Cyber Attack

Kampanye FluBot dan TeaBot baru Menargetkan Perangkat Android di Seluruh Dunia

January 27, 2022 by Eevee

Kampanye distribusi malware FluBot dan TeaBot baru telah terlihat, menggunakan umpan-umpan khas atau aplikasi yang dicampur terhadap pengguna Android di Australia, Jerman, Polandia, Spanyol, dan Rumania.

Topik SMS yang digunakan untuk menyebarkan malware FluBot termasuk pesan kurir palsu, “Apakah ini Anda dalam video ini?” membujuk, pembaruan browser palsu, dan pemberitahuan pesan suara palsu.

Setelah menginfeksi satu perangkat, malware menggunakan daftar kontak korban untuk mendistribusikan umpan SMS lainnya, mencapai tingkat infeksi yang lebih baik karena kepercayaan penerima pada kontak yang diketahui dan pertumbuhan yang berkelanjutan.

TeaBot adalah trojan perbankan Android yang berbeda yang ditemukan pada Januari 2021 dan memiliki jangkauan global.

Menurut para peneliti, TeaBot didistribusikan kepada korban yang tidak curiga melalui aplikasi trojanized di Google Play Store, termasuk:

Pembaca Kode QR – Aplikasi Pemindai – 100.000 unduhan
QR Scanner APK – 10.000 unduhan
Pemindaian Kode QR – 10.000 unduhan
Smart Cleaner – 1.000 unduhan
Weather Cast – 10.000 unduhan
Weather Daily – 10.000 unduhan

Tak satu pun dari aplikasi ini menampilkan fungsi berbahaya, dan semua menawarkan fitur yang dijanjikan, yang memungkinkan mereka untuk melewati proses peninjauan Google Play Store dan mencapai kolam infeksi yang lebih luas.

Selain itu, para aktor secara aktif mempromosikan aplikasi ini dengan membayar untuk muncul di Google Ads yang disajikan dalam aplikasi dan game lain.

Setelah diinstal dan dieksekusi pada perangkat korban, aplikasi memulai layanan latar belakang yang memeriksa kode negara dan berhenti jika hasilnya adalah Ukraina, Uzbekistan, Uruguay, atau Amerika Serikat.

Aplikasi ini mengambil konfigurasinya untuk semua korban lainnya dan mengambil APK dari repositori GitHub, yang berisi varian TeaBot. Pada saat yang sama, aplikasi meminta pengguna untuk mengizinkan sumber pihak ketiga untuk menginstal paket.

Antara 6 Desember 2021 dan 17 Januari 2022, analis Bitdefender telah menghitung 17 versi TeaBot yang berbeda yang menginfeksi perangkat melalui aplikasi yang terdaftar.

Kampanye TeaBot menggambarkan bahwa bahkan ketika menginstal perangkat lunak dari Google Play Store, itu tidak berarti bahwa Anda akan selalu aman.

Oleh karena itu, disarankan untuk tetap waspada dengan instalasi baru, memeriksa ulasan pengguna, memantau jaringan aplikasi dan penggunaan baterai, dan hanya memberikan izin yang tidak berisiko.

Ingat, ini bukan pertama kalinya TeaBot berhasil menyusup ke Play Store melalui aplikasi yang dicampur, dan tidak mungkin itu akan menjadi yang terakhir.

Sumber: Bleepingcomputer

TrickBot Menghancurkan Browser Peneliti untuk Memblokir Analisis Malware

January 26, 2022 by Eevee

Malware TrickBot yang terkenal telah menerima fitur baru yang membuatnya lebih menantang untuk meneliti, menganalisis, dan mendeteksi dalam varian terbaru, termasuk tab browser yang menabrak ketika mendeteksi skrip yang dipercantik.

TrickBot telah mendominasi lanskap ancaman malware sejak 2016, terus-menerus menambahkan pengoptimalan dan peningkatan sambil memfasilitasi penyebaran malware dan ransomware yang merusak.

Karena TrickBot bersifat modular, aktor ancaman dapat menyebarkan modul yang melakukan berbagai aktivitas berbahaya, termasuk serangan man-in-the-browser untuk mencuri kredensial perbankan online, mencuri basis data direktori aktif, menyebar melalui jaringan, eksfiltrasi data, dan banyak lagi.

Selain sebagai trojan perbankan, TrickBot juga digunakan untuk menyebarkan muatan lain berkat stealthiness dan efektivitasnya.

Baru-baru ini, telah dikaitkan dengan kelompok ransomware Diavol, geng ransomware Conti, dan bahkan munculnya kembali Emotet.

Para peneliti di IBM Trusteer telah menganalisis sampel terbaru untuk melihat fitur anti-analisis baru apa yang telah diperkenalkan baru-baru ini oleh penulis dan menyajikan beberapa temuan menarik dalam laporan mereka.

Para peneliti tidak menyambut

Pertama, pengembang TrickBot menggunakan berbagai obfuscation dan base64 lapisan pengkodean untuk skrip, termasuk minify, ekstraksi string dan penggantian, basis nomor dan mewakili, injeksi kode mati, dan patching monyet.

Obfuscation diharapkan di dunia malware, tetapi TrickBot memiliki banyak lapisan dan bagian yang berlebihan untuk membuat analisis lambat, rumit, dan sering menghasilkan hasil yang tidak meyakinkan.

Kedua, ketika menyuntikkan skrip berbahaya ke halaman web untuk mencuri kredensial, suntikan tidak melibatkan sumber daya lokal tetapi hanya mengandalkan server aktor. Dengan demikian, analis tidak dapat mengambil sampel dari memori mesin yang terinfeksi.

TrickBot berkomunikasi dengan server perintah dan kontrol (C2) menggunakan protokol HTTPS, yang mendukung pertukaran data terenkripsi.

Juga, permintaan injeksi termasuk parameter yang menandai sumber yang tidak diketahui, sehingga analis tidak dapat mengambil sampel dari C2 menggunakan titik akhir yang tidak terdaftar.

Dengan mengumpulkan sidik jari perangkat, operator TrickBot dapat menyuntikkan skrip khusus ke browser masing-masing korban, menargetkan bank tertentu dan membujuk sistemnya bahwa ia berinteraksi dengan pelanggan yang sebenarnya.

Akhirnya, TrickBot memiliki skrip anti-debugging dalam kode JS, yang membantu mengantisipasi ketika sedang dianalisis dan memicu kelebihan memori yang crash halaman.

TrickBot sebelumnya berusaha untuk menentukan apakah itu sedang dianalisis dengan memeriksa resolusi layar host, tetapi sekarang juga mencari tanda-tanda “mempercantik kode.”

Kode mempercantik adalah transformasi kode yang dikaburkan atau teks yang belum dipahat menjadi konten yang lebih mudah dibaca oleh mata manusia dan dengan demikian lebih mudah untuk mengidentifikasi kode yang menarik di dalamnya.

Varian terbaru dari TrickBot menggunakan ekspresi reguler untuk mendeteksi ketika salah satu skrip yang disuntikkan telah dipercantik, biasanya menunjukkan seorang peneliti keamanan menganalisisnya.

Jika kode yang dipercantik ditemukan, TrickBot sekarang crash browser untuk mencegah analisis lebih lanjut dari script disuntikkan.

TrickBot menggunakan RegEx untuk mendeteksi pengaturan yang dipercantik dan melemparkan dirinya ke dalam loop yang meningkatkan ukuran array dinamis pada setiap iterasi. Setelah beberapa putaran, memori akhirnya kelebihan beban, dan browser crash, “peneliti IBM Trusteer menjelaskan dalam posting blog baru.

Bagaimana untuk tetap aman

TrickBot biasanya tiba pada sistem target melalui email phishing yang mencakup lampiran berbahaya yang mengeksekusi makro untuk mengunduh dan menginstal malware.

Selain memperlakukan email masuk dengan hati-hati, disarankan juga untuk mengaktifkan otentikasi multi-faktor pada semua akun Anda dan secara teratur memantau log login jika memungkinkan.

Karena banyak infeksi TrickBot berakhir dengan serangan ransomware, mengikuti praktik segmentasi jaringan dan jadwal cadangan offline reguler juga penting untuk mengandung potensi ancaman.

Sumber: Bleepingcomputer

Malware Android BRATA menghapus perangkat Anda setelah mencuri data

January 25, 2022 by Eevee

Malware Android BRATA telah menambahkan fitur baru dan berbahaya ke versi terbarunya, termasuk pelacakan GPS, kapasitas untuk menggunakan beberapa saluran komunikasi, dan fungsi yang melakukan reset pabrik pada perangkat untuk menghapus semua jejak aktivitas berbahaya.

BRATA pertama kali ditemukan oleh Kaspersky pada tahun 2019 sebagai RAT Android (alat akses jarak jauh) yang terutama menargetkan pengguna Brasil.

Pada bulan Desember 2021 Cleafy menggarisbawahi munculnya malware di Eropa, di mana terlihat menargetkan pengguna e-banking dan mencuri kredensial mereka dengan keterlibatan penipu yang menyamar sebagai agen dukungan pelanggan bank.

Versi terbaru dari malware BRATA sekarang menargetkan pengguna e-banking di Inggris, Polandia, Italia, Spanyol, Cina, dan Amerika Latin.

Setiap varian berfokus pada bank yang berbeda dengan set overlay khusus, bahasa, dan bahkan aplikasi yang berbeda untuk menargetkan audiens tertentu.

Varian BRATA beredar di berbagai negara
Sumber: Cleafy

Penulis menggunakan teknik kebingungan serupa di semua versi, seperti membungkus file APK ke dalam paket JAR atau DEX terenkripsi.

Kebingungan ini berhasil melewati deteksi antivirus, seperti yang diilustrasikan oleh pemindaian VirusTotal di bawah ini.

Tingkat deteksi sampel terbaru
Sumber: Cleafy

BRATA sekarang secara aktif mencari tanda-tanda keberadaan AV pada perangkat dan mencoba untuk menghapus alat keamanan yang terdeteksi sebelum melanjutkan ke langkah eksfiltrasi data.

Alat AV dihapus oleh BRATA
Sumber: Cleafy

Fitur-fitur baru yang ditemukan oleh peneliti Cleafy dalam versi BRATA terbaru termasuk fungsi keylogging, yang melengkapi fungsi screen capture yang ada.

Meskipun tujuan pastinya tetap menjadi misteri bagi para analis, semua varian baru juga memiliki pelacakan GPS.

Terakhir, BRATA telah menambahkan saluran komunikasi baru untuk bertukar data dengan server C2 dan sekarang mendukung HTTP dan WebSockets.

Komunikasi dengan C2 di BRATA baru
Sumber: Cleafy

Opsi WebSockets memberi aktor saluran langsung dan latensi rendah yang ideal untuk komunikasi waktu nyata dan eksploitasi manual langsung.

Selain itu, karena WebSockets tidak perlu mengirim header dengan setiap koneksi, volume lalu lintas jaringan yang mencurigakan berkurang, dan dengan perluasan, kemungkinan terdeteksi diminimalkan.

Cara terbaik untuk menghindari terinfeksi oleh malware Android adalah menginstal aplikasi dari Google Play Store, menghindari APK dari situs web yang teduh, dan selalu memindainya dengan alat AV sebelum dibuka.

Selama penginstalan, perhatikan baik-baik izin yang diminta dan hindari memberikan izin apa pun yang tampaknya tidak perlu untuk fungsionalitas inti aplikasi.

Terakhir, pantau konsumsi baterai dan volume lalu lintas jaringan untuk mengidentifikasi lonjakan yang tidak dapat dijelaskan yang mungkin dikaitkan dengan proses berbahaya yang berjalan di latar belakang.

Sumber : Bleeping Computer

Conti Ransomware Menambahkan Bank Indonesia Ke Dalam Daftar Korbannya

January 20, 2022 by Winnie the Pooh

Bank Indonesia, yang merupakan bank sentral Indonesia, diumumkan sebagai korban ransomware Conti, dalam sebuah posting yang diterbitkan oleh pelaku ancaman. Postingan tersebut dipublikasikan di situs kebocoran dark web geng ransomware Conti, bersama dengan 838 file dengan ukuran 487,09 megabyte.

[ALERT] Conti ransomware gang has announced "BANK OF INDONESIA" on the victim list. pic.twitter.com/qv2iJswis5

— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) January 19, 2022

Menurut catatan yang dibuat oleh geng ransomware Conti, ini hanya mewakili satu persen dari total data yang telah dicuri. Jika itu benar, volume yang dicuri berjumlah seratus kali lipat, atau 48,7 gigabyte.

Dilaporkan oleh Bleeping Computer, Bank Indonesia (BI) telah mengkonfirmasi bahwa serangan ransomware memang menyerang jaringannya bulan lalu.

Selama insiden tersebut, para penyerang mencuri “data non-kritis” milik pegawai Bank Indonesia sebelum menyebarkan muatan ransomware di lebih dari selusin sistem di jaringan bank, seperti yang dilaporkan CNN Indonesia.

Namun, menurut juru bicara bank, insiden itu telah dimitigasi sebelum berdampak pada layanan publik BI, seperti yang dilaporkan pertama kali oleh Reuters.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang memiliki kaitan dengan kelompok kejahatan dunia maya Wizard Spider Rusia, yang juga dikenal dengan malware terkenal lainnya, termasuk Ryuk, TrickBot, dan BazarLoader.

Afiliasi grup ransomware melanggar jaringan target setelah perangkat perusahaan terinfeksi malware BazarLoader atau TrickBot, memberi mereka akses jarak jauh ke sistem yang disusupi.

Setelah mendapatkan akses ke jaringan internal korban, operator Conti akan mengkompromikan perangkat lain yang menyebar melalui jaringan korban.

Senat Italia Tak Sengaja Mainkan Video NSFW Tifa Lockhart

January 19, 2022 by Eevee

Selama pandemi, rapat Zoom telah menjadi sarana komunikasi yang disukai. Terutama karena itu berarti tidak ada yang terkena penyakit yang berpotensi mematikan, tetapi juga karena itu berarti bahwa fungsi vital negara masih dapat dilakukan dari kenyamanan rumah Anda sendiri. Oleh karena itu, rapat Zoom adalah berapa banyak pemerintah negara bagian yang melakukan bisnis akhir-akhir ini.

Namun, itu juga memunculkan bentuk baru cybervandalism. Zoombombing, seperti yang disebut, adalah ketika seorang hacker berhasil menyerang pertemuan Zoom dan kemudian mengambil alih layar presenter, sering memainkan materi cabul atau ofensif segera setelah mereka mendapatkan kendali. Inilah yang terjadi selama pertemuan baru-baru ini antara senator Italia.

Seperti dicatat oleh AnimeClickIT, konferensi ini diselenggarakan senin oleh pemenang Hadiah Nobel Giorgio Parisi dan menampilkan beberapa senator Italia. Pada titik tertentu selama panggilan Zoom, seorang pengguna bernama Alex Spence masuk ke panggilan dan mulai menyiarkan video hentai. Yang pertama menampilkan Tifa Lockhart, yang telah berada di garis depan video hentai buatan penggemar selama beberapa dekade.

Setelah video mendapat teriakan alarm (termasuk setidaknya satu “oh Christo” dari senator Maria Laura Mantovani) tim teknologi konferensi berusaha untuk mendapatkan kembali kendali, hanya untuk memiliki video hentai lain yang diputar yang menampilkan Xiangling Genshin Impact. Alex kemudian ditendang dari panggilan konferensi.

Mantovani bersumpah untuk melaporkan insiden itu ke polisi, tetapi bisa sangat sulit untuk mengadili kasus-kasus ini karena seringkali pengacau tidak tinggal di negara yang sama.

Jika Anda ingin mengalami kepanikan dan kebingungan yang sama dengan senator Italia, sayangnya Anda harus menggulir beberapa posting dari tautan ini di sini untuk menemukannya. Dan jika deskripsi di atas tidak membuat hal-hal sangat jelas, konten yang akan Anda alami harus dibatasi untuk pemirsa dewasa. Dan juga penonton yang ingin melihat Tifa Lockhart dalam pergolakan gairah sementara senator Italia berteriak untuk mematikannya. Saya berharap ini menjadi kategori PornHub yang anehnya segera.

Sumber: THEGAMER

Pemerintah Ukraina Secara Resmi Menuduh Rusia atas Serangan Siber Baru-baru ini

January 19, 2022 by Eevee

Pemerintah Ukraina secara resmi menuduh Rusia mendalangi serangan yang menargetkan situs web lembaga publik dan lembaga pemerintah pekan lalu.

“Semua bukti menunjukkan fakta bahwa Rusia berada di balik serangan siber,” kata Kementerian Transformasi Digital dalam sebuah pernyataan. “Moskow terus mengobarkan perang hibrida dan secara aktif membangun kekuatan di bidang informasi dan dunia maya.”

Tujuan serangan itu, kata kementerian itu, “tidak hanya untuk mengintimidasi masyarakat,” tetapi juga “menggoyahkan situasi di Ukraina dengan menghentikan pekerjaan sektor publik dan merusak kepercayaan pada pemerintah di pihak Ukraina.”

Rusia, telah membantah berada di balik intrusi tersebut. “Kami tidak ada hubungannya dengan itu, dan Rusia tidak ada hubungannya dengan serangan siber ini,” Dmitry Peskov, sekretaris pers untuk Presiden Vladimir Putin, mengatakan “Kami hampir terbiasa dengan fakta bahwa Ukraina menyalahkan segalanya pada Rusia, bahkan cuaca buruk mereka.”

Pengungkapan itu muncul ketika sejumlah situs web pemerintah Ukraina dirusak pada hari Jumat dengan pesan tidak menyenangkan yang mengancam warganya untuk “takut dan mengharapkan yang terburuk” dan menuduh informasi pribadi mereka telah diretas.

Menurut Layanan Keamanan Ukraina (SSU), serangan itu diyakini telah dilakukan setelah aktor jahat memperoleh akses ke infrastruktur perusahaan swasta yang memiliki hak untuk mengelola beberapa situs web yang terpengaruh.

Secara terpisah, Microsoft memperingatkan malware penghapus data destruktif yang menyamar sebagai ransomware yang digunakan dalam serangan terhadap banyak organisasi di Ukraina. Perusahaan, yang menyebut keluarga malware baru ini WhisperGate, mengaitkannya dengan kluster ancaman yang dilacaknya sebagai DEV-0586.

Sumber : The Hacker News

FBI & polisi Eropa mencatat server komputer yang digunakan dalam ‘serangan siber internasional utama’

January 19, 2022 by Eevee

FBI dan polisi dari beberapa negara Eropa dan Kanada telah menurunkan 15 server komputer yang digunakan dalam “serangan siber internasional besar,” kata lembaga penegak hukum minggu ini.

Europol, mengatakan bahwa setelah menyita server, penyelidik telah mengidentifikasi “lebih dari 100 bisnis” yang berisiko diretas oleh penjahat dunia maya, termasuk kelompok ransomware.

Tindakan keras itu menargetkan layanan jaringan pribadi virtual (VPN) populer yang menurut polisi digunakan penjahat dunia maya untuk menutupi jejak mereka saat melanggar banyak organisasi dan mencoba memeras mereka.

Ini adalah upaya terbaru oleh polisi Amerika Utara dan Eropa untuk menghancurkan kelompok ransomware yang telah mengancam infrastruktur penting di kedua benua. Badan penegak AS dan Eropa pada musim gugur menangkap dua orang di Ukraina yang diduga mengajukan tuntutan tebusan jutaan dolar menyusul peretasan organisasi Eropa dan AS.

Sengatan 10 negara diumumkan Selasa melibatkan polisi dari Jerman ke Inggris ke Ukraina. Sebuah catatan dari penyelidik pada hari Selasa menyambut pengunjung ke situs web VPNLab.net, layanan VPN yang ditargetkan: “DOMAIN INI TELAH DIKETAHUI.” Catatan itu mengatakan bahwa penegak hukum akan terus menyisir data VPN dalam upaya melacak para peretas.

Administrator forum kejahatan dunia maya berbahasa Rusia dan Inggris yang populer dengan lebih dari 180.000 pengguna terdaftar telah mengiklankan layanan VPN sejak 2009, menurut Mark Arena, CEO perusahaan keamanan siber Intel 471.

Berita itu muncul ketika para pejabat AS mengatakan mereka percaya Rusia, dalam langkah yang langka, telah menangkap orang yang bertanggung jawab atas serangan ransomware pada operator pipa utama AS Mei lalu.

Rusia secara historis enggan untuk mengekang penjahat dunia maya yang beroperasi dari tanahnya. Tidak jelas apakah penangkapan itu akan membuat individu tersebut, yang belum diidentifikasi oleh pejabat AS, menghabiskan waktu di balik jeruji besi.

Sumber : CNN

Malware Perusak Menargetkan Organisasi Ukraina

January 16, 2022 by Søren

Microsoft Threat Intelligence Center (MSTIC) telah mengidentifikasi bukti operasi malware destruktif yang menargetkan beberapa organisasi di Ukraina. Malware ini pertama kali muncul di sistem korban di Ukraina pada 13 Januari 2022.

Microsoft mengetahui peristiwa geopolitik yang sedang berlangsung di Ukraina dan wilayah sekitarnya dan mendorong organisasi untuk menggunakan informasi dalam postingan ini untuk secara proaktif melindungi dari aktivitas berbahaya apa pun.

Sementara penyelidikan berlanjut, MSTIC belum menemukan hubungan penting antara aktivitas yang diamati ini, yang dilacak sebagai DEV-0586, dan grup aktivitas lain yang diketahui.

MSTIC menilai bahwa malware, yang dirancang agar terlihat seperti ransomware tetapi tidak memiliki mekanisme pemulihan tebusan, dimaksudkan untuk merusak dan dirancang untuk membuat perangkat yang ditargetkan tidak dapat dioperasikan daripada untuk mendapatkan uang tebusan.

Saat ini dan berdasarkan visibilitas Microsoft, tim investigasi telah mengidentifikasi malware pada lusinan sistem yang terpengaruh dan jumlah itu dapat bertambah seiring investigasi kami berlanjut.

Sistem ini menjangkau beberapa organisasi pemerintah, nirlaba, dan teknologi informasi, semuanya berbasis di Ukraina. MSTIC tidak tahu tahap saat ini dari siklus operasional penyerang ini atau berapa banyak organisasi korban lainnya yang mungkin ada di Ukraina atau lokasi geografis lainnya.

Selengkapnya: Microsoft

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Para peneliti tidak menyambut

Bagaimana untuk tetap aman

Cookies Settings