Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Bank Diperintahkan Untuk Segera Menandai Insiden Keamanan Siber di bawah Aturan Baru AS

by

Regulator perbankan AS pada hari Kamis menyelesaikan aturan yang mengarahkan bank untuk melaporkan insiden cybersecurity besar kepada pemerintah dalam waktu 36 jam setelah penemuan.

Secara terpisah, industri perbankan mengatakan telah berhasil menyelesaikan latihan keamanan siber lintas industri besar-besaran yang bertujuan untuk memastikan Wall Street tahu bagaimana merespons jika terjadi serangan ransomware yang mengancam untuk mengganggu berbagai layanan keuangan.

Perkembangan tersebut menyoroti meningkatnya ancaman insiden cyber berskala besar terhadap stabilitas keuangan.

“Industri jasa keuangan adalah target utama, menghadapi puluhan ribu serangan siber setiap hari,” kata Kenneth Bentsen, CEO Asosiasi Industri Sekuritas dan Pasar Keuangan, yang mengorganisir dan memimpin latihan industri.

Aturan bank baru menetapkan bahwa bank harus memberi tahu regulator utama mereka tentang pelanggaran keamanan komputer yang signifikan sesegera mungkin, dan paling lambat 36 jam setelah penemuan.

Bank juga harus memberi tahu pelanggan sesegera mungkin tentang insiden cybersecurity jika mengakibatkan masalah yang berlangsung lebih dari 4 jam.

Persyaratan baru berlaku untuk setiap insiden cybersecurity yang diharapkan secara material berdampak pada kemampuan bank untuk menyediakan layanan, melakukan operasinya atau merusak stabilitas sektor keuangan. Aturan ini disetujui oleh Federal Reserve, Federal Deposit Insurance Corporation dan Kantor Pengawas Mata Uang.

Hal ini mengatur harapan eksplisit tentang seberapa cepat bank mengenal pelanggaran cybersecurity, karena regulator ingin mengejar teknologi yang berkembang pesat yang berperan di setiap jenis layanan perbankan. Sebelumnya, tidak ada persyaratan khusus untuk seberapa cepat bank harus melaporkan pelanggaran komputer besar.

Sumber: Reuters

Berikut adalah kampanye spam Emotet baru yang menghantam kotak surat di seluruh dunia

by

Malware Emotet mulai beraksi kemarin setelah jeda sepuluh bulan dengan beberapa kampanye spam yang mengirimkan dokumen berbahaya ke kotak surat di seluruh dunia.

Emotet adalah infeksi malware yang didistribusikan melalui kampanye spam dengan lampiran berbahaya. Jika pengguna membuka lampiran, makro atau JavaScript berbahaya akan mengunduh Emotet DLL dan memuatnya ke dalam memori menggunakan PowerShell.

Setelah dimuat, malware akan mencari dan mencuri email untuk digunakan dalam kampanye spam di masa mendatang dan menjatuhkan muatan tambahan seperti TrickBot atau Qbot yang biasanya menyebabkan infeksi ransomware.

Peneliti cybersecurity Brad Duncan menerbitkan SANS Handler Diary tentang bagaimana botnet Emotet mulai mengirim spam ke beberapa kampanye email untuk menginfeksi perangkat dengan malware Emotet.

Menurut Duncan, kampanye spam menggunakan email replay-chain untuk memikat penerima agar membuka file Word, Excel, dan file ZIP yang dilindungi kata sandi.

Email phishing rantai balasan adalah saat utas email yang sebelumnya dicuri digunakan dengan balasan palsu untuk mendistribusikan malware ke pengguna lain.

Saat Anda membuka lampiran Emotet, templat dokumen akan menyatakan bahwa pratinjau tidak tersedia dan Anda perlu mengeklik ‘Aktifkan Pengeditan’ dan ‘Aktifkan Konten’ untuk melihat konten dengan benar.

Namun, setelah Anda mengklik tombol-tombol ini, makro jahat akan diaktifkan yang meluncurkan perintah PowerShell untuk mengunduh DLL pemuat Emotet dari situs WordPress yang disusupi dan menyimpannya ke folder C:\ProgramData.

Organisasi pemantau malware dan botnet Abuse.ch telah merilis daftar 245 server perintah dan kontrol yang dapat diblokir oleh firewall perimeter untuk mencegah komunikasi dengan server perintah dan kontrol.

Memblokir komunikasi ke C2 juga akan mencegah Emotet menjatuhkan muatan lebih lanjut pada perangkat yang disusupi.

Selengkapnya: Bleeping Computer

Ramalan Malware dan Ransomeware Mendatang

by

Laporan ancaman Sophos tahun 2022 menjelaskan Infeksi malware dan ransomware di masa depan akan terdiri dari “shotgun attacks with pinpoint targeting.”

Seolah itu tidak cukup, infosec biz Inggris menganggap serangan malware komoditas yang sudah mapan akan berakhir dengan memberikan lebih banyak ransomware, sementara taktik pemerasan yang digunakan oleh geng ransomware akan menjadi lebih beragam dan intens – dengan tujuan menggertak korban agar menyerahkan uang tunai.

“Ransomware berkembang pesat karena kemampuannya untuk beradaptasi dan berinovasi,” kata Chester Wisniewski seorang ilmuwan peneliti utama di Sophos. “Misalnya, meskipun penawaran RaaS bukanlah hal baru, di tahun-tahun sebelumnya kontribusi utama mereka adalah membawa ransomware ke dalam jangkauan penyerang berketerampilan rendah atau kurang didanai.”

Ancaman dunia maya yang hampir ada di mana-mana telah banyak ditampilkan dalam berita baru-baru ini, menyusul penghargaan AS senilai jutaan dolar untuk informasi yang mengarah pada penangkapan dan hukuman terhadap geng ransomware high profile tertentu. Selain itu, banyak polisi negara – terutama Ukraina – telah menangkap orang-orang yang diduga sebagai anggota geng.

Selain ransomware, Sophos mengatakan pada 2022 akan terjadi serangan ulang ProxyLogon dan ProxyShell di mana vuln dalam layanan dan produk TI yang banyak digunakan langsung dilompati oleh penjahat dan negara. Perusahaan mengharapkan untuk melihat “peningkatan minat kejahatan dalam sistem berbasis Linux selama tahun 2022, baik di cloud maupun di web dan server virtual.”

Serangan shotgun yang ditargetkan, seperti yang dijelaskan Sophos, juga dapat meningkat. Perusahaan menggunakan serangan Gootloader sebagai contoh, menyoroti bagaimana situs web berbahaya didorong ke atas peringkat hasil pencarian Google oleh kejahatan. Pemfilteran tanda yang mengklik tautan berbahaya ini mengesampingkan mereka yang tidak menjalankan kombinasi sistem operasi dan browser tertentu.

“SophosLabs percaya bahwa ini mungkin merupakan cara baru bagi distributor malware untuk menggagalkan peneliti malware sambil memberi diri mereka sendiri tingkat kepastian yang lebih besar bahwa malware mereka akan menjadi bagian dari korban yang mungkin lebih diinginkan daripada populasi umum,” perusahaan menyimpulkan.

Linux dan sistem virtual dapat berada di bawah ancaman yang lebih besar pada tahun 2022, menurut pandangan Sophos, dengan peringatan tegas: “Satu ransomware yang kami temui pada tahun 2021 menargetkan platform VMware ESXi dan datang dalam bentuk skrip Python yang, ketika dijalankan pada hypervisor, mematikan semua mesin virtual yang berjalan dan kemudian mengenkripsi penyimpanan data tempat hard drive virtual, dan file konfigurasi lainnya, disimpan di hypervisor.”

Hal-hal yang menghebohkan – dan kejadian di atas terjadi pada perusahaan “logistik dan industri perkapalan” selama tahun ini. Trojan RansomEXX, yang menargetkan hypervisor VMware ESXi, ditemukan oleh Sophos pada Juni 2021 setelah serangan terhadap hypervisor ESXi yang berbeda “dijalankan oleh toko roti komersial besar”.

“Ancaman, mereka sedang berkembang. Keyakinan lama bahwa organisasi Anda terlalu kecil, tidak jelas, atau pendapatannya rendah untuk dijadikan target berbahaya akhir-akhir ini – jadi persiapkan diri.”

sumber: The Register

Hapus 7 Aplikasi Android ini jika anda tidak ingin menghabiskan banyak uang

by

Menurut tweet dari Shishkova tujuh aplikasi ini membawa malware Joker yang berarti berbahaya bagi kesejahteraan finansial Anda. Meskipun aplikasi telah dihapus dari Google Play Store, itu tidak berarti aplikasi tersebut tidak lagi ada di ponsel Anda dan ingin mendaftarkan Anda ke layanan berlangganan penipuan yang sebenarnya tidak ingin Anda bayar.

Jadi periksa ponsel Android Anda untuk hal-hal berikut:

  • Now QRcode Scan – Lebih dari 10.000 pemasangan
  • EmojiOne Keyboard – Lebih dari 50.000 pemasangan
  • Battery Charging Animations Battery Wallpaper – Lebih dari 1.000 pemasangan
  • Dazzling Keyboard – Lebih dari 10 pemasangan
  • Volume Booster Louder Sound Equalizer – Lebih dari 100 pemasangan
  • Super Hero-Effect – Lebih dari 5.000 pemasangan
  • Classic Emoji Keyboard – Lebih dari 5.000 pemasangan

Untuk menghindari peluang menjadi korban malware, selalu periksa bagian komentar sebelum Anda menginstal aplikasi. Kedua, hindari menginstal aplikasi dari developer yang tidak dikenal yang memberikan akses luas untuk aplikasi tersebut namun memiliki sedikit ulasan.

Menemukan tanda bahaya untuk menemukan pemberitahuan LinkedIn palsu

Aplikasi jaringan bisnis LinkedIn merupakan aplikasi yang menghubungkan perusahaan dengan orang-orang, menerima pemberitahuan dari LinkedIn bukanlah hal yang luar biasa. Tetapi Kaspersky mengatakan bahwa pesan dari LinkedIn yang tampaknya berasal dari perusahaan yang sah bisa jadi email palsu yang terlihat asli, contoh phishing.

Dalam laporannya, Kaspersky menunjukkan contoh pesan yang dikirim melalui LinkedIn dari seorang pengusaha Arab. Pesan tersebut, yang seharusnya menyertakan foto pengirim, menanyakan penerima apakah dia ingin berbisnis dengannya. Tetapi ada begitu banyak tanda bahaya dengan surat resmi ini yang dapat mengajari Anda apa yang harus dicari ketika menerima pemberitahuan yang tidak diminta di LinkedIn.

Kesalahan ejaan sangat banyak. Di bagian paling atas Anda akan melihat bahwa LinkedIn salah dieja, dengan tambahan “I.” Juga salah dieja adalah kata “pengusaha.” Tidak ada tautan ke LinkedIn di alamat email, dan pesannya terlalu pendek untuk menjadi tawaran yang serius.

Mengklik tautan yang diposting di pemberitahuan memunculkan halaman login yang tampak seperti LinkedIn yang asli. Tetapi URL (optikzade.com.tr) tidak menyebutkan LinkedIn dan alih-alih domain .com, alamat tersebut menunjukkan bahwa halaman masuk palsu berasal dari Turki.

Upaya phishing lain yang melibatkan LinkedIn mungkin lebih sulit untuk ditangkap pada awalnya. Pemberitahuan masih berisi beberapa tanda merah karena meminta “Qoute.” Tetapi siapa di antara kita yang tidak pernah salah mengganti dua huruf, terutama saat mengetik cepat dalam bahasa yang bukan bahasa asli Anda.

Tetapi baris subjek untuk pemberitahuan ini berbunyi, “Juli Jiang mengirimi Anda pesan” hilang sebuah artikel sebelum kata “pesan.” Itu mungkin tidak tampak seperti masalah besar sampai Anda menyadari bahwa LinkedIn membuat baris subjek secara otomatis dan tidak akan ketinggalan memasukkan artikel.” Dan mengetuk tautan membawa Anda ke halaman login palsu yang menunjukkan kesalahan yang menutupi sebagian logo LinkedIn di bagian atas, dan salah menuliskan nama aplikasi sebagai Linkedin.

Selengkapnya : Phone Arena

Malware Android baru menargetkan pengguna Netflix, Instagram, dan Twitter

by

Malware Android baru yang dikenal sebagai MasterFred menggunakan overlay login palsu untuk mencuri informasi kartu kredit pengguna Netflix, Instagram, dan Twitter.

Trojan perbankan Android ini juga menargetkan pelanggan bank dengan overlay login palsu khusus dalam berbagai bahasa.

Sampel MasterFred pertama kali dikirimkan ke VirusTotal pada Juni 2021 dan pertama kali terlihat pada Juni. Analis malware Alberto Segura juga membagikan sampel kedua secara online satu minggu lalu yang menunjukkan bahwa itu digunakan oleh pengguna Android dari Polandia dan Turki.

“Dengan memanfaatkan toolkit Aksesibilitas Aplikasi yang diinstal di Android secara default, penyerang dapat menggunakan aplikasi untuk menerapkan serangan Overlay untuk mengelabui pengguna agar memasukkan informasi kartu kredit untuk pembobolan akun palsu di Netflix dan Twitter,” kata Avast.

Penggunaan jahat dari layanan Aksesibilitas bukanlah sesuatu yang baru karena pembuat malware telah menggunakannya untuk mensimulasikan ketukan dan menavigasi UI Android menginstal muatan mereka, mengunduh dan menginstal malware lain, dan menjalankan berbagai operasi di latar belakang.

Namun, ada beberapa hal yang membuat MasterFred menonjol. Salah satunya adalah aplikasi jahat yang digunakan untuk menyebarkan malware di perangkat Android juga menggabungkan lapisan HTML yang digunakan untuk menampilkan formulir login palsu dan mengambil informasi keuangan korban.

Malware ini juga menggunakan gerbang web gelap Onion.ws (alias proxy Tor2Web) untuk mengirimkan informasi yang dicuri ke server jaringan Tor di bawah kendali operatornya.

Karena setidaknya salah satu aplikasi berbahaya yang menggabungkan bankir MasterFred baru-baru ini tersedia di Google Play Store, aman untuk mengatakan bahwa operator MasterFred juga kemungkinan menggunakan toko pihak ketiga sebagai saluran pengiriman untuk malware baru ini.

Selengkapnya : Bleeping Computer

Mobile Phishing di Sektor Energi Melonjak 161%

by Leave a Comment

Serangan phishing seluler yang menargetkan karyawan di industri energi telah meningkat 161% dibandingkan data tahun lalu (H2 2020), dan trennya tidak menunjukkan tanda-tanda melambat.

Meskipun bahaya perangkat usang dan rentan mengganggu semua sektor, sebuah laporan baru oleh perusahaan keamanan siber Lookout menunjukkan bahwa energi adalah yang paling ditargetkan, diikuti oleh keuangan, farmasi, pemerintah, dan manufaktur.

Dalam hal penargetan geografis, Asia-Pasifik menempati urutan teratas, diikuti oleh Eropa dan kemudian Amerika Utara. Namun, ada tren peningkatan serangan phishing yang menargetkan industri energi global di seluruh dunia.

Mobile phishing juga melonjak pada paruh pertama tahun 2021, dengan hampir 20% dari semua karyawan di sektor energi menjadi sasaran serangan mobile phishing, yang mengarah ke peningkatan 161% selama enam bulan sebelumnya.

Panen kredensial lewat VPN

Dengan begitu banyak orang yang bekerja dari rumah karena pandemi COVID-19, banyak karyawan menggunakan VPN untuk mengakses jaringan perusahaan. Sayangnya, akses jarak jauh ke jaringan perusahaan ini menjadi target yang menarik bagi pelaku ancaman, yang menggunakan phishing untuk mencuri kredensial VPN atau kredensial domain.

Untuk melakukan kampanye ini, penyerang menggunakan email, SMS, aplikasi phishing, dan halaman login di situs perusahaan palsu.

Sumber: Lookout

Kredensial ini memungkinkan mereka untuk mendapatkan akses ke jaringan internal, yang kemudian dapat digunakan untuk gerakan lateral lebih lanjut dan menemukan titik pivot tambahan.

Dari sana, mereka dapat menemukan sistem yang rentan dan meluncurkan serangan terhadap sistem kontrol industri yang biasanya memuat kelemahan yang tak ditemukan selama bertahun-tahun.

Permasalahan Android

Menurut laporan dari Lookout, permukaan serangan paling signifikan berasal dari 56% pengguna Android yang menjalankan versi OS yang kedaluwarsa dan rentan.

“Versi lama sistem operasi Google dan Apple masih digunakan di seluruh industri energi. Versi lama memaparkan organisasi pada ratusan kerentanan yang dapat dieksploitasi oleh pelaku jahat yang mencari akses ke lingkungan organisasi,” jelas laporan dari Lookout.

Tepat setahun setelah Android 11 dirilis, telemetri Lookout menunjukkan bahwa hanya 44,1% perangkat Android aktif yang menggunakannya.

Sumber: Lookout

Sebaliknya, iPhone lebih kurang rentan terhadap eksploitasi, karena sebagian besar pengguna iOS menjalankan versi terbaru.

Riskware >>> Malware

Aplikasi yang meminta izin dan mengakses data sensitif pada perangkat sekarang menjadi masalah yang lebih besar daripada malware “murni”, karena jauh lebih mudah untuk melewati pemeriksaan appstore.

Banyak dari aplikasi ini terhubung ke server yang tidak jelas dan mengirim berbagai jenis data yang tidak relevan dengan fungsi intinya tetapi masih merupakan risiko besar bagi pengguna dan organisasi tempatnya bekerja.

Spyware, keyloggers, trojan, dan bahkan ransomware dropper tetap menjadi masalah, tetapi lebih mungkin digunakan dalam serangan yang sangat tertarget, sehingga volume distribusinya secara signifikan lebih kecil.

Dengan demikian, pelatihan karyawan sangat penting dalam meminimalkan penyimpangan keamanan, karena faktor manusia tetap menjadi risiko terbesar untuk menginstal riskware dan mengklik/mengetuk tautan yang mencurigakan.

Lookout melaporkan bahwa satu sesi pelatihan anti-phishing menghasilkan klik 50% lebih sedikit ke tautan phishing selama 12 bulan ke depan.

Sumber: Bleepingcomputer

Menerima Email Berisi Link Google Drive Misterius? Jangan Dibuka!

by Leave a Comment

Kampanye phishing baru mencari korban dengan mengirim supplier list palsu berisi ransomware MirCop yang meminta tebusan. Dapat mengenkripsi sistem target dalam waktu kurang dari lima belas menit.

Gambar Supplier List yang Diburamkan (sumber: bleeping computer)

Para pelaku memulai serangan dengan mengirimkan email yang tidak diminta korban. Email berisi gambar yang diburamkan dan link Google Drive yang dapat di klik.

Badan email berisi hyperlink ke URL Google Drive yang jika diklik akan mengunduh file MHT (arsip halaman web) ke perangkat korban.

Google Drive digunakan untuk memberikan legitimasi ke email dan sangat selaras dengan praktik pekerja sehari-hari.

Mereka yang membuka file tersebut hanya dapat melihat gambar buram dari apa yang seharusnya merupakan daftar pemasok, dicap dan ditandatangani untuk sentuhan legitimasi ekstra.

Ketika file MHT dibuka, itu akan mengunduh arsip RAR yang berisi pengunduh malware .NET dari “hXXps://a[.]pomf[.]cat/gectpe.rar”.

Arsip RAR berisi file EXE, yang menggunakan skrip VBS untuk menjatuhkan dan menjalankan muatan MirCop ke sistem yang terinfeksi.

Ransomware langsung aktif dan mulai mengambil tangkapan layar, mengunci file, mengubah latar belakang menjadi gambar bertema zombie yang mengerikan, dan menawarkan petunjuk kepada korban tentang apa yang harus dilakukan selanjutnya.

Menurut Cofense, seluruh proses ini memakan waktu kurang dari 15 menit sejak korban membuka email phishing.

Setelah itu, pengguna hanya diperbolehkan membuka browser web tertentu untuk berkomunikasi dengan pelaku dan mengatur pembayaran uang tebusan.

Para pelaku tidak tertarik untuk menyelinap ke dalam mesin korban secara sembunyi-sembunyi atau tinggal lama di sana untuk melakukan spionase dunia maya atau mencuri file untuk pemerasan.

Sebaliknya, serangan itu terjadi dengan cepat, dan sumber masalah menjadi jelas bagi korbannya

MicroCop adalah jenis ransomware lama yang digunakan untuk memberikan tuntutan tebusan yang tidak masuk akal kepada para korbannya.

Namun Michael Gillespie berhasil memecahkan enkripsinya dan merilis decryptor yang berfungsi secara gratis.

Bleeping Computer belum menguji apakah dekripsi lama itu berfungsi dengan muatan yang dijatuhkan di kampanye terbaru, tetapi ada kemungkinan bahwa itu masih dapat membuka kunci file.

Cofense mengatakan varian yang sama telah beredar sejak Juni tahun ini, jadi MicroCop masih ada di luar sana, dan orang harus berhati-hati dalam menangani email yang tidak diminta.

sumber: BLEEPING COMPUTER

Discord Menjadi Jembatan Besar Penyebaran Malware

by

Fitur Utama dan Content Delivery Network Discord digunakan untuk mengirim file berbahaya—termasuk RAT—ke seluruh jaringannya yang terdiri dari 150 juta pengguna, yang membahayakan perusahaan.

Threat actors menyalahgunakan fitur inti dari platform komunikasi digital Discord yang populer untuk terus-menerus mengirimkan berbagai jenis malware—khususnya trojan akses jarak jauh (RAT) yang dapat mengambil alih sistem—menempatkan 150 juta penggunanya dalam risiko, menurut RiskIQ dan CheckPoint.

Keduanya menemukan malware multi-fungsi yang dikirim dalam pesan di seluruh platform, yang memungkinkan pengguna untuk mengatur server Discord ke dalam saluran berbasis topik di mana mereka dapat berbagi file teks, gambar atau suara atau executable lainnya. File-file itu kemudian disimpan di server Jaringan Pengiriman Konten (CDN) Discord.

Para peneliti memperingatkan, “banyak file yang dikirim melalui platform Discord berbahaya, menunjukkan sejumlah besar penyalahgunaan CDN yang di-hosting sendiri oleh aktor dengan membuat saluran dengan tujuan tunggal mengirimkan file berbahaya ini,” menurut sebuah laporan yang diterbitkan Kamis oleh Tim RiskIQ.

Awalnya Discord menarik para gamer, tetapi platform tersebut sekarang digunakan oleh organisasi untuk komunikasi di tempat kerja. Penyimpanan file berbahaya di CDN Discord dan proliferasi malware di platform berarti bahwa “banyak organisasi dapat mengizinkan lalu lintas buruk ini ke jaringan mereka,” tulis peneliti RiskIQ.

RAT dan Malware Lain-lain
Fitur malware terbaru yang ditemukan di platform termasuk kemampuan untuk mengambil tangkapan layar, mengunduh dan mengeksekusi file tambahan, dan melakukan keylogging, peneliti CheckPoint Idan Shechter dan Omer Ventura diungkapkan dalam laporan terpisah yang juga diterbitkan Kamis.

CheckPoint juga menemukan bahwa Discord Bot API—implementasi Python sederhana yang memudahkan modifikasi dan mempersingkat proses pengembangan bot di platform—“dapat dengan mudah mengubah bot menjadi RAT sederhana” yang dapat digunakan oleh pelaku ancaman “untuk mendapatkan akses penuh dan jarak jauh. kontrol pada sistem pengguna.”

Bot Discord menjadi bagian yang semakin integral dari cara pengguna berinteraksi dengan Discord, memungkinkan mereka untuk mengintegrasikan kode untuk fitur yang disempurnakan guna memfasilitasi manajemen komunitas, kata para peneliti.

“Bot perselisihan tampaknya kuat, ramah, dan sangat menghemat waktu,” tulis Shechter dan Ventura. “Namun, dengan kekuatan besar juga ada tanggung jawab besar, dan kerangka kerja bot Discord dapat dengan mudah digunakan untuk niat jahat.”

Peneliti CheckPoint menemukan beberapa repositori berbahaya di antara GitHub yang relevan untuk platform Discord. Repositori ini termasuk malware berdasarkan Discord API dan bot jahat dengan fungsi berbeda, kata mereka.

Sementara itu, peneliti RiskIQ memeriksa URL CDN Discord yang berisi .exe, DLL dan berbagai dokumen dan file terkompresi, menemukan setelah meninjau hash di VirusTotal bahwa lebih dari 100 mengirimkan konten berbahaya. Delapan puluh file berasal dari 17 keluarga malware yang berbeda, dengan trojan yang terdiri dari malware paling umum yang diamati di platform, kata para peneliti.

Secara khusus, peneliti RiskIQ mempelajari lebih dalam bagaimana Discord CDN menggunakan domain Discord melalui tautan yang menggunakan [hxxps://cdn.discordapp[.]com/attachments/{ChannelID}/{AttachmentID}/{filename}] sebagai format untuk menemukan malware, kata mereka.

Para peneliti mendeteksi tautan dan menanyakan ID saluran Discord yang digunakan dalam tautan ini, yang memungkinkan mereka mengidentifikasi domain yang berisi halaman web yang tertaut ke tautan CDN Discord dengan ID saluran tertentu, kata mereka.

“Misalnya, platform RiskIQ dapat menanyakan ID saluran yang terkait dengan zoom[-]download[.]ml,” jelas peneliti. “Domain ini mencoba menipu pengguna agar mengunduh plug-in Zoom untuk Microsoft Outlook dan sebagai gantinya mengirimkan pencuri kata sandi Dcstl yang dihosting di CDN Discord.”

Dalam contoh lain, RiskIQ menemukan bahwa ID saluran untuk URL yang berisi file pencuri kata sandi Raccoon mengembalikan domain untuk Taplink, sebuah situs yang menyediakan halaman arahan mikro kepada pengguna untuk mengarahkan individu ke halaman Instagram dan media sosial lainnya, jelas mereka.

“Seorang pengguna kemungkinan menambahkan tautan Discord CDN ke halaman Taplink mereka,” jelas para peneliti. “Meminta ID ini memungkinkan pengguna RiskIQ untuk memahami file Discord mana dan infrastruktur terkait yang bersangkutan dan di mana mereka berada di seluruh web.”

Teknik ini memungkinkan peneliti untuk menentukan tanggal dan waktu saluran Discord dibuat, menghubungkan yang dibuat dalam beberapa hari sebelum pengamatan pertama dari file di VirusTotal ke saluran dengan tujuan tunggal mendistribusikan malware, kata mereka. Pada akhirnya, mereka menemukan dan membuat katalog 27 jenis malware unik yang dihosting di CDN Discord.

source: THREATPOST