banner large

Saya mengirim studio yoga saya formulir web, dan yang saya dapatkan hanyalah serangan malware yang buruk ini

Comment
X
Share
Saya mengirim studio yoga saya formulir web, dan yang saya dapatkan hanyalah serangan malware yang buruk ini

Gambar Getty

Pada hari terakhir bulan Mei, salah satu kotak masuk saya mulai menerima email, konon dari salah satu pemilik studio yoga yang saya kunjungi. Ini menyangkut pesan yang saya kirim pada bulan Januari melalui situs web studio yang telah diselesaikan pada hari berikutnya dalam email yang dikirim oleh pemilik bersama. Sekarang, di sinilah dia, empat bulan kemudian, mengirimi saya email lagi.

“Tercantum di bawah dokumen yang kami bicarakan minggu lalu,” tulis penulis email itu. “Hubungi saya jika Anda memiliki pertanyaan tentang file terlampir.” Ada file zip yang dilindungi kata sandi terlampir. Di bawah isi pesan adalah tanggapan yang dikirim rekan pemilik kepada saya pada bulan Januari. Email-email ini mulai datang sekali atau dua kali sehari selama beberapa minggu ke depan, masing-masing dari alamat yang berbeda. File dan kata sandi sering diubah, tetapi format dasarnya, termasuk utas email Januari, tetap konsisten.

Dengan bantuan para peneliti di firma keamanan Proofpoint, saya sekarang tahu bahwa email-email itu adalah karya kelompok kejahatan yang mereka sebut TA578. TA578 adalah yang dikenal di industri keamanan sebagai broker akses awal. Itu berarti itu membahayakan perangkat pengguna akhir secara masal secara oportunistik, mengirim spam ke alamat sebanyak mungkin dengan file berbahaya. Geng kemudian menjual akses ke mesin yang dikompromikannya dengan pelaku ancaman lain untuk digunakan dalam ransomware, cryptojacking, dan jenis kampanye lainnya.

Apa itu pembajakan thread?

Entah bagaimana, anggota kelompok mengetahui pesan yang saya kirim ke studio yoga saya. Penjelasan paling sederhana adalah komputer atau akun email pemilik studio telah disusupi, tetapi ada kemungkinan lain. Dengan kepemilikan alamat email saya dan email asli yang dikirimkan pemiliknya kepada saya pada bulan Januari, TA578 sekarang memiliki bahan mentah untuk diperdagangkan.

“Pesan dalam kampanye ini tampaknya merupakan balasan dari utas email sebelumnya yang tidak berbahaya,” tulis Proofpoint dalam email menanggapi pertanyaan. “Teknik ini disebut sebagai pembajakan utas. Pelaku ancaman menggunakan teknik ini untuk membuat penerima percaya bahwa mereka berinteraksi dengan orang yang mereka percayai sehingga mereka cenderung tidak curiga saat mengunduh atau membuka lampiran yang mungkin mereka kirimkan sebagai bagian dari percakapan. . Pelaku ancaman biasanya mencuri pesan tidak berbahaya ini melalui infeksi malware sebelumnya atau penyusupan akun.”

Saat dibuka ritsletingnya, file terlampir menginstal Bumblebee, pengunduh berbahaya yang digunakan beberapa pelaku ancaman untuk mengunduh dan menjalankan muatan tambahan pada mesin yang disusupi. Proofpoint pertama kali mengamati pelaku ancaman menggunakan Bumblebee dalam kampanye berbasis email pada bulan Maret.

File yang dilampirkan ke email yang saya terima berisi file ISO atau IMG yang disematkan bersama dengan file pintasan LNK dan file DLL. File LNK digunakan untuk menjalankan DLL pada titik masuk tertentu untuk memulai malware. Proofpoint mengatakan kampanye Bumblebee TA578 biasanya melanjutkan untuk mengunduh payload tahap kedua dari Cobalt Strike dan malware Meterpreter.

Untungnya, saya segera tahu bahwa email itu berbahaya, tetapi tidak sulit untuk melihat bagaimana beberapa orang mungkin tertipu oleh tipu muslihat itu. Siapa yang mengira bahwa pesan rutin yang dikirim ke studio yoga akan membuka pintu bagi serangan malware?

Saya mengirim email kepada pemiliknya dan menjelaskan rangkaian acara dan memperingatkan bahwa akun atau mesin yang digunakan studio hampir pasti telah disusupi. Saya tidak pernah menerima tanggapan. Ketika saya menindaklanjuti dengan mengirim pesan lain melalui halaman web studio, seseorang menjawab: “Saya menyesal mendengar bahwa Anda telah menerima jenis komunikasi ini tetapi tidak ada sistem atau server di pihak kami yang akan mengirimi Anda email. Saya akan memeriksa ulang untuk memastikan tidak ada yang salah di pihak Anda.”

Semua yang mengatakan, menerima jenis email berbahaya ini cukup banyak fakta kehidupan pada tahun 2022. Jika Anda berbelanja atau bersosialisasi secara online, hampir tak terelakkan seseorang dalam rantai akan dikompromikan, dan titik akhir itu akan dieksploitasi dengan harapan menginfeksi Anda.

Kesimpulannya: Harapkan email berbahaya dari orang atau alamat yang Anda pikir Anda kenali menggunakan utas email asli yang pernah Anda terima sebelumnya. Ketika ada sesuatu yang tampak tidak sesuai dengan karakternya, mundur selangkah dan mulailah diskusi di utas email terpisah atau hubungi orang tersebut secara langsung. Dan seperti yang ditunjukkan oleh pengalaman saya dengan studio yoga saya, jangan berharap orang lain mengerti apa yang sedang terjadi. Di atas segalanya, jangan klik tautan atau buka lampiran.

Leave a Reply

Your email address will not be published. Required fields are marked *