Peneliti cybersecurity meminta perhatian pada jenis baru skema phishing kredensial yang memastikan bahwa informasi curian dikaitkan dengan akun online yang valid.
Teknik ini telah diberi nama nama phishing validasi presisi oleh Cofense, yang katanya menggunakan validasi email real-time sehingga hanya satu set target bernilai tinggi yang dilayani layar login palsu.
“Taktik ini tidak hanya memberi para aktor ancaman tingkat keberhasilan yang lebih tinggi untuk mendapatkan kredensial yang dapat digunakan karena mereka hanya terlibat dengan daftar akun email yang valid,” kata perusahaan itu.
Tidak seperti kampanye pemanenan kredensial “semprot-dan-dembur” yang biasanya melibatkan distribusi massal email spam untuk mendapatkan informasi login korban dengan cara yang tidak pandang bulu, taktik serangan terbaru membawa phishing tombak ke tingkat berikutnya dengan hanya terlibat dengan alamat email yang telah diverifikasi oleh penyerang sebagai aktif, sah, dan nilai tinggi.
Dalam skenario ini, alamat email yang dimasukkan oleh korban di halaman pendaratan phishing divalidasi terhadap database penyerang, setelah itu halaman login palsu ditampilkan. Jika alamat email tidak ada dalam database, halaman mengembalikan kesalahan atau pengguna dialihkan ke halaman yang tidak berbahaya seperti Wikipedia untuk menghindari analisis keamanan.
Cek dilakukan dengan mengintegrasikan layanan validasi berbasis Api atau JavaScript ke dalam kit phishing yang mengkonfirmasi alamat email sebelum melanjutkan ke langkah pengambilan kata sandi.
“Ini meningkatkan efisiensi serangan dan kemungkinan yang dicuri kredensial termasuk akun nyata yang digunakan secara aktif, meningkatkan kualitas data yang dipanen untuk dijual kembali atau eksploitasi lebih lanjut,” kata Cofense.
“Perayap keamanan otomatis dan lingkungan kotak pasir juga berjuang untuk menganalisis serangan ini karena mereka tidak dapat memotong filter validasi. Pendekatan yang ditargetkan ini mengurangi risiko penyerang dan memperpanjang umur kampanye phishing.”
Pengembangan datang ketika perusahaan cybersecurity juga mengungkapkan rincian kampanye phishing email yang menggunakan pengingat penghapusan file sebagai umpan untuk mengambil kredensial serta mengirimkan malware.
Serangan dua cabang memanfaatkan URL tertanam yang tampaknya menunjuk ke file PDF yang dijadwalkan dihapus dari layanan penyimpanan file yang sah yang disebut file.fm. Jika penerima pesan mengklik tautan, mereka dibawa ke tautan file.fm yang sah dari tempat mereka dapat mengunduh file PDF yang diakui.
Namun, ketika PDF dibuka, pengguna disajikan dengan dua opsi untuk melihat pratinjau atau mengunduh file. Pengguna yang memilih yang pertama dibawa ke layar login Microsoft palsu yang dirancang untuk mencuri kredensial mereka. Ketika opsi unduhan dipilih, ia menjatuhkan eksekutif yang mengklaim sebagai Microsoft OneDrive, tetapi, pada kenyataannya, adalah perangkat lunak desktop jarak jauh Screenconnect dari ConnectWise.
“Hampir seolah -olah aktor ancaman dengan sengaja merancang serangan untuk menjebak pengguna, memaksa mereka untuk memilih 'racun' mana yang akan mereka jatuh,” kata Cofense. “Kedua opsi menghasilkan hasil yang sama, dengan tujuan yang sama tetapi pendekatan yang berbeda untuk mencapainya.”
Temuan ini juga mengikuti penemuan serangan multi-tahap yang canggih yang menggabungkan vishing, alat akses jarak jauh, dan teknik hidup-off-land untuk mendapatkan akses awal dan membangun kegigihan. Tradecraft yang diamati dalam aktivitas ini konsisten dengan cluster yang dilacak sebagai Storm-1811 (alias STAC5777).
“Aktor ancaman mengeksploitasi saluran komunikasi yang terpapar dengan memberikan muatan PowerShell berbahaya melalui pesan tim Microsoft, diikuti dengan penggunaan bantuan cepat untuk mengakses lingkungan dari jarak jauh,” kata Ontinue. “Ini mengarah pada penyebaran binari yang ditandatangani (misalnya, TeamViewer.exe), DLL jahat (TV.dll), dan akhirnya sebuah backdoor berbasis Javascript yang dieksekusi melalui Node.js.”
