ditulis ku Anuradha

McAfee Labs nembé ningali gelombang serangan phishing énggal. Dina gelombang ieu, panyerang parantos nyiksa file HTML (SHTML) anu di-parsed ku server. Berkas SHTML biasana dikaitkeun sareng pangladén wéb anu alihan pangguna ka situs wéb jahat anu maok kredensial atanapi ningalikeun formulir phishing sacara lokal dina browser pikeun ngumpulkeun inpormasi pangguna anu sénsitip.

Kampanye SHTML di lapangan:

Gambar 1. nembongkeun distribusi géologis tina klien McAfee nu ngadeteksi file SHTML jahat.

Jumlah 1. McAfee deteksi Klién SHTML

Panyerang victimize pamaké ku cara ngadistribusikaeun file SHTML salaku kantétan e-mail. Sentimen anu dianggo dina email phishing kalebet konfirmasi pamayaran, invoice, kiriman, jsb. Surélék ngandung benang leutik pesen sangkan nu narima malah leuwih panasaran pikeun muka kantétan.

Jumlah 2. Surélék kalawan kantétan SHTML

Analisis:

Nalika kantétan SHTML diklik, eta muka hiji dokumen palsu opak kalawan kaca login dina browser sakumaha ditémbongkeun dina Gambar 3. Sanajan kitu, pikeun maca dokumén, pamaké kudu ngasupkeun Kapercayaan na. Dina sababaraha kasus, alamat surélék tos dieusian.

Jumlah 3. Palsu dokumén PDF

Gambar 4. Dokumén Excel palsu

Jumlah 5. Palsu pangiriman DHL dokumén

Panyerang ilaharna ngagunakeun JavaScript dina kantétan SHTML pikeun dipaké pikeun ngahasilkeun bentuk phishing jahat atawa alihan atawa nyumputkeun URL jahat jeung kabiasaan.

Jumlah 6. SHTML kalawan kode JavaScript

Di handap ieu snippet kode anu nunjukkeun kumaha gambar latar anu kabur dimuat. Gambar kabur dicandak tina situs wéb anu sah sapertos:

https://isc.sans.edu

https://i.gyazo.com

Jumlah 7. Kode pikeun ngamuat bLieur gambar

Nyalahgunakeun jasa kiriman formulir:

Serangan phishing nyiksa panyadia ladenan statik pikeun maok inpormasi pangguna anu sénsitip, sapertos Formspree sareng Formspark

Formspree.io nyaéta layanan tukang-tungtung anu ngamungkinkeun pamekar pikeun gampang nambahkeun formulir dina ramatloka maranéhanana tanpa nulis kode server-sisi, ogé ngurus ngolah jeung neundeun formulir. Butuh ngalebetkeun formulir HTML sareng ngirimkeun hasil ka alamat email.

Panyerang ngagunakeun URL formpsree.io salaku URL aksi anu nangtukeun dimana data formulir bakal dikirim. Gambar 8 di handap nembongkeun snippet kode pikeun hiji URL Peta nu gawéna ditéang jeung metoda POST.

Jumlah 8. Formspree.io salaku URL aksi sareng metode POST

Nalika pangguna ngalebetkeun kredensial sareng mencét tombol “kintunkeun”, data dikirim ka Formspree.io. Salajengna, Formspree.io neraskeun inpormasi ka alamat email anu ditangtukeun. Handap Gambar 9. nembongkeun aliran pamaké ngirim data ti kaca web ka alamat surélék panyerang urang.

Jumlah 9. Aliran data pangiriman pamaké

Dipikawanoh bentuk bahaya Kamungkinan dipeungpeuknyegah data kiriman formulir ti keur dikirim ka panyerang. Sahandapeun Jumlah 10. nembongkeun Bentuk diblokir alatan disangka aktivitas curang.

Gambar 10. ngabentuk Bkakonci

Pikeun nyegah pangguna tina ngakuan yén aranjeunna nembé di-phished, panyerang alihan panyungsi pangguna ka halaman kasalahan anu teu aya hubunganana sareng situs wéb anu sah.

Handap Gambar 11. nembongkeun kaca web dialihkeun.

Jumlah 11. dialihkeun kaca wéb

Kasimpulanana, phishing mangrupikeun bentuk rékayasa sosial dimana panyerang nipu jalma pikeun ngungkabkeun inpormasi rahasia atanapi masang malware. Ieu masalah nyebar sarta pervasive. Scam phishing gambar kabur ieu ngagunakeun HTML dasar sareng kode JavaScript anu saderhana, tapi masih tiasa efektif. Gambar kabur cukup pikeun nipu seueur pangguna pikeun percanten yén emailna sah. Pikeun tetep ditangtayungan, pamaké kudu tetep sistem maranéhanana up to date jeung teu klik Tumbu na buka kantétan SHTML nu datang via email ti sumber untrusted.

IOC

Konsumén McAfee ditangtayungan tina kampanye phishing ieu.

Tipe Tandaan produk dideteksi
URL formspree[.]io/f/xjvderkn McAfee WebAdvisor Diblokir
URL cianindustries[].com/error/excel.php McAfee WebAdvisor Diblokir

URL dua puluh88[.]com/mincs/mea.ph McAfee WebAdvisor Diblokir
URL manis. classicbo[.]com/mailb_fixpd.ph McAfee WebAdvisor Diblokir

Tipe Tandaan produk dideteksi
shtml (Adobe) 0a072e7443732c7bdb9d1f3fdb9ee27c Total Protection na LiveSafe HTML/Phishing.qz
shtml (Excel) 3b215a37c728f65c167941e788935677 Total Protection na LiveSafe HTML/Phishing.rb
shtml (DHL) 257c1f7a04c93a44514977ec5027446c Total Protection na LiveSafe HTML/Phishing.qz


#Gelombang #Anyar #Serangan #SHTML #Phishing