Malware

Perubahan merek Pulse BP Chargemaster memungkinkan penjahat mengirim trojan perbankan IcedID dari kotak surat yang sebelumnya sah

March 26, 2021 by Winnie the Pooh

BP Chargemaster, pemasok soket untuk kendaraan listrik, tampaknya domain emailnya dibajak oleh penjahat yang menggunakan alamat yang sebelumnya sah untuk mengirim trojan perbankan ke pelanggan.

Email yang mengandung malware dikirim dari alamat email perusahaan awal bulan ini – dan lampirannya menyertakan malware pencuri kredensial IcedID.

Tampaknya server email perusahaan mungkin dibiarkan tanpa pengawasan setelah BP Chargemaster berganti nama menjadi BP Pulse pada awal Desember 2020. Selama pengubahan citra, situs web BP Chargemaster dan Polar digantikan oleh bppulse.co.uk, “untuk menghindari kebingungan “.

Pembaca register Matt menerima beberapa email dari BP Chargemaster yang dia yakin tidak berasal dari perusahaan.

Namun ketika dia mulai mendengar kabar dari pengirim itu lagi, email yang dia terima berisi teks seperti “Halo. Terlampir di bawah membutuhkan perhatian Anda,” mendesak Matt untuk membuka file .zip terlampir. Bacaan lainnya: “Silakan lihat file terlampir. Pasti menarik.” Kedua pesan tersebut tampaknya telah dikirim dari alamat email bpchargemaster [.] Com, dan Matt memperhitungkan pada saat mereka telah lulus validasi Sender Policy Framework (SPF).

Kami meminta F-Secure untuk melihat lampiran berbahaya yang dikirim ke Matt dan Calvin Gan perusahaan, manajer senior di Unit Pertahanan Taktis, mengatakan kepada The Register: “Email tersebut adalah kampanye malspam yang menyebarkan versi baru dari trojan perbankan IcedID . File zip berisi spreadsheet Excel berbahaya yang menggunakan fitur makro Excel 4.0 untuk menyembunyikan kodenya. ”

Dia menambahkan bahwa infosec Binary Defense memiliki catatan terbaru tentang evolusi terbaru trojan. Perusahaan menemukan bahwa ketika berhasil diterapkan, trojan tersebut menjatuhkan suar Cobalt Strike dan penjahat kemudian memetakan jaringan tempat orang jahat itu mendarat, dengan menyatakan: “IcedID adalah ancaman hebat yang membuat analisis menjadi kompleks dan menantang.”

Ini pertama kali ditemukan pada tahun 2017 oleh divisi keamanan X-Force IBM, seperti yang kami laporkan pada saat itu.

selengkapnya : www.theregister.com

Malware Purple Fox masuk ke sistem Windows yang terekspos

March 24, 2021 by Winnie the Pooh

Purple Fox, malware yang sebelumnya didistribusikan melalui exploit kits dan email phishing, kini telah menambahkan modul worm yang memungkinkannya memindai dan menginfeksi sistem Windows yang dapat dijangkau melalui Internet dalam serangan yang sedang berlangsung.

Malware ini hadir dengan kemampuan rootkit dan backdoor, pertama kali terlihat pada tahun 2018 setelah menginfeksi setidaknya 30.000 perangkat, dan digunakan sebagai pengunduh untuk menyebarkan jenis malware lainnya.

Mulai Mei 2020, serangan Purple Fox telah meningkat secara signifikan, mencapai total 90.000 serangan dan 600% lebih banyak infeksi, menurut peneliti keamanan Guardicore Labs Amit Serper dan Ophir Harpaz.

Upaya pemindaian dan eksploitasi port aktif malware dimulai pada akhir tahun lalu berdasarkan telemetri yang dikumpulkan menggunakan Guardicore Global Sensors Network (GGSN).

Setelah menemukan sistem Windows yang terbuka saat memindai perangkat yang dapat dijangkau melalui Internet, modul worm yang baru ditambahkan ke Purple Fox menggunakan SMB password brute force untuk menginfeksinya. Sejauh ini, Purple Fox telah menyebarkan malware dropper dan modul tambahan pada jaringan bot yang luas.

Perangkat yang terjerat dalam botnet ini termasuk mesin Windows Server yang menjalankan IIS versi 7.5 dan Microsoft FTP, dan server yang menjalankan Microsoft RPC, Microsoft Server SQL Server 2008 R2, dan Microsoft HTTPAPI httpd 2.0, dan Layanan Terminal Microsoft.

Setelah menerapkan rootkit dan me-reboot perangkat, malware akan mengganti nama muatan DLL-nya agar sesuai dengan DLL sistem Windows dan akan mengkonfigurasinya untuk diluncurkan saat sistem dimulai.

Setelah malware dijalankan pada peluncuran sistem, setiap sistem yang terinfeksi kemudian akan menunjukkan perilaku mirip worm yang sama, terus-menerus memindai Internet untuk mencari target lain dan mencoba menyusupinya dan menambahkannya ke botnet.

Indicators of compromise (IOC) tersedia di repositori GitHub ini.

Selengkapnya: Bleeping Computer

Penipu memanfaatkan Clubhouse yang sedang populer untuk mendorong aplikasi Android berbahaya

March 20, 2021 by Winnie the Pooh

Sebuah aplikasi jahat baru sedang berputar-putar dengan berpura-pura menjadi versi Android Clubhouse yang paling banyak dicari.

Clubhouse adalah aplikasi obrolan audio khusus undangan yang memungkinkan pengguna mendengarkan percakapan secara real-time. Perhatian di sekitar aplikasi meledak setelah Elon Musk men-tweet tentang aplikasi tersebut, tetapi sebagai layanan gratis yang hanya tersedia saat ini di iOS, pemegang perangkat Android mungkin merasa agak ketinggalan.

Startup tersebut belum meluncurkan Clubhouse versi Android, tetapi hingga saat itu, para penipu berharap untuk dapat menipu pengguna agar mengunduh perangkat lunak berbahaya.

Pada hari Jumat, ESET mengungkapkan penemuan aplikasi Android yang disajikan dari tiruan situs web Clubhouse. Meskipun untungnya tidak ditemukan telah terselip pada jaring keamanan di Google Play – gudang resmi untuk aplikasi Android – peneliti Lukas Stefanko mengatakan situs web tersebut menggunakan tombol “Dapatkan di Google Play” untuk mencoba dan membodohi pengunjung agar percaya bahwa aplikasi itu sah.

Jika diunduh dan dijalankan, .APK berbahaya akan menyebarkan BlackRock, Trojan perbankan yang mampu melakukan pencurian data ekstensif.

Dalam hal pencurian informasi, BlackRock tidak hanya dapat mencuri informasi perangkat / OS dan pesan teks. Sebaliknya, ESET mengatakan malware tersebut dilengkapi untuk mencuri konten dari 458 layanan online.

Selengkapnya: ZDNet

Malware CopperStealer baru mencuri akun Google, Apple, Facebook

March 19, 2021 by Winnie the Pooh

Malware pencuri akun yang sebelumnya tidak diketahui yang didistribusikan melalui situs crack perangkat lunak palsu menargetkan pengguna penyedia layanan utama, termasuk Google, Facebook, Amazon, dan Apple.

Malware, yang dijuluki CopperStealer oleh peneliti Proofpoint, adalah pencuri kata sandi dan cookie yang dikembangkan secara aktif dengan fitur pengunduh yang memungkinkan operatornya mengirimkan muatan berbahaya tambahan ke perangkat yang terinfeksi.

Aktor ancaman di balik malware ini telah menggunakan akun yang disusupi untuk menjalankan iklan berbahaya dan mengirimkan malware tambahan dalam kampanye malvertising berikutnya.

“Sementara kami menganalisis sampel yang menargetkan akun bisnis dan pengiklan Facebook dan Instagram, kami juga mengidentifikasi versi tambahan yang menargetkan penyedia layanan utama lainnya, termasuk Apple, Amazon, Bing, Google, PayPal, Tumblr, dan Twitter,” kata Proofpoint dalam laporan yang mereka terbitkan.

CopperStealers bekerja dengan memanen kata sandi yang disimpan di browser web Google Chrome, Edge, Firefox, Yandex, dan Opera.

Itu juga akan mengambil Token Akses Pengguna Facebook korban menggunakan cookie curian untuk mengumpulkan konteks tambahan, termasuk daftar teman mereka, info akun iklan, dan daftar halaman Facebook yang dapat mereka akses.

Malware yang dijatuhkan menggunakan modul pengunduh CopperStealer mencakup backdoor Smokeloader modular dan beragam muatan berbahaya lainnya yang diunduh dari beberapa URL.

Selengkapnya: Bleeping Computer

Pengembang Apple menjadi sasaran malware baru, EggShell backdoor

March 19, 2021 by Winnie the Pooh

Proyek Xcode berbahaya digunakan untuk membajak sistem pengembang dan menyebarkan backdoor EggShell khusus.

Malware, yang dijuluki XcodeSpy, menargetkan Xcode, lingkungan pengembangan terintegrasi (IDE) yang digunakan di macOS untuk mengembangkan perangkat lunak dan aplikasi Apple.

Menurut penelitian yang diterbitkan oleh SentinelLabs pada hari Kamis, fitur Run Script di IDE sedang dieksploitasi dalam serangan bertarget terhadap pengembang iOS melalui proyek Trojanized Xcode yang dibagikan secara bebas secara online.

Proyek Xcode sumber terbuka yang sah dapat ditemukan di GitHub. Namun, dalam kasus ini, proyek XcodeSpy menawarkan “advanced features” untuk menganimasikan bilah tab iOS – dan setelah versi awal diunduh dan diluncurkan, skrip berbahaya diterapkan untuk memasang backdoor EggShell.

Dua varian EggShell telah terdeteksi – dan salah satunya berbagi string terenkripsi dengan XcodeSpy. Backdoor ini mampu membajak mikrofon, kamera, dan keyboard pengembang korban, serta mengambil dan mengirim file ke C2 penyerang.

SentinelLabs mengatakan bahwa setidaknya satu organisasi AS telah terperangkap dalam serangan seperti ini dan pengembang di Asia mungkin juga telah terpengaruh oleh kampanye, yang beroperasi setidaknya antara Juli dan Oktober tahun lalu.

Selengkapnya: ZDNet

Malware trojan ini sekarang menjadi masalah keamanan terbesar Anda

March 12, 2021 by Winnie the Pooh

Malware Trickbot telah meningkat untuk mengisi celah yang ditinggalkan oleh penghapusan botnet Emotet, dengan jumlah penjahat yang lebih tinggi beralih ke sana untuk mendistribusikan serangan malware.

Emotet adalah botnet malware paling produktif dan berbahaya di dunia sebelum diganggu oleh operasi penegakan hukum internasional pada Januari tahun ini.

Sementara gangguan Emotet merupakan pukulan bagi penjahat dunia maya, mereka dengan cepat beradaptasi dan sekarang Trickbot telah menjadi bentuk malware yang paling umum.

Trickbot menawarkan banyak kemampuan yang sama dengan Emotet, memberikan penjahat dunia maya sarana untuk mengirimkan malware tambahan ke mesin yang disusupi – dan menurut analisis kampanye malware oleh peneliti keamanan siber di Check Point, itu sekarang menjadi malware yang paling umum didistribusikan di dunia.

Pertama kali didistribusikan pada tahun 2016, Trickbot telah lama berada di sana dengan bentuk malware paling produktif, tetapi dengan tindakan keras terhadap Emotet, dengan cepat menjadi cara yang lebih populer bagi penjahat untuk mendistribusikan kampanye serangan dunia maya pilihan mereka secara luas.

Tetapi Trickbot bukanlah satu-satunya ancaman malware bagi organisasi dan kampanye kriminal dunia maya lainnya juga telah membantu mengisi celah yang ditinggalkan oleh gangguan Emotet.

selengkapnya : ZDNET

Peretas negara bagian China menargetkan sistem Linux dengan malware baru

March 12, 2021 by Winnie the Pooh

Peneliti keamanan di Intezer telah menemukan backdoor yang sebelumnya tidak dikenali yang dijuluki RedXOR, dengan tautan ke grup peretasan yang disponsori China dan digunakan dalam serangan berkelanjutan yang menargetkan sistem Linux.

Sampel malware RedXOR yang ditemukan oleh Intezer diunggah ke VirusTotal (1, 2) dari Taiwan dan Indonesia (target yang diketahui untuk peretas negara China) dan memiliki tingkat deteksi yang rendah.

Berdasarkan server perintah-dan-kontrol yang masih aktif, backdoor Linux digunakan dalam serangan yang sedang berlangsung yang menargetkan server dan endpoint Linux.

RedXOR hadir dengan sejumlah besar kemampuan, termasuk menjalankan perintah dengan hak istimewa sistem, mengelola file pada kotak Linux yang terinfeksi, menyembunyikan prosesnya menggunakan rootkit sumber terbuka Adore-ng, membuat proxy lalu lintas berbahaya, memperbarui jarak jauh, dan banyak lagi.

Malware baru itu diyakini sebagai alat berbahaya baru yang ditambahkan ke gudang senjata kelompok ancaman Winnti China.

Intezer juga menemukan banyak koneksi antara backdoor Linux RedXOR dan beberapa strain malware yang terhubung ke peretas Winnti state, termasuk backdoor PWNLNX dan botnet Groundhog dan XOR.DDOS.

Selengkapnya:

Malware Go sekarang menjadi umum dan telah diadopsi oleh APT serta kelompok kejahatan lainnya

March 1, 2021 by Winnie the Pooh

Jumlah malware yang dikodekan dalam bahasa pemrograman Go telah mengalami peningkatan tajam sekitar 2.000% selama beberapa tahun terakhir, sejak 2017, kata perusahaan keamanan siber Intezer dalam sebuah laporan yang diterbitkan minggu ini.

Temuan perusahaan menyoroti dan mengkonfirmasi tren umum dalam ekosistem malware, di mana pembuat malware perlahan-lahan beralih dari C dan C ++ ke Go, bahasa pemrograman yang dikembangkan dan diluncurkan oleh Google pada tahun 2007.

Sementara malware berbasis Go pertama terdeteksi pada tahun 2012, bagaimanapun, butuh beberapa tahun bagi Golang untuk menguasai dunia malware.

Malware berbasis Go digunakan oleh kelompok peretasan negara-bangsa (juga dikenal sebagai APT), operator kejahatan siber, dan bahkan tim keamanan, yang sering menggunakannya untuk membuat perangkat pengujian penetrasi.

Ada tiga alasan utama mengapa popularitas Golang mengalami peningkatan tajam yang tiba-tiba ini. Yang pertama adalah Go mendukung proses yang mudah untuk kompilasi lintas platform.

Alasan kedua adalah bahwa binari berbasis Go masih sulit untuk dianalisis dan di-reverse engineer oleh peneliti keamanan, yang membuat tingkat deteksi untuk malware berbasis Go sangat rendah. Alasan ketiga terkait dengan dukungan Go untuk bekerja dengan paket dan permintaan jaringan.

Go menyediakan malware dengan semua alat yang mereka butuhkan di satu tempat, dan mudah untuk melihat mengapa banyak pembuat kode malware meninggalkan C dan C ++ karenanya. Ketiga alasan ini adalah mengapa kita melihat lebih banyak malware Golang di tahun 2020 daripada sebelumnya.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings