Gelombang serangan phishing canggih baru-baru ini mensasarkan pembangun dan pemilik perniagaan kecil melalui e-mel sokongan palsu, memintas penapis spam tradisional dan mengeksploitasi platform dipercayai seperti Google Sites. Serangan tersebut, yang telah menjejaskan banyak pengendali laman web, menggunakan kejuruteraan sosial yang bijak untuk meyakinkan mangsa melaksanakan arahan berbahaya yang memasang perisian hasad pencuri data pada sistem mereka.
Kaedah Serangan Didedahkan
Kempen phishing ini bermula dengan pertanyaan sokongan yang kelihatan sahih yang mengadu tentang isu laman web tidak wujud, terutamanya dialog persetujuan kuki palsu yang sebenarnya tidak wujud pada laman sasaran. Apabila pembangun membalas e-mel awal ini, mereka menerima mesej susulan yang mengandungi pautan kepada apa yang kelihatan seperti tangkapan skrin Google Drive tetapi sebenarnya membawa kepada halaman Google Sites yang menghoskan sistem pengesahan CAPTCHA palsu. Halaman pengesahan palsu ini secara automatik menyalin arahan berbahaya ke papan keratan mangsa, yang disamarkan sebagai langkah pengesahan mudah.
Serangan ini khusus mensasarkan pengguna macOS dengan arahan yang memuat turun dan melaksanakan perisian hasad dari laman web sahih yang telah dikompromi. Satu muatan yang dianalisis memuat turun boleh laksana binari sejagat yang berfungsi pada kedua-dua Mac Intel dan Apple Silicon, kemudian menjadikannya boleh laksana dan menjalankannya serta-merta. Perisian hasad ini beroperasi sebagai trojan akses jarak jauh yang mampu melakukan pengekstrakan data meluas dari sistem yang dijangkiti.
Binari itu sendiri kelihatan seperti trojan akses jarak jauh dan perisian hasad pengekstrakan data untuk MacOS. Ia menyediakan shell terbalik dan mengekstrak fail dengan pelbagai sambungan termasuk dokumen, dompet kriptowang, data pelayar, dan pangkalan data keychain MacOS.
Vektor Serangan Biasa yang Dikenal Pasti:
- E-mel sokongan palsu mengenai dialog persetujuan kuki yang tidak wujud
- Halaman Google Sites yang menjadi hos pengesahan CAPTCHA palsu
- Penyalinan arahan automatik ke papan keratan
- Penyalahgunaan domain yang dipercayai: sites.google.com, Dropbox, DocuSign
- Taktik mendesak kejuruteraan sosial (dakwaan fungsi laman web)
 |
|---|
| Langkah-langkah yang terlibat dalam serangan pelaksanaan kod jauh menyerlahkan risiko yang berkaitan dengan melaksanakan arahan yang tidak dipercayai |
Mengapa Serangan Ini Sangat Berbahaya
Apa yang menjadikan kempen ini amat membimbangkan ialah eksploitasinya terhadap domain dan platform dipercayai. Penyerang menghoskan kandungan berbahaya mereka di sites.google.com, mengambil kesempatan daripada kepercayaan pengguna terhadap infrastruktur Google. Penyelidik keselamatan mencatatkan bahawa banyak organisasi telah menyekat sites.google.com di peringkat perusahaan disebabkan penyalahgunaan kerap dalam serangan serupa. E-mel phishing itu sendiri sering memintas penapis spam kerana mesej awal kelihatan sahih, manakala hanya susulan yang mengandungi pautan berbahaya ditanda.
Keupayaan perisian hasad ini adalah meluas, mensasarkan data pengguna sensitif termasuk sesi dan kuki pelayar, kunci SSH, token API, dompet kriptowang, profil VPN, dan juga Apple Notes. Analisis menunjukkan perisian hasad ini diobfuskasi secara sederhana menggunakan cipher XOR untuk menyembunyikan kedua-dua data dalaman dan komunikasi dengan pelayan kawalan dan perintahnya. Serangan ini menunjukkan bagaimana kejuruteraan sosial boleh memintas langkah keselamatan teknikal dengan meyakinkan pengguna untuk secara rela melaksanakan kod berbahaya.
Analisis Keupayaan Perisian Hasad:
- Menyasarkan kedua-dua seni bina Intel x86_64 dan Apple Silicon ARM64
- Mengeksfiltrasi fail dengan sambungan: .txt, .rtf, .doc, .docx, .xls, .xlsx, .key, .wallet, .jpg, .dat, .pdf, .pem, .asc, .ppk, .rdp, .sql, .ovpn, .kdbx, .conf, .json
- Mencuri data sesi pelayar dan kuki
- Mengakses pangkalan data keychain MacOS
- Mengekstrak semua nota daripada aplikasi Notes MacOS
- Menggunakan penyulitan sifer XOR untuk pengaburan data dan komunikasi
Trend Lebih Luas Penyalahgunaan Platform
Kejadian ini menyerlahkan masalah yang semakin membesar di mana penyerang menyalahgunakan platform dan perkhidmatan sahih untuk memberikan kredibiliti kepada skim mereka. Selain Google Sites, profesional keselamatan melaporkan melihat serangan serupa menggunakan Dropbox, DocuSign, dan perkhidmatan dipercayai lain untuk menghoskan muatan berbahaya. Penyerang memanfaatkan kebiasaan pengguna dengan platform ini untuk memintas syak wasangka, mengetahui bahawa orang lebih cenderung mempercayai pautan dari domain terkenal.
Ekonomi serangan ini menjadikannya amat berterusan. Seperti yang dinyatakan oleh seorang pengulas, Bahagian yang menakutkan ialah ia mengambil masa satu petang paling lama untuk mengskalakan serangan jenis ini kepada beribu-ribu mangsa berpotensi, dan walaupun kadar kejayaan 5% menghasilkan puluhan serangan berjaya. Halangan kemasukan rendah ini digabungkan dengan ganjaran berpotensi tinggi memastikan kempen ini akan terus berkembang dan mensasarkan mangsa baru.
Tindak Balas Komuniti dan Langkah Perlindungan
Komuniti teknikal telah bertindak balas dengan kedua-dua analisis dan nasihat praktikal untuk mengelakkan serangan serupa. Penyelidik keselamatan dengan pantas membalikkan kejuruteraan perisian hasad tersebut, mengenal pastinya sebagai serupa dengan AMOS (Atomic MacOS Stealer) dan memperincikan keupayaan pengekstrakan datanya. Ramai menekankan bahawa walaupun serangan kelihatan canggih, ia masih memerlukan pelbagai kesilapan pengguna untuk berjaya - dari mengklik pautan mencurigakan hingga menampal dan melaksanakan arahan tidak dikenali dalam terminal.
Untuk perlindungan, pakar mengesyorkan beberapa amalan utama: sentiasa sahkan destinasi sebenar URL yang dipendekkan atau disamarkan, jangan sekali-kali menjalankan arahan dari sumber tidak dipercayai tanpa pemeriksaan teliti, dan gunakan alat seperti perkhidmatan pengimbasan virus untuk fail mencurigakan. Sesetengah mencadangkan langkah teknikal seperti memeriksa kandungan papan keratan dengan penyunting hex sebelum menampal ke terminal, manakala yang lain menekankan kepentingan dasar organisasi yang menyekat domain berisiko tinggi seperti sites.google.com di peringkat rangkaian.
Evolusi berterusan serangan ini menunjukkan bahawa penyelesaian teknikal sahaja tidak mencukupi. Apabila kempen phishing menjadi lebih diperibadikan dan memanfaatkan kandungan dijana AI, pendidikan pengguna dan skeptisisme kekal sebagai pertahanan kritikal. Konsensus komuniti mencadangkan bahawa walaupun platform seperti Google boleh melakukan lebih banyak untuk mencegah penyalahgunaan, tanggungjawab muktamad terletak pada pengguna untuk mengekalkan kewaspadaan terhadap taktik kejuruteraan sosial yang semakin canggih.