Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Perintah Windows Finger disalahgunakan oleh phishing untuk mengunduh malware

by

Penyerang menggunakan perintah Windows Finger yang biasanya tidak berbahaya untuk mengunduh dan memasang backdoor berbahaya pada perangkat korban.

Perintah ‘Finger’ adalah utilitas yang berasal dari sistem operasi Linux/Unix yang memungkinkan pengguna lokal untuk mengambil daftar pengguna pada mesin jarak jauh atau informasi tentang pengguna jarak jauh tertentu. Selain Linux, Windows menyertakan perintah finger.exe yang menjalankan fungsi yang sama.

Minggu ini, peneliti keamanan Kirk Sayre menemukan kampanye phishing yang menggunakan perintah Finger untuk mengunduh malware backdoor MineBridge.

FireEye pertama kali melaporkan malware MineBridge setelah menemukan banyak kampanye phishing yang menargetkan organisasi Korea Selatan. Email phishing ini berisi dokumen Word berbahaya yang menyamar sebagai resume pelamar kerja yang menginstal malware MineBridge.

Seperti kampanye MineBridge sebelumnya yang dilihat oleh FireEye, yang ditemukan oleh Sayre juga berpura-pura menjadi resume dari pelamar kerja, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Ketika korban mengklik tombol ‘Enabled Editing’ atau ‘Enable Content’, macro yang dilindungi kata sandi akan dijalankan untuk mengunduh malware MineBridge dan menjalankannya.

Setelah MineBridge terpasang, pelaku ancaman jarak jauh akan mendapatkan akses penuh ke komputer dan memungkinkan mereka untuk mendengarkan melalui mikrofon perangkat yang terinfeksi, dan melakukan aktivitas berbahaya lainnya.

Karena Finger jarang digunakan saat ini, disarankan agar administrator memblokir perintah Finger di jaringan mereka, baik melalui AppLocker atau metode lain.

Sumber: Bleeping Computer

Peneliti Mengungkap Malware China Tidak Terdokumentasi yang Digunakan dalam Serangan Terbaru

by

Peneliti keamanan siber telah mengungkapkan serangkaian serangan oleh aktor ancaman asal China yang menargetkan organisasi di Rusia dan Hong Kong dengan malware – termasuk backdoor yang sebelumnya tidak berdokumen.

Mengaitkan kampanye ke Winnti (atau APT41), Positive Technologies menetapkan tanggal serangan pertama hingga 12 Mei 2020, ketika APT menggunakan sortcuts LNK untuk mengekstrak dan menjalankan muatan malware. Serangan kedua yang terdeteksi pada tanggal 30 Mei menggunakan file arsip RAR berbahaya yang terdiri dari sortcuts ke dua dokumen PDF umpan yang diklaim sebagai riwayat hidup dan sertifikat IELTS.

Sortcuts itu sendiri berisi tautan ke halaman yang dihosting di Zeplin, alat kolaborasi yang sah untuk perancang dan pengembang yang digunakan untuk mengambil malware tahap akhir yang, pada gilirannya, menyertakan shellcode loader (“svchost.exe”) dan backdoor yang disebut Crosswalk (“3t54dE3r.tmp”).

selengkapnya : TheHackerNews

Malware Mac menggunakan AppleScripts ‘run-only’ untuk menghindari analisis

by

Kampanye penambangan cryptocurrency yang menargetkan macOS menggunakan malware yang telah berevolusi menjadi varian kompleks yang memberi banyak masalah bagi para peneliti untuk menganalisisnya.

Malware ini dilacak sebagai OSAMiner dan telah berada di alam liar setidaknya sejak 2015. Namun, sulit untuk menganalisisnya karena payload diekspor sebagai file run-only AppleScript, yang membuat proses penguraiannya menjadi kode sumber menjadi sangat sulit.

Varian yang baru-baru ini diamati membuat analisis semakin sulit karena ia menyematkan run-only AppleScript ke dalam skrip lain dan menggunakan URL di halaman web publik untuk mengunduh penambang Monero yang sebenarnya.

OSAMiner biasanya menyebar melalui salinan game dan perangkat lunak bajakan, League of Legends dan Microsoft Office untuk macOS menjadi contoh yang lebih populer.

File AppleScript menyertakan sumber dan kode yang dikompilasi, tetapi mengaktifkan “run-only” hanya menyimpan versi yang dikompilasi sehingga kode yang dapat dibaca manusia tidak lagi tersedia, sehingga menghilangkan kemungkinan reverse engineering.

Pada akhir tahun 2020 peneliti keamanan di SentinelOne menemukan sampel baru OSAMiner yang memperumit “proses analisis yang sudah sulit”.

Namun, mereka dapat melakukan reverse engineering beberapa sampel yang mereka kumpulkan dengan menggunakan disassembler AppleScript yang kurang dikenal (Jinmo’s applescript-disassembler) dan alat dekompilasi yang dikembangkan secara internal yang disebut aevt_decompile.

Sumber: Bleeping Computer

Jenis malware ketiga ditemukan dalam serangan rantai pasokan SolarWinds

by

Perusahaan keamanan siber CrowdStrike, salah satu perusahaan yang terlibat langsung dalam penyelidikan serangan rantai pasokan SolarWinds, mengatakan mereka mengidentifikasi jenis malware ketiga yang terlibat langsung dalam peretasan tersebut.

Dinamakan Sunspot, temuan ini menambah strain malware Sunburst (Solorigate) dan Teardrop yang ditemukan sebelumnya.

Tapi sementara Sunspot adalah penemuan terbaru dalam peretasan SolarWinds, Crowdstrike mengatakan malware itu sebenarnya yang pertama digunakan.

Crowdstrike mengatakan bahwa Sunspot digunakan pada September 2019, ketika peretas pertama kali menembus jaringan internal SolarWinds.

Malware Sunspot diinstal pada build server SolarWinds, sejenis perangkat lunak yang digunakan oleh pengembang untuk merakit komponen yang lebih kecil menjadi aplikasi perangkat lunak yang lebih besar.

CrowdStrike mengatakan Sunspot memiliki satu tujuan tunggal – yaitu, untuk mengawasi build server untuk perintah build yang merakit Orion.

Setelah perintah build terdeteksi, malware akan secara diam-diam mengganti file source code di dalam aplikasi Orion dengan file yang memuat malware Sunburst, menghasilkan versi aplikasi Orion yang juga menginstal malware Sunburst.

Dalam pengumuman terpisah yang diterbitkan di blognya, SolarWinds juga menerbitkan timeline peretasan tersebut. SolarWinds mengatakan bahwa sebelum malware Sunburst disebarkan ke pelanggan antara Maret dan Juni 2020, peretas juga melakukan uji coba antara bulan September dan November 2019.

Sumber: SolarWinds

Sumber: ZDNet

Botnet penambangan kripto sekarang mencuri kredensial Docker dan AWS

by

Analis dari perusahaan keamanan Trend Micro mengatakan dalam sebuah laporan hari ini bahwa mereka telah menemukan botnet malware yang mengumpulkan dan mencuri kredensial Docker dan AWS.

Para peneliti telah menghubungkan botnet ke operasi kejahatan dunia maya yang dikenal sebagai TeamTNT; grup yang pertama kali terlihat selama musim panas 2020 memasang malware penambangan cryptocurrency pada platform kontainer yang salah konfigurasi.

Laporan awal pada saat itu mengatakan bahwa TeamTNT melanggar platform kontainer dengan mencari sistem Docker yang mengekspos port API manajemen mereka secara online tanpa kata sandi.

Para peneliti mengatakan grup TeamTNT akan mengakses kontainer Docker yang terekspos, menginstal malware penambangan kripto, tetapi juga mencuri kredensial untuk server Amazon Web Services (AWS) untuk berputar ke sistem TI perusahaan lainnya untuk menginfeksi lebih banyak server dan menyebarkan lebih banyak crypto- penambang.

Pada saat itu, para peneliti mengatakan bahwa TeamTNT adalah botnet penambangan kripto pertama yang menerapkan fitur yang didedikasikan untuk mengumpulkan dan mencuri kredensial AWS.

sumber : ZDNET

Cobalt Strike dan Metasploit menyumbang seperempat dari total server C&C malware pada tahun 2020

by

Cobalt Strike dan Metasploit, dua toolkit pengujian penetrasi yang biasanya digunakan oleh peneliti keamanan, telah digunakan untuk menghosting lebih dari seperempat dari semua server command and control (C&C) malware yang telah diterapkan pada tahun 2020,perusahaan intelijen ancaman Recorded Future mengatakan dalam sebuah laporan hari ini.

Perusahaan keamanan tersebut mengatakan telah melacak lebih dari 10.000 server C&C malware tahun lalu, di lebih dari 80 jenis malware.

Menurut Recorded Future, dua dari perangkat pengujian penetrasi ini sekarang telah menjadi dua teknologi teratas yang paling banyak digunakan untuk menghosting server C&C malware – yaitu Cobalt Strike (13,5% dari total server C&C malware 2020) dan Metasploit (dengan 10,5%).

Laporan Recorded Future juga melihat aspek lain dari operasi server C&C malware. Pengamatan lain termasuk:

  • Rata-rata, server perintah dan kontrol memiliki umur (yaitu, jumlah waktu server meng-host infrastruktur berbahaya) selama 54,8 hari.
  • Memantau hanya penyedia hosting “mencurigakan” yang dapat meninggalkan titik buta, karena 33% server C&C dihosting di AS, banyak di penyedia yang memiliki reputasi baik.
  • Penyedia hosting yang memiliki server perintah dan kontrol paling banyak pada infrastruktur mereka semuanya berbasis di AS: Amazon, Digital Ocean, dan Choopa.

sumber : ZDNET

Serangan phishing baru ini menggunakan iming-iming aneh untuk mengirimkan malware trojan Windows

by

Kampanye phishing baru mencoba memikat korban agar mengunduh malware yang memberikan kontrol penuh kepada penjahat siber atas mesin Microsoft Windows yang terinfeksi.

Quaverse Remote Access Trojan (QRat) pertama kali muncul pada tahun 2015. Malware ini sulit dideteksi di bawah beberapa lapisan obfuscation dan menyediakan akses jarak jauh bagi peretas jahat ke komputer korban yang disusupi.

Kemampuan malware trojan ini termasuk mencuri kata sandi, keylogging, penelusuran file, mengambil screenshot dan banyak lagi yang semuanya memungkinkan peretas untuk mendapatkan akses ke informasi sensitif.

Peneliti keamanan siber di Trustwave telah mengidentifikasi kampanye QRat baru yang mencoba memikat orang agar mengunduh versi terbaru dari malware tersebut, sesuatu yang mereka gambarkan sebagai “ditingkatkan secara signifikan”.

Email phishing awal mengklaim menawarkan pinjaman kepada korban dengan “laba atas investasi yang baik” yang berpotensi menarik perhatian korban. Namun, lampiran berbahaya tersebut sama sekali tidak terkait dengan subjek email phishing, melainkan mengklaim berisi video Presiden Donald Trump.

Jika lampiran dibuka, file Java Archive (JAR) – akan menjalankan penginstal malware QRat.

Prosesnya bahkan dilengkapi dengan peringatan pop-up, memberi tahu pengguna bahwa perangkat lunak yang mereka instal dapat digunakan untuk akses jarak jauh dan penetration testing – jika pengguna setuju QRat ini untuk diunduh, dengan malware diambil oleh unduhan modular untuk membantu menghindari deteksi.

Sumber: ZDNet

Peretas menargetkan pengguna cryptocurrency dengan malware ElectroRAT baru

by

Perusahaan keamanan Intezer Labs mengatakan telah menemukan operasi malware rahasia selama setahun di mana penjahat siber membuat aplikasi mata uang kripto palsu untuk mengelabui pengguna agar menginstal jenis malware baru di sistem mereka, dengan tujuan akhir yang jelas untuk mencuri dana korban.

Kampanye itu ditemukan bulan lalu pada Desember 2020, tetapi para peneliti mengatakan mereka yakin kelompok itu mulai menyebarkan malware mereka pada 8 Januari 2020.

Intezer Labs mengatakan para peretas mengandalkan tiga aplikasi terkait cryptocurrency untuk skema mereka.

Aplikasi palsu tersebut diberi nama Jamm, eTrade / Kintum, dan DaoPoker, dan dihosting di situs web khusus di jamm[.]to, kintum[.]io, dan daopker[.]com.

Ketiga aplikasi tersebut hadir dalam versi untuk Windows, Mac, dan Linux, dan dibuat di atas Electron, kerangka kerja pembuatan aplikasi.

Tetapi para peneliti Intezer mengatakan aplikasi tersebut juga datang dengan kejutan kecil dalam bentuk jenis malware baru yang tersembunyi di dalamnya, yang oleh peneliti perusahaan dinamai ElectroRAT.

Sumber: Intezer Labs

Karena keunikan dalam desain malware nya, yang mengambil alamat server perintah dan kontrolnya dari URL Pastebin, Intezer yakin operasi ini telah menginfeksi sekitar 6.500 pengguna – jumlah total URL Pastebin yang diakses.

Peneliti Intezer percaya malware itu digunakan untuk mengumpulkan kunci dompet cryptocurrency dan kemudian menguras akun korban.

Sumber: ZDNet