Company

Aplikasi Google Play Store Berbahaya Terlihat Mendistribusikan Trojan Xenomorph Banking

November 14, 2022 by Coffee Bean

Google telah menghapus dua aplikasi dropper jahat baru yang telah terdeteksi di Play Store untuk Android, salah satunya dianggap sebagai aplikasi gaya hidup dan diketahui mendistribusikan malware perbankan Xenomorph.

“Xenomorph adalah trojan yang mencuri kredensial dari aplikasi perbankan di perangkat pengguna,” kata peneliti Zscaler ThreatLabz Himanshu Sharma dan Viral Gandhi dalam analisis yang diterbitkan Kamis.

dua aplikasi malicious/berbahaya adalah sebagai berikut

Todo: Day manager (com.todo.daymanager)
経費キーパー (com.setprice.expenses)

Xenomorph, pertama kali didokumentasikan oleh ThreatFabric awal Februari ini, diketahui menyalahgunakan izin aksesibilitas Android untuk melakukan serangan overlay, di mana layar login palsu ditampilkan di atas aplikasi bank yang sah untuk mencuri kredensial korban.

Terlebih lagi, malware memanfaatkan deskripsi saluran Telegram untuk memecahkan kode dan membangun domain command-and-control (C2) yang digunakan untuk menerima perintah tambahan.

Perkembangan tersebut mengikuti penemuan empat aplikasi jahat di Google Play yang ditemukan mengarahkan korban ke situs web jahat sebagai bagian dari kampanye pencurian informasi dan adware. Google mengatakan kepada The Hacker News bahwa sejak itu mereka telah melarang pengembang.

sumber : the hacker news

Pemilik ponsel Android Secara Tidak Sengaja menemukan cara untuk melewati layar kunci

November 14, 2022 by Coffee Bean

Peneliti keamanan siber David Schütz secara tidak sengaja menemukan cara untuk melewati layar kunci pada ponsel cerdas Google Pixel 6 dan Pixel 5 yang sepenuhnya ditambal, memungkinkan siapa pun yang memiliki akses fisik ke perangkat untuk membuka kuncinya.

Memanfaatkan kerentanan untuk melewati layar kunci pada ponsel Android adalah proses lima langkah sederhana yang tidak akan memakan waktu lebih dari beberapa menit.

Temuan tidak disengaja
setelah Pixel 6 kehabisan baterai, salah memasukkan PIN tiga kali, dan memulihkan kartu SIM yang terkunci menggunakan kode PUK (Personal Unblocking Key).

Yang mengejutkan, setelah membuka kunci SIM dan memilih PIN baru, perangkat tidak meminta kata sandi layar kunci tetapi hanya meminta pemindaian sidik jari.

Perangkat Android selalu meminta kata sandi layar kunci atau pola saat reboot untuk alasan keamanan, jadi langsung membuka kunci sidik jari tidak normal.

Penyerang dapat dengan mudah menggunakan kartu SIM mereka sendiri pada perangkat target, menonaktifkan otentikasi biometrik (dengan mencoba membuka kunci sidik jari terlalu sering), memasukkan PIN yang salah tiga kali, memberikan nomor PUK, dan mengakses perangkat korban tanpa batasan.

Google’s patching

Schütz melaporkan kelemahan tersebut ke Google pada Juni 2022, dan meskipun raksasa teknologi tersebut mengakui penerimaan tersebut dan menetapkan ID CVE dari CVE-2022-20465, mereka tidak merilis perbaikan hingga 7 November 2022.

Solusi Google adalah menyertakan parameter baru untuk metode keamanan yang digunakan di setiap panggilan “tutup” sehingga panggilan tersebut menutup jenis layar keamanan tertentu dan bukan hanya yang berikutnya dalam tumpukan.

Pada akhirnya, meskipun laporan Schütz merupakan duplikat, Google membuat pengecualian dan memberi peneliti $70.000 untuk penemuannya.

sumber : bleeping computer

Microsoft Memperbaiki MoTW Zero-day Yang digunakan Untuk Menjatuhkan Malware Melalui File ISO

November 11, 2022 by Coffee Bean

Windows telah memperbaiki bug yang mencegah tanda Mark of the Web menyebar ke file dalam file ISO yang diunduh, memberikan pukulan besar bagi distributor dan pengembang malware.

untuk kalian yang kurang memahami Mark of the Web (MoTW), ini adalah fitur keamanan Windows yang menandai file yang berasal dari Internet sehingga ditandai sebagai “mencurigakan” oleh sistem operasi dan aplikasi yang diinstal.

bendera MoTW ditambahkan ke file sebagai aliran data alternatif yang disebut ‘Zone.Identifier,’ yang mencangkup zone keamnaan URL asal file, perunjuk, dan URL ke file

Alternate Data Streams adalah atribut file NTFS yang dapat dilihat menggunakan alat khusus atau perintah ‘dir /R’ di Command Prompt dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Saat mencoba membuka file dengan tanda Mark of the Web, Windows akan menampilkan peringatan keamanan bahwa file harus diperlakukan dengan hati-hati.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW

Microsoft memperbaiki Mark of the Web di ISO
Sebagai bagian dari pembaruan November Patch Tuesday, Microsoft memperbaiki banyak kerentanan yang memungkinkan pelaku ancaman membuat file yang dapat melewati fitur keamanan Mark of the Web.

Termasuk dalam pembaruan adalah perbaikan tak terduga untuk bug yang biasanya disalahgunakan oleh aktor ancaman dalam kampanye phishing

Untuk beberapa waktu, pelaku ancaman telah mendistribusikan gambar disk ISO sebagai lampiran dalam kampanye phishing untuk menginfeksi target dengan malware.

Meskipun file ISO yang diunduh atau dilampirkan akan berisi Tanda Web dan mengeluarkan peringatan saat dibuka, bug tersebut menyebabkan bendera MoTW tidak disebarkan ke jenis file non-Microsoft Office, seperti Pintasan Windows (file LNK).

Setelah menginstal pembaruan keamanan November Patch Tuesday untuk CVE-2022-41091, Windows sekarang akan menyebarkan Mark of the Web flag itu akan menampilkan peringatan keamanan saat meluncurkan file LNK.

Dua bug MoTW lainnya diperbaiki

Bug pertama menyebabkan Windows SmartScreen gagal pada Windows 11 22H2 dan melewati peringatan Mark of the Web saat membuka file langsung dari arsip ZIP.

Bug kedua, dijuluki ‘ZippyReads,’ dapat dieksploitasi hanya dengan membuat file ZIP yang berisi file read-only. Saat arsip ini dibuka di Windows Explorer, bendera MoTW tidak akan disebarkan ke file hanya-baca dan mengabaikan peringatan keamanan.

sumber : bleeping computer

Malware StrelaStealer baru Mencuri Outlook, Akun Thunderbird Anda

November 10, 2022 by Coffee Bean

Malware pencuri informasi baru bernama ‘StrelaStealer’ secara aktif mencuri kredensial akun email dari Outlook dan Thunderbird, dua klien email yang banyak digunakan.

Perilaku ini menyimpang dari sebagian besar pencuri info, yang mencoba mencuri data dari berbagai sumber data, termasuk browser, aplikasi dompet cryptocurrency, aplikasi game cloud, clipboard, dll.

Malware yang sebelumnya tidak dikenal ditemukan oleh analis di DCSO CyTec, yang melaporkan bahwa mereka pertama kali melihatnya di alam liar pada awal November 2022, menargetkan pengguna berbahasa Spanyol.

Infeksi file poliglot
StrelaStealer tiba di sistem korban melalui lampiran email, saat ini file ISO dengan konten yang bervariasi.

ISO berisi file LNK (‘Factura.lnk’) dan file HTML (‘x.html’). File x.html sangat menarik karena merupakan file polyglot, yaitu file yang dapat diperlakukan sebagai format file yang berbeda tergantung pada aplikasi yang membukanya.

Diagram proses infeksi

Dalam hal ini, x.html adalah file HTML dan program DLL yang dapat memuat malware StrelaStealer atau menampilkan dokumen umpan di browser web default.

Setelah malware dimuat di memori, browser default dibuka untuk menunjukkan umpan agar serangan tidak terlalu mencurigakan.

Detail StrelaStealer
dalam dieksekusi, StrelaStealer mencari direktori ‘%APPDATA%\Thunderbird\Profiles\’ untuk ‘logins.json’ (akun dan kata sandi) dan ‘key4.db’ (database kata sandi) dan mengekstrak isinya ke server C2.

Untuk Outlook, StrelaStealer membaca Windows Registry untuk mengambil kunci perangkat lunak dan kemudian menemukan nilai ‘IMAP User’, ‘IMAP Server’, dan ‘IMAP Password’.

Kata Sandi IMAP berisi kata sandi pengguna dalam bentuk terenkripsi, sehingga malware menggunakan fungsi Windows CryptUnprotectData untuk mendekripsi sebelum dieksfiltrasi ke C2 bersama dengan server dan detail pengguna.

Terakhir, StrelaStealer memvalidasi bahwa C2 menerima data dengan memeriksa respons tertentu dan berhenti saat menerimanya. Jika tidak, ia memasuki mode tidur 1 detik dan mencoba lagi rutinitas pencurian data ini.

sumber : bleeping computer

15.000 situs diretas untuk kampanye peracunan besar-besaran Google SEO

November 10, 2022 by Coffee Bean

Serangan pertama kali ditemukan oleh Sucuri, yang mengatakan bahwa setiap situs yang disusupi berisi sekitar 20.000 file yang digunakan sebagai bagian dari kampanye spam mesin pencari, dengan sebagian besar situs adalah WordPress.

Para peneliti percaya bahwa tujuan pelaku ancaman adalah untuk menghasilkan halaman yang cukup diindeks untuk meningkatkan otoritas situs Q&A palsu dan dengan demikian peringkat lebih baik di mesin pencari.

Kampanye tersebut kemungkinan akan menjadikan situs-situs tersebut untuk digunakan di masa mendatang sebagai situs penetes malware atau situs phishing, karena bahkan operasi jangka pendek di halaman pertama Google Penelusuran, akan mengakibatkan banyak infeksi. Atau dengan file ‘ads.txt’

Menargetkan situs WordPress
Sucuri melaporkan bahwa peretas sedang memodifikasi file WordPress PHP, seperti ‘wp-singup.php’, ‘wp-cron.php’, ‘wp-settings.php’, ‘wp-mail.php’, dan ‘wp-blog -header.php’, untuk menyuntikkan pengalihan ke forum diskusi Tanya Jawab palsu.

Kode berbahaya di salah satu file yang terinfeksi (Sucuri)

File yang terinfeksi atau disuntikkan berisi kode berbahaya yang memeriksa apakah pengunjung situs web masuk ke WordPress, dan jika tidak, mengarahkan mereka ke URL https://ois.is/images/logo-6.png.

Sucuri tidak dapat mengidentifikasi bagaimana pelaku ancaman melanggar situs web yang digunakan untuk pengalihan. Namun, kemungkinan itu terjadi dengan mengeksploitasi plugin yang rentan atau memaksa kata sandi admin WordPress.

Oleh karena itu, rekomendasinya adalah untuk meningkatkan semua plugin WordPress dan CMS situs web ke versi terbaru dan mengaktifkan otentikasi dua faktor (2FA) di akun admin.

sumber : bleeping computer

VPN Google One tidak hanya untuk ponsel atau tablet lagi

November 10, 2022 by Eevee

Google tampaknya mendorong semua silinder untuk membuat VPN layak digunakan. Dulu hanya untuk pelanggan Google Fi, pemegang penyimpanan cloud dengan Google One juga dapat beralih dan menjalankan bisnis online mereka dengan lebih aman.

Namun, itu hanya VPN yang layak digunakan jika Anda menggunakan ponsel atau tablet. Perusahaan telah mengeluarkan layanan tersebut untuk Windows dan Mac.

Pelanggan Google One di tingkat 2TB ($10 per bulan) atau lebih tinggi sudah memiliki akses ke VPN seluler. Mulai hari ini, mereka dapat mengunduh klien untuk mesin mereka di Windows 10 dan macOS 11 atau lebih baru. Ini akan tersedia di 22 pasar yang sama di mana VPN sudah tersedia di Android dan iOS.

Pengguna dapat mengharapkan pengalaman umum yang sama yang disediakan oleh aplikasi seluler dengan enkripsi lalu lintas standar industri dan sistem pemeriksaan dan keseimbangan backend yang seharusnya melindungi aktivitas mereka di web. Seperti paket Google One lainnya, pemegang akun dapat berbagi akses VPN hingga lima orang lainnya.

Anda juga dapat berkonsultasi dengan halaman Bantuan Google One untuk VPN untuk informasi lebih lanjut, juga diatur untuk diperbarui.

Google juga mengklarifikasi bahwa pemilik Pixel 7 yang mendapatkan akses VPN gratis selama lima tahun akan memerlukan paket Google One yang memenuhi syarat untuk memanfaatkan klien desktop juga.

Sumber: Android Police

Afiliasi LockBit menggunakan malware Amadey Bot untuk menyebarkan ransomware

November 9, 2022 by Coffee Bean

Afiliasi ransomware LockBit 3.0 menggunakan email phishing yang menginstal Amadey Bot untuk mengendalikan perangkat dan mengenkripsi perangkat.

Menurut laporan AhnLab baru, pelaku ancaman menargetkan perusahaan yang menggunakan email phishing dengan umpan yang berpura-pura menjadi tawaran lamaran pekerjaan atau pemberitahuan pelanggaran hak cipta.

Aktivitas Amadey Bot

Malware Amadey Bot adalah jenis lama yang mampu melakukan pengintaian sistem, eksfiltrasi data, dan pemuatan muatan.

Versi terbaru menambahkan deteksi antivirus dan kemampuan penghindaran otomatis, membuat intrusi dan menjatuhkan muatan lebih tersembunyi.

Rantai infeksi

Peneliti AhnLab melihat dua rantai distribusi yang berbeda, satu mengandalkan makro VBA di dalam dokumen Word dan satu menyamarkan executable berbahaya sebagai file Word.

Dalam kasus pertama, pengguna harus mengklik tombol “Aktifkan Konten” untuk menjalankan makro, yang membuat file LNK dan menyimpannya ke “C:\Users\Public\skem.lnk”. File ini adalah pengunduh untuk Amadey.

Dokumen berbahaya yang memulai rantai infeksi

Kasus kedua, terlihat pada akhir Oktober, menggunakan lampiran email dengan file bernama “Resume.exe” (Amadey) yang menggunakan ikon dokumen Word, menipu penerima agar mengklik dua kali.

Amadey ke LockBit 3.0

Pada peluncuran pertama, malware menyalin dirinya sendiri ke direktori TEMP dan membuat tugas terjadwal untuk menetapkan kegigihan antara reboot sistem.

Selanjutnya, Amadey terhubung ke C2, mengirim laporan profil host, dan kemudian menunggu penerimaan perintah.

Tiga kemungkinan perintah dari server C2 memerintahkan pengunduhan dan eksekusi LockBit, dalam bentuk PowerShell (‘cc.ps1’ atau ‘dd.ps1’), atau bentuk exe (‘LBB.exe’).

Payload sekali lagi dijatuhkan di TEMP sebagai salah satu dari tiga berikut:

%TEMP%\100018041\dd.ps1
%TEMP%\1000019041\cc.ps1
%TEMP%\1000020001\LBB.exe

Dari sana, LockBit mengenkripsi file pengguna dan menghasilkan catatan tebusan yang menuntut pembayaran, mengancam akan mempublikasikan file curian di situs pemerasan grup.

Contoh catatan tebusan yang dihasilkan (AhnLab)

sumber : bleeping computer

Microsoft meluncurkan perbaikan untuk Outlook yang menonaktifkan add-in Rapat Tim

November 6, 2022 by Søren

Microsoft meluncurkan perbaikan untuk masalah umum yang memengaruhi pengguna Outlook untuk Microsoft 365 dan mencegah mereka menjadwalkan rapat Teams karena opsi tidak lagi tersedia di menu pita aplikasi.

Add-in Rapat Teams dapat ditemukan dalam tampilan Kalender, dan ini membantu pengguna Outlook untuk membuat Rapat Teams dari Outlook.

“Saat Anda mencoba membuat rapat Teams di Outlook Desktop, Anda menemukan bahwa opsi tersebut hilang di pita,” kata Microsoft dalam artikel dukungan yang diterbitkan pada bulan September.

Dalam pembaruan pada hari Kamis, Tim Produk Teams mengonfirmasi bahwa ini sekarang telah diselesaikan, dan perbaikan sekarang diluncurkan ke pelanggan yang menjalankan Teams versi 1.5.00.28567.

Redmond juga mengingatkan pelanggan bahwa add-in Rapat Tim memerlukan .Net 4.8 dan WebView2 untuk diinstal pada sistem agar tidak dinonaktifkan.

“Dalam beberapa kasus dukungan, para insinyur menemukan bahwa jika .Net 4.8 atau Webview2 tidak diinstal, menginstalnya membantu mengatasi masalah dengan Add-in Tim menjadi dinonaktifkan,” kata Microsoft.

Untuk memeriksa versi Teams yang Anda gunakan dan apakah perbaikan telah diluncurkan ke sistem Anda, Anda harus membuka Teams dan pergi ke Tentang > Versi setelah mengklik menu “Pengaturan dan lainnya” (tiga titik di kanan atas).

Redmond mengakui masalah ini pada bulan September menyusul aliran laporan pelanggan di berbagai platform online (dari Reddit hingga situs komunitas Microsoft) yang berlangsung setidaknya selama beberapa tahun.

Meskipun Microsoft belum mengungkapkan penyebab di balik masalah ini, pelanggan mengatakan bahwa add-in kemungkinan besar dinonaktifkan secara otomatis setelah menyebabkan Outlook mogok, tanpa perbaikan, pencopotan, dan penginstalan ulang aplikasi yang membantu memperbaikinya.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Company

Cookies Settings