Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Framework Otomatis Malware TgToxic Menargetkan Pengguna Android di Asia Tenggara

by

Trend Micro melihat kampanye malware yang sedang berlangsung, mereka menyebutnya sebagai TgToxic, menargetkan pengguna ponsel Android di Taiwan, Thailand, dan Indonesia sejak Juli 2022.

Malware tersebut mencuri kredensial dan aset pengguna seperti mata uang kripto dari dompet digital, serta uang dari aplikasi bank dan keuangan.

Aktor ancaman menyalahgunakan kerangka uji Easyclick yang sah untuk menulis skrip otomatisasi berbasis Javascript untuk fungsi seperti klik dan gerakan.

Tujuan kampanye berkelanjutan yang menargetkan pengguna Android adalah untuk mencuri aset korban dari aplikasi keuangan dan perbankan, melalui trojan perbankan yang kami beri nama TgToxic yang disematkan di beberapa aplikasi palsu.

Trend Micro mengamati aktivitas penipuan dan umpan phising. Pihaknya menemukan kampanye phishing media sosial dan infrastruktur jaringan yang menargetkan Taiwan, Indonesia, dan Thailand serupa. Malware tersebut tidak canggih tapi menarik.

Penyalahgunaan kerangka otomatisasi yang sah seperti Easyclick dan Autojs dapat mempermudah pengembangan malware canggih, terutama untuk trojan perbankan Android yang dapat menyalahgunakan layanan Aksesibilitas.

Selengkapnya: Trend Micro

Kerangka Kerja Otomatis Malware TgToxic Menargetkan Pengguna Android di Asia Tenggara

by

Peneliti menganalisis kampanye berkelanjutan yang menargetkan pengguna Android di Asia Tenggara sejak Juli 2022.

Tujuannya adalah untuk mencuri aset korban dari aplikasi keuangan dan perbankan (seperti dompet mata uang kripto, kredensial untuk aplikasi bank resmi di ponsel, dan uang di deposito) , melalui trojan perbankan yang kami beri nama TgToxic (terdeteksi oleh Trend Micro sebagai AndroidOS_TgToxic berdasarkan nama file terenkripsi khusus) yang disematkan di beberapa aplikasi palsu.

Sementara sebelumnya menargetkan pengguna di Taiwan, kami mengamati aktivitas penipuan dan umpan phishing yang menargetkan pengguna dari Thailand dan Indonesia pada tulisan ini.

Pengguna disarankan untuk berhati-hati dalam membuka tautan tertanam dari pengirim email dan pesan yang tidak dikenal, dan untuk menghindari mengunduh aplikasi dari platform pihak ketiga.

Pada Juli 2022, kami menemukan dua akun Facebook yang berpotensi diretas mengiklankan pesan scam di beberapa grup komunitas Taiwan yang mengklaim bahwa pengguna dapat memperoleh uang saku untuk bantuan korban badai, banjir, dan COVID.

Postingan tersebut menyebutkan bahwa pengguna dapat mendaftar di link download.tw1988[.] untuk melamar, yang sebenarnya adalah situs phishing.

Tanpa disadari pengguna bisa saja menjadi korban karena tautan yang disamarkan sebagai situs web resmi pemerintah https://1988.taiwan.gov.tw/ digunakan untuk memberikan tunjangan bagi orang-orang dalam situasi sulit.

Selengkapnya: Trend Micro

Jaksa Agung New York memerintahkan pembuat Stalkerware memberitahu Korban yang Diretas

by

Pembuat spyware yang berbasis di New York telah setuju untuk memberi tahu individu yang ponselnya disusupi oleh perangkat lunak pengawasan selulernya, menyusul kesepakatan dengan kantor jaksa agung New York yang diumumkan Kamis.

Berdasarkan perjanjian tersebut, Patrick Hinchy, yang 16 perusahaannya mempromosikan aplikasi seperti PhoneSpector dan Highster, juga akan membayar denda sipil sebesar $410.000 karena secara ilegal mempromosikan perangkat lunak pengawasan seluler yang memungkinkan pelanggannya memata-matai ponsel orang lain tanpa sepengetahuan mereka.

Aplikasi yang dijual oleh Hinchy memungkinkan pelanggannya untuk memantau ponsel korban secara diam-diam dan mengakses data perangkat mereka, termasuk pesan teks dan email, foto, riwayat penelusuran, dan data lokasi yang tepat.

Hinchy menggunakan konsorsium perusahaannya untuk “secara agresif mempromosikan” aplikasi penguntitnya. Kantor James juga menuduh perusahaan Hinchy gagal mengungkapkan bahwa pelanggan harus melakukan jailbreak perangkat korban sebelum mereka dapat menanam stalkerware.

Belum diketahui pasti berapa banyak pengguna yang terjerat oleh PhoneSpector, Highster, dan aplikasi stalkerware lainnya.

Selengkapnya: Tech Crunchh

India memulai proses untuk melarang 138 aplikasi taruhan, 94 aplikasi pinjaman dengan tautan China

by

Pemerintah telah memulai proses untuk melarang 138 aplikasi taruhan dan 94 aplikasi pinjaman pinjaman dengan tautan China secara “mendesak” dan “darurat”, News18 melaporkan pada hari Minggu. Sumber mengatakan tindakan itu dimulai atas rekomendasi Kementerian Dalam Negeri tentang ‘pemblokiran darurat’ aplikasi ini.

Ini datang sebagai tindakan keras besar-besaran pada aplikasi pinjaman-pinjaman. Masalah tersebut mengacu pada pemerasan dan pelecehan terhadap publik yang telah memanfaatkan pinjaman dalam jumlah kecil melalui aplikasi seluler yang dijalankan oleh entitas/orang tersebut.

Hampir semua aplikasi ini dilaporkan merupakan gagasan warga negara China yang mempekerjakan orang India dan menjadikan mereka direktur dalam operasi tersebut. “Setelah memikat orang-orang yang putus asa untuk mengambil pinjaman, mereka mendongkrak bunga hingga 3.000 persen per tahun,” kata laporan itu.

Ketika debitur tidak dapat membayar bunga, apalagi seluruh pinjaman, individu yang mewakili aplikasi ini mulai melecehkan mereka yang berhutang. Mereka mengirimi mereka pesan cabul, mengancam akan merilis foto morphed mereka dan mempermalukan mereka dengan pesan ke kontak mereka.
Masalah ini menjadi sorotan setelah serentetan kasus bunuh diri, terutama di Andhra Pradesh dan Telangana, oleh mereka yang memilih pinjaman semacam itu atau kehilangan uang karena aplikasi taruhan.

“Aplikasi ini, yang sering menampilkan perilaku predator untuk menjebak individu dalam utang besar, juga dapat disalahgunakan sebagai alat spionase dan propaganda, selain menimbulkan risiko keamanan terhadap data warga India,” kata sumber kepada News 18.

Negara-negara seperti Telangana, Odisha dan Uttar Pradesh serta badan intelijen pusat kemudian meminta kementerian dalam negeri Union untuk mengambil tindakan terhadap aplikasi ini, kata sumber.

Selengkapnya: CNBC TV 18

Apakah kita tidak belajar apa-apa dari serangan rantai pasokan SolarWinds? Belum muncul

by

Peretasan perangkat lunak SolarWinds lebih dari dua tahun lalu mendorong ancaman serangan rantai pasokan perangkat lunak ke depan percakapan keamanan, tetapi apakah ada yang dilakukan?.

Dalam hitungan hari minggu ini, setidaknya empat upaya berbeda untuk menopang keamanan rantai pasokan diumumkan, contoh bagaimana risiko seperti itu menjadi perhatian utama dan dorongan dari vendor dan pengembang untuk menguranginya.

Ancaman semakin berkembang. Gartner memperkirakan bahwa pada tahun 2025, 45 persen organisasi secara global akan mengalami serangan rantai pasokan perangkat lunak, lompatan tiga kali lipat dari tahun 2021. Tidak mengherankan, menurut Neatsun Ziv, CEO startup Ox Security yang sedang membangun MITRE ATT&CK- seperti kerangka kerja bagi perusahaan untuk memeriksa rantai pasokan perangkat lunak.

“Serangan semacam ini menjadi super, sangat menguntungkan hanya karena [serangan] yang bisa Anda dapatkan dari satu senjata tidak sebanding dengan apa pun yang Anda lihat di industri ini,” kata Ziv kepada The Register.

Seperti serangan SolarWinds, penjahat dapat menyuntikkan kode berbahaya ke dalam perangkat lunak sebelum perangkat lunak yang disusupi dikirim ke pelanggan dan membahayakan sistem tersebut. Organisasi tampaknya lambat dalam mengejar ini.

Baru-baru ini, penyerang telah menargetkan repositori kode seperti GitHub dan PyPI dan perusahaan seperti penyedia platform CI/CD CircleCI, sebuah insiden yang memperluas definisi serangan rantai pasokan, menurut Matt Rose, bidang CISO untuk vendor keamanan siber ReversingLabs.

“Apa yang diilustrasikan oleh insiden CircleCI adalah bahwa organisasi tidak hanya harus khawatir tentang malware yang disuntikkan ke dalam objek yang dikompilasi atau dapat dikirimkan, tetapi juga alat yang digunakan untuk membangunnya,” tulis Rose dalam posting blog. “Itulah mengapa peretasan CircleCI membuka mata banyak organisasi di luar sana.”

Selengkapnya: The Register

Versi Linux dari Royal Ransomware menargetkan server VMware ESXi

by

Royal Ransomware adalah operasi ransomware terbaru untuk menambahkan dukungan untuk mengenkripsi perangkat Linux ke varian malware terbarunya, yang secara khusus menargetkan mesin virtual VMware ESXi.

BleepingComputer telah melaporkan tentang enkripsi ransomware Linux serupa yang dirilis oleh beberapa geng lain, termasuk Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, dan Hive.

Varian Linux Royal Ransomware baru ditemukan oleh Will Thomas dari Pusat Analisis Ancaman Equinix (ETAC), dan dijalankan menggunakan baris perintah.

Itu juga dilengkapi dengan dukungan untuk beberapa tanda yang akan memberi operator ransomware kendali atas proses enkripsi:

  • -stopvm > menghentikan semua VM yang sedang berjalan agar dapat dienkripsi
  • -vmonly – Hanya mengenkripsi mesin virtual
  • -fork – tidak diketahui
  • -log – tidak diketahui
  • -id: id harus 32 karakter

Saat mengenkripsi file, ransomware akan menambahkan ekstensi .royal_u ke semua file terenkripsi di VM.

Sementara solusi anti-malware memiliki masalah dalam mendeteksi sampel Royal Ransomware yang menggabungkan kemampuan penargetan baru, mereka sekarang terdeteksi oleh 23 dari 62 mesin pemindai malware di VirusTotal.

Royal Ransomware adalah operasi pribadi yang terdiri dari pelaku ancaman berpengalaman yang sebelumnya bekerja dengan operasi ransomware Conti

Mulai bulan September, Royal meningkatkan aktivitas jahat beberapa bulan setelah pertama kali ditemukan pada Januari 2022.

Meskipun awalnya mereka menggunakan enkripsi dari operasi lain, seperti BlackCat, mereka beralih menggunakan enkripsi mereka sendiri, dimulai dengan Zeon yang menjatuhkan catatan tebusan yang serupa dengan yang dihasilkan oleh Conti.

Pada pertengahan September, grup tersebut berganti nama menjadi “Royal” dan mulai menggunakan enkripsi baru dalam serangan yang menghasilkan catatan tebusan dengan nama yang sama.

Geng tersebut menuntut pembayaran tebusan mulai dari $250.000 hingga puluhan juta setelah mengenkripsi sistem jaringan perusahaan target mereka.

Selengkapnya: Bleeping Computer

Cybercrime adalah ekonomi terbesar ketiga di dunia berkat booming pasar gelap

by

Cybercrime telah tumbuh menjadi ekonomi terbesar ketiga di dunia setelah AS dan China, menurut World Economic Forum (WEF). Berdasarkan data dari Cybersecurity Ventures, diproyeksikan akan menelan biaya $8 triliun dunia pada tahun 2023 dan $10,5 triliun pada tahun 2025.

Siapa pun dapat membeli akses ke jaringan dan ransomware secara online, yang merupakan salah satu pendorong utama pertumbuhan ini, kata Gordon kepada Cybernews dalam sebuah wawancara. Pelaku ancaman tidak memerlukan keterampilan teknis untuk meluncurkan serangan siber atau ransomware yang canggih, katanya.

“Ada lebih banyak pemain dalam game karena semua alat ini sudah tersedia, jadi Anda tidak perlu melakukan apa pun,” kata Gordon.

Pembayaran tebusan ransomware rata-rata telah mencapai $800.000, menurut penelitian Sophos tahun lalu. Laporan terbaru dari Nozomi memperingatkan bahwa asuransi siber bisa menjadi salah satu penyebabnya.

Penjahat dunia maya juga siap mengeksploitasi celah keamanan akibat adopsi cepat Internet of Things (IoT) – atau sistem perangkat yang terhubung – di seluruh sektor kesehatan, pendidikan, dan bisnis.

Menurut WEF, 1,5 miliar serangan bertarget IoT tercatat pada paruh pertama tahun 2021, meningkat 15,1% dari tahun sebelumnya. “Jika pelaku ancaman melakukan ini, itu karena mereka berhasil mengeksploitasi perangkat IoT ini,” kata Gordon.

Selain penjahat bermotivasi finansial dan aktor negara-bangsa yang menargetkan infrastruktur kritis untuk keuntungan materi, perang Rusia di Ukraina juga telah menyaksikan munculnya aktivis peretas yang bermotivasi politik, yang selanjutnya berkontribusi pada pertumbuhan ekonomi kejahatan dunia maya.

Fasilitas perawatan kesehatan telah menjadi “target utama” bagi penjahat dunia maya karena sifat sensitif data mereka, menurut laporan Nozomi, yang menimbulkan ancaman unik. “Dalam perawatan kesehatan, serangan bisa berarti hilangnya nyawa,” kata Gordon.

Selengkapnya: Sky Magazine

Peretas yang Melanggar ION: Uang tebusan telah dibayarkan; Perusahaan menolak berkomentar

by

Para peretas yang mengaku bertanggung jawab atas pelanggaran yang mengganggu di perusahaan data keuangan ION mengatakan uang tebusan telah dibayarkan, meskipun mereka menolak mengatakan berapa jumlahnya atau menawarkan bukti bahwa uang itu telah diserahkan.

ION Group menolak mengomentari pernyataan tersebut. Lockbit mengkomunikasikan klaim tersebut kepada Reuters melalui akun obrolan daringnya pada hari Jumat tetapi menolak untuk mengklarifikasi siapa yang telah membayar uang tersebut – dengan mengatakan bahwa uang tersebut berasal dari “dermawan yang sangat kaya dan tidak dikenal.”

Di antara banyak klien ION yang operasinya kemungkinan besar terpengaruh adalah ABN Amro Clearing (ABNd.AS) dan Intesa Sanpaolo (ISP.MI), bank terbesar Italia, menurut pesan kepada klien dari kedua bank yang dilihat oleh Reuters.

Sudah ada tanda-tanda bahwa Lockbit telah mencapai kesepakatan atas data ION. Nama perusahaan telah dihapus Jumat pagi dari situs pemerasan Lockbit, di mana perusahaan korban diberi nama dan dipermalukan dalam upaya untuk memaksa pembayaran. Para ahli mengatakan itu sering kali merupakan tanda bahwa uang tebusan telah dikirimkan.

Hingga Jumat malam, situs web pemerasan Lockbit saja menghitung 54 korban yang diguncang, termasuk sebuah stasiun televisi di California, sebuah sekolah di Brooklyn dan sebuah kota di Michigan.

sumber :