Malware

Cyberspies Cina menargetkan warga Tibet dengan add-on Firefox yang berbahaya

February 26, 2021 by Winnie the Pooh Leave a Comment

Peretas yang disponsori negara Cina telah mengejar organisasi Tibet di seluruh dunia menggunakan add-on Firefox berbahaya yang dikonfigurasi untuk mencuri data browser Gmail dan Firefox dan kemudian mengunduh malware pada sistem yang terinfeksi.

Serangan tersebut, yang ditemukan oleh perusahaan keamanan siber Proofpoint bulan ini, telah dikaitkan dengan grup yang dilacak perusahaan dengan nama kode TA413.

Proofpoint mengatakan para penyerang menargetkan organisasi Tibet dengan email spear-phishing yang memikat anggotanya di situs web tempat mereka akan diminta memasang pembaruan Flash untuk melihat konten situs.

Situs web ini berisi kode yang memisahkan pengguna. Hanya pengguna Firefox dengan sesi Gmail aktif yang diminta untuk menginstal add-on berbahaya tersebut.

Tim Proofpoint mengatakan bahwa meskipun ekstensi itu bernama “Komponen pembaruan Flash”, itu sebenarnya adalah versi dari add-on “Gmail notifier (restartless)” yang sah, dengan kode berbahaya tambahan.

Proofpoint mengatakan ekstensi tersebut juga mengunduh dan menginstal malware ScanBox pada sistem yang terinfeksi.

Kerangka kerja pengintaian berbasis PHP dan JavaScript, malware ini adalah alat lama yang terlihat pada serangan sebelumnya yang dilakukan oleh kelompok spionase siber Cina.

Dalam kampanye khusus ini, yang diberi nama kode FriarFox oleh Proofpoint, serangan dimulai pada Januari 2021 dan berlanjut sepanjang Februari.

Sumber: ZDNet

Peretas LazyScripter menargetkan maskapai penerbangan dengan trojan akses jarak jauh

February 26, 2021 by Winnie the Pooh

Peneliti keamanan yang menganalisis beberapa set email berbahaya yakin mereka menemukan aktivitas milik aktor yang sebelumnya tidak dikenal yang sesuai dengan deskripsi Advanced Persistent Ancaman (APT).

Aktor tersebut menerima nama LazyScripter dan telah aktif sejak 2018, menggunakan phishing untuk menargetkan individu yang mencari imigrasi ke Kanada untuk mendapatkan pekerjaan, maskapai penerbangan, dan Asosiasi Transportasi Udara Internasional (IATA).

Infrastruktur yang mendukung kampanye jangka panjang ini masih aktif dan pelaku terus berkembang dengan memperbaharui perangkatnya.

Aktivitas terbaru LazyScripter melibatkan penggunaan malware Octopus dan Koadic yang tersedia secara gratis. Keduanya dikirim melalui dokumen berbahaya dan arsip ZIP yang berisi objek yang disematkan (VBScript atau file batch) dan bukan kode makro yang biasa terlihat dalam serangan phishing.

Dengan menggunakan alat pasca-eksploitasi open-source dan malware yang banyak digunakan dalam aktivitas peretasan oleh banyak aktor, LazyScripter meninggalkan sedikit petunjuk tentang atribusi.

Namun, Malwarebytes mencatat bahwa penelitian publik hanya menunjukkan dua aktor ancaman yang telah menggunakan alat pengujian penetrasi Koadic dalam kampanye mereka: MuddyWater yang terkait dengan Iran dan APT28 Rusia (Fancy Bear / Sofacy / Strontium / Sednit).

Perusahaan tersebut mengatakan bahwa mereka tidak menemukan koneksi dengan APT28 tetapi melihat kemiripan dengan MuddyWater di mana kampanye mereka sebelumnya menggunakan Koadic dan PowerShell Empire, dan mengandalkan GitHub untuk menghosting perangkat jahat mereka.

selengkapnya : BleepingComputer

Malware baru yang ditemukan di 30.000 Mac membuat para profesional keamanan bingung

February 21, 2021 by Winnie the Pooh

Sepotong malware yang sebelumnya tidak terdeteksi yang ditemukan di hampir 30.000 Mac di seluruh dunia menghasilkan intrik di lingkaran keamanan, yang masih mencoba untuk memahami dengan tepat apa yang dilakukannya dan apa tujuan dari kemampuan penghancuran dirinya.

Setiap satu jam, Mac yang terinfeksi memeriksa server kontrol untuk melihat apakah ada perintah baru yang harus dijalankan malware atau binari untuk dijalankan. Namun, sejauh ini, para peneliti belum mengamati pengiriman muatan apa pun pada salah satu dari 30.000 mesin yang terinfeksi, sehingga tujuan akhir malware tidak diketahui. Kurangnya muatan akhir menunjukkan bahwa malware dapat beraksi begitu kondisi yang tidak diketahui terpenuhi.

Malware ini terkenal karena versi yang berjalan secara native pada chip M1 yang diperkenalkan Apple pada November, menjadikannya sebagai malware macOS kedua yang diketahui melakukannya. Biner jahat lebih misterius lagi, karena menggunakan macOS Installer JavaScript API untuk menjalankan perintah. Itu membuat sulit untuk menganalisis konten paket instalasi atau cara paket tersebut menggunakan perintah JavaScript.

Malware tersebut telah ditemukan di 153 negara dengan deteksi terkonsentrasi di AS, Inggris, Kanada, Prancis, dan Jerman. Penggunaannya atas Amazon Web Services dan jaringan pengiriman konten Akamai memastikan infrastruktur perintah bekerja dengan andal dan juga mempersulit pemblokiran server. Peneliti dari Red Canary, perusahaan keamanan yang menemukan malware tersebut, menyebut malware Silver Sparrow.

selengkapnya : ArsTechnica

Kia Motors America menderita serangan ransomware dengan tebusan $ 20 juta

February 18, 2021 by Winnie the Pooh

Kia Motors America mengalami pemadaman TI nasional yang memengaruhi aplikasi UVO Link seluler, layanan telepon, sistem pembayaran, portal pemilik, dan situs internal yang digunakan oleh dealer.

Saat mengunjungi situs mereka, pengguna akan disambut dengan pesan yang menyatakan bahwa Kia “mengalami gangguan layanan TI yang berdampak pada beberapa jaringan internal”, seperti yang ditunjukkan di bawah ini.

“KMA mengetahui pemadaman TI yang melibatkan sistem internal, dealer dan yang berhubungan dengan pelanggan, termasuk UVO. Kami mohon maaf atas ketidaknyamanan yang terjadi pada pelanggan kami dan sedang bekerja untuk menyelesaikan masalah dan memulihkan operasi bisnis normal secepat mungkin.” klarifikasi dari Kia Motors America.

BleepingComputer memperoleh catatan tebusan yang kami diberitahu dibuat selama dugaan serangan siber Kia Motors America oleh geng ransomware DoppelPaymer.

Dalam catatan tebusan yang dilihat oleh BleepingComputer, para penyerang menyatakan bahwa mereka menyerang Hyundai Motor America, perusahaan induk Kia. Hyundai tampaknya tidak terpengaruh oleh serangan ini.

Catatan tebusan berisi link ke halaman korban pribadi di situs pembayaran DoppelPaymer Tor yang sekali lagi menyatakan targetnya adalah ‘Hyundai Motor America.’

Halaman korban Tor mengatakan bahwa “sejumlah besar” data telah dicuri, atau dieksfiltrasi, dari Kia Motors America dan akan dirilis dalam 2-3 minggu jika perusahaan tidak bernegosiasi dengan pelaku ancaman.

DoppelPaymer dikenal karena mencuri file yang tidak dienkripsi sebelum mengenkripsi perangkat dan kemudian memposting bagian di situs kebocoran data mereka untuk lebih menekan korban agar membayar.

Untuk mencegah kebocoran data dan menerima decryptor, DoppelPaymer meminta 404 bitcoin senilai sekitar $ 20 juta. Jika tebusan tidak dibayarkan dalam jangka waktu tertentu, jumlahnya meningkat menjadi 600 bitcoin, atau $ 30 juta.

Kia motor telah memberikan klarifikasi sebagai berikut, dikutip dari Bleepingcomputer :
Kia Motors America, Inc. (“Kia”) saat ini mengalami pemadaman sistem yang diperpanjang. Sistem yang terpengaruh termasuk Portal Pemilik Kia, Aplikasi Seluler UVO, dan portal Web Urusan Konsumen. Kami mohon maaf atas ketidaknyamanan yang dialami pelanggan yang terpengaruh, dan kami sedang berupaya menyelesaikan masalah ini secepat mungkin dengan gangguan minimal pada bisnis kami. Kami juga mengetahui spekulasi online bahwa Kia terkena serangan “ransomware”. Saat ini, kami dapat mengonfirmasi bahwa kami tidak memiliki bukti bahwa Kia atau data Kia apa pun menjadi sasaran serangan “ransomware”.

Source : Bleepingcomputer

Malware M1 MacBook pertama telah tiba – inilah yang perlu Anda ketahui

February 18, 2021 by Winnie the Pooh

Malware asli pertama dari MacBook bertenaga M1 telah ditemukan di alam liar, hanya beberapa bulan setelah kedatangan perangkat Apple Silicon pertama.

Berita tentang malware M1 pertama datang dari mantan peneliti NSA dan peneliti keamanan Mac lama Patrick Wardle, yang telah menemukan keberadaan GoSearch22.app, versi asli M1 dari virus Pirrit yang sudah lama ada.

“Hari ini kami mengonfirmasi bahwa musuh berbahaya memang membuat aplikasi multi-arsitektur, sehingga kode mereka akan berjalan secara native di sistem M1,” kata Wardle dalam postingan blog. “Aplikasi GoSearch22 yang berbahaya mungkin merupakan contoh pertama dari kode asli yang kompatibel dengan M1”.

Wardle mencatat bahwa adware ditandatangani dengan ID pengembang Apple, akun berbayar yang memungkinkan Apple melacak semua pengembang Mac dan iOS, pada 23 November.

Memiliki ID pengembang juga berarti membuat pengguna yang mengunduh malware tidak akan memicu Gatekeeper di macOS, yang memberi tahu pengguna saat aplikasi yang akan mereka unduh mungkin tidak aman.

Terlebih lagi, Wardle mengatakan bahwa sejumlah sistem antivirus saat ini yang dapat mendeteksi versi Intel dari virus Pirrit gagal mengidentifikasi versi M1.

Selengkapnya: Tech Radar

Peneliti Membuka Kedok Peretas di Balik Pembuat Malware APOMacroSploit

February 18, 2021 by Winnie the Pooh

Peneliti keamanan siber telah mengungkapkan jenis baru malware Office yang didistribusikan sebagai bagian dari kampanye email berbahaya yang menargetkan lebih dari 80 pelanggan di seluruh dunia dalam upaya untuk mengontrol mesin korban dan mencuri informasi dari jarak jauh.

Alat tersebut – dijuluki “APOMacroSploit” – adalah generator eksploitasi makro yang memungkinkan pengguna membuat dokumen Excel yang mampu melewati perangkat lunak antivirus, Windows Antimalware Scan Interface (AMSI), dan bahkan Gmail dan pendeteksi phishing berbasis email lainnya.

APOMacroSploit diyakini sebagai karya dua pelaku ancaman berbasis di Prancis “Apocaliptique” dan “Nitrix,” yang diperkirakan telah menghasilkan setidaknya $ 5.000 dalam waktu kurang dari dua bulan dengan menjual produk di HackForums.

Serangan itu terlihat pertama kali pada akhir November 2020, menurut perusahaan keamanan siber Check Point.

Dalam salah satu serangan, malware – Delphi Crypter diikuti oleh Trojan akses jarak jauh tahap kedua yang disebut BitRAT – ditemukan di-host di situs Bulgaria yang melayani peralatan medis dan persediaan, menyiratkan bahwa penyerang melanggar situs web untuk menyimpan file executable berbahaya.

Penyelidikan lebih lanjut oleh Check Point melibatkan pengejaran jejak digital yang ditinggalkan oleh dua operator – termasuk dua profil pemain League of Legends – yang pada akhirnya mengarahkan para peneliti untuk mengungkap identitas asli Nitrix, yang mengungkapkan nama aslinya di Twitter ketika dia memposting gambar sebuah tiket yang dia beli untuk konser pada Desember 2014.

Selengkapnya: The Hacker News

Hati-hati dengan tautan ke situs web Discord – bisa jadi itu adalah malware [updated]

February 14, 2021 by Winnie the Pooh

Peretas jahat dan penjahat online menggunakan jaringan penyimpanan file Discord untuk menyimpan dan mendistribusikan malware yang ditautkan dari atau dilampirkan ke email spam, kata perusahaan keamanan Zscaler dalam sebuah laporan baru.

Tidak ada bukti bahwa Discord sendiri, salah satu layanan obrolan paling populer di kalangan gamer online, membenarkan penyalahgunaan jaringannya ini.

Di antara jenis malware yang saat ini menyerang pemain game dari server Discord, kata Zscaler, adalah ransomware Epsilon, pencuri informasi Redline, penambang cryptocurrency XMRig, dan berbagai “perampas token” yang mencuri informasi login Discord sementara.

Sebagai tanggapan atas pertanyaan kami, juru bicara Discord memberi kami pernyataan ini:

“Discord bergantung pada campuran pemindaian proaktif dan laporan reaktif untuk mendeteksi malware dan virus di layanan kami. Setelah kami mengetahui kasus ini, kami segera menghapus konten. Sehubungan dengan kasus khusus ini, kami menyelidiki situasinya dan menghapus yang terpengaruh kandungan.”

selengkapnya : TomsGuide

Perangkat Android Diburu oleh Malware Windows LodaRAT

February 11, 2021 by Winnie the Pooh

Varian baru dari malware LodaRAT, yang secara historis menargetkan perangkat Windows, sedang didistribusikan dalam kampanye yang sedang berlangsung yang sekarang juga memburu perangkat Android dan memata-matai korban.

Bersamaan dengan ini, versi terbaru LodaRAT untuk Windows juga telah diidentifikasi; kedua versi terlihat dalam kampanye baru-baru ini yang menargetkan Bangladesh, kata para peneliti.

Kampanye tersebut mencerminkan perubahan menyeluruh dalam strategi untuk pengembang LodaRAT, karena serangan tersebut tampaknya didorong oleh spionase daripada tujuan keuangan sebelumnya. Sementara versi LodaRAT sebelumnya berisi kemampuan mencuri kredensial yang menurut para peneliti digunakan untuk menguras rekening bank korban, versi yang lebih baru ini hadir dengan kumpulan lengkap perintah pengumpulan informasi.

LodaRAT, pertama kali ditemukan pada September 2016, adalah trojan akses jarak jauh (RAT) yang hadir dengan berbagai kemampuan untuk memata-matai korban, seperti merekam mikrofon dan webcam perangkat korban. Nama “Loda” berasal dari direktori yang dipilih pembuat malware untuk menulis log keylogger.

Versi Android dari malware LodaRAT, yang oleh para peneliti disebut “Loda4Android,” “relatif sederhana jika dibandingkan dengan malware Android lainnya,” kata para peneliti. Misalnya, RAT secara khusus menghindari teknik yang sering digunakan oleh trojan perbankan Android, seperti memanfaatkan Accessibility API, untuk mencuri data.

selengkapnya : ThreatPost

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings