Bank di Afrika Jadi Sasaran Serangan Phising Malware

Penyerang menggunakan teknik penyelundupan HTML untuk menyembunyikan file berbahaya dalam peluang kerja palsu

Kampanye kejahatan dunia maya yang menargetkan sektor perbankan Afrika memanfaatkan email phishing dan teknik penyelundupan HTML untuk menyebarkan malware.

Serangkaian serangan telah dilaporkan di seluruh Afrika Barat, dengan penyerang menyamar sebagai calon majikan untuk memancing korban untuk mengunduh file berbahaya.

Peneliti dari HP Wolf Security, yang telah melacak kampanye tersebut, mencatat bahwa mereka pertama kali melihat serangan pada “awal 2022”, ketika seorang karyawan bank Afrika Barat yang tidak disebutkan namanya menerima email yang mengaku berasal dari perekrut di bank Afrika lain dengan informasi tentang peluang kerja.

Saat menyelidiki, peneliti menemukan bahwa domain yang digunakan untuk mengirim email salah ketik dan bukan milik organisasi yang ditiru.

A Permintaan WHOIS kemudian mengungkapkan bahwa domain tersebut terdaftar pada Desember 2021 dan mengunjungi situs web mengembalikan respons HTTP 404. Untuk membuat iming-iming lebih kredibel, pelaku ancaman juga menyertakan alamat balasan dari pegawai bank perekrut lainnya.

Kampanye penyelundupan

Email berisi file HTML yang, jika dibuka, meminta pengguna untuk mengunduh file ISO, yang pada gilirannya berisi skrip Visual Basic yang mengeksekusi malware.

Teknik ini, disebut penyelundupan HTML, memungkinkan penyerang menyelundupkan file berbahaya melewati keamanan gateway email.

Peneliti dari HP Wolf Security menemukan bahwa penyerang menggunakan pengunduh bernama GuLoader, yang dijalankan menggunakan PowerShell melalui kode yang disimpan di Registry dan sebaliknya hanya berjalan di memory.

“Mendeteksi rantai infeksi seperti itu tidak mudah, karena malware hanya terletak di memori dan registri,” catat para peneliti dalam posting blog.

Berbicara kepada The Daily Swig, Patrick Schläpfer , analis malware di HP Wolf Security, mengatakan bahwa sementara tim peneliti tidak memiliki wawasan tentang mengapa Afrika secara khusus menjadi sasaran, fi lembaga keuangan umumnya menawarkan “peluang tingkat tinggi bagi penjahat dunia maya untuk memonetisasi akses dan data yang dicuri jika mereka berhasil menyusup ke jaringan bank”.

Schläpfer menambahkan: “Dalam kampanye ini para penyerang menggunakan kombinasi teknik serangan. Sebaiknya perusahaan berhati-hati terhadap penyalahgunaan merek, yaitu situs web salah ketik yang meniru merek mereka.

“Jika ini ditemukan, mereka harus dilaporkan ke penyedia hosting dan pencatat domain sesegera mungkin.

“Selanjutnya, organisasi juga harus membuat yakin mereka memiliki visibilitas melalui jaringan mereka untuk mengisolasi atau memblokir perilaku proses berbahaya. Rekomendasi ini berlaku untuk semua organisasi, tidak hanya sektor perbankan di Afrika.”

Peneliti juga mencatat bahwa meskipun teknik seperti email phishing belum tentu canggih, “serangan semacam itu masih menyebabkan infeksi”.

Schläpfer menambahkan: “Dalam kampanye ini, penyerang melakukan upaya yang tidak biasa dalam menyiapkan situs web palsu untuk meningkatkan kredibilitas email mereka dan dengan demikian kemungkinan infeksi.

“Teknik penyelundupan HTML juga menonjol karena tidak mudah dideteksi dan oleh karena itu sering melewati gerbang email ke pengguna .”

Informasi lebih lanjut tentang kampanye dapat ditemukan di posting blog HP Wolf Security.

JANGAN LEWATKANPenyerang menyalahgunakan kerentanan Spring4Shell untuk menyebarkan malware
botnet Mirai

Referensi PortSwigger.com