Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Browser

Browser

Mozilla Memperbaiki Bug CSS 18 Tahun Lalu di Peramban Firefox

by

Mengapa penting? Ada kelemahan perangkat lunak yang cenderung bertahan bahkan di proyek yang paling aktif. Peramban sumber terbuka seperti Firefox, bagaimanapun berusaha untuk menjadi pembuat rekor sejati dengan bug yang sudah berumur puluhan tahun diperbaiki tepat pada waktunya untuk Natal.

Cacat pada peramban Firefox terselesaikan tepat setelah dewasa. Bug 290125 pertama kali dibuka 18 tahun lalu ketika pengembang Mozilla menemukan bahwa browser open source tidak benar dalam menangani elemen pseudo CSS ::first-letter.

Elemen semu CSS ::first-letter menerapkan gaya ke huruf pertama dari baris pertama elemen tingkat blok, tetapi hanya jika tidak didahului oleh konten lain. Gecko, mesin tata letak Firefox, mengabaikan ketinggian garis yang dinyatakan dan mewarisi ketinggian garis dari kotak induk.

Perilaku yang salah mencegah penulis memposisikan huruf pertama dengan mengurangi kotak garis melalui penggunaan tinggi garis kecil. Hasil akhirnya adalah Firefox membuat huruf pertama salah, di mana browser lain saat itu menangani fitur CSS dengan benar.

Perbandingan hasil penulisan huruf pertama Firefox dengan browser lain

Masalah awal dilaporkan pada 12 April 2005 dalam rilis besar pertama Firefox (1.0). Kemudian perbaikan pertama datang dengan Firefox 3.0 pada tahun 2007, ketika rendering ketinggian garis berbeda pada platform Mac diselesaikan oleh pengembang Mozilla. Bug tersebut kemudian dibuka kembali pada tahun 2014 ketika CSS Working Group, dan selesai pada 20 Desember 2022.

Menurut penjelasan pengembang Mozilla, Jonathan Kew, solusi yang sedang diadopsi adalah tambalan yang dirancang untuk meminimalkan risiko dan membuatnya mudah untuk beralih antara perilaku lama yang ada dari mesin tata letak Gecko dan perilaku kompatibel yang baru.

Selengkapnya: TECHSPOT

Malware Pencuri Info Baru Menginfeksi Pembajak Perangkat Lunak Melalui Situs Crack Palsu

by

Malware pencuri informasi baru bernama ‘RisePro’ sedang didistribusikan melalui situs crack palsu yang dioperasikan oleh layanan distribusi malware PrivateLoader pay-per-install (PPI).

RisePro dirancang untuk membantu penyerang mencuri kartu kredit, kata sandi, dan dompet kripto korban dari perangkat yang terinfeksi.

Flashpoint melaporkan bahwa pelaku ancaman telah mulai menjual ribuan log RisePro (paket data yang dicuri dari perangkat yang terinfeksi) di pasar web gelap Rusia.

Detail dan kemampuan RisePro

RisePro adalah malware C++ yang, menurut Flashpoint, mungkin didasarkan pada malware pencuri kata sandi Vidar, karena menggunakan sistem dependensi DLL tertanam yang sama.

DLL dijatuhkan di direktori kerja malware (Flashpoint)

RisePro berupaya mencuri berbagai macam data dari aplikasi, browser, dompet crypto, dan ekstensi browser, seperti yang tercantum di bawah ini:

  • Web browsers: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom.
  • Browser extensions: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet.
  • Software: Discord, battle.net, Authy Desktop
  • Cryptocurrency assets: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin.

Link to PrivateLoader
PrivateLoader adalah layanan distribusi malware bayar per pemasangan yang disamarkan sebagai crack perangkat lunak, pembuat kunci, dan modifikasi game.

Pelaku ancaman memberikan sampel malware yang ingin mereka distribusikan, kriteria penargetan, dan pembayaran kepada tim PrivateLoader, yang kemudian menggunakan jaringan situs web palsu dan yang diretas untuk mendistribusikan malware.

Dengan tambahan RisePro, Sekoia sekarang melaporkan menemukan kemampuan loader di malware baru, juga menyoroti bahwa bagian kodenya ini memiliki banyak tumpang tindih dengan PrivateLoader.

Kesamaannya termasuk teknik kebingungan string, kebingungan pesan HTTP, dan pengaturan HTTP dan port.

Code similarity of 30% in HTTP port setup (Sekoia)

Salah satu skenario yang mungkin terjadi adalah orang yang sama di belakang PrivateLoader mengembangkan RisePro.

sumber : bleeping computer

DuckDuckGo Saat Ini Memblokir Pop-up Google Sign-in di Semua Situs

by

Aplikasi dan ekstensi DuckDuckGo saat ini memblokir pop-up Google Sign-in di semua aplikasi dan ekstensi browsernya, menghapus semua yang dianggap sebagai gangguan dan risiko privasi bagi penggunanya.

DuckDuckGo menawarkan mesin pencari yang berfokus pada privasi, layanan email, aplikasi seluler, dan ekstensi browser yang melindungi data. Perusahaan ini mengumumkan bahwa semua aplikasi dan ekstensi peramban Chrome, Firefox, Brave, dan Microsoft Edge sekarang akan secara aktif memblokir permintaan masuk Google yang ditampilkan di situs.

Google menawarkan opsi masuk tunggal di situs web untuk memungkinkan pengguna masuk dengan cepat ke platform baru menggunakan akun Google mereka untuk kenyamanan. Pengguna cukup masuk dengan Google saat opsi tersedia dan tidak perlu membuat akun baru lagi. Kelemahannya adalah situs web dan aplikasi yang digunakan pengguna untuk masuk dapat dilacak oleh Google.

Hasil pengawasan DuckDuckGo menunjukkan bahwa Google masih mengumpulkan data di situs yang masuk dengan Google. Misalnya, diinvestasi.com, banyak permintaan dibuat ke https://securepubads.g.doubleclick.net/gampad/ads.

Cookie menyedot data pengguna (kiri) dan diblokir (kanan) (DuckDuckGo)

Karena dirasa ini adalah risiko privasi, DuckDuckGo terpaksa mengambil pendekatan agresif dengan memblokir permintaan masuk Google, tidak pernah memberi pengguna opsi untuk menerima tawaran raksasa teknologi itu.

Hal yang sama juga berlaku untuk browser DuckDuckGo di macOS. Fitur pemblokiran Google dibangun ke dalam “Perlindungan”, dan tidak ada opsi untuk menonaktifkannya kecuali Anda menonaktifkan semua perlindungan privasi.

Browser DuckDuckGo di macOS, perlindungan diatur ke aktif (kiri) dan nonaktif (kanan) (BleepingComputer)

Perubahan DuckDuckGo untuk memblokir dugaan ancaman privasi kemungkinan akan menyebabkan masalah yang menggunakan masuk Google di situs web karena mereka tidak lagi dapat masuk.

Selengkapnya: BLEEPINGCOMPUTER

FBI Memperingatkan Iklan Mesin Pencari yang Mendorong Malware, Phishing

by Leave a Comment


FBI memperingatikan bahwa pelaku ancaman menggunakan iklan mesin pencari untuk mempromosikan situs web yang mendistribusikan ransomware atau mencuri keredensial masuk untuk lembaga keuangan dan pertukaran crypto.

Dalam pengumuman layanan publik hari ini, badan penegak hukum federal mengatakan pelaku ancaman membeli iklan yang menyamar sebagai bisnis atau layanan ang sah. iklan ini muncul di bagian atas halaman hasil pencarian dan tertaut ke situ yang mirip dengan situs web perusahaan yang ditiru

Saat mencari perangkat lunak, FBI mengatakan iklan akan ditautkan ke situs web dengan tautan unduhan ke perangkat lunak yang dinamai sesuai dengan aplikasi yang ditiru.

Penasihat FBI juga memperingatkan tentang iklan yang mempromosikan situs phishing yang meniru platform keuangan dan, lebih khusus lagi, platform pertukaran cryptocurrency yang mengundang pengunjung untuk memasukkan kredensial akun mereka.

Iklan ini sepertinya mempromosikan situs web gimp.org yang sebenarnya, seperti yang ditunjukkan di bawah ini, mereka mengarahkan pengguna ke situs lain yang mendorong malware.

Contoh betapa rumitnya iklan jahat (Morphisec)

Cara Melindungi Diri Sendiri
Tindakan pencegahan yang paling penting saat mencari sesuatu secara online adalah tidak mengklik hal pertama yang muncul di hasil pencarian tanpa memeriksa URL-nya.

Karena beberapa hasil pertama pada istilah pencarian tertentu biasanya adalah iklan promosi, lebih aman untuk melewatkannya dan menggulir ke bawah sampai Anda melihat hasil pencarian situs web resmi proyek dan menggunakannya.

Selebihnya, bahkan memeriksa tautan terkadang hanya dapat membantu, karena pelakuk ancaman dapat membuat iklan untuk menampilkan URL yang sah tetapi mengarahkan pengguna ke situs kloning di bawah kendali penyerang.

Rekomendasi lainnya adalah menggunakan pemblokir iklan, yang memfilter hasil yang dipromosikan di Google.

Jika anda sering mengunjungi situs web, akan lebih baik untuk membookmark URL-nya dan menggunakannya untuk mengaksesnya daripada mencari setiap saat.

sumber : bleeping computer

Repositori Open-source Dibanjiri Oleh 144.000 Package Phishing

by

Unknown threat actors have uploaded a massive 144,294 phishing-related packages on open-source package repositories, inluding NPM, PyPi, and NuGet.

Serangan skala besar dihasilkan dari otomatisasi, karena paket diunggah dari akun menggunakan skema penamaan tertentu, menampilkan deskripsi serupa, dan mengarah ke kelompok yang sama dari 90 domain yang menampung lebih dari 65.000 halaman phishing.

Operasi besar-besaran
NuGet memiliki bagian terbesar dari unggahan paket berbahaya, terhitung 136.258, PyPI memiliki 7.894 infeksi, dan NPM hanya memiliki 212.

Paket phishing diunggah di trove dalam beberapa hari, yang umumnya merupakan tanda aktivitas berbahaya.

Diagram unggahan paket berbahaya (Checkmarx)

URL ke situs phishing ditanamkan dalam deskripsi paket, dengan harapan tautan dari repositori akan meningkatkan SEO situs phishing mereka.

Deskripsi paket ini juga mendesak pengguna untuk mengeklik tautan untuk mendapatkan info lebih lanjut tentang dugaan kode kartu hadiah, aplikasi, alat peretasan, dll.

Deskripsi package berbahaya (Checkmarx)

Hampir semua situs tersebut meminta pengunjung untuk memasukkan email, nama pengguna, dan kata sandi akun mereka, yang merupakan tempat terjadinya langkah phishing.

Contoh situs web berbahaya (Checkmarx)

Ini memulai serangkaian pengalihan ke situs survei, akhirnya mendarat di situs web e-niaga yang sah menggunakan tautan afiliasi, begitulah cara pelaku ancaman menghasilkan pendapatan dari kampanye.

Peneliti keamanan yang menemukan kampanye ini memberi tahu NuGet tentang infeksi tersebut, dan semua paket telah dihapus dari daftar.

Namun, mengingat metode otomatis yang digunakan oleh pelaku ancaman untuk mengunggah sejumlah besar paket dalam waktu singkat, mereka dapat memperkenalkan kembali ancaman tersebut menggunakan akun baru dan nama paket yang berbeda kapan saja.

Untuk daftar lengkap URL yang digunakan dalam kampanye ini, lihat file teks IoC ini di GitHub.

sumber : bleeping computer

Pelaku Ancaman Licik Menggunakan Domain ‘Tua’ untuk Menghindari Platform Keamanan

by

Pelaku ancaman canggih bernama ‘CashRewindo’ telah menggunakan domain ‘tua’ dalam kampanye maliklan global yang mengarah ke situs penipuan investasi.

Malvertising melibatkan injeksi kode JavaScript berbahaya di iklan digital dipromosikan oleh jaringan periklanan yang sah, mengarahkan pengunjung situs web ke laman yang menghosting formulir phishing, menjatuhkan malware, atau menjalankan penipuan.

Analis di Confiant telah melacak ‘CashRewindo’ sejak 2018, dan dapat ditemukan di Eropa, Amerika utara dan selatan, Asia, dan Afrika.

Global tetapi sangat ditargetkan
Setiap kampanye CashRewindo menargetkan audiens tertentu, sehingga halaman arahan dikonfigurasi untuk menampilkan penipuan atau halaman kosong atau tidak berbahaya untuk target yang tidak valid.

Laman landas dengan tombol ‘klik di sini’ (Confiant)

This is done by checking the timezone, device platform, and language used on the visitor’s system.

Users and devices outside the target audience clicking the embedded “Click Here” button will be redirected to an innocuous site.

Pengguna tersebut dibawa ke halaman scam dan akhirnya dialihkan ke platform investasi cryptocurrency palsu yang menjanjikan pengembalian investasi yang tidak realistis.

Confiant melaporkan bahwa selama 12 bulan, telah mencatat lebih dari 1,5 juta tayangan CashRewindo, terutama menargetkan perangkat Windows.

Platfrom yang Ditargetkan

20 lokasi paling bertarget teratas ditampilkan dalam tabel di bawah ini.

Penipuan investasi tersebar luas, tetapi biasanya, pelaku ancaman lebih memilih kuantitas daripada kualitas, mendorong situs palsu mereka yang dibuat dengan tergesa-gesa ke kumpulan besar pengguna dan menghosting platform penipuan di domain yang baru terdaftar yang akan segera offline.

CashRewindo mengikuti pendekatan berbeda yang membutuhkan lebih banyak pekerjaan tetapi secara signifikan meningkatkan peluang keberhasilan bagi pelaku ancaman.

sumber : bleeping computer

Aplikasi Android Berbahaya Ditemukan Mendukung Layanan Pembuatan Akun

by

Aplikasi SMS Android palsu, dengan 100.000 unduhan di Google Play Store, telah ditemukan secara diam-diam bertindak sebagai relai SMS untuk layanan pembuatan akun untuk situs seperti Microsoft, Google, Instagram, Telegram, dan Facebook.

Seorang peneliti mengatakan perangkat yang terinfeksi kemudian disewakan sebagai “nomor virtual” untuk menyampaikan kode sandi satu kali yang digunakan untuk memverifikasi pengguna saat membuat akun baru.

many user reviews complain that it is fake, hijacks their phones, and generates multiple OTPs (one-time passwords) upon installation.

Aplikasi Symoo dan ulasan pengguna di Google Play

Symoo ditemukan oleh peneliti keamanan Evina Maxime Ingrao, yang melaporkannya ke Google tetapi belum mendapat kabar dari tim Android. Pada saat penulisan, aplikasi tetap tersedia di Google Play.

Merutekan kode 2FA
Di layar pertama, ia meminta pengguna untuk memberikan nomor telepon mereka; setelah itu, itu melapisi layar pemuatan palsu yang seharusnya menunjukkan kemajuan memuat sumber daya.

Namun, proses ini diperpanjang, memungkinkan operator jarak jauh mengirim beberapa teks SMS 2FA (otentikasi dua faktor) untuk membuat akun di berbagai layanan, membaca kontennya, dan meneruskannya kembali ke operator.

Setelah selesai, aplikasi akan membeku, tidak pernah mencapai antarmuka SMS yang dijanjikan, sehingga pengguna biasanya akan mencopot pemasangannya.

aplikasi tersebut telah menggunakan nomor telepon pengguna Android untuk membuat akun palsu di berbagai platform online, dan peninjau mengatakan bahwa pesan mereka sekarang diisi dengan kode akses satu kali untuk akun yang tidak pernah mereka buat.

Menjual akun
Pengembang aplikasi ‘Nomor Virtual’ juga membuat aplikasi lain di Google Play yang disebut ‘ActivationPW – Nomor virtual’, diunduh 10.000 kali, yang menawarkan “Nomor online dari lebih dari 200 negara” yang dapat Anda gunakan untuk membuat akun.

Dengan menggunakan aplikasi ini, pengguna dapat “menyewa” nomor dengan harga kurang dari setengah dolar dan, dalam banyak kasus, menggunakan nomor tersebut untuk memverifikasi akun.

It is believed that the Symoo app is used to receive and forward OTP verification codes generated when people create accounts using ActivationPW.

sumber : bleeping computer

Ekstensi Google Chrome Digunakan Untuk Mencuri Cryptocurrency

by

Ekstensi browser Google Chrome yang mencuri informasi bernama ‘VenomSoftX’ sedang digunakan oleh malware Windows untuk mencuri cryptocurrency dan konten clipboard saat pengguna menjelajahi web.

Ekstensi Chrome ini dipasang oleh malware ViperSoftX Windows, yang bertindak sebagai RAT berbasis JavaScript (trojan akses jarak jauh) dan pembajak cryptocurrency.

Aktivitas Terbaru
Saluran distribusi utama untuk ViperSoftX adalah file torrent yang berisi crack game bertali dan aktivator produk perangkat lunak.

Dengan menganalisis alamat dompet yang di-hardcode dalam sampel ViperSoftX dan VenomSoftX, Avast menemukan bahwa keduanya secara kolektif telah menghasilkan sekitar $130.000 bagi operator mereka pada 8 November 2022.

Cryptocurrency yang dicuri ini diperoleh dengan mengalihkan transaksi cryptocurrency yang dicoba pada perangkat yang dikompromikan dan tidak termasuk keuntungan dari aktivitas paralel.

Baris kode berbahaya tunggal bersembunyi di suatu tempat di bagian bawah file teks log 5MB dan berjalan untuk mendekripsi muatan, pencuri ViperSoftX.

Fitur utama dari varian ViperSoftX yang lebih baru adalah pemasangan ekstensi browser berbahaya bernama VenomSoftX di browser berbasis Chrome (Chrome, Brave, Edge, Opera).

Menginfeksi Chrome

“VenomSoftX terutama melakukan ini (mencuri crypto) dengan mengaitkan permintaan API pada beberapa pertukaran crypto yang sangat populer yang dikunjungi/dimiliki oleh korban,” jelas Avast dalam laporan tersebut.

“Ketika API tertentu dipanggil, misalnya, untuk mengirim uang, VenomSoftX merusak permintaan sebelum dikirim untuk mengalihkan uang ke penyerang.”

Layanan yang ditargetkan oleh VenomSoftX adalah Blockchain.com, Binance, Coinbase, Gate.io, dan Kucoin, sedangkan ekstensi juga memonitor clipboard untuk penambahan alamat dompet.

“This module focuses on www.blockchain.com and it tries to hook https://blockchain.info/wallet. It also modifies the getter of the password field to steal entered passwords,” explains Avast.

“Once the request to the API endpoint is sent, the wallet address is extracted from the request, bundled with the password, and sent to the collector as a base64-encoded JSON via MQTT.”

Terakhir, jika pengguna melampirkan konten ke situs web mana pun, ekstensi akan memeriksa apakah cocok dengan salah satu ekspresi reguler yang ditunjukkan di atas, dan jika demikian, kirimkan konten yang ditempelkan ke pelaku ancaman.

Dikarenakan Google Sheets biasanya dipasang di Google Chrome sebagai aplikasi di bawah chrome://apps/ dan bukan ekstensi, Anda dapat memeriksa halaman ekstensi browser Anda untuk menentukan apakah Google Sheets dipasang.

Sumber : bleeping computer