pengguna yang tidak menaruh curiga akan terpikat untuk memasukkan rincian pembayaran mereka. Plugin mengumpulkan informasi ini dan mengirimkannya langsung ke penyerang, sering kali secara real-time.”
