Penyerang Membajak Email Craigslist untuk Melewati Keamanan, Mengirimkan Malware

Instrumen musik, suku cadang sepeda motor, dan sekarang malware — Craigslist benar-benar memiliki semuanya.

Sistem email internal Craigslist dibajak oleh penyerang bulan ini untuk menyampaikan pesan pesan yang meyakinkan, yang pada akhirnya ditujukan untuk menghindari kontrol keamanan Microsoft Office untuk mengirimkan malware.
Dikirim dari IP Craigslist asli alamat email tersebut memberi tahu pengguna bahwa iklan mereka yang dipublikasikan berisi konten yang tidak pantas dan melanggar syarat dan ketentuan Craigslist, memberikan instruksi palsu tentang cara menghindari akun mereka dihapus.
Peneliti di INKY menemukan bahwa penyerang memanipulasi HTML email ke dokumen dengan tautan unduhan malware yang diunggah ke halaman Microsoft OneDrive. Halaman itu meniru merek-merek besar seperti DocuSign, Norton dan Microsoft.

Itu juga memungkinkan kampanye untuk melewati otentikasi email standar.
“Karena URL untuk menyelesaikan masalah menghosting dokumen khusus yang ditempatkan di Microsoft OneDrive, itu tidak muncul di intelijen ancaman apa pun feed, memungkinkannya untuk melewati sebagian besar vendor keamanan,” catat para peneliti dalam posting minggu ini.

Abusing Anonymity

 

Craigslist lebih dari satu penjualan halaman raksasa. Sistem email internalnya juga memungkinkan pembeli dan penjual yang tertarik melakukan kontak secara anonim. Menurut laporan INKY, pelaku ancaman dapat menyalahgunakan sistem email Craigslist tersebut dan  serta mengirimkan email phishing yang tampak asli kepada pengguna yang secara aktif mencoba menjual sesuatu di situs tersebut.

Itu berarti para korban kemungkinan telah mengajukan pertanyaan acak dari sistem Craigslist, jadi email-email jahat itu hanya berbaur di.

“Craigslist mengetahui identitas semua orang, tetapi kecuali koresponden mengungkapkan detailnya, mereka benar-benar anonim bagi orang lain di sistem,” kata laporan INKY. “Situasi ini cocok untuk phisher. Mereka dapat menembakkan panah beracun mereka dari belakang proxy surat lokal. Dan mereka berhasil — beberapa kali di awal Oktober.”

Email phishing tampak seperti pemberitahuan dari Craigslist bahwa iklan pengguna berisi konten yang tidak pantas. Surat itu kemudian mengancam akan melarang pengguna dari platform kecuali mereka mengisi formulir, diakses oleh tautan jahat.
Meniru Craigslist melalui peretasan sistem email. Sumber: INKY.

Craigslist Email Phishing Tandai ‘Konten Tidak Pantas’

“Kebijakan penerbitan konten di luar platform secara eksplisit melarang konten yang tidak pantas, iklan Anda telah menerima banyak tanda bahaya,” bunyi email tersebut. “Deskripsi masalah yang lebih rinci tersedia dalam formulir ini. Ini akan tersedia 24 jam.”

Mengklik pada “formulir” membawa pengguna ke dokumen Microsoft OneDrive, INKY menjelaskan.

“Tampaknya pelaku jahat dapat memanipulasi HTML email untuk membuat tombol itu dan menautkannya ke OneDrive,” para peneliti menulis. “Mengarahkan kursor ke tautan mengungkapkan domain Rusia (myjino[.]ru).”

Mengklik tautan memulai unduhan file .ZIP yang berisi spreadsheet berkemampuan makro yang mengirimkan malware. Untuk menyiasati kontrol keamanan Microsoft Office dan menjalankan makro, dokumen jahat meminta korban untuk mengklik tombol “Aktifkan Pengeditan” atau “Aktifkan Konten,” kata INKY.

“Spreadsheet meniru DocuSign dan juga menggunakan logo Norton dan Microsoft untuk menyiratkan bahwa file itu aman,” menurut laporan itu. “DocuSign sebenarnya tidak memiliki layanan yang disebut ‘Layanan Perlindungan DocuSign.`”
Permintaan “DocuSign” yang tampak meyakinkan. Sumber: INKY.

Ketika tim INKY mencoba membuat malware bekerja, itu menyebabkan pesan kesalahan 404, yang tim duga adalah kesalahan oleh penyerang, atau mereka telah ditemukan dan dihapus oleh host.

Meskipun demikian , tim INKY mengatakan serangan yang dihosting Craigslist ini dapat digunakan untuk menginstal alat akses jarak jauh (RAT), meluncurkan serangan ransomware, menerapkan implan tahap pertama seperti TrickBot, mengekstrak data sensitif atau menyebarkan keylogger.

INKY menyarankan pengguna Craigslist untuk waspada terhadap serangan semacam ini, dan menambahkan bahwa setiap email yang tampak tidak biasa harus dipandang sebagai berpotensi berbahaya.

“Tanda merah lainnya adalah pencampuran platform,” tambah para analis. “Tidak masuk akal untuk menyelesaikan masalah Craigslist melalui dokumen yang diunggah ke OneDrive.”

Wagiman Wiryosukiro

Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

You may also like...

%d bloggers like this: