Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Versi malware RedLine baru menyebar sebagai penghitung stat Omicron palsu

by

Varian baru pencuri info RedLine didistribusikan melalui email menggunakan aplikasi penghitung statistik Omicron COVID-19 palsu sebagai iming-iming.

RedLine adalah malware komoditas tersebar luas yang dijual ke penjahat dunia maya seharga beberapa ratus USD. Ini memasok pasar web gelap dengan lebih dari setengah kredensial pengguna yang dicuri dijual ke aktor ancaman lainnya.

RedLine menargetkan kredensial akun pengguna yang disimpan di browser, kata sandi VPN, detail kartu kredit, cookie, konten IM, kredensial FTP, data dompet cryptocurrency, dan informasi sistem.

Varian baru telah menambahkan beberapa poin informasi untuk dieksfiltrasi, seperti:

  • Nama kartu grafis
  • Produsen BIOS, kode identifikasi, nomor seri, tanggal rilis, dan versi
  • Pabrikan disk drive, model, total head, dan tanda tangan
  • Informasi prosesor (CPU) seperti ID unik, ID prosesor, pabrikan, nama, kecepatan clock maks, dan informasi motherboard
  • Data ini diambil pada eksekusi pertama dari iming-iming “Omicron Stats.exe”, yang membongkar malware dan memasukkannya ke dalam vbc.exe.

Aplikasi tambahan yang ditargetkan oleh varian RedLine baru adalah browser web Opera GX, OpenVPN, dan ProtonVPN.

Versi RedLine sebelumnya menargetkan Opera biasa, tetapi GX adalah edisi khusus “berfokus pada gamer” yang semakin populer.

Selain itu, malware sekarang mencari folder Telegram untuk menemukan gambar dan riwayat percakapan dan mengirimnya kembali ke server pelaku ancaman.

Terakhir, sumber daya Discord lokal diperiksa lebih ketat untuk menemukan dan mencuri token akses, log, dan file database.

Varian RedLine baru mencari log Discord
Sumber: Fortinet

Saat menganalisis kampanye baru, para peneliti menemukan alamat IP di Inggris Raya yang berkomunikasi dengan server perintah dan kontrol melalui layanan pesan Telegram.

Para korban tersebar di 12 negara, dan serangan tidak terfokus pada organisasi atau individu tertentu.

“Varian ini menggunakan 207[.]32.217.89 sebagai server C2-nya melalui port 14588. IP ini dimiliki oleh 1gservers,” jelas laporan Fortinet

Sumber : Bleeping Computer

Pemeriksaan tanda kode Microsoft dilewati untuk menghapus malware Zloader

by

Kampanye Zloader baru memanfaatkan verifikasi tanda tangan digital Microsoft untuk menyebarkan muatan malware dan mencuri kredensial pengguna dari ribuan korban dari 111 negara.

Zloader (alias Terdot dan DELoader) adalah malware perbankan yang pertama kali ditemukan pada tahun 2015 yang dapat mencuri kredensial akun dan berbagai jenis informasi pribadi sensitif dari sistem yang disusupi.

Baru-baru ini, Zloader telah digunakan untuk menjatuhkan muatan lebih lanjut pada perangkat yang terinfeksi, termasuk muatan ransomware seperti Ryuk dan Egregor,

MalSmoke telah mengeksplorasi berbagai cara untuk mendistribusikan malware pencuri informasi, mulai dari spam mail dan malvertising hingga menggunakan umpan konten dewasa.

Dalam kampanye terbaru, dilacak dan dianalisis oleh para peneliti di Check Point, infeksi dimulai dengan mengirimkan file “Java.msi” yang merupakan penginstal Atera yang dimodifikasi.

Zloader kemudian mengkampanyekan rantai infeksi
Sumber: Titik Periksa

Setelah dieksekusi, Atera membuat agen dan menetapkan titik akhir ke alamat email di bawah kendali aktor ancaman.

Penyerang kemudian mendapatkan akses jarak jauh penuh ke sistem, yang memungkinkan mereka untuk mengeksekusi skrip dan mengunggah atau mengunduh file, terutama muatan malware Zloader.

Menjatuhkan Zloader
Skrip batch yang disertakan dalam penginstal berbahaya melakukan beberapa pemeriksaan tingkat pengguna untuk memastikan mereka memiliki hak admin, menambahkan pengecualian folder ke Windows Defender, dan menonaktifkan alat seperti “cmd.exe” dan pengelola tugas.

Selengkapnya : Bleeping Computer

Pemeriksaan penandatanganan kode Microsoft dilewati
Analis Check Point telah mengkonfirmasi bahwa appContast.dll, yang mengeksekusi muatan Zloader dan skrip pengeditan registri membawa tanda tangan kode yang valid, sehingga OS pada dasarnya mempercayainya.

DLL berbahaya yang membawa tanda tangan kode yang valid
Sumber: Titik Periksa

Perubahan halus ini tidak cukup untuk mencabut validitas tanda tangan elektronik, tetapi pada saat yang sama, memungkinkan seseorang untuk menambahkan data ke bagian tanda tangan dari sebuah file.

Perubahan bagian tanda tangan di DLL
Sumber: Titik Periksa

Microsoft telah mengetahui tentang celah keamanan ini sejak 2012 (CVE-2020-1599, CVE-2013-3900, dan CVE-2012-0151) dan telah berusaha memperbaikinya dengan merilis kebijakan verifikasi file yang semakin ketat. Namun, untuk beberapa alasan, ini tetap dinonaktifkan secara default.

Anda dapat menemukan petunjuk untuk memperbaiki masalah ini sendiri dengan mengaktifkan kebijakan yang lebih ketat seperti yang dirinci dalam penasihat lama ini.

Atau, Anda dapat menempelkan baris di bawah ini ke Notepad, simpan file dengan ekstensi .reg dan jalankan.

Windows Registry Editor Versi 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
“AktifkanCertPaddingCheck”=”1”

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
“AktifkanCertPaddingCheck”=”1”

Korban dari Amerika Utara
Pada 2 Januari 2021, kampanye Zloader terbaru telah menginfeksi 2.170 sistem unik, dengan 864 memiliki alamat IP berbasis di AS dan 305 lainnya dari Kanada.

Meskipun jumlah korbannya tidak terlalu besar, serangan ini sangat bertarget dan dapat menyebabkan kerusakan yang signifikan pada setiap korban.

Karena vektor infeksi tidak diketahui, cara terbaik untuk melindungi dari ancaman ini adalah dengan mengikuti rekomendasi pengetatan kebijakan dan menggunakan IoC (indikator kompromi) yang disediakan oleh peneliti Check Point untuk deteksi ancaman proaktif.

Selengkapnya : Bleeping Computer

Installer Telegram Menjatuhkan Rootkit Purple Fox

by

Kami sering mengamati aktor ancaman menggunakan perangkat lunak yang sah untuk menjatuhkan file berbahaya. Namun kali ini berbeda. Aktor ancaman ini mampu meninggalkan sebagian besar serangan di bawah radar dengan memisahkan serangan ke dalam beberapa file kecil, yang sebagian besar memiliki tingkat deteksi yang sangat rendah oleh mesin AV, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox.

Berkat MalwareHunterTeam, kami dapat menggali lebih dalam ke dalam Telegram Installer yang berbahaya. Installer ini adalah autoit dikompilasi (freeware BASIC-seperti scripting bahasa yang dirancang untuk mengotomatisasi Windows GUI dan scripting umum) script yang disebut “Telegram Desktop.exe”:

Skrip AutoIt ini adalah tahap pertama dari serangan yang menciptakan folder baru bernama “TextInputh” di bawah C:UsersUsernameAppDataLocalTemp dan menjatuhkan penginstal Telegram yang sah (yang bahkan tidak dieksekusi) dan pengunduh berbahaya (TextInputh.exe).

Saat dijalankan, TextInputh.exe membuat folder baru bernama “1640618495” di bawah direktori C:UsersPublicVideos. TextInputh.exe file digunakan sebagai pengunduh untuk tahap berikutnya dari serangan. Ini menghubungi server C&C dan mengunduh dua file ke folder yang baru dibuat:

  • 1.rar – yang berisi file untuk tahap berikutnya. 7zz.exe – archiver 7z yang sah.
  • 7zz.exe digunakan untuk unarchive 1.rar, yang berisi file-file berikut:

Selanjutnya, TextInputh.exe melakukan tindakan berikut:

  • Menyalin 360.tct dengan nama “360.dll”, rundll3222.exe dan svchost.txt ke folder ProgramData
  • Mengeksekusi ojbk.exe dengan baris perintah “ojbk.exe -a”
  • Menghapus 1.rar dan 7zz.exe dan keluar dari proses

ojbk.exe
Ketika dijalankan dengan argumen “-a”, file ini hanya digunakan untuk secara reflektif memuat file berbahaya 360.dll:

DLL ini bertanggung jawab untuk membaca file svchost.txt yang dijatuhkan. Setelah itu, kunci registri HKEY_LOCAL_MACHINESYSTEMSelectMarkTime baru dibuat, yang nilainya sama dengan waktu svchost saat ini.exe dan kemudian, muatan svchost.txt dieksekusi.

svchost.txt
Saat aliran serangan berlanjut, file ini tampaknya berisi kode byte dari tahap berikutnya dari muatan berbahaya yang dieksekusi oleh 360.dll. Sebagai tindakan pertama svchost.txt, ia memeriksa keberadaan HKLM SOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exePath registry key. Jika kunci registri ditemukan, aliran serangan akan melakukan langkah tambahan sebelum melanjutkan ke tahap berikutnya:

Serangan tersebut menjatuhkan lima file lagi ke dalam folder ProgramData:

  • Calldriver.exe – file ini digunakan untuk mematikan dan memblokir inisiasi 360 AV
  • Driver.sys – setelah file ini dijatuhkan, layanan driver sistem baru bernama “Driver” dibuat dan dimulai pada PC dan BMD yang terinfeksi.txt dibuat dalam folder ProgramData
  • dll.dll – dieksekusi setelah bypass UAC. Teknik bypass UAC yang digunakan oleh svchost.txt adalah “bypass UAC menggunakan antarmuka CMSTPLUA COM” dan dijelaskan dengan baik di sini. Teknik ini umumnya digunakan oleh penulis ransomware LockBit dan BlackMatter. Dll.dll dijalankan dengan baris perintah “C:ProgramDatadll.dll, luohua”.
  • kill.bat – skrip batch yang dieksekusi setelah drop file berakhir. Naskahnya adalah:
  • speedmem2.hg – SQLite file

Semua file ini bekerja sama untuk mematikan dan memblokir inisiasi 360 proses AV dari ruang kernel, sehingga memungkinkan alat serangan tahap berikutnya (Purple Fox Rootkit, dalam kasus kami) berjalan tanpa terdeteksi.

Setelah file drop dan eksekusi, payload bergerak ke langkah berikutnya, yaitu komunikasi C &C. Seperti disebutkan di atas, jika HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exePath registry key tidak ditemukan, alurnya hanya melompat ke langkah ini.

Pertama, alamat C &C hardcoded ditambahkan sebagai mutex. Selanjutnya, informasi korban berikut dikumpulkan:

  • Nama host
  • CPU – dengan mengambil nilai HKLMHARDWAREDESCRIPTIONSystemCentralProcessor0 ~MHz registry key
  • Status memori
  • Tipe Kandar
  • Tipe Prosesor – dengan memanggil GetNativeSystemInfo dan memeriksa nilai wProcessorArchitecture.

Selanjutnya, malware memeriksa apakah ada proses berikut yang berjalan di PC korban:

  • 360tray.exe – 360 Total Security
  • 360sd.exe – 360 Total Security
  • kxetray.exe – Kingsoft Internet Security
  • KSafeTray.exe – Kingsoft Internet Security
  • QQPCRTP.exe – Tencent
  • HipsTray.exe – HeroBravo System Diagnostics
  • BaiduSd.exe – Baidu Anti-Virus
  • baiduSafeTray.exe – Baidu Anti-Virus
  • KvMonXP.exe – Jiangmin Anti-Virus
  • RavMonD.exe – Rising Anti-Virus
  • QUHLPSVC.EXE – Quick Heal Anti-Virus
  • mssecess.exe – Microsoft MSE
  • cfp.exe – COMODO Internet Security
  • SPIDer.exe
  • acs.exe
  • V3Svc.exe – AhnLab V3 Internet Security
  • AYAgent.aye – ALYac Software
  • avgwdsvc.exe – AVG Internet Security
  • f-secure.exe – F‑Secure Anti‑Virus
  • avp.exe – Kaspersky Anti-Virus
  • Mcshield.exe – McAfee Anti-Virus
  • egui.exe – ESET Smart Security
  • knsdtray.exe
  • TMBMSRV.exe – Trend Micro Internet Security
  • avcenter.exe – Avira Anti-Virus
  • ashDisp.exe – Avast Anti-Virus
  • rtvscan.exe – Symantec Anti-Virus
  • remupd.exe – Panda software
  • vsserv.exe – Bitdefender Total Security
  • PSafeSysTray.exe – PSafe System Tray
  • ad-watch.exe
  • K7TSecurity.exe – K7Security Suite
  • UnThreat.exe – UnThreat Anti-Virus

Tampaknya setelah pemeriksaan ini selesai, semua informasi yang dikumpulkan, termasuk produk keamanan mana yang berjalan, dikirim ke server C &C.

Pada saat penyelidikan, server C&C sudah down, tetapi pemeriksaan cepat dari alamat IP dan file terkait lainnya semua menunjukkan bahwa tahap terakhir dari serangan ini adalah download dan eksekusi dari Purple Fox Rootkit. Purple Fox menggunakan fungsi msi.dll, ‘MsiInstallProductA’, untuk mengunduh dan menjalankan muatannya. Payload adalah file .msi yang berisi shellcode terenkripsi termasuk versi 32-bit dan 64-bit. Setelah dijalankan, sistem akan dimulai ulang dengan registri ‘PendingFileRenameOperations’ untuk mengganti nama komponennya. Dalam kasus kami, Purple Fox Rootkit diunduh dari hxxp://144.48.243[.] 79:17674/C558B828.Png.

Dll.dll
DLL ini hanya digunakan untuk menonaktifkan UAC dengan mengatur tiga kunci registri berikut ke 0:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop

Calldriver.exe
Digunakan untuk mematikan dan memblokir inisiasi 360 proses AV dari ruang kernel. Teknik yang digunakan dijelaskan di sini di bawah paragraf “The ProcessKiller rootkit vs. produk keamanan”.

Kami menemukan sejumlah besar installer berbahaya yang memberikan versi rootkit Purple Fox yang sama menggunakan rantai serangan yang sama. Sepertinya beberapa dikirim melalui email, sementara yang lain kami anggap diunduh dari situs web phishing. Keindahan serangan ini adalah bahwa setiap tahap dipisahkan ke file yang berbeda yang tidak berguna tanpa seluruh set file. Ini membantu penyerang melindungi file-nya dari deteksi AV.

Minerva Labs mendeteksi hubungan proses berbahaya dan mencegah malware menulis dan mengeksekusi muatan berbahaya:

IOC’s
Hash:

  • 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1 – Telegram Desktop.exe
  • BAE1270981C0A2D595677A7A1FEFE8087B07FFEA061571D97B5CD4C0E3EDB6E0 – TextInputh.exe
  • af8eef9df6c1f5645c95d0e991d8f526fbfb9a368eee9ba0b931c0c3df247e41 – legitimate telegram installer
  • 797a8063ff952a6445c7a32b72bd7cd6837a3a942bbef01fc81ff955e32e7d0c – 1.rar
  • 07ad4b984f288304003b080dd013784685181de4353a0b70a0247f96e535bd56 – 7zz.exe
  • 26487eff7cb8858d1b76308e76dfe4f5d250724bbc7e18e69a524375cee11fe4 – 360.tct
  • b5128b709e21c2a4197fcd80b072e7341ccb335a5decbb52ef4cee2b63ad0b3e – ojbk.exe
  • 405f03534be8b45185695f68deb47d4daf04dcd6df9d351ca6831d3721b1efc4 – rundll3222.exe – legitimate rundll32.exe
  • 0937955FD23589B0E2124AFEEC54E916 – svchost.txt
  • e2c463ac2d147e52b5a53c9c4dea35060783c85260eaac98d0aaeed2d5f5c838 – Calldriver.exe
  • 638fa26aea7fe6ebefe398818b09277d01c4521a966ff39b77035b04c058df60 – Driver.sys
  • 4bdfa7aa1142deba5c6be1d71c3bc91da10c24e4a50296ee87bf2b96c731b7fa – dll.dll
  • 24BCBB228662B91C6A7BBBCB7D959E56 – kill.bat
  • 599DBAFA6ABFAF0D51E15AEB79E93336 – speedmem2.hg

IP’s:

  • 193.164.223[.]77 – second stage C&C server.
  • 144.48.243[.]79 – last stage C&C server.

Url:

  • hxxp://193.164.223[.]77:7456/h?=1640618495 – contains 1.rar file
  • hxxp://193.164.223[.]77:7456/77 – contain 7zz.exe file
  • hxxp://144.48.243[.]79:17674/C558B828.Png – Purple Fox Rootkit

Sumber daya:
https://malpedia.caad.fkie.fraunhofer.de/details/win.purplefox

Sumber: Minerva

Malware RedLine Menunjukkan Mengapa Kata Sandi Tidak Boleh Disimpan di Browser

by Leave a Comment

Malware pencuri informasi RedLine menargetkan browser web populer seperti Chrome, Edge, dan Opera, menunjukkan mengapa menyimpan kata sandi Anda di browser adalah ide yang buruk.

Malware ini adalah komoditas pencuri informasi yang dapat dibeli dengan harga sekitar $ 200 di forum kejahatan cyber dan digunakan tanpa memerlukan banyak pengetahuan atau usaha.

Namun, sebuah laporan baru oleh AhnLab ASEC memperingatkan bahwa kenyamanan menggunakan fitur auto-login pada browser web menjadi masalah keamanan besar yang mempengaruhi organisasi dan individu.

Dalam contoh yang disajikan oleh para analis, seorang karyawan jarak jauh kehilangan kredensial akun VPN kepada aktor RedLine Stealer yang menggunakan informasi tersebut untuk meretas jaringan perusahaan tiga bulan kemudian.

Meskipun komputer yang terinfeksi memiliki solusi anti-malware yang diinstal, ia gagal mendeteksi dan menghapus RedLine Stealer.

Malware ini menargetkan file ‘Login Data’ yang ditemukan di semua browser web berbasis Chromium dan merupakan database SQLite di mana nama pengguna dan kata sandi disimpan.

Kredensial yang tersimpan di dalam sebuah file database

Ketika pengguna menolak untuk menyimpan kredensial mereka di browser, sistem manajemen kata sandi masih akan menambahkan entri untuk menunjukkan bahwa situs web tertentu “masuk daftar hitam.”

Sementara aktor ancaman mungkin tidak memiliki kata sandi untuk akun “daftar hitam” ini, tapi hal itu mengindikasi bahwa akun tersebut ada, memungkinkan mereka untuk melakukan isian kredensial atau serangan rekayasa sosial / phishing.

Fitur-fitur RedLine Stealer

Setelah mengumpulkan kredensial yang dicuri, aktor ancaman menggunakannya dalam serangan lebih lanjut atau mencoba memonetisasinya dengan menjualnya di pasar web gelap.

Contoh betapa populernya RedLine bagi peretas adalah munculnya pasar web gelap ‘2easy’, di mana setengah dari semua data yang dijual dicuri menggunakan malware ini.

Kasus lain baru-baru ini dari distribusi RedLine adalah kampanye spamming formulir kontak situs web yang menggunakan file Excel XLL yang mengunduh dan menginstal malware pencurian kata sandi.

Sepertinya RedLine ada di mana-mana sekarang, dan alasan utama di balik ini adalah efektivitasnya dalam mengeksploitasi celah keamanan yang tersedia secara luas yang ditolak oleh browser web modern.

Apa yang harus dilakukan sebagai gantinya

Menggunakan browser web Anda untuk menyimpan kredensial login Anda menggoda dan nyaman, tetapi hal itu berisiko bahkan tanpa infeksi malware.

Dengan demikian, aktor lokal atau jarak jauh dengan akses ke mesin Anda dapat mencuri semua kata sandi Anda dalam hitungan menit.

Sebaliknya, akan lebih baik menggunakan pengelola kata sandi khusus yang menyimpan semuanya di lemari besi terenkripsi dan meminta kata sandi utama untuk membukanya.

Selain itu, Anda harus mengonfigurasi aturan khusus untuk situs web sensitif seperti portal e-banking atau halaman web aset perusahaan, yang memerlukan input kredensial manual.

Akhirnya, aktifkan autentikasi multi-faktor di mana pun ini tersedia, karena langkah tambahan ini dapat menyelamatkan Anda dari insiden pengambilalihan akun bahkan jika kredensial Anda telah dikompromikan.

Sumber: Bleepingcomputer

Malware Flagpro Baru Terkait dengan Peretas yang Didukung Negara China

by

Kelompok spionase cyber BlackTech APT (advanced persistent threat) telah terlihat menargetkan perusahaan Jepang menggunakan malware baru yang oleh para peneliti disebut ‘Flagpro’.

Aktor ancaman menggunakan Flagpro pada tahap awal serangan untuk pengintaian jaringan, untuk mengevaluasi lingkungan target, dan untuk mengunduh malware tahap kedua dan mengeksekusinya.

Melanggar jaringan perusahaan

Rantai infeksi dimulai dengan email phishing yang dibuat untuk organisasi target, berpura-pura menjadi pesan dari mitra yang dapat dipercaya. Email ini membawa lampiran ZIP atau RAR yang dilindungi kata sandi yang berisi file Microsoft Excel (. XLSM) dicampur dengan makro berbahaya. Menjalankan kode ini membuat executable di direktori startup, Flagpro.

Pada eksekusi pertamanya, Flagpro terhubung ke server C2 melalui HTTP dan mengirimkan rincian ID sistem yang diperoleh dengan menjalankan perintah OS hardcoded.

Sebagai tanggapan, C2 dapat mengirim kembali perintah tambahan atau muatan tahap kedua yang dapat dijalankan Flagpro.

Komunikasi antara keduanya dikodekan dengan Base64, dan ada juga penundaan waktu yang dapat dikonfigurasi antara koneksi untuk menghindari menciptakan pola operasi yang dapat diidentifikasi.

Menurut sebuah laporan oleh NTT Security, Flagpro telah dikerahkan terhadap perusahaan Jepang selama lebih dari setahun, setidaknya sejak Oktober 2020. Sampel terbaru yang bisa diambil para peneliti adalah mulai Juli 2021.

Entitas yang ditargetkan berasal dari berbagai sektor, termasuk teknologi pertahanan, media, dan komunikasi.

Flagpro v2.0

Pada titik tertentu dalam analisis mereka, para peneliti NTT melihat versi baru Flagpro, yang secara otomatis dapat menutup dialog yang relevan untuk membangun koneksi eksternal yang dapat mengungkapkan kehadirannya kepada korban.

“Dalam implementasi Flagpro v1.0, jika dialog berjudul “Windows セキュリティ” ditampilkan ketika Flagpro mengakses ke situs eksternal, Flagpro secara otomatis mengklik tombol OK untuk menutup dialog,” jelas laporan Keamanan NTT.

“Penanganan ini juga bekerja ketika dialog ditulis dalam bahasa Cina atau Inggris. Ini menunjukkan targetnya ada di Jepang, Taiwan, dan negara-negara berbahasa Inggris.”

Selengkapnya: Bleepingcomputer

Samsung Galaxy Store mendistribusikan aplikasi yang dapat menginfeksi ponsel dengan malware

by

Aplikasi pembajakan film ‘Showbox’ yang berpotensi palsu memicu peringatan Play Protect, dan penyelidikan menunjukkan bahwa mereka dapat mengunduh malware

Max Weinbach dari Android Police pertama kali mencatat masalah tadi malam, melihat beberapa aplikasi berbasis Showbox yang didistribusikan di Galaxy Store, beberapa di antaranya memicu peringatan Google Play Protect saat diinstal.

Analisis salah satu apk Showbox di Virustotal menunjukkan lebih dari selusin peringatan tingkat rendah dari vendor keamanan mulai dari “riskware” hingga adware. Beberapa aplikasi juga meminta izin lebih dari yang Anda harapkan, termasuk akses ke kontak, log panggilan, dan telepon.

Penyelidikan selanjutnya mengungkapkan bahwa teknologi iklan dalam aplikasi mampu melakukan eksekusi kode dinamis, sementara aplikasi itu sendiri saat didistribusikan tidak secara langsung mengandung malware, namun dapat mengunduh dan menjalankan kode lain yang dapat mencakup malware. Linuxct menambahkan bahwa ada sangat sedikit kasus penggunaan yang sah untuk fungsi ini, dan itu dapat dipersenjatai dengan mudah. “Jadi sewaktu-waktu bisa menjadi trojan/malware, oleh karena itu tidak aman dan oleh karena itu banyak vendor menandainya di VT/Play Protect.” Masalah serupa didokumentasikan di setidaknya dua aplikasi Showbox di Galaxy Store, meskipun itu juga dapat memengaruhi yang lain.

Deskripsi aplikasi mengklaim bahwa mereka tidak menghosting konten bajakan dan tidak mengaktifkan pembajakan. Kami belum menguji setiap aplikasi yang melanggar satu per satu, mengingat sifat peringatan yang dilampirkan pada pemasangannya, dan tidak dapat secara langsung mengonfirmasi apakah aplikasi saat ini menyediakan akses ke konten bajakan. Namun, nama tersebut memiliki reputasi itu, dan “pakar” lain yang lebih memilih untuk tetap anonim meyakinkan saya bahwa aplikasi tersebut pada satu titik memungkinkan pembajakan. Sumber aplikasi Showbox yang dihosting sendiri membuat klaim serupa, mengiklankan aplikasi sebagai aplikasi “basis data film” dengan VPN terintegrasi — wink wink

Subreddit Showbox mencatat bahwa Showbox “turun”, telah berlangsung selama hampir dua tahun, dan bahwa situs web dan aplikasi pihak ketiga yang mengaku terkait adalah “palsu.” Google, kami harus perhatikan, tidak meng-host aplikasi apa pun yang dipermasalahkan di Play Store.

Samsung Galaxy Store tidak melacak jumlah penginstalan, tetapi aplikasi yang dipermasalahkan secara kumulatif memiliki ratusan ulasan, termasuk beberapa yang mencatat peringatan malware pada saat penginstalan. Kami telah menghubungi Samsung untuk menanyakan apakah mereka mengetahui bahwa Galaxy Store-nya mungkin mendistribusikan malware atau apakah mereka mengetahui reputasi Showbox untuk mengaktifkan pembajakan, tetapi perusahaan tidak segera menanggapi pertanyaan kami. Kami juga telah menghubungi pengembang beberapa aplikasi yang dipermasalahkan, tetapi setidaknya salah satu email kontak yang terdaftar terpental kembali.

Sumber : Android Police

Trojan perbankan Android menyebar melalui halaman Google Play Store palsu

by

Trojan perbankan Android yang menargetkan Itaú Unibanco, penyedia layanan keuangan besar di Brasil dengan 55 juta pelanggan di seluruh dunia, telah menerapkan trik yang tidak biasa untuk menyebar ke perangkat.

Para aktor telah menyiapkan halaman yang terlihat sangat mirip dengan toko aplikasi resmi Google Play Android untuk mengelabui pengunjung agar berpikir bahwa mereka memasang aplikasi dari layanan tepercaya.

Sumber: BleepingComputer

Malware tersebut berpura-pura menjadi aplikasi perbankan resmi untuk Itaú Unibanco dan menampilkan ikon yang sama dengan aplikasi yang sah.

Jika pengguna mengklik tombol “Instal”, mereka ditawari untuk mengunduh APK, yang merupakan tanda pertama penipuan. Aplikasi Google Play Store diinstal melalui antarmuka toko, tidak pernah meminta pengguna untuk mengunduh dan menginstal program secara manual.

Para peneliti di Cyble menganalisis malware, menemukan bahwa setelah dieksekusi, ia mencoba membuka aplikasi Itaú yang sebenarnya dari Play Store yang sebenarnya.

Jika berhasil, ia menggunakan aplikasi yang sebenarnya untuk melakukan transaksi penipuan dengan mengubah bidang input pengguna.

Aplikasi tidak meminta izin berbahaya apa pun selama penginstalan, sehingga menghindari peningkatan deteksi yang mencurigakan atau berisiko dari AV.

Alih-alih, malware ini memiliki tujuan untuk memanfaatkan Layanan Aksesibilitas, yang merupakan semua yang dibutuhkan oleh malware seluler untuk melewati semua keamanan di sistem Android.

Hanya pengguna yang memiliki kesempatan untuk melihat tanda-tanda penyalahgunaan dan menghentikan malware sebelum sempat melakukan tindakan merusak pada perangkat.

Tanda-tanda ini datang dalam bentuk aplikasi yang meminta izin untuk melakukan gerakan, mengambil konten jendela, dan mengamati tindakan pengguna.

Selengkapnya: Bleeping Computer

Malware BLISTER menyelinap masuk tanpa diketahui di sistem Windows

by

Peneliti keamanan telah menemukan kampanye jahat yang mengandalkan sertifikat penandatanganan kode yang valid untuk menyamarkan kode berbahaya sebagai file executable yang sah.

Salah satu muatan yang oleh para peneliti disebut Blister, bertindak sebagai pemuat malware lain dan tampaknya menjadi ancaman baru yang menikmati tingkat deteksi rendah.

Pelaku ancaman di balik Blister telah mengandalkan beberapa teknik untuk menjaga serangan mereka di bawah radar, penggunaan sertifikat penandatanganan kode hanya salah satu trik mereka.

Dalam posting blog minggu ini, Elastic mengatakan bahwa mereka secara bertanggung jawab melaporkan sertifikat yang disalahgunakan ke Sectigo sehingga dapat dicabut.

Para peneliti mengatakan bahwa pelaku ancaman mengandalkan berbagai teknik untuk menjaga agar serangan tidak terdeteksi. Salah satu metodenya adalah menyematkan malware Blister ke pustaka yang sah (mis. colorui.dll).

Malware kemudian dieksekusi dengan hak istimewa melalui perintah rundll32. Ditandatangani dengan sertifikat yang valid dan digunakan dengan hak administrator membuat Blister lolos dari solusi keamanan.

Pada langkah berikutnya, Blister memecahkan kode dari kode bootstrap bagian sumber daya yang “sangat dikaburkan,” kata peneliti Elastic. Selama sepuluh menit, kode tetap tidak aktif, kemungkinan dalam upaya untuk menghindari analisis sandbox.

Kemudian beraksi dengan mendekripsi muatan tertanam yang menyediakan akses jarak jauh dan memungkinkan gerakan lateral: Cobalt Strike dan BitRAT – keduanya telah digunakan oleh beberapa pelaku ancaman di masa lalu.

Selengkapnya: Bleeping Computer