Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Malware BLISTER menyelinap masuk tanpa diketahui di sistem Windows

by

Peneliti keamanan telah menemukan kampanye jahat yang mengandalkan sertifikat penandatanganan kode yang valid untuk menyamarkan kode berbahaya sebagai file executable yang sah.

Salah satu muatan yang oleh para peneliti disebut Blister, bertindak sebagai pemuat malware lain dan tampaknya menjadi ancaman baru yang menikmati tingkat deteksi rendah.

Pelaku ancaman di balik Blister telah mengandalkan beberapa teknik untuk menjaga serangan mereka di bawah radar, penggunaan sertifikat penandatanganan kode hanya salah satu trik mereka.

Dalam posting blog minggu ini, Elastic mengatakan bahwa mereka secara bertanggung jawab melaporkan sertifikat yang disalahgunakan ke Sectigo sehingga dapat dicabut.

Para peneliti mengatakan bahwa pelaku ancaman mengandalkan berbagai teknik untuk menjaga agar serangan tidak terdeteksi. Salah satu metodenya adalah menyematkan malware Blister ke pustaka yang sah (mis. colorui.dll).

Malware kemudian dieksekusi dengan hak istimewa melalui perintah rundll32. Ditandatangani dengan sertifikat yang valid dan digunakan dengan hak administrator membuat Blister lolos dari solusi keamanan.

Pada langkah berikutnya, Blister memecahkan kode dari kode bootstrap bagian sumber daya yang “sangat dikaburkan,” kata peneliti Elastic. Selama sepuluh menit, kode tetap tidak aktif, kemungkinan dalam upaya untuk menghindari analisis sandbox.

Kemudian beraksi dengan mendekripsi muatan tertanam yang menyediakan akses jarak jauh dan memungkinkan gerakan lateral: Cobalt Strike dan BitRAT – keduanya telah digunakan oleh beberapa pelaku ancaman di masa lalu.

Selengkapnya: Bleeping Computer

Kampanye Spyware Massal ‘PseudoManuscrypt’ Menargetkan 35K Sistem

by

Para peneliti telah melacak spyware baru – dijuluki “PseudoManuscrypt” karena mirip dengan malware “Manuscrypt” dari kelompok ancaman persisten lanjutan (APT) Lazarus – yang mencoba mencoret-coret dirinya sendiri di lebih dari 35.000 komputer yang ditargetkan di 195 negara.

Peneliti Kaspersky mengatakan dalam laporan Kamis bahwa dari 20 Januari hingga 10 November, aktor di balik kampanye besar-besaran menargetkan organisasi pemerintah dan sistem kontrol industri (ICS) di berbagai industri, termasuk teknik, otomatisasi bangunan, energi, manufaktur, konstruksi, utilitas dan pengelolaan air.

Manuscrypt, alias NukeSped, adalah keluarga alat malware yang telah digunakan dalam kampanye spionase di masa lalu. Salah satunya adalah kampanye spear-phishing Februari yang terkait dengan Lazarus – APT Korea Utara yang produktif – yang menggunakan kluster alat ‘ThreatNeedle’ keluarga malware Manuscrypt untuk menyerang perusahaan pertahanan.

Tim ICS-CERT Kasperskiy pertama kali mendeteksi rangkaian serangan PseudoManuscrypt pada bulan Juni, ketika malware memicu deteksi antivirus yang dirancang untuk mendeteksi aktivitas Lazarus. Namun, gambaran lengkapnya tidak mengarah ke Lazarus, mengingat cipratan puluhan ribu serangan yang tidak biasa dan tidak bertarget.

Namun, Kaspersky kemudian menemukan kesamaan antara PseudoManuscrypt baru dan malware Manuscrypt Lazarus.

Malware PseudoManuscrypt memuat muatannya dari registri sistem dan mendekripsinya, para peneliti menjelaskan, dengan muatan menggunakan lokasi registri yang unik untuk setiap sistem yang terinfeksi.

“Kedua program jahat memuat muatan dari registri sistem dan mendekripsinya; dalam kedua kasus, nilai khusus dalam format CLSID digunakan untuk menentukan lokasi muatan di registri,” kata mereka. “File yang dapat dieksekusi dari kedua program jahat memiliki tabel ekspor yang hampir identik.”

Selengkapnya: Threat Post

Emotet mulai menjatuhkan Cobalt Strike lagi untuk serangan yang lebih cepat

by

Tepat pada waktunya untuk liburan, malware Emotet yang terkenal sekali lagi secara langsung memasang beacon Cobalt Strike untuk serangan siber yang cepat.

Bagi mereka yang tidak akrab dengan Emotet, Emotet dianggap sebagai salah satu infeksi malware paling luas dan didistribusikan melalui email phishing yang menyertakan lampiran berbahaya.

Secara historis, setelah perangkat terinfeksi, Emotet akan mencuri email korban untuk digunakan dalam kampanye mendatang dan kemudian menjatuhkan muatan malware, seperti TrickBot dan Qbot.

Namun, awal bulan ini, Emotet mulai menguji pemasangan beacon Cobalt Strike pada perangkat yang terinfeksi alih-alih muatan reguler mereka.

Cobalt Strike adalah alat pentesting sah yang biasanya digunakan oleh pelaku ancaman untuk menyebar secara lateral melalui organisasi dan akhirnya menyebarkan ransomware di jaringan.

Joseph Roosen dari grup Cryptolaemus Emotet mengatakan kepada BleepingComputer bahwa Emotet sekarang mengunduh modul Cobalt Strike langsung dari server perintah dan kontrolnya dan kemudian menjalankannya di perangkat yang terinfeksi.

Dengan beacon Cobalt Strike yang dipasang langsung oleh Emotet, pelaku ancaman yang menggunakannya untuk menyebar secara lateral melalui jaringan, mencuri file, dan menyebarkan malware akan memiliki akses langsung ke jaringan yang disusupi.

Akses ini akan mempercepat proses serangan, dan dengan itu tepat sebelum liburan, Emotet dapat menyebabkan banyak pelanggaran karena perusahaan sekarang memiliki staf yang terbatas untuk memantau dan menanggapi serangan.

Selengkapnya: Bleeping Computer

Malware pencuri informasi TinyNuke kembali menyerang pengguna Prancis

by

Malware pencuri informasi TinyNuke telah muncul kembali dalam kampanye baru yang menargetkan pengguna Prancis dengan umpan bertema faktur dalam email yang dikirim ke alamat perusahaan dan individu yang bekerja di bidang manufaktur, teknologi, konstruksi, dan layanan bisnis.

Tujuan dari kampanye ini adalah untuk mencuri kredensial dan informasi pribadi lainnya dan menginstal muatan tambahan ke sistem yang disusupi.

Menurut peneliti di Proofpoint yang telah mengikuti kampanye ini, kemunculan kembali ini bermanifestasi melalui dua rangkaian aktivitas yang berbeda, dengan infrastruktur C2 terpisah, muatan, dan tema iming-iming.

Ini juga dapat menunjukkan bahwa malware digunakan oleh dua aktor berbeda, satu terkait dengan aktor TinyNuke awal dan satu terkait dengan aktor yang biasanya menggunakan alat komoditas.

Aktor tersebut mengkompromikan situs web Prancis yang sah untuk meng-host URL payload, sementara yang dapat dieksekusi disamarkan sebagai perangkat lunak yang tidak berbahaya.

Dalam hal kemampuan, payload TinyNuke dapat mencuri kredensial dengan kemampuan mengambil formulir dan kemampuan web-inject untuk Firefox, Internet Explorer, dan Chrome, dan juga dapat memasang muatan tambahan.

Sangat penting untuk tetap waspada dan menghindari mengklik tombol tersemat yang mengarah ke situs yang menghosting executable terkompresi berbahaya.

Karena situs-situs ini dinyatakan sah, solusi keamanan Internet Anda mungkin tidak menimbulkan tanda apa pun, jadi disarankan untuk sangat berhati-hati.

Selengkapnya: Bleeping Computer

Kampanye phishing menggunakan macro PowerPoint untuk menjatuhkan Agent Tesla

by

Varian baru dari malware Agent Tesla telah terlihat dalam kampanye phishing yang sedang berlangsung yang mengandalkan dokumen Microsoft PowerPoint yang dicampur dengan kode macro berbahaya.

Agent Tesla adalah pencuri informasi berbasis .Net yang telah beredar di internet selama bertahun-tahun tetapi tetap menjadi ancaman di tangan pelaku phishing.

Dalam kampanye terbaru, peneliti di Fortinet menjelaskan bahwa pelaku ancaman menargetkan pengguna Korea dengan email yang diduga berisi detail “pesanan”.

Karena lampiran adalah file PowerPoint, kemungkinan meyakinkan penerima bahwa mereka perlu “mengaktifkan konten” di Microsoft Office untuk melihatnya dengan benar meningkat.

Agent Tesla memiliki keylogger, cookie browser dan pencuri kredensial yang disimpan, sniffer data Clipboard, dan bahkan alat tangkapan layar.

Penyerang dapat memilih fitur mana yang akan diaktifkan selama kompilasi payload, sehingga memilih antara keseimbangan kekuatan dan siluman.

Secara total, Agent Tesla dapat mengambil data dari lebih dari 70 aplikasi, dengan yang paling populer tercantum di bawah ini.

Chromium-based Web Browsers:

Epic Privacy, Uran, Chedot, Comodo Dragon, Chromium, Orbitum, Cool Novo, Sputnik, Coowon, Brave, Liebao Browser, Elements Browser, Sleipnir 6, Vivaldi, 360 Browser, Torch Browser, Yandex Browser, QIP Surf, Amigo, Kometa, Citrio, Opera Browser, CentBrowser, 7Star, Coccoc, and Iridium Browser

Web Browsers:

Chrome, Microsoft Edge, Firefox, Safari, IceCat, Waterfox, Tencent QQBrowser, Flock Browser, SeaMonkey, IceDragon, Falkon, UCBrowser, Cyberfox, K-Meleon, PaleMoon

VPN clients:

OpenVPN, NordVPN, RealVNC, TightVNC, UltraVNC, Private Internet Access VPN

Dan masih banyak lagi. Lalu bagaimana cara melindungi diri dari Agent Tesla?
Pertahankan perisai keamanan Internet Anda, perbarui perangkat lunak Anda, Nonaktifkan macro Microsoft Office Anda, dan kendalikan rasa ingin tahu Anda.

Selengkapnya: Bleeping Computer

Penipuan Android berbahaya menguras rekening bank Anda dengan satu panggilan telepon

by

Pemilik perangkat Android sekarang memiliki penipuan lain yang harus diwaspadai karena kampanye malware berbahaya menyebar ke wilayah baru.

Pakar keamanan siber dari Cleafy mengatakan bahwa mereka telah melihat lonjakan infeksi trojan akses jarak jauh (RAT) Android selama setahun terakhir.

Menurut Cleafy, BRATA – malware yang pertama kali ditemukan di Brasil – telah menyebar ke Italia. Peretas menggunakan trojan untuk mencuri detail perbankan dari pengguna Android dan kemudian menguras rekening bank mereka.

Seperti yang dijelaskan oleh pakar keamanan siber, versi baru malware BRATA ini sulit dideteksi.

Pertama, pelaku ancaman mengirim pesan teks SMS berisi tautan ke situs web. Teks tersebut tampaknya berasal dari bank. Ini adalah taktik yang dikenal sebagai smishing (phishing dengan SMS). Jika korban mengklik tautan tersebut, situs yang mereka kunjungi akan meminta mereka untuk mengunduh aplikasi anti-spam. Situs tersebut juga memberi tahu korban bahwa operator bank akan segera menghubungi mereka untuk membahas aplikasi yang mereka unduh.

Di sinilah BRATA berdiri terpisah dari kampanye malware Android umum lainnya.

Setelah Anda mengunjungi situs dan menawarkan informasi Anda, Anda akan menerima telepon dari operator penipuan. Orang sungguhan kemudian akan mencoba mempengaruhi Anda untuk mengunduh aplikasi berbahaya. Mereka akan menggunakan berbagai teknik rekayasa sosial untuk meyakinkan Anda bahwa mereka bekerja dengan bank. Jika Anda jatuh cinta, Anda mungkin akan menginstal aplikasi yang dapat digunakan peretas untuk mengontrol ponsel Anda.

Selengkapnya: BGR

Microsoft merebut kendali situs web yang digunakan oleh peretas yang didukung China

by Leave a Comment

Microsoft telah menguasai sejumlah situs web yang digunakan oleh kelompok peretas yang didukung pemerintah China untuk menargetkan organisasi di 29 negara, termasuk AS.

Unit Kejahatan Digital Microsoft (DCI) mengatakan pada hari Senin bahwa pengadilan federal di Virginia telah memberikan perintah yang memungkinkan perusahaan untuk mengendalikan situs web dan mengarahkan lalu lintas ke server Microsoft.

Situs web jahat ini digunakan oleh kelompok peretas yang disponsori negara yang dikenal sebagai Nickel, atau APT15, untuk mengumpulkan intelijen dari lembaga pemerintah, lembaga think tank, dan organisasi hak asasi manusia, menurut perusahaan tersebut.

Microsoft tidak menyebutkan target Nickel, tetapi mengatakan kelompok itu menargetkan organisasi di AS dan 28 negara lainnya. Ia menambahkan bahwa “sering ada korelasi antara target Nickel dan kepentingan geopolitik China.”

Selain AS, Nikel juga menargetkan organisasi di Argentina, Barbados, Bosnia dan Herzegovina, Brasil, Bulgaria, Chili, Kolombia, Kroasia, Republik Ceko, Republik Dominika, Ekuador, El Salvador, Prancis, Guatemala, Honduras, Hongaria, Italia, Jamaika, Mali, Meksiko, Montenegro, Panama, Peru, Portugal, Swiss, Trinidad dan Tobago, Inggris dan Venezuela.

Microsoft, yang telah melacak Nickel sejak 2016 dan sebelumnya menggambarkannya sebagai salah satu kelompok peretasan “paling aktif” yang menargetkan lembaga pemerintah, mengatakan pihaknya mengamati serangan “sangat canggih” yang memasang malware yang sulit dideteksi yang memiliki kemampuan intrusi, pengawasan, dan pencurian data.

Selengkapnya: Tech Crunch

KMSPico Windows Activator Berbahaya Mencuri Dompet Cryptocurrency Pengguna

by

Pengguna yang ingin mengaktifkan Windows tanpa menggunakan lisensi digital atau product key sedang ditargetkan oleh installer berbahaya untuk menyebarkan malware yang dirancang untuk mencuri kredensial dan informasi lainnya di dompet cryptocurrency.

Malware, yang dijuluki sebagai “CryptBot,” adalah pencuri informasi yang mampu memperoleh kredensial untuk browser, dompet cryptocurrency, cookie browser, kartu kredit, dan menangkap tangkapan layar dari sistem yang terinfeksi. Disebarkan melalui software bajakan, serangan terbaru melibatkan malware yang menyamar sebagai KMSPico.

KMSPico adalah alat tidak resmi yang digunakan untuk mengaktifkan fitur lengkap salinan perangkat lunak bajakan seperti Microsoft Windows dan Office suite tanpa benar-benar memiliki kunci lisensi.

“Pengguna terinfeksi dengan mengklik salah satu tautan berbahaya dan mengunduh KMSPico, Cryptbot, atau malware lain tanpa KMSPico,” kata peneliti Red Canary Tony Lambert dalam laporan yang diterbitkan minggu lalu. “Penyerang akan menginstal KMSPico juga, karena itulah yang diharapkan korban terjadi, sambil secara bersamaan menyebarkan Cryptbot di belakang layar.”

Perusahaan keamanan siber Amerika mengatakan juga mengamati beberapa departemen TI menggunakan perangkat lunak tidak sah alih-alih lisensi Microsoft yang valid untuk mengaktifkan sistem, ditambah installer KMSpico yang diubah didistribusikan melalui sejumlah situs web yang mengklaim menawarkan versi “resmi” dari aktivator.

Selengkapnya: The Hacker News