Global

Malware Medusa Bergabung dengan Jaringan Distribusi Android Flubot

February 9, 2022 by Eevee

Flubot, spyware Android yang telah menyebar secara viral sejak tahun lalu, telah meningkatkan infrastrukturnya ke ancaman seluler lain yang dikenal sebagai Medusa.

Malware Flubot (alias Cabassous) dikirimkan ke target melalui teks SMS yang meminta mereka untuk menginstal aplikasi “pengiriman paket yang tidak terjawab” atau versi Flash Player palsu. Jika korban tertipu, malware diinstal, kemudian menambahkan perangkat yang terinfeksi ke botnet, setelah itu mendapatkan izin, mencuri informasi dan kredensial perbankan, mencabut kata sandi yang tersimpan di perangkat dan membuang berbagai informasi pribadi.

Rupanya, Medusa menyukai potongan jib Flubot: “Kecerdasan ancaman kami menunjukkan bahwa Medusa mengikuti dengan nama aplikasi, nama paket, dan ikon serupa yang persis sama,” catat peneliti ThreatFabric dalam analisis hari Senin. “Dalam waktu kurang dari sebulan, pendekatan distribusi ini memungkinkan Medusa menjangkau lebih dari 1.500 perangkat yang terinfeksi dalam satu botnet, menyamar sebagai DHL.”

Tidak seperti Flubot, yang terutama menyebar di Eropa, Medusa lebih merupakan ancaman dengan peluang yang sama dalam hal geografi. Kampanye terbaru menargetkan pengguna dari Kanada, Turki, dan Amerika Serikat.

“Setelah menargetkan organisasi keuangan Turki pada periode pertama kegiatannya pada tahun 2020, Medusa kini telah mengalihkan fokusnya ke Amerika Utara dan Eropa, yang menghasilkan [a] sejumlah besar perangkat yang terinfeksi,” catat peneliti ThreatFabric. “Didukung dengan beberapa fitur akses jarak jauh, Medusa menimbulkan ancaman kritis bagi organisasi keuangan di wilayah yang ditargetkan.”

Pertama kali ditemukan pada Juli 2020, Medusa (terkait dengan keluarga Tanglebot dari RAT) adalah trojan mobile banking yang dapat memperoleh kontrol hampir penuh atas perangkat pengguna, termasuk kemampuan untuk keylogging, aktivitas trojan perbankan, dan streaming audio dan video. Untuk boot, ia telah menerima beberapa pembaruan dan peningkatan dalam teknik pengaburannya saat ia melompat pada coattails infrastruktur Flubot, kata para peneliti.

Pertama, ia sekarang memiliki mesin skrip aksesibilitas yang memungkinkan aktor untuk melakukan serangkaian tindakan atas nama korban, dengan bantuan Layanan Aksesibilitas Android.

Pencatatan peristiwa aksesibilitas adalah peningkatan pendamping ke yang di atas. Dengan perintah khusus, Medusa dapat mengumpulkan informasi tentang jendela aktif, termasuk posisi bidang dan elemen tertentu dalam antarmuka pengguna, teks apa pun di dalam elemen tersebut, dan apakah bidang tersebut adalah bidang kata sandi.

Cuplikan berikut menunjukkan kode yang mengumpulkan informasi jendela aktif melalui node-nya:

Selanjutnya, dalam memeriksa panel back-end Medusa, peneliti mengamati operator malware yang menandai aplikasi perbankan dengan tag “BANK”, untuk mengontrol/mencatat bidang input.

Server perintah-dan-kontrol (C2) juga dapat memerintahkan Medusa untuk melakukan berbagai macam pekerjaan RAT, termasuk mengklik elemen UI tertentu, tidur, screenshot, mengunci layar, menyediakan daftar aplikasi terbaru dan membuka pemberitahuan terbaru. .

Flubot Mengembangkan Kemampuannya
Para peneliti juga memperhatikan bahwa penambahan Medusa ke dalam campuran tidak memperlambat pengembangan Flubot sendiri. Mereka menjelaskan bahwa sekarang memiliki “kemampuan baru yang belum pernah terlihat sebelumnya di malware mobile banking.”

Intinya: Dalam versi 5.4, Medusa mengambil kemampuan untuk menyalahgunakan fitur “Pemberitahuan Balasan Langsung” dari OS Android, yang memungkinkan malware untuk langsung membalas pemberitahuan push dari aplikasi yang ditargetkan pada perangkat korban. Pengguna tidak menyadari aktivitas tersebut, sehingga Flubot dapat mencegat mereka – membuka pintu untuk menggagalkan otentikasi dua faktor dan banyak lagi, kata para peneliti.

Potensi penyalahgunaan lain dari fungsi ini adalah untuk menanggapi interaksi aplikasi sosial dengan “pemberitahuan” yang berisi tautan phishing berbahaya.

Sumber : Threat Post

Malware Android BRATA menghapus perangkat Anda setelah mencuri data

January 25, 2022 by Eevee

Malware Android BRATA telah menambahkan fitur baru dan berbahaya ke versi terbarunya, termasuk pelacakan GPS, kapasitas untuk menggunakan beberapa saluran komunikasi, dan fungsi yang melakukan reset pabrik pada perangkat untuk menghapus semua jejak aktivitas berbahaya.

BRATA pertama kali ditemukan oleh Kaspersky pada tahun 2019 sebagai RAT Android (alat akses jarak jauh) yang terutama menargetkan pengguna Brasil.

Pada bulan Desember 2021 Cleafy menggarisbawahi munculnya malware di Eropa, di mana terlihat menargetkan pengguna e-banking dan mencuri kredensial mereka dengan keterlibatan penipu yang menyamar sebagai agen dukungan pelanggan bank.

Versi terbaru dari malware BRATA sekarang menargetkan pengguna e-banking di Inggris, Polandia, Italia, Spanyol, Cina, dan Amerika Latin.

Setiap varian berfokus pada bank yang berbeda dengan set overlay khusus, bahasa, dan bahkan aplikasi yang berbeda untuk menargetkan audiens tertentu.

Varian BRATA beredar di berbagai negara
Sumber: Cleafy

Penulis menggunakan teknik kebingungan serupa di semua versi, seperti membungkus file APK ke dalam paket JAR atau DEX terenkripsi.

Kebingungan ini berhasil melewati deteksi antivirus, seperti yang diilustrasikan oleh pemindaian VirusTotal di bawah ini.

Tingkat deteksi sampel terbaru
Sumber: Cleafy

BRATA sekarang secara aktif mencari tanda-tanda keberadaan AV pada perangkat dan mencoba untuk menghapus alat keamanan yang terdeteksi sebelum melanjutkan ke langkah eksfiltrasi data.

Alat AV dihapus oleh BRATA
Sumber: Cleafy

Fitur-fitur baru yang ditemukan oleh peneliti Cleafy dalam versi BRATA terbaru termasuk fungsi keylogging, yang melengkapi fungsi screen capture yang ada.

Meskipun tujuan pastinya tetap menjadi misteri bagi para analis, semua varian baru juga memiliki pelacakan GPS.

Terakhir, BRATA telah menambahkan saluran komunikasi baru untuk bertukar data dengan server C2 dan sekarang mendukung HTTP dan WebSockets.

Komunikasi dengan C2 di BRATA baru
Sumber: Cleafy

Opsi WebSockets memberi aktor saluran langsung dan latensi rendah yang ideal untuk komunikasi waktu nyata dan eksploitasi manual langsung.

Selain itu, karena WebSockets tidak perlu mengirim header dengan setiap koneksi, volume lalu lintas jaringan yang mencurigakan berkurang, dan dengan perluasan, kemungkinan terdeteksi diminimalkan.

Cara terbaik untuk menghindari terinfeksi oleh malware Android adalah menginstal aplikasi dari Google Play Store, menghindari APK dari situs web yang teduh, dan selalu memindainya dengan alat AV sebelum dibuka.

Selama penginstalan, perhatikan baik-baik izin yang diminta dan hindari memberikan izin apa pun yang tampaknya tidak perlu untuk fungsionalitas inti aplikasi.

Terakhir, pantau konsumsi baterai dan volume lalu lintas jaringan untuk mengidentifikasi lonjakan yang tidak dapat dijelaskan yang mungkin dikaitkan dengan proses berbahaya yang berjalan di latar belakang.

Sumber : Bleeping Computer

Akhirnya Zoom Menambahkan Pembaruan Otomatis ke Windows dan macOS

November 30, 2021 by Eevee

Zoom hari ini telah mengumumkan peluncuran fitur pembaruan otomatis yang dirancang untuk merampingkan proses pembaruan untuk klien desktop.

Fitur baru ini saat ini hanya tersedia untuk klien Zoom desktop di Windows dan macOS, platform Linux saat ini tidak didukung.

Zoom mengatakan bahwa pengguna perangkat seluler juga dapat memperbarui aplikasi mereka secara otomatis melalui pemutakhiran otomatis bawaan appstore masing-masing.

“Untuk sebagian besar pengguna individu, pembaruan otomatis akan diaktifkan secara default. Ketika diaktifkan, pengguna akan memiliki kesempatan untuk memilih keluar dari pembaruan otomatis untuk klien desktop mereka setelah menginstal pertama atau pembaruan pertama di mana fitur ini hadir, “kata Jeromie Clark, Manajer Produk Teknis Keamanan &Privasi di Zoom.

Pengguna juga dapat mengubah preferensi ini kapan saja dengan memeriksa atau mencentang ‘Secara otomatis menjaga Zoom saya tetap up to date’ di bawah Pengaturan > Zoom > Umum.”

Pengguna Zoom akan dapat beralih antara frekuensi pembaruan Lambat dan Cepat, dengan pembaruan yang lebih jarang dan fokus pada memaksimalkan stabilitas saat opsi Slow dipilih. Fitur dan pembaruan terbaru akan diinstal segera setelah tersedia saat memilih saluran pembaruan Cepat.

Namun, terlepas dari saluran pembaruan yang dipilih, pembaruan keamanan klien Zoom yang penting akan secara otomatis diluncurkan ke semua pengguna dengan pembaruan otomatis diaktifkan.

Sementara platform juga memberikan pembaruan otomatis sebelum ini kepada pengguna perusahaan, pembaruan ini “memperluas audiens yang dituju untuk menyertakan semua pengguna klien desktop individu yang bukan anggota organisasi perusahaan.”

Zoom juga telah menambahkan dukungan otentikasi dua faktor (2FA) ke semua akun pada Bulan September 2020, enkripsi end-to-end (E2EE) pada Oktober 2020, dan peningkatan keamanan untuk menghentikan troll zoombombing satu bulan kemudian.

Perangkat lunak konferensi video telah menjadi cara yang sangat populer untuk tetap berhubungan dengan teman dan menyelenggarakan pertemuan online sejak pandemi dimulai.

Peluncuran pembaruan otomatis untuk klien desktop hadir pada waktu yang pas, melihat bahwa Zoom telah menambal lebih dari selusin kelemahan keamanan tingkat menengah dan tinggi dalam dua bulan terakhir saja.

Pada bulan April, Zoom Messenger juga diretas di kompetisi Pwn2Own 2021 oleh Computest Daan Keuper dan Thijs Alkemade. Mereka mendapatkan eksekusi kode pada perangkat yang ditargetkan menggunakan rantai eksploitasi nol klik yang menggabungkan tiga bug zero-day Zoom.

Sumber: Bleepingcomputer

Interpol Menangkap Lebih dari 1.000 Tersangka yang Terkait dengan Kejahatan Dunia Maya

November 28, 2021 by Søren

Interpol telah mengoordinasikan penangkapan 1.003 orang yang terkait dengan berbagai kejahatan dunia maya seperti penipuan asmara, penipuan investasi, pencucian uang online, dan perjudian online ilegal.

Tindakan keras ini dihasilkan dari tindakan empat bulan dengan nama sandi ‘Operasi HAEICHI-II,’ yang terjadi di dua puluh negara antara Juni dan September 2021.

Negara-negara tersebut adalah Angola, Brunei, Kamboja, Kolombia, Cina, India, Indonesia, Irlandia, Jepang, Korea (Rep.), Laos, Malaysia, Maladewa, Filipina, Rumania, Singapura, Slovenia, Spanyol, Thailand, dan Vietnam.

Pada aspek keuangan operasi, pihak berwenang juga telah mencegat hampir $27.000.000 dan membekukan 2.350 rekening perbankan yang terkait dengan berbagai kejahatan online.

Seperti rincian pengumuman Interpol, setidaknya sepuluh modus operandi kriminal baru diidentifikasi di HAEICHI-II, yang menunjukkan sifat kejahatan dunia maya yang terus berkembang.

Salah satu contoh penting penipuan yang ditemukan di HAEICHI-II melibatkan perusahaan tekstil Kolombia yang ditipu oleh pelaku BEC (Business Email Compromise).

Para pelaku menyamar sebagai perwakilan hukum perusahaan dan meminta $16 juta dalam dua pembayaran sebesar $8.000.000 untuk dikirim ke dua rekening bank China.

Intervensi Interpol membantu memulihkan 94% dari jumlah ini, menyelamatkan perusahaan dari kebangkrutan.

Tren yang meningkat yang diperhatikan oleh para penyelidik selama HAEICHI-II adalah menggunakan ‘Game Squid’ sebagai tema untuk kampanye distribusi malware.

Para aktor memanfaatkan popularitas acara Netflix untuk menyamarkan aplikasi trojan yang diduga merupakan game seluler.

Pada kenyataannya, aplikasi ini secara otomatis membuat pengguna berlangganan layanan ‘premium’ dan menggelembungkan tagihan mereka, sementara distributor mereka mendapatkan uang dari afiliasi.

“Penipuan online seperti yang memanfaatkan aplikasi jahat berkembang secepat tren budaya yang mereka eksploitasi secara oportunistik,” kata José De Gracia, Asisten Direktur, Jaringan Kriminal di Interpol.

Selengkapnya: Bleeping Computer

AS, Inggris, dan Australia Peringatkan Peretas Iran yang Mengeksploitasi Microsoft, Kelemahan Fortinet

November 28, 2021 by Søren

Badan keamanan siber dari Australia, Inggris, dan AS pada hari Rabu (17/11/2021) merilis peringatan peringatan bersama tentang eksploitasi aktif kerentanan Fortinet dan Microsoft Exchange ProxyShell oleh aktor yang disponsori negara Iran untuk mendapatkan akses awal ke sistem yang rentan untuk kegiatan lanjutan, termasuk eksfiltrasi data dan ransomware.

Pelaku ancaman diyakini telah memanfaatkan beberapa kerentanan Fortinet FortiOS sejak Maret 2021 serta kelemahan eksekusi kode jarak jauh yang memengaruhi Microsoft Exchange Server setidaknya sejak Oktober 2021, menurut Badan Keamanan Siber dan Infrastruktur AS (CISA), Federal Biro Investigasi (FBI), Pusat Keamanan Siber Australia (ACSC), dan Pusat Keamanan Siber Nasional Inggris (NCSC).

Badan-badan tersebut tidak mengaitkan kegiatan tersebut dengan aktor ancaman persisten lanjutan (APT) tertentu. Korban yang ditargetkan termasuk organisasi Australia dan berbagai entitas di berbagai sektor infrastruktur penting AS, seperti transportasi dan perawatan kesehatan. Daftar kelemahan yang dieksploitasi ada di bawah ini:

CVE-2021-34473 (skor CVSS: 9.1) – kerentanan eksekusi kode jarak jauh Microsoft Exchange Server (alias “ProxyShell”)
CVE-2020-12812 (skor CVSS: 9,8) – FortiOS SSL VPN 2FA bypass dengan mengubah kasus nama pengguna
CVE-2019-5591 (skor CVSS: 6,5) – Konfigurasi default FortiGate tidak memverifikasi identitas server LDAP
CVE-2018-13379 (skor CVSS: 9,8) – Kebocoran file sistem FortiOS melalui SSL VPN melalui permintaan sumber daya HTTP yang dibuat khusus

Sebagai mitigasi, agensi merekomendasikan organisasi untuk segera menambal perangkat lunak yang terpengaruh oleh kerentanan yang disebutkan di atas, menegakkan prosedur pencadangan dan pemulihan data, menerapkan segmentasi jaringan, mengamankan akun dengan otentikasi multi-faktor, dan menambal sistem operasi, perangkat lunak, dan firmware saat dan ketika pembaruan dilepaskan.

Selengkapnya: The Hacker News

Peretas Korea Utara menargetkan “Wadah Pemikir” Korea Selatan melalui konten blog

November 13, 2021 by Søren

Dalam kampanye baru, yang dilacak sejak Juni 2021, kelompok Advanced Persistent Threat (APT) yang disponsori negara telah mencoba menanam malware berbasis pengawasan dan pencurian pada mesin korban.

Pada hari Rabu, para peneliti dari Cisco Talos mengatakan bahwa APT Kimsuky, juga dikenal sebagai Thallium atau Black Banshee, bertanggung jawab atas gelombang serangan, di mana konten Blogspot berbahaya digunakan untuk memikat “Wadah Pemikir” yang berbasis di Korea Selatan yang penelitiannya berfokus pada politik. , diplomatik, dan topik militer yang berkaitan dengan Korea Utara, Cina, Rusia, dan AS.”

Secara khusus, organisasi geopolitik dan kedirgantaraan tampaknya berada di radar APT.

Kimsuky telah aktif setidaknya sejak 2012. Badan Keamanan Dunia Maya dan Infrastruktur (CISA) AS mengeluarkan penasehat (.PDF) pada APT pada tahun 2020, mencatat bahwa kelompok yang disponsori negara ditugaskan oleh pemerintah Korea Utara dengan “intelijen global mengumpulkan.” Korban sebelumnya telah ditemukan di Korea Selatan, Jepang, dan Amerika Serikat.

AhnLab mengatakan bahwa formulir kompensasi, kuesioner, dan dokumen penelitian yang dilampirkan ke email telah digunakan di masa lalu sebagai umpan phishing, dan dalam kampanye yang dideteksi oleh Talos, dokumen Microsoft Office yang berbahaya masih menjadi vektor serangan utama.

Selengkapnya: ZDNet

Laporan Serangan Terenkripsi Zscaler 2021 Mengungkapkan 314% Lonjakan Ancaman HTTPS

November 3, 2021 by Winnie the Pooh

Zscaler, Inc. (NASDAQ: ZS), pemimpin dalam keamanan cloud mengumumkan rilis Laporan Serangan Terenkripsi tahunan, yang melacak dan menganalisis lebih dari 20 miliar ancaman yang diblokir melalui HTTPS, sebuah protokol yang awalnya dirancang untuk komunikasi aman melalui jaringan.

Studi tahun ini menemukan peningkatan lebih dari 314 persen tahun-ke-tahun di seluruh wilayah geografis yang mencakup APAC, Eropa, dan Amerika Utara, menggarisbawahi perlunya model keamanan tanpa kepercayaan dan inspeksi lalu lintas yang lebih besar daripada yang dapat dicapai kebanyakan perusahaan dengan model keamanan berbasis firewall lama.

Sementara penjahat dunia maya dapat menggunakan berbagai jenis serangan untuk bersembunyi di lalu lintas terenkripsi, konten berbahaya mewakili 91 persen serangan yang mengejutkan, meningkat 212 persen dibandingkan tahun lalu. Sebaliknya, malware cryptomining turun 20 persen, mencerminkan perubahan yang lebih luas dalam tren serangan, dengan ransomware menjadi pilihan yang lebih menguntungkan.

Laporan tersebut menemukan bahwa serangan terhadap perusahaan teknologi, ritel, dan grosir mengalami peningkatan ancaman yang signifikan. Serangan terhadap perusahaan teknologi meningkat secara mengejutkan 2.300 persen, dan serangan ritel dan grosir meningkat lebih dari 800 persen.

Zscaler ThreatLabz mengamati serangan di lebih dari 200 negara dan wilayah di seluruh dunia, termasuk negara-negara kecil yang bukan merupakan target umum seperti pulau-pulau di seluruh Karibia. Selain itu, peningkatan pekerjaan dari mana saja telah menyebabkan karyawan bercabang dari pusat teknologi raksasa seperti San Francisco Bay Area, New York, London, Paris, Sydney.

Lima negara yang paling menjadi sasaran serangan terenkripsi termasuk Inggris (5.446.549.767), AS (2.674.879.625), India (2.169.135.553), Australia (1.806.003.182), dan Prancis (519.251.819).

Secara keseluruhan, Eropa memimpin dengan 7.234.747.361 serangan, dengan APAC (4.924.732,36) dan Amerika Utara (2.778.360.051) melengkapi tiga besar.

Selengkapnya: Dark Reading

Israel dan Prancis Mengadakan Pembicaraan Rahasia Untuk Mengakhiri Krisis Spyware Pegasus

October 23, 2021 by Søren

Dugaan penyalahgunaan perangkat lunak NSO telah menjadi masalah diplomatik utama bagi pemerintahan Perdana Menteri Naftali Bennett.

Krisis tersebut menyebabkan pembekuan sebagian pada kerja sama diplomatik, keamanan dan intelijen antara Israel dan Prancis dan penangguhan kunjungan bilateral tingkat tinggi.

Penasihat keamanan nasional Israel Eyal Hulata diam-diam mengunjungi Paris beberapa hari yang lalu untuk melakukan pembicaraan dengan rekan-rekannya di lysée yang bertujuan untuk mengakhiri krisis seputar dugaan penggunaan spyware Pegasus yang dikembangkan oleh perusahaan Israel NSO untuk meretas ponsel Presiden Emmanuel Macron dan pemimpin Prancis lainnya.

Hulata bertemu di Paris dengan penasihat keamanan nasional Macron, Emmanuel Bonne, menjelaskan kepadanya tentang penyelidikan Israel yang sedang berlangsung ke Pegasus dan memberinya proposal untuk mengakhiri krisis.

Pada saat ini pembicaraan antara Israel dan Prancis sedang berlangsung tetapi para pejabat Israel mengatakan mereka berharap solusi untuk mengakhiri krisis dapat segera dicapai.

Selengkapnya: Yahoo News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Global

Cookies Settings