Malware

Malware Android menyamar sebagai Aplikasi mirip Netflix dan menginfeksi melalui WhatsApp

April 8, 2021 by Mally

Malware Android yang baru ditemukan di Google Play Store yang menyamar sebagai alat Netflix dirancang untuk menyebar secara otomatis ke perangkat lain menggunakan balasan otomatis WhatsApp ke pesan masuk.

Para peneliti di Check Point Research (CPR) menemukan malware baru ini menyamar sebagai aplikasi bernama FlixOnline dan mencoba memikat calon korban dengan janji akses gratis ke konten Netflix.

Peneliti CPR secara bertanggung jawab mengungkapkan temuan penelitian mereka kepada Google yang dengan cepat menghapus dan menghapus aplikasi berbahaya tersebut dari Play Store.

Aplikasi FlixOnline yang berbahaya diunduh kira-kira 500 kali selama dua bulan ketika itu tersedia untuk diunduh di Play Store.

Setelah aplikasi diinstal pada perangkat Android dari Google Play Store, malware memulai layanan yang meminta overlay, pengabaian pengoptimalan baterai, dan izin pemberitahuan.

Setelah izin diberikan, malware akan dapat menghasilkan overlay di atas jendela aplikasi apa pun untuk tujuan pencurian kredensial, memblokir perangkat agar tidak mematikan prosesnya untuk mengoptimalkan konsumsi energi, mendapatkan akses ke notifikasi aplikasi, dan mengelola atau membalas pesan.

Kemudian aplikasi tersebut mulai memantau pemberitahuan WhatsApp baru untuk membalas otomatis semua pesan masuk menggunakan muatan teks khusus yang diterima dari server perintah dan kontrol dan dibuat oleh operatornya.

Check Point mengatakan bahwa balasan otomatis yang diamati dalam kampanye ini mengarahkan para korban ke situs Netflix palsu yang mencoba mengambil informasi identitas dan kartu kredit mereka.

Sumber: Bleeping Computer

Cheat berbahaya untuk Call of Duty: Warzone beredar online

April 5, 2021 by Mally

Penjahat telah menyembunyikan malware di dalam perangkat lunak yang tersedia untuk umum yang dimaksudkan sebagai cheat untuk Call of Duty: Warzone dari Activision, para peneliti dengan pembuat game memperingatkan awal pekan ini.

Pada hari Rabu, Activision mengatakan bahwa situs curang populer mengedarkan cheat palsu untuk Call of Duty: Warzone yang berisi dropper, istilah untuk jenis backdoor yang menginstal malware tertentu yang dipilih oleh orang yang membuatnya. Dinamakan Warzone Cheat Engine, cheat tersebut tersedia di situs pada April 2020 dan bulan lalu.

Orang-orang yang mempromosikan cheat tersebut menginstruksikan pengguna untuk menjalankan program sebagai administrator dan menonaktifkan antivirus. Meskipun setelan ini sering kali diperlukan agar cheat berfungsi, setelan ini juga memudahkan malware untuk bertahan dari reboot dan tidak terdeteksi, karena pengguna tidak akan mendapatkan peringatan tentang infeksi atau bahwa software mencari hak istimewa yang lebih tinggi.

Analisis Activision mengatakan bahwa beberapa forum malware secara teratur mengiklankan kit yang menyesuaikan cheat palsu. Kit ini memudahkan pembuatan versi Warzone Cheat Engine yang mengirimkan muatan berbahaya yang dipilih oleh penjahat yang menggunakannya.

Laporan Activision datang pada hari yang sama saat tim keamanan Cisco Talos mengungkapkan kampanye malware baru yang menargetkan pemain game yang menggunakan cheat.

Selengkapnya: Ars Technica

Malware BazarCall menggunakan call center berbahaya untuk menginfeksi korban

April 1, 2021 by Mally

Selama dua bulan terakhir, peneliti keamanan telah melakukan pertempuran online melawan malware ‘BazarCall’ baru yang menggunakan pusat panggilan (call center) untuk mendistribusikan beberapa malware Windows yang paling merusak.

Malware baru ditemukan sedang didistribusikan oleh pusat panggilan pada akhir Januari dan diberi nama BazarCall, atau BazaCall, karena pelaku ancaman awalnya menggunakannya untuk menginstal malware BazarLoader.

Seperti banyak kampanye malware lainnya, BazarCall dimulai dengan email phishing tetapi dari sana menyimpang ke metode distribusi baru – menggunakan pusat panggilan telepon untuk mendistribusikan dokumen Excel berbahaya yang menginstal malware.

Alih-alih mengirimkan lampiran dengan email, email BazarCall meminta pengguna untuk menghubungi nomor telepon untuk membatalkan langganan sebelum mereka ditagih secara otomatis. Pusat panggilan ini kemudian akan mengarahkan pengguna ke situs web yang dibuat khusus untuk mengunduh “formulir pembatalan” yang menginstal malware BazarCall.

Sementara sebagian besar email yang dilihat oleh BleepingComputer berasal dari perusahaan fiktif bernama “Medical reminder service, Inc.”, email tersebut juga menggunakan nama perusahaan palsu lainnya seperti ‘iMed Service, Inc.’, ‘Blue Cart Service, Inc . ‘, dan ‘iMers, Inc. ‘

Semua email ini menggunakan subjek yang mirip seperti “Terima kasih telah menggunakan uji coba gratis Anda” atau “Masa uji coba gratis Anda hampir berakhir!” Peneliti keamanan ExecuteMalware telah mengumpulkan daftar subjek email yang lebih luas yang digunakan oleh serangan ini.

Selengkapnya: Bleeping Computer

File jQuery palsu menginfeksi situs WordPress dengan malware

April 1, 2021 by Mally

Peneliti keamanan telah menemukan versi palsu dari plugin jQuery Migrate yang disuntikkan ke lusinan situs web yang berisi kode yang dikaburkan (obfuscated) untuk memuat malware.

File-file ini diberi nama jquery-migrate.js dan jquery-migrate.min.js dan ada di lokasi yang tepat di mana file JavaScript biasanya ada di situs WordPress tetapi sebenarnya berbahaya.

Saat ini, lebih dari 7,2 juta situs web menggunakan plugin jQuery Migrate, yang menjelaskan mengapa penyerang menyamarkan malware mereka dengan nama plugin populer ini.

Peneliti keamanan Denis Sinegubko dan Adrian Stoian melihat file jQuery palsu yang meniru plugin jQuery Migrate di puluhan situs web minggu ini.

Meskipun skala penuh serangan ini belum ditentukan, Sinegubko membagikan kueri penelusuran yang menunjukkan lebih dari tiga lusin halaman yang saat ini terinfeksi skrip analitik berbahaya.

Bertentangan dengan namanya, bagaimanapun, file analitik tidak ada hubungannya dengan pengumpulan metrik situs web:

BleepingComputer menganalisis beberapa kode yang dikaburkan yang ada di file.

Kode tersebut memiliki referensi ke “/wp-admin/user-new.php” yang merupakan halaman administrasi WordPress untuk membuat pengguna baru. Selain itu, kode mengakses variabel _wpnonce_create-user yang digunakan WordPress untuk menerapkan perlindungan Cross-Site Request Forgery (CSRF).

Secara umum, dapat memperoleh atau menyetel token CSRF akan memberi penyerang kemampuan untuk membuat permintaan palsu atas nama pengguna.

Menyuntikkan skrip seperti ini di situs WordPress memungkinkan penyerang melakukan berbagai aktivitas berbahaya termasuk apa pun dari penipuan Magecart untuk skimming kartu kredit hingga mengarahkan pengguna ke situs scam.

Namun, dalam kasus ini, fungsi checkme() mencoba mengalihkan jendela browser pengguna ke URL berbahaya yang diidentifikasi oleh BleepingComputer.

Selengkapnya: Bleeping Computer

Microsoft berbagi intelijen tentang aktivitas pasca-kompromi Serangan Exchange Server

March 29, 2021 by Mally Leave a Comment

Awal pekan ini, Microsoft mengatakan bahwa 92% dari server Exchange yang rentan telah ditambal atau telah diterapkan mitigasi. Namun, firma keamanan siber F-Secure mengatakan “puluhan ribu” server Exchange telah dibobol. Dalam posting blog baru, Microsoft menegaskan kembali peringatannya bahwa “menambal sistem tidak serta merta menghapus akses penyerang”.

“Banyak dari sistem yang disusupi belum menerima tindakan sekunder, seperti serangan ransomware yang dioperasikan oleh manusia atau eksfiltrasi data, yang menunjukkan bahwa penyerang dapat menetapkan dan mempertahankan akses mereka untuk kemungkinan tindakan selanjutnya,” catat Microsoft 365 Defender Threat Intelligence Team.

Jika sistem telah disusupi, Microsoft mendesak admin untuk mempraktikkan prinsip hak istimewa paling rendah dan mengurangi pergerakan lateral pada jaringan.

Hak istimewa terkecil akan membantu mengatasi praktik umum di mana layanan Exchange atau tugas terjadwal telah dikonfigurasi dengan akun dengan hak istimewa tinggi untuk melakukan tugas-tugas seperti pencadangan.

Menggunakan ransomware DoejoCrypt, alias DearCry, sebagai contoh, Microsoft mencatat bahwa web shell yang digunakan oleh strain tersebut menulis file batch ke C: \ Windows \ Temp \ xx.bat. Ini ditemukan di semua sistem yang terkena DoejoCrypt dan mungkin menawarkan penyerang rute untuk mendapatkan kembali akses di mana infeksi telah terdeteksi dan dihapus.

“File batch ini melakukan backup database Security Account Manager (SAM) dan kumpulan registri Sistem dan Keamanan, yang memungkinkan penyerang nanti mengakses sandi pengguna lokal di sistem dan, yang lebih penting, di LSA [Otoritas Keamanan Lokal] Bagian rahasia dari registri, di mana kata sandi untuk layanan dan tugas terjadwal disimpan, “catatan Microsoft.

Meskipun korban belum mendapatkan tebusan, penggunaan file xx.bat oleh penyerang memungkinkan mereka menjelajahi jaringan melalui kerangka web yang meletakkan file tersebut pada awalnya. Shell web juga mengunduh kit pengujian penetrasi Cobalt Strike sebelum mengunduh muatan ransomware dan mengenkripsi file. Dengan kata lain, korban mungkin belum ditebus hari ini, tetapi penyerang telah meninggalkan alat di jaringan untuk melakukannya besok.

Ancaman kejahatan dunia maya lainnya ke server Exchange berasal dari penambang mata uang kripto yang berbahaya. Botnet cryptocurrency Lemon Duck diamati mengeksploitasi server Exchange yang rentan. Menariknya, operator Lemon Duck membersihkan server Exchange dengan file xx.bat dan web shell, memberinya akses eksklusif ke server Exchange. Microsoft juga menemukan bahwa itu digunakan untuk menginstal malware lain, bukan hanya menambang cryptocurrency.

Source : ZDnet

Spyware baru di Android berpura-pura menjadi pembaruan sistem untuk ponsel Anda

March 27, 2021 by Mally

Tambalan bulanan Google membantu menjaga Android tetap aman dari serangan jahat (dengan asumsi pabrikan ponsel Anda bersedia mengirimkan pembaruan tepat waktu). Selama Anda berhati-hati saat mengunduh aplikasi dari luar Play Store, menjaga keamanan perangkat Anda cukup mudah akhir-akhir ini, bahkan saat penyerang baru mencoba menyebarkan virus berbahaya. Minggu ini, peneliti keamanan seluler telah menemukan spyware yang berpura-pura sebagai pembaruan sistem, hanya untuk mengambil kendali penuh atas smartphone setelah diinstal.

Malware, yang pertama kali ditemukan oleh perusahaan keamanan Zimperium, ternyata sangat canggih. Setelah dipasang melalui aplikasi yang dibundel di luar Play Store, itu menutupi dirinya sendiri menggunakan pemberitahuan yang sama dengan pembaruan terverifikasi dari Google. Setelah aktif, tidak ada yang aman dari sentuhannya: Spyware ini dapat melihat dan mengunggah pesan, kontak, riwayat pencarian, dan bookmark. Itu dapat melacak lokasi, mengambil foto menggunakan kamera, merekam panggilan telepon dan audio eksternal, dan bahkan mencuri konten yang disalin dari clipboard Anda.

selengkapnya : www.androidpolice.com

Perubahan merek Pulse BP Chargemaster memungkinkan penjahat mengirim trojan perbankan IcedID dari kotak surat yang sebelumnya sah

March 26, 2021 by Mally

BP Chargemaster, pemasok soket untuk kendaraan listrik, tampaknya domain emailnya dibajak oleh penjahat yang menggunakan alamat yang sebelumnya sah untuk mengirim trojan perbankan ke pelanggan.

Email yang mengandung malware dikirim dari alamat email perusahaan awal bulan ini – dan lampirannya menyertakan malware pencuri kredensial IcedID.

Tampaknya server email perusahaan mungkin dibiarkan tanpa pengawasan setelah BP Chargemaster berganti nama menjadi BP Pulse pada awal Desember 2020. Selama pengubahan citra, situs web BP Chargemaster dan Polar digantikan oleh bppulse.co.uk, “untuk menghindari kebingungan “.

Pembaca register Matt menerima beberapa email dari BP Chargemaster yang dia yakin tidak berasal dari perusahaan.

Namun ketika dia mulai mendengar kabar dari pengirim itu lagi, email yang dia terima berisi teks seperti “Halo. Terlampir di bawah membutuhkan perhatian Anda,” mendesak Matt untuk membuka file .zip terlampir. Bacaan lainnya: “Silakan lihat file terlampir. Pasti menarik.” Kedua pesan tersebut tampaknya telah dikirim dari alamat email bpchargemaster [.] Com, dan Matt memperhitungkan pada saat mereka telah lulus validasi Sender Policy Framework (SPF).

Kami meminta F-Secure untuk melihat lampiran berbahaya yang dikirim ke Matt dan Calvin Gan perusahaan, manajer senior di Unit Pertahanan Taktis, mengatakan kepada The Register: “Email tersebut adalah kampanye malspam yang menyebarkan versi baru dari trojan perbankan IcedID . File zip berisi spreadsheet Excel berbahaya yang menggunakan fitur makro Excel 4.0 untuk menyembunyikan kodenya. ”

Dia menambahkan bahwa infosec Binary Defense memiliki catatan terbaru tentang evolusi terbaru trojan. Perusahaan menemukan bahwa ketika berhasil diterapkan, trojan tersebut menjatuhkan suar Cobalt Strike dan penjahat kemudian memetakan jaringan tempat orang jahat itu mendarat, dengan menyatakan: “IcedID adalah ancaman hebat yang membuat analisis menjadi kompleks dan menantang.”

Ini pertama kali ditemukan pada tahun 2017 oleh divisi keamanan X-Force IBM, seperti yang kami laporkan pada saat itu.

selengkapnya : www.theregister.com

Malware Purple Fox masuk ke sistem Windows yang terekspos

March 24, 2021 by Mally

Purple Fox, malware yang sebelumnya didistribusikan melalui exploit kits dan email phishing, kini telah menambahkan modul worm yang memungkinkannya memindai dan menginfeksi sistem Windows yang dapat dijangkau melalui Internet dalam serangan yang sedang berlangsung.

Malware ini hadir dengan kemampuan rootkit dan backdoor, pertama kali terlihat pada tahun 2018 setelah menginfeksi setidaknya 30.000 perangkat, dan digunakan sebagai pengunduh untuk menyebarkan jenis malware lainnya.

Mulai Mei 2020, serangan Purple Fox telah meningkat secara signifikan, mencapai total 90.000 serangan dan 600% lebih banyak infeksi, menurut peneliti keamanan Guardicore Labs Amit Serper dan Ophir Harpaz.

Upaya pemindaian dan eksploitasi port aktif malware dimulai pada akhir tahun lalu berdasarkan telemetri yang dikumpulkan menggunakan Guardicore Global Sensors Network (GGSN).

Setelah menemukan sistem Windows yang terbuka saat memindai perangkat yang dapat dijangkau melalui Internet, modul worm yang baru ditambahkan ke Purple Fox menggunakan SMB password brute force untuk menginfeksinya. Sejauh ini, Purple Fox telah menyebarkan malware dropper dan modul tambahan pada jaringan bot yang luas.

Perangkat yang terjerat dalam botnet ini termasuk mesin Windows Server yang menjalankan IIS versi 7.5 dan Microsoft FTP, dan server yang menjalankan Microsoft RPC, Microsoft Server SQL Server 2008 R2, dan Microsoft HTTPAPI httpd 2.0, dan Layanan Terminal Microsoft.

Setelah menerapkan rootkit dan me-reboot perangkat, malware akan mengganti nama muatan DLL-nya agar sesuai dengan DLL sistem Windows dan akan mengkonfigurasinya untuk diluncurkan saat sistem dimulai.

Setelah malware dijalankan pada peluncuran sistem, setiap sistem yang terinfeksi kemudian akan menunjukkan perilaku mirip worm yang sama, terus-menerus memindai Internet untuk mencari target lain dan mencoba menyusupinya dan menambahkannya ke botnet.

Indicators of compromise (IOC) tersedia di repositori GitHub ini.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings