Kampanye spear-phishing jangka panjang menargetkan karyawan perusahaan besar dengan email berisi PDF yang tertaut ke aplikasi Glitch berumur pendek yang menghosting halaman phishing SharePoint yang mengumpulkan kredensial, para peneliti telah menemukan.
Peneliti dari DomainTools menemukan PDF yang mencurigakan – yang sendiri tidak memasukkan konten berbahaya – pada bulan Juli, tulis Peneliti Keamanan Senior Chad Anderson, dalam sebuah laporan yang diterbitkan Kamis.
Sebaliknya, aktivitas jahat yang disebarkan oleh PDF adalah tautan ke aplikasi Glitch yang menghosting halaman phishing yang menyertakan JavaScript yang dikaburkan untuk mencuri kredensial, tulisnya. Glitch adalah alat manajemen proyek berbasis Web dengan editor kode bawaan untuk menjalankan dan menghosting proyek perangkat lunak mulai dari situs web sederhana hingga aplikasi besar.
Kampanye ini tampaknya hanya menargetkan karyawan yang bekerja di Timur Tengah sebagai "kampanye tunggal" dalam serangkaian penipuan phishing serupa bertema SharePoint, tulis Anderson.
Menyalahgunakan Glitch
Untuk memahami cara kerja kampanye, orang perlu memahami cara kerja versi gratis Glitch, Anderson menjelaskan. Platform ini memungkinkan aplikasi untuk beroperasi selama lima menit yang terpapar internet dengan nama host yang disediakan Glitch menggunakan tiga kata acak, tulisnya.
“Misalnya, satu dokumen mengarahkan penerima ke hammerhead-resilient-birch.glitch[.]me di mana konten berbahaya itu disimpan," jelas Anderson dalam postingan tersebut. “Setelah lima menit habis, akun di belakang halaman harus mengeklik untuk menayangkan halaman mereka lagi.”
“Sifat fana” inilah yang membuat ruang bersama Glitch ideal untuk pelaku ancaman yang ingin meng-host konten berbahaya, mengingat mereka sulit untuk mendeteksi. Ini terutama benar “karena domain Glitch tepercaya dan sering kali sudah diizinkan di banyak jaringan,” jelas Anderson.
“Ruang tempat kode dapat dijalankan dan dihosting secara gratis adalah tambang emas bagi penyerang, terutama mengingat banyak domain dasar secara implisit dipercaya oleh perusahaan-perusahaan yang masuk daftar blokir, ”tulisnya. “Delegasi kepercayaan ini memungkinkan penyerang untuk memanfaatkan PDF yang tampaknya tidak berbahaya hanya dengan tautan ke domain dasar tepercaya untuk melakukan manuver pertahanan masa lalu dan memikat kepercayaan pengguna.”
Dalam kampanye ini, penyerang menggunakan aspek ini bersama dengan eksfiltrasi kredensial ke situs WordPress yang disusupi untuk membuat rantai serangan yang dapat menyelinap melewati alat pertahanan, tulis Anderson. DomainTools Research berusaha untuk berbicara dengan Glitch tentang potensi penyalahgunaan platform ini, tetapi belum berhasil, tambahnya. Secara khusus, tim menemukan dokumen PDF yang mengaku sebagai faktur yang menyertakan bagian URI yang ditautkan ke halaman luar – sesuatu yang biasanya tidak membunyikan alarm, tulisnya.
Namun, dalam kasus ini, alamat email telah ditambahkan ke URL sebagai fragmen, yang biasanya merujuk elemen "id" pada halaman HTML, tetapi juga dapat dimanipulasi menggunakan CSS. Selain itu, alamat email milik karyawan yang sah di sebuah perusahaan yang berbasis di Uni Emirat Arab: sesuatu yang berbau spear-phishing bagi para peneliti, tulis Anderson.
Para peneliti mencari dokumen serupa dan menemukan hampir 70 dokumen yang berasal dari tanggal 30 Juli, semuanya menggunakan URL yang berbeda untuk menargetkan alamat email individu sebenarnya yang bekerja di perusahaan besar, jelasnya.
“Meskipun setiap URL dan email adalah satu-satunya, dokumen itu sendiri menautkan ke halaman bernama yang sama setiap kali: red.htm,” menyarankan a penipuan umum, tulis Anderson.
Menghindari Deteksi
Karena sifat halaman yang digunakan untuk mengumpulkan kredensial berumur pendek, para peneliti mengatakan mereka ditantang untuk menemukan halaman langsung yang menyajikan muatan utama kampanye. Mereka harus menggunakan alat URLScan, yang memungkinkan mereka untuk menelusuri semua situs yang dipindai selama sebulan terakhir.
Akhirnya, para peneliti menemukan situs langsung menggunakan layanan AnyRun, kotak pasir malware komersial, dan repositori publik dari malware yang dieksekusi yang dapat digunakan untuk menemukan interaksi spesifik dari kode berbahaya, Anderson menjelaskan. Sementara tim masih tidak menemukan payload tahap berikutnya, itu menemukan tangkapan layar dari login phishing Microsoft SharePoint yang digunakan untuk memikat korban, tulisnya.
“Meskipun konten halaman tidak tersedia, DomainTools Research mencatat nama dokumen serta pengalihan ke 'in.htm' sebagai halaman berikutnya setelah halaman 'red.htm' di dokumen PDF awal,” jelas Anderson.
Peneliti menemukan sejumlah dokumen HTML yang cocok yang terkait dengan PDF sebelumnya di VirusTotal – dokumen PDF awal yang dirancang untuk meneruskan email target sebagai fragmen URL – dengan menggunakan alamat email yang telah diisi sebelumnya di halaman, tulisnya.
Tim juga menemukan “potongan” JavaScript yang dikaburkan yang, setelah terungkap, menunjukkan alamat email dan kata sandi yang dikirimkan ke situs WordPress yang disusupi dan diteruskan ke alamat email yang ditemukan di badan skrip uzohifeanyi@outlook[.]com. Setelah penyerang mendapatkan kredensial, JavaScript kemudian mengarahkan pengguna ke URL alamat email mereka, tulis Anderson.
Keamanan siber untuk lingkungan multi-cloud terkenal menantang. OSquery dan CloudQuery adalah jawaban yang solid. Bergabunglah dengan Uptycs dan Threatpost untuk “Pengantar OSquery dan CloudQuery,” Balai Kota sesuai permintaan dengan Eric Kaiser, insinyur keamanan senior Uptycs, dan cari tahu bagaimana alat sumber terbuka ini dapat membantu menjinakkan keamanan di seluruh kampus organisasi Anda.
Register SEKARANG untuk mengakses acara sesuai permintaan!
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web
