Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Crime

Cyber Crime

Aplikasi Android Berbahaya Mencuri Kredensial Bank Malaysia, Kode MFA

by Leave a Comment

Aplikasi Android palsu menyamar sebagai layanan rumah tangga untuk mencuri kredensial perbankan online dari pelanggan delapan bank Malaysia.

Aplikasi ini dipromosikan melalui beberapa situs web palsu atau kloning dan akun media sosial untuk mempromosikan APK berbahaya, ‘Cleaning Service Malaysia.’

Aplikasi ini pertama kali ditemukan oleh MalwareHunterTeam minggu lalu dan kemudian dianalisis oleh para peneliti di Cyble, yang memberikan informasi rinci tentang perilaku jahat aplikasi.

Proses phishing

Setelah menginstal aplikasi, pengguna diminta untuk menyetujui tidak kurang dari 24 izin, termasuk ‘RECEIVE_SMS’ berisiko, yang memungkinkan aplikasi untuk memantau dan membaca semua teks SMS yang diterima di telepon.

Izin ini disalahgunakan untuk memantau teks SMS untuk mencuri kata sandi satu kali dan kode MFA yang digunakan dalam layanan e-banking, yang kemudian dikirim ke server penyerang.

Setelah diluncurkan, aplikasi berbahaya akan menampilkan formulir yang meminta pengguna untuk memesan janji pembersihan rumah.

Setelah pengguna memasukkan rincian layanan pembersihan mereka (nama, alamat, nomor telepon) pada aplikasi palsu, mereka diminta untuk memilih metode pembayaran.

Langkah ini menawarkan pilihan bank Malaysia dan opsi internet banking, dan jika korban mengklik satu, mereka dibawa ke halaman login palsu yang dibuat untuk meniru penampilan yang asli.

Halaman login ini di-host di infrastruktur aktor, tetapi tentu saja, korban tidak memiliki cara untuk menyadarinya dari dalam antarmuka aplikasi.

Setiap kredensial perbankan yang dimasukkan dalam langkah ini dikirim langsung ke aktor, yang dapat menggunakannya bersama dengan kode SMS yang dicegat untuk mengakses akun e-banking korban.

Tanda-tanda penipuan

Beberapa tanda penipuan yang jelas di akun media sosial yang mempromosikan APK ini adalah jumlah pengikut mereka yang rendah dan fakta bahwa mereka diciptakan baru-baru ini.

Masalah lain adalah ketidakcocokan dalam rincian kontak yang diberikan. Karena sebagian besar situs umpan memilih layanan pembersihan nyata untuk ditiru, nomor telepon atau perbedaan email adalah bendera merah besar.

Izin yang diminta juga menunjukkan ada sesuatu yang tidak beres, karena aplikasi layanan pembersihan tidak memiliki alasan yang sah untuk meminta akses ke teks perangkat.

Untuk meminimalkan kemungkinan menjadi korban serangan phishing semacam ini, hanya unduh aplikasi Android dari Google Play Store resmi.

Selain itu, selalu tinjau izin yang diminta dengan hati-hati dan jangan menginstal aplikasi yang meminta hak istimewa yang lebih besar daripada yang diperlukan untuk fungsinya.

Akhirnya, tetap up to date perangkat Anda dengan menerapkan update keamanan terbaru yang tersedia dan menggunakan solusi keamanan mobile dari vendor terkemuka.

Sumber: Beepingcomputer

Interpol Menangkap Lebih dari 1.000 Penjahat Siberdari 20 Negara; Menyita $27 Juta

by

Operasi bersama selama empat bulan yang dikoordinasikan oleh Interpol, organisasi polisi kriminal internasional, telah mencapai puncaknya dengan penangkapan lebih dari 1.000 penjahat siber dan pengembalian dana ilegal sebesar $27 juta.

Dengan nama sandi “HAECHI-II,” tindakan keras itu memungkinkan unit penegak hukum dari seluruh 20 negara, serta Hong Kong dan Makau, menutup 1.660 kasus bersama dengan pemblokiran 2.350 rekening bank yang terkait dengan dana ilegal penipuan yang dikumpulkan dari berbagai kejahatan keuangan online, seperti penipuan asmara, penipuan investasi, dan pencucian uang yang terkait dengan perjudian online ilegal.

Negara peserta HAECHI-II antara lain Angola, Brunei, Kamboja, Kolombia, Cina, India, Indonesia, Irlandia, Jepang, Korea (Rep. of), Laos, Malaysia, Maladewa, Filipina, Rumania, Singapura, Slovenia, Spanyol, Thailand , dan Vietnam.

“Hasil Operasi HAECHI-II menunjukkan bahwa lonjakan kejahatan keuangan online yang ditimbulkan oleh pandemi COVID-19 tidak menunjukkan tanda-tanda akan berkurang,” kata Sekretaris Jenderal Interpol Jürgen Stock dalam pernyataan pers yang dikeluarkan pada 26 November.

Penyelidikan penegakan hukum terkoordinasi berlangsung selama empat bulan, mulai dari Juni 2021 hingga September 2021, dengan sepuluh modus operandi kriminal baru diidentifikasi selama operasi.

Dalam satu contoh penipuan tentang bagaimana aktor ancaman dengan cepat memanfaatkan tren populer untuk eksploitasi oportunistik, Interpol juga mengatakan telah menemukan kampanye malware yang memanfaatkan acara Netflix Korea Selatan Squid Game untuk mendistribusikan trojan yang membuat korban berlangganan layanan premium berbayar tanpa persetujuan eksplisit mereka.

Penangkapan tersebut merupakan bagian dari proyek tiga tahun untuk mengatasi kejahatan keuangan berbasis dunia maya, dan mengikuti gelombang pertama dari operasi tersebut – dijuluki “HAECHI-I” – yang dilakukan antara September 2020 dan Maret 2021.

Selengkapnya: The Hacker News

Perusahaan Pengujian DNA Mengungkap Pelanggaran Data yang Mempengaruhi 2,1 Juta Orang

by

DNA Diagnostics Center (DDC), sebuah perusahaan pengujian DNA yang berbasis di Ohio, telah mengungkapkan insiden peretasan yang mempengaruhi 2.102.436 orang.

Insiden itu mengakibatkan pelanggaran data yang dikonfirmasi yang terjadi antara 24 Mei 2021 dan 28 Juli 2021, dan perusahaan menyelesaikan penyelidikan internalnya pada 29 Oktober 2021.

Informasi yang diakses peretas mencakup hal-hal berikut:

  • Nama lengkap
  • Nomor kartu kredit + CVV
  • Nomor kartu debit + CVV
  • Nomor rekening keuangan
  • Kata sandi akun platform

Database yang bocor berisi cadangan data terdahulu yang berasal dari tahun 2004 dan 2012, dan itu tidak terkait dengan sistem aktif dan database yang digunakan oleh DDC saat ini.

“Basis data yang terkena dampak dikaitkan dengan organisasi pengujian genetik nasional yang tidak pernah digunakan DDC dalam operasinya dan belum aktif sejak 2012.”

“DDC memperoleh aset tertentu dari organisasi pengujian genetik nasional ini pada tahun 2012 yang mencakup informasi pribadi tertentu, dan oleh karena itu, dampak dari insiden ini tidak terkait dengan DDC.”

DDC bekerja sama dengan pakar keamanan cyber eksternal untuk mendapatkan kembali kepemilikan file yang dicuri dan memastikan bahwa aktor ancaman tidak akan menyebarkannya lebih lanjut. Sejauh ini, belum ada laporan penipuan atau penggunaan yang tidak benar dari rincian yang dicuri.

Selengkapnya: Bleepingcomputer

Peretas sembunyi-sembunyi WIRTE menargetkan pemerintah di Timur Tengah

by

Grup peretas tersembunyi bernama WIRTE telah dikaitkan dengan kampanye penargetan pemerintah yang melakukan serangan setidaknya sejak 2019 menggunakan makro Excel 4.0 yang berbahaya.

Cakupan penargetan utama mencakup entitas publik dan swasta profil tinggi di Timur Tengah, tetapi peneliti juga mengamati target di wilayah lain.

Kaspersky menyimpulkan bahwa WIRTE memiliki motif pro-Palestina dan diduga menjadi bagian dari ‘Gaza Cybergang’. WIRTE memiliki OpSec yang lebih baik dan teknik yang lebih tersembunyi, dan mereka dapat menghindari deteksi untuk waktu yang lama.

WIRTE melakukan email phishing dengan menyertakan dokumen Excel yang mengeksekusi makro berbahaya untuk mengunduh dan menginstal muatan malware di perangkat penerima.

Sementara fokus utama WIRTE menyerang pemerintah dan entitas diplomatik, Kaspersky telah melihat serangan ini menargetkan berbagai industri di seluruh Timur Tengah dan wilayah lainnya.

“Entitas yang terkena dampak berlokasi di Armenia, Siprus, Mesir, Yordania, Lebanon, Palestina, Suriah, dan Turki.”

Dokumen jahat tersebut dirancang untuk meningkatkan minat korban yang ditargetkan, dan menggunakan logo dan tema yang meniru merek, otoritas, atau organisasi yang ditargetkan.

Dokumen phishing dikirim ke korban
Sumber: Kaspersky

Penetes Excel pertama-tama menjalankan serangkaian rumus di kolom tersembunyi, yang menyembunyikan permintaan “aktifkan pengeditan” dari file asli dan memperlihatkan spreadsheet sekunder yang berisi umpan.

Penetes kemudian menjalankan rumus dari spreadsheet ketiga dengan kolom tersembunyi, dan melakukan tiga pemeriksaan anti-kotak pasir berikut:

  • Dapatkan nama lingkungan
  • Periksa apakah ada tikus
  • Periksa apakah komputer host dapat memutar suara

kemudian makro menulis skrip VBS yang menulis cuplikan PowerShell yang disematkan dengan dua kunci registri

Menambahkan dua kunci registri
Sumber: Kaspersky

Makro kemudian melanjutkan dengan menulis PowerShell dengan kode VB ke %ProgramData%. Cuplikan ini adalah stager ‘LitePower’ yang akan mengunduh muatan dan menerima perintah dari C2.

Perintah dan kontrol yang tidak jelas

Para aktor telah menempatkan domain C2 mereka di belakang Cloudflare untuk menyembunyikan alamat IP yang sebenarnya, tetapi Kaspersky dapat mengidentifikasi beberapa dari mereka dan menemukan bahwa mereka di-host di Ukraina dan Estonia.

Banyak dari domain ini berasal dari setidaknya Desember 2019, yang menunjukkan kemampuan WIRTE untuk menghindari deteksi, analisis, dan pelaporan untuk waktu yang lama.

Infrastruktur WIRTE C2 yang dipetakan
Sumber: Kaspersky

Intrusi terbaru menggunakan TCP/443 melalui HTTPS dalam komunikasi C2, tetapi mereka juga menggunakan port TCP 2096 dan 2087, seperti yang disebutkan dalam laporan 2019 oleh Lab52.

Fungsi tidur pada skrip
Sumber: Kaspersky

WIRTE sekarang terlihat secara tentatif memperluas cakupan penargetannya ke lembaga keuangan dan organisasi swasta besar, yang dapat merupakan hasil eksperimen atau perubahan fokus secara bertahap.

Kaspersky memperingatkan bahwa meskipun TTP yang digunakan oleh aktor-aktor ini sederhana dan agak biasa, mereka masih sangat efektif terhadap target kelompok.

Selengkapnya : Bleeping Computer

APT37 menargetkan jurnalis dengan malware multi-platform Chinotto

by

Kelompok peretas negara Korea Utara APT37 menargetkan jurnalis, pembelot, dan aktivis hak asasi manusia Korea Selatan, email spear-phishing, dan serangan smishing yang mengirimkan malware yang dijuluki Chinotto yang mampu menginfeksi perangkat Windows dan Android.

APT37 (alias Reaper) telah aktif setidaknya sejak 2012 dan merupakan kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan pemerintah Korea Utara dengan kepercayaan tinggi oleh FireEye.

Kelompok ini dikenal menargetkan individu yang berkepentingan dengan rezim Korea Utara, termasuk jurnalis, diplomat, dan pegawai pemerintah.

Chinotto, malware yang disebar memungkinkan kelompok peretas untuk mengontrol perangkat yang disusupi, memata-matai penggunanya melalui tangkapan layar, menyebarkan muatan tambahan, mengumpulkan data yang menarik, dan mengunggahnya ke server yang dikendalikan penyerang

Seperti yang ditemukan Kaspersky, pintu belakang tersebut dikirimkan ke perangkat korban beberapa bulan setelah penyusupan awal. Dalam satu kasus, para peretas menunggu selama enam bulan sebelum menginstal Chinotto, yang memungkinkan mereka untuk mengekstrak data sensitif dari perangkat yang terinfeksi.

APT37 Garis waktu serangan Chinotto (Kaspersky)

Chinotto adalah malware yang sangat dapat disesuaikan, seperti yang ditunjukkan oleh banyak varian yang ditemukan saat menganalisis kampanye, terkadang beberapa muatan disebarkan pada perangkat yang terinfeksi yang sama.

Varian Windows dan Android malware menggunakan pola komunikasi perintah-dan-kontrol yang sama dan mengirimkan informasi yang dicuri ke server web yang sebagian besar berlokasi di Korea Selatan.

Karena varian Android meminta izin tambahan pada perangkat yang disusupi, setelah diberikan, Chinotto dapat menggunakannya untuk mengumpulkan data sensitif dalam jumlah besar, termasuk kontak korban, pesan teks, log panggilan, info perangkat, dan bahkan rekaman audio.

Jika mereka menemukan dan mencuri kredensial korban, itu memungkinkan operator APT37 menjangkau target lain menggunakan kredensial yang dicuri melalui email dan media sosial.
APT37 Aliran serangan Chinotto

APT37 Aliran serangan Chinotto (Kaspersky)

“Singkatnya, pelaku menargetkan korban dengan kemungkinan serangan spear-phishing untuk sistem Windows dan smishing untuk sistem Android. Pelaku memanfaatkan versi Windows yang dapat dijalankan dan versi PowerShell untuk mengontrol sistem Windows,” Kaspersky menyimpulkan.

“Kami mungkin berasumsi bahwa jika host dan ponsel korban terinfeksi pada saat yang sama, operator malware dapat mengatasi otentikasi dua faktor dengan mencuri pesan SMS dari ponsel.”

Sumber : Bleeping Computer

Regulator Singapura Menghukum Pelanggaran Data Terbesar yang Pernah Ada: Hampir 5,9 Juta Info Pelanggan Hotel Terekspos

by

RedDoorz.com malu setelah meninggalkan kunci akses AWS di APK

Komisi Perlindungan Data Pribadi Singapura (PDPC) telah mengeluarkan denda sebesar SG $ 74.000 ($ 54.456) pada perusahaan travel Commeasure, yang mengoperasikan situs web pemesanan travel bernama RedDoorz yang mengekspos 5,9 juta data pelanggan — pelanggaran data terbesar yang ditangani oleh Komisi sejak awal.

PDPC mengumumkan hukuman karena “gagal menerapkan pengaturan keamanan yang wajar untuk mencegah akses tidak sah dan eksfiltrasi data pribadi pelanggan yang dihosting dalam database cloud”.

RedDoorz mulai hidup di Indonesia sebelum pindah operasi ke Singapura, dari sana ia mengumpulkan pemesanan hotel murah di kota-kota tertentu di Asia Tenggara. Pengguna memilih hotel murah dari RedDoorz berdasarkan foto, area dan harga. Ketika wisatawan tiba, pengalaman kamar hotel diganti namanya menjadi RedDoorz dan dilengkapi dengan layanan tertentu – seperti WiFi, TV, dan air minum.

Commeasure mengetahui ada pelanggaran data pelanggan RedDoorz pada September 2020, ketika sebuah perusahaan cybersecurity yang berbasis di Atlanta memberi tahu perusahaan induk tentang peretasan dan menawarkan layanan perbaikan. Dalam seminggu, perusahaan teknologi perjalanan memberi tahu PDPC.

Data yang dicuri termasuk nama, nomor kontak, alamat email, ulang tahun, kata sandi akun RedDoorz terenkripsi dan informasi pemesanan. Menurut putusan PDPC, database tidak termasuk nomor kartu kredit. Jarahan itu disiapkan untuk dijual di forum hacker.

Kesalahan langkah yang membuat data dicuri kembali ke hari-hari startup perusahaan, ketika kunci akses AWS disematkan ke dalam paket aplikasi Android (APK) yang tersedia untuk diunduh dari Google Play Store. APK, yang dibuat pada tahun 2015 dan terakhir diperbarui pada Januari 2018, secara keliru ditandai sebagai kunci “uji” oleh pengembang pada saat itu. Itu tetap terlihat meskipun dianggap “mati” sampai perusahaan diberitahu tentang pelanggaran pada tahun 2020.

Dengan kunci akses AWS di tangan, crims dapat memperoleh akses dan exfiltrate catatan pelanggan yang dihosting di database cloud Amazon RDS. RedDoorz memang melakukan upaya untuk melindungi data – misalnya dengan menyewa perusahaan cybersecurity dan menggunakan alat obfuscation Java Proguard untuk mencegah rekayasa balik APK – tetapi itu semua sia-sia karena file yang relevan tidak pernah dievaluasi.

Pendiri dan CEO RedDoorz, Amit Samberwal, mengatakan kepada The Register:

Kami segera melakukan tinjauan internal dan kemudian melibatkan perusahaan cybersecurity eksternal untuk meningkatkan langkah-langkah keamanan. Pada saat itu, kami juga telah memberi tahu semua pengguna, media publik, dan otoritas masing-masing tentang pelanggaran tersebut. PDPC di Singapura baru-baru ini menyelesaikan penyelidikan setelah lebih dari satu setengah tahun, dan menganggap kasus ini ditutup dengan denda $ 74K yang dikenakan.

Commeasure mengatakan kepada PDPC bahwa kegagalan untuk menerapkan proses yang cukup kuat untuk mengelola inventaris kunci akses infrastrukturnya adalah karena pergantian karyawan yang tinggi. Itu tidak berjalan dengan baik dengan Komisi. Namun, otoritas pengatur mengatakan mempertimbangkan perilaku kooperatif perusahaan, tindakan perbaikan, tinjauan keamanan yang tidak efektif namun teratur, dan keadaan yang tidak menguntungkan menjadi bisnis perhotelan di tengah pandemi, karena memutuskan hukuman keuangan.

Komisi memberi Commeasure 30 hari untuk membayar sebelum bunga masuk.

Sumber: The Register

Grup ransomware Conti telah mengalami pelanggaran data yang memungkinkan peneliti untuk mengaksesnya.

by

Para peneliti Prodaft dapat mengidentifikasi alamat IP asli dari salah satu server yang digunakan oleh grup ransomware Conti dan mengakses konsol selama lebih dari sebulan. Server yang terpapar menjadi tuan rumah portal pembayaran yang digunakan oleh geng untuk negosiasi tebusan dengan korbannya.

“Tim PTI mengakses infrastruktur Conti dan Mengidentifikasi alamat IP sebenarnya dari server yang dimaksud.” membaca laporan yang diterbitkan oleh para ahli. “Tim kami mendeteksi kerentanan di server pemulihan yang digunakan Conti, dan memanfaatkan kerentanan itu untuk menemukan alamat IP asli dari tersembunyi yang menghosting situs web pemulihan grup”

Para peneliti dapat membuka kedok alamat IP yang sebenarnya dari layanan tersembunyi TOR Conti dan contirecovery.ws dan 217.12.204.135. Yang terakhir adalah alamat IP yang dimiliki oleh perusahaan hosting web Ukraina ITL LLC.

Peneliti Prodaft mampu mengkompromikan server dan menyatukan koneksi lintas jaringan untuk koneksi masuk, termasuk SSH yang digunakan oleh anggota Conti untuk mengakses server.

Namun, alamat IP yang terkait dengan koneksi SSH milik node keluar Tor yang digunakan oleh operator Conti untuk menyembunyikan identitasnya.

Para ahli juga dapat menentukan OS server di balik layanan tersembunyi, distro Debian dengan nama host ”dedic-cuprum-617836”. Para ahli berspekulasi nilai numerik dalam nama host adalah nomor faktur untuk server, yang ditetapkan oleh perusahaan hosting ITLDC.

“Linux version 4.9.0-16-amd64 (Debian 6.3.0-18deb9u1) #1 SMP Debian 4.9.272-2
(2021-07-19)

217.12.204.135 dedic-cuprum-617836.hosted-by-itldc.com dedic-cuprum-617836”

Para ahli juga membagikan konten file htpasswd dari host subjek yang dapat digunakan dalam penyelidikan selanjutnya pada operasi Conti.

Tim PTI juga dapat menemukan beberapa sesi obrolan korban dan menangkap kredensial login untuk akun MEGA yang digunakan saat menghubungi para korban. Para ahli dapat menemukan alamat IP penghubung, tanggal, metode pembelian, dan perangkat lunak yang digunakan untuk mengakses layanan berbagi dan mengunggah file.

Selengkapnya : Security Affairs

Sebagian besar penyedia layanan eksploitasi SS7 di Dark Web adalah scammers

by

Kerentanan protokol telepon seluler Signaling System 7 (SS7) adalah sesuatu yang diperingatkan oleh para peneliti keamanan pada tahun 2016, dan hanya butuh satu tahun sebelum serangan pertama yang mengeksploitasinya diamati. Pemerintah mengeksploitasi kelemahan SS7 untuk melacak individu di luar negeri, dan peretas menggunakannya untuk membajak Telegram dan akun email.

Celah keamanan SS7 dapat dimanfaatkan untuk mencegat atau meneruskan panggilan, kode 2FA, mencari perangkat, SMS palsu, dan banyak lagi. Analis di SOS Intelligence telah mencari di web gelap untuk penyedia layanan eksploitasi SS7 dan menemukan 84 domain bawang unik yang mengklaim menawarkannya.

Setelah mempersempit hasil menjadi yang tampaknya masih aktif, mereka hanya mendapatkan empat berikut:

  • Penjelajah SS7
  • Penjelajah ONLINE SS7
  • Peretasan SS7
  • Pasar Rubah Gelap
Situs web Pasar Rubah Gelap
Sumber: Intelijen SOS

Dengan menganalisis data topologi jaringan untuk situs-situs ini, para peneliti menemukan bahwa beberapa di antaranya relatif terisolasi, tidak memiliki banyak tautan masuk.

Ini bukan indikasi yang baik tentang keandalan dan kredibilitas situs dan biasanya merupakan indikasi platform scamming yang baru saja disiapkan.

Apalagi, situs SS7 Hack tampaknya disalin dari situs clearnet yang dibuat pada tahun 2021, sehingga terlihat seperti scam.

Halaman pembelian layanan Dark Fox Market
Sumber: Intelijen SOS

Pada platform Dark Fox Market, yang mengenakan biaya $180 untuk setiap nomor telepon yang ditargetkan, para peneliti menemukan video demo yang sama yang diunggah oleh pengguna Rusia di YouTube pada tahun 2016.

Ini kemungkinan besar dicuri dari YouTube dan tidak memiliki relevansi dengan platform Dark Fox Market, yang bagaimanapun juga tidak menawarkan layanan eksploitasi SS7 yang berfungsi.

Terlepas dari semua itu, dengan menganalisis dompet cryptocurrency yang disediakan dari platform ini, SOS Intelligence menemukan bahwa para scammer menghasilkan banyak uang.

Layanan eksploitasi SS7 nyata disembunyikan, hal di atas tidak berarti bahwa tidak ada layanan eksploitasi SS7 di web gelap tetapi yang sebenarnya tersembunyi di balik forum peretasan khusus dan pasar seperti World Market.

Posting WorldMarket menawarkan layanan exploit SS7
Sumber: KELA

Pelaku ancaman yang canggih memiliki akses ke data ponsel melalui afiliasi atau operasi mereka sendiri, sehingga mereka tidak perlu mencari penyedia layanan exploit SS7.

Selengkapnya : Bleeping Computer