Malware

Malware Wslink Bekerja dalam Bayangan untuk Mengirimkan Muatan Lainnya

November 6, 2021 by Søren

Malware yang dikembangkan dengan baik biasanya merupakan produk dari pelaku ancaman yang dikenal yang aktivitasnya dilacak dengan cermat oleh peneliti malware. Namun, ada beberapa proyek yang kode, perilaku, dan infrastrukturnya tidak dapat dikaitkan dengan kelompok kejahatan dunia maya yang ada.

Salah satu implan ini adalah Malware Wslink, yang ditemukan pada Oktober 2021. Ancaman tersebut berjalan pada sistem Windows secara eksklusif, dan tampaknya berfungsi sebagai pemuat untuk muatan sekunder. Mayoritas serangan Malware Wslink terkonsentrasi di Eropa Tengah, Timur Tengah, dan Amerika Utara. Penjahat tampaknya mengejar entitas yang beroperasi di industri yang berbeda, dan tidak ada data pasti tentang vektor infeksi yang mereka gunakan untuk menyebarkan Malware Wslink.

Sampel aktif dari Malware Wslink biasanya mencapai pijakan melalui penggunaan layanan Windows yang dibuat khusus. Semua ini dikonfigurasi untuk memulai secara otomatis ketika Windows boot. Perilaku dan koneksi implan sangat dienkripsi, dalam upaya untuk menyembunyikannya dari analis riset dan alat antivirus.

Setelah muatan Malware Wslink didekripsi, muatan tersebut dimuat ke dalam memori komputer, meminimalkan jejak digital yang ditinggalkannya di hard drive. Hal ini membuat perilaku implan lebih menantang untuk dianalisis, dan memiliki manfaat tambahan untuk membantunya menghindari aplikasi anti-malware yang tidak terlalu teliti dengan pemindaiannya.

Sejauh ini tidak ada informasi tentang modul sekunder yang diterima dan dijalankan oleh Malware Wslink. Namun, dilihat dari kemampuannya untuk secara langsung memuatnya ke dalam memori sistem, kemungkinan operatornya berencana untuk menggunakannya dalam kombinasi dengan implan profil tinggi lainnya.

Kabar baiknya adalah bahwa meskipun enkripsi canggih dan teknik penghindaran AV Wslink Malware, masih mudah untuk melindungi diri Anda dari itu dengan menggunakan perangkat lunak antivirus terbaru.

Selengkapnya: Cyclonis

Menerima Email Berisi Link Google Drive Misterius? Jangan Dibuka!

November 5, 2021 by Eevee Leave a Comment

Kampanye phishing baru mencari korban dengan mengirim supplier list palsu berisi ransomware MirCop yang meminta tebusan. Dapat mengenkripsi sistem target dalam waktu kurang dari lima belas menit.

Gambar Supplier List yang Diburamkan (sumber: bleeping computer)

Para pelaku memulai serangan dengan mengirimkan email yang tidak diminta korban. Email berisi gambar yang diburamkan dan link Google Drive yang dapat di klik.

Badan email berisi hyperlink ke URL Google Drive yang jika diklik akan mengunduh file MHT (arsip halaman web) ke perangkat korban.

Google Drive digunakan untuk memberikan legitimasi ke email dan sangat selaras dengan praktik pekerja sehari-hari.

Mereka yang membuka file tersebut hanya dapat melihat gambar buram dari apa yang seharusnya merupakan daftar pemasok, dicap dan ditandatangani untuk sentuhan legitimasi ekstra.

Ketika file MHT dibuka, itu akan mengunduh arsip RAR yang berisi pengunduh malware .NET dari “hXXps://a[.]pomf[.]cat/gectpe.rar”.

Arsip RAR berisi file EXE, yang menggunakan skrip VBS untuk menjatuhkan dan menjalankan muatan MirCop ke sistem yang terinfeksi.

Ransomware langsung aktif dan mulai mengambil tangkapan layar, mengunci file, mengubah latar belakang menjadi gambar bertema zombie yang mengerikan, dan menawarkan petunjuk kepada korban tentang apa yang harus dilakukan selanjutnya.

Menurut Cofense, seluruh proses ini memakan waktu kurang dari 15 menit sejak korban membuka email phishing.

Setelah itu, pengguna hanya diperbolehkan membuka browser web tertentu untuk berkomunikasi dengan pelaku dan mengatur pembayaran uang tebusan.

Para pelaku tidak tertarik untuk menyelinap ke dalam mesin korban secara sembunyi-sembunyi atau tinggal lama di sana untuk melakukan spionase dunia maya atau mencuri file untuk pemerasan.

Sebaliknya, serangan itu terjadi dengan cepat, dan sumber masalah menjadi jelas bagi korbannya

MicroCop adalah jenis ransomware lama yang digunakan untuk memberikan tuntutan tebusan yang tidak masuk akal kepada para korbannya.

Namun Michael Gillespie berhasil memecahkan enkripsinya dan merilis decryptor yang berfungsi secara gratis.

Bleeping Computer belum menguji apakah dekripsi lama itu berfungsi dengan muatan yang dijatuhkan di kampanye terbaru, tetapi ada kemungkinan bahwa itu masih dapat membuka kunci file.

Cofense mengatakan varian yang sama telah beredar sejak Juni tahun ini, jadi MicroCop masih ada di luar sana, dan orang harus berhati-hati dalam menangani email yang tidak diminta.

sumber: BLEEPING COMPUTER

Google Chrome Disalahgunakan untuk Mengirimkan Malware sebagai Aplikasi Win 10 ‘Legit’

October 30, 2021 by Søren

Muncul kampanye malware baru yang dikirimkan melalui situs web yang disusupi di browser Chrome dapat melewati Kontrol Akun Pengguna untuk menginfeksi sistem dan mencuri data sensitif, seperti kredensial dan mata uang kripto.

Peneliti dari Rapid7 baru-baru ini mengidentifikasi kampanye dan memperingatkan bahwa tujuan penyerang adalah untuk mencuri data sensitif dancryptocurrency dari PC yang terinfeksi yang ditargetkan.

Andrew Iwamaye, analis riset Rapid7, mengatakan bahwa malware mempertahankan kegigihan pada PC “dengan menyalahgunakan variabel lingkungan Windows dan tugas terjadwal asli untuk memastikannya terus-menerus dijalankan dengan hak istimewa yang lebih tinggi.”

Iwamaye menulis dalam blog posting blog yang diterbitkan Kamis (28/10/2021), rantai serangan dimulai ketika pengguna browser Chrome mengunjungi situs web jahat dan “layanan iklan browser” meminta pengguna untuk mengambil tindakan. Pertanyaan tentang apa yang peneliti identifikasi sebagai “layanan iklan browser” belum dikembalikan pada tulisan ini.

Selengkapnya: Threat Post

Malware Android Baru Ini Dapat Mendapatkan Akses Root ke Smartphone Anda

October 30, 2021 by Søren

Pelaku ancaman tak dikenal telah dikaitkan dengan jenis malware Android baru yang memiliki kemampuan untuk me-root smartphone dan mengambil kendali penuh atas smartphone yang terinfeksi sekaligus mengambil langkah-langkah untuk menghindari deteksi.

Malware tersebut diberi nama “AbstractEmu” karena penggunaan abstraksi kode dan pemeriksaan anti-emulasi untuk menghindari berjalan saat sedang dianalisis. Khususnya, kampanye seluler global dirancang untuk menargetkan pengguna dan menginfeksi sebanyak mungkin perangkat tanpa pandang bulu.

Lookout Threat Labs menemukan total 19 aplikasi Android yang menyamar sebagai aplikasi utilitas dan alat sistem seperti pengelola kata sandi, pengelola uang, peluncur aplikasi, dan aplikasi penyimpanan data, tujuh di antaranya berisi fungsi rooting. Hanya satu aplikasi nakal, yang disebut Lite Launcher, yang masuk ke Google Play Store resmi, menarik total 10.000 unduhan sebelum dihapus.

Aplikasi tersebut dikatakan telah didistribusikan secara jelas melalui Appstore pihak ketiga seperti Amazon Appstore dan Samsung Galaxy Store, serta pasar yang kurang dikenal lainnya seperti Aptoide dan APKPure.

“Meskipun jarang, rooting malware sangat berbahaya. Dengan menggunakan proses rooting untuk mendapatkan akses istimewa ke sistem operasi Android, pelaku ancaman dapat secara diam-diam memberikan izin berbahaya kepada diri mereka sendiri atau menginstal malware tambahan — langkah yang biasanya memerlukan interaksi pengguna,” peneliti Lookout dikatakan.

“Hak istimewa yang lebih tinggi juga memberi malware akses ke data sensitif aplikasi lain, sesuatu yang tidak mungkin dilakukan dalam keadaan normal.”

Selengkapnya: The Hacker News

Discord Menjadi Jembatan Besar Penyebaran Malware

October 27, 2021 by Eevee

Fitur Utama dan Content Delivery Network Discord digunakan untuk mengirim file berbahaya—termasuk RAT—ke seluruh jaringannya yang terdiri dari 150 juta pengguna, yang membahayakan perusahaan.

Threat actors menyalahgunakan fitur inti dari platform komunikasi digital Discord yang populer untuk terus-menerus mengirimkan berbagai jenis malware—khususnya trojan akses jarak jauh (RAT) yang dapat mengambil alih sistem—menempatkan 150 juta penggunanya dalam risiko, menurut RiskIQ dan CheckPoint.

Keduanya menemukan malware multi-fungsi yang dikirim dalam pesan di seluruh platform, yang memungkinkan pengguna untuk mengatur server Discord ke dalam saluran berbasis topik di mana mereka dapat berbagi file teks, gambar atau suara atau executable lainnya. File-file itu kemudian disimpan di server Jaringan Pengiriman Konten (CDN) Discord.

Para peneliti memperingatkan, “banyak file yang dikirim melalui platform Discord berbahaya, menunjukkan sejumlah besar penyalahgunaan CDN yang di-hosting sendiri oleh aktor dengan membuat saluran dengan tujuan tunggal mengirimkan file berbahaya ini,” menurut sebuah laporan yang diterbitkan Kamis oleh Tim RiskIQ.

Awalnya Discord menarik para gamer, tetapi platform tersebut sekarang digunakan oleh organisasi untuk komunikasi di tempat kerja. Penyimpanan file berbahaya di CDN Discord dan proliferasi malware di platform berarti bahwa “banyak organisasi dapat mengizinkan lalu lintas buruk ini ke jaringan mereka,” tulis peneliti RiskIQ.

RAT dan Malware Lain-lain
Fitur malware terbaru yang ditemukan di platform termasuk kemampuan untuk mengambil tangkapan layar, mengunduh dan mengeksekusi file tambahan, dan melakukan keylogging, peneliti CheckPoint Idan Shechter dan Omer Ventura diungkapkan dalam laporan terpisah yang juga diterbitkan Kamis.

CheckPoint juga menemukan bahwa Discord Bot API—implementasi Python sederhana yang memudahkan modifikasi dan mempersingkat proses pengembangan bot di platform—“dapat dengan mudah mengubah bot menjadi RAT sederhana” yang dapat digunakan oleh pelaku ancaman “untuk mendapatkan akses penuh dan jarak jauh. kontrol pada sistem pengguna.”

Bot Discord menjadi bagian yang semakin integral dari cara pengguna berinteraksi dengan Discord, memungkinkan mereka untuk mengintegrasikan kode untuk fitur yang disempurnakan guna memfasilitasi manajemen komunitas, kata para peneliti.

“Bot perselisihan tampaknya kuat, ramah, dan sangat menghemat waktu,” tulis Shechter dan Ventura. “Namun, dengan kekuatan besar juga ada tanggung jawab besar, dan kerangka kerja bot Discord dapat dengan mudah digunakan untuk niat jahat.”

Peneliti CheckPoint menemukan beberapa repositori berbahaya di antara GitHub yang relevan untuk platform Discord. Repositori ini termasuk malware berdasarkan Discord API dan bot jahat dengan fungsi berbeda, kata mereka.

Sementara itu, peneliti RiskIQ memeriksa URL CDN Discord yang berisi .exe, DLL dan berbagai dokumen dan file terkompresi, menemukan setelah meninjau hash di VirusTotal bahwa lebih dari 100 mengirimkan konten berbahaya. Delapan puluh file berasal dari 17 keluarga malware yang berbeda, dengan trojan yang terdiri dari malware paling umum yang diamati di platform, kata para peneliti.

Secara khusus, peneliti RiskIQ mempelajari lebih dalam bagaimana Discord CDN menggunakan domain Discord melalui tautan yang menggunakan [hxxps://cdn.discordapp[.]com/attachments/{ChannelID}/{AttachmentID}/{filename}] sebagai format untuk menemukan malware, kata mereka.

Para peneliti mendeteksi tautan dan menanyakan ID saluran Discord yang digunakan dalam tautan ini, yang memungkinkan mereka mengidentifikasi domain yang berisi halaman web yang tertaut ke tautan CDN Discord dengan ID saluran tertentu, kata mereka.

“Misalnya, platform RiskIQ dapat menanyakan ID saluran yang terkait dengan zoom[-]download[.]ml,” jelas peneliti. “Domain ini mencoba menipu pengguna agar mengunduh plug-in Zoom untuk Microsoft Outlook dan sebagai gantinya mengirimkan pencuri kata sandi Dcstl yang dihosting di CDN Discord.”

Dalam contoh lain, RiskIQ menemukan bahwa ID saluran untuk URL yang berisi file pencuri kata sandi Raccoon mengembalikan domain untuk Taplink, sebuah situs yang menyediakan halaman arahan mikro kepada pengguna untuk mengarahkan individu ke halaman Instagram dan media sosial lainnya, jelas mereka.

“Seorang pengguna kemungkinan menambahkan tautan Discord CDN ke halaman Taplink mereka,” jelas para peneliti. “Meminta ID ini memungkinkan pengguna RiskIQ untuk memahami file Discord mana dan infrastruktur terkait yang bersangkutan dan di mana mereka berada di seluruh web.”

Teknik ini memungkinkan peneliti untuk menentukan tanggal dan waktu saluran Discord dibuat, menghubungkan yang dibuat dalam beberapa hari sebelum pengamatan pertama dari file di VirusTotal ke saluran dengan tujuan tunggal mendistribusikan malware, kata mereka. Pada akhirnya, mereka menemukan dan membuat katalog 27 jenis malware unik yang dihosting di CDN Discord.

source: THREATPOST

Driver FiveSys Yang Ditandatangani Microsoft WHQL Sebenarnya Adalah Malware Yang Menyamar

October 24, 2021 by Søren

Peneliti keamanan di Bitdefender menemukan bahwa malware baru ini, yang merupakan rootkit, sebenarnya ditandatangani secara digital oleh Microsoft sendiri.

Driver jahat FiveSys membawa sertifikasi Windows Hardware Quality Labs (WHQL) yang disediakan oleh Microsoft setelah verifikasi cermat terhadap paket driver yang dikirim oleh berbagai vendor mitranya melalui Program Kompatibilitas Perangkat Keras Windows (WHCP).

Telah diamati bahwa penyebaran FiveSys sejauh ini terbatas hanya di China yang mungkin menunjukkan bahwa pelaku ancaman terutama tertarik pada bagian wilayah tersebut.

Dalam hal karakteristik kunci lainnya, whitepaper terkait juga menyebutkan bahwa rootkit memblokir modifikasi registri dan juga mencoba memblokir akses pesaingnya ke sistem yang terinfeksi.

Bitdefender mengatakan bahwa setelah memperingatkan Microsoft tentang rootkit berbahaya ini, perusahaan Redmond telah menghapus tanda tangannya dari FiveSys.

Menariknya, ini bukan pertama kalinya hal seperti itu terjadi dalam ingatan baru-baru ini. Malware serupa yang disebut “Netfilter” juga divalidasi oleh Microsoft pada bulan Juni kemungkinan dengan cara yang sama.

Selengkapnya: Neowin

Peretas yang didukung negara melanggar perusahaan telekomunikasi dengan malware khusus

October 20, 2021 by Winnie the Pooh

Aktor yang disponsori negara yang sebelumnya tidak dikenal sedang menyebarkan perangkat baru dalam serangan yang menargetkan penyedia telekomunikasi dan perusahaan TI di Asia Selatan.

Tujuan kelompok tersebut — dilacak sebagai Harvester oleh para peneliti di Symantec yang menemukannya — adalah untuk mengumpulkan intelijen dalam kampanye spionase yang sangat bertarget yang berfokus pada TI, telekomunikasi, dan entitas pemerintah.

Alat berbahaya Harvester belum pernah ditemukan di alam liar sebelumnya, menunjukkan bahwa ini adalah aktor ancaman tanpa koneksi ke musuh yang diketahui.

Berikut ringkasan alat yang digunakan oleh operator Harvester dalam serangan mereka:

Backdoor.Graphon – pintu belakang khusus yang menggunakan infrastruktur Microsoft untuk aktivitas C&C-nya
Custom Downloader – menggunakan infrastruktur Microsoft untuk aktivitas C&C-nya
Custom Screenshotter – secara berkala mencatat tangkapan layar ke file
Cobalt Strike Beacon – menggunakan infrastruktur CloudFront untuk aktivitas C&C-nya (Cobalt Strike adalah alat siap pakai yang dapat digunakan untuk menjalankan perintah, menyuntikkan proses lain, meningkatkan proses saat ini, atau meniru proses lain, serta mengunggah dan mengunduh file)
Metasploit – kerangka kerja modular siap pakai yang dapat digunakan untuk berbagai tujuan jahat pada mesin korban, termasuk eskalasi hak istimewa, tangkapan layar, untuk menyiapkan pintu belakang persisten, dan banyak lagi.

Sementara analis Symantec tidak dapat mengetahui vektor infeksi awal, ada beberapa bukti bahwa URL jahat digunakan untuk tujuan itu.

Graphon memberi aktor akses jarak jauh ke jaringan dan menyamarkan kehadirannya dengan memadukan aktivitas komunikasi perintah-dan-kontrol (C2) dengan lalu lintas jaringan yang sah dari CloudFront dan infrastruktur Microsoft.

Poin menarik ditemukan dalam cara custom downloader bekerja, membuat file yang diperlukan pada sistem, menambahkan nilai registri untuk titik muat baru, dan akhirnya membuka browser web tertanam di hxxps://usedust[.]com.

Symantec memperingatkan bahwa Harvester masih aktif di luar sana, kebanyakan menargetkan organisasi di Afghanistan saat ini.

Selengkapnya: Bleeping Computer

Geng TrickBot Memasuki Cybercrime Elite dengan Afiliasi Baru

October 20, 2021 by Winnie the Pooh

Penjahat dunia maya di balik trojan TrickBot yang terkenal telah menandatangani dua afiliasi distribusi tambahan, dijuluki Hive0106 (alias TA551) dan Hive0107 oleh IBM X-Force. Hasilnya? Meningkatnya serangan ransomware pada perusahaan, terutama menggunakan ransomware Conti.

Perkembangan ini juga berbicara tentang peningkatan kecanggihan geng TrickBot dan berdiri di bawah tanah kejahatan dunia maya, peneliti IBM mengatakan: “Perkembangan terbaru ini menunjukkan kekuatan koneksinya dalam ekosistem kejahatan dunia maya dan kemampuannya untuk memanfaatkan hubungan ini untuk memperluas jumlah organisasi yang terinfeksi. malware-nya.”

Malware TrickBot mulai hidup sebagai trojan perbankan pada tahun 2016, tetapi dengan cepat berkembang menjadi ancaman layanan penuh modular. TrickBot mampu melakukan berbagai fungsi pintu belakang dan pencurian data, dapat memberikan muatan tambahan, dan memiliki kemampuan untuk bergerak cepat secara lateral di seluruh perusahaan.

Untuk mengurangi kemungkinan menderita kerusakan besar akibat infeksi (atau serangan ransomware lanjutan), IBM merekomendasikan untuk mengambil langkah-langkah berikut:

Pastikan Anda memiliki redundansi cadangan, disimpan secara terpisah dari zona jaringan yang dapat diakses penyerang dengan akses hanya baca. Ketersediaan cadangan yang efektif merupakan pembeda yang signifikan bagi organisasi dan dapat mendukung pemulihan dari serangan ransomware.
Terapkan strategi untuk mencegah pencurian data yang tidak sah, terutama yang berlaku untuk mengunggah data dalam jumlah besar ke platform penyimpanan cloud yang sah yang dapat disalahgunakan oleh penyerang.
Gunakan analitik perilaku pengguna untuk mengidentifikasi potensi insiden keamanan. Saat terpicu, anggap telah terjadi pelanggaran. Audit, pantau, dan lakukan tindakan cepat atas dugaan penyalahgunaan yang terkait dengan akun dan grup istimewa.
Gunakan otentikasi multi-faktor pada semua titik akses jarak jauh ke dalam jaringan perusahaan.
Amankan atau nonaktifkan remote desktop protocol (RDP). Beberapa serangan ransomware telah diketahui mengeksploitasi akses RDP yang lemah untuk mendapatkan entri awal ke dalam jaringan.

Selengkapnya: Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings