Malware

Situs web baru diluncurkan untuk mendokumentasikan kerentanan pada jenis malware

January 24, 2021 by Winnie the Pooh

Seorang peneliti keamanan meluncurkan bulan ini portal web yang mencantumkan kerentanan dalam kode strain malware umum. Peneliti berharap profesional keamanan lainnya akan menggunakan bug untuk merusak, menonaktifkan, dan menghapus malware pada host yang terinfeksi sebagai bagian dari operasi respons insiden.

Dibuat dan diluncurkan oleh pemburu bug John Page, portal MalVuln baru tersedia di malvuln.com.

Situs itu sendiri adalah portal pengungkapan kerentanan khas Anda. Ini mencantumkan nama perangkat lunak (dalam hal ini, nama malware), menjelaskan kerentanan secara detail teknis, dan memberikan kode eksploitasi bukti konsep (PoC) sehingga orang lain dapat mereproduksi masalah tersebut.

Page memberi tahu ZDNet bahwa dia membuat situs karena bosan selama penguncian COVID-19 baru-baru ini.

selengkapnya : ZDNET

sLoad geng malware kembali: Microsoft mendeteksi dengan cepat versi 2.0 yang dirubah

January 22, 2021 by Winnie the Pooh

Raksasa teknologi Microsoft telah mendeteksi aktivitas berbahaya pada bulan Desember oleh geng malware, yang dikenal sebagai sLoad.

Namun pada awal bulan ini perusahaan mengungkapkan bahwa sLoad malware telah kembali dengan versi 2.0, yang disebut Starslord. Meskipun versi baru tidak menunjukkan perubahan besar-besaran, kecepatan peluncuran versi malware baru menunjukkan seberapa cepat geng tersebut beroperasi.

Malware sLoad ini telah ada selama bertahun-tahun. Ini adalah apa yang seseorang sebut sebagai “malware downloader” atau “malware dropper” yang memiliki empat tujuan utama untuk dipenuhi yaitu:

Menginfeksi sistem Windows,
Mengumpulkan informasi tentang sistem yang terinfeksi
Mengirim semua informasi ke server perintah dan kontrol (C&C)
Menunggu instruksi untuk mengunduh dan memasang muatan malware kedua

Microsoft mengatakan bahwa sLoad adalah salah satu dari sedikit malware downloader yang ada karena tingkat kecanggihan yang tidak diperlukan dan penggunaan teknik yang tidak standar.

Setelah sebelumnya tertangkap oleh Microsoft, geng sLoad mengubah kode mereka dan mengubah beberapa hal, mengeluarkan versi baru 2.0 tahun ini.

SLoad v2.0 masih berfungsi sebagai malware downloader untuk kelompok kriminal lainnya, kata Microsoft. Tapi ada satu hal yang telah diubah oleh aktor ancaman. Sekarang alih-alih menggunakan skrip VB selama proses infeksi, versi baru menggunakan skrip WSF.

Sumber: IBTimes

Perintah Windows Finger disalahgunakan oleh phishing untuk mengunduh malware

January 19, 2021 by Winnie the Pooh

Penyerang menggunakan perintah Windows Finger yang biasanya tidak berbahaya untuk mengunduh dan memasang backdoor berbahaya pada perangkat korban.

Perintah ‘Finger’ adalah utilitas yang berasal dari sistem operasi Linux/Unix yang memungkinkan pengguna lokal untuk mengambil daftar pengguna pada mesin jarak jauh atau informasi tentang pengguna jarak jauh tertentu. Selain Linux, Windows menyertakan perintah finger.exe yang menjalankan fungsi yang sama.

Minggu ini, peneliti keamanan Kirk Sayre menemukan kampanye phishing yang menggunakan perintah Finger untuk mengunduh malware backdoor MineBridge.

FireEye pertama kali melaporkan malware MineBridge setelah menemukan banyak kampanye phishing yang menargetkan organisasi Korea Selatan. Email phishing ini berisi dokumen Word berbahaya yang menyamar sebagai resume pelamar kerja yang menginstal malware MineBridge.

Seperti kampanye MineBridge sebelumnya yang dilihat oleh FireEye, yang ditemukan oleh Sayre juga berpura-pura menjadi resume dari pelamar kerja, seperti yang ditunjukkan di bawah ini.

Ketika korban mengklik tombol ‘Enabled Editing’ atau ‘Enable Content’, macro yang dilindungi kata sandi akan dijalankan untuk mengunduh malware MineBridge dan menjalankannya.

Setelah MineBridge terpasang, pelaku ancaman jarak jauh akan mendapatkan akses penuh ke komputer dan memungkinkan mereka untuk mendengarkan melalui mikrofon perangkat yang terinfeksi, dan melakukan aktivitas berbahaya lainnya.

Karena Finger jarang digunakan saat ini, disarankan agar administrator memblokir perintah Finger di jaringan mereka, baik melalui AppLocker atau metode lain.

Sumber: Bleeping Computer

Peneliti Mengungkap Malware China Tidak Terdokumentasi yang Digunakan dalam Serangan Terbaru

January 16, 2021 by Winnie the Pooh

Peneliti keamanan siber telah mengungkapkan serangkaian serangan oleh aktor ancaman asal China yang menargetkan organisasi di Rusia dan Hong Kong dengan malware – termasuk backdoor yang sebelumnya tidak berdokumen.

Mengaitkan kampanye ke Winnti (atau APT41), Positive Technologies menetapkan tanggal serangan pertama hingga 12 Mei 2020, ketika APT menggunakan sortcuts LNK untuk mengekstrak dan menjalankan muatan malware. Serangan kedua yang terdeteksi pada tanggal 30 Mei menggunakan file arsip RAR berbahaya yang terdiri dari sortcuts ke dua dokumen PDF umpan yang diklaim sebagai riwayat hidup dan sertifikat IELTS.

Sortcuts itu sendiri berisi tautan ke halaman yang dihosting di Zeplin, alat kolaborasi yang sah untuk perancang dan pengembang yang digunakan untuk mengambil malware tahap akhir yang, pada gilirannya, menyertakan shellcode loader (“svchost.exe”) dan backdoor yang disebut Crosswalk (“3t54dE3r.tmp”).

selengkapnya : TheHackerNews

Malware Mac menggunakan AppleScripts ‘run-only’ untuk menghindari analisis

January 12, 2021 by Winnie the Pooh

Kampanye penambangan cryptocurrency yang menargetkan macOS menggunakan malware yang telah berevolusi menjadi varian kompleks yang memberi banyak masalah bagi para peneliti untuk menganalisisnya.

Malware ini dilacak sebagai OSAMiner dan telah berada di alam liar setidaknya sejak 2015. Namun, sulit untuk menganalisisnya karena payload diekspor sebagai file run-only AppleScript, yang membuat proses penguraiannya menjadi kode sumber menjadi sangat sulit.

Varian yang baru-baru ini diamati membuat analisis semakin sulit karena ia menyematkan run-only AppleScript ke dalam skrip lain dan menggunakan URL di halaman web publik untuk mengunduh penambang Monero yang sebenarnya.

OSAMiner biasanya menyebar melalui salinan game dan perangkat lunak bajakan, League of Legends dan Microsoft Office untuk macOS menjadi contoh yang lebih populer.

File AppleScript menyertakan sumber dan kode yang dikompilasi, tetapi mengaktifkan “run-only” hanya menyimpan versi yang dikompilasi sehingga kode yang dapat dibaca manusia tidak lagi tersedia, sehingga menghilangkan kemungkinan reverse engineering.

Pada akhir tahun 2020 peneliti keamanan di SentinelOne menemukan sampel baru OSAMiner yang memperumit “proses analisis yang sudah sulit”.

Namun, mereka dapat melakukan reverse engineering beberapa sampel yang mereka kumpulkan dengan menggunakan disassembler AppleScript yang kurang dikenal (Jinmo’s applescript-disassembler) dan alat dekompilasi yang dikembangkan secara internal yang disebut aevt_decompile.

Sumber: Bleeping Computer

Jenis malware ketiga ditemukan dalam serangan rantai pasokan SolarWinds

January 12, 2021 by Winnie the Pooh

Perusahaan keamanan siber CrowdStrike, salah satu perusahaan yang terlibat langsung dalam penyelidikan serangan rantai pasokan SolarWinds, mengatakan mereka mengidentifikasi jenis malware ketiga yang terlibat langsung dalam peretasan tersebut.

Dinamakan Sunspot, temuan ini menambah strain malware Sunburst (Solorigate) dan Teardrop yang ditemukan sebelumnya.

Tapi sementara Sunspot adalah penemuan terbaru dalam peretasan SolarWinds, Crowdstrike mengatakan malware itu sebenarnya yang pertama digunakan.

Crowdstrike mengatakan bahwa Sunspot digunakan pada September 2019, ketika peretas pertama kali menembus jaringan internal SolarWinds.

Malware Sunspot diinstal pada build server SolarWinds, sejenis perangkat lunak yang digunakan oleh pengembang untuk merakit komponen yang lebih kecil menjadi aplikasi perangkat lunak yang lebih besar.

CrowdStrike mengatakan Sunspot memiliki satu tujuan tunggal – yaitu, untuk mengawasi build server untuk perintah build yang merakit Orion.

Setelah perintah build terdeteksi, malware akan secara diam-diam mengganti file source code di dalam aplikasi Orion dengan file yang memuat malware Sunburst, menghasilkan versi aplikasi Orion yang juga menginstal malware Sunburst.

Dalam pengumuman terpisah yang diterbitkan di blognya, SolarWinds juga menerbitkan timeline peretasan tersebut. SolarWinds mengatakan bahwa sebelum malware Sunburst disebarkan ke pelanggan antara Maret dan Juni 2020, peretas juga melakukan uji coba antara bulan September dan November 2019.

Sumber: ZDNet

Botnet penambangan kripto sekarang mencuri kredensial Docker dan AWS

January 9, 2021 by Winnie the Pooh

Analis dari perusahaan keamanan Trend Micro mengatakan dalam sebuah laporan hari ini bahwa mereka telah menemukan botnet malware yang mengumpulkan dan mencuri kredensial Docker dan AWS.

Para peneliti telah menghubungkan botnet ke operasi kejahatan dunia maya yang dikenal sebagai TeamTNT; grup yang pertama kali terlihat selama musim panas 2020 memasang malware penambangan cryptocurrency pada platform kontainer yang salah konfigurasi.

Laporan awal pada saat itu mengatakan bahwa TeamTNT melanggar platform kontainer dengan mencari sistem Docker yang mengekspos port API manajemen mereka secara online tanpa kata sandi.

Para peneliti mengatakan grup TeamTNT akan mengakses kontainer Docker yang terekspos, menginstal malware penambangan kripto, tetapi juga mencuri kredensial untuk server Amazon Web Services (AWS) untuk berputar ke sistem TI perusahaan lainnya untuk menginfeksi lebih banyak server dan menyebarkan lebih banyak crypto- penambang.

Pada saat itu, para peneliti mengatakan bahwa TeamTNT adalah botnet penambangan kripto pertama yang menerapkan fitur yang didedikasikan untuk mengumpulkan dan mencuri kredensial AWS.

sumber : ZDNET

Cobalt Strike dan Metasploit menyumbang seperempat dari total server C&C malware pada tahun 2020

January 8, 2021 by Winnie the Pooh

Cobalt Strike dan Metasploit, dua toolkit pengujian penetrasi yang biasanya digunakan oleh peneliti keamanan, telah digunakan untuk menghosting lebih dari seperempat dari semua server command and control (C&C) malware yang telah diterapkan pada tahun 2020,perusahaan intelijen ancaman Recorded Future mengatakan dalam sebuah laporan hari ini.

Perusahaan keamanan tersebut mengatakan telah melacak lebih dari 10.000 server C&C malware tahun lalu, di lebih dari 80 jenis malware.

Menurut Recorded Future, dua dari perangkat pengujian penetrasi ini sekarang telah menjadi dua teknologi teratas yang paling banyak digunakan untuk menghosting server C&C malware – yaitu Cobalt Strike (13,5% dari total server C&C malware 2020) dan Metasploit (dengan 10,5%).

Laporan Recorded Future juga melihat aspek lain dari operasi server C&C malware. Pengamatan lain termasuk:

Rata-rata, server perintah dan kontrol memiliki umur (yaitu, jumlah waktu server meng-host infrastruktur berbahaya) selama 54,8 hari.
Memantau hanya penyedia hosting “mencurigakan” yang dapat meninggalkan titik buta, karena 33% server C&C dihosting di AS, banyak di penyedia yang memiliki reputasi baik.
Penyedia hosting yang memiliki server perintah dan kontrol paling banyak pada infrastruktur mereka semuanya berbasis di AS: Amazon, Digital Ocean, dan Choopa.

sumber : ZDNET

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings