FreeMilk Phishing Scam Membajak Percakapan Email Aktif untuk Menyebarkan Malware

Periset keamanan TI di Palo Alto Networks Unit 42 telah mengetahui tentang skema tombak-phishing baru yang ditargetkan , yang dirancang untuk mencegat komunikasi email yang terus berlanjut antara orang-orang dan mulai berpose sebagai salah satu individu untuk menginstal perangkat lunak perusak .

Skema ini diberi nama FreeMilk sementara para periset mengklaim bahwa ini adalah "kampanye tombak-phishing terbatas", yang ditemukan firma keamanan pada bulan Mei 2017. Ruang lingkup kampanye ini cukup luas karena menargetkan pengguna di seluruh dunia.

Menurut peneliti , ini adalah kampanye yang cukup canggih yang mengeksploitasi CVE-2017-0199 Microsoft Word Office atau WordPad Remote Code Execution Vulnerability. Bahan umpan cerdas disesuaikan sesuai penerima sementara kampanye tampaknya menjadi target yang ditargetkan.

Palo Alto juga mengidentifikasi bahwa email phishing tombak dikirim dari sejumlah ID email yang dikompromikan, yang semuanya terhubung ke domain otentik yang berada di Asia Timur Laut. Ini mengisyaratkan fakta bahwa hacker (s) kemungkinan besar berpose sebagai pengirim yang sah untuk mengirim email yang terinfeksi ke penerima. Orang yang ditargetkan akan mendownload dokumen berbahaya yang dikirim melalui dua muatan malware yang hebat yaitu PoohMilk dan Freenki percaya bahwa dia masih berkomunikasi dengan individu.

Tujuan utama PoohMilk adalah untuk melakukan downloader Freenki sementara Freenki melakukan dua tugas yang berbeda; Pertama, mengumpulkan informasi tentang host, dan kedua, ia memainkan peran sebagai downloader tahap kedua. Malware mendapatkan alamat MAC, nama pengguna, proses aktif dan nama komputer selain mengambil tangkapan layar dari sistem yang ditargetkan. Informasi tersebut kemudian dikirim ke server C & C dimana penyerang menerimanya dan memanfaatkannya lebih jauh untuk mendownload perangkat lunak berbahaya lainnya.

Dalam beberapa kasus, para peneliti mengamati, loader PoohMilk memuat alat administrasi jarak jauh yang disebut N1stAgent. Alat ini pertama kali terlihat pada tahun 2016 sebagai bagian dari skema phishing di mana email yang terinfeksi menyamar saat patch keamanan Hancom dikirim.

Menurut sebuah posting blog dari periset jaringan Palo Alto, penyerang telah menciptakan malware yang dijalankan hanya jika "argumen yang benar diberikan," mereka mengendalikan percakapan aktif dan membuat dokumen umpan khusus per percakapan, yang didasarkan pada pembajakan komunikasi.

"Kami tidak dapat mengidentifikasi malware tahap kedua yang dikirim melalui pengunduh Freenki selama kampanye berlangsung," para peneliti mencatat. Mereka melihat adanya infrastruktur C2 yang tumpang tindih dalam beberapa kasus lain yang ditunjukkan oleh TALOS, namun mereka belum yakin tentang hal itu.


"Kami tidak meyakinkan tentang koneksi ini karena domain C2 dikompromikan situs web dan ada beberapa bulan di antara insiden tersebut," kata tim peneliti tersebut.