Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company / Google

Google

Pembaruan darurat Google Chrome memperbaiki hari nol ke-9 dalam setahun

by

Google telah merilis Chrome 108.0.5359.94/.95 untuk pengguna Windows, Mac, dan Linux untuk mengatasi satu kelemahan keamanan tingkat tinggi, Chrome zero-day kesembilan yang dieksploitasi secara liar sejak awal tahun.

“Google mengetahui laporan bahwa eksploit untuk CVE-2022-4262 ada di alam liar,” kata raksasa pencarian itu dalam penasehat keamanan yang diterbitkan pada hari Jumat.

Menurut Google, versi baru telah mulai diluncurkan ke pengguna di saluran Stable Desktop, dan akan menjangkau seluruh basis pengguna dalam hitungan hari atau minggu.

Pembaruan ini segera diluncurkan ke sistem kami saat BleepingComputer memeriksa pembaruan baru dari menu Chrome > Bantuan > Tentang Google Chrome.

Browser web juga akan secara otomatis memeriksa pembaruan baru dan akan menginstalnya tanpa memerlukan interaksi pengguna setelah peluncuran berikutnya.

Kerentanan zero-day (CVE-2022-4262) disebabkan oleh kelemahan kebingungan tipe tingkat keparahan tinggi di mesin JavaScript Chrome V8 yang dilaporkan oleh Clement Lecigne dari Grup Analisis Ancaman Google.

Meskipun kelemahan keamanan kebingungan jenis umumnya menyebabkan browser mogok setelah berhasil dieksploitasi dengan membaca atau menulis memori di luar batas buffer, pelaku ancaman juga dapat mengeksploitasinya untuk eksekusi kode arbitrer.

Meskipun Google mengatakan mendeteksi serangan yang mengeksploitasi zero-day ini, perusahaan belum membagikan detail teknis atau informasi terkait insiden ini.

“Akses ke detail bug dan tautan dapat dibatasi sampai mayoritas pengguna diperbarui dengan perbaikan,” tambah Google.

“Kami juga akan mempertahankan batasan jika bug ada di perpustakaan pihak ketiga yang juga bergantung pada proyek lain, tetapi belum diperbaiki.”

Selengkapnya: Bleeping Computer

APT37 Menyalahgunakan Google Drive Menggunakan Dynamic Dolphin Malware

by

Grup peretasan Korea Utara APT37 (alias ScarCruft atau Reaper) telah memperbarui persenjataan alatnya yang luas dengan pintu belakang canggih baru bernama Dolphin. Backdoor menyalahgunakan layanan penyimpanan cloud, khususnya Google Drive untuk komunikasi C2.

Peneliti ESET menemukan bahwa APT37 menggunakan Dolphin sejak awal 2021 dan pintu belakang terus mengembangkan kemampuan baru dan berevolusi untuk menghindari deteksi.

  • Penemuan terbaru terkait dengan serangan lubang berair pada tahun 2021 di surat kabar online Korea Selatan yang melaporkan aktivitas dan acara yang berkaitan dengan Korea Utara.
  • Peretas mengandalkan banyak komponen, termasuk eksploit Internet Explorer dan kode shell yang mengarah ke pintu belakang bernama BLUELIGHT, yang menyebarkan muatan sekunder Dolphin pada target yang dipilih.
  • BLUELIGHT melakukan pengintaian dasar dan evaluasi mesin yang disusupi setelah eksploitasi dan Dolphin mencari drive dari sistem yang disusupi untuk mencari file menarik dan mengekstraknya ke Google Drive.

Dolphin, ditulis dalam C++, adalah backdoor yang mengumpulkan informasi dan mengeksekusi perintah secara otomatis atau seperti yang dikeluarkan oleh operatornya.

  • Dolphin memiliki berbagai kemampuan mata-mata, termasuk memantau layanan cloud dan perangkat portabel serta mengekstraksi file yang menarik.
  • Selain itu, ia mampu melakukan keylogging dan mengambil screenshot, dan mencuri kredensial dari browser seperti Chrome, Edge, dan Internet Explorer. Itu dapat membangun kegigihan pada sistem yang dikompromikan dengan memodifikasi Windows Registry.

Sejauh ini, empat varian pintu belakang Dolphin telah terdeteksi, 1.9 hingga 3.0 (86/64-bit). Dolphin sering menambah, menghapus, atau memperbaiki perintah di setiap varian.

Selengkapnya: Cyware

Google TAG Memperingatkan Kerangka Eksploitasi Heliconia yang Muncul untuk RCE

by

Grup Analisis Ancaman (TAG) Google telah menemukan kerangka kerja serangan siber yang dijuluki Heliconia, dibuat untuk mengeksploitasi kerentanan zero-day dan n-day di Chrome, Firefox, dan Microsoft Defender. Ini kemungkinan memiliki koneksi ke broker spyware pasar abu-abu bernama Variston IT, yang menyoroti bagaimana segmen bayangan ini berkembang.

Ancaman Heliconia terdiri dari tiga modul:

  • Heliconia Noise karena menyusupi browser Chrome, keluar dari kotak pasir, dan memasang malware;
  • Heliconia Soft, kerangka kerja Web yang menyebarkan PDF berisi eksploit Windows Defender untuk CVE-2021-42298 yang memungkinkan eskalasi hak istimewa ke SISTEM dan eksekusi kode jarak jauh (RCE);
  • Dan paket File Heliconia yang berisi rantai eksploit Firefox yang terdokumentasi lengkap untuk Windows dan Linux, termasuk CVE-2022-26485 untuk RCE.

TAG menyadari ancaman tersebut setelah menerima kiriman anonim ke program pelaporan bug Chrome. Setelah penyelidikan lebih lanjut, kode sumber kerangka kerja Heliconia ditemukan berisi skrip yang merujuk ke Variston IT, entitas yang berkantor pusat di Barcelona yang mengklaim menyediakan “solusi keamanan khusus”.

Spyware komersial sering dijual oleh organisasi yang mengaku sebagai perusahaan yang sah, untuk “digunakan oleh penegak hukum”. Namun, semakin banyak bukti menunjukkan bahwa terlalu sering, broker ini tidak memeriksa klien mereka, “menempatkan kemampuan pengawasan canggih di tangan pemerintah yang menggunakannya untuk memata-matai jurnalis, aktivis hak asasi manusia, oposisi politik, dan pembangkang,” menurut TAG posting pada hari Rabu.

Selengkapnya: DARKReading

Aplikasi Android Berbahaya Ditemukan Mendukung Layanan Pembuatan Akun

by

Aplikasi SMS Android palsu, dengan 100.000 unduhan di Google Play Store, telah ditemukan secara diam-diam bertindak sebagai relai SMS untuk layanan pembuatan akun untuk situs seperti Microsoft, Google, Instagram, Telegram, dan Facebook.

Seorang peneliti mengatakan perangkat yang terinfeksi kemudian disewakan sebagai “nomor virtual” untuk menyampaikan kode sandi satu kali yang digunakan untuk memverifikasi pengguna saat membuat akun baru.

many user reviews complain that it is fake, hijacks their phones, and generates multiple OTPs (one-time passwords) upon installation.

Aplikasi Symoo dan ulasan pengguna di Google Play

Symoo ditemukan oleh peneliti keamanan Evina Maxime Ingrao, yang melaporkannya ke Google tetapi belum mendapat kabar dari tim Android. Pada saat penulisan, aplikasi tetap tersedia di Google Play.

Merutekan kode 2FA
Di layar pertama, ia meminta pengguna untuk memberikan nomor telepon mereka; setelah itu, itu melapisi layar pemuatan palsu yang seharusnya menunjukkan kemajuan memuat sumber daya.

Namun, proses ini diperpanjang, memungkinkan operator jarak jauh mengirim beberapa teks SMS 2FA (otentikasi dua faktor) untuk membuat akun di berbagai layanan, membaca kontennya, dan meneruskannya kembali ke operator.

Setelah selesai, aplikasi akan membeku, tidak pernah mencapai antarmuka SMS yang dijanjikan, sehingga pengguna biasanya akan mencopot pemasangannya.

aplikasi tersebut telah menggunakan nomor telepon pengguna Android untuk membuat akun palsu di berbagai platform online, dan peninjau mengatakan bahwa pesan mereka sekarang diisi dengan kode akses satu kali untuk akun yang tidak pernah mereka buat.

Menjual akun
Pengembang aplikasi ‘Nomor Virtual’ juga membuat aplikasi lain di Google Play yang disebut ‘ActivationPW – Nomor virtual’, diunduh 10.000 kali, yang menawarkan “Nomor online dari lebih dari 200 negara” yang dapat Anda gunakan untuk membuat akun.

Dengan menggunakan aplikasi ini, pengguna dapat “menyewa” nomor dengan harga kurang dari setengah dolar dan, dalam banyak kasus, menggunakan nomor tersebut untuk memverifikasi akun.

It is believed that the Symoo app is used to receive and forward OTP verification codes generated when people create accounts using ActivationPW.

sumber : bleeping computer

Google Chrome Canary mendapat dukungan eksperimental Encrypted Client Hello (ECH)

by

Pengguna Google Chrome Canary dapat mengaktifkan dukungan eksperimental untuk Encrypted Client Hello (ECH) sekarang. Klien Terenkripsi Halo, juga disebut sebagai SNI Aman, meningkatkan privasi koneksi Internet. Ini agak teknis, tetapi dipecah ke intinya, ECH melindungi nama host agar tidak terpapar ke Penyedia Layanan Internet, penyedia jaringan, dan entitas lain dengan kemampuan mendengarkan lalu lintas jaringan.

Anda dapat memeriksa apakah ECH diaktifkan di browser Anda menggunakan situs web Pemeriksaan Keamanan Pengalaman Penjelajahan Cloudflare.

Pengenalan dukungan ECH di Google Chrome Canary menandai awal peluncuran yang lebih luas di antara sebagian besar browser berbasis Chromium. Meskipun tanda eksperimental dapat dihapus kapan saja tanpa pemberitahuan lebih lanjut, tampaknya dukungan ECH tidak akan diluncurkan ke Chrome Stable dan browser lain yang berbasis Chromium. Mozilla menambahkan dukungan untuk ECH pada tahun 2021 sudah ada di Firefox.

Pengguna Chrome Canary yang ingin mencobanya perlu melakukan penyesuaian berikut di Chrome Canary:

  • 1. Muat chrome://settings/help untuk memastikan bahwa versi terbaru Chrome Canary telah diinstal. Chrome memeriksa pembaruan dan akan memasang apa pun yang ditemukannya. Restart kemudian diperlukan untuk menyelesaikan pembaruan.
  • 2. Muat chrome://flags/#encrypted-client-hello di bilah alamat browser.
  • 3. Setel status bendera ClientHello Terenkripsi ke Diaktifkan.
  • 4. Mulai ulang Google Chrome.

Klien Terenkripsi Halo diaktifkan di Chrome setelah dimulai ulang. Anda dapat membatalkan perubahan kapan saja dengan menyetel status bendera ke Dinonaktifkan menggunakan petunjuk langkah demi langkah di atas. Gunakan halaman pengujian Cloudflare atau halaman pengujian lainnya untuk mengetahui apakah fitur tersebut berfungsi seperti yang diiklankan.

Selengkapnya: ghacks.net

Google Mengidentifikasi 34 Versi Crack Alat Peretasan Cobalt Strike Populer di Alam Liar

by

Google Cloud minggu lalu mengungkapkan bahwa mereka mengidentifikasi 34 versi rilis yang diretas dari alat Cobalt Strike di alam liar, yang paling awal dikirim pada November 2012.

Cobalt Strike, dikembangkan oleh Fortra (née HelpSystems), adalah kerangka kerja permusuhan populer yang digunakan oleh tim merah untuk mensimulasikan skenario serangan dan menguji ketahanan pertahanan dunia maya mereka.

“Sementara niat Cobalt Strike adalah untuk meniru ancaman dunia maya yang nyata, aktor jahat telah memanfaatkan kemampuannya, dan menggunakannya sebagai alat yang kuat untuk pergerakan lateral di jaringan korban mereka sebagai bagian dari muatan serangan tahap kedua mereka,” Greg Sinclair, seorang insinyur balik di anak perusahaan Google Chronicle, mengatakan.

Dalam upaya untuk mengatasi penyalahgunaan ini, GCTI telah merilis seperangkat Aturan YARA open source untuk menandai berbagai varian perangkat lunak yang digunakan oleh grup peretas berbahaya.

Idenya adalah untuk “mengecualikan versi buruk sambil membiarkan yang sah tidak tersentuh,” kata Sinclair, menambahkan “niat kami adalah untuk memindahkan alat kembali ke domain tim merah yang sah dan mempersulit orang jahat untuk menyalahgunakan.”

sumber : the hacker news

Google Membayar Denda Sebesar $391,5 Juta Untuk Melacak Lokasi Pengguna Android

by

Google membayar denda sebesar $391,5 juta untuk gugatan privasi yang diajukan oleh jaksa agung AS dari 40 negara bagian.

Sesuai kesepakatan, jaksa agung AS telah menemukan bahwa raksasa pencarian menyesatkan pengguna Android dan telah melacak lokasi mereka bahkan ketika mereka menonaktifkan pelacakan GPS, dan ini telah terjadi sejak 2014.

Google membayar penalti dikarenakan melacak lokasi pengguna tanpa persetujuan
Google menggunakan ‘Aktivitas Web & Aplikasi’ untuk melacak lokasi dan riwayat pengguna, yang memungkinkan mereka mengumpulkan, menyimpan, dan memproses data pengguna akhir tanpa persetujuan mereka.

Google harus menjadi lebih transparan dengan pengguna android mengenai pelacakan lokasi dan bagaimana data pengguna akan diproses.

Persyaratan transparansi penyelesaian ini akan memastikan bahwa Google tidak hanya membuat pengguna mengetahui bagaimana data lokasi mereka digunakan, tetapi juga bagaimana mengubah pengaturan akun mereka jika mereka ingin menonaktifkan pengaturan akun terkait lokasi.

Kemudian, Google mengambil solusi dan memperbaiki prosedure pelacak lokasinya dan menghentikan pengguna yang menyesatkan untuk hal yang sama

Selain itu, Google kembali didenda $170 juta oleh Frandce National Commission on Informatics and Liberty (CNIL) atas kebebasan persetujuan pengguna internet dengan mempersulit penonaktifan cookie palacakan situs web dengan opsi yang disembunyikan di balik beberapa navigasi

Google membayar penalti lebih dari 5 miliar penalti untuk eksploitasi data pengguna

  • Google membayar denda $2,72 miliar karena menyalahgunakan posisi pasar dominannya untuk memanipulasi hasil pencarian pada Juni 2017
  • Google membayar denda sebesar €220 juta untuk layanan pendukung yang merugikan pesaing pada Juni 2021.
  • Google membayar denda sebesar €220 juta untuk layanan pendukung yang merugikan pesaing pada Juni 2021.
  • Google membayar denda sebesar $1,7 miliar untuk praktik antipersaingan dalam periklanan digital pada Maret 2019.

Gugatan ini pertama kali diajukan oleh empat pengacara AS pada Januari 2021 untuk melacak lokasi pengguna tanpa persetujuan mereka dan sekarang Google telah membayar penyelesaian untuk gugatan class action lawsuit tersebut

sumber : the cyber security times

Aplikasi Google Play Store Berbahaya Terlihat Mendistribusikan Trojan Xenomorph Banking

by

Google telah menghapus dua aplikasi dropper jahat baru yang telah terdeteksi di Play Store untuk Android, salah satunya dianggap sebagai aplikasi gaya hidup dan diketahui mendistribusikan malware perbankan Xenomorph.

“Xenomorph adalah trojan yang mencuri kredensial dari aplikasi perbankan di perangkat pengguna,” kata peneliti Zscaler ThreatLabz Himanshu Sharma dan Viral Gandhi dalam analisis yang diterbitkan Kamis.

dua aplikasi malicious/berbahaya adalah sebagai berikut

  • Todo: Day manager (com.todo.daymanager)
  • 経費キーパー (com.setprice.expenses)

Xenomorph, pertama kali didokumentasikan oleh ThreatFabric awal Februari ini, diketahui menyalahgunakan izin aksesibilitas Android untuk melakukan serangan overlay, di mana layar login palsu ditampilkan di atas aplikasi bank yang sah untuk mencuri kredensial korban.

Terlebih lagi, malware memanfaatkan deskripsi saluran Telegram untuk memecahkan kode dan membangun domain command-and-control (C2) yang digunakan untuk menerima perintah tambahan.

Perkembangan tersebut mengikuti penemuan empat aplikasi jahat di Google Play yang ditemukan mengarahkan korban ke situs web jahat sebagai bagian dari kampanye pencurian informasi dan adware. Google mengatakan kepada The Hacker News bahwa sejak itu mereka telah melarang pengembang.

sumber : the hacker news