Platform Ngrok Disalahgunakan Untuk Phising


T-News - Tim peneliti  telah menemukan peningkatan dalam kampanye phishing yang menargetkan beberapa organisasi, termasuk lembaga keuangan, dengan menyalahgunakan platform ngrok , terowongan yang aman dan dapat diintrospeksi ke localhost.


Tentang ngrok : ngrok adalah aplikasi lintas platform yang digunakan untuk mengekspos server pengembangan lokal ke internet, dan itu membuat server yang dihosting secara lokal tampak di-host di subdomain ngrok (mis., 4f421deb219c[.]ngrok[.]io) dengan membuat terowongan TCP berumur panjang ke localhost. Perangkat lunak server ngrok di-host sendiri di VPS atau server khusus. Ia memiliki kemampuan untuk melewati pemetaan NAT dan pembatasan Firewall.


Beberapa pelaku ancaman telah menyalahgunakan platform ngrok untuk mendapatkan akses tidak sah ke target untuk mengirimkan muatan tambahan, mengekstrak data keuangan seperti informasi kartu kredit/debit, dan melakukan serangan phishing yang ditargetkan.


Serangan siber berbasis ngrok lebih sulit dideteksi karena menggunakan subdomain acak ngrok.com, selain melewati perangkat keamanan seperti Firewall, sehingga menjadikannya target aktif penjahat siber.


Contoh halaman phishing –





Penyelidikan:


Beberapa jenis baru dari kampanye malware / phishing menggunakan tunneling ngrok adalah:

  • Njrat
  • DarkComet
  • Quasar RAT
  • asynrat
  • Nanocore RAT


Baru-baru ini,  menemukan bahwa penjahat dunia maya menyalahgunakan ngrok.io untuk mengirimkan serangan phishing. Gambar di bawah menampilkan salah satu tautan phishing yang ditangkap di repositori Intelijen.



Menariknya, kami menemukan beberapa tautan ngrok.io yang digunakan di pasar/kebocoran darkweb dan forum kejahatan dunia maya oleh berbagai pelaku ancaman seperti BIN CARDERS, data Telegram-carder, dan linlogpass. Kebocoran ditangkap oleh platform Threat Intelligence , seperti yang ditunjukkan pada gambar di bawah ini.




Tim peneliti juga menemukan posting di forum cybercrime tentang kit alat phishing, “KingFish3 (Master sosial). Gambar di bawah menampilkan postingan pelaku ancaman tentang alat phishing di forum kejahatan dunia maya. Pelaku ancaman juga membagikan tautan Github ke alat phishing, yang menyalahgunakan ngrok.




Aktor tersebut menggambarkan penggunaan alat seperti yang ditunjukkan pada gambar berikut, sehingga menampilkan lebih banyak informasi tentang bagaimana terowongan ngrok digunakan untuk melakukan serangan phishing yang berhasil.




Postingan tersebut berisi petunjuk langkah demi langkah tentang cara menggunakan kode GitHub yang tersedia untuk umum. Gambar di bawah ini menunjukkan output dari alat phishing beserta aplikasi yang ditargetkan.





Berdasarkan penyelidikan lebih lanjut dan analisis alat phishing, kami dapat mengidentifikasi dengan tepat bagaimana penjahat dunia maya menyalahgunakan terowongan ngrok untuk melakukan serangan phishing terhadap beberapa organisasi. Berikut adalah langkah-langkah berdasarkan analisis kami.


  • Alat ini membuat terowongan menggunakan ngrok ke URL phishing yang dipilih dengan port yang ditentukan.
  • Peretas melacak log real-time di sesi pertama dan menunggu korban memasukkan nomor telepon mereka.
  • Peretas kemudian masuk ke situs resmi aplikasi yang terpengaruh dengan kredensial yang diambil dan menghasilkan OTP (2FA).
  • Korban kemudian memasukkan OTP yang diterima di situs phishing, yang ditangkap oleh peretas.
  • Akhirnya, peretas mendapatkan akses ke akun resmi korban menggunakan OTP (2FA).

Berikut ini adalah beberapa Indikator Kompromi (IOC) phishing berbasis ngrok – daftar ini tidak lengkap:


  • 4f421deb219c[.]ngrok[.]io 
  • 64bdaf63996c[.]ngrok[.]io  
  • fd4a5b0113b7[.]ngrok[.]io 
  • 7f37e07fc0f9[.]ngrok[.]io  
  • 8c8a73773aef[.]ngrok[.]io 
  • ed23321e00e2[.]ngrok[.]io  
  • 9be055fae612[.]ngrok[.]io 
  • 232fa25e1abe[.]ngrok[.]io  
  • b36a3cf2dc0f[.]ngrok[.]io 
  • 1b96bd67151a[.]ngrok[.]io  
  • 2106ef42b27b[.]ngrok[.]io 
  • 98de9202cf1d[.]ngrok[.]io  
  • c1df5c5c340e[.]ngrok[.]io 
  • 8e3d3f5d9ca3[.]ngrok[.]io  
  • fc6cbeaa8cbb[.]ngrok[.]io 
  • 9d448ee31851[.]ngrok[.]io  
  • fe7544eeda51[.]ngrok[.]io 
  • 3b6859c00864[.]ngrok[.]io  
  • dcf4820d88b8[.]ngrok[.]io 
  • 4a826717681a[.]ngrok[.]io  
  • f7e82c8b73a6[.]ngrok[.]io  

Cara melaporkan URL jahat ini untuk dihapus: Cukup mudah, cukup beri catatan di [email protected] .


Rekomendasi kami:   


  1. Pengguna ngrok dan layanan tunneling lainnya disarankan untuk mendapatkan otorisasi dari tim keamanan informasi mereka.
  2.  Disarankan untuk melindungi akses terowongan mereka dengan kata sandi dan mengaktifkan daftar putih IP untuk membatasi akses hanya ke alamat IP tepercaya.
  3. Nyalakan fitur pembaruan perangkat lunak otomatis di komputer, ponsel, dan perangkat lain yang terhubung jika memungkinkan dan pragmatis.   
  4. Pantau transaksi keuangan Anda secara teratur, dan jika Anda melihat ada aktivitas yang mencurigakan, segera hubungi bank Anda.  
  5. Gunakan paket perangkat lunak anti-virus dan keamanan Internet yang terkenal di perangkat Anda yang terhubung, termasuk PC, laptop, dan ponsel.   
  6. Orang-orang yang khawatir tentang keterpaparan mereka terhadap web Gelap dapat mendaftar di  AmiBreached.com  untuk memastikan keterpaparan mereka.   
  7. Jangan membuka tautan dan lampiran email yang tidak tepercaya tanpa memverifikasi keasliannya.  


About the author

alkafebe
Hamba Allah

Posting Komentar