Penjahat Siber Manfaatkan Invasi Rusia ke Ukraina untuk Penipuan
Ilustrasi via Publishox
Cyberthreat.id – Peneliti dari Bitdefender Labs mengungkapkan bahwa penjahat siber memanfaatkan invasi Rusia ke Ukraina untuk melakukan penipuan di internet.
Dikutip dari Info Security Magazine, dalam sebuah posting blog yang diterbitkan pada hari Jumat, para peneliti di Bitdefender Labs mengatakan bahwa mereka menemukan kampanye email penipuan di internet. Beberapa di antaranya direkayasa untuk mengeksploitasi solidaritas masyarakat di dunia terhadap rakyat Ukraina.
Sejak 1 Maret, para peneliti telah melacak dua kampanye phishing yang dirancang khusus untuk menginfeksi korban. Kampanye ini menggunakan alat yang disebut dengan Agen Tesla dan Remcos yang menghapus akses Trojan.
Agen Tesla adalah RAT malware-as-a-service (MaaS) dan pencuri data yang dapat digunakan untuk mengekstrak informasi sensitif, termasuk kredensial, penekanan tombol, dan data clipboard dari korban. Sedangkan Remcos RAT biasanya digunakan melalui dokumen atau arsip berbahaya untuk memberi penyerang kendali penuh atas sistem korban mereka.
“Begitu masuk, penyerang dapat menangkap penekanan tombol, tangkapan layar, kredensial, dan data sistem sensitif lainnya dan mengekstraknya,” ungkap peneliti Bitdefender Labs.
Kampanye pertama yang terdeteksi oleh peneliti diamati dengan menargetkan organisasi di industri manufaktur melalui lampiran .zip bernama 'REQ Supplier Survey'. Penerima email akan diminta untuk menyelesaikan survei tentang pemasok mereka dan rencana cadangan sebagai tanggapan atas serangan di Ukraina.
“Menurut peneliti kami, muatan berbahaya diunduh dan disebarkan dari tautan Discord langsung di mesin korban. Namun yang menarik, saat berinteraksi dengan file jahat pengguna akan mengunduh versi asli Chrome, kemungkinan besar upaya ini untuk mengalihkan pengguna,” kata peneliti.
Peneliti menyebutkan 86 persen dari serangan ini tampaknya berasal dari alamat IP di Belanda. Target untuk email berbahaya tersebar di seluruh dunia, termasuk Korea Selatan (23%), Jerman (10%), Inggris (10%), AS (8%), Republik Ceko (14%), Irlandia (5%), Hungaria (3%), Swedia (3%), dan Australia (2%).
Sementara itu, kampanye kedua yang diamati oleh para peneliti melibatkan penyerang yang menyamar sebgai perusahaan perawatan kesehatan yang berbasis di Korea Selatan untuk mengirimkan Remcos RAT melalui lampiran Excel (SUCT220002.xlsx). Selain itu, 89 persen dari serangan ini berasal dari alamat IP di Jerman, dengan sebagian besar korban berada di Irlandia (32%), India (17%), AS (7%) dan Inggris (4%).[]
Editor: Yuswardi A. Suud
