Malware

India memulai proses untuk melarang 138 aplikasi taruhan, 94 aplikasi pinjaman dengan tautan China

February 6, 2023 by Søren

Pemerintah telah memulai proses untuk melarang 138 aplikasi taruhan dan 94 aplikasi pinjaman pinjaman dengan tautan China secara “mendesak” dan “darurat”, News18 melaporkan pada hari Minggu. Sumber mengatakan tindakan itu dimulai atas rekomendasi Kementerian Dalam Negeri tentang ‘pemblokiran darurat’ aplikasi ini.

Ini datang sebagai tindakan keras besar-besaran pada aplikasi pinjaman-pinjaman. Masalah tersebut mengacu pada pemerasan dan pelecehan terhadap publik yang telah memanfaatkan pinjaman dalam jumlah kecil melalui aplikasi seluler yang dijalankan oleh entitas/orang tersebut.

Hampir semua aplikasi ini dilaporkan merupakan gagasan warga negara China yang mempekerjakan orang India dan menjadikan mereka direktur dalam operasi tersebut. “Setelah memikat orang-orang yang putus asa untuk mengambil pinjaman, mereka mendongkrak bunga hingga 3.000 persen per tahun,” kata laporan itu.

Ketika debitur tidak dapat membayar bunga, apalagi seluruh pinjaman, individu yang mewakili aplikasi ini mulai melecehkan mereka yang berhutang. Mereka mengirimi mereka pesan cabul, mengancam akan merilis foto morphed mereka dan mempermalukan mereka dengan pesan ke kontak mereka.
Masalah ini menjadi sorotan setelah serentetan kasus bunuh diri, terutama di Andhra Pradesh dan Telangana, oleh mereka yang memilih pinjaman semacam itu atau kehilangan uang karena aplikasi taruhan.

“Aplikasi ini, yang sering menampilkan perilaku predator untuk menjebak individu dalam utang besar, juga dapat disalahgunakan sebagai alat spionase dan propaganda, selain menimbulkan risiko keamanan terhadap data warga India,” kata sumber kepada News 18.

Negara-negara seperti Telangana, Odisha dan Uttar Pradesh serta badan intelijen pusat kemudian meminta kementerian dalam negeri Union untuk mengambil tindakan terhadap aplikasi ini, kata sumber.

Selengkapnya: CNBC TV 18

Peretas ‘0ktapus’ kembali dan menargetkan perusahaan teknologi dan game, kata laporan yang bocor

February 4, 2023 by Coffee Bean

Laporan tersebut, yang disiapkan oleh perusahaan keamanan siber CrowdStrike, menyebut para peretas sebagai “Scattered Spider”. Laporan seperti yang diperoleh TechCrunch disiapkan oleh perusahaan intelijen ancaman untuk pelanggan mereka, dengan gagasan memperingatkan mereka tentang peretas yang menargetkan pelanggan secara langsung, atau perusahaan lain di sektor yang sama. Dalam laporan tersebut, CrowdStrike mencatat bahwa ia memiliki visibilitas terbatas ke dalam kampanye peretasan karena tidak memiliki “artefak forensik tambahan”, mengacu pada data yang diperoleh langsung dari organisasi yang ditargetkan. Itu sebabnya perusahaan mengakui memiliki “kepercayaan rendah” dalam penilaiannya bahwa ini adalah aktivitas oleh Laba-laba Tersebar.

Dua orang dalam keamanan dunia maya, yang meminta untuk tidak disebutkan namanya karena mereka tidak berwenang untuk berbicara kepada pers, mengatakan bahwa pemahaman dalam industri adalah bahwa Spider Tersebar adalah grup yang sama dengan 0ktapus.

Tidak jelas apakah ini adalah grup yang sama yang meretas Riot Games bulan lalu, tetapi dalam daftar domain phishing yang termasuk dalam laporan CrowdStrike, ada satu yang jelas dibuat untuk menargetkan raksasa video game tersebut karena menyertakan nama perusahaan di dalamnya. URL.

selengkapnya : techcrunch.com

Malware Prilex PoS Memblokir Transaksi NFC untuk Mencuri Data Kartu Kredit

February 3, 2023 by Søren

Awalnya dirinci pada tahun 2017, Prilex telah berevolusi dari penargetan ATM menjadi malware PoS canggih yang dapat melakukan berbagai aktivitas jahat yang mengarah ke penipuan kartu kredit.

Sistem pembayaran nirsentuh mengandalkan teknologi identifikasi frekuensi radio (RFID) atau komunikasi jarak dekat (NFC) yang terintegrasi ke dalam kartu, perangkat seluler, key fob, perangkat yang dapat dikenakan, dan perangkat lain, yang memungkinkan individu melakukan pembayaran yang aman hanya dengan melambaikan kartu atau ponsel mereka perangkat melalui terminal PoS.

Saat kartu diletakkan di dekat, terminal pembayaran yang mengaktifkan nirsentuh mengirimkan sinyal untuk mengaktifkan chip RFID yang disematkan di kartu, yang pada gilirannya merespons dengan nomor identifikasi unik (ID) dan informasi transaksi.

Informasi transaksi ini tidak dapat digunakan kembali, sehingga tidak berguna bagi penjahat dunia maya yang menangkapnya.

Pengembang Prilex memperbarui malware dengan kode yang memblokir transaksi tanpa kontak, yang mengakibatkan terminal meminta pembeli untuk memasukkan kartu kredit mereka ke dalam perangkat.

“Tujuannya di sini adalah untuk memaksa korban menggunakan kartu fisik mereka dengan memasukkannya ke dalam pembaca bantalan PIN, sehingga malware dapat menangkap data yang berasal dari transaksi tersebut,” catat Kaspersky.

Kode tersebut ditemukan pada sampel Prilex yang muncul pada akhir tahun 2022, dan yang juga dapat memfilter kartu berdasarkan segmen, seperti hanya memblokir transaksi nirsentuh dan menangkap informasi kartu jika kartu berada dalam tier dengan batas transaksi tinggi.

“Karena data transaksi yang dihasilkan selama pembayaran nirsentuh tidak berguna dari sudut pandang penjahat dunia maya, dapat dipahami bahwa Prilex perlu memaksa korban untuk memasukkan kartu ke terminal PoS yang terinfeksi. Sementara grup sedang mencari cara untuk melakukan penipuan dengan nomor kartu kredit unik, trik pintar ini memungkinkannya untuk terus beroperasi,” tutup Kaspersky.

Selengkapnya: Security Week

Iklan Google Mendorong Malware ‘Tervirtualisasi’ yang Dibuat Untuk Penghindaran Antivirus

February 3, 2023 by Coffee Bean

KoiVM adalah plugin untuk pelindung ConfuserEx .NET yang mengaburkan opcode program sehingga mesin virtual hanya memahaminya. Kemudian, saat diluncurkan, mesin virtual menerjemahkan opcode kembali ke bentuk aslinya sehingga aplikasi dapat dijalankan.

“Kerangka kerja virtualisasi seperti KoiVM mengaburkan executable dengan mengganti kode asli, seperti instruksi NET Common Intermediate Language (CIL), dengan kode virtualisasi yang hanya dipahami oleh kerangka kerja virtualisasi,” jelas laporan baru oleh SentinelLabs.

Menyalahgunakan iklan pencarian Google
Selama sebulan terakhir, para peneliti telah melihat peningkatan penyalahgunaan iklan pencarian Google untuk mendistribusikan berbagai malware, termasuk RedLine Stealer, Gozi/Ursnif, Vidar, pencuri Rhadamanthys, IcedID, Raccoon Stealer, dan banyak lagi.

Dalam kampanye yang sedang berlangsung yang dilihat oleh SentinelLabs, pelaku ancaman mendorong pemuat MalVirt dalam iklan yang berpura-pura untuk perangkat lunak Blender 3D.

Malicious Google Search results (Sentinel Labs)

Download yang ditawarkan oleh situs palsu ini menggunakan tanda tangan digital tidak valid yang meniru identitas Microsoft, Acer, DigiCert, Sectigo, dan AVG Technologies USA.

SentinelLabs says that in the samples it analyzed, it saw Formbook communicating with 17 domains, only one of which was the actual C2 server, and the rest serving as mere decoys to confuse network traffic monitoring tools.

Menggunakan banyak IP palsu dalam komunikasi malware (Sentinel Labs)

Ini adalah sistem baru pada jenis malware yang cukup lama, menunjukkan bahwa operatornya tertarik untuk memberdayakan dengan fitur-fitur baru yang akan membuatnya lebih baik untuk tetap tersembunyi dari alat keamanan dan analis

sumber : bleepingcomputer

Laporan Baru Mengungkap Malware NikoWiper yang Menargetkan Sektor Energi Ukraina

February 1, 2023 by Coffee Bean

Sandworm yang berafiliasi dengan Rusia menggunakan strain malware penghapus lain yang dijuluki NikoWiper sebagai bagian dari serangan yang terjadi pada Oktober 2022 yang menargetkan perusahaan sektor energi di Ukraina.

Perusahaan cybersecurity Slovakia mengatakan serangan itu bertepatan dengan serangan rudal yang diatur oleh angkatan bersenjata Rusia yang ditujukan pada infrastruktur energi Ukraina, menunjukkan tujuan yang tumpang tindih.

Pengungkapan itu terjadi hanya beberapa hari setelah ESET mengaitkan Sandworm dengan penghapus data berbasis Golang yang dikenal sebagai SwiftSlicer yang digunakan melawan entitas Ukraina yang tidak disebutkan namanya pada 25 Januari 2023.

Kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan badan intelijen militer asing Rusia GRU juga terlibat dalam serangan yang sebagian berhasil menargetkan kantor berita nasional Ukrinform, mengerahkan sebanyak lima wiper berbeda pada mesin yang disusupi.

Selain mempersenjatai SDelete, kampanye Sandworm baru-baru ini juga memanfaatkan keluarga ransomware pesanan, termasuk Prestige dan RansomBoggs, untuk mengunci data korban di balik penghalang enkripsi tanpa opsi apa pun untuk memulihkannya.

Menurut Recorded Future, yang melacak APT29 (alias Nobelium) di bawah moniker BlueBravo, APT telah terhubung ke infrastruktur baru yang dikompromikan yang kemungkinan digunakan sebagai umpan untuk mengirimkan pemuat malware dengan nama kode GraphicalNeutrino.

Saat perang Rusia-Ukraina secara resmi memasuki bulan kedua belas, masih harus dilihat bagaimana konflik berkembang ke depan di dunia maya.

“Selama setahun terakhir kami telah melihat gelombang peningkatan aktivitas – seperti pada musim semi setelah invasi, pada musim gugur dan bulan-bulan yang lebih tenang selama musim panas – tetapi secara keseluruhan ada aliran serangan yang hampir konstan,” kata Lipovsky. “Jadi satu hal yang bisa kita yakini adalah kita akan melihat lebih banyak serangan dunia maya.”

selengkapnya : thehackernews

Melindungi Terhadap Penggunaan Malicious Remote Monitoring dan Management Software

January 29, 2023 by Coffee Bean

Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), dan Multi-State Information Sharing and Analysis Center (MS-ISAC) (selanjutnya disebut sebgai “organisasi penulis”) merilis bersama Cybersecurity Advirsoty (CSA) untuk memperingatkan pembela jaringan tentang penggunaan berbahaya perankat lunak RMM yang sah. Secara khusus, pelaku kejahatan dunia maya mengirimkan email phishing yang mengarah ke pengunduhan eprangkat lunka RMM ayng sah – ScreenConnect (sekarang ConnectWise Control) dan AnyDesk – yang digunakan pelaku dalam penipuan pengembalian uang tuntuk mencuri uang dari rekening bank korban.

Menggunakan executable portabel perangkat lunak RMM menyediakan cara bagi pelaku untuk membuat akses pengguna lokal tanpa memerlukan hak istimewa administratif dan instalasi perangkat lunak lengkap—secara efektif melewati kontrol perangkat lunak umum dan asumsi manajemen risiko.

Organisasi penulis sangat menganjurkan pembela jaringan untuk meninjau bagian Indikator Kompromi (IOC) dan Mitigasi dalam CSA ini dan menerapkan rekomendasi untuk melindungi perangkat lunak RMM yang sah dari penggunaan berbahaya.

Berita ini dikembangkan oleh CISA, NSA, dan MS-ISAC sebagai kelanjutan dari misi kemanan siber masing-masing, termasuk tanggungjawab mereka untuk mengembangkan dan mengeluarkan spesisfikasi dan mitigasi kemanan siber

selengkapnya : cisa.gov

Malware Python RAT baru yang tersembunyi menargetkan Windows dalam serangan

January 27, 2023 by Coffee Bean

Malware berbasis Python baru telah terlihat di alam liar yang menampilkan kemampuan trojan akses jarak jauh (RAT) untuk memberikan kontrol kepada operatornya atas sistem yang dilanggar.

Dinamakan PY#RATION oleh para peneliti di perusahaan analitik ancaman Securonix, RAT baru menggunakan protokol WebSocket untuk berkomunikasi dengan server perintah dan kontrol (C2) dan untuk mengekstraksi data dari host korban.

Distribusi melalui file pintasan

Malware PY#RATION didistribusikan melalui kampanye phishing yang menggunakan lampiran file ZIP yang dilindungi kata sandi yang berisi dua file .LNK pintasan yang disamarkan sebagai gambar, yaitu front.jpg.lnk dan back.jpg.lnk.

Dua file LNK yang mengambil dua file batch (Securonix)

Saat diluncurkan, malware membuat direktori ‘Cortana’ dan ‘Cortana/Setup’ di direktori sementara pengguna dan kemudian mengunduh, membongkar, dan menjalankan file tambahan yang dapat dieksekusi dari lokasi tersebut.

Kegigihan dibuat dengan menambahkan file batch (‘CortanaAssist.bat’) ke dalam direktori startup pengguna.

Penggunaan Cortana, solusi asisten pribadi Microsoft di Windows, bertujuan menyamarkan entri malware sebagai file sistem.

Rantai infeksi lengkap kampanye (Securonix)

Menurut para peneliti, IP belum diblokir pada sistem pemeriksaan IPVoid, menunjukkan bahwa PY#RATION tidak terdeteksi selama beberapa bulan.

Saat ini detail tentang kampanye spesifik yang menggunakan malware ini dan targetnya, volume distribusi, dan operator di belakangnya masih belum jelas.

selengkapnya : bleepingcomputer

Kampanye Masif Menggunakan Situs WordPress yang Diretas sebagai Platform untuk Jaringan Iklan Black Hat

January 27, 2023 by Flamango

Seringkali penyerang mendaftarkan domain baru untuk menghosting malware mereka. Dalam banyak kasus, domain baru dikaitkan dengan kampanye malware tertentu.

Dalam postingan blognya, penulis bersama rekannya Ben Martin, akan meninjau bagaimana perilaku wave terbaru untuk domain violetlovelines, bagaimana kampanye telah berkembang dalam beberapa bulan terakhir, dan cara menghapus malware dari situs web korban.

Jenis Suntikan
Pada situs web yang terinfeksi, ditemukan dua jenis injeksi violetlovelines[.]com yang umum yaitu injeksi tag skrip sederhana (subdomain dan nama file dapat bervariasi) dan dan injeksi yang disamarkan (JavaScript) yang memanfaatkan fungsi fromCharCode.

Rantai Pengalihan dan Jaringan Iklan
Beberapa bulan terakhir, kampanye malware ini secara bertahap beralih dari halaman penipuan pemberitahuan push CAPTCHA palsu yang terkenal ke jaringan iklan ’black hat’ yang berganti-ganti antara pengalihan ke sah, samar, dan murni berbahaya situs web.

Berbagai level untuk injeksi skrip, TDS (Sistem Pengarahan Lalu Lintas), rantai pengalihan dan jaringan iklan, diantaranya yaitu tingkat pertama – skrip yang disuntikkan, tingkat kedua – TDS pendahuluan, tingkat ketiga – jaringan iklan/TDS.

TDS berfungsi sebagai Jaringan Iklan untuk situs WordPress yang terinfeksi
TDS tampaknya menggabungkan penawaran dari berbagai aktor jahat dan mitra iklan yang lebih sah dan menggunakan situs WordPress yang diretas sebagai inventaris untuk penempatan/pengalihan iklan.

Pemasaran samar, pembaruan browser palsu, penipuan dukungan teknis, unduhan drive-by berbahaya dari Discord, malware pencuri, dan penjelajahan aman Google, merupakan upaya-upaya masif dari penyerang untuk melancarkan aksinya.

Langkah-langkah Perbaikan dan Pembersihan
Pemilik situs web WordPress dan pengguna melaporkan bahwa situs web dialihkan melalui violetlovelines[.]com dan/atau ke lokasi tak terduga lainnya, maka pengguna dapat memindainya melalui malware SiteCheck dan pemeriksa keamanan.

Langkah untuk perbaikan dan pembersihan yang dapat dilakukan adalah menghapus malware yang disuntikkan, perbarui tema, plugin, dan perangkat lunak pihak ketiga, mengubah kata sandi situs web, dan hapus backdoors

Selengkapnya: SUCURI

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings