Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Malware Lemon Duck belum selesai mengganggu Windows dan Linux, malware ini terus berkembang

by

Lemon Duck menyebabkan lebih banyak masalah dari sebelumnya. Awalnya, itu hanya botnet cryptocurrency yang memungkinkan penambangan di mesin. Kemudian memulai transisi menjadi pemuat malware, yang membawa kita ke pembaruan terbaru dari Microsoft tentang status bebek digital jahat yang mengandung jeruk.

“Hari ini, selain menggunakan sumber daya untuk bot tradisional dan aktivitas penambangan, LemonDuck mencuri kredensial, menghapus kontrol keamanan, menyebar melalui email, bergerak ke samping, dan pada akhirnya menjatuhkan lebih banyak alat untuk aktivitas yang dioperasikan manusia,” Laporan keamanan Microsoft berbunyi, merinci banyak cara Lemon Duck (sekarang disebut sebagai LemonDuck oleh Microsoft) dapat membahayakan seseorang. Lebih buruk lagi, itu tidak eksklusif untuk satu platform. LemonDuck akan menyerang Windows serta Linux, dan menyebar melalui email phishing, perangkat USB, eksploitasi, dan banyak lagi.

Bisa dibilang, bagian paling menakutkan dari LemonDuck adalah fakta bahwa ia sangat pandai menutupi jejaknya.

“[LemonDuck] terus menggunakan kerentanan lama, yang menguntungkan penyerang pada saat fokus beralih ke menambal kerentanan populer daripada menyelidiki kompromi. Khususnya, LemonDuck menghapus penyerang lain dari perangkat yang disusupi dengan menyingkirkan malware yang bersaing dan mencegah infeksi baru dengan menambal kerentanan yang sama yang digunakan untuk mendapatkan akses.”

Selengkapnya: Windows Central

Microsoft memperingatkan malware yang tidak biasa ini yang menargetkan Windows dan Linux

by

Microsoft memperingatkan pelanggan tentang malware penambangan kripto LemonDuck yang menargetkan sistem Windows dan Linux dan menyebar melalui email phishing, eksploitasi, perangkat USB, dan serangan brute force, serta serangan yang menargetkan kerentanan Server Exchange lokal yang kritis yang terungkap pada bulan Maret .

Grup tersebut diketahui menggunakan bug Exchange untuk menambang cryptocurrency pada bulan Mei, dua tahun setelah pertama kali muncul.

Khususnya, grup di belakang LemonDuck memanfaatkan bug keamanan profil tinggi dengan mengeksploitasi kerentanan lama selama periode di mana tim keamanan fokus untuk menambal kelemahan kritis, dan bahkan menghapus malware saingan.

“[LemonDuck] terus menggunakan kerentanan lama, yang menguntungkan penyerang pada saat fokus beralih ke menambal kerentanan populer daripada menyelidiki kompromi,” catatan Microsoft 365 Defender Threat Intelligence Team.

selengkapnya : www.zdnet.com

Malware Joker kembali menargetkan jutaan perangkat Android lainnya

by

Malware Joker yang terkenal sekali lagi menemukan jalannya ke Google Play Store resmi dengan membuat penyesuaian halus untuk melewati pemeriksaan otomatis, menurut laporan.

Keluarga malware Joker telah menginfeksi aplikasi di Google Play Store selama beberapa tahun terakhir, dan bahkan muncul di toko aplikasi terkemuka lainnya seperti Huawei.

“Meskipun mengetahui malware khusus ini, ia terus menemukan jalannya ke pasar aplikasi resmi Google dengan menggunakan perubahan dalam kode, metode eksekusi, atau teknik pengambilan muatannya,” saran peneliti dari perusahaan keamanan cloud Zscaler.

Zscaler menyarankan bahwa spyware Joker dirancang untuk mencuri pesan SMS, daftar kontak, dan informasi perangkat dan juga akan secara diam-diam mendaftarkan korban ke layanan protokol aplikasi nirkabel (WAP) premium.

selengkapnya : www.techradar.com

Malware Windows pencuri kata sandi ini didistribusikan melalui iklan di hasil pencarian

by

Bentuk malware yang baru ditemukan yang dikirimkan kepada korban melalui iklan di hasil pencarian digunakan sebagai pintu gerbang untuk mencuri kata sandi, menginstal penambang cryptocurrency, dan mengirimkan malware trojan tambahan.

Dirinci oleh perusahaan keamanan siber Bitdefender, malware – yang menargetkan Windows – telah dijuluki MosaicLoader dan telah menginfeksi korban di seluruh dunia karena mereka yang berada di baliknya berusaha untuk mengkompromikan sebanyak mungkin sistem.

MosaicLoader dapat digunakan untuk mengunduh berbagai ancaman ke mesin yang disusupi, termasuk Glupteba, sejenis malware yang membuat pintu belakang ke sistem yang terinfeksi, yang kemudian dapat digunakan untuk mencuri informasi sensitif, termasuk nama pengguna dan kata sandi, serta informasi keuangan.

Tidak seperti banyak bentuk malware, yang didistribusikan melalui serangan phishing atau kerentanan perangkat lunak yang belum ditambal, MosaicLoader dikirimkan kepada korban melalui iklan.

Tautan ke malware muncul di bagian atas hasil pencarian saat orang mencari versi bajakan dari perangkat lunak populer. Sistem otomatis yang digunakan untuk membeli dan melayani ruang iklan kemungkinan berarti bahwa tidak seorang pun dalam rantai – selain penyerang – tahu bahwa iklan tersebut berbahaya sama sekali.

Perusahaan keamanan mengatakan bahwa karyawan yang bekerja dari rumah berisiko lebih tinggi mengunduh perangkat lunak bajakan.

Ada kemungkinan bahwa malware akan terdeteksi oleh perangkat lunak antivirus, tetapi banyak pengguna yang mengunduh perangkat lunak bajakan secara ilegal kemungkinan telah menonaktifkan perlindungan mereka untuk mengakses dan menginstal unduhan.

Pengguna harus berhati-hati dalam mengikuti petunjuk untuk mematikan perangkat lunak antivirus, karena hal itu dapat menyebabkan perangkat lunak berbahaya diizinkan untuk menyusup ke sistem.

Selengkapnya: ZDNet

Peretas Menggunakan Trik Baru untuk Menonaktifkan Peringatan Keamanan Makro di File Office Berbahaya

by

Sementara itu adalah norma untuk kampanye phishing yang mendistribusikan dokumen Microsoft Office yang dipersenjatai untuk meminta korban mengaktifkan makro untuk memicu rantai infeksi secara langsung, temuan baru menunjukkan penyerang menggunakan dokumen yang tidak berbahaya untuk menonaktifkan peringatan keamanan sebelum mengeksekusi kode makro untuk menginfeksi komputer korban.

Dalam contoh lain pembuat malware terus mengembangkan teknik mereka untuk menghindari deteksi, peneliti dari McAfee Labs menemukan taktik baru yang “mengunduh dan mengeksekusi DLL berbahaya (ZLoader) tanpa ada kode berbahaya di makro lampiran spam awal.”

Infeksi ZLoader yang disebarkan menggunakan mekanisme ini terutama dilaporkan di AS, Kanada, Spanyol, Jepang, dan Malaysia, perusahaan keamanan siber mencatat. Malware — turunan dari trojan perbankan ZeuS yang terkenal — terkenal secara agresif menggunakan dokumen Office berkemampuan makro sebagai vektor serangan awal untuk mencuri kredensial dan informasi pengenal pribadi dari pengguna lembaga keuangan yang ditargetkan.

Dalam menyelidiki intrusi, para peneliti menemukan bahwa rantai infeksi dimulai dengan email phishing yang berisi lampiran dokumen Microsoft Word yang, ketika dibuka, mengunduh file Microsoft Excel yang dilindungi kata sandi dari server jauh. Namun, perlu dicatat bahwa makro harus diaktifkan di dokumen Word untuk memicu unduhan itu sendiri.

selengkapnya : thehackernews.com

Malware Bersembunyi Di Dalam Gambar Profil Steam: Ini Yang Perlu Anda Ketahui

by

Penyerang selalu menemukan cara baru untuk menyebarkan malware. Anda mungkin tidak sengaja mengunduh malware melalui lampiran email atau paket perangkat lunak dari situs web mana pun.

Dan sekarang, penyerang menargetkan toko game populer Steam untuk menyembunyikan malware menggunakan gambar profil. Tetapi apakah Anda berisiko jika menggunakan Steam? Bagaimana jika Anda mengunduh gambar dari Steam?

SteamHide adalah bentuk malware yang bersembunyi di dalam metadata gambar profil Steam, perusahaan keamanan GDATA memperingatkan.

Secara teknis, nilai PropertyTagICCProfile gambar diubah untuk mengenkripsi dan menyembunyikan malware, yang biasanya menyimpan informasi untuk membantu printer mendeteksi warna gambar. Nilai ini adalah bagian dari data EXIF ​​yang ada dalam gambar untuk membantu Anda mengidentifikasi kamera yang digunakan dan informasi terkait lainnya.

Gambar profil atau gambar tersebut bukanlah malware itu sendiri, tetapi merupakan wadah bagi malware tersebut.

Gambar atau gambar profil membantu dalam penyebaran malware ke komputer yang terinfeksi tanpa terdeteksi oleh perangkat lunak antivirus apa pun.

Komputer yang terinfeksi tersebut harus memiliki pengunduh (file berbahaya yang diunduh melalui lampiran email atau situs web) yang mengekstrak malware dari gambar profil Steam, yang dapat diakses publik.

Dengan kata lain, itu mengunduh malware dengan menghubungkan ke gambar yang dihosting di platform Steam.

Kemungkinan besar ada jutaan akun di Steam, dan sulit untuk mengetahui profil mana yang menyimpan malware di dalam gambar profilnya.

Untuk melindungi diri Anda dari SteamHide, Anda harus sangat berhati-hati saat mengunduh sesuatu dari internet. Jika Anda tidak mengunduh sesuatu yang berbahaya ke komputer Anda, gambar dari platform Steam tidak akan berdampak apa pun.

Selengkapnya: Make Use Of

Microsoft Memperingatkan Bahwa Peretas Menggunakan Call Center untuk Menipu Pengguna agar Mengunduh Ransomware

by

Microsoft memperingatkan bahwa kelompok kejahatan siber bernama BazarCall menggunakan pusat panggilan untuk mengelabui pengguna agar menginstal malware yang kuat, ZDNet melaporkan pada hari Rabu.

Malware yang dimaksud, yang dikenal sebagai BazarLoader, telah digunakan untuk mendistribusikan ransomware, yang mengenkripsi komputer atau sistem file jaringan yang ditargetkan dan biasanya mengirimkan permintaan tebusan yang harus dibayar dalam mata uang kripto untuk menyelamatkannya.

Menurut analis intelijen ancaman Palo Alto Networks Brad Duncan, BazarLoader “menyediakan akses pintu belakang ke host Windows yang terinfeksi” dan infeksi biasanya “mengikuti pola aktivitas yang berbeda.” Sejak Februari 2021, tulis Duncan, peneliti keamanan telah memperhatikan pola aktivitas call center yang tidak biasa dalam infeksi BazarLoader.

Duncan menulis bahwa langkah pertama dalam rantai itu adalah email phishing yang menginformasikan target bahwa langganan percobaan untuk beberapa layanan telah berakhir dan akan segera ditagih, mencantumkan nomor telepon untuk dukungan pelanggan.

Saat dihubungi, operator pusat panggilan mengarahkan target untuk mengunduh spreadsheet Excel yang terinfeksi, mengaktifkan makro di dalamnya, dan kemudian memberi tahu mereka bahwa mereka telah berhasil berhenti berlangganan dari layanan. Tanpa sepengetahuan target, BazarLoader sekarang mengendalikan mesin mereka dan dapat mengunduh malware apa pun yang diinginkan orang yang berada di balik peretasan tersebut.

Selengkapnya: Gizmodo

Malware rasis memblokir The Pirate Bay dengan merusak file host Windows korban

by

Malware dicampur dengan julukan rasial mencoba untuk memblokir korban berbasis Windows dari mengunjungi situs berbagi file yang terkait dengan pelanggaran hak cipta, menurut penelitian Sophos baru.

Perangkat lunak berbahaya tersebut merupakan “proses konyol untuk memblokir orang agar tidak pergi ke Pirate Bay,” menurut peneliti Sophos Andrew Brandt, yang menemukan malware tersebut setelah seorang rekan menyebutkannya secara sepintas.

Alih-alih membuka pintu belakang untuk geng ransomware untuk mengeksploitasi atau menjatuhkan muatan berbahaya, malware ini hanya menenggelamkan banyak nama domain Pirate Bay dengan menambahkannya ke file host Windows dan mengarahkannya ke 127.0.0.1 – artinya mereka akan tidak dapat diakses dari mesin korban.

“Kami menemukannya dibagikan melalui BitTorrent,” Brandt menjelaskan kepada The Register. “Ini sangat aneh.”

The Pirate Bay adalah gudang terkenal file yang melanggar hak cipta, mulai dari film hingga game hingga perangkat lunak komersial. Banyak unggahan yang tersedia mengandung malware.

Perangkat lunak jahat Brandt menyamar sebagai salinan retak dari perangkat lunak sah yang tersedia untuk diunduh di BitTorrent atau sebagai tautan yang dibagikan di layanan obrolan-untuk-gamer Discord, yang juga memiliki CDN-nya sendiri yang relatif sedikit diketahui.

selengkapnya :