Cybersecurity

Microsoft akan memperingatkan pengguna Office 365 tentang aktivitas peretasan negara bangsa

February 9, 2021 by Winnie the Pooh

Microsoft akan segera memberi tahu Office 365 tentang dugaan aktivitas peretasan negara-bangsa yang terdeteksi pada pelanggan mereka sesuai dengan daftar baru di roadmap Microsoft 365 perusahaan.

Pemberitahuan ini akan ditambahkan ke portal keamanan pelanggan untuk memberi mereka permulaan tentang apa yang dianggap Redmond sebagai grup peretasan paling canggih yang saat ini dilacaknya.

Peringatan terkait aktivitas peretasan dengan potensi sidik jari negara-bangsa akan didasarkan pada indikator profil ancaman dan kompromi yang dikumpulkan dan disatukan oleh pakar keamanan Microsoft.

Dukungan untuk fitur “Potential Nation State Activity Alerts” sedang dalam pengembangan dan Microsoft berencana untuk membuatnya tersedia secara umum di seluruh dunia bulan ini di semua lingkungan, untuk semua pengguna Microsoft Defender untuk Office 365 (Office 365 Advanced Threat Protection).

Fitur baru Office 365 ini memungkinkan pelanggan menguji perlindungan email Microsoft Defender tanpa harus mengkonfigurasi lingkungan dan perangkat mereka juga telah ditambahkan ke Office 365 baru-baru ini.

Sumber: Bleeping Computer

Aplikasi Barcode Scanner di Google Play menginfeksi 10 juta pengguna dengan satu pembaruan

February 8, 2021 by Winnie the Pooh

Tim Peneliti dari Malwarebytes merilis artikel mengenai aplikasi Android Barcode Scanner yang ternyata mengandung malware.

Di dalam artikel tersebut mereka mengatakan bahwa sebelumnya beberapa pelanggan melihat iklan yang entah dari mana dibuka melalui browser default mereka. Dan anehnya, tidak seorangpun dari mereka yang baru saja memasang aplikasi baru dan aplikasi mereka hanya diunduh melalui Google Play Store.

Kemudian salah seorang pelanggan dengan username Anon00 menemukan bahwa itu berasal dari aplikasi yang sudah lama terpasang, Barcode Scanner. Sebuah aplikasi yang memiliki 10.000.000+ pemasangan di Google Play Store.

Tim dari Malwarebytes kemudian menambahkan deteksi, dan Google dengan cepat menghapus aplikasi tersebut dari tokonya.

Setelah ditelusuri, ternyata aplikasi tersebut setelah pembaruan pada bulan Desember, telah berubah dari pemindai yang tidak bersalah menjadi pemindai yang penuh dengan malware.

Dalam kasus Barcode Scanner, kode berbahaya telah ditambahkan yang tidak ada pada aplikasi versi sebelumnya. Selain itu, kode yang ditambahkan menggunakan obfuscation untuk menghindari deteksi.

“Sulit untuk mengetahui sudah berapa lama Barcode Scanner berada di Google Play Store sebagai aplikasi yang sah sebelum menjadi berbahaya. Berdasarkan tingginya jumlah penginstalan dan masukan pengguna, kami menduga aplikasi ini sudah ada selama bertahun-tahun”

Menghapus aplikasi dari Google Play Store tidak berarti Barcode Scanner akan dihapus dari perangkat seluler Anda. Jadi, hingga Anda secara manual menghapus aplikasi, Barcode Scanner akan terus menampilkan iklan pada perangkat Anda.

Sumber: Malwarebytes

Fortinet telah memperbaiki kerentanan kritis di SSL VPN dan firewall web

February 8, 2021 by Winnie the Pooh

Fortinet telah memperbaiki beberapa kerentanan parah yang memengaruhi produknya.

Kerentanan berkisar dari Remote Code Execution (RCE) hingga SQL Injection, hingga Denial of Service (DoS) dan berdampak pada produk FortiProxy SSL VPN dan FortiWeb Web Application Firewall (WAF).

Berbagai advisory yang diterbitkan oleh FortiGuard Labs bulan ini dan pada Januari 2021 menyebutkan berbagai kerentanan kritis yang telah ditambal oleh Fortinet pada produk mereka.

Catatan khusus adalah kerentanan CVE-2018-13381 di FortiProxy SSL VPN yang dapat dipicu oleh aktor jarak jauh yang tidak diautentikasi melalui permintaan POST yang dibuat.

Karena buffer overflow di portal SSL VPN FortiProxy, permintaan POST berukuran besar yang dibuat secara khusus, saat diterima oleh produk dapat membuat crash, yang mengarah ke kondisi Denial of Service (DoS).

Demikian pula, CVE-2018-13383 menarik karena penyerang dapat menyalahgunakannya untuk memicu luapan di VPN melalui properti konten HREF JavaScript.

Jika laman web buatan penyerang yang berisi muatan JavaScript diurai oleh FortiProxy SSL VPN, eksekusi kode jarak jauh sangat memungkinkan, sebagai tambahan DoS.

Kerentanan di FortiWeb Web Application Firewall ditemukan dan dilaporkan secara bertanggung jawab oleh peneliti Andrey Medov di Positive Technologies.

“Yang paling berbahaya dari keempat kerentanan ini adalah SQL Injection (CVE-2020-29015) dan Buffer Overflow (CVE-2020-29016) karena eksploitasi mereka tidak memerlukan otorisasi.”

Selengkapnya: Bleeping Computer

Ziggy ransomware menutup bisnis mereka dan melepaskan kunci dekripsi korban

February 8, 2021 by Winnie the Pooh

Operasi ransomware Ziggy telah ditutup dan merilis kunci dekripsi korban setelah kekhawatiran tentang aktivitas penegakan hukum baru-baru ini dan rasa bersalah karena mengenkripsi korban.

Selama akhir pekan, peneliti keamanan M. Shahpasandi mengatakan kepada BleepingComputer bahwa admin Ziggy Ransomware mengumumkan di Telegram bahwa mereka menutup operasi mereka dan akan melepaskan semua kunci dekripsi.

Kemarin, admin ransomware Ziggy memposting file SQL yang berisi 922 kunci dekripsi untuk korban yang dienkripsi. Untuk setiap korban, file SQL mencantumkan tiga kunci yang diperlukan untuk mendekripsi file terenkripsi mereka.

Admin ransomware juga memposting decryptor [VirusTotal] yang dapat digunakan korban dengan kunci yang tercantum dalam file SQL.

Admin ransomware juga membagikan file ini dengan pakar ransomware Michael Gillespie yang memberi tahu BleepingComputer bahwa Emsisoft akan segera merilis decryptor.

Sumber: Bleeping Computer

Serangan phishing baru menggunakan kode Morse untuk menyembunyikan URL berbahaya

February 8, 2021 by Winnie the Pooh

Kampanye phishing bertarget baru menyertakan teknik kebingungan baru menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam lampiran email.

Mulai minggu lalu, pelaku ancaman mulai menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam bentuk phishing mereka untuk melewati gerbang email dan filter email yang aman.

Setelah pertama kali mengetahui serangan ini dari sebuah pos di Reddit, BleepingComputer dapat menemukan banyak contoh serangan yang ditargetkan yang diunggah ke VirusTotal sejak 2 Februari 2021.

Serangan phishing dimulai dengan email yang berpura-pura menjadi faktur untuk perusahaan dengan subjek email seperti ‘Revenue_payment_invoice February_Wednesday 02/03/2021.’

Email ini menyertakan lampiran HTML yang diberi nama sedemikian rupa sehingga tampak seperti faktur Excel untuk perusahaan yang ditargetkan.

Saat melihat lampiran menggunakan text editor, Anda dapat melihat bahwa lampiran tersebut menyertakan JavaScript yang memetakan huruf dan angka ke kode Morse. Misalnya, huruf ‘a’ dipetakan ke ‘.-‘ dan huruf ‘b’ dipetakan menjadi ‘-…’, seperti yang ditunjukkan di bawah ini.

Skrip kemudian memanggil fungsi decodeMorse() untuk mendekode string kode Morse menjadi string heksadesimal. String heksadesimal ini selanjutnya diterjemahkan menjadi tag JavaScript yang dimasukkan ke dalam halaman HTML.

Skrip yang disuntikkan ini digabungkan dengan lampiran HTML berisi berbagai sumber daya yang diperlukan untuk membuat spreadsheet Excel palsu yang menyatakan waktu masuk mereka habis dan meminta mereka memasukkan kata sandi lagi.

Setelah pengguna memasukkan kata sandi, formulir akan mengirimkan kata sandi ke situs jarak jauh tempat penyerang dapat mengumpulkan kredensial login.

Sumber: Bleeping Computer

Versi Ransomware Zeoticus 2.0 yang baru menjalankan muatan tanpa konektivitas atau perintah jarak jauh

February 8, 2021 by Winnie the Pooh

Rilis versi yang lebih fleksibel dan efektif dari ransomware Zeoticus telah menggarisbawahi semakin pentingnya pencegahan serangan, seorang peneliti keamanan menyimpulkan.

Tidak seperti pendahulunya, Zeoticus 2.0 dapat mengeksekusi muatan tanpa konektivitas atau perintah jarak jauh, menurut analisis malware yang dilakukan oleh SentinelOne.

Jenis ransomware, yang pertama kali muncul pada awal 2020, “akan dijalankan sepenuhnya secara offline, tanpa ketergantungan pada C2 (Command & Control)”, tulis Jim Walter, peneliti ancaman senior di vendor keamanan siber, dalam sebuah posting blog.

Sebagian besar peningkatan Zeoticus 2.0 “berfokus pada kecepatan dan efisiensi”, seperti penggunaan algoritme enkripsi cepat, yang mencakup algoritme XChaCha20 simetris dan, di sisi asimetris, Poly1305, XSalsa20, dan Curve25519.

Kumpulan dan permukaan serangan yang dapat dieksploitasi dari target potensial telah meluas juga, dengan malware sekarang dapat menemukan dan menginfeksi drive jarak jauh yang kompatibel dengan semua lini OS Windows dan bahkan mungkin dapat “berjalan di Windows XP dan sebelumnya”.

“Infeksi ransomware aktif semakin sulit dikendalikan, ditahan, dan dimitigasi,” kata Walter. Hal ini membuat pencegahan infeksi “lebih penting daripada sebelumnya mengingat sulitnya pemulihan dari serangan ransomware yang dahsyat”.

Pengguna juga harus dididik tentang metode penyerang dan didorong untuk melaporkan aktivitas yang mencurigakan, lanjut peneliti.

Sumber: The Daily Swig

Pengguna Chrome menghadapi 3 masalah keamanan selama 24 jam terakhir

February 8, 2021 by Winnie the Pooh

Pengguna browser Google Chrome telah menghadapi tiga masalah keamanan selama 24 jam terakhir dalam bentuk ekstensi jahat dengan lebih dari 2 juta pengguna, zero-day yang baru saja diperbaiki, dan informasi baru tentang bagaimana malware dapat menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall.

Pertama, Great Suspender, sebuah ekstensi dengan lebih dari 2 juta unduhan dari Toko Web Chrome, telah ditarik dari server Google dan dihapus dari komputer pengguna.

Seperti yang dilaporkan di utas GitHub pada bulan November, pengembang ekstensi asli menjual Great Suspender pada Juni lalu, dan mulai menunjukkan tanda-tanda kejahatab di bawah kepemilikan baru. Secara khusus, kata utas, versi baru berisi kode berbahaya yang melacak pengguna dan memanipulasi permintaan Web.

Selanjutnya, Google pada hari Kamis merilis pembaruan Chrome yang memperbaiki kerentanan zero-day. Dilacak sebagai CVE-2021-21148, kerentanan ini berasal dari bug buffer overflow di V8, mesin JavaScript open source Google. Google menetapkan tingkat keparahannya sebagai “tinggi”.

Namun, dalam sebuah posting yang diterbitkan oleh firma keamanan Tenable, para peneliti mencatat bahwa kerentanan itu dilaporkan ke Google pada 24 Januari, satu hari sebelum kelompok analisis ancaman Google mengeluarkan laporan bahwa peretas yang disponsori oleh negara-bangsa menggunakan situs web jahat untuk menginfeksi peneliti keamanan dengan malware.

Terakhir, seorang peneliti keamanan melaporkan pada hari Kamis bahwa peretas menggunakan malware yang menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall sehingga malware dapat terhubung ke server perintah dan kontrol.

Sinkronisasi memungkinkan pengguna untuk berbagi bookmark, tab browser, ekstensi, dan sandi di berbagai perangkat yang menjalankan Chrome.

Seorang juru bicara Google mengatakan bahwa pengembang tidak akan mengubah fitur sinkronisasi karena serangan lokal secara fisik (artinya serangan yang melibatkan penyerang yang memiliki akses ke komputer) secara eksplisit berada di luar model ancaman Chrome.

Sumber: Ars Technica

Google menghapus X-Mode SDK dari Play Store-nya

February 6, 2021 by Winnie the Pooh

Google pada hari Jumat menghapus 25 aplikasi Android dari Google Play Store setelah luput untuk menghapusnya selama pembersihan sebelumnya. Aplikasi tersebut berisi X-Mode SDK yang sebelumnya dilarang oleh Pabrik Cokelat karena menjual data lokasi.

SDK mengumpulkan data lokasi yang X-Mode, broker data berbasis di Reston, Virginia, kemudian menjualnya ke pihak ketiga.

Pada awal Desember, Google dan Apple memberi pengembang aplikasi seluler masing-masing tujuh hari dan dua minggu untuk membuang X-Mode SDK, library perangkat lunak yang telah diintegrasikan oleh pengembang ke dalam aplikasi mereka dengan imbalan pembayaran – “$ 10K atau lebih sebulan,” klaim bisnis data.

X-Mode menyatakan bahwa mereka tidak mengumpulkan informasi yang dapat diidentifikasi secara pribadi seperti nama atau alamat email, meskipun data lokasi dapat membantu mengidentifikasi seseorang.

Mereka menjanjikan “kepatuhan privasi otomatis” dengan California Consumer Privacy Act dan undang-undang GDPR Eropa, yang tampaknya tidak mempengaruhi Apple atau Google untuk melarang teknologi tersebut.

Selengkapnya: The Register

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings