Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Penipu mencuri lebih dari $500.000 menggunakan Google Ads untuk dompet kripto palsu

by

Analis keamanan di Check Point Research melaporkan bahwa scammers telah menipu lebih dari $500.000 dalam cryptocurrency hanya dalam beberapa hari selama akhir pekan.

Scammer merancang Google Ads agar terlihat layaknya situs web dompet resmi seperti Phantom App atau MetaMask. Para peneliti bahkan melihat penipuan yang meniru pertukaran crypto seperti Pancake Swap. Karena ini adalah iklan, mereka muncul di atas hasil pencarian yang sebenarnya, jadi mereka adalah hal pertama yang dilihat korban dan sangat meyakinkan dalam penampilan.

Mengklik iklan akan membawa pengguna ke laman web yang dirancang seperti situs web resmi. Pengguna diminta untuk masuk kemudian mereka mencuri kredensial untuk digunakan scammer nanti. Apa yang lebih berbahaya adalah korban disajikan dengan frasa sandi ke akun yang dikontrol penyerang saat membuat dompet baru. Dengan kata lain, titipan langsung masuk ke tangan pelaku tanpa harus berbuat apa-apa.

Sementara hasil pencarian dan halaman web mungkin terlihat cukup asli, URL memberikan penipuan. Misalnya, CPR mengatakan melihat beberapa varian untuk domain phantom.app, termasuk phanton.app, phantonn.app, dan bahkan phantonn.pw. URL jelas salah, tetapi beberapa orang mungkin tidak menyadarinya.

“Dalam hitungan hari, kami menyaksikan pencurian kripto senilai ratusan ribu dolar,” kata Kepala Riset Kerentanan Produk Check Point, Oded Vanunu. “Kami memperkirakan bahwa cyrpto senilai lebih dari $500 ribu telah dicuri akhir pekan lalu saja. Saya yakin kita sedang menghadapi tren kejahatan dunia maya baru, di mana scammer akan menggunakan Google Penelusuran sebagai vektor serangan utama untuk mencapai dompet kripto, alih-alih secara tradisional phishing melalui email.”

Beberapa grup scammer telah mengajukan bid dengan Google Ads untuk kata kunci yang terkait dengan cryptocurrency. Check Point yakin ini menunjukkan bahwa metode tersebut telah terbukti cukup efektif untuk investasi lebih lanjut.

Kuncinya di sini adalah sangat berhati-hati dan waspada ketika berhadapan dengan dompet kripto. Scammers sudah menempatkan iklan palsu untuk lembaga perbankan tradisional seperti Wells Fargo, jadi mengapa tidak untuk crypto.

Lewati Google Ads di hasil pencarian Anda. Gunakan pemblokir iklan seperti AdGuard atau gulir ke bawah ke tempat hasil sebenarnya dimulai. Perhatikan URL-nya, dan pastikan URL tersebut tidak dibuat dengan kesalahan ejaan yang cerdik seperti phantum.app, dan ketahui ekstensi Anda. Domain MetaMask adalah metamask.io. Pergi ke hasil seperti metamask.com kemungkinan akan membawa Anda ke scam.

Selengkapnya : Tech Spot

Raksasa Cyber McAfee Dijual ke Grup Investor Dalam Kesepakatan $ 14 Miliar

by

McAfee (NASDAQ: MCFE), raksasa keamanan siber yang diperdagangkan secara publik, sekali lagi menjadi private. McAfee telah dijual ke kelompok investor yang akan melepasnya dari pasar publik dalam kesepakatan senilai lebih dari $ 14 miliar.

Kelompok investor termasuk dana ekuitas swasta Advent International, Permira, Crosspoint Capital Partners dan firma investasi Canada Pension Plan Investment Board, GIC Private Limited, dan Abu Dhabi Investment Authority.

Sangat mudah untuk melihat mengapa McAfee menjadi target akuisisi yang baik untuk grup investor; puluhan juta konsumen menggunakan perangkat lunak keamanan siber McAfee secara global dan membayar biaya bulanan atau tahunan berulang untuk mempertahankan penggunaannya. Sumber pendapatan yang stabil dan teratur ini adalah jenis hal yang disukai oleh para penggerak uang.

McAfee didirikan lebih dari tiga dekade lalu oleh mendiang pengusaha John McAfee, yang menjual lebih awal dari perusahaan dan mempertaruhkan kekayaannya menjadi serangkaian hal liar dan kontroversial. Dia meninggal tahun lalu dalam kasus bunuh diri di tahanan Spanyol sambil menunggu ekstradisi ke AS untuk menghadapi tuduhan penipuan pajak.

Ini adalah kedua kalinya McAfee dipindahkan dari pasar publik ke tangan swasta. Yang pertama adalah pada tahun 2011 ketika raksasa teknologi Intel membayar hampir $8 miliar bagi perusahaan untuk meningkatkan bisnis keamanannya. Intel kemudian menjual saham mayoritas di McAfee ke perusahaan PE TPG Capital pada 2017, yang membawa bisnis tersebut ke publik tahun lalu. Sekarang sudah dijual lagi.

Selengkapnya: The Techee

Pembaruan Windows 10 KB5007186 & KB5007189 dirilis

by

Pembaruan baru sekarang tersedia untuk Windows 10 versi 2004, versi 20H2 dan versi 21H1. Sesuai catatan rilis resmi, Microsoft telah menerbitkan pembaruan kumulatif KB5007186 dan KB5007189.

Pembaruan kumulatif bulan ini tampaknya mencakup perbaikan keamanan untuk Pembaruan Mei 2021 (versi 21H1), Pembaruan Oktober 2020 (versi 20H2), dan Pembaruan Mei 2020 (versi 2004). Ini juga merupakan pembaruan keamanan terakhir kedua untuk versi 2004, yang akan mencapai akhir layanan pada bulan Desember.

Pembaruan sekarang diluncurkan melalui Pembaruan Windows, WSUS, dan Katalog Pembaruan Microsoft dengan banyak perbaikan bug dan peningkatan kinerja.

Microsoft telah mengatasi beberapa bug dengan pembaruan kumulatif ini untuk Windows 10 versi 2004 atau lebih baru. Pembaruan kumulatif ini mengatasi masalah yang memengaruhi subtitle di video dan platform streaming tertentu. Berikut daftar perubahan utama:

  • Memperbarui masalah masalah yang mungkin mencegah subtitle ditampilkan untuk aplikasi video tertentu dan situs video streaming.
  • Memperbarui masalah yang mencegah pengguna mode input Kana memasukkan tanda tanya (?) menggunakan kombinasi tombol Shift-0.
  • Memperbarui masalah yang terkadang menyebabkan latar belakang layar kunci Anda tampak hitam jika Anda telah mengatur tampilan slide gambar sebagai latar belakang layar kunci Anda.

Seperti setiap Patch Tuesday, Anda dapat memeriksa dan menginstal pembaruan baru dengan membuka Pengaturan, mengklik Pembaruan Windows, dan memilih ‘Periksa Pembaruan’ untuk menginstal pembaruan.

Selengkapnya: Bleeping Computer

Microsoft Patch Tuesday Bulan November Memperbaiki 6 zero-day, 55 Kerentanan

by

Hari ini adalah Patch Tuesday bulan November 2021 Microsoft, dan dengan itu datang perbaikan untuk enam kerentanan zero-day dan total 55 kelemahan. Kerentanan yang dieksploitasi secara aktif adalah untuk Microsoft Exchange dan Excel, dengan Exchange zero-day digunakan sebagai bagian dari kontes peretasan Tianfu.

Microsoft telah memperbaiki 55 kerentanan dengan pembaruan hari ini, dengan enam diklasifikasikan sebagai Kritis dan 49 sebagai Penting. Jumlah setiap jenis kerentanan tercantum di bawah ini:

  • 20 Kerentanan Peningkatan Hak Istimewa
  • 2 Kerentanan Bypass Fitur Keamanan
  • 15 Kerentanan Eksekusi Kode Jarak Jauh
  • 10 Kerentanan Pengungkapan Informasi
  • 3 Kerentanan Denial of Service
  • 4 Kerentanan spoofing

Patch Tuesday November mencakup perbaikan untuk enam kerentanan zero-day, dua dieksploitasi secara aktif terhadap Microsoft Exchange dan Microsoft Excel.

Kerentanan yang dieksploitasi secara aktif dan telah diperbaiki bulan ini adalah:

  • CVE-2021-42292 – Kerentanan Bypass Fitur Keamanan Microsoft Excel
  • CVE-2021-42321 – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server

Microsoft juga memperbaiki empat kerentanan lain yang diungkapkan kepada publik yang tidak diketahui dapat dieksploitasi dalam serangan.

  • CVE-2021-38631 – Kerentanan Pengungkapan Informasi Protokol Desktop Jarak Jauh (RDP) Windows
  • CVE-2021-41371 – Kerentanan Pengungkapan Informasi Protokol Desktop Jarak Jauh (RDP) Windows
  • CVE-2021-43208 – Kerentanan Eksekusi Kode Jarak Jauh 3D Viewer

Kerentanan Microsoft Exchange CVE-2021-42321 adalah bug eksekusi kode jarak jauh yang diautentikasi yang digunakan sebagai bagian dari kontes peretasan Piala Tianfu bulan lalu.

Namun, kerentanan Microsoft Excel CVE-2021-42292 ditemukan oleh Microsoft Threat Intelligence Center dan telah digunakan secara aktif dalam serangan berbahaya.

System Admin sangat dianjurkan untuk menerapkan pembaruan sesegera mungkin.

Selengkapnya: Bleeping Computer

Serangan phishing lebih sulit dikenali di ponsel cerdas Anda. Itu sebabnya peretas lebih sering menggunakannya

by

Terjadi lonjakan serangan phishing seluler yang menargetkan sektor energi karena penyerang dunia maya mencoba membobol jaringan yang digunakan untuk menyediakan layanan termasuk listrik dan gas.

Keinginan untuk membobol jaringan ini telah menghasilkan peningkatan tajam dalam serangan phishing terhadap sektor energi, khususnya serangan siber yang menargetkan perangkat seluler, demikian peringatan sebuah laporan oleh peneliti keamanan siber di Lookout.

Menurut laporan tersebut, telah terjadi peningkatan 161% dalam serangan phishing seluler yang menargetkan sektor energi sejak paruh kedua tahun lalu. Serangan yang menargetkan organisasi energi mencapai 17% dari semua serangan seluler secara global – menjadikannya sektor yang paling ditargetkan, di depan keuangan, pemerintah, farmasi, dan manufaktur.

Kerja jarak jauh telah meningkat pesat selama 18 bulan terakhir. Dan sementara peningkatan kerja seluler memungkinkan bisnis untuk terus beroperasi, peningkatan penggunaan perangkat pribadi dan kerja jarak jauh juga meningkatkan risiko keamanan – menurut Lookout, 41% perangkat seluler di industri energi tidak dikelola oleh pemberi kerja.

Situasi itu dapat menempatkan pengguna pada risiko serangan siber termasuk phishing dan malware yang dapat digunakan untuk membantu mendapatkan akses ke jaringan yang lebih luas.

Menyesuaikan email phishing ke perangkat seluler dapat membuatnya lebih sulit dikenali karena layar yang lebih kecil memberikan lebih sedikit kesempatan untuk memeriksa ulang bahwa tautan dalam email adalah sah, sementara ponsel cerdas dan tablet mungkin tidak diamankan secara menyeluruh seperti laptop dan PC desktop, memberikan penyerang kesempatan untuk mengkompromikan jaringan.

Selengkapnya: ZDNet

Dugaan Peretasan Rusia dari Penyedia Layanan Microsoft Menyoroti Cacat Keamanan Siber

by

Pakar keamanan siber mengatakan pengungkapan Microsoft baru-baru ini bahwa peretas Rusia yang diduga berhasil menyerang beberapa penyedia layanan TI tahun ini adalah tanda bahwa banyak perusahaan TI A.S. kurang berinvestasi dalam langkah-langkah keamanan yang diperlukan untuk melindungi diri dan pelanggan mereka dari gangguan.

Tetapi asosiasi profesional TI yang berbasis di AS mengatakan upaya industri untuk memerangi serangan peretasan asing terhambat oleh pelanggan mereka yang tidak mempraktikkan kebiasaan dunia maya yang baik dan oleh pemerintah federal yang tidak cukup bertindak untuk menghukum dan menghalangi para peretas.

Dalam posting blog 24 Oktober, Microsoft mengatakan kelompok peretas negara-bangsa Rusia yang disebut Nobelium menghabiskan tiga bulan menyerang perusahaan yang menjual kembali, menyesuaikan dan mengelola layanan cloud Microsoft dan teknologi digital lainnya untuk pelanggan publik dan pribadi.

Microsoft mengatakan telah memberi tahu 609 perusahaan tersebut, yang dikenal sebagai penyedia layanan terkelola, atau MSP, bahwa mereka telah diserang 22.868 kali oleh Nobelium dari 1 Juli hingga 19 Oktober tahun ini.

Nobelium adalah kelompok yang sama yang dikatakan Microsoft bertanggung jawab atas serangan siber tahun lalu terhadap perusahaan perangkat lunak AS, SolarWinds. Serangan itu melibatkan penyisipan kode berbahaya ke dalam sistem pemantauan kinerja TI SolarWinds, Orion, dan memberi para peretas akses ke jaringan ribuan organisasi publik dan swasta AS yang menggunakan Orion untuk mengelola sumber daya TI mereka.

Salah satu praktik keamanan siber yang harus diadopsi lebih banyak oleh MSP adalah berbagi informasi dengan pihak berwenang AS tentang insiden peretasan, kata James Curtis, direktur program keamanan siber di Webster University di Missouri, dalam percakapan dengan Layanan Rusia VOA.

Curtis, pensiunan perwira cyber Angkatan Udara AS dan mantan eksekutif industri TI, mengatakan MSP tidak suka mengakui bahwa mereka telah diretas.

Namun Charles Weaver, kepala eksekutif Asosiasi Penyedia Layanan Cloud dan Terkelola Internasional yang berbasis di AS, juga dikenal sebagai MSPAlliance, mengatakan bahwa kritik terhadap MSP karena tidak memberikan perhatian yang cukup pada keamanan siber adalah salah tempat.

“MSP telah mendesak pelanggan mereka untuk melakukan perbaikan yang mudah dan murah seperti mengadopsi otentikasi multifaktor untuk mencadangkan data mereka ke cloud,” kata Weaver. “Tapi saya pribadi telah menyaksikan banyak ketidaksesuaian di antara pelanggan. Merekalah yang pada akhirnya harus membayar dan mengizinkan MSP untuk menerapkan perbaikan tersebut.”

Selengkapnya: VOA

Mobile Phishing di Sektor Energi Melonjak 161%

by Leave a Comment

Serangan phishing seluler yang menargetkan karyawan di industri energi telah meningkat 161% dibandingkan data tahun lalu (H2 2020), dan trennya tidak menunjukkan tanda-tanda melambat.

Meskipun bahaya perangkat usang dan rentan mengganggu semua sektor, sebuah laporan baru oleh perusahaan keamanan siber Lookout menunjukkan bahwa energi adalah yang paling ditargetkan, diikuti oleh keuangan, farmasi, pemerintah, dan manufaktur.

Dalam hal penargetan geografis, Asia-Pasifik menempati urutan teratas, diikuti oleh Eropa dan kemudian Amerika Utara. Namun, ada tren peningkatan serangan phishing yang menargetkan industri energi global di seluruh dunia.

Mobile phishing juga melonjak pada paruh pertama tahun 2021, dengan hampir 20% dari semua karyawan di sektor energi menjadi sasaran serangan mobile phishing, yang mengarah ke peningkatan 161% selama enam bulan sebelumnya.

Panen kredensial lewat VPN

Dengan begitu banyak orang yang bekerja dari rumah karena pandemi COVID-19, banyak karyawan menggunakan VPN untuk mengakses jaringan perusahaan. Sayangnya, akses jarak jauh ke jaringan perusahaan ini menjadi target yang menarik bagi pelaku ancaman, yang menggunakan phishing untuk mencuri kredensial VPN atau kredensial domain.

Untuk melakukan kampanye ini, penyerang menggunakan email, SMS, aplikasi phishing, dan halaman login di situs perusahaan palsu.

Sumber: Lookout

Kredensial ini memungkinkan mereka untuk mendapatkan akses ke jaringan internal, yang kemudian dapat digunakan untuk gerakan lateral lebih lanjut dan menemukan titik pivot tambahan.

Dari sana, mereka dapat menemukan sistem yang rentan dan meluncurkan serangan terhadap sistem kontrol industri yang biasanya memuat kelemahan yang tak ditemukan selama bertahun-tahun.

Permasalahan Android

Menurut laporan dari Lookout, permukaan serangan paling signifikan berasal dari 56% pengguna Android yang menjalankan versi OS yang kedaluwarsa dan rentan.

“Versi lama sistem operasi Google dan Apple masih digunakan di seluruh industri energi. Versi lama memaparkan organisasi pada ratusan kerentanan yang dapat dieksploitasi oleh pelaku jahat yang mencari akses ke lingkungan organisasi,” jelas laporan dari Lookout.

Tepat setahun setelah Android 11 dirilis, telemetri Lookout menunjukkan bahwa hanya 44,1% perangkat Android aktif yang menggunakannya.

Sumber: Lookout

Sebaliknya, iPhone lebih kurang rentan terhadap eksploitasi, karena sebagian besar pengguna iOS menjalankan versi terbaru.

Riskware >>> Malware

Aplikasi yang meminta izin dan mengakses data sensitif pada perangkat sekarang menjadi masalah yang lebih besar daripada malware “murni”, karena jauh lebih mudah untuk melewati pemeriksaan appstore.

Banyak dari aplikasi ini terhubung ke server yang tidak jelas dan mengirim berbagai jenis data yang tidak relevan dengan fungsi intinya tetapi masih merupakan risiko besar bagi pengguna dan organisasi tempatnya bekerja.

Spyware, keyloggers, trojan, dan bahkan ransomware dropper tetap menjadi masalah, tetapi lebih mungkin digunakan dalam serangan yang sangat tertarget, sehingga volume distribusinya secara signifikan lebih kecil.

Dengan demikian, pelatihan karyawan sangat penting dalam meminimalkan penyimpangan keamanan, karena faktor manusia tetap menjadi risiko terbesar untuk menginstal riskware dan mengklik/mengetuk tautan yang mencurigakan.

Lookout melaporkan bahwa satu sesi pelatihan anti-phishing menghasilkan klik 50% lebih sedikit ke tautan phishing selama 12 bulan ke depan.

Sumber: Bleepingcomputer

Mekotio Versi Lebih Tersembunyi Terlihat di Alam Bebas

by Leave a Comment

Trojan perbankan versi baru Mekotio sedang digunakan di alam bebas. Analis malware melaporkan bahwa itu menggunakan aliran infeksi baru yang lebih tersembunyi.

Aktivitas penting terakhir dari Mekotio dimulai pada musim panas 2020 ketika operator trojan menyebarkannya dalam kampanye yang menargetkan negara-negara Amerika Latin.

Aliran serangan baru

Infeksi dimulai dengan email phishing (berupa paket lampiran ZIP yang berisi skrip batch yang gak jelas) yang menjalankan skrip PowerShell.

Setelah skrip PowerShell masuk, skrip akan mengunduh arsip ZIP kedua setelah beberapa lokasi dasar dan pemeriksaan anti-analisis.

Jika pemeriksaan mengkonfirmasi korban berada di Amerika Latin dan malware tidak berjalan di mesin virtual, ZIP kedua yang berisi muatan Mekotio dalam bentuk DLL akan diekstraksi.

Sumber: CheckPoint

Alur serangan multi-langkah seperti di atas mungkin tampak tidak perlu rumit, tetapi mereka diperlukan untuk menghindari deteksi dan berhasil menyebarkan muatan akhir.

Salah satu keuntungan dari serangan modular adalah kemampuan tambahan untuk membuat perubahan halus yang membuat metode deteksi sebelumnya tidak berguna.

Inilah yang terjadi dalam pengembangan Mekotio, karena kode trojan sebagian besar tetap tidak berubah, dengan pembuatnya sebagian besar mengubah banyak hal daripada menambahkan kemampuan baru.

Sumber: CheckPoint

Kode lama dalam bungkus baru

Tiga elemen baru yang membuat versi Mekotio terbaru lebih sulit dideteksi adalah sebagai berikut:

  • File batch yang lebih tersembunyi dengan setidaknya dua lapisan kebingungan
  • Skrip PowerShell tanpa file baru yang berjalan langsung di memori
  • Penggunaan Themida v3 untuk mengemas muatan DLL akhir

Tujuan utama trojan tidak lain untuk mencuri kredensial e-banking dan kata sandi akun orang-orang.

Beberapa varian Mekotio sebelumnya juga dapat membajak pembayaran cryptocurrency dan mengarahkannya ke dompet yang dikendalikan aktor, tetapi versi terbaru telah menghapus fungsi ini.

Tahun lalu, ESET menandai trojan khusus ini “kacau” karena pengembangan bersamaan yang menghasilkan sirkulasi bersamaan untuk setiap variannya.

Aktivitas itu kini telah berkurang, dan aktivitas terbaru menggunakan varian yang dianalisis oleh CheckPoint.

Sumber: Bleepingcomputer