Malware

Peretas negara Rusia menggunakan malware TinyTurla baru sebagai backdoor sekunder

September 22, 2021 by Winnie the Pooh

Peretas yang disponsori negara Rusia yang dikenal sebagai grup Turla APT telah menggunakan malware baru selama setahun terakhir yang bertindak sebagai metode persistensi sekunder pada sistem yang disusupi di AS, Jerman, dan Afghanistan.

Dinamakan TinyTurla karena fungsinya yang terbatas dan gaya pengkodean yang tidak rumit, pintu belakang juga dapat digunakan sebagai dropper malware tahap kedua yang tersembunyi.

Peneliti keamanan di Cisco Talos mengatakan bahwa TinyTurla adalah “backdoor yang belum ditemukan sebelumnya” dari grup Turla APT yang telah digunakan setidaknya sejak 2020, melewati sistem deteksi malware terutama karena kesederhanaannya.

Bukti forensik menunjukkan bahwa aktor Turla APT (ancaman persisten lanjutan) telah menargetkan pemerintah Afghanistan sebelumnya dengan backdoor yang baru ditemukan.

Namun, data telemetri Cisco Talos, yang merupakan cara peneliti menemukan malware baru ini, menunjukkan bahwa TinyTurla juga telah digunakan pada sistem di AS dan Jerman.

Menghubungkan backdoor TinyTurla ke peretas negara Rusia dimungkinkan karena pelaku ancaman menggunakan infrastruktur yang sama seperti yang terlihat dalam serangan lain yang dikaitkan dengan grup APT Turla.

Dibandingkan dengan backdoor yang lengkap, fungsionalitas TinyTurla terbatas pada tugas-tugas penting yang mencakup pengunduhan, pengunggahan, dan eksekusi file.

Karena malware ini ditemukan melalui pengumpulan telemetri, masih belum diketahui bagaimana TinyTurla mendarat di sistem korban. Cisco Talos memberikan beberapa detail teknis, dalam sebuah posting blog.

Selengkapnya: Bleeping Computer

Serangan Malware di Sektor Penerbangan Terungkap Setelah Tidak Diketahui Selama 2 Tahun

September 20, 2021 by Winnie the Pooh

Kampanye phishing yang ditargetkan yang ditujukan untuk industri penerbangan selama dua tahun mungkin dipelopori oleh aktor ancaman yang beroperasi di luar Nigeria, menyoroti bagaimana penyerang dapat melakukan serangan dunia maya skala kecil untuk waktu yang lama sambil tetap berada di bawah radar.

Cisco Talos menjuluki serangan malware sebagai “Operation Layover,” berdasarkan penelitian sebelumnya dari tim Intelijen Keamanan Microsoft pada Mei 2021 yang menyelidiki “kampanye dinamis yang menargetkan sektor kedirgantaraan dan perjalanan dengan email spear-phishing yang mendistribusikan loader yang dikembangkan secara aktif, yang kemudian mengirimkan RevengeRAT atau AsyncRAT.”

Pelaku ancaman diyakini telah aktif setidaknya sejak 2013. Serangan tersebut melibatkan email yang berisi dokumen umpan khusus yang berpusat di sekitar industri penerbangan atau kargo yang dimaksudkan sebagai file PDF tetapi tertaut ke file VBScript yang dihosting di Google Drive, yang pada akhirnya mengarah pada pengiriman trojan akses jarak jauh (RAT) seperti AsyncRAT dan njRAT, membuat organisasi rentan terhadap berbagai risiko keamanan. Cisco Talos mengatakan telah menemukan 31 umpan bertema penerbangan yang berbeda sejak Agustus 2018.

Analisis lebih lanjut dari aktivitas yang terkait dengan domain berbeda yang digunakan dalam serangan menunjukkan bahwa aktor menjalin beberapa RAT ke dalam kampanye mereka, dengan infrastruktur yang digunakan sebagai server perintah-dan-kontrol (C2) untuk Cybergate RAT, AsyncRAT, dan file batch yang digunakan sebagai bagian dari rantai malware untuk mengunduh dan menjalankan malware lain.

Selengkapnya: The Hacker News

Malware baru menggunakan Subsistem Windows untuk Linux untuk serangan tersembunyi

September 17, 2021 by Winnie the Pooh

Peneliti keamanan telah menemukan binari Linux berbahaya yang dibuat untuk Windows Subsystem for Linux (WSL), menunjukkan bahwa peretas mencoba metode baru untuk menyusup ke mesin Windows.

Temuan ini menggarisbawahi bahwa aktor ancaman sedang mengeksplorasi metode serangan baru dan memfokuskan perhatian mereka pada WSL untuk menghindari deteksi.

Sampel pertama yang menargetkan lingkungan WSL ditemukan pada awal Mei dan terus muncul setiap dua hingga tiga minggu hingga 22 Agustus. Sampel tersebut bertindak sebagai loader untuk lingkungan WSL dan menikmati deteksi yang sangat rendah pada layanan pemindaian file publik.

Dalam sebuah laporan, peneliti keamanan di Lumen’s Black Lotus Labs mengatakan bahwa file berbahaya memiliki muatan yang disematkan atau mengambilnya dari server jarak jauh.

Langkah selanjutnya adalah menyuntikkan malware ke dalam proses yang berjalan menggunakan panggilan Windows API, sebuah teknik yang tidak baru atau canggih lagi.

Dari sejumlah kecil sampel yang diidentifikasi, hanya satu yang datang dengan alamat IP yang dapat dirutekan secara publik, mengisyaratkan bahwa pelaku ancaman sedang menguji penggunaan WSL untuk menginstal malware di Windows.

File berbahaya terutama mengandalkan Python 3 untuk menjalankan tugasnya dan dikemas sebagai executable ELF untuk Debian menggunakan PyInstaller.

Laporan dari Lumen’s Black Lotus Labs memberikan indicators of compromise (IoC) yang terkait dengan kampanye yang terdeteksi untuk membantu para defenders membuat aturan deteksi. Untuk hash file dan data tentang aktivitas aktor ini, para peneliti merujuk ke halaman GitHub perusahaan.

Selengkapnya: Bleeping Computer

Kriminal siber menjual alat untuk menyembunyikan malware di AMD, GPU NVIDIA

September 2, 2021 by Winnie the Pooh

Penjahat siber membuat langkah menuju serangan dengan malware yang dapat mengeksekusi kode dari unit pemrosesan grafis (GPU) dari sistem yang disusupi.

Meskipun metode ini bukanlah hal baru dan kode demo telah diterbitkan sebelumnya, proyek sejauh ini berasal dari dunia akademis atau tidak lengkap dan tidak disempurnakan.

Awal bulan ini, proof-of-concept (PoC) dijual di forum peretas, berpotensi menandai transisi penjahat siber ke tingkat kecanggihan baru untuk serangan mereka.

Dalam posting singkat di forum peretas, seseorang menawarkan untuk menjual proof-of-concept (PoC) untuk teknik yang mereka katakan menjaga kode berbahaya tetap aman dari solusi keamanan yang memindai RAM sistem.

Penjual hanya memberikan gambaran umum tentang metode mereka, dengan mengatakan bahwa metode tersebut menggunakan buffer memori GPU untuk menyimpan kode berbahaya dan menjalankannya dari sana.

Menurut pengiklan, proyek ini hanya berfungsi pada sistem Windows yang mendukung kerangka kerja OpenCL versi 2.0 ke atas untuk mengeksekusi kode pada berbagai prosesor, termasuk GPU.

Postingan tersebut juga menyebutkan bahwa penulis menguji kode pada kartu grafis dari Intel (UHD 620/630), Radeon (RX 5700), dan GeForce (GTX 740M(?), GTX 1650).

Anggota lain dari forum peretas menunjukkan bahwa malware berbasis GPU telah dilakukan sebelumnya, menunjuk ke JellyFish – PoC enam tahun untuk rootkit GPU berbasis Linux.

Penjual membantah memiliki asosiasi dengan malware JellyFish dengan mengatakan bahwa metode mereka berbeda dan tidak bergantung pada pemetaan kode kembali ke ruang pengguna.

Selengkapnya: Bleeping Computer

Pengguna Android: Jangan klik pesan teks ini

September 1, 2021 by Winnie the Pooh

Pesan teks adalah vektor yang semakin populer bagi para peretas dan berbagai macam solusi digital yang belum pernah digunakan untuk memisahkan korban yang tidak curiga dari data atau uang mereka. Terkadang keduanya.

Malware Android yang dikenal sebagai FluBot adalah salah satu contoh ancaman yang menyebar melalui penipuan pesan teks, berhasil menarik korban karena sejumlah alasan berbeda. Sebagian karena rata-rata orang saat ini mungkin jauh lebih kecil kemungkinannya untuk mengklik email jahat.

Tetapi pesan teks yang menyamar sebagai pembaruan “pengiriman paket yang tidak terjawab” yang tampak sah, seperti halnya cara FluBot menyebar, tampaknya jauh lebih mungkin untuk menemukan sasarannya.

Menurut perusahaan keamanan siber Proofpoint, tipe malware Android ini – salah satu dari banyak yang harus diwaspadai – tampaknya melonjak sekali lagi. Ada penurunan dalam aktivitas FluBot pada awal tahun ini, yang dikaitkan dengan penangkapan yang dilakukan di Eropa. Tapi sekarang malware FluBot menyerang lebih banyak negara di Eropa sekali lagi.

Selain itu, meskipun ini tampaknya merupakan ancaman Android, pemilik perangkat Apple mungkin tidak kebal terhadap kerusakan dari FluBot.

Begini cara kerja malware ini. Penipuan pesan teks seharusnya memberi tahu Anda bahwa Anda melewatkan pengiriman paket. Anda mengeklik tautan, dan Anda diminta untuk mengunduh aplikasi phishing. Pada aplikasi tersebut, FluBot bersembunyi di dalamnya.

Setelah mendapatkan izin yang diperlukan dari pengguna? FluBot dapat terus bertindak “sebagai spyware, spammer SMS, dan pencuri kredensial perbankan dan kartu kredit,” menurut Proofpoint.

Dengan ini pengguna disarankan untuk tidak mengklik tautan di dalam teks. Dan hapus pesannya.

Sekali lagi, jika Anda mengharapkan, katakanlah, pengiriman DHL? Cukup kunjungi situs web resmi DHL untuk melacak pengiriman Anda di sana. Jangan gunakan tautan dalam pesan teks. Kunjungi situs web DHL. Jangan. Klik. Tautan. Itu.

Selengkapnya: BGR

Pengembang malware menginfeksi PC sendiri dan data berakhir di platform intel

August 18, 2021 by Winnie the Pooh

Seorang pengembang malware melepaskan kreasi mereka di sistem mereka untuk mencoba fitur baru dan data tersebut berakhir di platform intelijen kejahatan dunia maya, memperlihatkan sekilas upaya kejahatan dunia maya.

Pelaku ancaman adalah pengembang Raccoon, pencuri informasi yang dapat mengumpulkan data dari lusinan aplikasi dan semakin populer selama dua tahun terakhir.

Saat menguji varian stealer, pengembang Raccoon menginfeksi sistem mereka sendiri, sebuah langkah yang segera memicu data mengalir ke server command and control (C2) dan selanjutnya, ke forum cybercrime.

Sistem pengujian yang terinfeksi oleh pengembang Raccoon ditemukan melalui platform Cavalier Hudson Rock, database intelijen kejahatan dunia maya yang memantau mesin yang disusupi.

Alon Gal, salah satu pendiri dan Chief Technology Officer Hudson Rock, mengatakan bahwa infostealer Raccoon memiliki lebih dari satu juta sistem yang disusupi yang dilacak melalui Cavalier.

Peneliti mengatakan kepada BleepingComputer bahwa pengembang infostealer Raccoon menginfeksi mesin mereka pada bulan Februari tetapi tidak diketahui karena tidak menarik karena itu bukan mesin milik klien perusahaan.

Data yang dikumpulkan dari sistem yang terinfeksi sendiri menunjukkan bahwa pengembang menguji kemampuan malware untuk mengekstrak kata sandi dari Google Chrome, atribut penting untuk pencuri informasi apa pun.

Informasi tambahan yang diambil dari komputer uji Raccoon mengungkapkan nama dan beberapa alamat email yang terkait dengan malware.

Sayangnya, detailnya tidak cukup untuk menentukan identitas pengembang Raccoon. Gal mengatakan bahwa pembuat malware “kemungkinan menginfeksi [mesin] dengan sengaja” dan cukup berhati-hati untuk menghapus detail yang dapat mengungkapkan siapa mereka sebelum meluncurkan malware.

Selengkapnya: Bleeping Computer

Malware Discord adalah ancaman yang terus-menerus dan terus berkembang, Sophos memperingatkan

August 13, 2021 by Winnie the Pooh

Beberapa minggu yang lalu, perusahaan keamanan siber terkemuka Sophos mengeluarkan peringatan bahwa Discord menjadi target yang semakin umum bagi peretas.

Beberapa aktor siber yang mendorong keluar malware cenderung menargetkan pengguna layanan online yang sukses, dan mempertimbangkan 140 juta plus pengguna aktif Discord — dengan lebih dari 300 juta terdaftar hingga saat ini — yang menjadikan perangkat lunak obrolan sebagai target yang cukup menarik.

Sophos mencatat jumlah deteksi malware selama beberapa bulan terakhir telah meningkat hampir 140 kali lipat dari periode yang sama tahun lalu. Dan sebagian dari masalah itu bermuara pada bagaimana file Discord disimpan di cloud.

“Setelah file diunggah ke Discord, mereka dapat bertahan tanpa batas waktu kecuali jika dilaporkan atau dihapus,” kata laporan itu.

Dalam penelitiannya tentang jenis malware yang mengotori penyimpanan cloud Discord, Sophos menemukan banyak alat game cheating. Beberapa dimaksudkan untuk mengeksploitasi protokol integrasi Discord untuk merusak permainan lawan, dan beberapa diiklankan sebagai ‘penyempurnaan’ yang dimaksudkan untuk membuka kunci konten berbayar, kunci, dan bypass. Maksud sebenarnya adalah bahwa hanya sedikit yang ditemukan mengandung perangkat lunak cheating yang dimaksud, sebagian besar sebenarnya adalah beberapa bentuk pencurian kredensial yang menyamar.

Di antara cheat-bait, kejahatan lain menyelinap tanpa terdeteksi: keluarga malware pembajak kata sandi, spyware, aplikasi android palsu yang dimaksudkan untuk menangkap info keuangan atau mencegat transaksi.

Sophos menjelaskan, “Aktor ancaman di balik operasi ini menggunakan rekayasa sosial untuk menyebarkan malware pencuri kredensial, kemudian menggunakan kredensial Discord yang diambil korban untuk menargetkan pengguna Discord tambahan.”

Selengkapnya: PC Gamer

Malware Android baru merekam ponsel cerdas melalui VNC untuk mencuri kata sandi

July 29, 2021 by Winnie the Pooh

Peneliti keamanan telah menemukan bagian baru dari malware Android yang menggunakan teknologi VNC untuk merekam dan menyiarkan aktivitas smartphone korban, memungkinkan pelaku ancaman untuk mengumpulkan penekanan keyboard dan kata sandi aplikasi.

Pertama kali ditemukan pada Maret 2021 oleh perusahaan keamanan Belanda ThreatFabric, malware baru ini, bernama Vultur, adalah penyimpangan dari jenis malware Android lainnya yang biasanya mengandalkan layar login palsu yang mengambang di atas aplikasi yang sah untuk mengumpulkan kredensial korban.

Sebagai gantinya, Vultur membuka server VNC di ponsel yang terinfeksi, dan menyiarkan tangkapan layar ke server perintah dan kontrol penyerang, tempat operator Vultur mengekstrak kata sandi untuk aplikasi yang diinginkan.

selengkapnya : therecord.media

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings