Malware

ChatGPT Membuat Malware Polimorfik

January 21, 2023 by Søren

ChatGPT OpenAI dilaporkan telah menciptakan untaian baru malware polimorfik setelah interaksi berbasis teks dengan peneliti keamanan siber di CyberArk.

Menurut tulisan teknis yang baru-baru ini dibagikan oleh perusahaan dengan Infosecurity, malware yang dibuat menggunakan ChatGPT dapat “dengan mudah menghindari produk keamanan dan membuat mitigasi menjadi rumit dengan sedikit usaha atau investasi oleh musuh.”

Laporan tersebut, yang ditulis oleh peneliti keamanan CyberArk Eran Shimony dan Omer Tsarfati, menjelaskan bahwa langkah pertama untuk membuat malware adalah melewati filter konten yang mencegah ChatGPT membuat alat berbahaya.

Untuk melakukannya, para peneliti CyberArk hanya bersikeras, mengajukan pertanyaan yang sama dengan lebih otoritatif.

“Menariknya, dengan meminta ChatGPT untuk melakukan hal yang sama menggunakan beberapa batasan dan memintanya untuk patuh, kami menerima kode fungsional,” kata Shimony dan Tsarfati.

Lebih lanjut, para peneliti mencatat bahwa ketika menggunakan versi API dari ChatGPT (berlawanan dengan versi web), sistem dilaporkan tampaknya tidak menggunakan filter kontennya.

“Tidak jelas mengapa ini terjadi, tetapi itu membuat tugas kami jauh lebih mudah karena versi web cenderung macet dengan permintaan yang lebih kompleks,” demikian laporan CyberArk.

Shimony dan Tsarfati kemudian menggunakan ChatGPT untuk mengubah kode asli, sehingga membuat banyak variasi.

“Dengan kata lain, kami dapat memutasikan output dengan cepat, menjadikannya unik setiap saat. Selain itu, menambahkan batasan seperti mengubah penggunaan panggilan API tertentu membuat hidup produk keamanan menjadi lebih sulit.”

Berkat kemampuan ChatGPT untuk membuat dan terus memutasikan injektor, para peneliti keamanan siber mampu membuat program polimorfik yang sangat sulit dipahami dan sulit dideteksi.

“Dengan memanfaatkan kemampuan ChatGPT untuk menghasilkan berbagai teknik persistensi, modul Anti-VM, dan muatan berbahaya lainnya, kemungkinan pengembangan malware menjadi sangat besar,” jelas para peneliti.

Selengkapnya: Info Security Magazine

Entitas Pemerintah Iran Diserang oleh Gelombang Baru Serangan Diplomasi Backdoor

January 20, 2023 by Flamango

Aktor ancaman yang dikenal sebagai BackdoorDiplomacy telah dikaitkan dengan gelombang serangan baru yang menargetkan entitas pemerintah Iran antara Juli dan akhir Desember 2022.

Palo Alto Networks Unit 42 melacak aktivitas di bawah moniker bertema konstelasi Playful Taurus. Pihaknya mengamati domain pemerintah yang mencoba terhubung ke infrastruktur malware yang sebelumnya diidentifikasi terkait dengan musuh.

Pada Desember 2021, Microsoft mengumumkan penyitaan 42 domain yang dioperasikan oleh grup tersebut dalam serangannya yang menargetkan 29 negara.

Pelaku ancaman baru-baru ini dikaitkan dengan serangan terhadap perusahaan telekomunikasi yang tidak disebutkan namanya di Timur Tengah menggunakan Quarian, pendahulu Turian yang memungkinkan titik akses jarak jauh ke jaringan yang ditargetkan.

Backdoor Turian dalam versi barunya menampilkan kebingungan tambahan serta algoritma dekripsi yang diperbarui yang digunakan untuk mengekstrak server C2. Namun, malware itu sendiri bersifat umum karena menawarkan fungsi dasar untuk memperbarui server C2 agar terhubung, menjalankan perintah, dan menelurkan shell terbalik.

BackdoorDiplomacy menargetkan Iran karena alasan ekstensi geopolitik yang datang dengan latar belakang perjanjian bilateral komprehensif 25 tahun yang ditandatangani antara China dan Iran untuk mendorong kerja sama ekonomi, militer, dan keamanan.

Selengkapnya: The Hacker News

Malware Batloader Menyalahgunakan Alat yang Sah, Menggunakan File JavaScript yang Dikaburkan dalam Serangan Q4 2022

January 20, 2023 by Søren

Kami membahas kampanye malware Batloader yang kami amati pada kuartal terakhir tahun 2022, termasuk analisis kami tentang peristiwa terkait Water Minyades (Ini adalah rangkaian intrusi yang kami lacak di balik pembuatan Batloader).

Batloader (terdeteksi oleh Trend Micro sebagai Trojan.Win32.BATLOADER), adalah keluarga malware akses awal yang dikenal menggunakan teknik malvertising dan menggunakan malware berbasis skrip di dalam paket Instalasi Perangkat Lunak Microsoft (MSI) yang diunduh dari paket yang terlihat sah namun berbahaya situs web. Awal tahun ini, peneliti Mandiant mengamati Batloader menggunakan teknik keracunan mesin pencari (SEO) dalam serangannya.

Batloader dikaitkan dengan set intrusi yang kami beri nama “Water Minyades”. Para pelaku di balik Water Minyades dikenal mengirimkan malware lain selama kuartal terakhir tahun 2022, seperti Qakbot, RaccoonStealer, dan Bumbleloader melalui teknik rekayasa sosial.

Batloader biasanya tiba melalui situs web jahat yang menyamar sebagai perangkat lunak atau aplikasi yang sah. Korban dapat dialihkan ke situs web ini melalui teknik malvertising dan komentar palsu di forum yang berisi tautan yang mengarah ke situs web distribusi Batloader.

Water Minyades dikenal sangat mengandalkan teknik penghindaran pertahanan, salah satunya adalah menyebarkan payload dengan ukuran file yang sangat besar untuk menghindari analisis kotak pasir dan batas ukuran file mesin antivirus.

Water Minyades juga menyalahgunakan alat yang sah, seperti alat manajemen sistem NSudo dan alat enkripsi email dan file Gpg4win, untuk meningkatkan hak istimewa dan mendekripsi muatan berbahaya.

TRENDMICRO

Peretas Dapat Menggunakan GitHub Codespaces untuk Menghosting dan Mengirimkan Malware

January 19, 2023 by Flamango

Para peneliti telah mendemonstrasikan bagaimana pelaku ancaman dapat menyalahgunakan fitur ‘penerusan port’ GitHub Codespaces untuk menghosting dan mendistribusikan malware dan skrip berbahaya.

GitHub Codespaces memungkinkan pengembang menerapkan platform IDE yang dihosting cloud dalam wadah virtual untuk menulis, mengedit, dan menjalankan kode langsung di dalam browser web.

Menggunakan GitHub Codespaces sebagai Server Malware
Dalam laporan terbaru Trend Micro, para peneliti mendemonstrasikan bagaimana GitHub Codespaces dapat dengan mudah dikonfigurasi sebagai server web, mendistribusikan konten berbahaya sambil berpotensi menghindari deteksi karena lalu lintas berasal dari Microsoft.

Penyerang dapat menjalankan server web Python sederhana, mengunggah skrip berbahaya atau malware ke Codespace mereka, membuka port server web di VM mereka, dan menetapkan visibilitas publik.

Pengaturan visibilitas port pada Codespaces (Trend Micro)

URL yang dihasilkan dapat digunakan untuk mengakses file yang dihosting, baik untuk kampanye phishing atau untuk menghosting executable berbahaya yang diunduh oleh malware lain.

Karena GitHub adalah ruang terpercaya, alat antivirus cenderung membunyikan alarm sehingga pelaku ancaman dapat menghindari deteksi dengan biaya minimal.

Diagram serangan penyalahgunaan ruang kode (Trend Micro)

Melanjutkan Serangan
Trend Micro juga mengeksplorasi penyalahgunaan Dev Containers di GitHub Codespaces untuk membuat operasi distribusi malware mereka lebih efisien. Penyerang dapat menggunakan skrip untuk meneruskan port, menjalankan server HTTP Python, dan mengunduh file berbahaya di dalam Codespace mereka.

Meskipun tidak ada penyalahgunaan GitHub Codespaces yang diketahui saat ini, laporan tersebut menyoroti kemungkinan yang realistis, karena pelaku ancaman umumnya lebih memilih untuk menargetkan platform bebas penggunaan yang juga dipercaya oleh produk keamanan.

Selengkapnya: BleepingComputer

Peretas Beralih ke Iklan Pencarian Google untuk Mendorong Malware Pencuri Info

January 18, 2023 by Coffee Bean

Peretas menyiapkan situs web palsu untuk perangkat lunak bebas dan sumber terbuka populer untuk mempromosikan unduhan berbahaya melalui iklan di hasil penelusuran Google.

Setidaknya satu pengguna terkemuka di kancah cryptocurrency telah menjadi korban kampanye, mengklaim itu memungkinkan peretas mencuri semua aset kripto digital mereka bersama dengan kendali atas akun profesional dan pribadi mereka.

Tanpa sepengetahuan Alex, ini kemungkinan adalah malware pencuri informasi yang mencuri kata sandi browser, cookie, token Discord, dan dompet cryptocurrency yang disimpan dan mengirimkannya ke penyerang jarak jauh.

Segera, Alex menemukan bahwa akun mereka di pasar OpenSea NFT juga telah disusupi dan dompet lain terdaftar sebagai pemilik salah satu aset digital mereka.

Crypto influencer NFT God’s online accounts hacked
sumber: NFT God

The distribution method was unknown at the time but separate reports in December from cybersecurity companies Trend Micro and Guardio revealed that hackers were abusing the Google Ads platform to push malicious downloads in search results.

Kebingungan iklan berbahaya di hasil pencarian Google
situs web berisi unduhan perangkat lunak palsu yang didistribusikan hanya melalui hasil penelusuran Google Ads. Situs web tersebut meniru apa yang tampak sebagai perusahaan desain web resmi di India bernama Zensoft Tech.

Sayangnya, kami tidak dapat memverifikasi apakah unduhan itu berbahaya tetapi karena domain tersebut adalah URL yang salah ketik, situs tersebut memblokir mesin telusur agar tidak mengindeks konten dan mempromosikan unduhan hanya melalui iklan di hasil penelusuran, ada indikasi kuat adanya aktivitas berbahaya.

Di antara perangkat lunak yang kami temukan di situs web adalah utilitas kompresi file 7-ZIP dan WinRAR, dan pemutar media VLC yang banyak digunakan.

Pemblokir iklan dapat meningkatkan perlindungan
Pemblokir iklan tersedia sebagai ekstensi di sebagian besar browser web dan, seperti namanya, mereka menghentikan pemuatan iklan dan ditampilkan di halaman web, termasuk hasil pencarian.

Selain menambah kenyamanan penggunaan internet, pemblokir iklan juga meningkatkan privasi dengan mencegah kuki pelacak di iklan mengumpulkan data tentang kebiasaan menjelajah Anda.

Namun, dalam kasus ini, ekstensi semacam itu dapat membuat perbedaan antara kehilangan akses ke informasi sensitif atau akun online Anda dan mendapatkan sumber daya digital dari vendor yang sah.

Peretas dapat menggunakan GitHub Codespaces untuk menghosting dan mengirimkan malware

January 18, 2023 by Coffee Bean

Dalam laporan baru oleh Trend Micro, para peneliti mendemonstrasikan bagaimana GitHub Codespaces dapat dengan mudah dikonfigurasi untuk bertindak sebagai server web untuk mendistribusikan konten berbahaya sambil berpotensi menghindari deteksi karena lalu lintas berasal dari Microsoft.

Saat meneruskan port di VM Codespace, fitur GitHub akan menghasilkan URL untuk mengakses aplikasi yang berjalan di port tersebut, yang dapat dikonfigurasi sebagai pribadi atau publik.

Port forward pribadi memerlukan autentikasi dalam bentuk token atau cookie untuk mengakses URL. Namun, port publik dapat diakses oleh siapa saja yang mengetahui URL tanpa memerlukan otentikasi.

Fitur GitHub ini memberi pengembang fleksibilitas dalam demonstrasi kode, tetapi Trend Micro mengatakan penyerang saat ini dapat dengan mudah menyalahgunakannya untuk menghosting malware di platform.

Analis mengatakan bahwa sementara HTTP digunakan secara default dalam sistem penerusan port Codespaces, pengembang dapat mengaturnya ke HTTPS, meningkatkan ilusi keamanan untuk URL.

Karena GitHub adalah ruang tepercaya, alat antivirus cenderung membunyikan alarm sehingga pelaku ancaman dapat menghindari deteksi dengan biaya minimal.

Codespaces abuse attack diagram (Trend Micro)

Melanjutkan serangan
Analis Trend Micro juga mengeksplorasi penyalahgunaan Dev Containers di GitHub Codespaces untuk membuat operasi distribusi malware mereka lebih efisien.

Sebuah “wadah dev” di GitHub Codespaces adalah wadah pra-konfigurasi yang berisi semua dependensi dan alat yang diperlukan untuk proyek tertentu. Pengembang dapat menggunakannya untuk penerapan cepat, membagikannya dengan orang lain, atau terhubung melalui VCS.

Penyerang dapat menggunakan skrip untuk meneruskan port, menjalankan server HTTP Python, dan mengunduh file berbahaya di dalam Codespace mereka.

Selanjutnya, visibilitas port disetel ke publik, yang membuat server web dengan direktori terbuka yang menyajikan file berbahaya ke target.

BleepingComputer dapat mereplikasi pembuatan server web “jahat” menggunakan Codespaces dalam waktu kurang dari 10 menit, tanpa pengalaman dengan fitur tersebut.

Menjalankan server web pada GitHub Codespaces VM

Kebijakan GitHub adalah ruang kode yang tidak aktif akan dihapus secara otomatis setelah 30 hari, sehingga penyerang dapat menggunakan URL yang sama selama sebulan penuh.

Meskipun tidak ada penyalahgunaan GitHub Codespaces yang diketahui saat ini, laporan tersebut menyoroti kemungkinan yang realistis, karena pelaku ancaman umumnya lebih memilih untuk menargetkan platform “bebas penggunaan” yang juga dipercaya oleh produk keamanan.

sumber : bleepingcomputer

Lebih dari 4.000 perangkat Sophos Firewall rentan terhadap serangan RCE

January 18, 2023 by Coffee Bean

Lebih dari 4.000 perangkat Sophos Firewall yang terpapar akses Internet rentan terhadap serangan yang menargetkan kerentanan eksekusi kode jarak jauh (RCE) kritis.

Sophos mengungkapkan cacat injeksi kode ini (CVE-2022-3236) yang ditemukan di Portal Pengguna dan Webadmin Sophos Firewall pada bulan September dan juga merilis hotfix untuk beberapa versi Sophos Firewall (perbaikan resmi dikeluarkan tiga bulan kemudian, pada Desember 2022).

Instans Sophos Firewall yang menjalankan versi produk lama harus ditingkatkan secara manual ke versi yang didukung untuk menerima hotfix CVE-2022-3236 secara otomatis.

Admin yang tidak dapat menambal perangkat lunak yang rentan juga dapat menghapus permukaan serangan dengan menonaktifkan akses WAN ke Portal Pengguna dan Webadmin.

Thousands of devices are still vulnerable
Saat memindai Internet untuk perangkat Sophos Firewall, peneliti kerentanan VulnCheck Jacob Baines menemukan bahwa dari lebih dari 88.000 kejadian, sekitar 6% atau lebih dari 4.000 menjalankan versi yang belum menerima perbaikan terbaru dan rentan terhadap serangan CVE-2022-3236.

Meskipun sudah dieksploitasi sebagai zero-day, eksploitasi proof-of-concept CVE-2022-3236 belum dipublikasikan secara online.

Namun, Baines mampu mereproduksi eksploit dari informasi teknis yang dibagikan oleh Zero Day Initiative (ZDI) dari Trend Micro, sehingga kemungkinan pelaku ancaman juga akan segera dapat melakukannya.

Tantangan CAPTCHA Firewall Sophos (Jacob Baines)

Bug Firewall Sophos sebelumnya ditargetkan dalam serangan
Pada bulan Maret 2022, Sophos menambal bug Sophos Firewall kritis serupa (CVE-2022-1040) di modul Portal Pengguna dan Webadmin yang mengaktifkan pintasan autentikasi dan serangan eksekusi kode arbitrer.

Itu juga dieksploitasi dalam serangan sebagai hari nol sejak awal Maret (kira-kira tiga minggu sebelum Sophos merilis tambalan) terhadap organisasi Asia Selatan oleh kelompok ancaman China yang dilacak sebagai DriftingCloud.

sumber : bleepingcomputer

Paket PyPi ‘Lolip0p’ Berbahaya Menginstal Malware Pencuri Info

January 17, 2023 by Flamango

Pelaku ancaman telah mengunggah tiga paket berbahaya ke repositori PyPI (Python Package Index), membawa kode untuk menjatuhkan malware pencuri informasi pada sistem pengembang.

Seluruh paket jahat yang ditemukan Fortinet diunggah oleh penulis bernama ‘Lolip0p’ antara 7 dan 12 Januari 2023. Nama mereka adalah ‘colorslib’, ‘httpslib’, dan ‘libhttps’. Ketiganya telah dilaporkan dan dihapus dari PyPI.

Popularitas PyPi menjadikannya menarik bagi pelaku ancaman yang menargetkan pengembang atau proyek mereka. Apalagi PyPI tidak memiliki sumber daya untuk memeriksa semua unggahan paket.

Kampanye Baru
Trio yang ditemukan Fortinet menampilkan deskripsi lengkap yang membantu mengelabui pengembang agar percaya bahwa itu adalah sumber daya asli.

Deskripsi paket berbahaya di PyPI (Fortinet)

Nama paket tidak meniru proyek lain, hanya berusaha meyakinkan bahwa mereka datang dengan kode yang andal dan bebas risiko.

Menurut layanan penghitungan stat paket PyPI ‘pepy.tech,’ tiga entri berbahaya memiliki jumlah unduhan yang tampak kecil, namun dampak potensial dari infeksi ini sebagai bagian dari rantai pasokan membuatnya signifikan.

Tingkat deteksi untuk ketiga executable yang digunakan dalam serangan ini cukup rendah, berkisar antara 4,5% dan 13,5%, memungkinkan file berbahaya untuk menghindari deteksi dari beberapa agen keamanan yang mungkin berjalan di host korban.

Hasil deteksi untuk ‘update.exe’ di VirusTotal (Fortinet)

Pengembang perangkat lunak harus memperhatikan pemilihan paket untuk diunduh, termasuk memeriksa pembuat paket dan meninjau kode jika ada niat mencurigakan atau jahat demi memastikan keamanan dan keselamatan proyek mereka.

Selengkapnya: BleepingComputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings