Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Microsoft Mengungkap Malware Post-Compromise Baru yang Digunakan oleh Peretas Nobelium

by

Aktor ancaman di balik serangan rantai pasokan SolarWinds telah dikaitkan dengan malware pasca-eksploitasi “sangat bertarget” lainnya yang dapat digunakan untuk mempertahankan akses terus-menerus ke lingkungan yang disusupi.

Dijuluki MagicWeb oleh tim intelijen ancaman Microsoft, pengembangan ini menegaskan kembali komitmen Nobelium untuk mengembangkan dan memelihara kemampuan yang dibangun untuk tujuan tertentu.

Nobelium adalah moniker raksasa teknologi untuk sekelompok aktivitas yang terungkap dengan serangan canggih yang menargetkan SolarWinds pada Desember 2020, dan yang tumpang tindih dengan kelompok peretasan negara-bangsa Rusia yang dikenal luas sebagai APT29, Cozy Bear, atau The Dukes.

MagicWeb, yang memiliki kesamaan dengan alat lain yang disebut FoggyWeb, dinilai telah digunakan untuk mempertahankan akses dan mencegah penggusuran selama upaya perbaikan, tetapi hanya setelah memperoleh akses yang sangat istimewa ke lingkungan dan bergerak secara lateral ke server AD FS.

Sementara FoggyWeb hadir dengan kemampuan khusus untuk mengirimkan muatan tambahan dan mencuri informasi sensitif dari server Active Directory Federation Services (AD FS), MagicWeb adalah DLL jahat (versi backdoor dari “Microsoft.IdentityServer.Diagnostics.dll”) yang memfasilitasi akses rahasia ke sistem AD FS melalui bypass otentikasi.

Temuan ini muncul setelah pengungkapan kampanye yang dipimpin APT29 yang ditujukan pada organisasi yang berafiliasi dengan NATO dengan tujuan mengakses informasi kebijakan luar negeri.

Secara khusus, ini memerlukan penonaktifan fitur pencatatan perusahaan yang disebut Purview Audit (sebelumnya Audit Lanjutan) untuk mengumpulkan email dari akun Microsoft 365. “APT29 terus menunjukkan keamanan operasional dan taktik penghindaran yang luar biasa,” kata Mandiant.

Taktik lain yang lebih baru yang digunakan oleh aktor dalam operasi baru-baru ini adalah penggunaan serangan menebak kata sandi untuk mendapatkan kredensial yang terkait dengan akun yang tidak aktif dan mendaftarkannya untuk otentikasi multi-faktor, memberinya akses ke infrastruktur VPN organisasi.

APT29 tetap menjadi kelompok ancaman yang produktif seperti halnya terampil. Bulan lalu, Palo Alto Networks Unit 42 menandai kampanye phishing yang memanfaatkan layanan penyimpanan cloud Dropbox dan Google Drive untuk penyebaran malware dan tindakan pasca-kompromi lainnya.

Sumber :The Hackernews

Kampanye malware baru menarik semua pemberhentian untuk menghindari deteksi Play Store

by

Malware merupakan ancaman yang berkembang dan ada di mana-mana, dan terlepas dari upaya terbaik mereka, toko aplikasi seperti Google rentan untuk digunakan secara tidak sadar untuk distribusi.

Play Store secara teratur menghapus aplikasi dan melarang pengembang yang melanggar aturan yang dimaksudkan untuk menghentikan adware, spyware, malware, dan aplikasi mengganggu lainnya yang lebih baik bagi Anda tanpanya.

Kru di Bitdefender baru-baru ini mengidentifikasi 35 aplikasi yang menyalahgunakan metode ini untuk mempersulit Anda menemukan pelakunya yang bertanggung jawab atas spam iklan dan iklan berbahaya. Aplikasi telah mengumpulkan lebih dari dua juta unduhan gabungan.

Setelah diinstal, aplikasi ini mengganti namanya sendiri agar sesuai dengan aplikasi sistem seperti Pengaturan untuk membantu tetap tersembunyi.

Ikon mereka juga berubah secara otomatis untuk mencocokkan, dan mengetuk mengarahkan pengguna yang tidak curiga ke aplikasi Pengaturan sebenarnya di ponsel mereka.

Beberapa di antaranya meminta Anda untuk menonaktifkan pengoptimalan baterai dan memberikan izin untuk ditampilkan di atas aplikasi lain yang diharapkan menjadi tanda bahaya. Aplikasi dapat menyalahgunakan izin ini untuk memulai pemberitahuan layanan latar depan dan menyimulasikan klik pengguna pada iklan untuk keuntungan finansial.

Bitdefender mengatakan menggunakan teknologi perilaku real-time baru untuk mengidentifikasi adware. Berdasarkan pola dalam gaya penamaan aplikasi, email pengembang, dan situs web yang terdaftar, ia percaya semua aplikasi bisa menjadi hasil karya satu individu atau grup.

Para pakar keamanan menyarankan saran agar menghapus aplikasi yang tidak digunakan, tidak menginstal yang tidak benar-benar Anda butuhkan, dan waspada terhadap permintaan izin yang tidak biasa.

Sumber: Android Police

Peretas Korea Utara Menggunakan Malware macOS yang Ditandatangani untuk Menargetkan Pencari Kerja TI

by

Peretas Korea Utara dari grup Lazarus telah menggunakan executable berbahaya yang ditandatangani untuk macOS untuk meniru Coinbase dan memikat karyawan di sektor teknologi keuangan.

Meskipun tidak mengherankan bahwa mereka menargetkan pekerja di perusahaan Web3, detail tentang kampanye rekayasa sosial khusus ini sejauh ini terbatas pada malware untuk platform Windows.

Peretas Lazarus telah menggunakan tawaran pekerjaan palsu di masa lalu dan dalam operasi baru-baru ini mereka menggunakan malware yang disamarkan sebagai file PDF dengan detail tentang posisi di Coinbase.

Nama dokumen palsu itu adalah “Coinbase_online_careers_2022_07.” Saat diluncurkan, ini menampilkan PDF umpan di atas dan memuat DLL berbahaya yang pada akhirnya memungkinkan pelaku ancaman untuk mengirim perintah ke perangkat yang terinfeksi.

Peneliti keamanan di perusahaan keamanan siber ESET menemukan bahwa para peretas juga memiliki malware yang siap untuk sistem macOS. Mereka mengatakan bahwa file berbahaya dikompilasi untuk Mac dengan silikon Intel dan Apple, yang berarti bahwa pengguna model lama dan baru menjadi sasaran.

Di utas di Twitter, mereka mencatat bahwa malware menjatuhkan tiga file:
bundel FinderFontsUpdater.app
pengunduh safarifontagen
PDF umpan yang disebut PDF “Coinbase_online_careers_2022_07” (sama seperti malware Windows)
Kampanye serupa yang menargetkan pengguna macOS dan dikaitkan dengan Lazarus telah diidentifikasi tahun lalu. Pelaku ancaman mengandalkan taktik rekayasa sosial tawaran pekerjaan palsu yang sama tetapi menggunakan PDF yang berbeda.

ESET menautkan malware macOS baru-baru ini ke Operation In(ter)ception, kampanye Lazarus yang menargetkan organisasi kedirgantaraan dan militer profil tinggi dengan cara yang sama.

Melihat malware macOS, para peneliti memperhatikan bahwa itu ditandatangani pada 21 Juli (sesuai dengan nilai stempel waktu) dengan sertifikat yang dikeluarkan pada bulan Februari untuk pengembang menggunakan nama Shankey Nohria dan pengenal tim 264HFWQH63.

Pada 12 Agustus, sertifikat itu belum dicabut oleh Apple. Namun, aplikasi berbahaya tidak disahkan – proses otomatis yang digunakan Apple untuk memeriksa perangkat lunak untuk komponen berbahaya.

Dibandingkan dengan malware macOS sebelumnya yang dikaitkan dengan kelompok peretas Lazarus, peneliti ESET mengamati bahwa komponen pengunduh terhubung ke server perintah dan kontrol (C2) yang berbeda, yang tidak lagi merespons pada saat analisis.

Kelompok peretas Korea Utara telah lama dikaitkan dengan peretasan cryptocurrency serta menggunakan tawaran pekerjaan palsu dalam kampanye phishing yang bertujuan untuk menginfeksi target yang diminati.

Aplikasi malware Android dengan 2 juta pemasangan ditemukan di Google Play

by

Kumpulan baru tiga puluh lima aplikasi malware Android yang menampilkan iklan yang tidak diinginkan ditemukan di Google Play Store, dengan aplikasi yang diinstal lebih dari 2 juta kali di perangkat seluler korban.

Aplikasi tersebut ditemukan oleh peneliti keamanan di Bitdefender, yang menggunakan metode analisis berbasis perilaku waktu nyata untuk menemukan aplikasi yang berpotensi berbahaya.

Aplikasi tersebut memikat pengguna untuk menginstalnya dengan berpura-pura menawarkan beberapa fungsi khusus tetapi mengubah nama dan ikon mereka segera setelah instalasi, membuatnya sulit untuk ditemukan dan dihapus.

Sejak saat itu, aplikasi jahat mulai menayangkan iklan yang mengganggu kepada pengguna dengan menyalahgunakan WebView, menghasilkan tayangan penipuan dan pendapatan iklan untuk operator mereka.

Aplikasi adware tersebut menerapkan beberapa metode untuk bersembunyi di Android dan bahkan menerima pembaruan selanjutnya untuk membuatnya lebih mudah disembunyikan di perangkat.

Setelah instalasi, aplikasi biasanya menganggap ikon roda gigi dan mengganti namanya sendiri sebagai ‘Pengaturan’, untuk menghindari deteksi dan penghapusan.

Jika pengguna mengklik ikon, aplikasi meluncurkan aplikasi malware dengan ukuran 0 untuk disembunyikan dari pandangan. Malware kemudian meluncurkan menu Pengaturan yang sah untuk mengelabui pengguna agar berpikir bahwa mereka meluncurkan aplikasi yang benar.

Fungsi untuk meluncurkan Pengaturan sistem (Bitdefender)

Aplikasi berbahaya juga menampilkan kebingungan kode yang berat dan enkripsi untuk menggagalkan upaya rekayasa balik, menyembunyikan muatan Java utama di dalam dua file DEX terenkripsi.

Metode lain untuk menyembunyikan aplikasi dari pengguna adalah dengan mengecualikan diri mereka dari daftar ‘Aplikasi terbaru’, jadi meskipun mereka berjalan di latar belakang, mengekspos proses aktif tidak akan mengungkapkannya.

Aplikasi populer yang menayangkan iklan
35 aplikasi Android berbahaya memiliki jumlah unduhan mulai dari 10.000 hingga 100.000, dengan total lebih dari dua juta unduhan.

Yang paling populer, masing-masing memiliki 100k unduhan, adalah sebagai berikut:

  • Walls light – Wallpapers Pack (gb.packlivewalls.fournatewren)
  • Big Emoji – Keyboard 5.0 (gb.blindthirty.funkeyfour)
  • Grand Wallpapers – 3D Backdrops 2.0 (gb.convenientsoftfiftyreal.threeborder)
  • Engine Wallpapers (gb.helectronsoftforty.comlivefour)
  • Stock Wallpapers (gb.fiftysubstantiated.wallsfour)

    • Selengkapnya

Dari yang di atas, ‘Walls light – Wallpapers Pack’, ‘Animated Sticker Master’, dan ‘GPS Location Finder’ masih tersedia di Play Store saat menulis artikel ini.

Adware masih tersedia di Play Store

Aplikasi lainnya yang terdaftar tersedia di beberapa toko aplikasi pihak ketiga seperti APKSOS, APKAIO, APKCombo, APKPure, dan APKsfull, tetapi jumlah unduhan yang disajikan berasal dari waktu mereka di Play Store.

Jika Anda telah menginstal salah satu aplikasi ini, Anda harus segera mencari dan menghapusnya dari perangkat Anda.

Karena aplikasi menyamar sebagai Pengaturan, menjalankan alat AV seluler untuk mencari dan menghapusnya mungkin berguna dalam kasus ini.

Sumber: Bleeping Computer

Rangkaian Emoji Ini Sebenarnya Malware

by

Dalam waktu dekat, peretas dapat menipu Anda hanya dengan mengirimkan serangkaian emoji acak ke komputer atau ponsel Anda, menurut peneliti keamanan siber.

Biasanya, ketika peretas menemukan kelemahan pada komputer atau ponsel target, mereka membuat apa yang disebut eksploitasi—sepotong kode yang dirancang untuk memanfaatkan kelemahan tersebut dan mengendalikan target. Sama seperti kode lainnya, exploit biasanya berisi string huruf dan simbol.

Selama pembicaraan di konferensi peretasan DEF CON di Las Vegas pada hari Jumat, peneliti keamanan Hadrien Barral dan Georges-Axel Jaloyan mengatakan mereka telah menemukan cara untuk menggunakan hanya serangkaian emoji untuk memberikan eksploitasi ke target. Peringatannya adalah bahwa ada keadaan khusus yang perlu terjadi agar eksploitasi emoji berfungsi.

Jayolan menjelaskan bahwa saat mengirimkan exploit ke target, harus melalui filter terlebih dahulu—misalnya, jika seorang hacker mengirimkan payloadnya melalui formulir yang hanya menerima huruf dan angka, maka payloadnya harus berupa huruf dan angka. Jadi, agar serangan emoji berfungsi, perlu melalui filter yang hanya menerima emoji, yang menurut Jaloyan tidak ada saat ini.

Kedua peneliti berbagi dengan Motherboard contoh eksploitasi yang hanya dibuat dari emoji. Mereka juga mempublikasikan detail teknis penelitian mereka di GitHub.

Namun, penelitian dan bukti konsep Barral dan Jaloyan menunjukkan bahwa menggunakan emoji untuk meretas target memang memungkinkan.

Ide peneliti adalah untuk mendidik penyerang dan pembela keamanan siber untuk menunjukkan kepada mereka bahwa ini mungkin, yang seharusnya mendorong mereka untuk mengubah perilaku mereka.

Selama penelitian mereka, Barral dan Jaloyan menemukan bahwa beberapa perangkat lunak kesulitan memproses emoji. Ini tidak berarti perangkat lunak ini dapat diretas dengan emoji, tetapi menunjukkan bahwa emoji cukup baru sehingga tidak semua komputer dan program mendukungnya.

VICE

Penjahat siber menggunakan messaging apps untuk meluncurkan skema malware

by

Peneliti Intel 471 melaporkan bahwa penjahat siber memanfaatkan bot di dalam aplikasi perpesanan berbasis cloud populer seperti Discord dan Telegram untuk menyebarkan malware.

Bot biasanya digunakan untuk berbagi media, bermain game, saluran moderat, atau tugas otomatis lainnya yang dapat dibuat oleh pengembang.

Para peneliti mengatakan penjahat siber menggunakan platform tersebut untuk meng-host, mendistribusikan, dan menjalankan berbagai fungsi yang pada akhirnya memungkinkan mereka untuk mencuri kredensial atau informasi lain dari pengguna yang tidak sadar

Peneliti Intel 471 juga menemukan beberapa alat pencuri informasi yang tersedia secara bebas untuk diunduh yang mengandalkan Discord atau Telegram untuk fungsionalitasnya.

Salah satunya Blitzed Grabber, mereka menggunakan fitur webhook Discord sebagai cara untuk menyimpan data yang dieksfiltrasi melalui malware. Webhook menyediakan cara mudah untuk mengirim pesan otomatis dan pembaruan data dari mesin korban ke saluran pesan tertentu.

Pencuri ini dapat mencuri semua jenis informasi, termasuk data isi otomatis, bookmark, cookie browser, kredensial dari klien jaringan pribadi virtual (VPN), informasi kartu pembayaran, dompet cryptocurrency, informasi sistem operasi, kata sandi, dan kunci produk Microsoft Windows. Beberapa grabber, termasuk Blitzed Grabber, Mercurial Grabber, dan 44Caliber, juga menargetkan kredensial untuk platform game Minecraft dan Roblox.

Satu bot khusus Telegram, yang dikenal sebagai X-Files, memiliki fungsionalitas yang dapat diakses melalui perintah bot di dalam Telegram. Setelah malware dimuat ke sistem korban, pelaku jahat dapat menggesek kata sandi, cookie sesi, kredensial login, dan detail kartu kredit, dengan mengarahkan informasi itu ke saluran Telegram yang mereka pilih. X-Files dapat mengambil informasi dari berbagai browser, termasuk Google Chrome, Chromium, Opera, Slimjet, dan Vivaldi.

Peneliti Intel 471 juga telah mengamati pelaku ancaman yang menyalahgunakan infrastruktur cloud yang digunakan oleh aplikasi perpesanan untuk mendukung kampanye penyebaran malware. Banyak pelaku ancaman saat ini menggunakan jaringan pengiriman konten (CDN) Discord untuk meng-host muatan malware.

Sistem pengumpulan Intelijen Malware kami pertama kali mengamati teknik ini pada tahun 2019, tetapi berbagai pelaku ancaman masih menggunakannya. Operator malware tampaknya tidak menghadapi batasan apa pun saat mengunggah muatan berbahaya mereka ke CDN Discord untuk hosting file. Tautan terbuka untuk pengguna mana pun tanpa autentikasi, memberikan aktor ancaman domain web bereputasi tinggi untuk meng-host muatan berbahaya.

Keluarga malware yang diamati menggunakan Discord CDN untuk meng-host muatan berbahaya meliputi:

  • PrivateLoader
  • Discoloader
  • Colibri
  • Warzone RAT
  • Modi loader
  • Raccoon stealer
  • Smokeloader
  • Amadey
  • Agent Tesla stealer
  • GuLoader
  • Autohotkey
  • njRAT

Sebelumnya, Intel 471 telah mengamati peningkatan layanan di bawah tanah kejahatan dunia maya yang memungkinkan penyerang memanfaatkan bot Telegram dalam upaya untuk mencegat token kata sandi satu kali (OTP). Pelaku kejahatan terus membangun layanan ini, menjual aksesnya di berbagai forum kejahatan dunia maya.

Satu bot yang diamati oleh peneliti Intel 471 pada bulan April, yang dikenal sebagai Astro OTP, memungkinkan operator untuk mendapatkan kode verifikasi OTP dan layanan pesan singkat (SMS). Operator diduga dapat mengontrol bot secara langsung melalui antarmuka Telegram dengan menjalankan perintah sederhana.

Akses ke bot sangat murah, langganan satu hari dapat dibeli seharga US $25, dengan langganan seumur hidup tersedia seharga US $300.

Otomatisasi di platform perpesanan populer menurunkan bar-of-entry untuk aktor jahat. Sementara pencuri informasi saja tidak menyebabkan jumlah kerusakan yang sama seperti malware seperti penghapus data atau ransomware, mereka dapat menjadi langkah pertama dalam meluncurkan serangan yang ditargetkan terhadap perusahaan.

Sumber: Intel 471

Malware RapperBot IoT Baru Menargetkan Server Linux melalui SSH Brute-Forcing Attack

by

Malware botnet IoT baru yang dijuluki RapperBot telah diamati berkembang pesat kemampuannya sejak pertama kali ditemukan pada pertengahan Juni 2022.

Malware, yang mendapatkan namanya dari URL yang disematkan ke video musik rap YouTube di versi sebelumnya, dikatakan telah mengumpulkan semakin banyak server SSH yang disusupi, dengan lebih dari 3.500 alamat IP unik yang digunakan untuk memindai dan memaksa jalan mereka. ke dalam server.

Implementasi RapperBot saat ini juga menggambarkannya dari Mirai, yang memungkinkannya berfungsi sebagai alat brute-force SSH dengan kemampuan terbatas untuk melakukan serangan penolakan layanan (DDoS) terdistribusi.

Penyimpangan dari perilaku Mirai tradisional lebih lanjut dibuktikan dalam upayanya untuk membangun kegigihan pada host yang disusupi, yang secara efektif memungkinkan pelaku ancaman untuk mempertahankan akses jangka panjang lama setelah malware dihapus atau perangkat di-boot ulang.

Serangan tersebut memerlukan target potensial yang memaksa menggunakan daftar kredensial yang diterima dari server jarak jauh. Setelah berhasil membobol server SSH yang rentan, kredensial yang valid dieksfiltrasi kembali ke command-and-control.

Akses dicapai dengan menambahkan kunci publik SSH operator ke file khusus yang disebut “~/.ssh/authorized_keys”, yang memungkinkan musuh untuk terhubung dan mengautentikasi ke server menggunakan kunci pribadi pribadi yang sesuai tanpa harus memberikan kata sandi.

“Ini menghadirkan ancaman ke server SSH yang disusupi karena pelaku ancaman dapat mengaksesnya bahkan setelah kredensial SSH diubah atau otentikasi kata sandi SSH dinonaktifkan,” para peneliti menjelaskan.

“Selain itu, karena file diganti, semua kunci resmi yang ada dihapus, yang mencegah pengguna yang sah mengakses server SSH melalui otentikasi kunci publik.”

Pergeseran ini juga memungkinkan malware untuk mempertahankan aksesnya ke perangkat yang diretas ini melalui SSH, memungkinkan pelaku untuk memanfaatkan pijakan untuk melakukan serangan penolakan layanan bergaya Mirai.

Perbedaan dari keluarga malware IoT lainnya memiliki efek samping yang membuat motivasi utamanya menjadi misteri, fakta yang semakin diperumit oleh fakta bahwa penulis RapperBot telah meninggalkan sedikit atau tidak ada tanda-tanda asal mereka.

Penghapusan propagasi diri demi kegigihan meskipun, botnet dikatakan telah mengalami perubahan signifikan dalam rentang waktu singkat, kepala di antaranya adalah penghapusan fitur serangan DDoS dari artefak pada satu titik, hanya untuk diperkenalkan kembali seminggu kemudian.

Tujuan kampanye, pada akhirnya, tetap samar-samar, tanpa aktivitas lanjutan yang diamati setelah kompromi yang berhasil. Yang jelas adalah bahwa server SSH dengan kredensial default atau yang dapat ditebak sedang digabungkan ke dalam botnet untuk tujuan masa depan yang tidak ditentukan.

Untuk menangkis infeksi semacam itu, disarankan agar pengguna menetapkan kata sandi yang kuat untuk perangkat atau menonaktifkan otentikasi kata sandi untuk SSH jika memungkinkan.

Sumber: The Hacker News

Meningkatnya Jumlah Serangan Malware dengan Memanfaatkan Dark Utilities ‘C2-as-a-Service’

by

Layanan baru yang disebut Dark Utilities telah menarik 3.000 pengguna karena kemampuannya untuk menyediakan layanan command-and-control (C2) dengan tujuan menguasai sistem yang dikompromikan.

“Ini dipasarkan sebagai sarana untuk mengaktifkan akses jarak jauh, eksekusi perintah, serangan penolakan layanan terdistribusi (DDoS) dan operasi penambangan cryptocurrency pada sistem yang terinfeksi,” kata Cisco Talos dalam sebuah laporan yang dibagikan dengan The Hacker News.

Dark Utilities, yang muncul pada awal 2022, diiklankan sebagai “C2-as-a-Service” (C2aaS), menawarkan akses ke infrastruktur yang di-hosting di clearnet serta jaringan TOR dan muatan terkait dengan dukungan untuk Windows, Linux, dan implementasi berbasis Python hanya dengan €9,99.

Pengguna yang diautentikasi pada platform disajikan dengan dasbor yang memungkinkan untuk menghasilkan muatan baru yang disesuaikan dengan sistem operasi tertentu yang kemudian dapat digunakan dan dijalankan pada host korban.

Selain itu, pengguna diberikan panel administratif untuk menjalankan perintah pada mesin di bawah kendali mereka saat membuat saluran C2 aktif, yang secara efektif memberikan penyerang akses penuh ke sistem.

Idenya adalah untuk memungkinkan aktor ancaman untuk menargetkan beberapa arsitektur tanpa memerlukan upaya pengembangan yang signifikan. Juga diperluas ke pelanggannya adalah dukungan teknis dan bantuan melalui Discord dan Telegram.

“Mengingat biaya yang relatif rendah dibandingkan dengan jumlah fungsionalitas yang ditawarkan platform, kemungkinan menarik bagi musuh yang mencoba untuk berkompromi dengan sistem tanpa mengharuskan mereka untuk membuat implementasi C2 mereka sendiri di dalam muatan malware mereka,” catat para peneliti.

Untuk menambah bahan bakar ke api, artefak malware di-host dalam solusi Sistem File InterPlanetary (IPFS) terdesentralisasi, membuatnya tahan terhadap moderasi konten atau intervensi penegakan hukum dengan cara yang mirip dengan “hosting antipeluru.”

“IPFS saat ini disalahgunakan oleh berbagai pelaku ancaman yang menggunakannya untuk meng-host konten berbahaya sebagai bagian dari kampanye distribusi phishing dan malware,” kata peneliti Talos Edmund Brumaghin kepada The Hacker News.

“[Gateway IPFS] memungkinkan komputer di internet untuk mengakses konten yang dihosting dalam jaringan IPFS tanpa persyaratan untuk instalasi perangkat lunak klien, mirip dengan cara gateway Tor2Web menyediakan fungsionalitas itu untuk konten yang dihosting dalam jaringan Tor.”

Dark Utilities diyakini sebagai hasil karya aktor ancaman yang menggunakan moniker Inplex-sys di ruang bawah tanah cybercriminal, dengan Talos mengidentifikasi semacam “hubungan kolaboratif” antara Inplex-sys dan salah satu operator layanan botnet disebut Bot Cerdas.

Sumber: The Hacker News