Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Perangkat Android Diburu oleh Malware Windows LodaRAT

by

Varian baru dari malware LodaRAT, yang secara historis menargetkan perangkat Windows, sedang didistribusikan dalam kampanye yang sedang berlangsung yang sekarang juga memburu perangkat Android dan memata-matai korban.

Bersamaan dengan ini, versi terbaru LodaRAT untuk Windows juga telah diidentifikasi; kedua versi terlihat dalam kampanye baru-baru ini yang menargetkan Bangladesh, kata para peneliti.

Kampanye tersebut mencerminkan perubahan menyeluruh dalam strategi untuk pengembang LodaRAT, karena serangan tersebut tampaknya didorong oleh spionase daripada tujuan keuangan sebelumnya. Sementara versi LodaRAT sebelumnya berisi kemampuan mencuri kredensial yang menurut para peneliti digunakan untuk menguras rekening bank korban, versi yang lebih baru ini hadir dengan kumpulan lengkap perintah pengumpulan informasi.

LodaRAT, pertama kali ditemukan pada September 2016, adalah trojan akses jarak jauh (RAT) yang hadir dengan berbagai kemampuan untuk memata-matai korban, seperti merekam mikrofon dan webcam perangkat korban. Nama “Loda” berasal dari direktori yang dipilih pembuat malware untuk menulis log keylogger.

Versi Android dari malware LodaRAT, yang oleh para peneliti disebut “Loda4Android,” “relatif sederhana jika dibandingkan dengan malware Android lainnya,” kata para peneliti. Misalnya, RAT secara khusus menghindari teknik yang sering digunakan oleh trojan perbankan Android, seperti memanfaatkan Accessibility API, untuk mencuri data.

selengkapnya : ThreatPost

SitePoint diretas: Kata sandi yang di-hash dan dengan SALT yang diambil dari situs pembelajaran pengembang web melalui alat GitHub pwnage

by

SitePoint, situs web penerbitan belajar kode Australia, telah disusupi saat mempromosikan buku Hacking for Dummies di beranda.

Pembaca Reg Andy memberi tahu kami: “Mendapat email dari SitePoint pagi ini yang mengatakan bahwa mereka telah diretas dan beberapa hal yang tidak penting (bagi mereka) seperti nama, alamat email, sandi berciri, dll mungkin telah dicuri. Bertepatan dengan peningkatan besar dalam spam yang saya terima, tetapi itu mungkin kebetulan. ”

Sebuah email yang dikirim ke pengguna SitePoint dan dilihat oleh The Register mengonfirmasi peretasan tersebut, meskipun pada saat penulisan, perusahaan belum mempublikasikan apa pun tentangnya di situs web atau akun media sosialnya.

Ini menyalahkan “alat pihak ketiga tanpa nama yang kami gunakan untuk memantau akun GitHub kami, yang disusupi oleh pihak jahat”.

Ia melanjutkan dengan mengatakan bahwa tidak ada data kartu kredit yang telah diakses dan kata sandi yang disimpan di-hash dan diasinkan. Kunci API yang relevan juga telah dirotasi dan sandi diubah.

Agak memalukan, peretasan tersebut bertepatan dengan promosi terkemuka di beranda SitePoint dari satu buku yang sangat relevan.

Sementara itu, pengguna SitePoint yang kesal masuk ke forum mereka untuk mulai mengeluh tentang peretasan tersebut.

selengkapnya : TheRegister

Geng Ransomware Besar Pertama Tahun 2021 Meluncurkan Situs “Leak” yang fanatik.

by

Kelompok di balik ransomware Babyk Locker, malware yang digembar-gemborkan sebagai “ransomware perusahaan” baru pertama tahun 2021, baru-baru ini meluncurkan situs kebocoran data pertamanya — sebuah forum tempat peretas memposting dan mempublikasikan data yang dicuri dari korbannya jika korbannya menolak untuk membayar mereka. Grup tersebut, yang muncul beberapa minggu lalu, telah dijuluki sebagai “Pemburu Game Besar” karena strateginya menargetkan institusi besar untuk pembayaran yang lebih besar. Ini telah menyerang sejumlah entitas besar — ​​tampaknya mengorbankan produsen suku cadang mobil, perusahaan pemanas yang berbasis di AS, dan perusahaan elevator, antara lain.

Menariknya, kelompok tersebut menyatakan bahwa, selain penjahat, mereka juga homofobik dan rasis.

Peneliti Emsisoft Brett Callow membagikan situs baru Babyk kepada kami dan kami menemukan beberapa bahasa yang tidak biasa. Di situs tersebut, grup tersebut telah mencantumkan beberapa parameter untuk operasinya, menguraikan semacam “kode peretas” terkait entitas mana yang akan dan tidak akan mereka serang. Dalam daftar tersebut, kelompok tersebut mencatat bahwa mereka mendukung bisnis kecil (mereka berjanji untuk hanya menyerang perusahaan yang menghasilkan lebih dari $ 4 juta per tahun), mereka mendukung pendidikan (mereka tidak akan menyerang sekolah “kecuali universitas besar”), dan mereka mengatakan mereka akan berhenti menyerang rumah sakit (kecuali tampaknya “klinik bedah plastik swasta” dan beberapa kantor dokter gigi). Sejauh ini mereka terdengar seperti peretas sejati bagi masyarakat.

Hanya dalam beberapa minggu, Babyk telah berhasil membuat heboh. Sebelum peluncuran situs baru mereka, Babyk memposting dump data besar di Raid Forums situs web gelap populer. Callow mengatakan kepada Gizmodo bahwa kelompok itu juga bertanggung jawab atas serangan dunia maya baru-baru ini di Serco, sebuah perusahaan outsourcing multinasional yang telah terlibat dalam upaya pelacakan dan penelusuran Covid-19. Operasi pelacakan dan pelacakan perusahaan dikatakan tidak terpengaruh oleh serangan itu.

Source : Gizmodo

Worm malware Pro-Ocean baru melalui server Apache, Oracle, Redis

by

Peretas Rocke yang bermotivasi finansial menggunakan malware cryptojacking baru yang disebut Pro-Ocean untuk menargetkan contoh rentan Apache ActiveMQ, Oracle WebLogic, dan Redis.

Malware baru ini merupakan langkah maju dari ancaman sebelumnya yang digunakan oleh grup tersebut karena dilengkapi dengan kemampuan menyebar sendiri, secara membabi buta melemparkan eksploitasi ke mesin yang ditemukan.

Berdasarkan analisis, peneliti mengatakan bahwa target Pro-Ocean adalah layanan cloud Alibaba dan Tencent.

Rocke Group ditemukan pada 2018 oleh para peneliti di Cisco Talos. Sebelumnya bercirikan kesederhanaan, serangan dari aktor ini belakangan ini semakin kompleks.

Meskipun tidak mencapai tingkat kecanggihan malware lainnya, operasi cryptomining Rocke telah berevolusi untuk menyertakan fitur yang menyebar sendiri dan taktik penyembunyian yang lebih baik.

selengkapnya : BleepingComputer

Trickbot kembali lagi – dengan serangan phishing dan malware baru

by

Malware Trickbot kembali dengan kampanye baru – hanya beberapa bulan setelah operasinya diganggu oleh koalisi keamanan siber dan perusahaan teknologi.

Awalnya memulai kehidupan sebagai trojan perbankan, Trickbot berevolusi menjadi bentuk malware yang sangat populer di kalangan penjahat dunia maya, terutama karena sifat modularnya yang memungkinkan untuk digunakan dalam berbagai jenis serangan.

Ini termasuk pencurian kredensial login dan kemampuan untuk menyebarkan dirinya di sekitar jaringan yang menyebarkan infeksi lebih lanjut.

Trickbot bahkan menjadi pemuat untuk bentuk lain dari malware, dengan penjahat dunia maya memanfaatkan mesin yang telah dikompromikan oleh Trickbot sebagai sarana untuk mengirimkan muatan berbahaya lainnya, termasuk ransomware.

Pada bulan Oktober tahun lalu, penghapusan yang dipimpin oleh Microsoft mengganggu infrastruktur di balik botnet malware Trickbot, tetapi sekarang botnet tersebut tampaknya hidup kembali karena para peneliti di Menlo Security telah mengidentifikasi kampanye malware yang sedang berlangsung yang memiliki ciri khas aktivitas Trickbot sebelumnya.

selengkapnya : ZDNET

Italy CERT Memperingatkan adanya Kredensial Baru yang Mencuri Malware Android

by

Para peneliti telah mengungkap keluarga baru malware Android yang menyalahgunakan layanan aksesibilitas di perangkat untuk membajak kredensial pengguna dan merekam audio dan video.

Dijuluki “Oscorp” oleh CERT-AGID Italia dan ditemukan oleh AddressIntel, malware “mendorong pengguna untuk menginstal layanan aksesibilitas yang dengannya [penyerang] dapat membaca apa yang ada dan apa yang diketik di layar.”

Dinamakan demikian karena judul halaman login dari server command-and-control (C2), APK berbahaya (disebut “Assistenzaclienti.apk” atau “Perlindungan Pelanggan”) didistribusikan melalui domain bernama “supportoapp [.] Com , “yang setelah penginstalan, meminta izin mengganggu untuk mengaktifkan layanan aksesibilitas dan menjalin komunikasi dengan server C2 untuk mengambil perintah tambahan.

Selain itu, malware berulang kali membuka kembali layar Pengaturan setiap delapan detik hingga pengguna mengaktifkan izin untuk aksesibilitas dan statistik penggunaan perangkat, sehingga menekan pengguna agar memberikan hak istimewa ekstra.

Setelah akses diberikan, malware mengeksploitasi izin untuk mencatat penekanan tombol, mencopot aplikasi di perangkat, melakukan panggilan, mengirim pesan SMS, mencuri cryptocurrency dengan mengarahkan pembayaran yang dilakukan melalui aplikasi Dompet Blockchain.com, dan mengakses kode otentikasi dua faktor dari Google Aplikasi Authenticator.

Pada langkah terakhir, malware mengeksfiltrasi data yang diambil – bersama dengan informasi sistem (misalnya, aplikasi yang diinstal, model ponsel, operator) – ke server C2, selain mengambil perintah dari server yang memungkinkannya meluncurkan aplikasi Google Authenticator , mencuri pesan SMS, menghapus aplikasi, meluncurkan URL tertentu, dan merekam audio dan video layar melalui WebRTC.

selengkapnya : TheHackerNews

TeamTNT Cloaks Malware Dengan Open-Source Tool

by

Alat penghindaran deteksi, libprocesshider, menyembunyikan malware TeamTNT dari program informasi proses.

Grup ancaman TeamTNT telah menambahkan alat penghindaran deteksi baru ke gudang senjatanya, membantu perangkat lunak perusak cryptomining oleh tim pertahanan.

Grup kejahatan dunia maya TeamTNT dikenal karena serangan berbasis cloud, termasuk menargetkan kredensial Amazon Web Services (AWS) untuk masuk ke cloud dan menggunakannya untuk menambang cryptocurrency Monero. Ini juga sebelumnya menargetkan instance cloud Docker dan Kubernetes.

Alat penghindaran deteksi baru, libprocesshider, disalin dari repositori sumber terbuka. Open-Source Tool, dari tahun 2014 telah ditempatkan di Github, dan dideskripsikan memiliki kemampuan untuk “menyembunyikan proses di Linux menggunakan prapemuat ld.”

Alat baru ini dikirimkan dalam skrip base64-encoded, tersembunyi di biner cryptominer TeamTNT, atau melalui bot Internet Relay Chat (IRC), yang disebut TNTbotinger, yang mampu melakukan serangan distributed denial of service (DDoS).

Dari waktu ke waktu, TeamTNT terlihat menyebarkan berbagai pembaruan pada malware cryptomining, termasuk pemuat memori baru yang ditemukan beberapa minggu yang lalu, yang didasarkan pada Ezuri dan ditulis dalam GOlang.

Pada bulan Agustus, worm cryptomining TeamTNT ditemukan menyebar melalui cloud AWS dan mengumpulkan kredensial. Kemudian, setelah jeda, grup TeamTNT kembali pada bulan September untuk menyerang instance cloud Docker dan Kubernetes dengan menyalahgunakan alat pemantauan cloud yang sah yang disebut Weave Scope.

selengkapnya :ThreatPost

Botnet Emotet terganggu setelah operasi penghapusan global

by

Infrastruktur botnet paling berbahaya saat ini yang dibangun oleh penjahat dunia maya yang menggunakan malware Emotet diturunkan setelah tindakan terkoordinasi internasional yang dikoordinasikan oleh Europol dan Eurojust.

Upaya bersama antara lembaga penegak hukum dan pihak berwenang dari Belanda, Jerman, Amerika Serikat, Inggris Raya, Prancis, Lituania, Kanada, dan Ukraina memungkinkan penyelidik untuk mengambil kendali atas server botnet dan mengganggu operasi malware.

Menyusul upaya investigasi global, otoritas yudisial dan penegak hukum membongkar seluruh infrastruktur botnet dari dalam setelah menguasai servernya awal pekan ini.

Anda dapat memeriksa apakah alamat email Anda telah dibobol oleh Emotet dan digunakan untuk mengirim email berbahaya menggunakan portal Polisi Nasional Belanda ini.

Portal ini akan membantu Anda mencari melalui database alamat email, nama pengguna, dan kata sandi yang dicuri oleh Emotet dan ditemukan awal minggu ini oleh Kepolisian Nasional Belanda selama investigasi kriminal yang menyebabkan gangguan botnet.

Departemen Cyberpolice polisi Ukraina juga menangkap dua orang yang diduga terlibat dalam pemeliharaan infrastruktur botnet dan menghadapi hukuman 12 tahun penjara jika terbukti bersalah.

selengkapnya : BleepingComputer