Jangan klik file ZIP itu! Phisher Mempersenjatai Domain .ZIP untuk Mengelabui Korban

idNSA.id - Teknik phishing baru yang disebut "pengarsipan file di browser" dapat dimanfaatkan untuk "meniru" perangkat lunak pengarsipan file di browser web ketika korban mengunjungi domain .ZIP.

"Dengan serangan phishing ini, Anda mensimulasikan perangkat lunak pengarsipan file (misalnya, WinRAR) di browser dan menggunakan domain .zip untuk membuatnya tampak lebih sah," peneliti keamanan mr.d0x mengungkapkan minggu lalu.

Singkatnya, pelaku ancaman dapat membuat halaman arahan phishing yang tampak realistis menggunakan HTML dan CSS yang meniru perangkat lunak arsip file yang sah, dan menghostingnya di domain .zip, sehingga meningkatkan kampanye rekayasa sosial.

Dalam skenario serangan potensial, penjahat dapat menggunakan tipu daya semacam itu untuk mengarahkan pengguna ke halaman pengambilan kredensial ketika file "terkandung" dalam arsip ZIP palsu diklik.

"Kasus penggunaan lain yang menarik adalah daftar file yang tidak dapat dieksekusi dan ketika pengguna mengklik untuk memulai unduhan, ia mengunduh file yang dapat dieksekusi," kata mr.d0x. "Katakanlah Anda memiliki file 'faktur.pdf'. Ketika pengguna mengklik file ini, itu akan memulai pengunduhan .exe atau file lainnya."

Selain itu, bilah pencarian di Windows File Explorer dapat muncul sebagai saluran licik di mana mencari file .ZIP yang tidak ada membukanya langsung di browser web jika nama file sesuai dengan domain .zip yang sah.

"Ini sempurna untuk skenario ini karena pengguna akan mengharapkan untuk melihat file ZIP," kata peneliti. "Setelah pengguna melakukan ini, itu akan meluncurkan domain .zip secara otomatis yang memiliki template arsip file, tampak cukup sah."

Perkembangan ini terjadi ketika Google meluncurkan delapan domain tingkat atas (TLD) baru, termasuk ".zip" dan ".mov," yang telah menimbulkan beberapa kekhawatiran bahwa hal itu dapat mengundang phishing dan jenis penipuan online lainnya.

Ini karena .ZIP dan . MOV adalah nama ekstensi file yang sah, berpotensi membingungkan pengguna yang tidak menaruh curiga untuk mengunjungi situs web berbahaya daripada membuka file dan menipu mereka agar mengunduh malware secara tidak sengaja.

"File ZIP sering digunakan sebagai bagian dari tahap awal rantai serangan, biasanya diunduh setelah pengguna mengakses URL berbahaya atau membuka lampiran email," kata Trend Micro.

"Di luar arsip ZIP yang digunakan sebagai muatan, kemungkinan juga aktor jahat akan menggunakan URL terkait ZIP untuk mengunduh malware dengan diperkenalkannya TLD .zip."

Sementara reaksi jelas beragam pada risiko yang ditimbulkan sebagai akibat dari kebingungan antara nama domain dan nama file, diharapkan untuk melengkapi aktor yang bertindak dengan itikad buruk dengan vektor lain untuk phishing.

Penemuan ini juga terjadi ketika perusahaan keamanan siber Group-IB mengatakan pihaknya mendeteksi lonjakan 25% dalam penggunaan kit phishing pada tahun 2022, mengidentifikasi 3.677 kit unik, jika dibandingkan dengan tahun sebelumnya.

Yang menarik adalah peningkatan tren penggunaan Telegram untuk mengumpulkan data yang dicuri, hampir dua kali lipat dari 5,6% pada tahun 2021 menjadi 9,4% pada tahun 2022.

Itu belum semuanya. Serangan phishing juga menjadi lebih canggih, dengan penjahat dunia maya semakin berfokus pada pengemasan kit dengan kemampuan penghindaran deteksi seperti penggunaan antibot dan direktori dinamis.

"Operator phishing membuat folder situs web acak yang hanya dapat diakses oleh penerima URL phishing yang dipersonalisasi dan tidak dapat diakses tanpa tautan awal," kata perusahaan yang berkantor pusat di Singapura itu.

"Teknik ini memungkinkan phisher untuk menghindari deteksi dan daftar hitam karena konten phishing tidak akan muncul dengan sendirinya."

Menurut laporan baru dari Perception Point, jumlah serangan phishing tingkat lanjut yang dicoba oleh pelaku ancaman pada tahun 2022 naik 356%. Jumlah total serangan meningkat sebesar 87% sepanjang tahun.

Evolusi skema phishing yang berkelanjutan ini dicontohkan oleh gelombang serangan baru yang telah diamati memanfaatkan akun Microsoft 365 yang disusupi dan email terenkripsi pesan izin terbatas (.rpmsg) untuk mengumpulkan kredensial pengguna.

"Penggunaan pesan .rpmsg terenkripsi berarti bahwa konten phishing pesan, termasuk tautan URL, disembunyikan dari gateway pemindaian email," peneliti Trustwave Phil Hay dan Rodel Mendrez menjelaskan.

Contoh lain yang disorot oleh Proofpoint memerlukan kemungkinan penyalahgunaan fitur yang sah di Microsoft Teams untuk memfasilitasi pengiriman phishing dan malware, termasuk memanfaatkan undangan rapat pascakompromi dengan mengganti URL default dengan tautan berbahaya melalui panggilan API.

"Pendekatan berbeda yang dapat digunakan penyerang, mengingat akses ke token Teams pengguna, adalah menggunakan API atau antarmuka pengguna Teams untuk mempersenjatai tautan yang ada dalam pesan terkirim," kata perusahaan keamanan perusahaan itu.