Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Ponsel Android rentan terhadap serangan brute-force sidik jari

by

Para peneliti di Tencent Labs dan Universitas Zhejiang telah mempresentasikan serangan baru yang disebut ‘BrutePrint,’ yang memaksa sidik jari pada smartphone modern untuk memotong otentikasi pengguna dan mengambil kendali perangkat.

Serangan brute-force mengandalkan banyak percobaan dan kesalahan untuk memecahkan kode, kunci, atau kata sandi dan mendapatkan akses tidak sah ke akun, sistem, atau jaringan.

Para peneliti China berhasil mengatasi perlindungan yang ada pada smartphone, seperti batas percobaan dan deteksi liveness yang melindungi dari serangan brute-force, dengan mengeksploitasi apa yang mereka klaim sebagai dua kerentanan zero-day, yaitu Cancel-After-Match-Fail (CAMF) dan Match -Setelah-Kunci (MAL).

Penulis makalah teknis yang diterbitkan di Arxiv.org juga menemukan bahwa data biometrik pada Serial Peripheral Interface (SPI) sensor sidik jari tidak cukup terlindungi, memungkinkan serangan man-in-the-middle (MITM) untuk membajak gambar sidik jari.

Serangan BrutePrint dan SPI MITM diuji terhadap sepuluh model smartphone populer, mencapai upaya tak terbatas pada semua perangkat Android dan HarmonyOS (Huawei) dan sepuluh upaya tambahan pada perangkat iOS.

Gagasan BrutePrint adalah untuk melakukan pengiriman gambar sidik jari dalam jumlah tak terbatas ke perangkat target hingga sidik jari yang ditentukan pengguna cocok.

Penyerang membutuhkan akses fisik ke perangkat target untuk meluncurkan serangan BrutePrint, akses ke basis data sidik jari yang dapat diperoleh dari kumpulan data akademik atau kebocoran data biometrik, dan peralatan yang diperlukan, dengan biaya sekitar $15.

Selengkapnya: Bleeping Computer

Bagaimana peretas masuk ke ponsel Anda tanpa kata sandi: ahli ‘GhostTouch’

by

Bahkan peretas telepon dapat bekerja dari jarak jauh akhir-akhir ini.

Para peneliti dari NordVPN telah memperingatkan pengguna ponsel cerdas untuk berhati-hati terhadap penjahat dunia maya yang licik, dengan mengklaim bahwa mereka menggunakan teknik baru yang memungkinkan mereka membuka kunci ponsel cerdas tertentu dari jarak jauh.

Biasanya, saat ponsel diretas, hal itu dilakukan dengan memasang malware di perangkat melalui kabel pengisi daya.

Para peneliti mengatakan pengguna ponsel pintar harus mengetahui teknik yang disebut GhostTouch – mendesak pengguna ponsel untuk mencari ponsel yang terbuka sendiri.

“GhostTouch adalah serangan peretasan layar terbaru yang memungkinkan penjahat meretas ponsel pengguna dari jarak jauh,” kata seorang peneliti kepada TechRader.
“Secara sederhana, penyerang menggunakan sinyal elektromagnetik untuk mensimulasikan peristiwa sentuhan utama seperti ketukan dan gesekan pada lokasi target layar sentuh.”

Para peneliti mengatakan tujuan para peretas adalah mengambil kendali jarak jauh dari ponsel cerdas untuk “memanipulasinya dengan cara yang berpotensi berbahaya”, seperti mengakses data dan kata sandi perangkat, mengakses layanan yang tidak aman, atau memasang malware.

Skema yang disebut GhostTouch ini ditemukan oleh akademisi dari Zhejiang University (China) dan Technical University of Darmstadt (Jerman).

Untuk menggunakan metode GhostTouch, peretas hanya perlu berada di dekat korban yang dituju. Mereka dapat meletakkan peralatan mereka di tempat umum untuk mengirim sinyal elektromagnetik ke telepon, yang oleh para ahli memperingatkan pengguna “bahkan mungkin tidak menyadarinya”.

“Sayangnya, tempat paling umum untuk peretasan layar sentuh adalah tempat umum seperti perpustakaan, kafe, atau lobi konferensi, tempat orang meletakkan ponsel cerdas mereka menghadap ke bawah di atas meja,” jelas Adrianus Warmenhoven, pakar keamanan siber di NordVPN. “Para penyerang menyiapkan peralatan di bawah meja terlebih dahulu dan melancarkan serangan dari jarak jauh.”

Selengkapnya: New York Post

Pembaruan sistem palsu menjatuhkan pencuri Aurora melalui pemuat Printer Tidak Valid

by

Malvertising tampaknya menikmati kebangkitan akhir-akhir ini, apakah itu dari iklan di halaman hasil mesin pencari atau melalui situs web populer. Karena browser saat ini lebih aman daripada 5 atau 10 tahun yang lalu, serangan yang kita lihat semuanya melibatkan beberapa bentuk rekayasa sosial.

Pelaku ancaman menggunakan iklan berbahaya untuk mengalihkan pengguna ke sesuatu yang tampak seperti pembaruan keamanan Windows. Skema ini dirancang dengan sangat baik karena mengandalkan browser web untuk menampilkan animasi layar penuh yang sangat mirip dengan apa yang Anda harapkan dari Microsoft.

Pembaruan keamanan palsu menggunakan loader yang baru diidentifikasi yang pada saat kampanye tidak menyadari kotak pasir malware dan melewati hampir semua mesin antivirus. Kami menulis alat untuk ‘menambal’ loader ini dan mengidentifikasi muatan sebenarnya sebagai pencuri Aurora. Dalam postingan blog ini, kami merinci temuan kami dan bagaimana kampanye ini terhubung dengan serangan lain.

Dalam kampanye malvertising khusus ini, muatan yang digunakan adalah Aurora Stealer, malware populer yang dirancang untuk mengambil kredensial dari sistem.

Malwarebytes menghapus semua sisa ransomware dan mencegah Anda terinfeksi ulang. Ingin mempelajari lebih lanjut tentang bagaimana kami dapat membantu melindungi bisnis Anda? Dapatkan uji coba gratis di bawah ini.

selengkapnya : malwarebytes.com

Juataan Ponsel sudah Terinfeksi Malware, Kata Para Peneliti

by

Penjahat telah menginfeksi jutaan Android di seluruh dunia dengan firmware jahat bahkan sebelum perangkat dikirim dari pabrik mereka, menurut peneliti Trend Micro di Black Hat Asia.

Perangkat keras ini sebagian besar adalah perangkat seluler Android murah, meskipun jam tangan pintar, TV, dan hal-hal lain terperangkap di dalamnya.

Pembuatan gadget tersebut dialihdayakan ke produsen peralatan asli (OEM). Pengalihdayaan itu memungkinkan seseorang di jalur manufaktur – seperti pemasok firmware – untuk menginfeksi produk dengan kode berbahaya saat dikirimkan, kata para peneliti.

Ini sudah berlangsung cukup lama, menurut kami; misalnya, kami menulis tentang sakit kepala serupa di tahun 2017. Orang-orang Trend Micro mencirikan ancaman saat ini sebagai “masalah yang berkembang bagi pengguna dan perusahaan biasa”. Jadi, anggap ini sebagai pengingat dan peringatan sekaligus.

Penyisipan malware ini dimulai saat harga firmware ponsel turun, kami diberi tahu. Persaingan antara distributor firmware menjadi sangat sengit sehingga akhirnya penyedia tidak dapat memungut biaya untuk produk mereka.

“Tapi tentu saja tidak ada yang gratis,” kata Yarochkin, yang menjelaskan bahwa, sebagai akibat dari situasi yang sulit ini, firmware mulai hadir dengan fitur yang tidak diinginkan – plugin senyap. Tim menganalisis lusinan gambar firmware untuk mencari perangkat lunak berbahaya. Mereka menemukan lebih dari 80 plugin berbeda, meskipun banyak di antaranya tidak didistribusikan secara luas.

Plugin yang paling berdampak adalah yang memiliki model bisnis yang dibangun di sekitarnya, dijual di bawah tanah, dan dipasarkan secara terbuka di tempat-tempat seperti Facebook, blog, dan YouTube.

selengkapnya : theregister.com

Microsoft mengeluarkan perbaikan opsional untuk Secure Boot zero-day yang digunakan oleh malware

by

Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan Secure Boot zero-day yang dieksploitasi oleh malware BlackLotus UEFI untuk menginfeksi sistem Windows yang telah ditambal sepenuhnya.

Secure Boot adalah fitur keamanan yang memblokir bootloader yang tidak dipercaya oleh OEM pada komputer dengan firmware Unified Extensible Firmware Interface (UEFI) dan chip Trusted Platform Module (TPM) untuk mencegah rootkit memuat selama proses startup.

Menurut posting blog Microsoft Security Response Center, kelemahan keamanan (dilacak sebagai CVE-2023-24932) digunakan untuk mem-bypass patch yang dirilis untuk CVE-2022-21894, bug Boot Aman lainnya yang disalahgunakan dalam serangan BlackLotus tahun lalu.

Semua sistem Windows yang mengaktifkan perlindungan Boot Aman dipengaruhi oleh kelemahan ini, termasuk perangkat lokal, mesin virtual, dan berbasis cloud.

Namun, patch keamanan CVE-2023-24932 yang dirilis hari ini hanya tersedia untuk versi Windows 10, Windows 11, dan Windows Server yang didukung.

Untuk menentukan apakah perlindungan Boot Aman diaktifkan di sistem Anda, Anda dapat menjalankan perintah msinfo32 dari prompt perintah Windows untuk membuka aplikasi Informasi Sistem.

Secure Boot diaktifkan jika Anda melihat pesan “Secure Boot State ON” di sisi kiri jendela setelah memilih “System Summary.”

selengkapnya : bleepingcomputer.com

FBI: Agen Keamanan Rusia telah menggunakan Jaringan Rahasia Komputer yang Rusak untuk Memata-matai NATO selama beberapa dekade, tetapi AS baru saja membukanya

by

Departemen Kehakiman mengungkapkan pada hari Selasa mengenai hal tersebut.

FBI berhasil mengacaukan jaringan komputer global yang telah disusupi oleh malware canggih ‘Snake’. Agensi melakukan operasi resmi pengadilan untuk menonaktifkan ‘Snake’ di komputer yang dikompromikan dengan menggunakan alat yang menginstruksikan malware untuk menghancurkan dirinya sendiri.

Badan Keamanan Infrastruktur dan Keamanan Siber (CISA) menganggap ‘Snake’ sebagai alat spionase siber paling canggih di gudang senjata FSB selama hampir dua dekade untuk menargetkan dan mencuri dokumen sensitif dari sistem komputer di banyak negara di seluruh dunia, termasuk anggota NATO, Justice menurut departemen.

FSB telah menggunakan Snake untuk mengumpulkan intelijen sensitif dari target prioritas tinggi, seperti jaringan pemerintah, fasilitas penelitian, dan jurnalis.

CISA merinci satu kasus spesifik di mana agen FSB berhasil menggunakan Snake untuk mengakses dan mengekstraksi dokumen hubungan internasional yang sensitif, serta komunikasi diplomatik lainnya melalui korban di negara NATO yang tidak ditentukan. Di AS, FSB telah mengorbankan beberapa sektor, termasuk fasilitas pemerintah, manufaktur kritis, jasa keuangan, pendidikan, organisasi media, dan usaha kecil, kata penasihat itu.

Menurut pernyataan tertulis FBI, agensi tersebut bekerja dengan mitra intelijen AS dan pemerintah asing untuk menyelidiki cara kerja Snake. FSB menggunakan Snake untuk menarik data dari sistem komputer sensitif dan mengirimkan data melalui sistem yang dikompromikan di AS sebelum dikirim kembali ke Rusia. Melakukan hal itu mempersulit korban untuk mengungkap bagaimana jaringan itu terhubung.

Melalui analisis Departemen Kehakiman terhadap Snake, FBI mengembangkan kemampuan untuk memecahkan kode dan mendekripsi komunikasi Snake. FBI kemudian menciptakan alat ‘Perseus’ yang dapat berkomunikasi dengan Snake pada sistem tertentu dan menggunakan perintah untuk memaksa malware untuk menghancurkan dirinya sendiri.

Pejabat tinggi Departemen Kehakiman memuji kemampuan FBI untuk menetralisir jaringan FSB.

Selengkapnya: Insider

Risiko yang ditimbulkan spyware komersial terhadap jurnalis, aktivis, dan pejabat pemerintah

by

Penggunaan spyware yang dikembangkan secara komersial yang memungkinkan pemerintah meretas ponsel dan mencuri datanya sedang booming. Awal tahun ini, pemerintahan Biden melarang agen federal menggunakan spyware komersial yang berisiko terhadap hak asasi manusia dan keamanan nasional. Tetapi seperti yang dilaporkan Nick Schifrin, spyware berkembang pesat dan telah menargetkan jurnalis, pembangkang, dan politisi di seluruh dunia.

Spyware komersial digunakan oleh pemerintah di seluruh dunia untuk menargetkan jurnalis, aktivis, dan pembangkang. Administrasi Biden telah melarang penggunaan spyware komersial oleh agen federal AS, tetapi teknologi pengawasan paling kuat telah digunakan untuk menargetkan aktivis hak asasi manusia.

Roman Gressier, seorang jurnalis investigasi yang bekerja untuk El Faro English di El Salvador, menjadi sasaran program Pegasus perusahaan spyware Israel NSO Group. Teknologi ini dapat mengumpulkan data telepon, pesan, interaksi dan lokasi media sosial, dan telah digunakan untuk menargetkan jurnalis dan pembangkang di seluruh dunia.

Setidaknya 35 pekerja media dan dua jurnalis independen diretas dengan Pegasus di El Salvador. Penggunaan spyware komersial telah meningkat selama dekade terakhir, dengan pemerintahan Biden berusaha membatasi penggunaan teknologi semacam itu. Namun, beberapa ahli berpendapat bahwa pembatasan AS tidak akan menghentikan pemerintah otoriter untuk menggunakan teknologi tersebut.

Selengkapnya: PBS NEWS HOUR

Blokir komunikasi C2 dengan Defender untuk Endpoint

by

Ransomware yang dioperasikan manusia (HumOR) berkembang dan membutuhkan lapisan perlindungan yang berbeda. Microsoft merilis beberapa fitur baru untuk melindungi dari komunikasi C2.

Penyerang sangat bergantung pada komunikasi C2 untuk beberapa tahap, dan memblokir koneksi langsung ini dapat mengganggu atau mengurangi serangan di status sebelumnya.

Server C&C command-and-control adalah komputer yang dikendalikan oleh penyerang yang mengirimkan perintah ke sistem yang disusupi malware dan menerima data dari jaringan.

Server Command and Control (C2) sering memanfaatkan lalu lintas yang jarang dipantau dan mengirimkan perintah kembali ke host yang terinfeksi. Server C2 sangat penting untuk serangan ransomware, komoditas, dan negara-bangsa. Mereka mengontrol perangkat yang terinfeksi dan melakukan aktivitas jahat (mengunduh; meluncurkan muatan, memerintah pasca eksploitasi).

Server Command and Control (C2) memanfaatkan lalu lintas tepercaya dan jarang dipantau untuk mengirimkan perintah kembali ke host yang terinfeksi.

Cara kerja server Command and Control (C2):

Langkah 1: Penyerang menginfeksi titik akhir dalam organisasi dengan malware. Ini dapat dilakukan dengan menggunakan phishing, malvertising, perangkat lunak yang rentan, perangkat lunak berbahaya, atau banyak serangan lainnya

Langkah 2: Saat inang terinfeksi; koneksi/ saluran C2 dibuat dan mengirimkan pemberitahuan kembali ke server C2; yang menunjukkan bahwa titik akhir siap menerima perintah.

Langkah 3: Saat malware tidak terdeteksi dan saluran C2 dibuat, sistem yang terinfeksi sekarang dapat menerima lebih banyak perintah dari server C2. Server C2 dapat digunakan untuk penginstalan perangkat lunak berbahaya, enkripsi, dan penerapan item berbahaya lebih lanjut.

Selengkapnya: Jeffrey Appel