Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Penipu memanfaatkan Clubhouse yang sedang populer untuk mendorong aplikasi Android berbahaya

by

Sebuah aplikasi jahat baru sedang berputar-putar dengan berpura-pura menjadi versi Android Clubhouse yang paling banyak dicari.

Clubhouse adalah aplikasi obrolan audio khusus undangan yang memungkinkan pengguna mendengarkan percakapan secara real-time. Perhatian di sekitar aplikasi meledak setelah Elon Musk men-tweet tentang aplikasi tersebut, tetapi sebagai layanan gratis yang hanya tersedia saat ini di iOS, pemegang perangkat Android mungkin merasa agak ketinggalan.

Startup tersebut belum meluncurkan Clubhouse versi Android, tetapi hingga saat itu, para penipu berharap untuk dapat menipu pengguna agar mengunduh perangkat lunak berbahaya.

Pada hari Jumat, ESET mengungkapkan penemuan aplikasi Android yang disajikan dari tiruan situs web Clubhouse. Meskipun untungnya tidak ditemukan telah terselip pada jaring keamanan di Google Play – gudang resmi untuk aplikasi Android – peneliti Lukas Stefanko mengatakan situs web tersebut menggunakan tombol “Dapatkan di Google Play” untuk mencoba dan membodohi pengunjung agar percaya bahwa aplikasi itu sah.

Sumber: ESET

Jika diunduh dan dijalankan, .APK berbahaya akan menyebarkan BlackRock, Trojan perbankan yang mampu melakukan pencurian data ekstensif.

Dalam hal pencurian informasi, BlackRock tidak hanya dapat mencuri informasi perangkat / OS dan pesan teks. Sebaliknya, ESET mengatakan malware tersebut dilengkapi untuk mencuri konten dari 458 layanan online.

Selengkapnya: ZDNet

Malware CopperStealer baru mencuri akun Google, Apple, Facebook

by

Malware pencuri akun yang sebelumnya tidak diketahui yang didistribusikan melalui situs crack perangkat lunak palsu menargetkan pengguna penyedia layanan utama, termasuk Google, Facebook, Amazon, dan Apple.

Malware, yang dijuluki CopperStealer oleh peneliti Proofpoint, adalah pencuri kata sandi dan cookie yang dikembangkan secara aktif dengan fitur pengunduh yang memungkinkan operatornya mengirimkan muatan berbahaya tambahan ke perangkat yang terinfeksi.

Aktor ancaman di balik malware ini telah menggunakan akun yang disusupi untuk menjalankan iklan berbahaya dan mengirimkan malware tambahan dalam kampanye malvertising berikutnya.

“Sementara kami menganalisis sampel yang menargetkan akun bisnis dan pengiklan Facebook dan Instagram, kami juga mengidentifikasi versi tambahan yang menargetkan penyedia layanan utama lainnya, termasuk Apple, Amazon, Bing, Google, PayPal, Tumblr, dan Twitter,” kata Proofpoint dalam laporan yang mereka terbitkan.

CopperStealers bekerja dengan memanen kata sandi yang disimpan di browser web Google Chrome, Edge, Firefox, Yandex, dan Opera.

Itu juga akan mengambil Token Akses Pengguna Facebook korban menggunakan cookie curian untuk mengumpulkan konteks tambahan, termasuk daftar teman mereka, info akun iklan, dan daftar halaman Facebook yang dapat mereka akses.

Malware yang dijatuhkan menggunakan modul pengunduh CopperStealer mencakup backdoor Smokeloader modular dan beragam muatan berbahaya lainnya yang diunduh dari beberapa URL.

Selengkapnya: Bleeping Computer

Pengembang Apple menjadi sasaran malware baru, EggShell backdoor

by

Proyek Xcode berbahaya digunakan untuk membajak sistem pengembang dan menyebarkan backdoor EggShell khusus.

Malware, yang dijuluki XcodeSpy, menargetkan Xcode, lingkungan pengembangan terintegrasi (IDE) yang digunakan di macOS untuk mengembangkan perangkat lunak dan aplikasi Apple.

Menurut penelitian yang diterbitkan oleh SentinelLabs pada hari Kamis, fitur Run Script di IDE sedang dieksploitasi dalam serangan bertarget terhadap pengembang iOS melalui proyek Trojanized Xcode yang dibagikan secara bebas secara online.

Proyek Xcode sumber terbuka yang sah dapat ditemukan di GitHub. Namun, dalam kasus ini, proyek XcodeSpy menawarkan “advanced features” untuk menganimasikan bilah tab iOS – dan setelah versi awal diunduh dan diluncurkan, skrip berbahaya diterapkan untuk memasang backdoor EggShell.

Dua varian EggShell telah terdeteksi – dan salah satunya berbagi string terenkripsi dengan XcodeSpy. Backdoor ini mampu membajak mikrofon, kamera, dan keyboard pengembang korban, serta mengambil dan mengirim file ke C2 penyerang.

SentinelLabs mengatakan bahwa setidaknya satu organisasi AS telah terperangkap dalam serangan seperti ini dan pengembang di Asia mungkin juga telah terpengaruh oleh kampanye, yang beroperasi setidaknya antara Juli dan Oktober tahun lalu.

Selengkapnya: ZDNet

Malware trojan ini sekarang menjadi masalah keamanan terbesar Anda

by

Malware Trickbot telah meningkat untuk mengisi celah yang ditinggalkan oleh penghapusan botnet Emotet, dengan jumlah penjahat yang lebih tinggi beralih ke sana untuk mendistribusikan serangan malware.

Emotet adalah botnet malware paling produktif dan berbahaya di dunia sebelum diganggu oleh operasi penegakan hukum internasional pada Januari tahun ini.

Sementara gangguan Emotet merupakan pukulan bagi penjahat dunia maya, mereka dengan cepat beradaptasi dan sekarang Trickbot telah menjadi bentuk malware yang paling umum.

Trickbot menawarkan banyak kemampuan yang sama dengan Emotet, memberikan penjahat dunia maya sarana untuk mengirimkan malware tambahan ke mesin yang disusupi – dan menurut analisis kampanye malware oleh peneliti keamanan siber di Check Point, itu sekarang menjadi malware yang paling umum didistribusikan di dunia.

Pertama kali didistribusikan pada tahun 2016, Trickbot telah lama berada di sana dengan bentuk malware paling produktif, tetapi dengan tindakan keras terhadap Emotet, dengan cepat menjadi cara yang lebih populer bagi penjahat untuk mendistribusikan kampanye serangan dunia maya pilihan mereka secara luas.

Tetapi Trickbot bukanlah satu-satunya ancaman malware bagi organisasi dan kampanye kriminal dunia maya lainnya juga telah membantu mengisi celah yang ditinggalkan oleh gangguan Emotet.

selengkapnya : ZDNET

Peretas negara bagian China menargetkan sistem Linux dengan malware baru

by

Peneliti keamanan di Intezer telah menemukan backdoor yang sebelumnya tidak dikenali yang dijuluki RedXOR, dengan tautan ke grup peretasan yang disponsori China dan digunakan dalam serangan berkelanjutan yang menargetkan sistem Linux.

Sampel malware RedXOR yang ditemukan oleh Intezer diunggah ke VirusTotal (1, 2) dari Taiwan dan Indonesia (target yang diketahui untuk peretas negara China) dan memiliki tingkat deteksi yang rendah.

Berdasarkan server perintah-dan-kontrol yang masih aktif, backdoor Linux digunakan dalam serangan yang sedang berlangsung yang menargetkan server dan endpoint Linux.

RedXOR hadir dengan sejumlah besar kemampuan, termasuk menjalankan perintah dengan hak istimewa sistem, mengelola file pada kotak Linux yang terinfeksi, menyembunyikan prosesnya menggunakan rootkit sumber terbuka Adore-ng, membuat proxy lalu lintas berbahaya, memperbarui jarak jauh, dan banyak lagi.

Malware baru itu diyakini sebagai alat berbahaya baru yang ditambahkan ke gudang senjata kelompok ancaman Winnti China.

Intezer juga menemukan banyak koneksi antara backdoor Linux RedXOR dan beberapa strain malware yang terhubung ke peretas Winnti state, termasuk backdoor PWNLNX dan botnet Groundhog dan XOR.DDOS.

Selengkapnya:

Malware Go sekarang menjadi umum dan telah diadopsi oleh APT serta kelompok kejahatan lainnya

by

Jumlah malware yang dikodekan dalam bahasa pemrograman Go telah mengalami peningkatan tajam sekitar 2.000% selama beberapa tahun terakhir, sejak 2017, kata perusahaan keamanan siber Intezer dalam sebuah laporan yang diterbitkan minggu ini.

Temuan perusahaan menyoroti dan mengkonfirmasi tren umum dalam ekosistem malware, di mana pembuat malware perlahan-lahan beralih dari C dan C ++ ke Go, bahasa pemrograman yang dikembangkan dan diluncurkan oleh Google pada tahun 2007.

Sementara malware berbasis Go pertama terdeteksi pada tahun 2012, bagaimanapun, butuh beberapa tahun bagi Golang untuk menguasai dunia malware.

Malware berbasis Go digunakan oleh kelompok peretasan negara-bangsa (juga dikenal sebagai APT), operator kejahatan siber, dan bahkan tim keamanan, yang sering menggunakannya untuk membuat perangkat pengujian penetrasi.

Ada tiga alasan utama mengapa popularitas Golang mengalami peningkatan tajam yang tiba-tiba ini. Yang pertama adalah Go mendukung proses yang mudah untuk kompilasi lintas platform.

Alasan kedua adalah bahwa binari berbasis Go masih sulit untuk dianalisis dan di-reverse engineer oleh peneliti keamanan, yang membuat tingkat deteksi untuk malware berbasis Go sangat rendah. Alasan ketiga terkait dengan dukungan Go untuk bekerja dengan paket dan permintaan jaringan.

Go menyediakan malware dengan semua alat yang mereka butuhkan di satu tempat, dan mudah untuk melihat mengapa banyak pembuat kode malware meninggalkan C dan C ++ karenanya. Ketiga alasan ini adalah mengapa kita melihat lebih banyak malware Golang di tahun 2020 daripada sebelumnya.

Selengkapnya: ZDNet

Cyberspies Cina menargetkan warga Tibet dengan add-on Firefox yang berbahaya

by Leave a Comment

Peretas yang disponsori negara Cina telah mengejar organisasi Tibet di seluruh dunia menggunakan add-on Firefox berbahaya yang dikonfigurasi untuk mencuri data browser Gmail dan Firefox dan kemudian mengunduh malware pada sistem yang terinfeksi.

Serangan tersebut, yang ditemukan oleh perusahaan keamanan siber Proofpoint bulan ini, telah dikaitkan dengan grup yang dilacak perusahaan dengan nama kode TA413.

Proofpoint mengatakan para penyerang menargetkan organisasi Tibet dengan email spear-phishing yang memikat anggotanya di situs web tempat mereka akan diminta memasang pembaruan Flash untuk melihat konten situs.

Situs web ini berisi kode yang memisahkan pengguna. Hanya pengguna Firefox dengan sesi Gmail aktif yang diminta untuk menginstal add-on berbahaya tersebut.

Tim Proofpoint mengatakan bahwa meskipun ekstensi itu bernama “Komponen pembaruan Flash”, itu sebenarnya adalah versi dari add-on “Gmail notifier (restartless)” yang sah, dengan kode berbahaya tambahan.

Proofpoint mengatakan ekstensi tersebut juga mengunduh dan menginstal malware ScanBox pada sistem yang terinfeksi.

Kerangka kerja pengintaian berbasis PHP dan JavaScript, malware ini adalah alat lama yang terlihat pada serangan sebelumnya yang dilakukan oleh kelompok spionase siber Cina.

Dalam kampanye khusus ini, yang diberi nama kode FriarFox oleh Proofpoint, serangan dimulai pada Januari 2021 dan berlanjut sepanjang Februari.

Sumber: ZDNet

Peretas LazyScripter menargetkan maskapai penerbangan dengan trojan akses jarak jauh

by

Peneliti keamanan yang menganalisis beberapa set email berbahaya yakin mereka menemukan aktivitas milik aktor yang sebelumnya tidak dikenal yang sesuai dengan deskripsi Advanced Persistent Ancaman (APT).

Aktor tersebut menerima nama LazyScripter dan telah aktif sejak 2018, menggunakan phishing untuk menargetkan individu yang mencari imigrasi ke Kanada untuk mendapatkan pekerjaan, maskapai penerbangan, dan Asosiasi Transportasi Udara Internasional (IATA).

Infrastruktur yang mendukung kampanye jangka panjang ini masih aktif dan pelaku terus berkembang dengan memperbaharui perangkatnya.

Aktivitas terbaru LazyScripter melibatkan penggunaan malware Octopus dan Koadic yang tersedia secara gratis. Keduanya dikirim melalui dokumen berbahaya dan arsip ZIP yang berisi objek yang disematkan (VBScript atau file batch) dan bukan kode makro yang biasa terlihat dalam serangan phishing.

Dengan menggunakan alat pasca-eksploitasi open-source dan malware yang banyak digunakan dalam aktivitas peretasan oleh banyak aktor, LazyScripter meninggalkan sedikit petunjuk tentang atribusi.

Namun, Malwarebytes mencatat bahwa penelitian publik hanya menunjukkan dua aktor ancaman yang telah menggunakan alat pengujian penetrasi Koadic dalam kampanye mereka: MuddyWater yang terkait dengan Iran dan APT28 Rusia (Fancy Bear / Sofacy / Strontium / Sednit).

Perusahaan tersebut mengatakan bahwa mereka tidak menemukan koneksi dengan APT28 tetapi melihat kemiripan dengan MuddyWater di mana kampanye mereka sebelumnya menggunakan Koadic dan PowerShell Empire, dan mengandalkan GitHub untuk menghosting perangkat jahat mereka.

selengkapnya : BleepingComputer