Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Lookout Menemukan ‘BouldSpy’, Android Spyware Terkait dengan Polisi Iran yang Menargetkan Minoritas

by

Para peneliti di Lookout Threat Lab telah menemukan alat pengawasan Android baru yang penulis kaitkan dengan keyakinan sedang kepada Komando Penegakan Hukum Republik Islam Iran (FARAJA).

Spyware BouldSpy untuk kelas “BoulderApplication” yang mengonfigurasi perintah dan kontrol alat (C2), telah dilacak sejak Maret 2020. Mulai tahun 2023, malware tersebut telah menarik perhatian peneliti keamanan di Twitter dan oleh orang lain dalam ancaman tersebut.

Komunitas intelijen mencirikannya sebagai botnet Android dan ransomware. Sementara BouldSpy menyertakan kode ransomware, peneliti Lookout menilai bahwa itu tidak digunakan dan tidak berfungsi, tetapi dapat menunjukkan pengembangan yang sedang berlangsung atau upaya penyesatan dari pihak aktor.

Berdasarkan analisis kami terhadap data yang dieksfiltrasi dari server C2 untuk spyware, BouldSpy telah mengorbankan lebih dari 300 orang, termasuk kelompok minoritas seperti Kurdi Iran, Baluchis, Azeri, dan kemungkinan kelompok Kristen Armenia.

Bukti yang dikumpulkan menyiratkan bahwa spyware mungkin juga telah digunakan dalam upaya melawan dan memantau aktivitas perdagangan ilegal yang berkaitan dengan senjata, narkoba, dan alkohol.

Penulis meyakini bahwa FARAJA menggunakan akses fisik ke perangkat untuk menginstal BouldSpy guna memantau target lebih jauh saat dirilis.

Spyware ‘BouldSpy’ mewakili alat pengawasan lain yang memanfaatkan sifat pribadi perangkat seluler.

Beberapa aplikasi yang ditiru oleh BouldSpy termasuk CPU-Z, alat perbandingan CPU seluler, Konverter Mata Uang Pro, kalkulator bunga berbahasa Persia, dan aplikasi Fake Call.

Ikon aplikasi yang terkait dengan varian BouldSpy, dari kiri ke kanan: CPU-Z, Interest Calculator, Currency Converter Pro, Fake Call, Call Service, Psiphon
Ikon aplikasi yang terkait dengan varian BouldSpy, dari kiri ke kanan: CPU-Z, Interest Calculator, Currency Converter Pro, Fake Call, Call Service, Psiphon

Kemampuan penting dari BouldSpy adalah dapat merekam panggilan suara melalui beberapa aplikasi Voice over IP (VoIP) serta aplikasi ponsel Android standar, termasuk WhatsApp, Kakao, LINE, Telegram VoIP, Microsoft Office 365 VoIP functionality, Skype, Slack VoIP, WeChat, dan lainnya.

Selengkapnya: Lookout

Banyak Situs Salesforce Publik Membocorkan Data Pribadi

by

Salesforce Community adalah produk perangkat lunak berbasis cloud yang banyak digunakan yang memudahkan organisasi membuat situs web dengan cepat. Pelanggan dapat mengakses situs web Komunitas Salesforce dengan dua cara: Akses terotentikasi (memerlukan login), dan akses pengguna tamu (tidak perlu login). Fitur akses tamu memungkinkan pengguna yang tidak diautentikasi untuk melihat konten dan sumber daya tertentu tanpa perlu masuk.

Namun, terkadang administrator Salesforce secara keliru memberikan akses kepada pengguna tamu ke sumber daya internal, yang dapat menyebabkan pengguna yang tidak sah mengakses informasi pribadi organisasi dan menyebabkan potensi kebocoran data.

Hingga dihubungi oleh reporter ini pada hari Senin, negara bagian Vermont memiliki setidaknya lima situs Komunitas Salesforce terpisah yang memungkinkan akses tamu ke data sensitif, termasuk program Bantuan Pengangguran Pandemi yang mengungkap nama lengkap pemohon, nomor Jaminan Sosial, alamat, nomor telepon , email, dan nomor rekening bank.

Data itu kemudian dijual di forum kejahatan dunia maya teratas. Associated Press melaporkan bahwa pelanggaran DC Health Link juga merupakan hasil dari kesalahan manusia, dan mengatakan penyelidikan mengungkapkan penyebabnya adalah server DC Health Link yang “salah dikonfigurasi untuk mengizinkan akses ke laporan di server tanpa otentikasi yang tepat.”

Salesforce mengatakan paparan data bukanlah hasil dari kerentanan yang melekat pada platform Salesforce, tetapi hal itu dapat terjadi ketika izin kontrol akses pelanggan salah dikonfigurasi.

selengkapnya : krebsonsecurity

Magecart threat actor rolls out convincing modal forms

by

Untuk menjerat korban baru, penjahat sering kali merancang skema yang berusaha terlihat serealistis mungkin. Karena itu, tidak setiap hari kita melihat salinan palsu melebihi karya aslinya.

Saat menindaklanjuti kampanye skimmer kartu kredit Magecart yang sedang berlangsung, kami hampir tertipu oleh formulir pembayaran yang terlihat sangat bagus sehingga kami pikir itu asli. Pelaku ancaman menggunakan logo asli dari toko yang disusupi dan menyesuaikan elemen web yang dikenal sebagai modal untuk membajak halaman checkout dengan sempurna.

Meskipun teknik memasukkan bingkai atau lapisan bukanlah hal baru, hal yang luar biasa di sini adalah skimmer terlihat lebih asli daripada halaman pembayaran asli. Kami dapat mengamati beberapa situs yang lebih disusupi dengan pola yang sama menggunakan modal yang dibuat khusus dan curang.

Skimmer dan kampanye terkait ini merupakan salah satu serangan Magecart paling aktif yang telah kami lacak dalam beberapa bulan terakhir.

selengkapnya : malwarebytes.com

Malware Android ini dapat merekam panggilan Anda, membajak ponsel Anda — periksa 3 aplikasi ini

by

Ancaman malware Android baru tampaknya muncul setiap minggu, jika tidak lebih sering, tetapi beberapa lebih menakutkan daripada yang lain.

Momok terbaru untuk OS seluler Google terungkap dalam sebuah laporan oleh perusahaan keamanan siber CloudSEK, dan memiliki potensi penjahat film horor karena tahan terhadap aplikasi antivirus. Itu dapat merekam panggilan Anda, mencuri data di ponsel Anda sebelum mengenkripsinya, dan akhirnya, itu dapat mengunci Anda dari ponsel Anda (melalui Tom’s Guide).

Alasan mengapa Daam sangat berbahaya, untuk tetap menggunakan metafora film horor kami, adalah karena, seperti vampir, ia hanya perlu diundang – dan kemudian akan menguras Anda untuk semua nilai Anda. Cara menyelinap ke ponsel Anda ada di dalam aplikasi yang di-sideload.

Ini adalah aplikasi yang telah Anda unduh dari sumber apa pun selain Google Play Store. Terkadang, aplikasi antivirus akan mendeteksi malware yang masuk ke ponsel Anda dengan cara ini, tetapi sayangnya, tidak demikian halnya dengan Daam.

Dan setelah aplikasi yang terinfeksi diinstal, Daam memiliki daftar kemampuan cucian yang semuanya berarti bencana bagi Anda dan ponsel Anda. Berikut ini ikhtisar singkat tentang kemampuan malware:

  • Rekam setiap panggilan masuk atau keluar, bahkan dari aplikasi pihak ke-3 seperti WhatsApp.
  • Curi file Anda, termasuk media dan kontak.
  • Enkripsi file Anda sehingga Anda tidak dapat mengaksesnya.
  • Ubah kata sandi atau PIN perangkat Anda untuk mengunci Anda dari ponsel.

Selengkapnya: Laptop Mag

Laporan ancaman malware mengungkapkan risiko pada Mac dibandingkan dengan Windows dan Linux

by

Sepanjang tahun ini kami telah melihat beberapa laporan tentang malware yang memengaruhi Mac. Sekarang Elastic Security Labs telah merilis Laporan Ancaman Global musim semi 2023. Ini menawarkan gambaran besar tentang keadaan malware termasuk seberapa sering malware itu memengaruhi Mac vs Windows dan Linux, malware yang paling umum secara keseluruhan, malware yang paling umum di Mac, dan banyak lagi.

Melihat ke seluruh Windows, Linux, dan Mac, penelitian terbaru Elastic menemukan bahwa Trojan adalah jenis malware paling umum yang mencapai lebih dari 75% dari total. Cryptominers dan ransomware adalah dua kategori umum berikutnya.

Mengenai distribusi malware yang ditemukan, sekitar 54% dari semua kejadian ditemukan di titik akhir Linux, dengan ~39% terjadi di sistem Windows.

Hanya 6% dari deteksi malware yang ditemukan di Mac.

Sementara Malwarebytes awal tahun ini membagikan laporan yang menunjukkan adware sebagai jenis malware yang paling umum di Mac, Elastic mengatakan bahwa mereka menemukan cryptominers sebagai malware dominan di Mac dengan taburan Rootkit yang muncul di awal tahun 2023.

9to5mac

Klon Android Minecraft dengan unduhan 35 juta menginfeksi pengguna dengan adware

by

Satu set 38 game peniru Minecraft di Google Play perangkat yang terinfeksi dengan adware Android ‘HiddenAds’ untuk secara diam-diam memuat iklan di latar belakang untuk menghasilkan pendapatan bagi operator.

Minecraft adalah game sandbox populer dengan 140 juta pemain aktif bulanan, yang telah dicoba untuk dibuat ulang oleh banyak penerbit game.

Game mirip Minecraft yang menyembunyikan adware diunduh oleh sekitar 35 juta pengguna Android di seluruh dunia, terutama dari Amerika Serikat, Kanada, Korea Selatan, dan Brasil.

Peta korban HiddenAds (McAfee)

Para pengguna tersebut tidak memperhatikan aktivitas adware jahat yang dilakukan di latar belakang, karena mereka dapat memainkan game seperti yang dijanjikan. Selain itu, kemungkinan kepanasan, peningkatan data jaringan, atau konsumsi baterai yang disebabkan oleh memuat banyak iklan dapat dianggap disebabkan oleh game.

Kumpulan adware ditemukan oleh Tim Riset Seluler McAfee, anggota Aliansi Pertahanan Aplikasi yang dibuat untuk melindungi Google Play dari semua jenis ancaman.

Meskipun aplikasi adware tidak dianggap berbahaya bagi pengguna, aplikasi ini dapat mengurangi kinerja perangkat seluler, meningkatkan masalah privasi, dan bahkan berpotensi membuat celah keamanan yang dapat membuat pengguna terkena infeksi yang lebih buruk.

Pengguna Android harus memeriksa laporan McAfee untuk daftar lengkap aplikasi yang terpengaruh dan menghapusnya secara manual jika belum dihapus.

selengkapnya : bleepingcomputer.com

Peretas Cina menggunakan varian malware Linux baru untuk spionase

by

Peretas menyebarkan varian malware Linux baru dalam serangan cyberespionage, seperti varian PingPull baru dan backdoor yang sebelumnya tidak berdokumen yang dilacak sebagai ‘Sword2033.’

PingPull adalah RAT (trojan akses jarak jauh) yang pertama kali didokumentasikan oleh Unit 42 musim panas lalu dalam serangan spionase yang dilakukan oleh grup Gallium yang disponsori negara China, juga dikenal sebagai Alloy Taurus. Serangan tersebut menargetkan pemerintah dan organisasi keuangan di Australia, Rusia, Belgia, Malaysia, Vietnam, dan Filipina.

Unit 42 terus memantau kampanye spionase ini dan hari ini melaporkan bahwa pelaku ancaman China menggunakan varian malware baru terhadap target di Afrika Selatan dan Nepal.

Unit 42 juga menemukan pintu belakang ELF baru yang berkomunikasi dengan server perintah dan kontrol yang sama (C2) dengan PingPull.

Ini adalah alat yang lebih sederhana dengan fungsi yang lebih mendasar seperti mengunggah file pada sistem yang dilanggar, mengekstraksi file, dan menjalankan perintah dengan “; echo \n” ditambahkan padanya.

Perintah gema menambahkan data acak pada log eksekusi, mungkin untuk membuat analisis lebih menantang atau mengaburkan aktivitasnya.

Unit 42 menemukan sampel Sword2023 kedua yang terkait dengan alamat C2 berbeda yang menyamar sebagai militer Afrika Selatan.

Sampel yang sama ditautkan ke alamat Soft Ether VPN, produk yang diketahui digunakan oleh Gallium dalam operasinya.

Peta C2 Gallium berdasarkan komunikasi malware (Unit 42)

Sebagai kesimpulan, Gallium terus menyempurnakan persenjataannya dan memperluas jangkauan targetnya menggunakan varian Linux baru dari PingPull dan backdoor Sword2023 yang baru ditemukan.

Organisasi harus mengadopsi strategi keamanan yang komprehensif untuk melawan ancaman canggih ini secara efektif daripada hanya mengandalkan metode deteksi statis.

selengkapnya : bleepingcomputer

Peretas Botnet Mirai Menargetkan Kerentanan Zero-day Router TP-Link

by

Peretas menggunakan kerentanan zero-day baru untuk menyerang garis router TP-Link yang berbasis terutama di Eropa Timur dan menambahkannya ke botnet Mirai.

Kerentanan CVE-2023-1389 yang ditemukan Desember lalu di acara Pwn2Own Toronto ini memengaruhi TP-Link Archer AX21, router populer yanuntuk sebagian besar konsumen dengan harga di bawah $90.

Ini membuka pintu bagi malware Mirai, yang mengkompromikan berbagai perangkat dan menambahkannya ke botnet, jaringan komputer yang terinfeksi yang dapat digunakan untuk melumpuhkan situs web dan layanan lain secara offline.

Produsen router tersebut telah lama menjadi target peretas Mirai, yang sering menggunakan kerentanan baru untuk mengeksploitasi perangkat dan menambahkannya ke botnet mereka.

Perusahaan berusaha menambal kerentanan pada bulan Maret, namun saat ini tim dari Trend Micro’s Zero Day Initiative (ZDI) telah menemukan bahwa upaya eksploitasi menggunakan CVE ini terdeteksi di alam liar.

Salah satu fitur khusus adalah fungsionalitas yang memungkinkan perangkat digunakan dalam serangan denial-of-service (DDoS) terdistribusi terhadap server game. Serangan tersebut membanjiri situs web yang ditargetkan dengan lalu lintas sampah, membuatnya tidak dapat dijangkau.

Peretas juga menggunakan fitur lain untuk membuat lalu lintas dari perangkat terlihat sah, membuatnya lebih sulit untuk mengidentifikasi lalu lintas DDoS. Namun yang paling mengkhawatirkan para peneliti ZDI adalah seberapa cepat kerentanan ditambahkan ke perangkat peretas.

Selengkapnya: The Record