Malware

Dari Makro ke Tanpa Makro: Perbaikan Malware Berkelanjutan oleh QakBot

December 3, 2022 by Søren

Pada tahun 2007 kami melihat permulaan awal dan kebangkitan QakBot, tahun yang sama ketika Windows XP dan Windows Server 2003 masih menjadi sistem operasi utama di perusahaan. QakBot, atau QuackBot, hadir sebagai trojan perbankan dan loader.

Saat ini, kita melihat QakBot digunakan oleh berbagai kelompok musuh dengan berbagai cara, seperti menyebarkan ransomware, kegigihan, dan mencuri kredensial. Sebelum musuh memiliki akses ke titik akhir atau kemampuan untuk bergerak secara lateral, mereka harus mendapatkan akses awal. Vektor akses awal tersebut terus berkembang dan mengimbangi sistem operasi, browser, dan vendor antivirus untuk memastikan pengiriman muatan berbahaya.

Pada Februari 2022 Microsoft mendorong pembaruan untuk menonaktifkan makro secara default di produk Office. Kemenangan besar dalam industri ini adalah untuk mencegah vektor akses awal dalam jumlah besar ke dalam organisasi.

Tidak lama kemudian musuh mulai memperbarui keahlian mereka untuk menggunakan segalanya kecuali makro. Mirip dengan apa yang disebutkan oleh Bleeping Computer pada bulan Februari, DarkReading menyebutkan dalam artikel ini, perubahan tersebut masuk ke Aplikasi HTML (.hta) dan sangat sukses.

Seiring waktu, kami mulai mendengar tentang bypass Mark-of-the-Web (MOTW). Windows MOTW adalah fitur sederhana di OS yang memberi label item dan memeriksanya saat diunduh. Sebagaimana diuraikan oleh Outflank pada tahun 2020, peran MOTW dalam langkah-langkah keamanan digunakan oleh Windows SmartScreen, dan Kotak pasir tampilan terlindungi di Excel dan Word, untuk beberapa nama.

Bagaimana musuh melewati kontrol ini? Beberapa file yang diunduh tidak diperiksa, oleh karena itu menghindari MOTW dan mengizinkan eksekusi proses. Salah satu format populer yang kita lihat saat ini mencakup pengiriman file ISO dalam file HTML. Sebagian besar kontainer, seperti ISO atau VHDX, tidak diperiksa oleh MOTW.

Selengkapnya: Splunk

Pelaku Ancaman Licik Menggunakan Domain ‘Tua’ untuk Menghindari Platform Keamanan

December 1, 2022 by Coffee Bean

Pelaku ancaman canggih bernama ‘CashRewindo’ telah menggunakan domain ‘tua’ dalam kampanye maliklan global yang mengarah ke situs penipuan investasi.

Malvertising melibatkan injeksi kode JavaScript berbahaya di iklan digital dipromosikan oleh jaringan periklanan yang sah, mengarahkan pengunjung situs web ke laman yang menghosting formulir phishing, menjatuhkan malware, atau menjalankan penipuan.

Analis di Confiant telah melacak ‘CashRewindo’ sejak 2018, dan dapat ditemukan di Eropa, Amerika utara dan selatan, Asia, dan Afrika.

Global tetapi sangat ditargetkan
Setiap kampanye CashRewindo menargetkan audiens tertentu, sehingga halaman arahan dikonfigurasi untuk menampilkan penipuan atau halaman kosong atau tidak berbahaya untuk target yang tidak valid.

Laman landas dengan tombol ‘klik di sini’ (Confiant)

This is done by checking the timezone, device platform, and language used on the visitor’s system.

Users and devices outside the target audience clicking the embedded “Click Here” button will be redirected to an innocuous site.

Pengguna tersebut dibawa ke halaman scam dan akhirnya dialihkan ke platform investasi cryptocurrency palsu yang menjanjikan pengembalian investasi yang tidak realistis.

Confiant melaporkan bahwa selama 12 bulan, telah mencatat lebih dari 1,5 juta tayangan CashRewindo, terutama menargetkan perangkat Windows.

20 lokasi paling bertarget teratas ditampilkan dalam tabel di bawah ini.

Penipuan investasi tersebar luas, tetapi biasanya, pelaku ancaman lebih memilih kuantitas daripada kualitas, mendorong situs palsu mereka yang dibuat dengan tergesa-gesa ke kumpulan besar pengguna dan menghosting platform penipuan di domain yang baru terdaftar yang akan segera offline.

CashRewindo mengikuti pendekatan berbeda yang membutuhkan lebih banyak pekerjaan tetapi secara signifikan meningkatkan peluang keberhasilan bagi pelaku ancaman.

sumber : bleeping computer

Tantangan TikTok ‘Invisible Body’ Dieksploitasi Untuk mendorong Malware

November 29, 2022 by Coffee Bean

Peretas memanfaatkan tantangan TikTok yang sedang tren bernama ‘Tantangan Tak Terlihat’ untuk menginstal malware di ribuan perangkat dan mencuri kata sandi, akun Discord, dan, berpotensi, dompet cryptocurrency.

Tantangan TikTok yang baru dan sedang tren mengharuskan Anda memfilmkan diri Anda telanjang saat menggunakan filter “Tubuh Tak Terlihat” TikTok, yang menghapus tubuh dari video dan menggantinya dengan latar belakang buram.

Untuk memanfaatkan ini, pelaku ancaman membuat video TikTok yang mengklaim menawarkan filter “unfiltering” khusus untuk menghapus efek penyamaran tubuh TikTok dan mengekspos tubuh telanjang para TikToker.

perangkat lunak tersebut palsu dan menginstal malware “WASP Stealer (Discord Token Grabber)”, yang mampu mencuri akun Discord, kata sandi, dan kartu kredit yang disimpan di browser, dompet cryptocurrency, dan bahkan file dari komputer korban.

Video-video ini menerima lebih dari satu juta tampilan segera setelah diposting, dengan salah satu server Discord aktor ancaman mengumpulkan lebih dari 30.000 anggota.

Menargetkan tren TikTok
Pengguna TikTok yang sekarang ditangguhkan @learncyber dan @kodibtc membuat video untuk mempromosikan aplikasi perangkat lunak untuk “menghapus filter badan tak terlihat” yang ditawarkan di server Discord bernama “Space Unfilter.”

Pelaku ancaman telah memindahkan server Discord ini, tetapi Checkmarx menyatakan bahwa mereka memiliki sekitar 32.000 anggota pada satu titik.

Video TikTok yang diposting oleh penyerang (Checkmarx)

Setelah para korban bergabung dengan server Discord, mereka melihat tautan yang diposting oleh bot yang menunjuk ke repositori GitHub yang menghosting malware tersebut.

Serangan ini sangat sukses sehingga repositori jahat tersebut telah mencapai status “proyek GitHub yang sedang tren”, dan meskipun telah diganti namanya, saat ini memiliki 103 bintang dan 18 garpu

Paket jahat menyalin kode asli tetapi berisi modifikasi untuk menginstal malware WASP di host.

“Serangan ini menunjukkan lagi bahwa penyerang dunia maya telah mulai memusatkan perhatian mereka pada ekosistem paket sumber terbuka; Kami percaya tren ini hanya akan meningkat pada tahun 2023.”

Server Discord “Unfilter Space” dibuat offline, dengan pelaku ancaman mengklaim telah pindah ke server lain.

sumber : bleeping computer

Pencuri profesional: scammer oportunistik yang menargetkan pengguna Steam, Roblox, dan Amazon di 111 negara

November 26, 2022 by Søren

Group-IB, salah satu pemimpin global dalam keamanan siber, telah mengidentifikasi 34 kelompok berbahasa Rusia yang mendistribusikan malware pencuri informasi dengan model stealer-as-a-service. Penjahat dunia maya terutama menggunakan pencuri Racoon dan Redline untuk mendapatkan kata sandi untuk akun game di Steam dan Roblox, kredensial untuk Amazon dan PayPal, serta catatan pembayaran pengguna dan informasi dompet kripto.

Dalam tujuh bulan pertama tahun 2022, geng-geng tersebut secara kolektif menginfeksi lebih dari 890.000 perangkat pengguna dan mencuri lebih dari 50 juta kata sandi. Semua kelompok yang diidentifikasi mengatur serangan mereka melalui kelompok Telegram berbahasa Rusia, meskipun mereka terutama menargetkan pengguna di Amerika Serikat, Brasil, India, Jerman, dan Indonesia. Pada tahun 2022, malware pencuri informasi telah berkembang menjadi salah satu ancaman digital paling serius.

Menurut tim Perlindungan Risiko Digital Grup-IB, (bagian dari Platform Risiko Terpadu), grup dan bot Telegram massal yang dirancang untuk mendistribusikan pencuri info pertama kali muncul pada awal tahun 2021. Dengan menyelidiki sejumlah akun, analis Grup-IB dapat untuk mengkonfirmasi bahwa anggota dari beberapa kelompok penipuan yang sebelumnya berpartisipasi dalam skema Classiscam mulai menggunakan pencuri. Pada tahun 2021 dan 2022, pakar Grup-IB mengidentifikasi 34 grup aktif di Telegram. Rata-rata, grup distribusi pencuri info tersebut memiliki sekitar 200 anggota aktif.

Pencuri paling populer di antara kelompok yang diperiksa oleh Grup-IB adalah RedLine, yang digunakan oleh 23 dari 34 geng. Racoon menempati urutan kedua: 8 kelompok menggunakan alat ini. Pencuri kustom digunakan di 3 komunitas. Administrator biasanya memberi pekerja RedLine dan Racoon dengan imbalan bagian dari data atau uang yang dicuri. Namun, malware yang dimaksud ditawarkan untuk disewa di web gelap seharga $150-200 per bulan. Beberapa kelompok menggunakan 3 pencuri pada saat yang sama, sementara yang lain hanya memiliki satu pencuri di gudang senjata mereka.

5 besar negara yang paling sering diserang pada tahun 2022 adalah Amerika Serikat, Brasil, India, Jerman, dan Indonesia dengan masing-masing 91.565, 86.043, 53.988, 40.750, dan 35.345 perangkat yang terinfeksi.

Selengkapnya: Group-IB

34 Grup Cybercrime Rusia Mencuri Lebih dari 50 Juta Kata Sandi dengan Malware Stealer

November 25, 2022 by Coffee Bean

Sebanyak 34 geng berbahasa Rusia mendistribusikan malware pencuri informasi di bawah model pencuri sebagai layanan mencuri tidak kurang dari 50 juta kata sandi dalam tujuh bulan pertama tahun 2022.

Mayoritas korban berada di AS, diikuti oleh Brasil, India, Jerman, Indonesia, Filipina, Prancis, Turki, Vietnam, dan Italia. Secara total, lebih dari 890.000 perangkat di 111 negara terinfeksi selama jangka waktu tersebut.

Group-IB mengatakan anggota dari beberapa grup scam yang menyebarkan pencuri informasi sebelumnya berpartisipasi dalam operasi Classiscam.

Setelah kompromi yang berhasil, para penjahat dunia maya menjajakan informasi yang dicuri di web gelap untuk mendapatkan uang.

Perkembangan tersebut menyoroti peran penting yang dimainkan oleh Telegram dalam memfasilitasi berbagai kegiatan kriminal, termasuk berfungsi sebagai pusat untuk mengumumkan pembaruan produk, menawarkan dukungan pelanggan, dan mengekstraksi data dari perangkat yang disusupi.

Temuan ini juga mengikuti laporan baru dari SEKOIA, yang mengungkapkan bahwa tujuh tim traffer yang berbeda telah menambahkan pencuri informasi yang sedang naik daun yang dikenal sebagai Aurora ke perangkat mereka.

“Popularitas skema yang melibatkan pencuri dapat dijelaskan dengan hambatan masuk yang rendah,” jelas Group-IB. “Pemula tidak perlu memiliki pengetahuan teknis lanjutan karena prosesnya sepenuhnya otomatis dan satu-satunya tugas pekerja adalah membuat file dengan pencuri di bot Telegram dan mengarahkan lalu lintas ke sana.”

sumber : the hacker news

Peretas Mengunci Operator Mars Stealer dari Server Mereka Sendiri

November 24, 2022 by Coffee Bean

Mars Stealer adalah malware pencuri data sebagai layanan, memungkinkan penjahat dunia maya menyewa akses ke infrastruktur untuk meluncurkan serangan mereka sendiri. Malware itu sendiri sering didistribusikan sebagai lampiran email, iklan jahat, dan dibundel dengan file torrent di situs berbagi file. Setelah terinfeksi, malware mencuri kata sandi korban dan kode dua faktor dari ekstensi browser mereka, serta konten dompet mata uang kripto mereka. Malware juga dapat digunakan untuk mengirimkan muatan berbahaya lainnya, seperti ransomware.

Awal tahun ini, salinan crack dari malware Mars Stealer bocor secara online, memungkinkan siapa saja untuk membangun server perintah dan kontrol Mars Stealer mereka sendiri, tetapi dokumentasinya cacat, dan memandu calon aktor jahat untuk mengonfigurasi server mereka dengan cara yang akan secara tidak sengaja mengekspos file log yang dikemas dengan data pengguna yang dicuri dari komputer korban.

Mars Stealer mendapatkan daya tarik pada bulan Maret setelah pencopotan Raccoon Stealer, malware pencuri data populer lainnya. Itu menyebabkan peningkatan dalam kampanye Mars Stealer baru, termasuk penargetan massal Ukraina dalam minggu-minggu setelah invasi Rusia, dan upaya skala besar untuk menginfeksi korban dengan iklan berbahaya. Pada bulan April, peneliti keamanan mengatakan mereka menemukan lebih dari 40 server hosting Mars Stealer.

Sekarang, Buguard, startup pengujian penetrasi, mengatakan kerentanan yang ditemukannya dalam malware yang bocor memungkinkannya masuk dari jarak jauh dan “mengalahkan” server perintah dan kontrol Mars Stealer yang digunakan untuk mencuri data dari komputer korban yang terinfeksi.

kepala petugas teknologi perusahaan, memberi tahu TechCrunch bahwa kerentanan, setelah dieksploitasi, menghapus log dari server Mars Stealer yang ditargetkan, menghentikan semua sesi aktif yang memutuskan hubungan dengan komputer korban, lalu mengacak kata sandi dasbor sehingga operator dapat ‘ t login kembali.

Mohamed mengatakan perusahaannya telah menemukan dan menetralkan lima server Mars Stealer sejauh ini, empat di antaranya kemudian offline. Kerentanan juga ada di Erbium, malware pencuri data lainnya dengan model malware-as-a-service yang mirip dengan Mars Stealer, kata Mohamed.

sumber : tech crunch

Upaya Microsoft untuk Mengeraskan Autentikasi Kerberos Merusaknya di Server Windows

November 23, 2022 by Coffee Bean

Microsoft meluncurkan perbaikan untuk masalah dengan protokol otentikasi jaringan Kerberos di Windows Server setelah rusak oleh pembaruan November Patch Tuesday/ Patch November Selasa.

Seperti yang kami laporkan minggu lalu, pembarauan yang dirilis 8 november atau lebih baru yang diinstal pada windows server dengan tugas pengontrol domain untuk mengelola jaringan dan permintaan keamanan indentitas mengganggu kemampuan otentikasi kerberos, mulai dari kegagalan dalam masuk pengguna domain dan otentikasi aun layanan yang dikelola grup ke koneksi desktop jarak jauh tidak terhubung.

Ada juga masalah lain termasuk pengguna tidak dapat mengakses folder bersama di workstation dan koneksi printer yang memerlukan otentikasi pengguna domain gagal.

Minggu lalu, Microsoft mengeluarkan pembaruan out-of-band (OOB) darurat yang dapat diinstal di semua Pengontrol Domain, mengatakan bahwa pengguna tidak perlu menginstal pembaruan lain atau membuat perubahan pada server lain atau perangkat klien untuk mengatasi masalah tersebut. Juga, solusi apa pun yang digunakan untuk mengurangi masalah tidak lagi diperlukan dan harus dihapus, tulis perusahaan itu.

Kerberos digunakan untuk mengotentikasi permintaan layanan antara beberapa host tepercaya di jaringan yang tidak tepercaya seperti internet, menggunakan kriptografi kunci rahasia dan pihak ketiga tepercaya untuk mengotentikasi aplikasi dan identitas pengguna. Itu dibuat pada 1980-an oleh para peneliti di MIT.

Microsoft mulai menggunakan Kerberos di Windows 2000 dan sekarang menjadi alat otorisasi default di OS. Versi lain Kerberos – yang dikelola oleh Kerberos Consortium – tersedia untuk sistem operasi lain termasuk Apple OS, Linux, dan Unix.

Pengguna sistem Windows dengan bug berkemungkinan bertemu dengan pemberitahuan “Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 error event” pemberitahuan di bagian Sistem Log Peristiwa pada Pengontrol Domain mereka dengan teks yang menyertakan: ” Saat memproses permintaan AS untuk layanan target , akun tidak memiliki kunci yang sesuai untuk membuat tiket Kerberos (kunci yang hilang memiliki ID 1).”

Microsoft juga telah meluncurkan pembaruan kumulatif untuk diinstal pada Pengontrol Domain: Windows Server 2022 (KB5021656), Windows Server 2019 (KB5021655), dan Windows Server 2016 (KB5021654). ®

sumber : the regiser

Malware LodaRAT Muncul Kembali dengan Varian Baru Menggunakan Fungsionalitas yang Diperbarui

November 20, 2022 by Søren

Malware LodaRAT telah muncul kembali dengan varian baru yang digunakan bersama dengan malware canggih lainnya, seperti RedLine Stealer dan Neshta.

“Kemudahan akses ke kode sumbernya menjadikan LodaRAT alat yang menarik bagi setiap pelaku ancaman yang tertarik dengan kemampuannya,” kata peneliti Cisco Talos, Chris Neal dalam sebuah artikel yang diterbitkan Kamis.

Selain dijatuhkan bersama keluarga malware lainnya, LodaRAT juga telah diamati dikirim melalui varian yang sebelumnya tidak diketahui dari trojan komoditas lain yang disebut Venom RAT, yang telah diberi nama kode S500.

Malware berbasis AutoIT, LodaRAT (alias Nymeria) dikaitkan dengan kelompok bernama Kasablanca dan mampu mengumpulkan informasi sensitif dari mesin yang disusupi.

Pada Februari 2021, versi Android dari malware muncul sebagai cara bagi pelaku ancaman untuk memperluas permukaan serangan mereka. Kemudian pada September 2022, Zscaler ThreatLabz menemukan mekanisme pengiriman baru yang melibatkan penggunaan pencuri informasi yang dijuluki Prynt Stealer.

Temuan terbaru dari Cisco Talos mendokumentasikan varian LodaRAT yang telah diubah yang telah terdeteksi di alam liar dengan fungsionalitas yang diperbarui, terutama memungkinkannya berkembang biak ke setiap perangkat penyimpanan lepasan yang terpasang dan mendeteksi proses antivirus yang sedang berjalan.

Selengkapnya: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings