Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Programming Language / Javascript

Javascript

Microsoft: Pencuri kartu kredit semakin tersembunyi

by

Peneliti keamanan Microsoft telah mengamati tren yang mengkhawatirkan dalam skimming kartu kredit, di mana pelaku ancaman menggunakan teknik yang lebih canggih untuk menyembunyikan kode pencuri informasi berbahaya mereka.

Geng skimming mengaburkan cuplikan kode mereka, menyuntikkannya ke dalam file gambar, dan menyamarkannya sebagai aplikasi web populer untuk menghindari deteksi.

Ini merusak keefektifan produk pendeteksi ancaman dan meningkatkan kemungkinan informasi kartu kredit pengguna internet dicuri oleh pelaku kejahatan.

Skimming kartu pembayaran adalah serangan berbasis web di mana peretas menyuntikkan kode JavaScript berbahaya ke situs web e-niaga dengan mengeksploitasi kerentanan pada platform yang mendasarinya (Magento, PrestaShop, WordPress, dll.) atau praktik keamanan yang buruk.

Kode diaktifkan ketika pengunjung situs mencapai halaman checkout dan mulai memasukkan rincian kartu kredit atau debit mereka untuk membayar pesanan yang ditempatkan.

Apa pun yang diketik pada formulir halaman itu dicuri oleh skimmer dan dikirim ke operator jahat yang kemudian menggunakan detail ini untuk melakukan pembelian online atau menjual data kepada orang lain.

Ikhtisar serangan skimming (Microsoft)

Analis Microsoft melaporkan melihat peningkatan dalam penggunaan tiga metode persembunyian: menyuntikkan skrip dalam gambar, penggabungan string, dan spoofing skrip.

Dalam kasus pertama, file gambar berbahaya diunggah ke server target yang menyamar sebagai favicon. Isinya, bagaimanapun, termasuk skrip PHP dengan JavaScript yang disandikan base64.

Script berjalan untuk mengidentifikasi halaman checkout, menjalankan pemeriksaan untuk mengecualikan pengguna admin, dan kemudian menyajikan formulir palsu kepada pengunjung situs yang sah.

Memvalidasi status pengguna admin (Microsoft)

Menggunakan kebingungan rangkaian string, penyerang memuat skimmer dari domain di bawah kendali mereka menggunakan implan di situs target.

Domain dikodekan base64 dan digabungkan dari beberapa string, sedangkan skimmer itu sendiri tidak perlu dikaburkan karena tidak di-host pada platform yang ditargetkan.

URL yang disandikan gabungan (Microsoft)

Yang ketiga, script spoofing, tren menyamarkan skimmer sebagai Google Analytics atau Meta Pixel (Facebook Pixel), dua alat pelacak pengunjung yang banyak digunakan hadir di hampir setiap situs.

Pelaku ancaman menyuntikkan string yang disandikan base64 ke dalam kode Google Pengelola Tag palsu, menipu admin agar melewatkan pemeriksaan, mengira itu adalah bagian dari kode standar situs web.

Skimmer dipalsukan sebagai kode Google Analytics (Microsoft)

Dalam kasus Meta Pixel, pelaku ancaman meniru beberapa parameter umum dari plugin yang sebenarnya sambil juga menjaga URL skimmer dikodekan di base64 dan dipecah menjadi beberapa string.

Memalsukan fungsi Meta Pixel (Microsoft)

Analisis Microsoft mengungkapkan bahwa skrip tersebut tidak hanya memuat skimmer kartu tetapi juga menampilkan mekanisme anti-debugging tetapi tidak dapat mengaburkannya ke tingkat yang diperlukan untuk detail lebih lanjut tentang fungsi itu.

Karakteristik umum di antara semua skimmer kartu pembayaran termasuk adanya string yang disandikan base64 dan fungsi JavaScript “atob()” pada halaman web yang disusupi.

Selain pemindaian dan deteksi aktif, administrator situs web harus memastikan bahwa mereka menjalankan versi terbaru dari sistem manajemen konten (CMS) dan plugin mereka.

Dari perspektif pelanggan, meminimalkan kerusakan skimmer hanya dimungkinkan dengan menggunakan kartu pribadi satu kali, menetapkan batas pembayaran yang ketat, atau menggunakan metode pembayaran elektronik.

Sumber: Bleeping Computer

Misteri Paket JavaScript NPM Backdoor yang Menargetkan Industri Terpecahkan

by

Paket berbahaya di NPM Registry yang selama berminggu-minggu diyakini oleh peneliti keamanan digunakan untuk melancarkan serangan rantai pasokan terhadap perusahaan industri terkemuka di Jerman ternyata menjadi bagian dari uji penetrasi yang dijalankan oleh perusahaan keamanan siber.

Baru-baru ini, pembuat perangkat lunak JFrog dan perusahaan keamanan siber ReversingLabs minggu ini merilis temuan mereka sendiri tentang beberapa perpustakaan berbahaya di NPM Registry yang semuanya menggunakan muatan yang sama dan milik keluarga malware yang sama dengan yang dianalisis oleh Snyk. Tujuannya tampaknya untuk meluncurkan serangan ketergantungan-kebingungan di mana aplikasi dalam perusahaan Jerman akhirnya menggunakan, melalui kesalahan konfigurasi atau sesuatu seperti itu, modul npm berbahaya daripada paket yang sah dengan nama yang mirip atau masuk akal. Jika berhasil, pengembang dalam perusahaan tertentu akan tertipu untuk memperkenalkan pintu belakang ke dalam basis kode mereka.

Peneliti JFrog dalam posting blog mereka menulis bahwa “dibandingkan dengan kebanyakan malware yang ditemukan di repositori npm, muatan ini tampaknya sangat berbahaya: malware yang sangat canggih dan dikaburkan yang bertindak sebagai pintu belakang dan memungkinkan penyerang untuk mengambil kendali penuh atas yang terinfeksi. mesin. Selain itu, malware ini tampaknya merupakan pengembangan internal dan tidak didasarkan pada alat yang tersedia untuk umum.”

Bukan hal yang aneh bagi peneliti keamanan untuk mengumpulkan paket mereka sendiri untuk tujuan pengujian. Dalam laporannya, pemburu ancaman Snyk mengatakan mereka mendeteksi paket npm ini sebagai bagian dari upaya yang lebih besar untuk melihat apa yang mereka katakan sebagai peningkatan konstan dalam jumlah dependensi berbahaya yang muncul di ekosistem yang berbeda dan bahwa sebagian besar dari mereka adalah jinak.

Maksudnya kode tersebut digunakan untuk mengumpulkan informasi tetapi tidak membahayakan mesin yang terinfeksi. Para peneliti menyebut ini sebagai paket “jahat lembut” yang memiliki beragam tugas, termasuk eksfiltrasi informasi terkait mesin melalui pencarian DNS yang tidak melakukan tindakan lain, atau penambang cryptocurrency yang menyedot daya komputasi dari sistem yang disusupi tetapi tidak berbahaya.

Meskipun tim intelijen ancaman di JFrog, Snyk, dan ReversingLabs menghabiskan waktu berminggu-minggu untuk menganalisis praktik jahat tersebut, Menashe mengatakan perusahaan pentesting tidak terlalu mengkhawatirkan perusahaan seperti trio yang disebutkan di atas.

“Saya khawatir tentang PSIRT [tim respons insiden keamanan produk] klien yang mungkin telah menangkap serangan ini, tidak tahu apa itu (karena tidak ada cara untuk membedakan ini dari serangan nyata) dan mengacak-acak seperti yang kami lakukan,” tambahnya. “Saya juga khawatir tentang kemungkinan skenario di mana muatan pintu belakang ini dibajak oleh aktor ancaman nyata dan digunakan untuk menyebabkan kerusakan nyata.”

Yang mengatakan, bahkan setelah menggali ke dalam paket berbahaya dan sebelum pengakuan Code White, para peneliti JFrog tidak yakin apa yang mereka lihat, meskipun mereka mengatakan mereka memiliki “beberapa petunjuk nyata.”

Ada detail yang menunjukkan bahwa aktor ancaman nyata yang canggih berada di balik paket jahat, seperti penggunaan kode khusus, serangan yang sangat ditargetkan, dan mengandalkan informasi orang dalam yang “sulit didapat”, seperti nama paket pribadi. Selain itu, muatannya sangat mumpuni, berisi fitur seperti parameter konfigurasi dinamis yang tidak diperlukan untuk pengujian pena sederhana dan tidak memiliki deskripsi atau indikasi bahwa fitur tersebut digunakan untuk pengujian.

Namun, ada juga indikator bahwa itu adalah bagian dari apa yang mereka gambarkan sebagai tes penetrasi “sangat agresif”, termasuk bahwa nama pengguna yang dibuat di registri npm tidak mencoba menyembunyikan perusahaan yang ditargetkan dan obfuscator yang digunakan adalah milik publik, yang dapat dengan mudah dideteksi dan dibalik.

Sumber: The Register

Kode JavaScript berbahaya terlihat di situs yang disusupi (Avast)

by

Sistem arah lalu lintas baru (TDS) yang disebut Parrot mengandalkan server yang menampung 16.500 situs web universitas, pemerintah daerah, platform konten dewasa, dan blog pribadi.

Penggunaan Parrot adalah untuk kampanye jahat untuk mengarahkan calon korban yang cocok dengan profil tertentu (lokasi, bahasa, sistem operasi, browser) ke sumber daya online seperti situs phishing dan menjatuhkan malware.

Pelaku ancaman yang menjalankan kampanye jahat membeli layanan TDS untuk memfilter lalu lintas masuk dan mengirimkannya ke tujuan akhir yang menyajikan konten berbahaya.

Parrot TDS ditemukan oleh analis ancaman di Avast, yang melaporkan bahwa saat ini digunakan untuk kampanye yang disebut FakeUpdate, yang mengirimkan trojan akses jarak jauh (RAT) melalui pemberitahuan pembaruan browser palsu.

Situs yang menampilkan peringatan pembaruan browser palsu (Avast)

Kampanye tampaknya telah dimulai pada Februari 2022 tetapi tanda-tanda aktivitas Parrot telah dilacak hingga Oktober 2021.

Kode JavaScript berbahaya terlihat di situs yang disusupi (Avast)

Pelaku ancaman telah menanam web shell berbahaya di server yang disusupi dan menyalinnya ke berbagai lokasi dengan nama serupa yang mengikuti pola “parroting”.

Selain itu, musuh menggunakan skrip backdoor PHP yang mengekstrak informasi klien dan meneruskan permintaan ke server perintah dan kontrol (C2) Parrot TDS.

Dalam beberapa kasus, operator menggunakan pintasan tanpa skrip PHP, mengirimkan permintaan langsung ke infrastruktur Parrot.

Penerusan langsung dan proksi Parrot (Avast)

Avast mengatakan bahwa pada Maret 2022 saja layanannya melindungi lebih dari 600.000 kliennya dari mengunjungi situs yang terinfeksi ini, yang menunjukkan skala besar gerbang pengalihan Parrot.

Sebagian besar pengguna yang ditargetkan oleh pengalihan berbahaya ini berada di Brasil, India, Amerika Serikat, Singapura, dan Indonesia.

Pengalihan Parrot mencoba peta panas (Avast)

Seperti yang dijelaskan Avast dalam laporan, profil pengguna dan pemfilteran kampanye tertentu sangat disesuaikan sehingga pelaku jahat dapat menargetkan orang tertentu dari ribuan pengguna yang dialihkan.

Ini dicapai dengan mengirimkan target tersebut ke URL unik yang menjatuhkan muatan berdasarkan perangkat keras, perangkat lunak, dan profil jaringan yang ekstensif.

Payload yang dijatuhkan pada sistem target adalah NetSupport Client RAT yang diatur untuk berjalan dalam mode senyap, yang menyediakan akses langsung ke mesin yang disusupi.

Detail payload yang dijatuhkan (Avast)

Sementara kampanye RAT saat ini merupakan operasi utama yang dilayani oleh Parrot TDS, analis Avast juga memperhatikan beberapa server terinfeksi yang menghosting situs phishing.

Halaman arahan tersebut menyerupai halaman login Microsoft yang tampak sah yang meminta pengunjung untuk memasukkan kredensial akun mereka.

Salah satu situs phishing yang dilayani oleh Parrot TDS (Avast)

Untuk admin server web yang berpotensi disusupi, Avast merekomendasikan tindakan berikut:

  • Pindai semua file di server web dengan antivirus.
  • Ganti semua file JavaScript dan PHP di server web dengan yang asli.
  • Gunakan versi CMS dan versi plugin terbaru.
  • Periksa untuk menjalankan tugas secara otomatis di server web seperti tugas cron.
  • Selalu gunakan kredensial unik dan kuat untuk setiap layanan dan semua akun, dan tambahkan 2FA jika memungkinkan.
  • Gunakan beberapa plugin keamanan yang tersedia untuk WordPress dan Joomla

Sumber : Bleeping Computer

Malware DazzleSpy Baru Menargetkan Pengguna macOS Dalam Serangan Watering Hole

by

Serangan lubang air baru ditemukan menargetkan pengguna macOS dan pengunjung situs web stasiun radio pro-demokrasi di Hong Kong yang menginfeksi mereka dengan malware DazzleSpy.

Seperti yang dirinci oleh para peneliti di ESET , itu adalah bagian dari operasi yang sama yang diungkapkan oleh Project Zero Google dua minggu lalu, yang memanfaatkan Chrome dan Windows zero-days untuk meretas ke perangkat Windows dan Android.

Laporan ESET berfokus pada eksploitasi kelemahan WebKit di browser web Safari, yang pada dasarnya menambahkan potongan terakhir dalam teka-teki dan mengonfirmasi bahwa kampanye tersebut menargetkan semua platform utama.

Serangan lubang air melibatkan infeksi situs web yang sah dengan malware, menargetkan demografi situs itu, dan dalam beberapa kasus, hanya alamat IP tertentu.

Kampanye tersebut menargetkan para pendukung kebebasan berbicara, kemerdekaan, dan aktivis politik. Salah satu contohnya yaitu situs palsu yang berusaha memikat para aktivis pembebasan dengan menggunakan domain “fightforhk[.]com” yang baru didaftarkan pada Oktober 2021.

Portal aktivis palsu
Sumber: ESET

Kedua situs web ini menampilkan iframe berbahaya yang mengarah ke domain yang memeriksa versi macOS dan mengalihkan ke tahap berikutnya, yang memuat kode JavaScript eksploit.

Iframe berbahaya yang memicu awal eksploitasi
Sumber: ESET

Eksploitasi menargetkan CVE-2021-1789, kesalahan eksekusi kode arbitrer yang dipicu saat memproses konten web dan memengaruhi versi Safari di bawah 14.1.

Eksploitasi mengimplementasikan dua primitif (‘addrof’ dan ‘fakeobj’) untuk mendapatkan akses baca dan tulis memori, sementara itu juga berisi kode yang membantu melewati mitigasi seperti ‘Gigacage’ dan memuat tahap berikutnya.

Langkah selanjutnya adalah eskalasi hak istimewa ke root, yang terjadi melalui file Mach-O yang dimuat ke dalam memori dan dieksekusi.

Kerentanan yang dieksploitasi untuk mencapai eskalasi hak istimewa adalah CVE-2021-30869, yang memungkinkan aplikasi untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

mata-mata yang mempesona
Langkah terakhir dalam proses ini adalah menjatuhkan DazzleSpy, pintu belakang kaya fitur yang mencakup berbagai kemampuan jahat.

DazzleSpy menetapkan kegigihan pada sistem yang disusupi dengan menambahkan file Daftar Properti baru ke folder ‘LaunchAgents’. Eksekusinya bersembunyi di $HOME/.local/ dengan nama ‘softwareupdate’ yang menyesatkan.

Entri Daftar Properti Baru
Sumber: ESET

Ada banyak petunjuk yang menunjukkan asal pintu belakang, seperti pesan kesalahan internal, yang ditulis dalam bahasa Mandarin, dan konversi cap waktu yang dieksfiltrasi ke zona Waktu Standar China sebelum mencapai C2.

Pesan kesalahan internal dalam bahasa Cina
Sumber: ESET

Terakhir, DazzleSpy menampilkan enkripsi ujung ke ujung dalam komunikasinya, dan jika perantara memasukkan proxy pemeriksaan TLS di antaranya, ia berhenti mengirim data ke C2.

Sumber : Bleeping Computer

Dev Merusak NPM Library ‘color’ dan ‘faker’ melanggar ribuan aplikasi

by

Pengguna perpustakaan open-source populer ‘warna’ dan ‘faker’ dibiarkan tertegun setelah mereka melihat aplikasi mereka, menggunakan perpustakaan ini, mencetak data omong kosong dan melanggar.

Beberapa menduga jika perpustakaan NPM telah dikompromikan, tetapi ternyata ada lebih banyak cerita.

Pengembang perpustakaan ini sengaja memperkenalkan loop tak terbatas yang membangun ribuan proyek yang bergantung pada ‘warna’ dan ‘faker.’

Perpustakaan warna menerima lebih dari 20 juta unduhan mingguan di NPM saja dan memiliki hampir 19.000 proyek yang mengandalkannya. Sedangkan, faker menerima lebih dari 2,8 juta unduhan mingguan di NPM, dan memiliki lebih dari 2.500 tanggungan.

Revolusi Open Source?

Pengembang di balik perpustakaan NPM open-source populer ‘warna’ (alias color.js di GitHub) dan ‘faker’ (alias ‘faker.js’ di GitHub) sengaja memperkenalkan komit nakal di dalamnya yang berdampak pada ribuan aplikasi yang mengandalkan perpustakaan ini.

Kemarin, pengguna proyek open-source populer, seperti Amazon Cloud Development Kit (aws-cdk) tercengang melihat aplikasi mereka mencetak pesan omong kosong di konsol mereka.

Pesan-pesan ini termasuk teks ‘LIBERTY LIBERTY LIBERTY’ diikuti oleh urutan karakter non-ASCII:

Awalnya, pengguna menduga bahwa perpustakaan ‘warna’ dan ‘faker’ yang digunakan oleh proyek-proyek ini dikompromikan [1, 2, 3], mirip dengan bagaimana perpustakaan coa, rc, dan ua-parser-js dibajak tahun lalu oleh aktor jahat.

Tapi, pada kenyataannya, itu adalah dev di balik warna dan faker yang tampaknya telah sengaja melakukan kode yang bertanggung jawab atas kesalahan besar, seperti yang dilihat oleh BleepingComputer.

Pengembang, bernama Marak Squires menambahkan “modul bendera Amerika baru” ke perpustakaan warna.js kemarin dalam versi v1.4.44-liberty-2 yang kemudian ia dorong ke GitHub dan NPM.

Loop tak terbatas yang diperkenalkan dalam kode akan terus berjalan tanpa batas waktu; mencetak urutan karakter non-ASCII omong kosong tanpa henti pada konsol untuk aplikasi apa pun yang menggunakan ‘colors.’

Alasan di balik kenakalan ini di pihak pengembang tampaknya adalah pembalasan – terhadap mega-perusahaan dan konsumen komersial proyek open-source yang secara luas bergantung pada perangkat lunak bebas biaya dan bertenaga masyarakat tetapi tidak memberikan kembali kepada masyarakat.

Selengkapnya: Bleepingcomputer

Phishing Microsoft Office 365 menghindari deteksi dengan potongan HTML Lego

by

Kampanye phishing baru-baru ini menggunakan trik cerdas untuk mengirimkan halaman web penipuan yang mengumpulkan kredensial Microsoft Office 365 dengan membangunnya dari potongan kode HTML yang disimpan secara lokal dan jarak jauh.

Metode ini terdiri dari menempelkan beberapa bagian HTML yang disembunyikan dalam file JavaScript untuk mendapatkan antarmuka login palsu dan meminta calon korban untuk mengetikkan informasi sensitif.

Para korban menerima email dengan hanya lampiran yang mengaku sebagai file Excel (.XLSX) tentang investasi. Pada kenyataannya, file tersebut adalah dokumen HTML dengan potongan teks yang dienkode URL.

Para peneliti di Trustwave menerjemahkan teks tersebut dan menemukan lebih banyak decoding di depan karena teks tersebut selanjutnya dikaburkan melalui kode Entity. Dengan menggunakan CyberChef GCHQ, mereka mengungkapkan tautan ke dua file JavaScript yang dihosting di “yourjavascript.com”, sebuah domain yang digunakan untuk kampanye phishing lainnya.

Masing-masing dari dua file JavaScript memiliki dua blok teks yang disandikan yang menyembunyikan kode HTML, URL dan Base64 yang dikodekan.

Di salah satunya, peneliti menemukan halaman awal dan kode phishing yang memvalidasi email dan password dari korban.

Secara keseluruhan, para peneliti menerjemahkan lebih dari 367 baris kode HTML yang tersebar dalam lima bagian di antara dua file JavaScript dan satu lampiran email, yang, ditumpuk bersama, membangun halaman phishing Microsoft Office 365.

Sumber: Bleeping Computer

Trustwave mengatakan bahwa hal yang tidak biasa tentang kampanye ini adalah bahwa JavaScript diunduh dalam potongan yang dikaburkan dari lokasi yang jauh dan kemudian disatukan secara lokal.

Dalam posting blog nya, Trustwave mencatat bahwa URL yang menerima kredensial yang dicuri untuk kampanye ini masih aktif.

Bleeping Computer

Grup Skimmer Kartu Pembayaran Menggunakan Raccoon Info-Stealer untuk Menyedot Data

by

Sebuah grup kejahatan siber yang dikenal karena menargetkan situs web e-commerce melepaskan “kampanye jahat multi-tahap” awal tahun ini yang dirancang dengan maksud untuk mendistribusikan info-stealer dan skimmer pembayaran berbasis JavaScript.

Dalam laporan baru yang diterbitkan, perusahaan keamanan siber yang berbasis di Singapura Group-IB mengaitkan operasi tersebut dengan grup yang sama yang telah dikaitkan dengan serangan lain yang ditujukan untuk pedagang online dan menggunakan malware pencuri kata sandi untuk menginfeksi situs web mereka dengan FakeSecurity JavaScript-sniffers (JS-sniffers).

Kampanye ini berkembang dalam empat gelombang, dimulai pada Februari dan berakhir pada September, dengan operator mengandalkan halaman phishing yang dibuat khusus dan dokumen iming-iming yang dilengkapi dengan makro berbahaya untuk mengunduh pencuri informasi Vidar dan Raccoon ke sistem korban.

Tujuan akhir dari serangan itu, catat para peneliti, adalah untuk mencuri pembayaran dan data pengguna melalui beberapa vektor serangan dan alat untuk mengirimkan malware.

Sumber: Group IB

Sementara gelombang pertama kampanye pada bulan Februari dan Maret mengirimkan pencuri kata sandi Vidar untuk mencegat kata sandi dari browser pengguna dan berbagai aplikasi, iterasi berikutnya dialihkan ke Raccoon stealer dan AveMaria RAT untuk memenuhi tujuannya.

Bersama dengan empat tahap yang dijelaskan di atas, Group-IB juga mengamati fase sementara antara Mei hingga September 2020, saat sebanyak 20 toko online terinfeksi dengan JS-sniffer yang dimodifikasi dari keluarga FakeSecurity.

Sumber: The Hacker News

Worm Lama Tapi Teknik Obfuscation Baru

by

Kemarin saya menemukan skrip JavaSvript yang menarik yang dikirim melalui kampanye phishing biasa (SHA256: 70c0b9d1c88f082bad6ae01fef653da6266d0693b24e08dcb04156a629dd6f81) dan memiliki skor VT 17/61.

Penyamaran skrip sederhana namun efektif: kode berbahaya didekodekan dan diteruskan ke fungsi eval () untuk dieksekusi. Payload adalah string karakter Unicode yang diubah satu per satu melalui fungsi wrwrwrwererw (). Karakter pertama adalah ‘huruf kapital cyrillic ef’ yang memiliki kode desimal 1060. Karakter yang dikembalikan akan menjadi ‘/’ (kode ASCII 47). Anda tidak perlu mendekode ini secara manual, cukup ganti eval () dengan echo () dan Anda akan mendapatkan skrip yang didekodekan. Mari kita lihat. Skrip baru juga dikaburkan tetapi tetap mudah dibaca.
Worm ini telah digunakan berkali-kali dalam berbagai kampanye dan tampaknya masih aktif sampai sekarang. Server C2 adalah hxxp: // dhanaolaipallets [.] Com: 7974 /.

sumber : SANS.EDU