Company

Microsoft Memperbaiki MoTW Zero-day Yang digunakan Untuk Menjatuhkan Malware Melalui File ISO

November 11, 2022 by Mally

Windows telah memperbaiki bug yang mencegah tanda Mark of the Web menyebar ke file dalam file ISO yang diunduh, memberikan pukulan besar bagi distributor dan pengembang malware.

untuk kalian yang kurang memahami Mark of the Web (MoTW), ini adalah fitur keamanan Windows yang menandai file yang berasal dari Internet sehingga ditandai sebagai “mencurigakan” oleh sistem operasi dan aplikasi yang diinstal.

bendera MoTW ditambahkan ke file sebagai aliran data alternatif yang disebut ‘Zone.Identifier,’ yang mencangkup zone keamnaan URL asal file, perunjuk, dan URL ke file

Alternate Data Streams adalah atribut file NTFS yang dapat dilihat menggunakan alat khusus atau perintah ‘dir /R’ di Command Prompt dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Saat mencoba membuka file dengan tanda Mark of the Web, Windows akan menampilkan peringatan keamanan bahwa file harus diperlakukan dengan hati-hati.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW

Microsoft memperbaiki Mark of the Web di ISO
Sebagai bagian dari pembaruan November Patch Tuesday, Microsoft memperbaiki banyak kerentanan yang memungkinkan pelaku ancaman membuat file yang dapat melewati fitur keamanan Mark of the Web.

Termasuk dalam pembaruan adalah perbaikan tak terduga untuk bug yang biasanya disalahgunakan oleh aktor ancaman dalam kampanye phishing

Untuk beberapa waktu, pelaku ancaman telah mendistribusikan gambar disk ISO sebagai lampiran dalam kampanye phishing untuk menginfeksi target dengan malware.

Meskipun file ISO yang diunduh atau dilampirkan akan berisi Tanda Web dan mengeluarkan peringatan saat dibuka, bug tersebut menyebabkan bendera MoTW tidak disebarkan ke jenis file non-Microsoft Office, seperti Pintasan Windows (file LNK).

Setelah menginstal pembaruan keamanan November Patch Tuesday untuk CVE-2022-41091, Windows sekarang akan menyebarkan Mark of the Web flag itu akan menampilkan peringatan keamanan saat meluncurkan file LNK.

Dua bug MoTW lainnya diperbaiki

Bug pertama menyebabkan Windows SmartScreen gagal pada Windows 11 22H2 dan melewati peringatan Mark of the Web saat membuka file langsung dari arsip ZIP.

Bug kedua, dijuluki ‘ZippyReads,’ dapat dieksploitasi hanya dengan membuat file ZIP yang berisi file read-only. Saat arsip ini dibuka di Windows Explorer, bendera MoTW tidak akan disebarkan ke file hanya-baca dan mengabaikan peringatan keamanan.

sumber : bleeping computer

Malware StrelaStealer baru Mencuri Outlook, Akun Thunderbird Anda

November 10, 2022 by Mally

Malware pencuri informasi baru bernama ‘StrelaStealer’ secara aktif mencuri kredensial akun email dari Outlook dan Thunderbird, dua klien email yang banyak digunakan.

Perilaku ini menyimpang dari sebagian besar pencuri info, yang mencoba mencuri data dari berbagai sumber data, termasuk browser, aplikasi dompet cryptocurrency, aplikasi game cloud, clipboard, dll.

Malware yang sebelumnya tidak dikenal ditemukan oleh analis di DCSO CyTec, yang melaporkan bahwa mereka pertama kali melihatnya di alam liar pada awal November 2022, menargetkan pengguna berbahasa Spanyol.

Infeksi file poliglot
StrelaStealer tiba di sistem korban melalui lampiran email, saat ini file ISO dengan konten yang bervariasi.

ISO berisi file LNK (‘Factura.lnk’) dan file HTML (‘x.html’). File x.html sangat menarik karena merupakan file polyglot, yaitu file yang dapat diperlakukan sebagai format file yang berbeda tergantung pada aplikasi yang membukanya.

Diagram proses infeksi

Dalam hal ini, x.html adalah file HTML dan program DLL yang dapat memuat malware StrelaStealer atau menampilkan dokumen umpan di browser web default.

Setelah malware dimuat di memori, browser default dibuka untuk menunjukkan umpan agar serangan tidak terlalu mencurigakan.

Detail StrelaStealer
dalam dieksekusi, StrelaStealer mencari direktori ‘%APPDATA%\Thunderbird\Profiles\’ untuk ‘logins.json’ (akun dan kata sandi) dan ‘key4.db’ (database kata sandi) dan mengekstrak isinya ke server C2.

Untuk Outlook, StrelaStealer membaca Windows Registry untuk mengambil kunci perangkat lunak dan kemudian menemukan nilai ‘IMAP User’, ‘IMAP Server’, dan ‘IMAP Password’.

Kata Sandi IMAP berisi kata sandi pengguna dalam bentuk terenkripsi, sehingga malware menggunakan fungsi Windows CryptUnprotectData untuk mendekripsi sebelum dieksfiltrasi ke C2 bersama dengan server dan detail pengguna.

Terakhir, StrelaStealer memvalidasi bahwa C2 menerima data dengan memeriksa respons tertentu dan berhenti saat menerimanya. Jika tidak, ia memasuki mode tidur 1 detik dan mencoba lagi rutinitas pencurian data ini.

sumber : bleeping computer

15.000 situs diretas untuk kampanye peracunan besar-besaran Google SEO

November 10, 2022 by Mally

Serangan pertama kali ditemukan oleh Sucuri, yang mengatakan bahwa setiap situs yang disusupi berisi sekitar 20.000 file yang digunakan sebagai bagian dari kampanye spam mesin pencari, dengan sebagian besar situs adalah WordPress.

Para peneliti percaya bahwa tujuan pelaku ancaman adalah untuk menghasilkan halaman yang cukup diindeks untuk meningkatkan otoritas situs Q&A palsu dan dengan demikian peringkat lebih baik di mesin pencari.

Kampanye tersebut kemungkinan akan menjadikan situs-situs tersebut untuk digunakan di masa mendatang sebagai situs penetes malware atau situs phishing, karena bahkan operasi jangka pendek di halaman pertama Google Penelusuran, akan mengakibatkan banyak infeksi. Atau dengan file ‘ads.txt’

Menargetkan situs WordPress
Sucuri melaporkan bahwa peretas sedang memodifikasi file WordPress PHP, seperti ‘wp-singup.php’, ‘wp-cron.php’, ‘wp-settings.php’, ‘wp-mail.php’, dan ‘wp-blog -header.php’, untuk menyuntikkan pengalihan ke forum diskusi Tanya Jawab palsu.

Kode berbahaya di salah satu file yang terinfeksi (Sucuri)

File yang terinfeksi atau disuntikkan berisi kode berbahaya yang memeriksa apakah pengunjung situs web masuk ke WordPress, dan jika tidak, mengarahkan mereka ke URL https://ois.is/images/logo-6.png.

Sucuri tidak dapat mengidentifikasi bagaimana pelaku ancaman melanggar situs web yang digunakan untuk pengalihan. Namun, kemungkinan itu terjadi dengan mengeksploitasi plugin yang rentan atau memaksa kata sandi admin WordPress.

Oleh karena itu, rekomendasinya adalah untuk meningkatkan semua plugin WordPress dan CMS situs web ke versi terbaru dan mengaktifkan otentikasi dua faktor (2FA) di akun admin.

sumber : bleeping computer

VPN Google One tidak hanya untuk ponsel atau tablet lagi

November 10, 2022 by Mally

Google tampaknya mendorong semua silinder untuk membuat VPN layak digunakan. Dulu hanya untuk pelanggan Google Fi, pemegang penyimpanan cloud dengan Google One juga dapat beralih dan menjalankan bisnis online mereka dengan lebih aman.

Namun, itu hanya VPN yang layak digunakan jika Anda menggunakan ponsel atau tablet. Perusahaan telah mengeluarkan layanan tersebut untuk Windows dan Mac.

Pelanggan Google One di tingkat 2TB ($10 per bulan) atau lebih tinggi sudah memiliki akses ke VPN seluler. Mulai hari ini, mereka dapat mengunduh klien untuk mesin mereka di Windows 10 dan macOS 11 atau lebih baru. Ini akan tersedia di 22 pasar yang sama di mana VPN sudah tersedia di Android dan iOS.

Pengguna dapat mengharapkan pengalaman umum yang sama yang disediakan oleh aplikasi seluler dengan enkripsi lalu lintas standar industri dan sistem pemeriksaan dan keseimbangan backend yang seharusnya melindungi aktivitas mereka di web. Seperti paket Google One lainnya, pemegang akun dapat berbagi akses VPN hingga lima orang lainnya.

Anda juga dapat berkonsultasi dengan halaman Bantuan Google One untuk VPN untuk informasi lebih lanjut, juga diatur untuk diperbarui.

Google juga mengklarifikasi bahwa pemilik Pixel 7 yang mendapatkan akses VPN gratis selama lima tahun akan memerlukan paket Google One yang memenuhi syarat untuk memanfaatkan klien desktop juga.

Sumber: Android Police

Afiliasi LockBit menggunakan malware Amadey Bot untuk menyebarkan ransomware

November 9, 2022 by Mally

Afiliasi ransomware LockBit 3.0 menggunakan email phishing yang menginstal Amadey Bot untuk mengendalikan perangkat dan mengenkripsi perangkat.

Menurut laporan AhnLab baru, pelaku ancaman menargetkan perusahaan yang menggunakan email phishing dengan umpan yang berpura-pura menjadi tawaran lamaran pekerjaan atau pemberitahuan pelanggaran hak cipta.

Aktivitas Amadey Bot

Malware Amadey Bot adalah jenis lama yang mampu melakukan pengintaian sistem, eksfiltrasi data, dan pemuatan muatan.

Versi terbaru menambahkan deteksi antivirus dan kemampuan penghindaran otomatis, membuat intrusi dan menjatuhkan muatan lebih tersembunyi.

Rantai infeksi

Peneliti AhnLab melihat dua rantai distribusi yang berbeda, satu mengandalkan makro VBA di dalam dokumen Word dan satu menyamarkan executable berbahaya sebagai file Word.

Dalam kasus pertama, pengguna harus mengklik tombol “Aktifkan Konten” untuk menjalankan makro, yang membuat file LNK dan menyimpannya ke “C:\Users\Public\skem.lnk”. File ini adalah pengunduh untuk Amadey.

Dokumen berbahaya yang memulai rantai infeksi

Kasus kedua, terlihat pada akhir Oktober, menggunakan lampiran email dengan file bernama “Resume.exe” (Amadey) yang menggunakan ikon dokumen Word, menipu penerima agar mengklik dua kali.

Amadey ke LockBit 3.0

Pada peluncuran pertama, malware menyalin dirinya sendiri ke direktori TEMP dan membuat tugas terjadwal untuk menetapkan kegigihan antara reboot sistem.

Selanjutnya, Amadey terhubung ke C2, mengirim laporan profil host, dan kemudian menunggu penerimaan perintah.

Tiga kemungkinan perintah dari server C2 memerintahkan pengunduhan dan eksekusi LockBit, dalam bentuk PowerShell (‘cc.ps1’ atau ‘dd.ps1’), atau bentuk exe (‘LBB.exe’).

Payload sekali lagi dijatuhkan di TEMP sebagai salah satu dari tiga berikut:

%TEMP%\100018041\dd.ps1
%TEMP%\1000019041\cc.ps1
%TEMP%\1000020001\LBB.exe

Dari sana, LockBit mengenkripsi file pengguna dan menghasilkan catatan tebusan yang menuntut pembayaran, mengancam akan mempublikasikan file curian di situs pemerasan grup.

Contoh catatan tebusan yang dihasilkan (AhnLab)

sumber : bleeping computer

PowerToy Windows ‘LockSmith’ Membantu Anda Membuka File Yang Terkunci

November 4, 2022 by Mally

Microsoft memiliki utilitas baru untuk perangkat PowerToys yang akan membantu pengguna Windows menemukan proses menggunakan file yang dipilih dan membuka kuncinya tanpa memerlukan alat pihak ketiga.

Microsoft memiliki utilitas baru untuk perangkat PowerToys yang akan membantu pengguna Windows menemukan proses menggunakan file yang dipilih dan membuka kuncinya tanpa memerlukan alat pihak ketiga, juga editor file host Windows dan daftar panjang perbaikan bug dan perubahan yang menambah stabilitas dan meningkatkan alat bawaan lainnya.

program pihak ketiga yang dirancang untuk menghilangkan status “terkunci”, sekarang Anda dapat memeriksa file mana yang digunakan oleh proses mana dengan mengklik kanan file tersebut di File Explorer dan mengklik “Apa yang menggunakan file ini?” dalam menu konteks.

Anda kemudian dapat menghentikan proses apa pun yang ditemukan oleh File Locksmith atau memindai lagi menggunakan hak administrator untuk mencari proses yang diluncurkan oleh semua pengguna.

Menu konteks File Tukang Kunci

Alat ini akan membantu Anda menambahkan entri baru ke file Host dan memperbarui yang sudah tersedia. Ini juga memiliki fitur filter untuk menyaring file besar dengan cepat dan mempersempit daftar hasil.

Untuk menginstal versi Microsoft PowerToys terbaru, Anda harus mengunduh dan meluncurkan the PowerToys 0.64 installer dari halaman GitHub proyek.

Microsoft menautkan worm Raspberry Robin ke serangan ransomware Clop

October 28, 2022 by Mally

Microsoft mengatakan kelompok ancaman yang dilacak sebagai DEV-0950 menggunakan ransomware Clop untuk mengenkripsi jaringan korban yang sebelumnya terinfeksi worm Raspberry Robin.

Aktivitas jahat DEV-0950 tumpang-tindih dengan kelompok kejahatan dunia maya bermotivasi finansial yang dilacak sebagai FIN11 dan TA505, yang dikenal karena menyebarkan ransomware Clop payloads pada sistem target.

Selain ransomware, Raspberry Robin juga telah digunakan untuk menjatuhkan muatan tahap kedua lainnya ke perangkat yang disusupi, termasuk IcedID, Bumblebee, dan Truebot.

“Mulai pada 19 September 2022, Microsoft mengidentifikasi infeksi cacing Raspberry Robin yang menyebarkan IcedID dan—kemudian pada korban lain—bumblebee dan muatan TrueBot,” kata analis Microsoft Security Threat Intelligence.

“Pada Oktober 2022, peneliti Microsoft mengamati infeksi Raspberry Robin diikuti oleh aktivitas Cobalt Strike dari DEV-0950. Aktivitas ini, yang dalam beberapa kasus termasuk infeksi Truebot, akhirnya menyebarkan ransomware Clop.”

Ini mengisyaratkan operator Raspberry Robin yang menjual akses awal ke sistem perusahaan yang disusupi ke geng ransomware dan afiliasi yang kini memiliki cara tambahan untuk masuk ke jaringan target mereka selain email phishing dan iklan berbahaya.

Pada akhir Juli, Microsoft juga mengatakan telah mendeteksi perilaku pra-ransomware Evil Corp di jaringan di mana broker akses dilacak sebagai DEV-0206 menjatuhkan backdoor FakeUpdates (alias SocGholish) pada perangkat yang terinfeksi Raspberry Robin.

Ekosistem kejahatan dunia maya Raspberry Robin (Microsoft)

Terlihat pada September 2021 oleh analis intelijen Red Canary, Raspberry Robin menyebar ke perangkat lain melalui perangkat USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm akan menelurkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya kedua yang disimpan di drive yang terinfeksi.

Pada perangkat Windows yang disusupi, ia berkomunikasi dengan server perintah dan kontrolnya (C2). Itu juga mengirimkan dan mengeksekusi eksekusi tambahan setelah melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan beberapa utilitas Windows yang sah (fodhelper, msiexec, dan odbcconf).

Hari ini, perusahaan mengungkapkan bahwa worm telah menyebar ke sistem milik hampir 1.000 organisasi dalam sebulan terakhir.

Sumber: Bleeping Computer

Apple mengatakan hanya OS terbaru yang akan sepenuhnya ditambal

October 28, 2022 by Mally

Apple merilis dokumen yang mengklarifikasi tentang kebijakan pembaruannya yang menyatakan bahwa hanya perangkat yang menjalankan versi sistem operasi terbaru yang akan dilindungi sepenuhnya.

Apple menggunakan “upgrade” untuk merujuk ke rilis OS utama yang dapat menambahkan fitur baru yang besar dan perubahan antarmuka pengguna dan “update” untuk merujuk ke patch yang lebih kecil tetapi lebih sering dirilis yang sebagian besar memperbaiki bug dan mengatasi masalah keamanan (meskipun ini dapat sesekali aktifkan juga penambahan atau peningkatan fitur kecil). Jadi memperbarui dari iOS 15 ke iOS 16 atau macOS 12 ke macOS 13 adalah peningkatan. Memperbarui dari iOS 16.0 ke 16.1 atau macOS 12.5 ke 12.6 atau 12.6.1 adalah pembaruan.

Dengan kata lain, sementara Apple akan memberikan pembaruan terkait keamanan untuk versi sistem operasinya yang lebih lama, hanya pembaruan terbaru yang akan menerima pembaruan untuk setiap masalah keamanan yang diketahui Apple. Apple saat ini menyediakan pembaruan keamanan untuk macOS 11 Big Sur dan macOS 12 Monterey bersama dengan macOS Ventura yang baru dirilis, dan di masa lalu, Apple telah merilis pembaruan keamanan untuk versi iOS lama untuk perangkat yang tidak dapat menginstal pemutakhiran terbaru.

Kepala Analis Keamanan Intego Joshua Long telah melacak CVE yang ditambal oleh pembaruan macOS dan iOS yang berbeda selama bertahun-tahun dan umumnya menemukan bahwa bug yang ditambal di versi OS terbaru dapat memakan waktu berbulan-bulan sebelum ditambal di versi yang lebih lama (tetapi masih “didukung”), ketika mereka sedang ditambal sama sekali.

Ini relevan untuk pengguna Mac karena Apple menjatuhkan dukungan untuk model Mac dan iDevice yang lebih lama di sebagian besar peningkatan, sesuatu yang agak dipercepat untuk Intel Mac lama dalam beberapa tahun terakhir (kebanyakan Mac masih menerima enam atau tujuh tahun peningkatan, ditambah dua tahun pembaruan ).

Ini berarti bahwa setiap tahun, ada kumpulan perangkat baru yang masih mendapatkan beberapa pembaruan keamanan tetapi tidak semuanya. Perangkat lunak seperti OpenCore Legacy Patcher dapat digunakan untuk menjalankan versi OS terbaru pada perangkat keras yang lebih lama, tetapi ini tidak selalu merupakan proses yang sederhana, dan ia memiliki batasan dan peringatannya sendiri.

Kebanyakan orang yang menjalankan instalasi Big Sur atau Monterey terbaru dengan browser Safari terbaru seharusnya aman dari sebagian besar ancaman berprioritas tinggi, terutama jika Anda juga terus memperbarui aplikasi lain di Mac Anda. Dan dokumentasi Apple tidak mengubah apa pun tentang cara memperbarui perangkat lunak lama.

Sumber: Arstechnica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Company

Cookies Settings