Kampanye phishing yang sedang berlangsung menargetkan pengguna LastPass dan Bitwarden dengan email palsu yang mengklaim bahwa perusahaan tersebut telah diretas, mendesak mereka untuk mengunduh pengelola kata sandi versi desktop yang dianggap lebih aman.
Pesan tersebut mengarahkan penerima untuk mengunduh biner yang ditemukan BleepingComputer menginstal Syncro, alat pemantauan dan manajemen jarak jauh (RMM) yang digunakan oleh penyedia layanan terkelola (MSP) untuk menyederhanakan operasi TI.
Pelaku ancaman menggunakan program Syncro MSP untuk menyebarkan dukungan jarak jauh ScreenConnect dan mengakses perangkat lunak.
Pemasangan .EXE lama yang ‘rentan’
Dalam peringatan ancaman minggu ini, LastPass memperjelas bahwa perusahaannya tidak mengalami insiden keamanan siber apa pun dan bahwa pesan-pesan tersebut merupakan upaya rekayasa sosial yang dilakukan oleh pelaku ancaman.
“Untuk lebih jelasnya, LastPass BELUM diretas, dan ini merupakan upaya pihak jahat untuk menarik perhatian dan menimbulkan urgensi di benak penerima, sebuah taktik umum untuk rekayasa sosial dan email phishing,” LastPass mengatakan.
Menurut perusahaan, kampanye tersebut dimulai pada akhir pekan, mungkin untuk memanfaatkan pengurangan staf selama liburan akhir pekan Hari Columbus dan menunda deteksi.
Email phishing dibuat dengan baik dan mendesak penerima untuk menginstal aplikasi desktop yang lebih aman yang dikembangkan LastPass sebagai pengganti MSI untuk “format .exe ketinggalan jaman” yang memiliki kelemahan yang memungkinkan akses ke informasi brankas.
“Penyerang mengeksploitasi kelemahan dalam instalasi .exe lama, yang, dalam kondisi tertentu, memungkinkan akses tidak sah ke data cache yang disimpan,” demikian bunyi peringatan keamanan palsu dari pelaku ancaman.
Sumber: BleepingComputer
LastPass mencatat bahwa pesan palsu berasal dari ‘halo@lastpasspulse[.]blog‘ tapi BleepingComputer juga melihat email dikirim dari ‘halo@lastpasjournal[.]blog‘.
Pengguna Bitwarden juga menargetkan
Email phishing juga meniru Bitwarden dan memiliki gaya penulisan serta daya tarik yang sama dalam upaya menciptakan rasa urgensi dan meyakinkan penerima untuk mengikuti tautan unduhan ke aplikasi desktop yang ditingkatkan.
Kemarin, BleepingComputer menerima pemberitahuan dari ‘halo@bitwardenbroadcast.blog‘ menggambarkan insiden keamanan serupa yang mendorong peluncuran aplikasi klien aman yang perlu dipasang oleh pengguna.
Sumber: BleepingComputer
Pada saat penulisan, Cloudflare memblokir akses ke halaman arahan yang disertakan dalam email palsu dan menandainya sebagai upaya phishing.
Alat yang sah untuk akses jarak jauh
BleepingComputer mengambil sampel biner yang didistribusikan dalam email phishing yang menargetkan pengguna LastPass dan Bitwarden dan menemukan bahwa fungsinya sama.
Malware tersebut menginstal agen platform Syncro MSP dengan parameter yang menyembunyikan ikon baki sistemnya dalam upaya untuk membuat pengguna tidak mengetahui alat baru tersebut.
Berdasarkan pengamatan kami, satu-satunya tujuan Syncro tampaknya adalah untuk menerapkan alat dukungan ScreenConnect sebagai penginstal “bawa sendiri”, yang memberikan akses jarak jauh kepada pelaku ancaman ke titik akhir.
Agen Syncro dikonfigurasikan dengan sangat sedikit opsi, yang menunjukkan bahwa pelaku ancaman hanya terbatas pada fungsi yang mereka perlukan.
File konfigurasi menunjukkan bahwa agen memeriksa server setiap 90 detik. Itu tidak mengaktifkan akses jarak jauh bawaan dan tidak menyebarkan utilitas dukungan jarak jauh Splashtop, yang dibundel dengan platform Syncro, atau TeamViewer, yang memiliki integrasi.
Selain itu, konfigurasi yang diekstraksi tidak berisi kebijakan untuk menerapkan solusi keamanan pada titik akhir yang disusupi, dan menonaktifkan agen Emsisoft, Webroot, dan Bitdefender.
Setelah ScreenConnect diinstal pada perangkat, pelaku ancaman dapat terhubung dari jarak jauh ke komputer target dan menyebarkan muatan malware lebih lanjut, mencuri data, dan berpotensi mengakses brankas kata sandi pengguna melalui kredensial yang disimpan.
Phishing untuk akun 1Password
Minggu lalu, yang lain kampanye menargetkan 1Password pengguna dengan email yang memberikan peringatan palsu bahwa akun mereka telah disusupi. Indikator aktivitas tersebut, mulai dari kata-kata dalam pesan dan URL tujuan, hingga alamat pengirim (watchtower@eightninety[.]com) berbeda.
Sumber: Malwarebytes
Para peneliti di perusahaan keamanan siber Malwarebytes mengatakan bahwa pengguna yang mengklik tombol yang disematkan akan dibawa ke halaman phishing (kata sandi tunggal[.]com) melalui pengalihan Mandrillapp.
Serangan yang menargetkan 1Password adalah pertama kali dilaporkan oleh Brett Christensen (Pembunuh Hoax) pada tanggal 25 September.
Sumber: Malwarebytes
Pengguna alat manajemen kata sandi harus mengabaikan peringatan tersebut dan selalu masuk ke situs web resmi penyedia untuk memeriksa peringatan keamanan apa pun yang menunggu peninjauan.
Insiden keamanan penting seperti yang diklaim dalam email juga dikomunikasikan secara luas melalui blog perusahaan dan melalui siaran pers, jadi memeriksa ulang saluran resmi selalu merupakan praktik yang baik.
Perlu juga diingat bahwa perusahaan tidak akan pernah meminta kata sandi utama untuk brankas Anda.
Acara Validasi Keamanan Tahun Ini: Picus BAS Summit
Bergabunglah dengan KTT Simulasi Pelanggaran dan Serangan dan mengalami masa depan validasi keamanan. Dengarkan dari pakar terkemuka dan lihat caranya BAS bertenaga AI sedang mengubah simulasi pelanggaran dan serangan.
Jangan lewatkan acara yang akan membentuk masa depan strategi keamanan Anda
