Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

URL Berbahaya Terkait ChatGPT Meningkat

by

Jumlah domain baru terdaftar dan squat yang terkait dengan ChatGPT tumbuh sebesar 910% setiap bulan antara November 2022 dan awal April 2023.

Temuan yang dibagikan oleh Unit 42 Palo Alto Networks hari ini juga menyebutkan pertumbuhan 17.818% domain squatting terkait dari log Keamanan DNS dalam jangka waktu yang sama.

Di antara tren yang diamati oleh para peneliti, beberapa URL phishing mencoba berpura-pura sebagai situs resmi OpenAI.

Palo Alto Networks juga mengamati beberapa scammer yang mengeksploitasi meningkatnya popularitas OpenAI untuk penipuan crypto, misalnya, mencoba menarik korban ke dalam acara giveaway crypto yang curang.

Tetapi beberapa situs penipuan sebenarnya memanfaatkan API ChatGPT resmi, yang disediakan oleh OpenAI pada bulan Maret.

Menurut tim, alat-alat ini, serta peningkatan umum dalam domain terdaftar dan domain jongkok yang terkait dengan ChatGPT, merupakan tren yang berkembang.

“Agar tetap aman, pengguna ChatGPT harus berhati-hati dengan email atau tautan mencurigakan yang terkait dengan ChatGPT,” bunyi peringatan tersebut. “Selain itu, penggunaan chatbot peniru akan membawa risiko keamanan ekstra. Pengguna harus selalu mengakses ChatGPT melalui situs resmi OpenAI.”

selengkapnya : infosecurity-magazine.com

Peretas Lazarus sekarang mendorong malware Linux melalui tawaran pekerjaan palsu

by

Kampanye Lazarus baru yang dianggap sebagai bagian dari “Operation DreamJob” telah ditemukan menargetkan pengguna Linux dengan malware untuk pertama kalinya.

Penargetan baru ini ditemukan oleh peneliti ESET, yang mengatakan hal itu juga membantu mengonfirmasi dengan keyakinan tinggi bahwa Lazarus melakukan serangan rantai pasokan baru-baru ini pada penyedia VoIP 3CX.

Serangan itu ditemukan pada Maret 2023, membahayakan banyak perusahaan yang menggunakan klien 3CX versi trojan dengan trojan pencuri informasi.

Hari ini, Mandiant menerbitkan hasil investigasi mereka terhadap pelanggaran 3CX, yang selanjutnya menghubungkan serangan tersebut dengan aktor ancaman Korea Utara.

Mandiant mengatakan lingkungan pengembang 3CX dikompromikan setelah seorang karyawan memasang perangkat lunak perdagangan dari Trading Technologies, yang penginstalnya telah di-trojanisasi dalam serangan rantai pasokan Korea Utara lainnya.

Operasi DreamJob Lazarus, juga dikenal sebagai Nukesped, adalah operasi berkelanjutan yang menargetkan orang-orang yang bekerja di platform perangkat lunak atau DeFi dengan tawaran pekerjaan palsu di LinkedIn atau media sosial dan platform komunikasi lainnya.

Serangan rekayasa sosial ini berupaya mengelabui korban agar mengunduh file berbahaya yang disamarkan sebagai dokumen yang berisi perincian tentang posisi yang ditawarkan. Namun, dokumen tersebut justru menjatuhkan malware di komputer korban.

Selengkapnya: Bleeping Computer

Malware Linux memperkuat hubungan antara Lazarus dan serangan rantai pasokan 3CX

by

Kemiripan dengan malware Linux yang baru ditemukan yang digunakan dalam Operasi DreamJob menguatkan teori bahwa kelompok yang selaras dengan Korea Utara berada di balik serangan rantai pasokan 3CX

Peneliti ESET telah menemukan kampanye Lazarus Operation DreamJob baru yang menargetkan pengguna Linux. Operation DreamJob adalah nama untuk serangkaian kampanye di mana grup tersebut menggunakan teknik rekayasa sosial untuk mengkompromikan targetnya, dengan tawaran pekerjaan palsu sebagai iming-imingnya.

Dalam kasus ini, peneliti dapat merekonstruksi rantai penuh, dari file ZIP yang mengirimkan tawaran pekerjaan HSBC palsu sebagai umpan, hingga muatan terakhir: backdoor SimplexTea Linux yang didistribusikan melalui akun penyimpanan cloud OpenDrive. Sepengetahuan peneliti, ini adalah penyebutan publik pertama dari aktor ancaman besar yang selaras dengan Korea Utara ini menggunakan malware Linux sebagai bagian dari operasi ini.

Selain itu, penemuan ini membantu peneliti mengonfirmasi dengan tingkat kepercayaan yang tinggi bahwa serangan rantai pasokan 3CX baru-baru ini sebenarnya dilakukan oleh Lazarus – tautan yang dicurigai sejak awal dan ditunjukkan oleh beberapa peneliti keamanan sejak saat itu. Dalam posting blog ini, peneliti menguatkan temuan ini dan memberikan bukti tambahan tentang hubungan antara Lazarus dan serangan rantai pasokan 3CX.

Selengkapnya: We Live Security

Maret 2023 memecahkan rekor serangan ransomware dengan 459 insiden

by

Maret 2023 adalah bulan paling produktif yang dicatat oleh analis keamanan siber dalam beberapa tahun terakhir, dengan mencatat 459 serangan, meningkat 91% dari bulan sebelumnya dan 62% dibandingkan Maret 2022.

Menurut NCC Group, yang menyusun laporan berdasarkan statistik yang diperoleh dari pengamatannya, alasan bulan lalu memecahkan semua rekor serangan ransomware adalah CVE-2023-0669.

Aktivitas Maret 2023 melanjutkan tren kenaikan yang diamati oleh NCC Group sejak awal tahun (Januari dan Februari), dengan jumlah insiden peretasan dan kebocoran data tertinggi yang tercatat dalam tiga tahun terakhir.

Grafik serangan ransomware bulanan, biru tua: 2022, biru muda: 2023 (NCC Group)

Clop melakukan 129 serangan yang tercatat bulan lalu, memuncaki grafik NCC Group dengan geng ransomware paling aktif untuk pertama kalinya dalam sejarah operasionalnya.

Grup ransomware lain yang memiliki aktivitas relatif signifikan selama Maret 2023 adalah Royal ransomware, BlackCat (ALPHV), Bianlian, Play, Blackbasta, Stormous, Medusa, dan Ransomhouse.

Menutup lonjakan aktivitas ransomware (NCC Group)

Lonjakan aktivitas yang terekam pada bulan Maret 2023 menyoroti pentingnya menerapkan pembaruan keamanan sesegera mungkin, mengurangi celah keamanan yang berpotensi tidak diketahui seperti nol hari dengan menerapkan tindakan tambahan dan memantau lalu lintas jaringan dan log untuk aktivitas yang mencurigakan.

selengkapnya : bleepingcomputer.com

Malware Android Chameleon baru meniru aplikasi bank, pemerintah, dan crypto

by

Trojan Android baru yang disebut ‘Chameleon’ telah menargetkan pengguna di Australia dan Polandia sejak awal tahun, meniru pertukaran cryptocurrency CoinSpot, lembaga pemerintah Australia, dan bank IKO.

Malware seluler ditemukan oleh perusahaan cybersecurity Cyble, yang melaporkan melihat distribusi melalui situs web yang disusupi, lampiran Discord, dan layanan hosting Bitbucket.

Chameleon menyertakan berbagai fungsi berbahaya, termasuk mencuri kredensial pengguna melalui injeksi overlay dan keylogging, cookie, dan teks SMS dari perangkat yang terinfeksi.

Cyble juga mengamati kode yang memungkinkan Chameleon mengunduh payload selama runtime dan menyimpannya di host sebagai file “.jar”, untuk dieksekusi nanti melalui DexClassLoader. Namun, fitur ini saat ini tidak digunakan.

Chameleon adalah ancaman yang muncul yang dapat menambahkan lebih banyak fitur dan kemampuan di versi mendatang.

Pengguna Android disarankan untuk berhati-hati dengan aplikasi yang dipasang di perangkat mereka, hanya mengunduh perangkat lunak dari toko resmi, dan memastikan bahwa Google Play Protect selalu diaktifkan.

selengkapnya : bleepingcomputer.com

Malware Android menyusup ke 60 aplikasi Google Play dengan 100 juta pemasangan

by

Malware Android baru bernama ‘Goldoson’ telah menyusup ke Google Play melalui 60 aplikasi resmi yang secara kolektif memiliki 100 juta unduhan.

Komponen malware jahat adalah bagian dari perpustakaan pihak ketiga yang digunakan oleh semua enam puluh aplikasi yang tanpa disadari pengembang ditambahkan ke aplikasi mereka.

Beberapa aplikasi yang terpengaruh adalah:

  • L.POINT with L.PAY
  • Swipe Brick Breaker
  • Money Manager Expense & Budget
  • GOM Player
  • LIVE Score, Real-Time Score
  • Pikicast
  • Compass 9: Smart Compass
  • GOM Audio – Music, Sync lyrics
  • LOTTE WORLD Magicpass
  • Infinite Slice
  • Bounce Brick Breaker
  • Korea Subway Info: Metroid
  • SomNote

Banyak aplikasi yang terpengaruh dibersihkan oleh pengembang mereka, yang menghapus perpustakaan yang melanggar, dan aplikasi yang tidak merespons tepat waktu dihapus dari Google Play karena tidak mematuhi kebijakan toko.

Google mengonfirmasi tindakan tersebut kepada BleepingComputer, menyatakan bahwa aplikasi tersebut melanggar kebijakan Google Play.

“Keamanan pengguna dan pengembang adalah inti dari Google Play. Saat kami menemukan aplikasi yang melanggar kebijakan kami, kami mengambil tindakan yang sesuai,” kata Google kepada BleepingComputer.

“Kami telah memberi tahu pengembang bahwa aplikasi mereka melanggar kebijakan Google Play dan perbaikan diperlukan agar sesuai.”

Pengguna yang memasang aplikasi yang terpengaruh dari Google Play dapat memulihkan risiko dengan menerapkan pembaruan terbaru yang tersedia.

Namun, Goldoson juga ada di toko aplikasi Android pihak ketiga, dan kemungkinan mereka masih menyimpan perpustakaan berbahaya itu tinggi.

selengkapnya : bleepingcomputer.com

Bahaya Membeli Kotak TV Android: Mengapa Anda Harus Berhenti Sekarang

by

Video terbaru yang diposting oleh saluran YouTube “Tips Teknologi Linus” memperingatkan orang-orang agar tidak membeli kotak TV Android karena risiko keamanannya. Kotak plastik ini dapat dibeli seharga makanan cepat saji dan menjanjikan akses murah atau bahkan gratis ke konten berhak cipta tanpa keahlian teknis apa pun.

Saluran tersebut menemukan pintu belakang yang sudah diinstal sebelumnya pada kotak TV Android T95, yang membuat mereka bertanya-tanya apakah itu hanya satu kali atau apakah itu memengaruhi kotak Android serupa lainnya yang tersedia di Amazon dan AliExpress. Pintu belakang T95 hanyalah puncak gunung es, dan video menunjukkan bahwa kotak Android lainnya juga memiliki masalah keamanan.

Layar beranda kotak-kotak ini terlihat seperti Android TV, dan proses penyiapannya ramah pengguna. Namun, menjalankan Pi-hole, seperti desktop Echo, mengungkapkan tanda bahaya. Kotak mungkin mencoba melakukan ping ke alamat dengan FOTA di URL, yang merupakan singkatan dari firmware over the air dan merupakan perilaku standar Android. Apa yang relatif tidak standar adalah bahwa alamat IP yang ditunjuk oleh URL ada di China, di mana terdapat peraturan yang lebih longgar, terutama terkait warga negara asing. Tidak ada jaminan bahwa firmware yang diunduh akan bersih atau bahkan firmware sama sekali.

Dalam skenario terburuk, malware dapat menyuntikkan dirinya sendiri di samping aplikasi, melakukan root pada perangkat Anda, dan mengontrol aktivitas jaringan Anda. Sistem file perangkat yang menggunakan Android debug Bridge mengungkapkan bahwa hampir setengahnya memiliki folder Java inti yang sama dan file preferensi terbuka, bahkan jika mereka tidak segera mencoba mengakses URL yang dipertanyakan.

Selengkapnya: Linus Tech Tips

FBI Memperingatkan Agar Tidak Menggunakan Stasiun Pengisian Telepon Umum

by

FBI dan Komisi Komunikasi Federal memperingatkan tentang ‘Juice Jacking’, dimana aktor jahat menggunakan pengisi daya publik untuk menginfeksi ponsel dan perangkat dengan malware.

Badan penegak hukum juga menghimbau konsumen untuk menghindari penggunaan pengisi daya publik di mal dan bandara, dan tetap menggunakan kabel USB dan colokan pengisi daya mereka sendiri.

Tweet Himbauan dari FBI
Tweet Himbauan dari FBI

Pelaku kejahatan yang berhasil membajak pengisi daya umum, dapat menginfeksi perangkat dengan malware, atau perangkat lunak yang dapat memberikan akses peretas ke ponsel, tablet, atau komputer.

Perangkat konsumen dengan kabel USB yang dikompromikan dapat dibajak melalui perangkat lunak yang kemudian dapat menyedot nama pengguna dan kata sandi, FCC memperingatkan pada saat itu. Komisi mengatakan kepada konsumen untuk menghindari stasiun publik tersebut.

Dalam mendukung hal ini, FBI menawarkan panduan serupa di situs webnya untuk menghindari tuntutan publik.

Selengkapnya: CNBC