Email Phishing Ransomware Menyelinap Melalui SEG

Perlindungan
Secure email gateway (SEG) tidak selalu cukup untuk menghentikan email phishing agar tidak mengirimkan ransomware kepada karyawan, terutama jika penjahat cyber menggunakan layanan cloud yang sah untuk menghosting halaman berbahaya. Serangan ransomware bertema MICROP, yang mereka amati masuk ke kotak masuk target meskipun diamankan oleh SEG.

Infection Routine

Email asli mengaku membutuhkan dukungan untuk “DWG following Supplies List”, yang diduga di-hyperlink ke URL Google Drive. URL sebenarnya adalah tautan infeksi, yang mengunduh file .MHT.

“.Ekstensi file .MHT biasanya digunakan oleh browser web sebagai arsip halaman web,” jelas peneliti Cofense. “Setelah membuka file, target disajikan dengan bentuk kabur dan tampaknya dicap, tetapi pelaku ancaman menggunakan file .MHT untuk menjangkau muatan malware.”

Muatan itu datang dalam bentuk file .RAR yang diunduh, yang pada gilirannya berisi file .EXE.

“Yang dapat dieksekusi adalah DotNETLoader yang menggunakan skrip VBS untuk menjatuhkan dan menjalankan ransomware MIRCOP di memori,” menurut analisis.

Kampanye ini tidak terlalu canggih, tetapi penggunaan Google Drive diizinkan itu untuk melewati SEGs.

“Umpan pembukanya bertema bisnis, memanfaatkan layanan – seperti Google Drive – yang digunakan perusahaan untuk mengirimkan file,” para peneliti menjelaskan. “Penyebaran cepat dari muatan MHT ke enkripsi akhir menunjukkan bahwa grup ini tidak peduli dengan kelicikan. Karena pengiriman ransomware ini sangat sederhana, sangat mengkhawatirkan bahwa email ini masuk ke kotak masuk suatu lingkungan menggunakan SEG.”

Penerima Halloween MICROP ini melaporkan email sebagai mencurigakan, membuat Cofense menemukan potensi baru Threat.

A Tema Berdarah, Penggunaan Skype yang Tidak Biasa

“Ransomware MIRCOP, juga dikenal sebagai ransomware Crypt888, mengenkripsi file pengguna untuk menyandera mereka,” seorang analis Cofense melaporkan. “Setelah permintaan pembayaran dipenuhi, pelaku ancaman berjanji untuk menyediakan metode dekripsi. Untuk serangan ini, pelaku ancaman memberikan serangkaian instruksi di wallpaper.”

Pengguna juga tidak dapat membuka aplikasi apa pun selain beberapa browser web yang dapat memberi mereka akses ke alamat email yang digunakan untuk menghubungi penyerang,” Cofense tulis peneliti dalam posting baru-baru ini. “Alamat email tersebut kemudian digunakan untuk mengatur pembayaran yang diperlukan untuk mendapatkan akses ke alat dekripsi yang diklaim oleh pelaku ancaman akan membuka kunci file dan aplikasi.”

Mereka menambahkan, “Penggunaan Skype sebagai media untuk bernegosiasi jarang terjadi, karena kebanyakan geng ransomware terorganisir memiliki situs khusus atau aplikasi obrolan seluler.”

Tonton Kata Sandi yang Disimpan Secara Lokal

Aspek menarik lainnya dari kampanye ini adalah file berbahaya yang diamati oleh tim Cofense, bernama “PI2.exe.” Itu mencuri kata sandi dari browser web termasuk Explorer, Google Chrome, Firefox dan Opera, memberikan aktor ancaman akses lateral di sekitar jaringan, serta titik masuk untuk serangan di masa mendatang.

“Mencari hash SHA256 dari eksekusi ini di Virus Total , itu dapat dikaitkan dengan lusinan executable berbahaya sejak Juni tahun ini,” kata para peneliti.

“Alat” ini menunjukkan bahwa peralihan untuk bekerja di luar kantor semakin memaparkan bisnis pada serangan semacam ini, menurut Miclain Keffeler, konsultan keamanan aplikasi dengan nVisium, itulah sebabnya manajemen kata sandi lokal serta mengekang izin cloud semakin penting, ia menjelaskan kepada Threatpost.

“Crypt888 mencari eskalasi hak istimewa horizontal dengan mencuri kata sandi yang mungkin telah disimpan pengguna secara lokal — pasti untuk digunakan dengan cara lain yang dapat mendatangkan malapetaka pada bisnis,” kata Keffeler. “Seiring dengan pertumbuhan cloud, kata sandi yang disimpan ini menjadi vektor serangan utama karena sering kali dapat memberikan akses dalam jumlah besar — ​​dengan sedikit atau tanpa kontrol keamanan.”

Cybersecurity untuk lingkungan multi-cloud terkenal menantang. OSquery dan CloudQuery adalah jawaban yang solid. Bergabunglah dengan Uptycs dan Threatpost untuk “Pengantar OSquery dan CloudQuery,” Balai Kota sesuai permintaan dengan Eric Kaiser, insinyur keamanan senior Uptycs, dan cari tahu bagaimana alat sumber terbuka ini dapat membantu menjinakkan keamanan di seluruh kampus organisasi Anda.

Register SEKARANG untuk mengakses acara sesuai permintaan!
Tulis komentar
Bagikan artikel ini:

  • Malware