BALIPORTALNEWS.COM, DENPASAR – Teknik phishing baru yang disebut ‘arsip file di peramban’ dapat digunakan untuk ‘meniru’ perangkat lunak pengarsipan file di peramban web saat korban mengunjungi domain .ZIP.
“Dengan serangan phishing ini, Anda mensimulasikan perangkat lunak pengarsip file (misalnya, WinRAR) di peramban dan menggunakan domain .ZIP untuk membuatnya terlihat lebih sah,” ungkap peneliti keamanan yang dikenal dengan nama mr.d0x minggu lalu.
Pelaku ancaman, pada intinya, dapat menciptakan halaman arahan phishing yang tampak realistis dengan menggunakan HTML dan CSS yang meniru perangkat lunak pengarsip file sah, dan mem-hostingnya di domain .ZIP, sehingga meningkatkan kampanye rekayasa sosial. Dalam skenario serangan potensial, pelaku jahat dapat menggunakan trik tersebut untuk mengalihkan pengguna ke halaman perolehan kredensial saat file yang “terdapat” dalam arsip ZIP palsu diklik.
“Kasus penggunaan menarik lainnya adalah mencantumkan file non-eksekusi dan ketika pengguna mengklik untuk memulai unduhan, ia mengunduh file eksekusi. Misalnya, Anda memiliki file ‘invoice.pdf’. Ketika pengguna mengklik file ini, itu akan memulai unduhan file .exe atau file lainnya,” catat mr.d0x.
Selain itu, bilah pencarian di Windows File Explorer dapat menjadi saluran yang licik di mana pencarian file .ZIP yang tidak ada akan membukanya langsung di peramban web jika nama file sesuai dengan domain .ZIP yang sah.
“Hal ini sempurna untuk skenario ini karena pengguna akan mengharapkan melihat file ZIP. Setelah pengguna melakukannya, itu akan secara otomatis meluncurkan domain .ZIP yang memiliki template arsip file, tampak cukup sah,” kata peneliti tersebut.
Pengembangan ini terjadi ketika Google meluncurkan delapan domain tingkat atas (TLD) baru, termasuk ‘.ZIP’ dan ‘.MOV’, yang menimbulkan kekhawatiran bahwa hal itu dapat mengundang phishing dan jenis penipuan online lainnya. Hal ini karena .ZIP dan .MOV adalah nama ekstensi file yang sah, yang berpotensi membingungkan pengguna yang tidak curiga menjadi mengunjungi situs web jahat daripada membuka file dan membohongi mereka agar secara tidak sengaja mengunduh malware.
“File ZIP sering digunakan sebagai bagian dari tahap awal rantai serangan, biasanya diunduh setelah pengguna mengakses URL berbahaya atau membuka lampiran email. Selain arsip ZIP digunakan sebagai payload, kemungkinan juga aktor jahat akan menggunakan URL terkait ZIP untuk mengunduh malware dengan diperkenalkannya TLD .ZIP,” kata Trend Micro.
Meskipun reaksi terhadap risiko yang ditimbulkan akibat kebingungan antara nama domain dan nama file adalah bervariasi, diharapkan itu akan memberikan pelaku yang bertindak dengan niat buruk dengan vektor phishing lainnya. Penemuan ini juga muncul ketika perusahaan keamanan cyber Group-IB mengatakan bahwa mereka mendeteksi peningkatan 25% dalam penggunaan kit phishing pada tahun 2022, mengidentifikasi 3.677 kit unik, dibandingkan dengan tahun sebelumnya.
Yang menarik adalah peningkatan tren penggunaan Telegram untuk mengumpulkan data curian, hampir dua kali lipat dari 5,6% pada tahun 2021 menjadi 9,4% pada tahun 2022. Itu belum semuanya. Serangan phishing juga semakin canggih, dengan para penjahat siber semakin fokus pada penyertaan kemampuan penghindaran deteksi dalam kit seperti penggunaan antibot dan direktori dinamis.
“Operator phishing menciptakan folder situs web acak yang hanya dapat diakses oleh penerima URL phishing yang dipersonalisasi dan tidak dapat diakses tanpa tautan awal,” kata perusahaan yang berkantor pusat di Singapura tersebut.
Teknik ini memungkinkan pelaku phishing untuk menghindari deteksi dan pelarangan karena konten phishing tidak akan terungkap. Menurut laporan baru dari Perception Point, jumlah serangan phishing canggih yang dicoba oleh pelaku ancaman pada tahun 2022 meningkat 356%. Jumlah serangan meningkat 87% sepanjang tahun. Evolusi terus-menerus dari skema phishing ini tercermin dalam gelombang serangan baru-baru ini yang menggunakan akun Microsoft 365 yang diretas dan email terenkripsi berizin pesan (.rpmsg) untuk mencuri kredensial pengguna.
“Penggunaan pesan .rpmsg terenkripsi berarti bahwa konten phishing pesan, termasuk tautan URL, disembunyikan dari gateway pemindaian email,” jelas peneliti Trustwave Phil Hay dan Rodel Mendrez.
Contoh lain yang diungkapkan oleh Proofpoint melibatkan penyalahgunaan fitur-fitur sah dalam Microsoft Teams untuk memfasilitasi phishing dan pengiriman malware, termasuk menggunakan undangan pertemuan setelah kompromi dengan mengganti URL default dengan tautan jahat melalui panggilan API.
“Pendekatan yang berbeda yang dapat digunakan oleh penyerang, dengan akses ke token Teams pengguna, adalah menggunakan API atau antarmuka pengguna Teams untuk mempersenjatai tautan yang sudah ada dalam pesan yang dikirim. Hal ini dapat dilakukan dengan hanya mengganti tautan yang tidak berbahaya dengan tautan yang mengarah ke situs web jahat atau sumber daya yang berbahaya,” catatan perusahaan keamanan enterprise tersebut. (kmg/bpn)
