Malware

Mantan Analis Keamanan Microsoft Mengklaim Office 365 Sengaja Menghosting Malware Selama Bertahun-tahun

October 18, 2021 by Winnie the Pooh

Pada hari Jumat, peneliti keamanan siber TheAnalyst menjelaskan di Twitter bagaimana malware BazarLoader mengarah ke ransomware yang dapat sangat memengaruhi industri kesehatan, di antara industri lainnya.

Dia kemudian memanggil Microsoft, menanyakan apakah perusahaan memiliki “tanggung jawab dalam hal ini ketika mereka TAHU bahwa mereka meng-hosting ratusan file yang mengarah ke hal ini,” di samping hal yang tampaknya menjadi file berbahaya yang di-host di OneDrive.

Untuk mendukung ini, mantan analis keamanan Microsoft Kevin Beaumont menjawab, mengatakan bahwa Microsoft tidak dapat menyebut dirinya sebagai pemimpin keamanan karena penyalahgunaan Office365 dan OneDrive terjadi selama bertahun-tahun.

Dia melanjutkan, menjelaskan bahwa menghapus sesuatu dari OneDrive adalah proses mimpi buruk dengan waktu reaksi yang agak lambat, menjadikan Microsoft “hoster malware terbaik di dunia selama sekitar satu dekade, karena O365.”

Namun, ini bukan masalah eksklusif Microsoft atau masalah baru, karena kita juga telah melihat malware yang dihosting di platform lain di masa lalu.

Menurut penelitian oleh Bern University of Applied Sciences, Google dan Cloudflare saat ini berada di antara jaringan hosting malware online teratas. Dengan demikian, seluruh industri teknologi harus lebih baik dalam menemukan konten berbahaya yang dihosting di servernya sebelum mencari masalah di tempat lain.

Bagaimanapun, semoga, insiden ini akan mendorong Microsoft untuk mengambil tindakan tegas yang dapat membantu melindungi jutaan orang dan ribuan organisasi dari serangan malware.

Sumber: Hot Hardware

Malware BlackByte yang ‘Kikuk’ Menggunakan Kembali Kunci Crypto, Worms Ke Jaringan

October 17, 2021 by Søren

Ransomware baru yang dijuluki BlackByte memiliki semua keunggulan dari upaya pengembangan pertama oleh pengembang malware amatir, membuat kesalahan signifikan — seperti mengaburkan kode dengan cara yang mudah dilewati dan menggunakan kunci enkripsi yang sama untuk setiap korban.

Malware ini memiliki beberapa kesamaan dengan ransomware lain yang terkait dengan Rusia, seperti menghindari sistem berbahasa Rusia dengan cara yang sama seperti REvil dan menggunakan eksploitasi jaringan untuk menyebar di dalam jaringan dengan cara yang sama seperti Ryuk, menurut para peneliti di Trustwave, yang menerbitkan analisis mereka. varian minggu ini.

Para peneliti, yang menemukan program jahat ketika menanggapi insiden keamanan, juga menemukan bahwa program tersebut menggunakan kunci enkripsi simetris yang diunduh dari server publik. Itu memungkinkan mereka untuk membuat utilitas dekripsi untuk membantu korban memulihkan data mereka.

Pilihan desain yang buruk itu menunjukkan bahwa ransomware bukanlah varian dari keluarga ransomware sebelumnya dan bahwa para pengembang relatif tidak berpengalaman dalam merancang ransomware, kata Karl Sigler, manajer riset keamanan senior di Trustwave.

“Sepertinya mereka menulis ini dari awal,” katanya. “Tapi itu kikuk. Ini sangat kikuk.”

Pertumbuhan serangan ransomware mungkin telah meyakinkan para pengembang di balik BlackByte untuk membuat kerangka kerja malware mereka sendiri, kata Sigler dari Trustwave.

Selengkapnya: Dark Reading

Malware FontOnLake menginfeksi sistem Linux melalui utilitas trojan

October 12, 2021 by Winnie the Pooh

Keluarga malware yang baru saja ditemukan telah menginfeksi sistem Linux yang bersembunyi di dalam binari yang sah. Dijuluki FontOnLake, malware ini memberikan komponen backdoor dan rootkit.

Malware ini memiliki prevalensi rendah di alam liar dan mendapat manfaat dari desain canggih yang memungkinkannya mempertahankan persistensi yang diperpanjang pada sistem yang terinfeksi.

FontOnLake memiliki beberapa modul yang berinteraksi satu sama lain dan memungkinkan komunikasi dengan operator malware, mencuri data sensitif, dan tetap tersembunyi di sistem.

Para peneliti di ESET menemukan beberapa sampel malware yang diunggah ke layanan pemindaian VirusTotal sepanjang tahun lalu, yang pertama muncul pada Mei 2020.

Ditandai dengan desain tersembunyi dan canggih, FontOnLake kemungkinan digunakan dalam serangan yang ditargetkan oleh operator yang cukup berhati-hati untuk menggunakan server perintah dan kontrol (C2) yang unik untuk “hampir semua sampel” dan berbagai port non-standar.

Di antara utilitas Linux yang diubah oleh aktor ancaman untuk mengirimkan FontOnLake adalah:

cat – digunakan untuk mencetak konten file
kill – daftar semua proses yang berjalan
sftp – secure FTP utility
sshd – the OpenSSH server process

Menurut para peneliti, utilitas trojan kemungkinan dimodifikasi pada tingkat kode sumber, menunjukkan bahwa aktor ancaman mengkompilasinya dan menggantikan yang asli.

Selain membawa malware, peran binari yang dimodifikasi ini adalah memuat muatan tambahan, mengumpulkan informasi, atau melakukan tindakan jahat lainnya.

Para peneliti menemukan tiga pintu belakang khusus yang ditulis dalam C++ yang terkait dengan keluarga malware FontOnLake, yang memberikan akses jarak jauh kepada operator ke sistem yang terinfeksi.

ESET mengatakan bahwa FontOnLake mungkin merupakan malware yang sama yang sebelumnya dianalisis oleh para peneliti di Tencent Security Response Center, yang mengaitkannya dengan insiden ancaman persisten tingkat lanjut.

Selengkapnya: Bleeping Computer

Malware Bootkit “ESPecter” Menghantui Korban dengan Spionase Persisten

October 9, 2021 by Søren

Bootkit berbahaya baru, yang oleh para peneliti di ESET dinamai ESPecter, ditempatkan di bagian EFI System Partition (ESP) dari teknologi yang disematkan. ESP berisi boot loader atau image kernel yang digunakan UEFI untuk memulai OS yang diinstal dan berbagai utilitas pada saat proses boot.

“Penyerang [dengan demikian] mencapai eksekusi pada tahap awal proses boot sistem, sebelum sistem operasi dimuat penuh,” menurut analisis ESPecter ESET, yang dikeluarkan Selasa (5/10/2021). “Ini memungkinkan ESPecter untuk mem-bypass Windows Driver Signature Enforcement (DSE) untuk menjalankan drivernya sendiri yang tidak ditandatangani saat startup sistem.”

Driver tersebut kemudian menyuntikkan komponen user-mode lainnya ke dalam proses sistem tertentu, catat para peneliti; dan yang pada gilirannya digunakan untuk terhubung dengan server command-and-control (C2). Setelah koneksi dibuat, penyerang dapat mulai mengunduh dan menjalankan malware tambahan atau menjalankan berbagai perintah untuk mengambil kendali penuh atas mesin.

Menurut ESET, tujuan utama driver adalah memuat dua user-mode payload yang berbeda (WinSys.dll dan Client.dll) dan untuk mengatur keylogger yang merekam semua aktivitas keyboard. Setelah itu, itu menghapus dirinya sendiri.

Payload WinSys.dll secara berkala melakukan ping ke server C2 (menemukan alamatnya di file konfigurasi malware) untuk mengunduh malware tambahan atau menjalankan perintah sederhana. C2 dapat memintanya untuk mengunggah informasi sistem (nama CPU, versi OS, ukuran memori, alamat MAC ethernet, daftar perangkat lunak yang diinstal, dan sebagainya), mengambil dan menjalankan file baru, memulai ulang PC, atau mengunduh konfigurasi baru.

Selengkapnya: Threat Post

Malware Baru ‘BloodyStealer’ Menargetkan Akun Epic dan Steam

October 2, 2021 by Søren

Menurut para ahli di Kaspersky, BloodyStealer adalah malware baru yang dibuat untuk meretas komputer dan mengumpulkan data sensitif dari perangkat yang rentan. Data ini berkisar dari kata sandi, data cookie, data pengisian otomatis, data perangkat, log, dan data klien dari layanan game populer. Layanan ini termasuk Epic Games, peluncur Bethesda, Steam, Origin, dan GOG. Bahkan layanan perpesanan seperti Telegram adalah target untuk BloodyStealer, yang signifikan karena Telegram telah mendorong lebih banyak fitur untuk menyerupai Discord akhir-akhir ini, termasuk streaming langsung dan obrolan video grup.

Model penyebaran BloodyStealer di antara peretas dan penjahat dunia maya menyerupai sarana industri perangkat lunak untuk merilis perangkat lunak, karena pengguna dapat menyewa malware untuk mendapatkan akses ke botnetnya, mengatur serangan, dan bahkan mengakses dukungan teknis.

Komposisi teknis BloodyStealer mencakup metode anti-analisis bawaan untuk mencegah pakar keamanan siber merekayasa balik perangkat lunak untuk menciptakan metode untuk mencegah sistem agar tidak terinfeksi olehnya. BloodyStealer juga dapat menetapkan ID unik ke sistem yang terinfeksi dan mengidentifikasi sistem berdasarkan alamat IP mereka, sehingga memudahkan peretas untuk menargetkan pengguna tertentu dalam serangan berbahaya.

Salah satu metode terbaik untuk mencegah serangan berbahaya terhadap informasi pribadi Anda adalah mengubah dan memperbarui kata sandi Anda secara teratur. Pastikan untuk mengubah kata sandi Steam, Epic, GOG, dll setidaknya setiap bulan ke frasa yang dapat Anda ingat. Banyak layanan seperti Steam dan Epic menawarkan otentikasi dua faktor baik melalui penggunaan perangkat pintar atau email Anda untuk memastikan keamanan tambahan.Hindari mengunduh program yang dapat dieksekusi dari sumber yang tidak dapat dipercaya.

Selengkapnya: ESportTalk

Peretas Telah Menemukan Teknik Penghindaran Malware Baru untuk Terbang di Bawah Radar

October 2, 2021 by Søren

Grup Threat Analysis milik Google baru-baru ini menemukan jenis malware yang mengeksploitasi metode baru untuk menghindari deteksi oleh produk keamanan, dan malware ini dengan mudah memodifikasi tanda tangan digital filenya.

Tanda tangan kode yang ada pada file executable Windows memberikan jaminan mengenai integritas executable yang dikonfirmasi, menyediakan data dan memberi tahu identitas sebenarnya dari pembuat kode.

Pelaku ancaman dapat menghindari deteksi jika mereka mampu menyamarkan identitas mereka dalam tanda tangan pada proses penyerangan integritas tanda tangan.

Neel Mehta salah satu peneliti keamanan yang mendeteksi malware tersebut mengklaim metode ini digunakan oleh strain adware yang disebut OpenSUpdater.

OpenSUpdater adalah keluarga malware yang sangat terkenal, dan mereka terkenal dengan perangkat lunak yang tidak diinginkan yang umumnya melanggar kebijakan Google.

Sampel OpenSUpdater telah memberikan tanda tangan yang tidak valid, dan penelitian tambahan menunjukkan bahwa ini adalah upaya yang disengaja untuk menghindari deteksi.

Namun, produk keamanan menggunakan OpenSSL untuk mengambil data tanda tangan, dan kemudian akan menolak pengkodean ini sebagai tidak valid. Dan untuk parser yang mengotorisasi pengkodean ini, tanda tangan digital biner akan menyerupai sah dan efisien.

Selengkapnya: Cyber Security News

Malware baru memanfaatkan COVID-19 untuk menargetkan pengguna Android

September 24, 2021 by Winnie the Pooh

Bentuk baru malware yang oleh para ahli disebut sebagai “TangleBot” mengandalkan minat pada COVID-19 untuk mengelabui pengguna Android di AS dan Kanada agar mengklik tautan yang akan menginfeksi ponsel mereka, menurut analis di ponsel dan perusahaan keamanan email Cloudmark.

Cloudmark mengatakan malware “pintar dan rumit” mengirim pesan teks kepada pengguna Android yang mengklaim memiliki panduan COVID-19 terbaru di wilayah mereka atau memberi tahu mereka bahwa janji temu vaksin COVID-19 ketiga mereka telah dijadwalkan.

Ketika pengguna mengklik tautan yang disediakan, mereka diminta untuk memperbarui pemutar Adobe Flash ponsel mereka, yang sebaliknya menginstal virus di ponsel mereka, menurut Cloudmark.

“Setelah itu terjadi, malware TangleBot dapat melakukan banyak hal berbeda,” Ryan Kalember, wakil presiden eksekutif keamanan siber di perusahaan induk Cloudmark, ProofPoint, mengatakan kepada CBS News.

“Itu bisa mengakses mikrofon, kamera, SMS, log panggilan, internet, dan GPS Anda sehingga ia tahu di mana Anda berada,” tambah Kalember.

Kalember mengatakan para peretas telah menggunakan TangleBot selama “berminggu-minggu” dan dampaknya berpotensi “sangat luas.” Namun, Android memang memiliki beberapa perlindungan terhadap virus. Sebelum mengunduh malware, pengguna diperingatkan oleh Android tentang bahayanya menginstal perangkat lunak dari “sumber tidak dikenal” dan serangkaian kotak izin ditampilkan sebelum ponsel terinfeksi.

Menurut Kalember, malware TangleBot memiliki kemampuan untuk menunjukkan kepada pengguna yang diretas sebuah layar “overlay” yang tampak asli tetapi malah merupakan jendela palsu yang dijalankan oleh penyerang untuk mencuri informasi.

Overlays ini digunakan untuk meretas kredensial perbankan karena pengguna mungkin percaya bahwa mereka masuk ke perbankan seluler mereka saat mengetik informasi mereka di layar palsu, yang kemudian menyampaikan informasi tersebut ke peretas.

Setelah malware diinstal pada perangkat, “cukup sulit untuk menghapusnya,” menurut Kalember dan informasi yang dicuri dapat dimonetisasi dengan baik di masa depan.

Sumber: CBS News

Peretas negara Rusia menggunakan malware TinyTurla baru sebagai backdoor sekunder

September 22, 2021 by Winnie the Pooh

Peretas yang disponsori negara Rusia yang dikenal sebagai grup Turla APT telah menggunakan malware baru selama setahun terakhir yang bertindak sebagai metode persistensi sekunder pada sistem yang disusupi di AS, Jerman, dan Afghanistan.

Dinamakan TinyTurla karena fungsinya yang terbatas dan gaya pengkodean yang tidak rumit, pintu belakang juga dapat digunakan sebagai dropper malware tahap kedua yang tersembunyi.

Peneliti keamanan di Cisco Talos mengatakan bahwa TinyTurla adalah “backdoor yang belum ditemukan sebelumnya” dari grup Turla APT yang telah digunakan setidaknya sejak 2020, melewati sistem deteksi malware terutama karena kesederhanaannya.

Bukti forensik menunjukkan bahwa aktor Turla APT (ancaman persisten lanjutan) telah menargetkan pemerintah Afghanistan sebelumnya dengan backdoor yang baru ditemukan.

Namun, data telemetri Cisco Talos, yang merupakan cara peneliti menemukan malware baru ini, menunjukkan bahwa TinyTurla juga telah digunakan pada sistem di AS dan Jerman.

Menghubungkan backdoor TinyTurla ke peretas negara Rusia dimungkinkan karena pelaku ancaman menggunakan infrastruktur yang sama seperti yang terlihat dalam serangan lain yang dikaitkan dengan grup APT Turla.

Dibandingkan dengan backdoor yang lengkap, fungsionalitas TinyTurla terbatas pada tugas-tugas penting yang mencakup pengunduhan, pengunggahan, dan eksekusi file.

Karena malware ini ditemukan melalui pengumpulan telemetri, masih belum diketahui bagaimana TinyTurla mendarat di sistem korban. Cisco Talos memberikan beberapa detail teknis, dalam sebuah posting blog.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings