Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Adobe Acrobat dapat memblokir alat antivirus dari pemantauan file PDF

by

Peneliti keamanan menemukan bahwa Adobe Acrobat sedang mencoba untuk memblokir perangkat lunak keamanan agar tidak terlihat ke dalam file PDF yang dibukanya, menciptakan risiko keamanan bagi pengguna.

Agar alat keamanan berfungsi, diperlukan visibilitas ke semua proses pada sistem, yang dicapai dengan menyuntikkan pustaka tautan dinamis (DLL) ke dalam produk perangkat lunak yang diluncurkan pada mesin.

File PDF telah disalahgunakan di masa lalu untuk mengeksekusi malware pada sistem. Salah satu metode tersebut adalah menambahkan perintah di bagian ‘OpenAction’ dokumen untuk menjalankan perintah PowerShell untuk aktivitas jahat, jelas para peneliti di perusahaan keamanan siber Minerva Labs.

Menurut laporan minggu ini, daftar tersebut telah berkembang menjadi 30 DLL dari produk keamanan dari berbagai vendor. Di antara yang lebih populer dengan konsumen adalah Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.

Sementara Chromium DLL hadir dengan daftar pendek komponen yang akan masuk daftar hitam karena menyebabkan konflik, vendor yang menggunakannya dapat membuat modifikasi dan menambahkan DLL apa pun yang mereka inginkan.

Daftar DLL hardcoded Chromium, sumber: Minerva Labs

Para peneliti menjelaskan bahwa “libcef.dll dimuat oleh dua proses Adobe: AcroCEF.exe dan RdrCEF.exe” sehingga kedua produk memeriksa sistem untuk komponen produk keamanan yang sama.

Melihat lebih dekat pada apa yang terjadi dengan DLL yang disuntikkan ke dalam proses Adobe, Minerva Labs menemukan bahwa Adobe memeriksa apakah nilai bBlockDllInjection di bawah kunci registri ‘SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\’ diatur ke 1. Jika demikian, itu akan mencegah DLL perangkat lunak antivirus disuntikkan ke dalam proses.

Perlu dicatat bahwa nilai kunci registri saat Adobe Reader dijalankan untuk pertama kalinya adalah ‘0’ dan dapat dimodifikasi kapan saja.

Menurut peneliti Minerva Labs Natalie Zargarov, nilai default untuk kunci registri diatur ke ‘1’ – menunjukkan pemblokiran aktif. Pengaturan ini mungkin bergantung pada sistem operasi atau versi Adobe Acrobat yang diinstal, serta variabel lain pada sistem.

Dalam sebuah posting di forum Citrix pada tanggal 28 Maret, seorang pengguna yang mengeluh tentang kesalahan Sophos AV karena menginstal produk Adobe mengatakan bahwa perusahaan “menyarankan untuk menonaktifkan injeksi DLL untuk Acrobat dan Reader.

Adobe menanggapi pengguna Citrix yang mengalami kesalahan pada mesin dengan Sophos AV

Adobe mengonfirmasi bahwa pengguna telah melaporkan mengalami masalah karena komponen DLL dari beberapa produk keamanan tidak kompatibel dengan penggunaan perpustakaan CEF oleh Adobe Acrobat.

Perusahaan menambahkan bahwa saat ini sedang bekerja dengan vendor untuk mengatasi masalah dan “untuk memastikan fungsionalitas yang tepat dengan desain kotak pasir CEF Acrobat ke depan.”

Peneliti Minerva Labs berpendapat bahwa Adobe memilih solusi yang memecahkan masalah kompatibilitas tetapi memperkenalkan risiko serangan nyata dengan mencegah perangkat lunak keamanan melindungi sistem.

Sumber: Bleeping Computer

Serangan Relay DFSCoerce NTLM baru memungkinkan pengambilalihan domain Windows

by

Serangan relai DFSCoerce Windows NTLM baru telah ditemukan yang menggunakan MS-DFSNM, Sistem File Terdistribusi Microsoft, untuk sepenuhnya mengambil alih domain Windows.

Banyak organisasi menggunakan Layanan Sertifikat Direktori Aktif Microsoft, layanan infrastruktur kunci publik (PKI) yang digunakan untuk mengautentikasi pengguna, layanan, dan perangkat di domain Windows.

Namun, layanan ini rentan terhadap serangan relai NTLM, yaitu ketika aktor ancaman memaksa, atau memaksa, pengontrol domain untuk mengautentikasi terhadap relai NTLM berbahaya di bawah kendali penyerang.

Server jahat ini kemudian akan menyampaikan, atau meneruskan, permintaan otentikasi ke Layanan Sertifikat Direktori Aktif domain melalui HTTP dan akhirnya diberikan tiket pemberian tiket (TGT) Kerberos. Tiket ini memungkinkan pelaku ancaman untuk mengasumsikan identitas perangkat apa pun di jaringan, termasuk pengontrol domain.

Setelah mereka menyamar sebagai pengontrol domain, mereka akan memiliki hak istimewa yang lebih tinggi yang memungkinkan penyerang mengambil alih domain dan menjalankan perintah apa pun.

Untuk memaksa server jarak jauh mengautentikasi terhadap relai NTLM yang berbahaya, pelaku ancaman dapat menggunakan berbagai metode, termasuk protokol MS-RPRN, MS-EFSRPC (PetitPotam), dan MS-FSRVP.

Sementara Microsoft telah menambal beberapa protokol ini untuk mencegah pemaksaan yang tidak diautentikasi, bypass biasanya ditemukan yang memungkinkan protokol untuk terus disalahgunakan.

Minggu ini, peneliti keamanan Filip Dragovic merilis skrip proof-of-concept untuk serangan relai NTLM baru yang disebut ‘DFSCoerce’ yang menggunakan protokol Sistem File Terdistribusi (MS-DFSNM) Microsoft untuk menyampaikan otentikasi terhadap server arbitrer.

Skrip DFSCoerce didasarkan pada eksploitasi PetitPotam, tetapi alih-alih menggunakan MS-EFSRPC, skrip ini menggunakan MS-DFSNM, sebuah protokol yang memungkinkan Windows Distributed File System (DFS) dikelola melalui antarmuka RPC.

Peneliti keamanan yang telah menguji serangan relai NTLM baru telah mengatakan kepada BleepingComputer bahwa itu dengan mudah memungkinkan pengguna dengan akses terbatas ke domain Windows untuk menjadi admin domain.

Para peneliti memberi tahu BleepingComputer bahwa cara terbaik untuk mencegah jenis serangan ini adalah dengan mengikuti saran Microsoft dalam mengurangi serangan relai PetitPotam NTLM.

Mitigasi ini termasuk menonaktifkan NTLM pada pengontrol domain dan mengaktifkan Perlindungan yang Diperpanjang untuk Otentikasi dan fitur penandatanganan, seperti penandatanganan SMB, untuk melindungi kredensial Windows.

Metode mitigasi lainnya termasuk menggunakan Filter RPC bawaan Windows atau Firewall RPC untuk mencegah server dipaksa melalui protokol MS-DFSNM.

Namun, tidak diketahui saat ini apakah memblokir koneksi DFS RPC akan menyebabkan masalah pada jaringan.

Sumber: Bleeping Computer

Ekstensi Google Chrome dapat mengambil fingerprint untuk melacak Anda secara online

by

Seorang peneliti telah membuat situs web yang menggunakan ekstensi Google Chrome yang Anda pasang untuk menghasilkan sidik jari perangkat Anda yang dapat digunakan untuk melacak Anda secara online.

Untuk melacak pengguna di web, dimungkinkan untuk membuat sidik jari, atau melacak hash, berdasarkan berbagai karakteristik perangkat yang terhubung ke situs web. Karakteristik ini mencakup kinerja GPU, aplikasi Windows yang diinstal, resolusi layar perangkat, konfigurasi perangkat keras, dan bahkan font yang diinstal.

Kemudian dimungkinkan untuk melacak perangkat di seluruh situs menggunakan metode sidik jari yang sama.

Kemarin, pengembang web ‘z0ccc’ membagikan situs sidik jari baru yang disebut ‘Sidik Jari Ekstensi’ yang dapat menghasilkan hash pelacakan berdasarkan ekstensi Google Chrome yang dipasang di browser.

Saat membuat ekstensi browser Chrome, Anda dapat mendeklarasikan aset tertentu sebagai ‘sumber daya yang dapat diakses web’ yang dapat diakses oleh halaman web atau ekstensi lainnya.

Sumber daya ini biasanya berupa file gambar, yang dideklarasikan menggunakan properti ‘web_accessible_resources’ dalam file manifes ekstensi browser.

Seperti yang diungkapkan sebelumnya pada tahun 2019, dimungkinkan untuk menggunakan sumber daya yang dapat diakses melalui web untuk memeriksa ekstensi yang diinstal dan menghasilkan sidik jari browser pengunjung berdasarkan kombinasi ekstensi yang ditemukan.

Untuk mencegah deteksi, z0ccc mengatakan bahwa beberapa ekstensi menggunakan token rahasia yang diperlukan untuk mengakses sumber daya web. Namun, peneliti menemukan metode ‘Perbandingan waktu sumber daya’ yang masih dapat digunakan untuk mendeteksi jika ekstensi dipasang.

Untuk mengilustrasikan metode sidik jari ini, z0ccc membuat situs web Extension Fingerprints yang akan memeriksa keberadaan sumber daya yang dapat diakses web di 1.170 ekstensi populer yang tersedia di Google Chrome Web Store di browser pengunjung.

Beberapa ekstensi yang akan diidentifikasi oleh situs web adalah uBlock, LastPass, Adobe Acrobat, Honey, Grammarly, Rakuten, dan ColorZilla.

Berdasarkan kombinasi ekstensi yang diinstal, situs web akan menghasilkan hash pelacakan yang dapat digunakan untuk melacak browser tertentu, seperti yang ditunjukkan di bawah ini.

Menghasilkan Sidik Jari Ekstensi
Sumber: BleepingComputer

Beberapa ekstensi populer, seperti MetaMask, tidak mengekspos sumber daya apa pun, tetapi z0ccc masih dapat mengidentifikasi apakah ekstensi tersebut diinstal dengan memeriksa apakah “typeof window.ethereum sama dengan undefined.”

Sementara mereka yang tidak memasang ekstensi akan memiliki sidik jari yang sama dan kurang berguna untuk pelacakan, mereka yang memiliki banyak ekstensi akan memiliki sidik jari yang kurang umum yang dapat digunakan untuk melacaknya di web.

Namun, menambahkan karakteristik lain ke model sidik jari dapat lebih menyempurnakan sidik jari, menjadikan hash unik per pengguna.

Situs Sidik Jari Ekstensi hanya berfungsi dengan browser Chromium yang memasang ekstensi dari Toko Web Chrome. Meskipun metode ini akan bekerja dengan Microsoft Edge, metode ini perlu dimodifikasi untuk menggunakan ID ekstensi dari toko ekstensi Microsoft.

Metode ini tidak berfungsi dengan add-on Mozilla Firefox karena ID ekstensi Firefox unik untuk setiap instance browser.

Sementara z0ccc tidak mengumpulkan data apa pun mengenai ekstensi yang diinstal, pengujiannya sendiri menunjukkan bahwa uBlock yang diinstal adalah sidik jari ekstensi yang paling umum.

Dalam pengujian kami, memasang tiga hingga empat ekstensi membawa persentase pengguna yang menggunakan ekstensi yang sama serendah 0,006%. Jelas, semakin banyak ekstensi yang dipasang, semakin sedikit orang yang memasang kombinasi yang sama.

z0ccc mengatakan persentase 0,006% menunjukkan bahwa Anda adalah satu-satunya pengguna dengan kombinasi ekstensi itu, tetapi ini akan berubah seiring semakin banyak orang mengunjungi situs tersebut.

Sidik Jari Ekstensi telah dirilis sebagai proyek React sumber terbuka di GitHub, memungkinkan siapa saja untuk melihat cara menanyakan keberadaan ekstensi yang diinstal.

Pembaruan 19/06/22: Mengklarifikasi bahwa z0ccc tidak menemukan metode untuk mendeteksi ekstensi yang diinstal melainkan metode perbandingan waktu.

Sumber: Bleeping Computer

Malware BRATA yang menghapus Android berkembang menjadi ancaman yang terus-menerus

by

Pelaku ancaman di balik trojan perbankan BRATA telah mengembangkan taktik mereka dan meningkatkan malware dengan kemampuan mencuri informasi.

Perusahaan keamanan seluler Italia Cleafy telah melacak aktivitas BRATA dan memperhatikan perubahan kampanye terbaru yang menyebabkan persistensi lebih lama pada perangkat.

Malware itu sendiri juga telah diperbarui dengan teknik phishing baru, kelas baru untuk meminta izin tambahan pada perangkat, dan sekarang juga menjatuhkan payload tahap kedua dari server command and control (C2).

Malware BRATA juga lebih bertarget, karena para peneliti menemukan bahwa malware itu berfokus pada satu lembaga keuangan pada satu waktu dan hanya berporos ke lembaga lain ketika serangan mereka dianggap tidak efisien oleh tindakan pencegahan.

Misalnya, BRATA kini telah dimuat sebelumnya dengan overlay phishing tunggal alih-alih memperoleh daftar aplikasi yang diinstal dan mengambil suntikan yang tepat dari C2.

Hamparan yang digunakan dalam kampanye baru-baru ini (Cleafy)

Dalam versi yang lebih baru, BRATA menambahkan lebih banyak izin yang memungkinkannya mengirim dan menerima SMS, yang dapat membantu penyerang mencuri kode sementara seperti kata sandi satu kali (OTP) dan otentikasi dua faktor (2FA) yang dikirimkan bank kepada pelanggan mereka.

Setelah bersarang ke perangkat, BRATA mengambil arsip ZIP dari server C2 yang berisi paket JAR (“unrar.jar”).

Utilitas keylogging ini memantau peristiwa yang dihasilkan aplikasi dan menyimpannya secara lokal di perangkat dengan data teks dan stempel waktu yang cocok.

Modul keylogging baru di BRATA (Cleafy)

Analis Cleafy melihat tanda-tanda bahwa alat ini masih dalam pengembangan awal dan para peneliti berpikir bahwa tujuan akhir penulis adalah menyalahgunakan Layanan Aksesibilitas untuk mendapatkan data dari aplikasi lain.

BRATA dimulai sebagai trojan perbankan di Brasil pada tahun 2019, mampu melakukan tangkapan layar, menginstal aplikasi baru, dan mematikan layar untuk membuat perangkat tampak mati.

Pada Juni 2021, BRATA muncul pertama kali di Eropa, menggunakan aplikasi anti-spam palsu sebagai iming-iming dan mempekerjakan agen pendukung palsu yang menipu korban dan menipu mereka agar memberi mereka kendali penuh atas perangkat mereka.

Pada Januari 2022, versi baru BRATA muncul di alam liar, menggunakan pelacakan GPS, beberapa saluran komunikasi C2, dan versi yang disesuaikan untuk pelanggan perbankan di berbagai negara. Versi itu juga menampilkan perintah reset pabrik yang menghapus perangkat setelah semua data dicuri.

Sekarang, selain versi BRATA baru dan perubahan taktik, Cleafy juga menemukan proyek baru: aplikasi pencuri SMS yang berkomunikasi dengan infrastruktur C2 yang sama.

Perbandingan berdampingan BRATA dan pencuri SMS (Cleafy)

Ini menggunakan kerangka kerja yang sama dengan BRATA dan nama kelas yang sama, tetapi tampaknya hanya berfokus pada menyedot pesan teks pendek. Saat ini, pihaknya menargetkan Inggris, Italia, dan Spanyol.

Layar pemilihan bahasa pada aplikasi SMS stealer (Cleafy)

Untuk mencegat SMS yang masuk, aplikasi meminta pengguna untuk mengaturnya sebagai aplikasi perpesanan default sambil juga meminta izin untuk mengakses kontak di perangkat.

Pencuri SMS meminta selama instalasi (Cleafy)

Untuk saat ini, tidak jelas apakah ini hanya percobaan dari upaya tim BRATA untuk membuat aplikasi sederhana yang ditujukan untuk peran tertentu.

Sumber: Bleeping Computer

Microsoft: Pembaruan Windows untuk menonaktifkan Internet Explorer secara permanen

by

Microsoft hari ini mengkonfirmasi bahwa pembaruan Windows di masa mendatang akan menonaktifkan browser web Internet Explorer secara permanen pada sistem pengguna.

Ini terungkap pada hari Rabu, 15 Juni, hari ketika Internet Explorer akhirnya mencapai akhir masa pakainya untuk opsi layanan saluran semi-tahunan (SAC) Windows 10.

Browser web yang sekarang sudah pensiun akan mulai mengarahkan pengguna ke Microsoft Edge baru berbasis Chromium saat meluncurkan aplikasi desktop Internet Explorer 11.

Selama proses pengalihan ini, data pengguna (termasuk pengaturan, favorit, dan kata sandi) akan diimpor ke Microsoft Edge untuk mempermudah peralihan.

Microsoft juga akan menambahkan tombol “Muat ulang dalam mode IE” ke bilah alat Edge untuk membantu pengguna dengan cepat meluncurkan situs yang meminta untuk dibuka di Internet Explorer menggunakan mode IE.

Pesan pengalihan Internet Explorer (Microsoft)

Internet Explorer telah meluncurkan Microsoft Edge secara otomatis saat mengunjungi situs yang tidak kompatibel mulai Oktober 2020.

Daftar situs yang tidak kompatibel (dikelola oleh Microsoft) saat ini berisi 1.427 situs, termasuk Twitter, Facebook, Instagram, Google Drive, Microsoft Teams, dan banyak lainnya.

Meskipun secara resmi pensiun dari beberapa versi Windows 10 dan tidak dikirimkan dengan Windows 11, Internet Explorer akan tetap tersedia di Windows 7 ESU, Windows 8.1, dan semua versi klien Windows 10 LTSC, IoT, dan Server.

Pada sistem yang menjalankan versi Windows ini, browser web akan terus menerima dukungan teknis dan pembaruan keamanan untuk siklus hidup versi Windows yang dijalankannya.

Microsoft telah mendorong pelanggan untuk beralih dari Internet Explorer ke Microsoft Edge selama bertahun-tahun.

Untuk mengaktifkan mode IE di Microsoft Edge, Anda harus pergi ke edge://settings/defaultbrowser, aktifkan opsi ‘Izinkan situs untuk dimuat ulang di Internet Explorer’, dan mulai ulang browser web.

Pada bulan Agustus 2020, Microsoft pertama kali mengumumkan rencana untuk membuang dukungan untuk browser web Internet Explorer 11 di Windows 10 dan Microsoft 365, dengan pengumuman resmi pensiun yang dikeluarkan pada 19 Mei 2021.

Microsoft juga menghentikan dukungan IE di Teams pada 30 November 2020, dan mengakhiri dukungan di seluruh aplikasi dan layanan Microsoft 365 pada 17 Agustus 2021.

Aplikasi dan layanan Microsoft lainnya juga telah mengakhiri dukungan untuk Internet Explorer selama beberapa tahun terakhir

Sumber: Bleeping Computer

Bug zero-day Sophos Firewall dieksploitasi beberapa minggu sebelum diperbaiki

by

Peretas China menggunakan eksploitasi zero-day untuk kerentanan tingkat kritis di Sophos Firewall untuk menyusup ke perusahaan dan menembus server web yang dihosting cloud yang dioperasikan oleh korban.

Masalah keamanan telah diperbaiki sementara itu tetapi berbagai pelaku ancaman terus mengeksploitasinya untuk melewati otentikasi dan menjalankan kode arbitrer dari jarak jauh di beberapa organisasi.

Pada tanggal 25 Maret, Sophos menerbitkan nasihat keamanan tentang CVE-2022-1040, kerentanan bypass otentikasi yang memengaruhi Portal Pengguna dan Webadmin dari Sophos Firewall dan dapat dieksploitasi untuk mengeksekusi kode arbitrer dari jarak jauh.

Tiga hari kemudian, perusahaan memperingatkan bahwa pelaku ancaman memanfaatkan masalah keamanan untuk menargetkan beberapa organisasi di kawasan Asia Selatan.

Minggu ini, perusahaan keamanan siber Volexity merinci serangan dari kelompok ancaman persisten canggih China yang mereka lacak sebagai DriftingCloud, yang mengeksploitasi CVE-2022-1040 sejak awal Maret, sedikit lebih dari tiga minggu sebelum Sophos merilis patch.

Musuh menggunakan eksploitasi zero-day untuk mengkompromikan firewall untuk menginstal backdoor webshell dan malware yang akan memungkinkan kompromi sistem eksternal di luar jaringan yang dilindungi oleh Sophos Firewall.

DriftingCloud APT mengeksploitasi bug zero-day di Sophos Firewall (sumber: Volexity)

Ketika Volexity memulai penyelidikan, pelaku ancaman masih aktif dan para peneliti dapat memantau langkah-langkah serangan, mengungkapkan musuh canggih yang berusaha untuk tetap tidak terdeteksi.

Para peneliti mencatat bahwa penyerang mencoba memadukan lalu lintasnya dengan mengakses webshell yang diinstal melalui permintaan ke file “login.jsp” yang sah.

Menggali lebih dalam, para peneliti menemukan bahwa penyerang menggunakan kerangka Behinder, yang mereka yakini juga digunakan oleh grup APT China lainnya yang mengeksploitasi CVE-2022-26134 di server Confluence.

Terlepas dari webshell, Volexity menemukan lebih banyak aktivitas jahat yang memastikan kegigihan dan memungkinkan aktor ancaman untuk melakukan serangan lebih jauh:

  • Membuat akun pengguna VPN dan mengaitkan pasangan sertifikat di firewall untuk akses jaringan jarak jauh yang sah
  • Menulis “pre_install.sh” ke ‘/conf/certificate/’
  • “pre_install.sh” menjalankan perintah jahat untuk mengunduh biner, menjalankannya, lalu menghapusnya dari disk

Para peneliti mengatakan bahwa mendapatkan akses ke Sophos Firewall adalah langkah pertama serangan, memungkinkan musuh untuk melakukan aktivitas man-in-the-middle (MitM) dengan cara memodifikasi respons DNS untuk situs web tertentu yang dikelola oleh perusahaan korban.

Tampaknya penyerang berhasil dalam upaya ini karena mereka mengakses halaman admin CMS menggunakan cookie sesi yang dicuri dan menginstal plugin File Manager untuk menangani file di situs web (mengunggah, mengunduh, menghapus, mengedit).

Begitu mereka mendapatkan akses ke server web, peretas DriftingCloud memasang PupyRAT, Pantegana, dan Sliver – tiga keluarga malware untuk akses jarak jauh yang tersedia untuk umum.

Volexity menilai bahwa grup peretasan DriftingCloud cukup canggih untuk mengembangkan kerentanan zero-day, atau cukup dana untuk membelinya.

Sophos menyediakan hotfix yang menangani CVE-2022-1040 secara otomatis serta mitigasi yang membantu organisasi yang menggunakan firewallnya melindungi dari eksploitasi kerentanan.

Untuk mengidentifikasi serangan serupa, Volexity merekomendasikan penggunaan mekanisme pemantauan keamanan jaringan yang mendeteksi dan mencatat lalu lintas dari perangkat gateway.

Perusahaan juga merekomendasikan penggunaan alat auditd pada server berbasis Unix untuk menyelidiki kompromi dengan lebih mudah. Vendor atau perangkat perimeter juga harus menyediakan metode untuk memeriksa potensi kompromi.

Volexity juga menyediakan seperangkat aturan YARA yang dapat menandai aktivitas mencurigakan dari jenis serangan ini.

Sumber: Bleeping Computer

Peretas iCloud mendapat 9 tahun penjara karena mencuri foto telanjang

by

Seorang pria California yang meretas ribuan akun Apple iCloud dijatuhi hukuman 8 tahun penjara setelah mengaku bersalah atas konspirasi dan penipuan komputer pada Oktober 2021.

Sejak awal September 2014, Hao Kuo Chi, 41 tahun dari La Puente, California, mulai memasarkan dirinya sebagai “icloudripper4you,” seseorang yang mampu membobol akun iCloud dan mencuri apa pun yang ada di penyimpanan iCloud yang ditautkan (dalam apa yang dia sebut sebagai “merobek”).

“Pria ini memimpin kampanye teror dari komputernya, menyebabkan ketakutan dan penderitaan bagi ratusan korban,” kata agen FBI David Walker.

Untuk mengkompromikan akun yang ditargetkan, Chi menggunakan email yang memungkinkannya untuk menyamar sebagai perwakilan dukungan pelanggan Apple dan menipu target agar menyerahkan ID dan kata sandi Apple mereka, menurut dokumen pengadilan.

Setelah mengkompromikan akun iCloud, dia akan mencari dan mencuri foto dan video telanjang dari penyimpanan online korban (disebut sebagai “wins”), membaginya dengan konspirator yang kemudian menerbitkannya secara online.

Chi juga membagikan beberapa foto dan video kompromi di situs porno balas dendam yang sekarang sudah tidak berfungsi (Anon-IB) tanpa persetujuan korbannya dan bermaksud “untuk mengintimidasi, melecehkan, atau mempermalukan.”

Sampai tertangkap, Chi memperoleh akses tidak sah ke ratusan akun iCloud target dari seluruh Amerika Serikat, termasuk Arizona, California, Florida, Kentucky, Louisiana, Maine, Massachusetts, Ohio, Pennsylvania, Carolina Selatan, dan Texas.

“Akun email Chi berisi kredensial iCloud dari sekitar 4.700 korban. Akun ini juga mengungkapkan bahwa dia telah mengirim konten yang dicuri dari korban ke konspirator lebih dari 300 kali,” ungkap Departemen Kehakiman hari ini.

Dia menyimpan 3,5 terabyte konten curian dari lebih dari 500 korban di cloud dan penyimpanan fisik, dengan sekitar 1 terabyte penyimpanan cloud didedikasikan untuk foto dan video telanjang yang dicuri.

“Chi mengorbankan ratusan wanita di seluruh negeri, membuat mereka takut akan keselamatan dan reputasi mereka,” kata Jaksa AS Roger Handberg.

Sumber: Bleeping Computer

Malware perbankan Android MaliBot baru menyebar sebagai penambang kripto

by

Peneliti keamanan siber telah menemukan malware perbankan Android baru bernama MaliBot, yang menyamar sebagai aplikasi penambangan cryptocurrency atau browser web Chrome untuk menargetkan pengguna di Italia dan Spanyol.

MaliBot berfokus pada mencuri informasi keuangan seperti kredensial layanan e-banking, kata sandi dompet kripto, dan detail pribadi, sementara itu juga mampu mengambil kode otentikasi dua faktor dari notifikasi.

Menurut sebuah laporan oleh F5 Labs, yang analisnya menemukan malware baru, saat ini menggunakan beberapa saluran distribusi, kemungkinan bertujuan untuk menutupi celah pasar yang diciptakan oleh penghentian tiba-tiba operasi FluBot.

Server komando dan kontrol Malibot berbasis di Rusia, dan IP-nya telah dikaitkan dengan beberapa kampanye distribusi malware sejak Juni 2020.

Distribusi MaliBot terjadi melalui situs web yang mempromosikan aplikasi cryptocurrency dalam bentuk APK yang diunduh dan diinstal secara manual oleh korban.

Dalam kampanye lain, malware didorong sebagai aplikasi bernama Mining X, dan para korban ditipu untuk memindai kode QR untuk mengunduh file APK berbahaya.

Situs web Mining X yang mendorong MaliBot

Operator MaliBot juga menggunakan pesan smishing (SMS phishing) untuk mendistribusikan muatan mereka ke daftar nomor telepon yang ditentukan oleh C2. Pesan-pesan ini dikirim dari perangkat yang disusupi yang menyalahgunakan izin “kirim SMS”.

MaliBot adalah trojan Android kuat yang mengamankan aksesibilitas dan izin peluncur saat penginstalan dan kemudian memberikan dirinya sendiri hak tambahan pada perangkat.

Itu dapat mencegat pemberitahuan, SMS, dan panggilan, menangkap tangkapan layar, mendaftarkan aktivitas boot, dan memberikan kemampuan kendali jarak jauh kepada operatornya melalui sistem VNC.

VNC memungkinkan operator untuk menavigasi antar layar, menggulir, mengambil tangkapan layar, menyalin dan menempelkan konten, menggesek, melakukan penekanan lama, dan banyak lagi.

Untuk melewati perlindungan MFA, ia menyalahgunakan API Aksesibilitas untuk mengklik konfirmasi konfirmasi pada peringatan masuk tentang upaya login yang mencurigakan, mengirimkan OTP ke C2, dan mengisinya secara otomatis.

Kode untuk mengambil kode MFA (F5 Labs)

Selain itu, malware dapat mencuri kode MFA dari Google Authenticator dan melakukan tindakan ini sesuai permintaan, membuka aplikasi autentikasi secara independen dari pengguna.

Seperti kebanyakan trojan perbankan, MaliBot mengambil daftar aplikasi yang diinstal untuk menentukan aplikasi bank mana yang digunakan oleh korban untuk mengambil overlay/injeksi yang cocok dari C2. Ketika korban membuka aplikasi yang sah, layar login palsu dihamparkan di atas UI.

Mengirim daftar overlay ke C2 dan menerima injeksi kembali (F5 Labs)

Analis F5 Labs telah melihat fitur yang tidak diterapkan dalam kode MaliBot, seperti deteksi lingkungan yang ditiru yang dapat digunakan untuk menghindari analisis.

Ini adalah tanda bahwa pengembangannya sangat aktif, dan versi baru MaliBot diharapkan segera beredar, mungkin meningkatkan potensi malware baru.

Untuk saat ini, MaliBot memuat overlay yang menargetkan bank Italia dan Spanyol, tetapi dapat segera memperluas cakupannya dengan menambahkan lebih banyak suntikan, seperti yang dilakukan FluBot secara bertahap.

Hamparan bank Spanyol digunakan oleh MaliBot (F5 Labs)

Pada saat penulisan ini, situs web yang mendistribusikan MaliBot tetap online, sehingga operasi distribusi malware masih cukup aktif.