Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Malware Baru Mencuri Kata Sandi Mac dan Mengirimkannya Dengan Telegram

by

Malware baru, MacStealer, ditemukan menginfeksi Intel dan Apple Silicon Mac, serta mencuri kata sandi, info kartu kredit, dan data pribadi lainnya.

MacStealer memiliki kemampuan untuk mengambil dokumen, cookie browser, dan informasi login dari Mac target. Secara khusus juga berfungsi pada Mac yang menjalankan macOS Catalina atau lebih baru, berjalan pada chip Intel atau Apple Silicon.

Perangkat lunak mengambil kredensial dan cookie dari browser Firefox, Google Chrome, dan Brave, mengekstrak database Keychain, dan mencoba untuk mengamankan berbagai jenis file.

Meskipun menarik Keychain tampak seperti bahaya besar bagi pengguna, serangan tersebut melibatkan pengambilan Keychain secara grosir, tanpa mengakses data di dalamnya. Basis data diambil dan dikirim ke penyerang oleh Telegram, tetapi masih dienkripsi.

Pelaku ancaman yang menjual akses ke MacStealer seharga $100 per build mengatakan bahwa Keychain yang diekstraksi hampir tidak mungkin diakses tanpa kata sandi utama.

Item lain dalam daftar “fitur yang akan datang” termasuk pengurasan cryptowallets, alat untuk menghasilkan build baru, shell terbalik, pengunggah khusus, dan panel kontrol.

Pada saat yang sama mengambil file dan data, MacStealer menggunakan Telegram untuk mengirimkan informasi pilihan ke saluran tertentu. Kompilasi ZIP terpisah kemudian dibagikan ke bot Telegram yang dikendalikan oleh peretas.

Mencoba membuka file akan memunculkan permintaan kata sandi macOS palsu, yang kemudian digunakan alat tersebut untuk mengakses file lain di sistem.

Permintaan kata sandi macOS palsu pict-MacStealer [kiri], permintaan kata sandi macOS asli [kanan]
Permintaan kata sandi macOS palsu pict-MacStealer [kiri], permintaan kata sandi macOS asli [kanan]

Uptycs merekomendasikan agar pengguna memperbarui sistem Mac dengan tambalan dan pembaruan, serta disarankan untuk hanya mengizinkan penginstalan file dari sumber terpercaya.

Selengkapnya: Apple Insider

Serangan Inaudible Ultrasound Diam-diam Dapat Mengontrol Ponsel Anda, Smart Speaker

by

Peneliti Universitas Amerika telah mengembangkan serangan baru yang “Near-Ultrasound Inaudible Trojan” (NUIT) yang dapat meluncurkan serangan senyap terhadap perangkat yang diberdayakan oleh asisten suara, seperti smartphone, smart speaker, dan IoT lainnya.

Tim peneliti mendemonstrasikan serangan NUIT terhadap asisten suara modern yang ditemukan dalam jutaan perangkat, termasuk Siri Apple, Asisten Google, Cortana Microsoft, dan Alexa Amazon, menunjukkan kemampuan untuk mengirim perintah berbahaya ke perangkat tersebut.

Serangan Inaudible
Prinsip utama yang membuat NUIT efektif dan berbahaya adalah mikrofon di perangkat pintar dapat merespons gelombang mendekati ultrasound yang tidak dapat dilakukan telinga manusia, sehingga melakukan serangan dengan risiko paparan minimal sambil tetap menggunakan teknologi speaker konvensional.

Para peneliti mengatakan serangan NUIT dapat dilakukan dengan menggunakan dua metode berbeda. Metode NUIT-1, adalah saat perangkat menjadi sumber sekaligus target serangan.

Diagram Serangan NUIT-1
Diagram Serangan NUIT-1

Sedangkan metode NUIT-2, adalah ketika serangan diluncurkan oleh perangkat dengan speaker ke perangkat lain dengan mikrofon, seperti situs web ke speaker pintar.

Diagram Serangan NUIT-2
Diagram Serangan NUIT-2

Skenario serangan yang ditunjukkan oleh para peneliti melibatkan pengiriman perintah ke IoT yang terhubung ke smartphone dengan sedikit risiko korban menyadari aktivitas ini sedang berlangsung.

Penyerang juga dapat mengarahkan ponsel cerdas ke sebuah situs web untuk menjatuhkan malware dengan mengeksploitasi kerentanan di browser tanpa interaksi oleh korban.

Chen menyarankan untuk mengautentikasi perangkat pintar menggunakan sidik jari vokal dan memantau perangkat dengan cermat untuk aktivasi mikrofon, yang telah mendedikasikan indikator di layar pada smartphone iOS dan Android.

Selengkapnya: BleepingComputer

Google menandai aplikasi yang dibuat oleh raksasa e-commerce China yang populer sebagai Malware

by

Google telah menandai beberapa aplikasi yang dibuat oleh raksasa e-commerce China sebagai malware, memperingatkan pengguna yang menginstalnya, dan menangguhkan aplikasi resmi perusahaan.

Dalam beberapa minggu terakhir, beberapa peneliti keamanan China menuduh Pinduoduo, raksasa e-commerce yang sedang naik daun dengan hampir 800 juta pengguna aktif, membuat aplikasi untuk Android yang berisi malware yang dirancang untuk memantau pengguna.

Secara efektif, Google telah menetapkan Google Play Protect, mekanisme keamanan Android-nya, untuk memblokir pengguna agar tidak menginstal aplikasi berbahaya ini, dan memperingatkan mereka yang sudah menginstalnya, meminta mereka untuk menghapus aplikasi tersebut.

Meminta anonimitas, seorang peneliti keamanan memberi tahu TechCrunch tentang klaim terhadap aplikasi tersebut, dan mengatakan analisis mereka juga menemukan bahwa aplikasi tersebut mengeksploitasi beberapa eksploitasi zero-day untuk meretas pengguna.

Sebagai pengujian, TechCrunch memasang salah satu aplikasi yang dicurigai, yang memicu peringatan bahwa aplikasi tersebut mungkin berbahaya.

Penting untuk dicatat bahwa Google Play tidak tersedia di China, dan menurut peneliti keamanan, aplikasi tersebut hadir di toko aplikasi khusus Samsung, Huawei, Oppo, dan Xiaomi.

selengkapnya : techcrunch.com

Botnet Baru ‘Hinatabot’ Dapat Meluncurkan Serangan DDOS 3,3 Tbps yang Sangat Besar

by

Botnet malware baru ditemukan menargetkan Realtek SDK, router Huawei, dan server Hadoop Yarn untuk merekrut perangkat ke DDOS (Denial of Service) yang didistribusikan dengan potensi serangan besar-besaran.

Ditemukan oleh para peneliti di Akamai pada awal tahun, menangkapnya di honeypots HTTP dan SSH mereka, terlihat mengeksploitasi kelemahan lama seperti CVE-2014-8361 dan CVE-2017-17215.

Operator Hinatabot awalnya mendistribusikan binari Mirai, sementara Hinatabot pertama kali muncul pada pertengahan Januari 2023. Tampaknya didasarkan pada Mirai dan merupakan varian berbasis GO dari ketegangan terkenal.

Setelah menangkap beberapa sampel dari kampanye aktif baru-baru ini pada Maret 2023, para peneliti Akamai menyimpulkan bahwa malware sedang dalam pengembangan aktif, menampilkan peningkatan fungsional dan penambahan anti-analisis.

Kekuatan DDOS yang Signifikan
Malware didistribusikan oleh titik akhir SSH yang memuat brute atau menggunakan skrip infeksi dan muatan RCE untuk kerentanan yang diketahui.

Fungsi Serangan (Akamai)
Fungsi Serangan (Akamai)

Setelah menginfeksi perangkat, malware akan berjalan diam-diam, menunggu perintah untuk dieksekusi dari server perintah dan kontrol.

Hinatabot masih dalam pengembangan dan mungkin menerapkan lebih banyak eksploitasi dan memperluas ruang lingkup penargetan kapan saja. Selain itu, fakta bahwa perkembangannya sangat aktif meningkatkan kemungkinan melihat versi yang lebih kuat beredar di alam liar segera.

Selengkapnya: BleepingComputer

Malware Pesanan ‘NapListener’, Sebuah Mimpi Buruk untuk Deteksi Berbasis Jaringan

by

Aktor ancaman menggunakan aset jaringan yang sah dan kode open-source untuk terbang di bawah radar dalam serangan mencuri data menggunakan serangkaian malware kustom yang ditekuk pada penghindaran.

Peneliti mengamati Naplistener dalam bentuk baru yang dapat dieksekusi, dibuat dan diinstal pada jaringan korban sebagai layanan Windows pada 20 Januari. Aktor ancaman menciptakan yang dapat dieksekusi, wmdtc.exe, menggunakan konvensi penamaan yang mirip dengan biner sah yang digunakan oleh tersebut Layanan Koordinator Transaksi Terdistribusi Microsoft.

Fokus pada penghindaran deteksi
Menurut King, Naplistener adalah yang terbaru dari serangkaian jenis malware pesanan baru yang telah diamati oleh para peneliti elastis Ref2924 dalam serangannya yang mendukung fokus khusus pada menghindari deteksi berbasis jaringan. Kesamaan yang dimiliki keluarga malware baru ini yaitu mereka menggunakan aset jaringan yang akrab dan sah untuk menutupi kegiatan mereka.

Sementara kelompok ancaman lain juga mengadopsi pendekatan ini dengan malware pesanan, mereka melakukannya lebih jarang, dan kurang konsisten daripada ref2924. Catatannya menunjukkan bahwa Ref2924 bertaruh berat untuk menghindari deteksi untuk sukses.

Menurut para peneliti, secara khusus NapListener membuat pendengar permintaan HTTP yang dapat memproses permintaan yang masuk dari Internet, membaca data apa pun yang dikirimkan, memecahkan kode dari format Base64, dan menjalankannya dalam memori.

Melampaui deteksi tingkat jaringan
Perusahaan dalam garis silangnya dapat menghindari kompromi oleh kelompok terutama dengan memprioritaskan teknologi deteksi berbasis titik akhir, lebih dikenal sebagai deteksi dan respons titik akhir (EDR), karena REF2024 sangat fokus pada menghindari metode deteksi berbasis jaringan.

Teknologi lain yang dapat digunakan organisasi untuk memerangi malware yang dapat menghindari deteksi berbasis jaringan adalah penyaringan keluar, atau membatasi jenis komunikasi jaringan keluar yang diizinkan.

Selengkapnya: DARKReading

Varian malware baru memiliki mode “keheningan radio” untuk menghindari deteksi

by

Grup peretas spionase siber Sharp Panda menargetkan entitas pemerintah terkenal di Vietnam, Thailand, dan Indonesia dengan versi baru dari kerangka malware ‘Soul’.

Malware tertentu sebelumnya terlihat dalam kampanye spionase yang menargetkan organisasi-organisasi penting di Asia Tenggara, yang dikaitkan dengan berbagai APT China.

Check Point mengidentifikasi kampanye baru menggunakan malware yang dimulai pada akhir 2022 dan berlanjut hingga 2023, menggunakan serangan spear-phishing untuk kompromi awal.

Kampanye Sharp Panda yang baru menggunakan email spear-phishing dengan lampiran file DOCX berbahaya yang menyebarkan kit RoyalRoad RTF untuk mencoba mengeksploitasi kerentanan yang lebih lama untuk menjatuhkan malware di host.

Dalam hal ini, eksploit membuat tugas terjadwal dan kemudian menjatuhkan dan menjalankan pengunduh malware DLL, yang pada gilirannya mengambil dan mengeksekusi DLL kedua dari server C2, loader SoulSearcher.

DLL kedua ini membuat kunci registri dengan nilai yang berisi payload terkompresi terakhir dan kemudian mendekripsi dan memuat pintu belakang modular Soul ke dalam memori, membantunya menghindari deteksi dari alat antivirus yang berjalan pada sistem yang dilanggar.

infection chain

selengkapnya : bleepingcomputer

Aplikasi Android Shein Tertangkap Mengirimkan Data Papan Klip ke Server Jarak Jauh

by

Shein, awalnya bernama ZZKKO, adalah peritel online fast fashion China yang berbasis di Singapura. Aplikasi, yang saat ini berada di versi 9.0.0, memiliki lebih dari 100 juta unduhan di Google Play Store.

Raksasa teknologi itu mengatakan tidak “secara khusus mengetahui niat jahat apa pun di balik perilaku tersebut,” tetapi mencatat bahwa fungsi tersebut tidak diperlukan untuk melakukan tugas di aplikasi.

Lebih lanjut ditunjukkan bahwa meluncurkan aplikasi setelah menyalin konten apa pun ke clipboard perangkat secara otomatis memicu permintaan HTTP POST yang berisi data ke server “api-service[.]shein[.]com.”

Untuk mengurangi risiko privasi seperti itu, Google telah melakukan peningkatan lebih lanjut pada Android dalam beberapa tahun terakhir, termasuk menampilkan pesan bersulang saat aplikasi mengakses clipboard dan melarang aplikasi mendapatkan data kecuali jika aktif berjalan di latar depan.

“Mengingat pengguna ponsel sering menggunakan clipboard untuk menyalin dan menempelkan informasi sensitif, seperti kata sandi atau informasi pembayaran, konten clipboard dapat menjadi target yang menarik untuk serangan siber,” kata peneliti Dimitrios Valsamaras dan Michael Peck.

“Memanfaatkan papan klip dapat memungkinkan penyerang mengumpulkan informasi target dan mengekstraksi data yang berguna.”

sumber : thehackernews

Peretas Menyerang Karyawan dari Enam Firma Hukum dengan Malware GootLoader Menggunakan Perjanjian Hukum Palsu dan Lubang Air Berbahaya, lapor eSentire

by

GootLoader adalah malware populer yang memberi pelaku ancaman akses awal ke lingkungan TI korban. Begitu berada di komputer korban, GootLoader diketahui mengunduh GootKit Remote Access Trojan (RAT), ransomware REvil, atau Cobalt Strike, alat populer yang digunakan untuk mendapatkan pijakan di lingkungan target dan memperluas jaringan target.

Sepanjang tahun 2022, sementara infeksi GootLoader terus meningkat menjadi intrusi langsung, tidak ada ransomware yang diamati bahkan ketika penyusup diizinkan untuk memerintah hampir bebas. Dalam kasus tersebut, hanya Koleksi yang diamati. Mengingat target utama GootLoader adalah firma hukum, TRU mengakui kemungkinan bahwa GootLoader telah beralih ke operasi spionase dan eksfiltrasi. Untuk mencapai akses awal, seperti dalam kampanye GootLoader sebelumnya, pelaku ancaman menggunakan peracunan Search Engine Optimization (SEO) untuk memikat dan menginfeksi korban dengan malware GootLoader.

Dalam kampanye ini, cybercriminal mengkompromikan situs web WordPress yang sah (tetapi rentan) dan tanpa sepengetahuan pemilik situs web, menambahkan posting blog baru ke situs tersebut. Judul yang efektif untuk mengelabui karyawan firma hukum termasuk “perjanjian lisan antara pembeli dan penjual real estat dipertimbangkan” (Gambar 1) dan “perjanjian bersama asosiasi petugas pemadam kebakaran profesional.”

rekomendasi
GootLoader: Jangan percayai dokumen yang diposting di forum acak. Memiliki proses bagi karyawan untuk mengunduh dokumen hanya dari sumber tepercaya.

selengkaspnya : esentire