- Penyerang kini mengandalkan karyawan untuk secara tidak sadar meluncurkan malware itu sendiri
- Panggilan dukungan TI palsu mengubah pemecahan masalah rutin menjadi kompromi jaringan penuh
- Kerusakan browser menjadi langkah pembuka dalam serangan rekayasa sosial yang dilakukan secara hati-hati
Aktivitas penjahat dunia maya terus beralih dari eksploitasi perangkat lunak langsung ke arah manipulasi perilaku pengguna sehari-hari dalam lingkungan perusahaan, demikian peringatan para ahli.
Penelitian baru oleh Pemburu wanita menggambarkan kampanye di mana penyerang dengan sengaja merusak browser pengguna dan menampilkan pesan keamanan yang mengkhawatirkan yang mendorong “perbaikan.”
Taktik ini menciptakan rasa urgensi yang salah sekaligus memungkinkan penyerang memulai komunikasi langsung dengan karyawan tersebut.
Penyerang memanfaatkan kebingungan karyawan
Dalam banyak kasus yang diamati, korban menerima panggilan telepon dari individu yang mengaku sebagai staf teknis internal yang bertanggung jawab untuk menyelesaikan masalah, sehingga memberikan kredibilitas kepada penyerang dan menciptakan tekanan bagi karyawan tersebut untuk bekerja sama dengan instruksi yang tampaknya rutin.
Seluruh rantai dimulai dengan pesan spam yang membanjiri kotak surat pengguna. Segera setelah itu, panggilan telepon datang dari seseorang yang mengaku mewakili “dukungan TI”, yang mengatakan bahwa kerusakan spam atau browser memerlukan pemeliharaan segera pada komputer yang terpengaruh.
Penipuan ini berhasil karena korban dibujuk untuk melakukan tindakan yang memicu kompromi itu sendiri.
Para peneliti menjelaskan bahwa penyerang mengandalkan interaksi pengguna secara manual dibandingkan pengiriman malware otomatis, karena korban dipandu melalui langkah-langkah seperti menyetujui sesi akses jarak jauh atau menginstal alat administrasi jarak jauh seperti AnyDesk.
Dalam kasus lain, pengguna diinstruksikan untuk menyalin dan menempelkan perintah ke perintah sistem atau menjalankan skrip yang disamarkan sebagai perbaikan diagnostik.
Penyerang membuka browser selama sesi jarak jauh dan mengarahkan korban ke penipuan Microsoft-antarmuka bertema yang dihosting di infrastruktur cloud.
Korban diinstruksikan untuk masuk ke “Panel Kontrol Antispam Outlook” palsu dan mengunduh apa yang digambarkan sebagai “Patch Antispam”, namun sebenarnya merupakan file arsip terselubung yang berisi beberapa komponen yang dirancang untuk memulai tahap serangan berikutnya.
Setelah apa yang disebut file perbaikan dieksekusi, rantai jahat tersebut merekonstruksi dirinya sendiri secara lokal menggunakan payload bertahap, membongkar file yang tampak menyerupai komponen perangkat lunak yang sah, termasuk pustaka runtime dan utilitas yang dapat dieksekusi.
Satu biner bernama ADNotificationManager.exe memicu fase kompromi berikutnya setelah instalasi.
Pada tahap ini, penyerang sangat bergantung pada teknik yang dikenal sebagai DLL sideloading untuk menjalankan kode berbahaya sementara aplikasi yang sah tetap beroperasi secara normal.
Pustaka dinamis berbahaya ditempatkan di samping file yang sah, sehingga memungkinkan perangkat lunak perusak untuk berjalan tanpa segera memicu alarm yang jelas di dalam sistem.
Payload tersebut pada akhirnya menyebarkan agen yang dimodifikasi yang berasal dari kerangka perintah dan kontrol sumber terbuka Havoc C2.
Dan “apa yang dulunya berakhir dengan pembelian kartu hadiah senilai $300 kini berakhir dengan kerangka kerja Havoc C2 yang dimodifikasi yang tertanam di lingkungan Anda.”
Aktivitasnya cepat, dalam satu kasus, penyusup berkembang dari komputer awal yang disusupi menjadi sembilan titik akhir tambahan dalam waktu sekitar sebelas jam.
Aktivitas cepat seperti itu menunjukkan adanya kendali langsung dari operator, bukan malware otomatis yang menyebar melalui kerentanan.
Penyerang menggunakan alat manajemen jarak jauh dan muatan bernaskah untuk menjaga persistensi saat bergerak melalui sistem yang terhubung.
Para peneliti memperingatkan bahwa kampanye tersebut menegaskan kembali bagaimana penyerang semakin bergantung pada interaksi sosial daripada kelemahan teknis untuk dilewati firewall pertahanan.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
