Kelompok peretas asal Iran menggunakan teknik phishing baru yang memanfaatkan berbagai kedok dan akun email berbeda untuk membuat korban berpikir bahwa mereka terlibat dalam percakapan email yang nyata.
Penyerang mengirimkan email kepada sasaran mereka sembari menambahkan alamat email mereka yang lain ke dalam daftar CC (Carbon Copy/tembusan) dan selanjutnya berinteraksi menggunakannya sehingga sasaran mereka menyaksikan percakapan palsu.
Teknik yang dijuluki multi-persona impersonation (MPI/peniruan identitas multi persona) oleh peneliti di Proofpoint ini bertujuan untuk mengaburkan pemikiran logis korban dan membuat mereka lebih percaya kepada serangan phishing yang dilancarkan.
TA453 adalah kelompok peretas Iran yang sebelumnya berlagak sebagai jurnalis untuk mengincar akademisi dan pakar kebijakan di Timur Tengah.
Peniruan Identitas Multi Persona
Taktik baru milik TA453 membutuhkan usaha yang lebih gigih untuk melancarkan serangan phishing, sebab setiap target perlu dijebak dalam percakapan realistis yang melibatkan banyak identitas tiruan.
Meskipun begitu, usaha ekstra tersebut terbayarkan, sebab pertukaran percakapan yang terjadi dari beragam email membuatnya terlihat semakin terpercaya.
Sebuah contoh yang dibagikan dalam laporan Proofpoint pada Juni 2022 berikut memperlihatkan bahwa pengirim menirukan Direktur Riset FRPI, mengirimkan email mereka kepada sasaran, dan kemudian mencantumkan Direktur Global Attitudes Research PEW Research Center.
Pada hari berikutnya, Direktur PEW yang ditirukan menjawab pertanyaan yang dikirim oleh Direktur FRPI dan mengelabui sasaran mereka dengan percakapan palsu.
Pada kasus lain yang ditemukan oleh Proofpoint, sebuah tautan OneDrive dokumen DOCX yang berisi program berbahaya dikirimkan dalam percakapan.
Dalam serangan phishing MPI ketiga yang dilancarkan oleh TA453, peretas menggunakan hingga tiga buah identitas palsu untuk menipu dua akademisi yang memiliki keahlian dalam kontrol senjata nuklir.
Pada semua kasus, peretas menggunakan alamat email pribadi (Gmail, Outlook, AOL, Hotmail) bagi pengirim dan identitas palsu yang dicantumkan dalam CC, alih-alih alamat email institusi, yang sebenarnya menjadi indikasi aktivitas yang mencurigakan.
Muatan berbahaya
Dokumen OneDrive yang dikirimkan dalam percakapan merupakan file yang dilindungi kata kunci dan melancarkan injeksi templat.
Templat terunduh yang dijuluki Korg oleh Proofpoint memuat tiga buah macro, yakni Module1.bas, Module2.bas, dan ThisDocument.cls. Ketiga macro tersebut mengumpulkan informasi seperti nama pengguna. Selain itu, informasi lain didapatkan dari pengekstrakan daftar proses yang berjalan pada alamat IP publik korban dari my-ip.io menggunakan API Telegram.
Walaupun belum mendapatkan bukti, peneliti percaya bahwa informasi yang didapatkan merupakan salah satu langkah untuk menyusup ke dalam sistem korban mereka.
Sumber: https://www.bleepingcomputer.com/news/security/hackers-now-use-sock-puppets-for-more-realistic-phishing-attacks/
Sumber gambar: Unsplash dan Proofpoint