Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Sekarang Emotet Menyebar Melalui Paket Adobe Windows App Installer Palsu

by Leave a Comment

Malware Emotet sekarang terdistribusi melalui paket Windows App Installer berbahaya yang berpura-pura menjadi perangkat lunak Adobe PDF.

Emotet adalah infeksi malware terkenal yang menyebar melalui email phishing dan lampiran berbahaya. Setelah terinstal, ia akan mencuri email korban untuk kampanye spam lainnya dan menyebarkan malware, seperti TrickBot dan Qbot, yang biasanya menyebabkan serangan ransomware.

Aktor ancaman di belakang Emotet sekarang menginfeksi sistem dengan menginstal paket berbahaya menggunakan fitur bawaan Windows 10 dan Windows 11 yang disebut App Installer.

Para peneliti sebelumnya melihat metode yang sama digunakan untuk mendistribusikan malware BazarLoader di mana ia menginstal paket berbahaya yang dihosting di Microsoft Azure.

Emotet adalah malware yang paling banyak didistribusikan di masa lalu sampai operasi penegakan hukum ditutup dan merebut infrastruktur botnet. Sepuluh bulan kemudian, Emotet bangkit kembali dengan bantuan trojan TrickBot.

Sehari kemudian, kampanye spam Emotet dimulai, dengan email berisi berbagai umpan dan dokumen berbahaya yang menginstal malware.

Kampanye ini telah memungkinkan Emotet untuk membangun kehadirannya dengan cepat, dan sekali lagi, melakukan kampanye phishing skala besar yang menginstal TrickBot dan Qbot.

Kampanye emotet biasanya mengarah pada serangan ransomware. Admin Windows harus tetap berhati-hati dan melatih karyawan untuk melihat kampanye Emotet.

Selengkapnya: Bleepingcomputer

Finlandia memperingatkan malware Flubot yang menargetkan pengguna Android

by

Pusat Keamanan Siber Nasional Finlandia (NCSC-FI) telah mengeluarkan “peringatan parah” kampanye besar-besaran yang menargetkan pengguna Android negara itu dengan malware perbankan Flubot yang didorong melalui pesan teks yang dikirim dari perangkat yang disusupi.

Kampanye spam tersebut menggunakan tema pesan suara, meminta target untuk membuka tautan yang memungkinkan mereka mengakses pesan pesan suara atau pesan dari operator seluler.

Namun, penerima SMS dialihkan ke situs berbahaya yang mendorong penginstal APK untuk menyebarkan malware perbankan Flubot di perangkat Android mereka alih-alih membuka pesan suara.

Target yang menggunakan iPhone atau perangkat lain hanya akan dialihkan ke halaman penipuan dan kemungkinan juga berbahaya lainnya seperti halaman arahan phishing yang mencoba mengelabui detail kartu kredit mereka.

“Kami berhasil menghilangkan FluBot hampir sepenuhnya dari Finlandia pada akhir musim panas berkat kerja sama antara pihak berwenang dan operator telekomunikasi. Kampanye malware yang aktif saat ini adalah yang baru, karena tindakan pengendalian yang diterapkan sebelumnya tidak efektif,” kata NCSC-FI penasihat keamanan informasi Aino-Maria Väyrynen.

Malware perbankan ini (juga dikenal sebagai Fedex Banker dan Cabassous) telah aktif sejak akhir 2020 dan digunakan untuk mencuri kredensial perbankan, informasi pembayaran, pesan teks, dan kontak dari perangkat yang terinfeksi.

Awalnya, botnet terutama menargetkan pengguna Android dari Spanyol. Namun, sekarang telah diperluas untuk menargetkan negara-negara Eropa tambahan (Jerman, Polandia, Hongaria, Inggris, Swiss) dan Australia dan Jepang dalam beberapa bulan terakhir.

Setelah menginfeksi perangkat Android, Flubot menyebar ke orang lain dengan mengirim spam pesan teks ke kontak yang dicuri dan menginstruksikan target untuk menginstal aplikasi yang mengandung malware dalam bentuk APK. Bulan lalu, Flubot juga mulai menipu korbannya agar menginfeksi diri mereka sendiri menggunakan pembaruan keamanan palsu yang memperingatkan infeksi Flubot.

Setelah digunakan pada perangkat baru, ia akan mencoba mengelabui korban agar memberikan izin tambahan dan memberikan akses ke layanan Aksesibilitas Android, yang memungkinkannya menyembunyikan dan menjalankan tugas berbahaya di latar belakang.

Kemudian mengambil alih perangkat yang terinfeksi, mendapatkan akses ke pembayaran korban dan info perbankan melalui halaman webview phishing yang dihamparkan di atas antarmuka aplikasi mobile banking dan cryptocurrency yang sah.

Flubot juga mengekstrak buku alamat ke server perintah-dan-kontrol (dengan kontak kemudian dikirim ke bot Flubot lain untuk mendorong spam), membaca pesan SMS, membuat panggilan telepon, dan memantau pemberitahuan sistem untuk aktivitas aplikasi.

Mereka yang telah menginfeksi perangkat mereka dengan malware Flubot disarankan untuk mengambil langkah-langkah berikut:

  • Lakukan reset pabrik pada perangkat. Jika Anda memulihkan pengaturan dari cadangan, pastikan Anda memulihkan dari cadangan yang dibuat sebelum malware diinstal.
  • Jika Anda menggunakan aplikasi perbankan atau menangani informasi kartu kredit pada perangkat yang terinfeksi, hubungi bank Anda.
  • Laporkan kerugian finansial apa pun kepada polisi.
  • Atur ulang kata sandi Anda pada layanan apa pun yang telah Anda gunakan dengan perangkat. Malware mungkin telah mencuri kata sandi Anda jika Anda masuk setelah menginstal malware.
  • Hubungi operator Anda, karena langganan Anda mungkin telah digunakan untuk mengirim pesan teks dengan dikenakan biaya. Malware yang saat ini aktif untuk perangkat Android menyebar dengan mengirim pesan teks dari perangkat yang terinfeksi.

Sumber : Bleeping Computer

Botnet EwDoor menargetkan perangkat tepi jaringan AT&T di perusahaan AS

by

Botnet yang baru-baru ini ditemukan menyerang perangkat tepi jaringan perusahaan AT&T yang belum ditambal menggunakan eksploitasi untuk kelemahan keamanan Blind Command Injection.

Botnet yang dijuluki EwDoor oleh peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), menargetkan pelanggan AT&T yang menggunakan perangkat edge EdgeMarc Enterprise Session Border Controller (ESBC).

Peralatan EdgeMarc mendukung VoIP dan lingkungan data berkapasitas tinggi, menjembatani kesenjangan antara jaringan perusahaan dan penyedia layanan mereka, dalam hal ini, operator AT&T.

Namun, ini juga mengharuskan perangkat untuk terbuka secara publik ke Internet, meningkatkan keterpaparan mereka terhadap serangan jarak jauh.

360 Netlab melihat botnet pada 27 Oktober ketika serangan pertama yang menargetkan perangkat Edgewater Networks yang terpapar Internet yang belum ditambal terhadap kerentanan kritis CVE-2017-6079 dimulai.

Para peneliti dapat melihat sekilas ukuran botnet dengan mendaftarkan salah satu domain command-and-control (C2) cadangannya dan memantau permintaan yang dibuat dari perangkat yang terinfeksi.

Selama tiga jam sebelum operator botnet beralih ke model komunikasi jaringan C2 yang berbeda, 360 Netlab dapat melihat sekitar 5.700 perangkat yang terinfeksi.

“Dengan memeriksa kembali sertifikat SSL yang digunakan oleh perangkat ini, kami menemukan bahwa ada sekitar 100 ribu IP yang menggunakan sertifikat SSL yang sama. Kami tidak yakin berapa banyak perangkat yang sesuai dengan IP ini yang dapat terinfeksi, tetapi kami dapat berspekulasi bahwa itu milik mereka. untuk kelas perangkat yang sama, kemungkinan dampaknya adalah nyata.”

360 Netlab mengatakan botnet kemungkinan digunakan untuk meluncurkan serangan penolakan layanan (DDoS) terdistribusi dan sebagai pintu belakang untuk mendapatkan akses ke jaringan target.

Saat ini botnet memiliki enam fitur utama: pembaruan sendiri, pemindaian port, manajemen file, serangan DDoS, shell terbalik, dan eksekusi perintah sewenang-wenang pada server yang disusupi.

“Berdasarkan perangkat yang diserang terkait komunikasi telepon, kami menganggap bahwa tujuan utamanya adalah serangan DDoS, dan pengumpulan informasi sensitif, seperti log panggilan.”

EwDoor botnet (360 Netlab)

EwDoor menggunakan enkripsi TLS untuk memblokir upaya intersepsi lalu lintas jaringan dan mengenkripsi sumber daya untuk memblokir analisis malware.

Detail teknis tambahan tentang botnet EwDoor dan indikator kompromi (IOC), termasuk domain C2 dan hash sampel malware, dapat ditemukan di laporan 360 Netlab.

Bleeping Computer

Panasonic Menyingkap Pelanggaran Data Setelah Peretasan Jaringan

by

Konglomerat multinasional Jepang Panasonic mengungkapkan pelanggaran keamanan setelah aktor ancaman yang tidak diketahui memperoleh akses ke server di jaringannya bulan ini.

“Panasonic Corporation telah mengkonfirmasi bahwa jaringannya diakses secara ilegal oleh pihak ketiga pada 11 November 2021,” kata perusahaan itu dalam siaran pers yang dikeluarkan Jumat.

“Sebagai hasil dari penyelidikan internal, ditentukan bahwa beberapa data pada server file telah diakses selama intrusi.”

Panasonic telah melaporkan insiden tersebut kepada otoritas terkait dan telah mengambil langkah-langkah untuk mencegah akses ke jaringannya dari server eksternal.

Raksasa elektronik Jepang juga telah menyewa jasa pihak ketiga untuk menyelidiki serangan itu — yang ditandai Panasonic sebagai “kebocoran” dalam siaran pers — dan menemukan apakah ada data yang diakses selama intrusi termasuk informasi pribadi pelanggan.

“Selain melakukan penyelidikan sendiri, Panasonic saat ini bekerja dengan organisasi pihak ketiga spesialis untuk menyelidiki kebocoran dan menentukan apakah pelanggaran tersebut melibatkan informasi pribadi pelanggan dan / atau informasi sensitif yang terkait dengan infrastruktur sosial,” tambah perusahaan itu.

Panasonic ingin menyampaikan permintaan maaf yang tulus atas kekhawatiran atau ketidaknyamanan yang diakibatkan oleh insiden ini. -Panasonic

Server Panasonic dilaporkan diretas pada bulan Juni

Sementara siaran pers yang dikeluarkan tidak termasuk banyak rincian mengenai garis waktu serangan, outlet Jepang, termasuk Mainichi dan NHK, mengatakan para penyerang memiliki akses ke server Panasonic antara Juni dan November, seperti yang pertama kali dilaporkan oleh The Record.

Selain itu, mereka mendapatkan akses ke informasi sensitif pelanggan dan karyawan sampai Panasonic melihat aktivitas berbahaya pada 11 November.

Serangan terhadap server Panasonic adalah bagian dari serangkaian panjang insiden lain yang melibatkan perusahaan Jepang dalam beberapa tahun terakhir.

Kawasaki, NEC, Mitsubishi Electric, dan kontraktor pertahanan Kobe Steel dan Pasco juga telah mengungkapkan insiden keamanan dan, dalam beberapa kasus, bahkan kebocoran data.

Sumber: Bleepingcomputer

Pasar Dark Web Cannazon Tutup Setelah Serangan DDoS Besar-besaran

by

Cannazon, salah satu pasar web gelap terbesar untuk membeli produk ganja, ditutup pekan lalu setelah terkena serangan DDoS.

Seperti yang dijelaskan admin dalam pesan yang ditandatangani dengan kunci pasar PGP, mereka secara resmi pensiun dan mengklaim tidak menarik penipuan keluar pada vendor mereka.

Admin memposting pesan itu pada 23 November 2021, dan hari ini Cannazon offline, diduga selamanya.

Serangan DDoS menyebabkan penutupan

Situs ini terkena serangan DDoS (distributed denial of service) besar-besaran pada awal bulan, yang tidak biasa untuk pasar web gelap.

Admin mengurangi jumlah pesanan dan membuat pasar sebagian offline sementara waktu untuk mengurangi masalah, tetapi ini telah menciptakan desas-desus di masyarakat, takut akan penipuan keluar yang akan segera terjadi.

Dengan ditutupnya Cannazon, tidak mengherankan melihat situs lain dibuat menggunakan nama yang sama di bawah alamat Tor baru. Namun, ini kemungkinan akan dioperasikan oleh scammers yang ingin menipu anggota situs asli.

Munculnya situs klon palsu adalah hal biasa ketika platform web gelap yang besar dan terkenal offline.

Mengapa itu ide yang buruk</h4

Jika Anda berpikir bahwa membeli ganja dari dark web adalah cara mudah untuk menghindari undang-undang narkoba di negara Anda sambil tetap anonim di belakang VPN atau Tor, Anda mengabaikan sebagian besar risiko yang terlibat.

Pertama, sebagian besar platform ini, termasuk Cannazon dan CannaHome, beroperasi dengan keanggotaan. Dengan demikian, semua pengguna memberikan beberapa remah-remah info selama pendaftaran. Jika server mereka akhirnya jatuh ke tangan penegak hukum, pembeli dapat diidentifikasi.

Kedua, kemungkinan mendapatkan scammed ketika menempatkan pesanan selalu tinggi, bahkan di pasar di mana admin menjanjikan tingkat keamanan perdagangan yang tinggi.

Ketiga, obat apa pun yang dikirim kepada Anda mungkin dicampur dengan zat beracun berbahaya atau benar-benar berbeda dari apa yang Anda pikir Anda bayar. Dengan demikian, mengkonsumsinya dapat menimbulkan risiko serius bagi kesehatan Anda.

Akhirnya, membeli obat-obatan secara online adalah ilegal di banyak negara dan dapat menyebabkan denda dan kemungkinan hukuman penjara.

Sumber: Bleepingcomputer

Lebih dari 300.000 pengguna Android telah mengunduh aplikasi malware trojan perbankan ini

by

Dirinci oleh peneliti ThreatFabric, empat bentuk malware yang berbeda dikirimkan ke korban melalui versi berbahaya dari aplikasi yang biasa diunduh, termasuk pemindai dokumen, pembaca kode QR, pemantau kebugaran, dan aplikasi cryptocurrency. Aplikasi sering datang dengan fungsi yang diiklankan untuk menghindari pengguna curiga.

Dalam setiap kasus, pengiriman malware hanya dimulai setelah aplikasi diinstal sehingga memungkinkan mereka untuk melewati deteksi Play Store.

Yang paling produktif dari empat keluarga malware adalah Anatsa, yang telah diinstal oleh lebih dari 200.000 pengguna Android – peneliti menggambarkannya sebagai trojan perbankan yang dapat mencuri nama pengguna dan kata sandi, dan menggunakan pencatatan aksesibilitas untuk menangkap semua yang ditampilkan di layar pengguna , sementara keylogger memungkinkan penyerang untuk merekam semua informasi yang dimasukkan ke dalam telepon.

Salah satu aplikasi ini adalah pemindai kode QR yang telah dipasang oleh 50.000 pengguna saja dan halaman unduhan menampilkan sejumlah besar ulasan positif, sesuatu yang dapat mendorong orang untuk mengunduh aplikasi. Pengguna diarahkan ke aplikasi melalui email phishing atau kampanye iklan berbahaya.

Setelah pengunduhan awal, pengguna dipaksa untuk memperbarui aplikasi untuk terus menggunakannya – pembaruan inilah yang menghubungkan ke server perintah dan kontrol dan mengunduh muatan Anatsa ke perangkat, memberikan penyerang sarana untuk mencuri detail perbankan dan informasi lainnya.

Keluarga malware paling produktif kedua yang dirinci oleh para peneliti di ThreatFabric adalah Alien, trojan perbankan Android yang juga dapat mencuri kemampuan otentikasi dua faktor dan yang telah aktif selama lebih dari setahun. Malware telah menerima 95.000 instalasi melalui aplikasi berbahaya di Play Store.

Salah satunya adalah aplikasi gym dan pelatihan kebugaran yang ketika dilengkapi dengan situs web pendukung yang dirancang untuk meningkatkan legitimasi, tetapi pemeriksaan ketat terhadap situs tersebut mengungkapkan teks placeholder di mana-mana. Situs web ini juga berfungsi sebagai pusat komando dan kendali untuk malware Alien.

Seperti Anasta, unduhan awal tidak mengandung malware, tetapi pengguna diminta untuk menginstal pembaruan palsu – menyamar sebagai paket rezim kebugaran baru – yang mendistribusikan muatan.

Dua bentuk malware lainnya yang telah dijatuhkan menggunakan metode serupa dalam beberapa bulan terakhir adalah Hydra dan Ermac, yang memiliki total gabungan setidaknya 15.000 unduhan. ThreatFabric telah menautkan Hydra dan Ermac ke Brunhilda, kelompok kriminal dunia maya yang diketahui menargetkan perangkat Android dengan malware perbankan.

ThreatFabric telah melaporkan semua aplikasi berbahaya ke Google dan mereka telah dihapus atau sedang ditinjau.

“Aturan praktis yang baik adalah selalu memeriksa pembaruan dan selalu sangat berhati-hati sebelum memberikan hak aksesibilitas layanan – yang akan diminta oleh muatan berbahaya, setelah “pembaruan” instalasi – dan waspada terhadap aplikasi yang meminta untuk menginstal perangkat lunak tambahan, ” ucap Durando.

ZDNet

Phishing TrickBot Memeriksa Resolusi Layar untuk Menghindari Peneliti

by

Operator malware TrickBot telah menggunakan metode baru untuk memeriksa resolusi layar sistem korban untuk menghindari deteksi perangkat lunak keamanan dan analisis oleh para peneliti.

Baru-baru ini, TheAnalyst – seorang pemburu ancaman dan anggota kelompok riset keamanan Cryptolaemus, menemukan bahwa lampiran HTML dari kampanye malspam TrickBot berperilaku berbeda di mesin nyata daripada di mesin virtual.

Peneliti mengatakan kepada BleepingComputer bahwa dia melihat taktik yang digunakan beberapa kali dalam berbagai kampanye phishing sebagai sarana untuk menghindari penyelidik.

Script menentukan apakah pengguna yang mendarat di halaman phishing menggunakan mesin virtual atau fisik dengan memeriksa apakah browser web menggunakan perender perangkat lunak seperti SwiftShader, LLVMpipe, atau VirtualBox, yang biasanya berarti lingkungan virtual.

Skrip juga memeriksa apakah kedalaman warna layar pengunjung kurang dari 24-bit, atau jika tinggi dan lebar layar kurang dari 100 piksel.

TrickBot tidak menggunakan skrip yang sama seperti di atas tetapi mengandalkan taktik yang sama untuk mendeteksi kotak pasir peneliti. Namun, ini adalah pemutaran perdana bagi geng untuk menggunakan skrip seperti itu dalam lampiran HTML.

Ini mungkin juga pertama kalinya malware menggunakan lampiran untuk menjalankan pemeriksaan resolusi layar daripada melakukannya di halaman arahan yang menyajikan malware yang dapat dieksekusi.

Selengkapnya: Bleeping Computer

Sorotan Dark Web: Serangan Ransomware Grup Eberspcher

by

Produsen suku cadang otomotif multinasional Eberspächer Group telah diserang oleh ransomware. Tidak diketahui sejauh mana serangan itu atau siapa yang bertanggung jawab.

Pada publikasi ini, infrastruktur TI mereka telah dinonaktifkan secara efektif.

Grup Eberspacher mempekerjakan lebih dari 10.000 pekerja dengan 80 pabrik yang tersebar di 28 negara.

Grup Eberspacher menyediakan suku cadang untuk banyak perusahaan otomotif Jerman terkemuka seperti Audi, Volkswagen, BMW, dan lainnya.

Dengan infrastruktur TI mereka yang lumpuh, Eberspacher Group terpaksa menghentikan produksi dan memulangkan karyawannya. Tidak diketahui kapan sistem akan kembali online.

Grup Eberspacher tidak dapat dihubungi melalui telepon atau email karena sistem tersebut juga dinonaktifkan.

Industri Otomotif, dari merek besar hingga pemasok seperti Eberspacher Group, sangat rentan terhadap serangan rantai pasokan dan gangguan kerja dari Ransomware.

CybelAngel baru-baru ini menerbitkan laporan “Perlombaan Melawan Ancaman Eksternal dalam Rantai Pasokan Otomotif” yang mencakup risiko unik yang dihadapi oleh industri dan rekomendasi tentang bagaimana mereka dapat melindungi diri mereka sendiri.

Selengkapnya: CybelAngel