Aktor di balik operasi phishing yang menargetkan sektor konstruksi dan energi mengekspos password hasil curian dalam serangannya yang dapat dilihat publik dengan penelusuran Google sederhana.
Pada hari Kamis lalu, Check Point Research menerbitkan posting blog yang menjelaskan operasi tersebut, di mana informasi kredensial yang berisi password hasil curian ini di-dump ke domain WordPress yang disusupi.
Serangan phishing ini dimulai dengan menggunakan salah satu dari beberapa templat email penipuan dan akan meniru pemberitahuan hasil pemindaian Xerox/Xeros termasuk nama atau jabatan karyawan perusahaan target di baris subjeknya.
Pesan phishing berasal dari server Linux yang dihosting di Microsoft Azure dan dikirim melalui PHP Mailer dan server email 1&1. Spam juga dikirim melalui akun email yang sebelumnya telah disusupi untuk membuat pesan tampak seperti dari sumber yang sah.
Penyerang di balik penipuan phishing itu menyertakan file HTML terlampir berisi kode JavaScript yang memiliki satu fungsi: pemeriksaan terkait penggunaan sandi di latar belakang. Ketika input kredensial terdeteksi, data tersebut akan diambil dan pengguna akan dikirim ke halaman login yang sah.
“Meskipun rantai infeksi ini mungkin terdengar sederhana, namun berhasil melewati pemfilteran Microsoft Office 365 Advanced Threat Protection (ATP) dan mencuri lebih dari seribu kredensial karyawan perusahaan,” kata Check Point.
Infrastruktur penyerang mencakup web, yang didukung oleh sistem manajemen konten (CMS) WordPress, yang dibajak. Check Point mengatakan bahwa setiap domain digunakan sebagai “server drop-zone” untuk memproses kredensial yang masuk dan dicuri.
Namun, setelah data pengguna yang dicuri dikirim ke server ini, data tersebut disimpan dalam file yang bersifat publik dan diindeks oleh Google – memungkinkan siapa saja untuk melihatnya melalui pencarian sederhana.
Setiap server akan beraksi selama sekitar dua bulan dan akan ditautkan ke domain .XYZ yang akan digunakan dalam upaya phishing.
“Penyerang biasanya lebih suka menggunakan server yang disusupi daripada infrastruktur mereka sendiri karena reputasi dari situs web yang mereka susupi,” kata tim Check Point. “Karena reputasi yang lebih dikenal luas, maka kemungkinan besar email tidak akan diblokir oleh vendor keamanan.”
Baca Juga: “Ada Phishing Akun Netflix Bersembunyi Di Balik CAPTCHA“
Berdasarkan subset dari sekitar 500 kredensial yang dicuri, para peneliti menemukan berbagai industri target, termasuk TI, perawatan kesehatan, real estat, dan manufaktur. Namun, tampaknya para pelaku ancaman memiliki kepentingan khusus di bidang konstruksi dan energi.
Check Point telah menghubungi Google dan memberi tahu mereka tentang pengindeksan kredensial.
