Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Browser

Browser

Mozilla Firefox menghapus penyedia pencarian Rusia karena masalah informasi yang salah

by

Mozilla telah menghapus penyedia pencarian default Yandex Search, Mail.ru, dan OK.ru dari browser Firefox atas laporan konten yang disponsori negara yang disukai dalam hasil pencarian.

Situs-situs ini adalah tiga situs web paling populer di Rusia, digunakan oleh lebih dari seratus juta pengguna per bulan.

Sejak 2014, Mozilla telah menjadikan Yandex sebagai mesin pencari default di Rusia, dan tahun berikutnya menjadikannya pencarian default untuk pengguna di Turki.

Dengan rilis Firefox 98.0.1 hari ini, Mozilla mengumumkan bahwa mereka menghapus penyedia Yandex dan Mail.ru dari menu pencarian drop-down browser tetapi tidak memberikan rincian apa pun tentang mengapa ini dilakukan.

Bagi mereka yang terpengaruh, Mozilla menyatakan bahwa penyedia pencarian default dan penyesuaian terkait, add-on, bookmark default telah dihapus sebagai bagian dari proses ini. Pengguna yang terpengaruh akan mengatur ulang browser mereka ke penyedia pencarian default, yang saat ini adalah Google.

Dalam sebuah pernyataan kepada BleepingComputer, Mozilla mengatakan mereka menghapus penyedia pencarian dari pengguna di Rusia, Belarus, Kazakhstan, dan Turki karena “prevalensi konten yang disponsori negara.”

“Setelah mempertimbangkan dengan cermat, kami menangguhkan penggunaan Yandex Search di Firefox karena laporan kredibel dari hasil pencarian yang menampilkan prevalensi konten yang disponsori negara, yang bertentangan dengan prinsip Mozilla,” juru bicara Mozilla menjelaskan kepada BleepingComputer.

“Ini berarti untuk saat ini Pencarian Yandex tidak akan menjadi pengalaman pencarian default (atau opsi pencarian default) untuk pengguna di Rusia, Belarus, Kazakhstan, dan Turki. Sementara itu, kami mengarahkan orang ke google.com.”

Selain Yandex dan Mail.ru, seorang pembaca Berita Peretas memperhatikan bahwa jejaring sosial Odnoklassniki Rusia (ok.ru) juga dihapus sebagai bagian dari proses ini. BleepingComputer telah mengetahui bahwa mereka terpengaruh sebagai anak perusahaan dari Mail.ru.

Sementara Mozilla belum menyatakan konten yang disponsori negara apa yang ditampilkan, BleepingComputer telah diberitahu bahwa itu adalah hasil pencarian yang mendukung media pemerintah Rusia yang menyebarkan informasi yang salah mengenai invasi Rusia ke Ukraina.

Sumber : Bleeping Computer

Google Chrome untuk memungkinkan pengguna menambahkan catatan ke kata sandi yang disimpan

by

Google sedang menguji fitur Chrome baru yang memungkinkan pengguna untuk menambahkan catatan pada kata sandi yang disimpan di browser web.

Fitur baru ini ditemukan oleh pengguna Reddit (u/Leopeva64-2) di Google Chrome Canary (versi 101), yang merupakan versi masa depan eksperimental tiga rilis dari cabang stabil, saat ini di versi 98.

Fitur ini akan memungkinkan pengguna untuk mengedit kata sandi tersimpan yang ada untuk menambahkan informasi tambahan, seperti alamat email yang terkait dengan akun, pertanyaan/jawaban keamanan, atau informasi lain yang mungkin diperlukan saat masuk atau menggunakan situs.

Catatan kata sandi di Chrome Canary
Sumber: Reddit | u/Leopeva64-2)

Google saat ini sedang menguji fitur ini dengan sebagian pengguna karena tidak muncul di semua browser. Ada banyak alasan yang sah untuk menggunakan fitur ini, tetapi pada titik ini, tidak jelas seberapa baik perlindungan catatan ini.

Malware pencuri informasi seperti RedLine sudah dapat mencuri basis data kata sandi Chrome, jadi jika catatan tersebut dibundel dengan mereka, mereka juga akan rentan.

Bagi mereka yang memasukkan informasi berisiko yang terkait langsung dengan kata sandi, fitur baru ini berpotensi meningkatkan risiko akun mereka disusupi.

Bahkan jika seorang infostealer mengambil daftar kata sandi yang disimpan di Chrome, itu tidak akan membantu mereka melewati autentikasi multi-faktor yang mungkin telah dikonfigurasi pengguna di akun mereka.

Namun, jika pengguna menyimpan kode cadangan MFA atau informasi sensitif lainnya di bidang catatan, ini dapat memungkinkan pelaku ancaman meningkatkan akses ke akun.

Jika Anda benar-benar perlu menyimpan catatan di browser Anda, sebagian besar pengelola kata sandi menawarkan opsi ini bersama dengan enkripsi yang kuat dan perlindungan brankas rahasia, jadi ini mungkin cara yang lebih aman untuk melakukannya.

Sumber : Bleeping Computer

Malware CryptBot yang diubah yang disebarkan oleh situs perangkat lunak bajakan

by

Versi baru dari pencuri info CryptBot terlihat didistribusikan melalui beberapa situs web yang menawarkan unduhan gratis untuk game dan perangkat lunak kelas pro.

CryptBot adalah malware Windows yang mencuri informasi dari perangkat yang terinfeksi, termasuk kredensial browser yang disimpan, cookie, riwayat browser, dompet cryptocurrency, kartu kredit, dan file.

Analis keamanan di Ahn Lab melaporkan pelaku ancaman CryptBot mendistribusikan malware melalui situs web yang berpura-pura menawarkan celah perangkat lunak, generator kunci, atau utilitas lainnya.

Untuk mendapatkan visibilitas yang luas, para pelaku ancaman memanfaatkan optimisasi mesin pencari untuk menentukan peringkat situs distribusi malware di bagian atas hasil pencarian Google, memberikan aliran calon korban yang stabil.

Menurut tangkapan layar yang dibagikan dari situs distribusi malware, pelaku ancaman menggunakan domain khusus atau situs web yang dihosting di Amazon AWS.

Beberapa situs web yang baru-baru ini digunakan untuk distribusi CryptoBot
Sumber: Ahn Lab

Pengunjung situs ini dibawa melalui serangkaian pengalihan sebelum mereka berakhir di halaman pengiriman, sehingga halaman arahan bisa berada di situs sah yang disusupi yang disalahgunakan untuk serangan keracunan SEO.

Sampel baru CryptBot menunjukkan bahwa pembuatnya ingin menyederhanakan fungsinya dan membuat malware lebih ringan, lebih ramping, dan kecil kemungkinannya untuk dideteksi.

Dalam konteks ini, rutinitas anti-kotak pasir telah dihapus, hanya menyisakan pemeriksaan jumlah inti CPU anti-VM di versi terbaru.

Juga, koneksi C2 kedua yang berlebihan dan folder eksfiltrasi kedua keduanya dihapus, dan varian baru hanya menampilkan C2 pencuri info tunggal.

Fitur lain yang telah dihapus oleh penulis CryptBot adalah fungsi tangkapan layar dan opsi untuk mengumpulkan data pada file TXT di desktop, yang terlalu berisiko dan mungkin mudah dideteksi selama eksfiltrasi.

Di sisi lain, versi terbaru CryptBot membawa beberapa tambahan dan peningkatan yang ditargetkan yang membuatnya jauh lebih kuat.

Pada versi sebelumnya, malware hanya dapat berhasil mengekstrak data saat diterapkan pada Chrome versi antara 81 dan 95.

Keterbatasan ini muncul dari penerapan sistem yang mencari data pengguna di jalur file tetap, dan jika jalurnya berbeda, malware mengembalikan kesalahan.

Perbandingan sistem penemuan pathname (kanan baru) – ASEC

Sekarang, ia mencari di semua jalur file, dan jika data pengguna ditemukan di mana saja, ia akan mengekstraknya terlepas dari versi Chrome.

Mempertimbangkan bahwa Google meluncurkan chrome 96 pada November 2021, CryptBot tetap tidak efektif terhadap sebagian besar targetnya selama kira-kira tiga bulan, jadi memperbaiki masalah ini sudah terlambat bagi operatornya.

Sumber : Bleeping Computer

Pembaruan darurat Google Chrome memperbaiki serangan zero-day yang dieksploitasi

by

Google telah merilis Chrome 98.0.4758.102 untuk Windows, Mac, dan Linux, untuk memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang digunakan oleh pelaku ancaman dalam serangan.

“Google mengetahui laporan bahwa eksploitasi untuk CVE-2022-0609 ada di alam liar,” kata Google dalam penasihat keamanan yang dirilis hari ini.

Google menyatakan bahwa pembaruan Chrome akan diluncurkan dalam beberapa minggu mendatang. Namun, dimungkinkan untuk segera menginstal pembaruan hanya dengan masuk ke menu Chrome > Bantuan > Tentang Google Chrome.

Peramban juga akan secara otomatis memeriksa pembaruan baru dan memasangnya saat berikutnya Anda menutup dan meluncurkan kembali Google Chrome.

Google Chrome 98 update

Bug zero-day diperbaiki hari ini, dilacak sebagai CVE-2022-0609, digambarkan sebagai “Gunakan setelah gratis di Animasi” dan diberi tingkat keparahan tinggi.

Kerentanan ini ditemukan oleh Clément Lecigne dari Grup Analisis Ancaman Google.

Penyerang biasanya mengeksploitasi penggunaan setelah bug gratis untuk mengeksekusi kode arbitrer pada komputer yang menjalankan versi Chrome yang belum ditambal atau keluar dari kotak pasir keamanan browser.

Sementara Google mengatakan mereka telah mendeteksi serangan yang mengeksploitasi zero-day ini, itu tidak membagikan info tambahan apa pun mengenai insiden ini atau detail teknis tentang kerentanan.

Selain zero-day, pembaruan Google Chrome ini memperbaiki tujuh kerentanan keamanan lainnya, semuanya kecuali satu yang diklasifikasikan sebagai tingkat keparahan ‘Tinggi’.

Karena zero-day ini diketahui telah digunakan oleh penyerang di alam liar, sangat disarankan agar semua orang menginstal pembaruan Google Chrome hari ini sesegera mungkin.

Selengkapnya : Bleeping Computer

Qbot hanya membutuhkan 30 menit untuk mencuri kredensial Anda

by

Malware yang tersebar luas yang dikenal sebagai Qbot (alias Qakbot atau QuakBot) baru-baru ini kembali ke serangan kecepatan ringan, dan menurut analis, hanya perlu sekitar 30 menit untuk mencuri data sensitif setelah infeksi awal.

Para analis melaporkan bahwa dibutuhkan setengah jam bagi musuh untuk mencuri data browser dan email dari Outlook dan 50 menit sebelum mereka melompat ke workstation yang berdekatan.

Seperti yang ditunjukkan pada diagram berikut, Qbot bergerak cepat untuk melakukan eskalasi hak istimewa segera setelah infeksi, sementara pemindaian pengintaian penuh berlangsung dalam sepuluh menit.

Akses awal biasanya dicapai melalui dokumen Excel (XLS) yang menggunakan makro untuk menjatuhkan loader DLL pada mesin target.

Payload ini kemudian dijalankan untuk membuat tugas terjadwal melalui proses msra.exe dan meningkatkan dirinya ke hak istimewa sistem.

Selain itu, malware menambahkan Qbot DLL ke daftar pengecualian Microsoft Defender, sehingga tidak akan terdeteksi saat injeksi ke msra.exe terjadi.

Perintah penemuan disuntikkan ke msra.exe
Sumber: DFIR

Malware mencuri email dalam waktu setengah jam setelah eksekusi awal, yang kemudian digunakan untuk serangan phishing berantai ulang dan untuk dijual ke pelaku ancaman lainnya.

Qbot mencuri kredensial Windows dari memori menggunakan injeksi LSASS (Local Security Authority Server Service) dan dari browser web. Ini dimanfaatkan untuk pergerakan lateral ke perangkat lain di jaringan, dimulai pada rata-rata lima puluh menit setelah eksekusi pertama.

Gerakan lateral Qbot
Sumber: DFIR

Qbot bergerak secara lateral ke semua workstation di lingkungan yang dipindai dengan menyalin DLL ke target berikutnya dan membuat layanan dari jarak jauh untuk menjalankannya.

Pada saat yang sama, infeksi sebelumnya dihapus, sehingga mesin yang baru saja dieksfiltrasi kredensialnya didesinfeksi dan tampak normal.

Selain itu, layanan yang dibuat pada workstation baru memiliki parameter ‘DeleteFlag’, yang menyebabkannya dihapus saat sistem di-boot ulang.

Layanan yang dibuat di stasiun kerja target
Sumber: DFIR

Pergerakan lateral berlangsung dengan cepat, jadi jika tidak ada segmentasi jaringan untuk melindungi stasiun kerja, situasinya menjadi sangat menantang bagi tim pertahanan.

Selain itu, pelaku ancaman Qbot sering kali suka menggunakan beberapa sistem yang disusupi sebagai titik proxy tingkat pertama untuk penyembunyian dan rotasi alamat yang mudah, dan menggunakan beberapa port untuk komunikasi SSL dengan server C2.

Dampak dari serangan cepat ini tidak terbatas pada kehilangan data, karena Qbot juga telah diamati menjatuhkan muatan ransomware ke jaringan perusahaan yang disusupi.

Laporan Microsoft dari Desember 2021 menangkap keserbagunaan serangan Qbot, membuatnya lebih sulit untuk mengevaluasi cakupan infeksinya secara akurat.

Sumber : Bleeping Computer

Mozilla memperbaiki bug Firefox yang memungkinkan Anda mendapatkan hak istimewa admin Windows

by

Mozilla merilis pembaruan keamanan untuk mengatasi kerentanan eskalasi hak istimewa tingkat keparahan tinggi yang ditemukan di Layanan Mozilla Maintenance.

Layanan Mozilla Maintenance adalah layanan Firefox dan Thunderbird opsional yang memungkinkan pembaruan aplikasi di latar belakang.

Ini memberi pengguna Firefox pengalaman pembaruan tanpa batas di mana mereka tidak lagi diharuskan mengklik ‘Ya’ di dialog Windows User Account Control (UAC) sebelum memperbarui web browser atau klien email mereka.

Mozilla memperbaiki kelemahan keamanan eskalasi hak istimewa yang dilacak sebagai CVE-2022-22753 hari ini, dengan merilis Firefox 97.

Eksploitasi yang berhasil pada sistem yang tidak ditambal dapat membuat penyerang meningkatkan hak istimewa mereka ke hak akun NT AUTHORITY\SYSTEM (tingkat hak istimewa tertinggi pada sistem Windows).

Mozilla juga mengatakan bahwa Firefox 97 mengatasi beberapa bug keamanan memori yang ditemukan oleh pengembang dan komunitas Mozilla di Firefox 96 dan Firefox ESR 91.5.

Rilis hari ini juga hadir dengan fitur-fitur baru seperti dukungan untuk gaya baru scrollbar di Windows 11 dan perbaikan, termasuk peningkatan pemuatan font sistem macOS yang membuat pembukaan dan peralihan ke tab baru lebih cepat.

Selengkapnya: Bleeping Computer

Trojan Perbankan Chaes Membajak Chrome dengan Ekstensi Berbahaya

by

Kampanye berskala besar yang melibatkan lebih dari 800 situs wordpress yang dikompromikan menyebarkan trojan perbankan yang menargetkan kredensial pengguna e-banking Brasil.

Trojan yang digunakan dalam kampanye ini disebut ‘Chaes,’ dan menurut para peneliti dari Avast, telah aktif menyebar sejak akhir 2021.

Meskipun perusahaan keamanan memberi tahu CERT Brasil, kampanye sedang berlangsung dengan ratusan situs web masih dikompromikan dengan skrip berbahaya yang mendorong malware.

Rantai serangan

Ketika korban mengunjungi salah satu situs web yang dikompromikan, mereka disajikan dengan pop-up yang meminta mereka untuk menginstal aplikasi Java Runtime palsu.

Penginstal MSI berisi tiga file JavaScript berbahaya (install.js, sched.js, sucesso.js) yang mempersiapkan lingkungan Python untuk loader tahap berikutnya.

Skrip sched.js menambahkan kegigihan dengan membuat Tugas Terjadwal dan tautan Startup, dan sucesso.js bertanggung jawab untuk melaporkan status ke C2.

Sementara itu, skrip .js instalasi melakukan tugas-tugas berikut:

  • Periksa koneksi internet (menggunakan google.com)
  • Membuat folder %APPDATA%extensions
  • Unduh arsip yang dilindungi kata sandi seperti python32.rar/python64.rar dan unrar.exe ke folder ekstensi tersebut
  • Tulis jalur folder ekstensi yang baru dibuat ke HKEY_CURRENT_USERSoftwarePythonConfigPath
  • Melakukan beberapa profil sistem dasar
  • Jalankan perintah unrar.exe dengan kata sandi yang ditentukan sebagai argumen untuk membongkar python32.rar/python64.rar
  • Terhubung ke C2 dan unduh skrip __init__.py 32bit dan 64bit bersama dengan dua muatan terenkripsi. Setiap payload memiliki nama pseudo-random.

Rantai loader Python terbentang dalam memori dan melibatkan pemuatan beberapa skrip, shellcode, dan Delphi DLL sampai semuanya ada untuk mengeksekusi muatan akhir dalam proses Python.

Tahap akhir dilakukan dengan instruksi.js, yang mengambil ekstensi Chrome dan menginstalnya pada sistem korban. Akhirnya, semua ekstensi diluncurkan dengan argumen yang tepat.

Ekstensi Chrome

Avast mengatakan mereka telah melihat lima ekstensi browser Chrome berbahaya yang berbeda diinstal pada perangkat korban, termasuk:

  • Online – Sidik jari korban dan menulis kunci registri.
  • Mtps4 – Terhubung ke C2 dan menunggu PascalScripts yang masuk. Juga mampu menangkap tangkapan layar dan menampilkannya di layar penuh untuk menyembunyikan tugas-tugas berbahaya yang berjalan di latar belakang.
  • Chrolog – Mencuri kata sandi dari Google Chrome dengan exfiltrating database ke C2 melalui HTTP.
  • Chronodx – Trojan perbankan loader dan JS yang berjalan diam-diam di latar belakang dan menunggu peluncuran Chrome. Jika browser dibuka, ia akan segera menutupnya dan membuka kembali instance Chrome sendiri yang memungkinkan pengumpulan info perbankan.
  • Chremows – Target kredensial pasar online Mercado Libre.

Pada saat ini, kampanye Chaes masih berlangsung, dan mereka yang telah dikompromikan akan tetap berisiko bahkan jika situs web dibersihkan.

Avast mengklaim bahwa beberapa situs web yang dikompromikan disalahgunakan karena menjatuhkan muatan sangat populer di Brasil, sehingga jumlah sistem yang terinfeksi kemungkinan besar.

Sumber: Bleepingcomputer

Microsoft: Edge akan mengurangi bug zero day ‘aktif tak terduga’

by

Microsoft Edge telah menambahkan fitur baru ke saluran Beta yang akan mengurangi eksploitasi di masa depan dari kerentanan zero-day yang tidak diketahui.

Kemampuan baru ini merupakan bagian dari mode penjelajahan baru yang dirancang untuk fokus pada keamanan Microsoft Edge saat menavigasi web.

“Fitur ini merupakan langkah maju yang besar karena memungkinkan kami mengurangi zero-day aktif yang tidak terduga (berdasarkan tren historis),” Microsoft menjelaskan.

“Saat diaktifkan, fitur ini menghadirkan Hardware-enforced Stack Protection, Arbitrary Code Guard (ACG), dan Content Flow Guard (CFG) sebagai pendukung mitigasi keamanan untuk meningkatkan keamanan pengguna di web.”

Microsoft telah menyertakan lapisan perlindungan ekstra ini terhadap bug zero-day yang dieksploitasi di alam liar dengan merilis versi 98.0.1108.23 ke Microsoft Edge Beta Channel.

Untuk membantu melindungi pengguna akhir dari eksploitasi zero-day, administrator dapat menerapkan EnhanceSecurityMode, EnhanceSecurityModeBypassListDomains, EnhanceSecurityModeEnforceListDomains ke desktop Windows, macOS, dan Linux.

“Kebijakan ini juga membuat situs penting dan aplikasi lini bisnis terus bekerja seperti yang diharapkan,” tambah Microsoft.

Dalam catatan rilis untuk versi Beta Microsoft Edge terbaru, Microsoft juga menyebutkan penambahan kata sandi utama khusus yang akan memungkinkan pengguna untuk menambahkan langkah otentikasi tambahan sebelum kata sandi yang disimpan diisi secara otomatis dalam formulir web.

Selengkapnya: Bleeping Computer