Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Malware AI Mengembangkan Masalah Keamanan, survei CyberArk menemukan

by

Sebuah laporan global baru oleh perusahaan keamanan siber CyberArk mengungkapkan bahwa pertemuan antara kondisi ekonomi yang menantang dan inovasi teknologi yang cepat, termasuk munculnya kecerdasan buatan (AI), memperluas lanskap ancaman keamanan siber yang dipimpin oleh identitas.

CyberArk 2023 Identity Security Threat Landscape Report, ditugaskan oleh CyberArk dan dilakukan oleh firma riset pasar Vanson Bourne, mensurvei 2.300 pembuat keputusan keamanan siber di seluruh organisasi sektor swasta dan publik dengan 500 karyawan ke atas di 16 negara. Ditemukan bahwa hampir semua organisasi — 99,9% — mengantisipasi kompromi terkait identitas tahun ini, karena faktor-faktor seperti pemotongan ekonomi, masalah geopolitik, adopsi cloud, dan kerja hybrid.

Ancaman yang diaktifkan oleh AI adalah masalah yang signifikan, dengan 93% profesional keamanan yang disurvei memperkirakan ancaman tersebut akan berdampak pada organisasi mereka pada tahun 2023. Malware bertenaga AI disebut-sebut sebagai perhatian utama.

Enam puluh delapan persen organisasi mengharapkan masalah keamanan siber didorong oleh churn karyawan pada tahun 2023.

Laporan tersebut juga mengungkapkan bahwa organisasi berencana untuk menerapkan 68% lebih banyak alat software-as-a-service (SaaS) dalam 12 bulan ke depan. Karena sebagian besar identitas manusia dan mesin memiliki akses ke data sensitif melalui alat ini, jika tidak diamankan dengan baik, mereka dapat menjadi gerbang serangan.

Delapan puluh sembilan persen organisasi mengalami serangan ransomware dalam satu tahun terakhir, dengan 60% organisasi yang terkena dampak melaporkan melakukan pembayaran berkali-kali untuk pulih dari serangan ini.

Sektor energi, minyak, dan gas tampak sangat rentan, dengan 67% perusahaan di industri ini berharap mereka tidak akan dapat menghentikan atau bahkan mendeteksi serangan yang berasal dari rantai pasokan perangkat lunak mereka.

Area penting dari lingkungan TI tidak cukup terlindungi, dan tipe identitas tertentu menunjukkan risiko yang signifikan. Misalnya, 63% responden mengatakan bahwa akses karyawan dengan sensitivitas tertinggi tidak cukup aman.

sumber : venturebeat.com

Penjahat Siber Menggunakan Mesin BatCloak yang Kuat untuk Membuat Malware Sepenuhnya Tidak Terdeteksi

by

Mesin obfuscation malware yang sepenuhnya tidak terdeteksi (FUD), BatCloak, digunakan untuk menyebarkan berbagai jenis malware sejak September 2022, sambil terus menghindari deteksi antivirus.

Mesin BatCloak membentuk inti dari alat pembuat file batch siap pakai yang disebut Jlaive, dengan kemampuan mem-bypass Antimalware Scan Interface (AMSI) serta mengompres dan mengenkripsi muatan utama untuk mencapai penghindaran keamanan yang lebih tinggi.

Peneliti Trend Micro mengatakan bahwa sampel memberikan kemampuan pada aktor ancaman untuk memuat banyak keluarga malware dan mengeksploitasi dengan mudah melalui file batch yang sangat disamarkan.

Sekitar 79,6% dari total 784 artefak yang digali tidak memiliki deteksi di semua solusi keamanan.

Alat open-source telah diiklankan sebagai “EXE to BAT crypter”. Sejak itu telah dikloning dan dimodifikasi oleh aktor lain dan dipindahkan ke bahasa seperti Rust.

Rantai serangan Jlaive
Rantai serangan Jlaive

Payload terakhir dienkapsulasi menggunakan tiga lapisan pemuat, yaitu pemuat C#, PowerShell, dan batch. Pemuat batch berisi pemuat PowerShell yang disamarkan dan biner rintisan C# terenkripsi.

Peneliti Peter Girnus dan Aliakbar Zahravi mengatakan bahwa pada akhirnya, Jlaive menggunakan BatCloak sebagai mesin kebingungan file untuk mengaburkan pemuat batch dan menyimpannya di disk.

BatCloak telah menerima banyak pembaruan dan adaptasi. ScrubCrypt, versi terbarunya yang pertama kali disorot oleh Fortinet FortiGuard Labs sehubungan dengan operasi cryptojacking yang dilakukan oleh 8220 Gang. ScrubCrypt dirancang agar dapat dioperasikan dengan berbagai keluarga malware terkenal.

ScrubCrypt dapat dikaitkan dengan pencapaian proyek seperti Jlaive, serta keinginan untuk memonetisasi proyek dan melindunginya terhadap replikasi yang tidak sah.

Para peneliti menyimpulkan bahwa evolusi BatCloak menggarisbawahi fleksibilitas dan kemampuan beradaptasi dari mesin ini dan menyoroti pengembangan obfuscator batch FUD, menunjukkan kehadiran teknik tersebut di lanskap ancaman modern.

Selengkapnya: The Hacker News

Evolusi Ancaman Teknologi Informasi Kuartal Pertama 2023

by

Targeted Attacks

BlueNoroff memperkenalkan metode baru untuk bypass MotW

Pada akhir tahun 2022, peneliti melaporkan aktivitas BlueNoroff, aktor ancaman yang bermotivasi finansial dan dikenal mencuri mata uang kripto. Pelaku ancaman biasanya mengeksploitasi dokumen Word, menggunakan file shortcut untuk intrusi awal. Namun, baru-baru ini grup tersebut telah mengadopsi metode baru untuk mengirimkan malware-nya.
Salah satunya, yang dirancang untuk menghindari bendera Mark-of-the-Web (MotW), adalah penggunaan format file .ISO (optical disk image) dan .VHD (virtual hard disk). MotW adalah ukuran keamanan Windows — sistem menampilkan pesan peringatan saat seseorang mencoba membuka file yang diunduh dari internet.

BlueNoroff
BlueNoroff

Roaming Mantis menerapkan DNS changer baru

Peneliti juga terus melacak aktivitas Roaming Mantis (alias Shaoye), aktor ancaman mapan yang menargetkan negara-negara di Asia. Dari 2019 hingga 2022, pelaku ancaman ini terutama menggunakan ‘smishing’ untuk mengirim tautan ke laman landasnya, dengan tujuan mengendalikan perangkat Android yang terinfeksi dan mencuri informasi perangkat, termasuk kredensial pengguna.

Namun, pada September 2022, peneliti menganalisis malware Android Wroba.o baru, yang digunakan oleh Roaming Mantis, dan menemukan fungsi pengubah DNS yang diterapkan untuk menargetkan router Wi-Fi tertentu yang digunakan terutama di Korea Selatan.

Roaming Mantis
Roaming Mantis

BadMagic: APT baru yang berhubungan dengan konflik Russia-Ukraina

Sejak awal konflik Rusia-Ukraina, peneliti telah mengidentifikasi sejumlah besar serangan dunia maya geo-politik, sebagaimana diuraikan dalam ikhtisar kami tentang serangan dunia maya yang terkait dengan konflik tersebut.

Oktober lalu, peneliti mengidentifikasi infeksi aktif organisasi pemerintah, pertanian, dan transportasi yang berlokasi di Donetsk, Lugansk, dan Krimea. Vektor awal kompromi tidak jelas, tetapi detail tahap selanjutnya menyiratkan penggunaan spear-phishing atau yang serupa. Target menavigasi ke URL yang mengarah ke arsip ZIP yang dihosting di server web berbahaya. Arsip ini berisi dua file: dokumen umpan (peneliti menemukan versi PDF, XLSX, dan DOCX) dan file LNK berbahaya dengan ekstensi ganda (mis. PDF.LNK) yang, ketika dibuka, menyebabkan infeksi.

BadMagic
BadMagic

Malware

Prilex menargetkan transaksi contactless pada credit card

Prilex telah berevolusi dari malware yang berfokus pada ATM menjadi ancaman PoS tercanggih yang pernah kami lihat sejauh ini. Pelaku ancaman melampaui pengikis memori lama yang terlihat dalam serangan PoS, hingga malware yang sangat canggih yang menyertakan skema kriptografi unik, penambalan perangkat lunak target secara real-time, memaksa penurunan versi protokol, memanipulasi kriptogram, melakukan apa yang disebut “transaksi GHOST” dan kredit penipuan kartu — bahkan pada kartu chip-dan-PIN.

Saat menyelidiki suatu insiden, kami menemukan sampel Prilex baru, dan salah satu fitur baru mencakup kemampuan untuk memblokir transaksi nirsentuh. Transaksi ini menghasilkan pengidentifikasi unik yang valid hanya untuk satu transaksi, menjadikannya tidak berharga bagi penjahat dunia maya. Dengan memblokir transaksi, Prilex mencoba memaksa pelanggan memasukkan kartu mereka untuk melakukan transaksi chip-dan-PIN, memungkinkan penjahat dunia maya untuk mengambil data dari kartu menggunakan teknik standar mereka.

Mencuri cryptocurrency menggunakan Tor browser palsu

Kami baru-baru ini menemukan kampanye pencurian mata uang kripto yang sedang berlangsung yang memengaruhi lebih dari 15.000 pengguna di 52 negara. Para penyerang menggunakan teknik yang telah ada selama lebih dari satu dekade dan awalnya digunakan oleh Trojan perbankan untuk mengganti nomor rekening bank. Namun, dalam kampanye baru-baru ini, penyerang menggunakan Tor Browser versi Trojan untuk mencuri mata uang kripto.

Target mengunduh Tor Browser versi Trojan dari sumber daya pihak ketiga yang berisi arsip RAR yang dilindungi kata sandi — kata sandi digunakan untuk mencegahnya terdeteksi oleh solusi keamanan. Setelah file dijatuhkan ke komputer target, ia mendaftarkan dirinya sendiri di mulai otomatis sistem dan menyamar sebagai ikon untuk aplikasi populer, seperti uTorrent.

Crypto Stealer
Crypto Stealer

Malvertising menggunakan search engine

Dalam beberapa bulan terakhir, kami mengamati peningkatan jumlah kampanye berbahaya yang menggunakan Iklan Google sebagai sarana untuk mendistribusikan dan mengirimkan malware. Setidaknya dua pencuri berbeda, Rhadamanthys dan RedLine, menyalahgunakan rencana promosi mesin pencari untuk mengirimkan muatan berbahaya ke komputer korban.

Mereka tampaknya menggunakan teknik yang sama untuk meniru situs web yang terkait dengan perangkat lunak terkenal, seperti Notepad ++ dan Blender 3D. Pelaku ancaman membuat salinan situs web perangkat lunak yang sah dan menggunakan “typosquatting” (menggunakan merek atau nama perusahaan yang dieja salah sebagai URL) atau “combosquatting” (seperti di atas, tetapi menambahkan kata acak sebagai URL) untuk membuat situs terlihat sah. Mereka kemudian membayar untuk mempromosikan situs di mesin pencari untuk mendorongnya ke bagian atas hasil pencarian — sebuah teknik yang dikenal sebagai “malvertising”.

Se

Malvertising
Malvertising

Selengkapnya: Secure List

Asylum Ambuscade: Grup Cybercrime dengan Ambisi Spionase

by

Kelompok ancaman yang dikenal dengan nama Asylum Ambuscade telah terlihat dalam operasi cybercrime dan cyber espionage sejak awal 2020.

“Mereka adalah kelompok crimeware yang menargetkan pelanggan bank dan pedagang cryptocurrency di berbagai wilayah, termasuk Amerika Utara dan Eropa,” kata ESET dalam analisis yang diterbitkan pada hari Kamis. “Asylum Ambuscade juga melakukan spionase terhadap entitas pemerintah di Eropa dan Asia Tengah.”

Asylum Ambuscade pertama kali didokumentasikan oleh Proofpoint pada Maret 2022 sebagai kampanye phishing yang disponsori oleh negara yang menargetkan entitas pemerintah Eropa dalam upaya untuk memperoleh intelijen tentang pergerakan pengungsi dan pasokan di wilayah tersebut.

Tujuan para penyerang, menurut perusahaan keamanan Siber Slovakia, adalah untuk mencuri informasi rahasia dan kredensial email web dari portal email resmi pemerintah.

Serangan ini dimulai dengan email spear-phishing yang membawa lampiran spreadsheet Excel berbahaya yang, ketika dibuka, akan mengeksploitasi kode VBA atau kerentanan Follina (CVE-2022-30190) untuk mengunduh paket MSI dari server jarak jauh.

Kemudian, installer menggunakan downloader yang ditulis dalam Lua yang disebut SunSeed (atau versi Visual Basic Script) untuk mengunduh malware berbasis AutoHotkey yang dikenal sebagai AHK Bot dari server jarak jauh.

Yang mencolok tentang Asylum Ambuscade adalah aksi kejahatan siber mereka yang telah menyerang lebih dari 4.500 korban di seluruh dunia sejak Januari 2022, dengan sebagian besar dari mereka berlokasi di Amerika Utara, Asia, Afrika, Eropa, dan Amerika Selatan.

Rantai kompromi ini mengikuti pola yang serupa kecuali vektor intrusi awalnya, yang melibatkan penggunaan iklan Google palsu atau sistem traffic direction system (TDS) untuk mengarahkan korban potensial ke situs web palsu yang mengirimkan file JavaScript berisi malware.

Serangan ini juga menggunakan versi Node.js dari AHK Bot yang diberi nama kode NODEBOT yang kemudian digunakan untuk mengunduh plugin yang bertanggung jawab atas pengambilan tangkapan layar, pencurian kata sandi, pengumpulan informasi sistem, dan instalasi trojan dan stealer tambahan.

Serangan ini menunjukkan bahwa para pelaku ancaman terus mengembangkan metode dan alat untuk mencapai tujuan jahat mereka. Penting bagi pengguna komputer dan internet untuk selalu waspada terhadap tautan yang mencurigakan, iklan palsu, dan situs web yang tidak dikenal.

Selain itu, penting juga untuk memperbarui perangkat lunak dan sistem keamanan secara teratur serta menggunakan solusi keamanan yang andal untuk melindungi diri dari serangan siber. Kesadaran akan teknik-teknik serangan dan kebijakan keamanan yang kuat adalah langkah-langkah yang krusial dalam menghadapi ancaman siber saat ini.

Selengkapnya: The Hacker News

Microsoft OneDrive down di seluruh dunia menyusul klaim serangan DDoS

by

Microsoft sedang menyelidiki pemadaman yang sedang berlangsung yang mencegah pelanggan OneDrive mengakses layanan hosting file cloud di seluruh dunia, seperti halnya aktor ancaman yang dikenal sebagai ‘Sudan Anonim’ mengklaim akan melakukan DDoS pada layanan tersebut

Pengguna yang mencoba membuka situs web OneDrive saat ini melihat pesan kesalahan “Maaf, telah terjadi kesalahan” dan “Halaman ini tidak berfungsi saat ini”.

Sementara perusahaan tidak memberikan perincian tentang apa yang menyebabkan pemadaman, insiden hari ini diklaim oleh peretas yang dikenal sebagai Anonymous Sudan, yang diyakini sebagian orang terkait dengan Rusia.

Mereka juga mengatakan bahwa mereka menghentikan sejumlah layanan Microsoft awal pekan ini dalam serangan denial-of-service (DDoS) terdistribusi.

“Microsoft, Anda pikir kami melupakan Anda? Kami termotivasi untuk mengajari Anda pelajaran yang sangat baik tentang kejujuran yang tidak pernah diajarkan oleh orang tua Anda kepada Anda,” kata mereka di grup Telegram publik mereka.

“Onedrive telah dimatikan. Mari kita lihat alasan barumu sekarang.”

OneDrive outage

Insiden hari ini mengikuti pemadaman panjang lainnya dari awal minggu ini yang memengaruhi beberapa layanan dan fitur Microsoft, termasuk Outlook, SharePoint Online, dan OneDrive for Business.

Pemadaman dimulai Senin malam dan akhirnya ditangani pada dini hari Rabu, dan itu juga diklaim oleh Anonymous Sudan sebagai akibat dari serangan DDoS mereka.

Microsoft memberi tahu BleepingComputer bahwa mereka sedang menyelidiki klaim tersebut dan mengambil langkah-langkah untuk melindungi pelanggan.

“Kami mengetahui klaim ini dan sedang menyelidiki. Kami mengambil langkah-langkah yang diperlukan untuk melindungi pelanggan dan memastikan stabilitas layanan kami,” kata Microsoft kepada BleepingComputer dalam sebuah pernyataan.

Dalam pembaruan berikutnya ke halaman status kesehatan layanan, Microsoft mengonfirmasi bahwa pemadaman terputus-putus ini hanya memengaruhi domain onedrive.live.com.

“URL browser yang terpengaruh adalah onedrive.live.com. Akses ke layanan OneDrive menggunakan klien desktop, klien sinkronisasi, atau klien Office tidak terpengaruh,” kata Microsoft.

“Kami terus menganalisis telemetri pemantauan dan melakukan proses penyeimbangan beban untuk memberikan bantuan.”

sumber : bkeepingcomputer.com

Aktor Jahat Memanipulasi Foto dan Video untuk Membuat Konten Eksplisit dan Skema Sextortion

by

FBI memperingatkan publik tentang aktor jahat yang membuat konten sintetik (biasanya disebut sebagai “deepfakes”) dengan memanipulasi foto atau video jinak untuk menargetkan korban. Kemajuan teknologi terus meningkatkan kualitas, kemampuan penyesuaian, dan aksesibilitas pembuatan konten yang mendukung kecerdasan buatan (AI). FBI terus menerima laporan dari para korban, termasuk anak-anak kecil dan orang dewasa yang tidak setuju, yang foto atau videonya diubah menjadi konten eksplisit. Foto atau video tersebut kemudian diedarkan secara publik di media sosial atau situs porno, untuk tujuan melecehkan korban atau skema sextortion.

EXPLICIT CONTENT
Untuk mengubah foto dan video—biasanya diambil dari akun media sosial korban, internet terbuka, atau atas permintaan korban—menjadi gambar bertema seksual yang sangat mirip dengan korban, pelaku jahat menggunakan teknologi dan layanan manipulasi konten. Gambar-gambar ini kemudian dibagikan di media sosial, forum publik, atau situs web porno. Banyak korban—termasuk anak di bawah umur—tidak menyadari bahwa foto mereka telah diambil, diubah, dan disebarluaskan hingga orang lain menunjukkannya kepada mereka. Aktor jahat kemudian mengirimkan foto langsung ke korban untuk sextortion atau pelecehan, atau hingga foto tersebut ditemukan sendiri secara online. Setelah konten yang dimodifikasi menyebar, korban mungkin mengalami kesulitan untuk menghentikan penyebaran lebih lanjut atau menghapusnya dari internet.

Sextortion dan Pelecehan
Untuk mengubah foto dan video—biasanya diambil dari akun media sosial korban, internet terbuka, atau atas permintaan korban—menjadi gambar bertema seksual yang sangat mirip dengan korban, pelaku jahat menggunakan teknologi dan layanan memperbudak konten. Gambar-gambar ini kemudian dibagikan di media sosial, forum publik, atau situs web porno. Banyak korban—termasuk anak di bawah umur—tidak menyadari bahwa foto mereka telah diambil, diubah, dan disebarkan hingga orang lain menunjukkannya kepada mereka. Aktor jahat kemudian mengirimkan foto langsung ke korban untuk sextortion atau memudar, atau hingga foto tersebut ditemukan sendiri secara online. Setelah konten yang dimodifikasi disebarkan, korban mungkin mengalami kesulitan untuk menghentikan penyebaran lebih lanjut atau menghapusnya dari internet.

Rekomendasi
FBI menyarankan masyarakat untuk berhati-hati saat memposting atau mengirim pesan langsung yang berisi konten pribadi atau mengidentifikasi di media sosial, aplikasi kencan, dan situs web lainnya. Meskipun foto dan video tampak tidak bersalah saat dibagikan atau diposting, aktor jahat mungkin menggunakannya sebagai sumber konten yang kaya untuk terlibat dalam perilaku ilegal. Kemampuan untuk dengan mudah mengakses foto-foto pribadi secara online dan peningkatan teknologi pembuatan konten memberi pelaku kejahatan cara tambahan untuk mencari dan menargetkan korban. Ini membuat orang terbuka terhadap penghinaan, ejekan, pemerasan, kehilangan uang, atau viktimisasi ulang jangka panjang.

sumber : public service announcement FBI

Lebih dari 400 juta Terinfeksi Spyware Android — Hapus Aplikasi Ini Sekarang!

by

Lebih dari 100 aplikasi Android dengan gabungan lebih dari 400 juta unduhan telah terinfeksi oleh jenis malware baru yang didistribusikan sebagai kit pengembangan perangkat lunak (SDK) untuk pengiklan.

Penemuan itu dilakukan oleh peneliti keamanan di Dr.Web yang menemukan modul spyware di dalam aplikasi yang terpengaruh yang mereka namai ‘SpinOk’.

Disebut spyware karena malware tersebut dapat mencuri data pribadi yang disimpan di ponsel Android terbaik dan mengirimkannya ke server jarak jauh yang dikendalikan oleh peretas di balik kampanye ini.

Pengembang aplikasi kemungkinan menambahkan modul SpinOk ke aplikasi mereka, karena tampaknya sah dan menggunakan minigame untuk memberi pengguna “hadiah harian” untuk membuat mereka tetap tertarik.

Sayangnya, SpinOk melakukan sejumlah aktivitas jahat di latar belakang saat memeriksa data sensor perangkat Android.

Berdasarkan laporan Dr.Web, pembuat virus mengklaim telah menemukan 101 aplikasi yang diunduh lebih dari 421 juta kali dari Google Play Store. Di bawah, Anda akan menemukan aplikasi yang terpengaruh dengan unduhan terbanyak, antara lain:
– Noizz dan Zapya – File Transfer, Share dengan 100 juta unduhan.
– vFly, MVBit, dan Biugo dengan 50 juta unduhan.
– Crazy Drop, Cashzine, dan Fizzo Novel dengan 10 juta unduhan.
– CashEM dan Tick dengan 5 juta unduhan.

Pengguna disarankan untuk segera menghapus aplikasi-aplikasi tersebut, meskipun sebagian besar aplikasi yang terpengaruh telah dihapus dari Play Store, belum semuanya.

SpinOk mampu melakukan sejumlah aktivitas jahat di latar belakang yang mencakup daftar file di direktori, mencari file tertentu, mengunggah file dari smartphone yang terinfeksi atau menyalin dan mengganti konten dari clipboard.

Masih belum jelas apakah penerbit aplikasi Android ini ditipu oleh distributor SDK trojan atau sengaja memasukkannya ke dalam aplikasi mereka. Seperti yang dicatat oleh BleepingComputer, jenis infeksi ini seringkali merupakan hasil dari serangan rantai pasokan dari pihak ketiga.

Agar tetap aman dari aplikasi yang buruk, pengguna harus berhati-hati saat mengunduh aplikasi baru meskipun berasal dari Google Play Store, mencoba untuk mencari ulasan eksternal, terutama ulasan video, perhatikan izin yang diperlukan aplikasi, dan sebagai perlindungan tambahan, pertimbangkan untuk menginstal salah satu aplikasi antivirus Android terbaik.

Selengkapnya: tom’s guide

Kaspersky mengatakan Malware Zero-Day baru Menyerang iPhone

by

Perusahaan keamanan Siber yang berbasis di Moskow, Kaspersky, telah menjadi sorotan selama bertahun-tahun dengan mengungkap serangan peretasan yang canggih oleh mata-mata siber yang didukung negara, baik dari Rusia maupun Barat. Kini, perusahaan ini mengungkapkan kampanye infiltrasi baru yang sangat rahasia, di mana Kaspersky sendiri menjadi target.

Dalam laporan yang diterbitkan hari ini, Kaspersky mengatakan bahwa pada awal tahun ini, mereka mendeteksi serangan terarah terhadap sekelompok iPhone setelah menganalisis lalu lintas jaringan korporat perusahaan mereka sendiri.

Kampanye ini, yang para peneliti sebut sebagai Operasi Triangulasi dan dikatakan “sedang berlangsung,” tampaknya bermula sejak tahun 2019 dan memanfaatkan beberapa kerentanan dalam sistem operasi mobile Apple, iOS, untuk memungkinkan para penyerang mengambil alih perangkat korban.

Kaspersky mengatakan bahwa rantai serangan ini menggunakan eksploitasi “zero-click” untuk mengompromikan perangkat target dengan cukup mengirimkan pesan yang dirancang khusus ke korban melalui layanan iMessage Apple.

Korban menerima pesan tersebut, yang menyertakan lampiran berbahaya, dan eksploitasi akan dimulai baik korban membuka pesan dan memeriksa lampiran tersebut atau tidak.

Kemudian, serangan tersebut akan menggabungkan beberapa kerentanan untuk memberikan akses yang lebih dalam kepada para peretas ke perangkat target.

Dan payload perangkat lunak berbahaya akhir akan diunduh secara otomatis ke perangkat korban sebelum pesan dan lampiran berbahaya asli dihapus sendiri.

Kaspersky mengatakan bahwa malware yang mereka temukan tidak dapat bertahan di perangkat setelah direstart, namun para peneliti mengatakan mereka melihat bukti adanya infeksi ulang dalam beberapa kasus.

Kerentanan yang digunakan dalam rangkaian eksploitasi masih belum jelas, meskipun Kaspersky mengatakan bahwa salah satu kerentanan kemungkinan adalah kerentanan ekstensi kernel CVE-2022-46690 yang diperbaiki oleh Apple pada bulan Desember.

Selengkapnya: WIRED