Video: Exposing Nigerian online love scammers | 60 Minutes Australia (Oktober 2024)
Para pangeran Nigeria itu punya trik baru.
Ingat 419 penipuan itu? Ini adalah pesan email yang sering ditulis dengan buruk yang mengaku berasal dari orang kaya yang bersedia membayar mahal untuk membantu mentransfer kekayaannya ke luar negeri. Pada kenyataannya, ketika para korban menyerahkan rincian keuangan mereka untuk membantu, dan mendapatkan hadiah besar, para penipu menjarah rekening bank dan menghilang.
Tampaknya para scammer itu telah mengambil teknik serangan dan malware pencuri data yang sebelumnya digunakan oleh kelompok cyber-crime dan spionage cyber yang lebih canggih, kata para peneliti Palo Alto Networks. Para peneliti dari Unit 42, tim intelijen ancaman perusahaan, menguraikan serangkaian serangan terhadap bisnis Taiwan dan Korea Selatan dalam laporan "419 Evolution" yang dirilis Selasa.
Di masa lalu, penipuan rekayasa sosial terutama menargetkan "orang kaya, tidak curiga." Dengan alat baru di tangan, 419 scammers ini tampaknya telah menggeser korban untuk memasukkan bisnis.
"Para aktor tidak menunjukkan ketajaman teknis tingkat tinggi, tetapi merupakan ancaman yang berkembang terhadap bisnis yang sebelumnya tidak menjadi target utama mereka, " kata Ryan Olson, direktur intelijen Unit 42.
Serangan canggih oleh yang belum tahu
Palo Alto Networks melacak serangan, dijuluki "Silver Spaniel" oleh para peneliti Unit 42, selama tiga bulan terakhir. Serangan dimulai dengan lampiran email jahat, yang ketika diklik, memasang malware di komputer korban. Salah satu contoh adalah alat administrasi jarak jauh (RAT) yang disebut NetWire, yang memungkinkan penyerang untuk jarak jauh mengambil alih mesin Windows, Mac OS X, dan Linux. Alat lain, DataScrambler, digunakan untuk mengemas kembali NetWire untuk menghindari deteksi oleh program antivirus. DarkComet RAT juga telah digunakan dalam serangan ini, kata laporan itu.
Alat-alat ini murah dan tersedia di forum bawah tanah, dan dapat "digunakan oleh siapa pun dengan laptop dan alamat email, " kata laporan itu.
419 scammers adalah ahli dalam rekayasa sosial, tetapi pemula ketika datang untuk bekerja dengan malware dan "menunjukkan keamanan operasional yang sangat buruk, " laporan itu menemukan. Meskipun infrastruktur perintah-dan-kontrol dirancang untuk menggunakan domain DNS dinamis (dari NoIP.com) dan layanan VPN (dari NVPN.net), beberapa penyerang mengkonfigurasi domain DNS untuk menunjuk ke alamat IP mereka sendiri. Para peneliti dapat melacak koneksi ke penyedia layanan mobile dan satelit Nigeria, kata laporan itu.
Scammers Punya Banyak Belajar
Saat ini, para penyerang tidak mengeksploitasi kerentanan perangkat lunak apa pun dan masih mengandalkan rekayasa sosial (yang sangat mereka kuasai) untuk mengelabui korban agar memasang malware. Mereka tampaknya mencuri kata sandi dan data lain untuk meluncurkan serangan rekayasa sosial lanjutan.
"Sejauh ini kami belum mengamati adanya muatan sekunder yang dipasang atau pergerakan lateral antar sistem, tetapi tidak dapat mengesampingkan kegiatan ini, " tulis para peneliti.
Para peneliti menemukan seorang Nigeria yang menyebutkan malware berulang kali di Facebook, menanyakan tentang fitur-fitur NetWire tertentu atau meminta dukungan yang bekerja dengan Zeus dan SpyEye, misalnya. Sementara para peneliti belum mengaitkan aktor khusus ini dengan serangan Silver Spaniel, ia adalah contoh seseorang "yang memulai karir kriminal mereka yang mengoperasikan 419 penipuan dan sedang mengembangkan kerajinan mereka untuk menggunakan alat malware yang ditemukan di forum bawah tanah, " kata Palo Alto Networks.
Laporan ini merekomendasikan untuk memblokir semua lampiran yang dapat dieksekusi pada email dan memeriksa arsip.zip dan.rar untuk kemungkinan file berbahaya. Firewall juga harus memblokir akses ke domain Dynamic DNS yang sering disalahgunakan, dan pengguna perlu dilatih untuk curiga terhadap lampiran, bahkan ketika nama file terlihat sah atau terkait dengan pekerjaan mereka, kata Palo Alto Networks. Laporan tersebut mencakup aturan Snort dan Suricata untuk mendeteksi lalu lintas Netwire. Para peneliti juga merilis alat gratis untuk mendekripsi dan men-decode perintah dan mengendalikan lalu lintas dan mengungkapkan data yang dicuri oleh penyerang Spaniel Perak.
"Pada saat ini kami tidak mengharapkan pelaku Perak Spanyol untuk mulai mengembangkan alat atau eksploitasi baru, tetapi mereka cenderung mengadopsi alat baru yang dibuat oleh aktor yang lebih cakap, " kata laporan itu.
