Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Peretas membajak situs web dewasa untuk menginfeksi korban dengan malware

by

Penjahat dunia maya menipu korban agar mengunduh malware (terbuka di tab baru) dengan memberi tahu mereka bahwa browser mereka sudah usang dan perlu diperbarui untuk melihat konten halaman.

Peneliti keamanan siber Avast Jan Rubin dan Pavel Novak menemukan kampanye phishing di mana aktor ancaman yang tidak dikenal menyusupi lebih dari 16.000 WordPress dan situs web Joomla yang dihosting (dibuka di tab baru) dengan kredensial login yang lemah.

Ini biasanya situs web konten dewasa, situs web pribadi, situs universitas, dan halaman pemerintah daerah

Setelah mendapatkan akses ke situs-situs ini, para penyerang akan membuat Traffic Direction System (TDS), Parrot TDS. TDS adalah gerbang berbasis web yang mengarahkan pengguna ke berbagai konten, tergantung pada parameter tertentu.

Itu memungkinkan penyerang untuk menyebarkan malware hanya pada titik akhir (terbuka di tab baru) yang dianggap sebagai target yang baik (tindakan keamanan siber yang buruk, misalnya, atau lokasi geografis tertentu).

Mereka yang mendapatkan pesan untuk “memperbarui” browser mereka, sebenarnya akan disajikan Remote Access Trojan (RAT) yang disebut NetSupport Manager. Ini memberi penyerang akses penuh ke titik akhir target.

Selengkapnya: Tech Radar

Aplikasi Android dengan 45 juta pemasangan menggunakan SDK pengumpulan data

by

Analis malware seluler memperingatkan tentang serangkaian aplikasi yang tersedia di Google Play Store, yang mengumpulkan data sensitif pengguna dari lebih dari 45 juta pemasangan aplikasi.

Aplikasi mengumpulkan data ini melalui SDK pihak ketiga yang mencakup kemampuan untuk menangkap konten clipboard, data GPS, alamat email, nomor telepon, dan bahkan alamat MAC router modem pengguna dan SSID jaringan.

Data sensitif ini dapat menyebabkan risiko privasi yang signifikan bagi pengguna jika disalahgunakan atau bocor karena keamanan server/database yang buruk.

Selain itu, konten clipboard berpotensi mencakup informasi yang sangat sensitif, termasuk benih pemulihan dompet kripto, kata sandi, atau nomor kartu kredit, yang tidak boleh disimpan dalam database pihak ketiga.

Menurut AppCensus, yang menemukan penggunaan SDK ini, data yang dikumpulkan digabungkan dan dikirimkan oleh SDK ke domain “mobile.measurelib.com”, yang tampaknya dimiliki oleh perusahaan analitik yang berbasis di Panama bernama Sistem Pengukuran.

Cuplikan dari situs Sistem Pengukuran

Perusahaan mempromosikan SDK pengumpulan data bernama Coelib sebagai peluang monetisasi untuk aplikasi, mempromosikannya sebagai cara bebas iklan bagi penerbit untuk menghasilkan pendapatan.

Peneliti AppCensus mengatakan bahwa banyak string di perpustakaan SDK dikaburkan menggunakan enkripsi AES dan kemudian dikodekan base64.

Pseudocode dekripsi runtime konstan string SDK
(AppSensus)

Aplikasi paling populer dan diunduh yang ditemukan menggunakan SDK ini untuk mengirim data sensitif pengguna adalah sebagai berikut:

  • Speed ​​Camera Radar – 10 juta instalasi (nomor telepon, IMEI, SSID router, alamat MAC router)
  • Al-Moazin Lite – 10 juta instalasi (nomor telepon, IMEI, router SSID, alamat MAC router)
  • WiFi Mouse – 10 juta instalasi (alamat MAC router)
  • QR & Barcode Scanner – 5 juta pemasangan (nomor telepon, alamat email, IMEI, data GPS, SSID router, alamat MAC router)

Selengkapnya : Bleeping Computer

Penting untuk dicatat bahwa semua aplikasi ini dilaporkan ke Google pada 20 Oktober 2021, dan kemudian diselidiki dan dihapus dari Play Store.

Namun, penerbit mereka berhasil memperkenalkannya kembali di Play Store setelah menghapus SDK pengumpulan data dan mengirimkan versi baru yang diperbarui ke Google untuk ditinjau.

Namun, jika pengguna menginstal aplikasi pada tanggal sebelumnya, SDK akan tetap berjalan di ponsel cerdas mereka, jadi penghapusan dan penginstalan ulang akan disarankan dalam kasus ini.

Sayangnya, karena perpustakaan pengumpulan data berjalan diam-diam di latar belakang mengumpulkan data, sulit bagi pengguna untuk melindungi diri mereka sendiri darinya. Oleh karena itu, disarankan agar Anda hanya menginstal aplikasi dari pengembang tepercaya yang memiliki sejarah panjang aplikasi yang sangat ditinjau.

Praktik baik lainnya adalah menjaga jumlah aplikasi yang diinstal pada perangkat Anda seminimal mungkin dan memastikan bahwa izin yang diminta tidak terlalu luas.

Segera setelah kami dapat mengonfirmasi bahwa SDK yang dimiliki oleh Measurementsys mengeksploitasi beberapa kerentanan Android, beroperasi dengan cara yang tidak jelas dan privasi dipertanyakan, kami segera menghapus SDK yang rusak, merilis pembaruan, dan mengakhiri hubungan kami dengan mitra ini.

Sumber : Bleeping Computer

Malware pencuri kata sandi Android menginfeksi 100.000 pengguna Google Play

by

Aplikasi Android berbahaya yang mencuri kredensial Facebook telah diinstal lebih dari 100.000 kali melalui Google Play Store, dengan aplikasi masih tersedia untuk diunduh.

Malware Android menyamar sebagai aplikasi pembuat kartun yang disebut ‘Craftsart Cartoon Photo Tools,’ yang memungkinkan pengguna mengunggah gambar dan mengubahnya menjadi rendering kartun.

Selama seminggu terakhir, peneliti keamanan dan firma keamanan seluler Pradeo menemukan bahwa aplikasi Android menyertakan trojan bernama ‘FaceStealer,’ yang menampilkan layar masuk Facebook yang mengharuskan pengguna untuk masuk sebelum menggunakan aplikasi.

Aplikasi yang meminta pengguna untuk login di Facebook (Pradeo)

Menurut peneliti keamanan Jamf Michal Rajčan, ketika pengguna memasukkan kredensial mereka, aplikasi akan mengirim mereka ke server perintah dan kontrol di zutuu[.]info [VirusTotal], yang kemudian dapat dikumpulkan oleh penyerang.

Selain server C2, aplikasi Android berbahaya akan terhubung ke www.dozenorms[.]club URL [VirusTotal] tempat data lebih lanjut dikirim, dan yang telah digunakan di masa lalu untuk mempromosikan aplikasi Android FaceStealer berbahaya lainnya.

Mengirim data ke lusinorms[.]server klub
Sumber: BleepingComputer

Pembuat dan distributor aplikasi ini tampaknya telah mengotomatiskan proses pengemasan ulang dan menyuntikkan sepotong kecil kode berbahaya ke dalam aplikasi yang sebenarnya sah.

Ini membantu aplikasi melewati prosedur pemeriksaan Play Store tanpa menimbulkan tanda bahaya. Segera setelah pengguna membukanya, mereka tidak diberikan fungsionalitas yang sebenarnya kecuali mereka masuk ke akun Facebook mereka.

Namun, begitu mereka masuk, aplikasi akan menyediakan fungsionalitas terbatas dengan mengunggah gambar tertentu ke editor online, http://color.photofuneditor.com/, yang akan menerapkan filter grafis ke gambar.

Aplikasi ini melakukan perubahan gambar dan menerapkan filter pada server jarak jauh, bukan secara lokal pada perangkat, sehingga data Anda diunggah ke lokasi yang jauh dan berisiko disimpan tanpa batas waktu, dibagikan dengan orang lain, dijual kembali, dll.

Karena aplikasi tertentu masih ada di Play Store, orang dapat secara otomatis berasumsi bahwa aplikasi Android dapat dipercaya. Namun sayangnya, aplikasi Android berbahaya terkadang menyelinap ke Google Play Store dan tetap ada hingga terdeteksi dari ulasan buruk atau ditemukan oleh perusahaan keamanan.

Namun, ada kemungkinan untuk menemukan aplikasi scam dan berbahaya dalam banyak kasus dengan melihat ulasan mereka di Google Play.

Seperti yang Anda lihat di bawah, ulasan pengguna untuk ‘Craftsart Cartoon Photo Tools’ sangat negatif, dengan total skor hanya 1,7 bintang dari kemungkinan lima. Selain itu, banyak dari ulasan ini memperingatkan bahwa aplikasi memiliki fungsionalitas terbatas dan mengharuskan Anda untuk masuk ke Facebook terlebih dahulu.

Ulasan pengguna di Play Store

Kedua, nama pengembangnya adalah ‘Google Commerce Ltd’, yang menunjukkan bahwa itu dikembangkan oleh Google. Juga, rincian kontak yang terdaftar termasuk alamat email Gmail orang acak, yang merupakan bendera merah besar.

Detail aplikasi di Play Store

Ini mungkin tampak seperti pengawasan yang berlebihan untuk setiap aplikasi yang Anda instal di ponsel cerdas Anda, tetapi ini harus menjadi prosedur pemeriksaan standar untuk aplikasi yang secara inheren berisiko.

Pembaruan 22/05 – Juru bicara Google telah memberi tahu Bleeping Computer bahwa aplikasi berbahaya telah dihapus dari Play Store sekarang.

Sumber : Bleeping Computer

Malware Cyclops Blink menginfeksi router ASUS

by

Malware Cyclops Blink telah menginfeksi router ASUS dalam apa yang dikatakan Trend Micro sebagai upaya untuk mengubah perangkat yang disusupi ini menjadi server perintah dan kontrol untuk serangan di masa mendatang.

ASUS mengatakan sedang mengerjakan perbaikan untuk Cyclops Blink dan akan memposting pembaruan perangkat lunak jika perlu. Pembuat perangkat keras merekomendasikan pengguna untuk mengatur ulang gateway mereka ke pengaturan pabrik untuk menghapus konfigurasi apa pun yang ditambahkan oleh penyusup, mengubah kata sandi login, memastikan akses manajemen jarak jauh dari WAN dinonaktifkan, dan memastikan firmware terbaru diinstal agar aman.

Peringatan Trend Micro tentang pembajakan router mengikuti nasihat bersama bulan lalu dari FBI, CISA, Departemen Kehakiman AS, dan Pusat Keamanan Siber Nasional Inggris tentang Cyclops Blink, yang menurut agensi tampaknya merupakan pengganti Sandworm untuk VPNFilter. Pada saat itu, botnet mengincar peralatan firewall WatchGuard.

“Data kami juga menunjukkan bahwa meskipun Cyclops Blink adalah botnet yang disponsori negara, server C&C dan botnya memengaruhi perangkat WatchGuard Firebox dan Asus yang bukan milik organisasi penting, atau yang memiliki nilai nyata dalam spionase ekonomi, politik, atau militer. ,” kata Trend Micro. “Oleh karena itu, kami percaya bahwa ada kemungkinan bahwa tujuan utama botnet Cyclops Blink adalah untuk membangun infrastruktur untuk serangan lebih lanjut terhadap target bernilai tinggi.”

Selengkapnya: The Register

Botnet DirtyMoe Mendapatkan Eksploitasi Baru di Modul Wormable untuk Menyebar dengan Cepat

by

Malware yang dikenal sebagai DirtyMoe telah memperoleh kemampuan propagasi seperti worm baru yang memungkinkannya memperluas jangkauannya tanpa memerlukan interaksi pengguna apa pun, menurut penelitian terbaru.

“Modul worming menargetkan kerentanan lama yang terkenal, misalnya, eskalasi hak istimewa EternalBlue dan Hot Potato Windows,” kata peneliti Avast Martin Chlumecký dalam sebuah laporan yang diterbitkan Rabu.

“Satu modul worm dapat menghasilkan dan menyerang ratusan ribu alamat IP pribadi dan publik per hari; banyak korban dalam bahaya karena banyak mesin masih menggunakan sistem yang belum ditambal atau kata sandi yang lemah.”

“Tujuan utama modul worming adalah untuk mencapai RCE di bawah hak administrator dan menginstal instance DirtyMoe baru,” jelas Chlumecký, menambahkan salah satu fungsi inti komponen adalah untuk menghasilkan daftar alamat IP yang akan diserang berdasarkan lokasi geologis modul.

Selain itu, modul worming dalam pengembangan lainnya ditemukan berisi eksploitasi yang menargetkan PHP, Java Deserialisasi, dan Oracle Weblogic Server, menyiratkan bahwa penyerang ingin memperluas cakupan infeksi.

“IP target worming dihasilkan menggunakan algoritme yang dirancang dengan cerdik yang menghasilkan alamat IP secara merata di seluruh dunia dan terkait dengan lokasi geologis modul worming,” kata Chlumecký. “Selain itu, modul menargetkan jaringan lokal/rumah. Karena itu, IP publik dan bahkan jaringan pribadi di belakang firewall berisiko.”

Selengkapnya: The Hacker News

Pembaruan antivirus palsu yang digunakan untuk menyebarkan Cobalt Strike di Ukraina

by

Tim Tanggap Darurat Komputer Ukraina memperingatkan bahwa pelaku ancaman menyebarkan pembaruan antivirus Windows palsu yang menginstal Cobalt Strike dan malware lainnya.

Email phishing tersebut meniru agen pemerintah Ukraina yang menawarkan cara untuk meningkatkan keamanan jaringan dan menyarankan penerima untuk mengunduh “pembaruan keamanan penting,” yang datang dalam bentuk file 60 MB bernama “BitdefenderWindowsUpdatePackage.exe.”

Email phishing yang mendesak pengunduhan AV updater palsu (CERT-UA)

Email ini berisi tautan ke situs web Prancis (sekarang offline) yang menawarkan tombol unduh untuk dugaan pembaruan perangkat lunak AV. Situs web lain, nirsoft[.]me, juga ditemukan oleh MalwareHunterTeam sebagai server perintah dan kontrol untuk kampanye ini.

Situs web pengirim malware
Sumber:​​CERT-UA

Ketika seorang korban mengunduh dan menjalankan pembaruan BitDefender Windows palsu ini [VirusTotal], layar di bawah ini akan ditampilkan yang meminta pengguna untuk menginstal ‘Paket Pembaruan Windows’.

Paket Pembaruan Windows Bitdefender
Sumber: MalwareHunterTeam

Namun, ‘pembaruan’ ini sebenarnya mengunduh dan menginstal file one.exe [VirusTotal] dari CDN Discord, yang merupakan suar Cobalt Strike.

Proses yang sama mengambil pengunduh Go (dropper.exe) yang mendekode dan mengeksekusi file dengan enkode base-64 (java-sdk.exe).

File ini menambahkan kunci registri Windows baru untuk kegigihan dan juga mengunduh dua muatan lagi, pintu belakang GraphSteel (microsoft-cortana.exe) dan pintu belakang GrimPlant (oracle-java.exe).

Rantai infeksi kampanye yang tidak terungkap (CERT-UA)

Semua executable dalam kampanye dikemas pada alat Themida, yang melindungi mereka dari rekayasa balik, deteksi, dan analisis.

Baik GraphSteel dan GrimPlant adalah malware yang ditulis dalam Go, bahasa pemrograman serbaguna dan lintas platform dengan footprint minimal dan tingkat deteksi AV yang rendah.

Kemampuan kedua alat tersebut mencakup pengintaian jaringan, eksekusi perintah, dan operasi file, sehingga fakta bahwa keduanya digunakan dalam sistem yang sama kemungkinan dilakukan untuk redundansi.

Tim Tanggap Darurat Komputer Ukraina mengaitkan aktivitas yang terdeteksi dengan grup UAC-0056 dengan tingkat kepercayaan sedang. UAC-0056, juga dikenal sebagai “Lorec53”, adalah APT berbahasa Rusia canggih yang menggunakan kombinasi email phishing dan pintu belakang khusus untuk mengumpulkan informasi dari organisasi Ukraina.

UAC-0056 terlihat meningkatkan distribusi phishing dan upaya kompromi jaringan di Ukraina sejak Desember 2021.

Aktor yang sama terlihat menargetkan lembaga pemerintah Georgia dengan umpan phishing di masa lalu, jadi ada tingkat koordinasi dan keselarasan yang tinggi dengan kepentingan negara Rusia.

Sumber : Bleeping Computer

Malware Android Escobar mencuri kode MFA Google Authenticator Anda

by

Trojan perbankan Android Aberebot telah kembali dengan nama ‘Escobar’ dengan fitur-fitur baru, termasuk mencuri kode otentikasi multi-faktor Google Authenticator.

Fitur-fitur baru dalam versi Aberebot terbaru juga termasuk mengendalikan perangkat Android yang terinfeksi menggunakan VNC, merekam audio, dan mengambil foto, sementara juga memperluas kumpulan aplikasi yang ditargetkan untuk pencurian kredensial.

Tujuan utama dari trojan adalah untuk mencuri informasi yang cukup untuk memungkinkan pelaku ancaman untuk mengambil alih rekening bank korban, menyedot saldo yang tersedia, dan melakukan transaksi yang tidak sah.

Menggunakan platform DARKBEAST intelijen siber KELA, menemukan posting forum di forum peretasan berbahasa Rusia dari Februari 2022 di mana pengembang Aberebot mempromosikan versi baru mereka dengan nama ‘Escobar Bot Android Banking Trojan.’

Posting penjual di forum darknet (KELA)

MalwareHunterTeam pertama kali melihat APK yang mencurigakan pada tanggal 3 Maret 2022, menyamar sebagai aplikasi McAfee, dan memperingatkan tentang sifat tersembunyinya terhadap sebagian besar mesin anti-virus.

Seperti kebanyakan trojan perbankan, Escobar menampilkan formulir login overlay untuk membajak interaksi pengguna dengan aplikasi dan situs web e-banking dan mencuri kredensial dari korban.

Malware ini juga mengemas beberapa fitur lain yang membuatnya kuat terhadap versi Android apa pun, bahkan jika injeksi overlay diblokir dengan cara tertentu.

Malware meminta 25 izin, 15 di antaranya disalahgunakan untuk tujuan jahat. Contohnya termasuk aksesibilitas, rekaman audio, membaca SMS, penyimpanan baca/tulis, dapatkan daftar akun, menonaktifkan kunci tombol, melakukan panggilan, dan mengakses lokasi perangkat yang tepat.

Semua yang dikumpulkan malware diunggah ke server C2, termasuk log panggilan SMS, log kunci, notifikasi, dan kode Google Authenticator.

Kode untuk merebut kode Google Authenticator (Cyble)

Hal di atas sudah cukup untuk membantu para penjahat mengatasi hambatan otentikasi dua faktor ketika mengambil kendali atas rekening e-banking.

Kode 2FA tiba melalui SMS atau disimpan dan diputar di alat berbasis perangkat lunak HMAC seperti Google’s Authenticator. Selain itu, penambahan VNC Viewer, utilitas berbagi layar lintas platform dengan fitur kendali jarak jauh, memberi pelaku ancaman senjata ampuh baru untuk melakukan apa pun yang mereka inginkan saat perangkat tidak dijaga.

Kode Penampil VNC di Aberebot (Cyble)

Aberebot juga dapat merekam klip audio atau mengambil tangkapan layar dan mengekstrak keduanya ke C2 yang dikendalikan aktor, dengan daftar lengkap perintah yang didukung tercantum di bawah ini.

Tabel perintah yang diterima oleh Aberebot (Cyble)

Secara umum, Anda dapat meminimalkan kemungkinan terinfeksi trojan Android dengan menghindari pemasangan APK di luar Google Play, menggunakan alat keamanan seluler, dan memastikan bahwa Google Play Protect diaktifkan di perangkat Anda.

Selain itu, saat memasang aplikasi baru dari sumber mana pun, perhatikan permintaan izin yang tidak biasa dan pantau baterai aplikasi dan statistik konsumsi jaringan selama beberapa hari pertama untuk mengidentifikasi pola yang mencurigakan.

sumber : Bleeping Computer

Formulir kontak situs web perusahaan digunakan untuk menyebarkan malware BazarBackdoor

by

Malware BazarBackdoor yang tersembunyi sekarang menyebar melalui formulir kontak situs web daripada email phishing biasa untuk menghindari deteksi oleh perangkat lunak keamanan.

BazarBackdoor adalah malware backdoor tersembunyi yang dibuat oleh grup TrickBot dan sekarang sedang dikembangkan oleh operasi ransomware Conti. Malware ini memberikan akses jarak jauh kepada pelaku ancaman ke perangkat internal yang dapat digunakan sebagai landasan peluncuran untuk pergerakan lateral lebih lanjut dalam jaringan.

Malware BazarBackdoor biasanya menyebar melalui email phishing yang menyertakan dokumen berbahaya yang mengunduh dan menginstal malware.

Namun, karena secure email gateways menjadi lebih baik dalam mendeteksi malware droppers ini, distributor beralih ke cara baru untuk menyebarkan malware.

Dalam laporan baru oleh Abnormal Security, analis menjelaskan bahwa kampanye distribusi baru yang dimulai pada Desember 2021 menargetkan korban perusahaan dengan BazarBackdoor, dengan kemungkinan tujuan menyebarkan Cobalt Strike atau muatan ransomware.

Alih-alih mengirim email phishing ke target, pelaku ancaman pertama-tama menggunakan formulir kontak perusahaan untuk memulai komunikasi.

Misalnya, dalam salah satu kasus yang dilihat oleh analis Abnormal, pelaku ancaman menyamar sebagai karyawan di perusahaan konstruksi Kanada yang mengajukan permintaan penawaran penawaran produk melalui formulis kontak yang ada di website perusahaan.

Setelah karyawan menanggapi email phishing, penyerang mengirim kembali file ISO berbahaya yang dianggap relevan dengan negosiasi.

Karena mengirim file ini secara langsung tidak mungkin atau akan memicu peringatan keamanan, pelaku ancaman menggunakan layanan berbagi file seperti TransferNow dan WeTransfer.

Lampiran arsip ISO berisi file .lnk dan file .log. Idenya di sini adalah untuk menghindari deteksi AV dengan mengemas muatan dalam arsip dan meminta pengguna mengekstraknya secara manual setelah mengunduh.

File .lnk berisi instruksi perintah yang membuka jendela terminal menggunakan binari Windows yang ada dan memuat file .log, yang pada kenyataannya adalah DLL BazarBackdoor.

Selengkapnya: Bleeping Computer