Peneliti cybersecurity telah memperingatkan kampanye phishing tombak baru yang menggunakan alat akses jarak jauh yang sah yang disebut Netbird untuk menargetkan Kepala Pejabat Keuangan (CFO) dan eksekutif keuangan di bank, perusahaan energi, perusahaan asuransi, dan perusahaan investasi di seluruh Eropa, Afrika, Kanada, Timur Tengah, dan Asia Selatan.
“Dalam apa yang tampaknya merupakan operasi phishing multi-tahap, para penyerang bertujuan untuk menggunakan Netbird, alat akses jarak jauh berbasis Wireguard yang sah di komputer korban,” kata peneliti Trellix Srini Seetapathy dalam sebuah analisis.
Kegiatan tersebut, pertama kali terdeteksi oleh perusahaan cybersecurity pada pertengahan Mei 2025, belum dikaitkan dengan aktor atau kelompok ancaman yang diketahui.
Titik awal serangan adalah email phishing yang menyamar sebagai perekrut dari Rothschild & Co. dan mengklaim menawarkan “peluang strategis” dengan perusahaan. Email ini dirancang untuk memikat penerima agar membuka lampiran PDF yang diakui yang, pada kenyataannya, adalah tautan phishing yang mengarahkan mereka ke URL yang di-host aplikasi Firebase.
Yang penting tentang infeksi ini adalah bahwa URL pengalihan yang sebenarnya disimpan di halaman dalam bentuk terenkripsi dan dapat diakses hanya setelah korban memecahkan pemeriksaan verifikasi CAPTCHA, yang pada akhirnya mengarah ke pengunduhan arsip ZIP.
“Memecahkan teka -teki mengeksekusi a [JavaScript] Fungsi yang mendekripsi dengan kunci yang dikodekan dan mengarahkan pengguna ke tautan yang didekripsi, “kata Seetherapathy.” Penyerang lebih condong ke gerbang captcha kustom ini, berharap untuk menyelinap melewati pertahanan yang sudah menandai situs phishing yang dilindungi oleh CloudFlare Turnstile atau Google Recaptcha. “
Hadir dalam arsip adalah skrip dasar visual (VBScript) yang bertanggung jawab untuk mengambil vbscript tahap berikutnya dari server eksternal dan meluncurkannya melalui “wscript.exe.” Pengunduh VBScript tahap kedua ini kemudian mengambil muatan lain dari server yang sama, mengganti nama menjadi “trm.zip,” dan mengekstrak dua file MSI dari itu: Netbird dan OpenSsh.
Fase terakhir melibatkan menginstal kedua program pada host yang terinfeksi, membuat akun lokal tersembunyi, memungkinkan akses desktop jarak jauh, dan Netbird yang bertahan melalui tugas yang dijadwalkan sehingga secara otomatis diluncurkan pada reboot sistem. Malware juga menghapus jalan pintas desktop Netbird untuk memastikan bahwa kompromi tidak terdeteksi oleh korban.
TRELLIX mengatakan mengidentifikasi URL pengalihan lain yang telah aktif selama hampir satu tahun dan melayani muatan VBScript yang sama, menunjukkan bahwa kampanye mungkin telah ada selama beberapa waktu.
Temuan sekali lagi menunjukkan bagaimana musuh semakin mengandalkan aplikasi akses jarak jauh yang sah seperti ConnectWise Screenconnect, Atera, Splashtop, FleetDeck, dan Logmein memutuskan untuk membangun ketekunan dan menggunakannya untuk menggali ke dalam jaringan korban, sementara secara bersamaan menghindari deteksi.
“Serangan ini bukan penipuan phishing khas Anda,” kata Seetherapathy. “Ini dibuat dengan baik, ditargetkan, halus, dan dirancang untuk menyelipkan teknologi dan orang-orang.
Pengungkapan itu bertepatan dengan penemuan berbagai kampanye rekayasa sosial berbasis email di alam liar –
- Serangan yang menyalahgunakan domain tepercaya yang terkait dengan Penyedia Layanan Internet Jepang (ISP) yang terkenal untuk mengirim pesan phishing dari alamat email “Perusahaan@Nifty[.]com “Dalam upaya untuk menyelesaikan cek otentikasi email dan memanen kredensial
- Serangan yang menyalahgunakan platform pengembangan skrip Google Apps untuk meng-host halaman phishing yang terlihat sah dan mencuri kredensial login Microsoft dengan menggunakan umpan email bertema faktur
- Serangan yang meniru faktur Apple Pay untuk mencuri data pengguna yang sensitif, termasuk detail kartu kredit dan detail akun Yahoo Mail
- Serangan yang menyalahgunakan ruang kerja untuk meng -host halaman phishing yang menipu pengguna untuk mengklik tautan yang membawa para korban ke halaman login Microsoft palsu dengan kedok melihat dokumen bersama dan mengekspam kredensial melalui bot telegram telegram
- Serangan yang mengeksploitasi cacat keamanan yang berusia bertahun-tahun di Microsoft Office (CVE-2017-11882) untuk mengirimkan varian malware formbook yang disembunyikan dalam file PNG palsu dan mencuri data sensitif dari host yang dikompromikan
Layanan Phaas menurunkan bar
Temuan ini juga datang ketika Trustwave merinci koneksi operasional antara kit phishing taipan dan dadsec (alias Phoenix), menyoroti tumpang tindih infrastruktur mereka dan penggunaan infrastruktur phishing terpusat. DADSEC adalah karya aktor ancaman yang dilacak oleh Microsoft di bawah moniker Storm-1575.
“Infrastruktur yang digunakan oleh DADSEC juga terhubung dengan kampanye baru yang memanfaatkan platform 'taipan 2fa' phishing-as-a-service (PHAAS),” kata peneliti Trustwave Cris Tomboc dan King Orande. “Investigasi ke dalam kit phishing tycoon2fa mengungkapkan bagaimana musuh terus memperbaiki dan memperluas taktik mereka dalam ekosistem phishing-as-a-service (Phaas).”
 |
| Operasi Tycoon 2FA Phaas |
Semakin populernya layanan Phaas dibuktikan dengan munculnya kit berbahasa Cina “plug-and-play” baru yang dijuluki Haozi yang diperkirakan telah memfasilitasi lebih dari $ 280.000 transaksi kriminal selama lima bulan terakhir dengan menjual iklan ke layanan pihak ketiga. Ini beroperasi berdasarkan berlangganan seharga $ 2.000 per tahun.
“Tidak seperti kit phishing lama yang mengharuskan penyerang untuk mengkonfigurasi skrip atau infrastruktur secara manual, Haozi menawarkan panel web yang ramping dan menghadap publik,” kata Netcraft. “Setelah penyerang membeli server dan memasukkan kredensial ke dalam panel, perangkat lunak phishing secara otomatis diatur, tanpa perlu menjalankan perintah tunggal.”
“Pengaturan tanpa gesekan ini kontras dengan alat PHAAS lainnya seperti Darcula Suite yang diaktifkan AI, di mana penggunaan baris perintah minimal masih diperlukan.”
Selain mendukung panel admin di mana pengguna dapat mengelola semua kampanye mereka di satu tempat, Haozi telah ditemukan menawarkan ruang iklan, bertindak sebagai perantara untuk menghubungkan pembeli kit phishing dengan layanan pihak ketiga, seperti yang terkait dengan vendor SMS.
 |
| Dashboard phishing haozi |
Aspek lain yang membedakan Haozi dari kit lain adalah saluran telegram setelah penjualan yang berdedikasi (@yuanbaoaichiyu) untuk membantu pelanggan dengan masalah debugging dan mengoptimalkan kampanye mereka, memposisikannya sebagai pilihan yang menarik untuk bercita-cita kaki dunia maya yang tidak memiliki keahlian teknis.
“Ketika tim keamanan perusahaan menjadi lebih efektif dalam mendeteksi dan mengatasi upaya intrusi, penyerang menggunakan rekayasa sosial dan penipuan phishing, taktik yang tidak perlu melanggar perimeter yang keras,” kata peneliti Netcraft Harry Everett.
“Penawaran PHAAS menurunkan kampanye lantai keterampilan dan skala melalui otomatisasi dan dukungan masyarakat. Model-model baru ini berfungsi lebih seperti bisnis SaaS daripada grup peretasan pasar hitam, lengkap dengan harga berlangganan, layanan pelanggan, dan pembaruan produk.”
Microsoft, dalam penasihat yang diterbitkan minggu lalu, mengungkapkan bagaimana platform PHAAS semakin mendorong phishing kredensial musuh di tengah-tengah (AITM) sebagai adopsi lonjakan otentikasi multi-faktor (MFA).
Beberapa teknik lain termasuk phishing kode perangkat; OAuth persetujuan phishing; di mana aktor ancaman menggunakan protokol otorisasi terbuka (OAuth) dan mengirim email dengan tautan persetujuan berbahaya untuk aplikasi pihak ketiga; Perangkat Bergabung dengan phishing, di mana aktor ancaman menggunakan tautan phishing untuk menipu target agar mengesahkan domain-bergabung dengan perangkat yang dikendalikan aktor.
Pembuat Windows mengatakan telah mengamati tersangka aktor ancaman terkait Rusia yang menggunakan pesan aplikasi pihak ketiga atau email yang merujuk pada undangan pertemuan yang akan datang untuk mengirimkan tautan berbahaya yang berisi kode otorisasi yang valid. Teknik ini pertama kali didokumentasikan oleh Volexity pada bulan April 2025.
“Sementara pengguna akhir dan langkah -langkah keamanan otomatis menjadi lebih mampu mengidentifikasi keterikatan dan tautan phishing berbahaya, para aktor ancaman yang termotivasi terus mengandalkan mengeksploitasi perilaku manusia dengan umpan yang meyakinkan,” kata Igor Sakhnov, wakil presiden perusahaan dan wakil CISO identitas di Microsoft, mengatakan.
“Karena serangan ini bergantung pada pengguna yang menipu, pelatihan pengguna dan kesadaran akan teknik rekayasa sosial yang umum diidentifikasi adalah kunci untuk bertahan melawan mereka.”
