Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Malware untuk Penipuan Iklan Menjadi Lebih Canggih

by

Minggu lalu, Facebook mengungkapkan bahwa perusahaan telah menemukan serangan luas pada penggunanya yang telah membobol akun, mengumpulkan kredensial dan token sesi, dan menggunakan akses untuk membeli iklan, barang palsu, dan untuk membuat ulasan produk palsu.

Disebut SilentFade – yang menurut perusahaan adalah singkatan dari “Diam-diam Menjalankan Iklan Facebook dengan Eksploitasi” – sistem pengguna yang terinfeksi malware dan mengakibatkan biaya lebih dari $4 juta, Facebook menyatakan dalam analisisnya.

Kampanye ini – yang ditemukan Facebook pada Desember 2018 dan telah mengambil tindakan pada dua bulan kemudian, menghindari deteksi ancaman dengan mencuri cookie sesi dari pengguna dan masuk dari alamat IP yang secara geografis dekat dengan korban.

SilentFade juga menonaktifkan banyak peringatan dan pemberitahuan keamanan dan menggunakan exploit untuk mencegah pengguna membatalkan perubahan, menurut peneliti perusahaan.

Selain itu, SilentFade mencuri cookie yang berisi token sesi, yang sering dianggap lebih berharga daripada sandi, karena cookie merupakan bukti pasca-otentikasi bahwa pengguna memberikan kredensial yang benar. Dengan menggunakan cookie alih-alih mencuri nama pengguna dan kata sandi, penyerang sering menghindari otentikasi dua faktor.

Komponen pencuri cookie dari SilentFade menargetkan sejumlah besar browser, termasuk Chrome, Opera, Internet Explorer, Edge, dan lainnya.

Facebook telah memperkuat layanannya terhadap SilentFade dan serangan grup lainnya, tetapi menekankan bahwa platform media sosial lainnya mungkin masih terpengaruh oleh kampanye penipuan iklan.

Berita selengkapnya dapat di baca pada tautan di bawah ini;
Source: Dark Reading

Dua merchant perhotelan Amerika Utara diretas pada bulan Mei dan Juni

by

Dalam peringatan keamanan yang diterbitkan pada hari Kamis, Visa mengungkapkan bahwa dua merchant perhotelan Amerika Utara diretas dan sistem mereka terinfeksi malware point-of-sale (POS) awal tahun ini.

Malware POS dirancang untuk menginfeksi sistem Windows, mencari aplikasi POS, kemudian mencari dan memantau memori komputer untuk detail kartu pembayaran yang sedang diproses di dalam aplikasi pembayaran POS.

PERETASAN BULAN JUNI: HACKERS MENGGUNAKAN TIGA STRAIN POS MALWARE YANG BERBEDA

Dari kedua insiden tersebut, insiden kedua yang terjadi pada bulan Juni adalah yang paling menarik dilihat dari sudut pandang insiden respon (IR).

Visa mengatakan telah menemukan tiga jenis malware POS di jaringan korban – yaitu RtPOS, MMon (alias Kaptoxa), dan PwnPOS. Alasan mengapa geng malware menyebarkan tiga jenis malware tidak diketahui, tetapi bisa jadi penyerang ingin memastikan mereka mendapatkan semua data pembayaran dari berbagai sistem.

PERETASAN BULAN MEI: MENGGUNAKAN EMAIL PHISHING SEBAGAI TITIK MASUK

Malware POS yang digunakan dalam insiden ini diidentifikasi sebagai versi strain TinyPOS.

Dua serangan baru-baru ini menunjukkan bahwa terlepas dari peningkatan dan perhatian baru-baru ini bahwa insiden skimming web (magecart) dan ransomware semakin meningkat di media, geng-geng kejahatan siber tidak melupakan penargetan sistem POS.

“Serangan baru-baru ini menunjukkan minat terus-menerus pelaku ancaman dalam menargetkan sistem POS merchant untuk mengambil data rekening pembayaran saat ini,” kata Visa.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Peretas membocorkan file yang dicuri dalam serangan ransomware K-Electric Pakistan

by

Minggu ini, Netwalker telah merilis arsip file berukuran 8,5 GB yang diduga dicuri dari K-Electric selama serangan ransomware pada September lalu.

Perusahaan keamanan siber Pakistan, Rewterz, yang memeriksa isi arsip, mengatakan kepada BleepingComputer bahwa arsip itu berisi informasi sensitif seperti data keuangan, informasi pelanggan, laporan teknik, catatan pemeliharaan, dan banyak lagi.
Data yang dibocorkan
Data ini mencakup laporan laba rugi yang tidak diaudit, diagram teknik untuk turbin, dan gambar pernyataan pelanggan yang ditandai dari K-Electric.

Daata Pelanggan K-Electric

Dengan beragam informasi yang diungkapkan sebagai bagian dari serangan ini, pelanggan harus berhati-hati bahwa informasi pribadi mereka mungkin telah tersebar.
Penting juga bagi K-Electric untuk bersikap transparan tentang info yang dibuka sehingga karyawan dan pelanggan dapat melindungi diri mereka sendiri dengan memadai.
BleepingComputer telah menghubungi K-Electric untuk pernyataan lebih lanjut namun belum menerima balasan.

Source : Bleeping Computer

Spammer Menyelundupkan LokiBot Melalui Taktik Obfuscation URL

by

Pelaku spam mulai menggunakan teknik penyamaran URL rumit untuk menghindari deteksi – dan pada akhirnya menginfeksi korban dengan trojan LokiBot.

Taktik itu ditemukan dalam email spear-phishing baru-baru ini dengan lampiran PowerPoint, yang berisi makro berbahaya.

Saat file PowerPoint dibuka, dokumen mencoba mengakses URL melalui binary Windows (mshta.exe), dan ini menyebabkan berbagai malware diinstal ke sistem.

Proses ini bukan hal baru untuk pengunduh makro. Namun, karena domain yang terkait dengan kampanye telah diketahui menghosting file dan data berbahaya, penyerang menggunakan serangan semantik unik pada URL kampanye untuk mengelabui penerima email dan menghindari dideteksi oleh email dan AV.

Serangan URL semantik adalah ketika klien secara manual menyesuaikan parameter permintaannya dengan mempertahankan sintaks URL – tetapi mengubah arti semantiknya.

Email berbahaya yang diamati oleh peneliti berjudul: “URGENT: REQUEST FOR OFFER (University of Auckland)” dan PowerPoint terlampir berjudul “Request For Offer.”

Para spammer di balik serangan ini telah menerobos salah satu komponen skema URI yang disebut komponen Authority, yang memegang bagian informasi pengguna opsional.

Contoh dari struktur Authority ini adalah sebagai berikut: otoritas=[userinfo @]host[:port].

Karena “userinfo” tidak umum digunakan, kadang-kadang diabaikan oleh server, kata peneliti. Dalam kampanye khusus ini, penyerang memanfaatkan fakta ini, memanfaatkan apa yang oleh peneliti disebut sebagai userinfo “dummy” untuk menyembunyikan maksud sebenarnya.

Dalam kampanye khusus ini, URL yang digunakan (j [.] Mp / kassaasdskdd) sebenarnya menggunakan layanan pemendekan URL Bit.ly dan mengarah ke Pastebin. Untuk menghindari deteksi, penyerang berulang kali menggunakan string pendek acak (“% 909123id”) di bagian userinfo di URL mereka.

“Aktor siber mencoba membuat domain tidak terlalu mencolok namun tetap sesuai dengan sintaks URI generik,” kata peneliti.

Credit: Trustwave

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Bagaimana geng malware Cina menipu pengguna Facebook

by

Pada konferensi keamanan Virus Bulletin 2020, anggota tim keamanan Facebook telah mengungkapkan detail mengenai salah satu operasi malware paling canggih yang pernah menargetkan pengguna Facebook.

Dikenal sebagai SilentFade, geng malware ini aktif antara akhir 2018 dan Februari 2019, ketika tim keamanan Facebook mendeteksi keberadaan mereka dan turun tangan untuk menghentikan serangan mereka.

SilentFade menggunakan kombinasi trojan Windows, injeksi browser, scripting cerdik, dan bug di platform Facebook, menunjukkan modus operandi canggih yang jarang terlihat dengan geng malware yang menargetkan platform Facebook.

Tujuan operasi SilentFade adalah untuk menginfeksi pengguna dengan trojan, membajak browser pengguna, dan mencuri kata sandi dan cookie browser sehingga mereka dapat mengakses akun Facebook.

Setelah memiliki akses, grup tersebut menelusuri akun yang memiliki jenis metode pembayaran apa pun yang dilampirkan ke profil mereka. Untuk akun ini, SilentFade membeli iklan Facebook dengan dana korban.

Meskipun beroperasi hanya selama beberapa bulan, Facebook mengatakan grup tersebut berhasil menipu pengguna yang terinfeksi lebih dari $4 juta, yang mereka gunakan untuk memposting iklan Facebook berbahaya di seluruh jejaring sosial.

Geng malware ini menyebarkan versi modern SilentFade dengan menggabungkannya dengan perangkat lunak resmi yang mereka tawarkan untuk diunduh secara online.

Setelah pengguna terinfeksi, trojan SilentFade akan mengambil kendali atas komputer Windows korban, namun alih-alih menyalahgunakan sistem untuk operasi yang lebih mengganggu, malware hanya mengganti file DLL yang sah di dalam instalasi browser dengan versi jahat dari DLL yang sama yang memungkinkan geng SilentFade untuk mengontrol browser.

Browser yang ditargetkan termasuk Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa, dan Browser Yandex.

Facebook juga mengatakan SilentFade adalah bagian dari tren yang lebih besar dan generasi baru pelaku kejahatan siber yang tampaknya tinggal di China dan terus-menerus menargetkan platformnya.

Berita selengkapnya dapat dilihat di tautan di bawah ini;
Source: ZDNet

Google menghapus 17 aplikasi Android yang tertangkap terlibat dalam penipuan penagihan WAP

by

Google telah menghapus 17 aplikasi Android dari Play Store resmi.

17 aplikasi, yang ditemukan oleh peneliti keamanan dari Zscaler, terinfeksi malware Joker (alias Bread).

“Spyware ini dirancang untuk mencuri pesan SMS, daftar kontak, dan informasi perangkat, bersama dengan diam-diam mendaftarkan korban untuk layanan wireless application protocol (WAP) premium,” kata peneliti keamanan Zscaler Viral Gandhi.

17 aplikasi berbahaya diunggah di Play Store bulan ini dan telah diunduh lebih dari 120.000 kali sebelum terdeteksi.

Aplikasi tersebut adalah:

  • All Good PDF Scanner
  • Mint Leaf Message-Your Private Message
  • Unique Keyboard – Fancy Fonts & Free Emoticons
  • Tangram App Lock
  • Direct Messenger
  • Private SMS
  • One Sentence Translator – Multifunctional Translator
  • Style Photo Collage
  • Meticulous Scanner
  • Desire Translate
  • Talent Photo Editor – Blur focus
  • Care Message
  • Part Message
  • Paper Doc Scanner
  • Blue Scanner
  • Hummingbird PDF Converter – Photo to PDF
  • All Good PDF Scanner

Cara aplikasi yang terinfeksi ini berhasil menyelinap melewati pertahanan Google dan mencapai Play Store adalah melalui teknik yang disebut “droppers”, di mana perangkat korban terinfeksi dalam proses multi-tahap.

Pembuat malware mulai dengan mengkloning fungsionalitas aplikasi yang sah dan mengunggahnya di Play Store. Aplikasi ini berfungsi penuh, meminta akses ke izin berbahaya, tetapi juga tidak melakukan tindakan berbahaya saat pertama kali dijalankan.

Karena tindakan jahat biasanya tertunda selama berjam-jam atau berhari-hari, pemindaian keamanan Google tidak menemukan kode berbahaya tersebut, dan Google biasanya mengizinkan aplikasi tersebut untuk dicantumkan di Play Store.

Namun, begitu berada di perangkat pengguna, aplikasi tersebut akhirnya mendownload dan “menjatuhkan” komponen atau aplikasi lain di perangkat yang berisi malware Joker atau jenis malware lainnya.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Microsoft, Italia, dan Belanda memperingatkan peningkatan aktivitas Emotet

by

Dua minggu setelah agen keamanan siber dari Prancis, Jepang, dan Selandia Baru menerbitkan peringatan tentang peningkatan aktivitas Emotet, peringatan baru telah diterbitkan minggu lalu oleh lembaga di Italia dan Belanda, dan juga oleh Microsoft.

Peringatan baru ini muncul karena aktivitas Emotet terus meningkat, mengerdilkan operasi malware lain yang aktif saat ini.

“Akhir-akhir ini sangat banyak spam [Emotet],” kata Joseph Roosen, anggota Cryptolaemus, sekelompok peneliti keamanan yang melacak kampanye malware Emotet, kepada ZDNet.

“Saya menerima sekitar 400 email di [pekerjaan harian] saya pada hari Senin ketika biasanya hanya sekitar selusin atau kurang dari 100 pada hari yang baik,” kata Roosen, menempatkan lonjakan baru-baru ini dalam perspektif.

“Ini telah terjadi dalam dua minggu terakhir.”

Peringatan dari Microsoft dan otoritas Italia juga memperingatkan tentang perubahan terbaru lainnya dalam kampanye spam Emotet, yang sekarang juga memanfaatkan file ZIP yang dilindungi kata sandi daripada dokumen Office.

Roosen memberi tahu ZDNet bahwa Emotet telah menggunakan teknik ini sejak pertengahan 2019, tetapi baru-baru ini mereka mulai meningkatkan prevalensinya di antara kampanye spam Emotet, oleh karena itu mengapa Microsoft dan yang lainnya sekarang bereaksi terhadap kemunculannya yang tiba-tiba.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

CISA memperingatkan peningkatan yang signifikan dalam malware LokiBot

by

Cybersecurity and Infrastructure Security Agency (CISA) mengatakan bahwa platform keamanan in-house (EINSTEIN Intrusion Detection System) telah mendeteksi aktivitas berbahaya yang terus-menerus terkait infeksi LokiBot.

Lonjakan Juli dalam aktivitas LokiBot yang dilihat oleh CISA juga dikonfirmasi oleh tim Malwarebytes Threat Intelligence, yang mengatakan kepada ZDNet dalam sebuah wawancara bahwa mereka juga telah melihat lonjakan serupa pada infeksi LokiBot selama tiga bulan terakhir.

Ini adalah penyebab kekhawatiran karena LokiBot adalah salah satu jenis malware paling berbahaya dan tersebar luas saat ini. Juga dikenal sebagai Loki atau Loki PWS, trojan LokiBot adalah apa yang disebut sebagai “pencuri informasi”.

Ia bekerja dengan menginfeksi komputer dan kemudian menggunakan kemampuan bawaannya untuk mencari aplikasi yang diinstal secara lokal dan mengekstrak kredensial dari database internal mereka.

Secara default, LokiBot dapat menargetkan browser, klien email, aplikasi FTP, dan dompet cryptocurrency.

Security Advisory CISA mengenai LokiBot yang diterbitkan berisi saran deteksi dan mitigasi untuk menangani serangan dan infeksi LokiBot.

Security Advisory dapat diakses melalui link di bawah;
Source: CISA Advisory | ZDNet