Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Grup White Hat yang memerangi Emotet, malware paling berbahaya di dunia

by

Dengan bekerja bersama, kelompok Cryptolaemus telah secara serius menghambat operasi Emotet. Setiap hari, grup ini menerbitkan update di situs web dan akun Twitter-nya. Mereka berbagi apa yang disebut indicators of compromise (IOC), termasuk alamat IP server perintah Emotet, baris subjek yang digunakan dalam kampanye spam Emotet, dan hash file untuk file yang terinfeksi Emotet.

 

Anggota Cryptolaemus membagikan rincian ini sehingga administrator sistem dan jaringan di seluruh dunia dapat memasukkan IOC ke dalam produk keamanan cyber mereka dan melindungi jaringan mereka dari infeksi serangan Emotet, atau membantu dengan deteksi dini sebelum malware dapat melakukan kerusakan yang parah.

 

Mereka melakukannya karena mereka ingin melihat Emotet ditutup dan dalangnya, seorang individu yang hanya dikenal sebagai Ivan, ditangkap.

 

Baca berita selengkapnya di tautan di bawah ini;

Source: ZDNet

Malware Raccoon menargetkan sejumlah besar browser untuk mencuri data dan cryptocurrency korbannya

by

Raccoon mungkin bukan pilihan termurah di pasaran tetapi malware ini telah mendapatkan popularitas di kalangan penjahat siber karena kemampuannya menargetkan setidaknya 60 aplikasi dan banyak di antaranya adalah browser yang kita gunakan saat ini, termasuk Mozilla dan Chrome.

 

Infostealer Raccoon, juga dikenal sebagai Racealer, ditawarkan dengan harga $ 200 sebulan dan pertama kali ditemukan oleh para peneliti dari perusahaan cybersecurity Cybereason pada tahun 2019. Raccoon dapat mencuri informasi keuangan, kredensial online, data PC – seperti jenis dan versi sistem operasi, bahasa yang digunakan, dan daftar aplikasi yang terinstal – dompet cryptocurrency, dan informasi browser termasuk cookie, log riwayat, dan konten pengisian otomatis. Setelah Raccoon mencuri data yang diperlukannya, informasi ini dikompilasi ke dalam file arsip .zip dan dikirim ke server command and control (C2). Malware ini juga dapat bertindak sebagai dropper untuk muatan malware tambahan.

 

Raccoon terus didukung oleh tim dan pengembangannya sedang berlangsung. Baru-baru ini, Raccoon juga diberi kemampuan untuk mencuri kredensial server FTP dari FileZilla, kesalahan UI sudah diselesaikan, dan penulis juga membuat opsi untuk mengenkripsi pembuatan malware kustom dari UI untuk diunduh sebagai DLL.

 

Untuk berita selengkapnya dapat dibaca pada tautan dibawah ini;

Source: ZDNet

Pembaruan Chrome 80 melumpuhkan pasar cybercrime teratas

by

Perubahan kecil pada browser Google Chrome versi 80 memiliki efek yang sangat efektif pada salah satu pasar cybercrime top saat ini.

 

Perusahaan Intelijen ancaman, KELA, mengatakan kepada ZDNet bahwa Genesis Store saat ini sedang melalui masa sulit, terlihat penurunan 35% dalam jumlah curian kredensial yang dijual di situs mereka. 

 

Diluncurkan pada November 2018, Genesis Store menjual kredensial browser curian. Mereka menjual “Sidik jari”, yaitu gambar virtual dari identitas pengguna di situs web online termasuk username, password, IP address yang pernah digunakan, cookie browser dan detail teknikal OS lainnya.

 

Product Manager di KELA, Raveed Laeb, mengatakan bahwa AZORult (info-stealing malware) adalah titik kelemahan utama pada Genesis. Mereka menggunakan malware tersebut untuk mendapatkan sebagian besar data curian yang selama ini mereka jual. 

 

Ketika Google Chrome merilis pembaruan versi 80 pada awal Februari kemarin, Google beralih menggunakan algoritma AES-256 untuk hash kata sandi yang disimpan secara lokal di dalam basis data SQLite internal Chrome. Itu mengakibatkan kata sandi yang disimpan Chrome memiliki format berbeda dari sebelumnya dan membuat AZORult yang sudah tidak mendapatkan update sejak akhir tahun 2018 tidak dapat mengambil kredensial dari Chrome 80.

 

Jika Anda belum memperbarui versi Google Chrome Anda ke versi 80, lakukan update sesegera mungkin.

 

Source: ZDNet

Malware “Cloud Snooper” yang menyelinap ke server Linux

by

SophosLabs baru saja menerbitkan laporan tentang serangan malware yang dijuluki Cloud Snooper. Alasan untuk nama ini bukan karena serangan ini hanya terjadi pada cloud (teknik ini dapat digunakan terhadap hampir semua server, dimanapun ia di-host) namun nama itu diberikan karena dengan cara ini siber kriminal dapat membuka server Anda ke cloud, dengan cara yang pasti tidak Anda inginkan, “dari dalam ke luar”.

 

Pada Artikel kali ini, Tim Keamanan Sophos hanya akan membahas salah satu komponen di Cloud Snooper, komponen itu bernama snd_floppy. Itu adalah driver kernel Linux yang digunakan oleh penjahat Cloud Snooper sehingga mereka dapat mengirim instruksi perintah dan kontrol (C2) langsung ke jaringan Anda, namun tersembunyi di depan mata.

 

Driver snd_floppy menggunakan nilai numerik port TCP yang biasanya tidak penting untuk mengenali “sinyal rahasia” yang masuk dari luar firewall. Sumber port adalah apa yang menyisipkan pesan rahasia melalui firewall, dimana snd_floppy akan melakukan salah satu fungsi rahasianya berdasarkan nomor port, termasuk:

 

  • Mengekstrak dan meluncurkan program malware (Sumber port=6060)
  • Mengalihkan paket ini ke malware (Sumber port=7070)
  • Menghentikan dan menghapus malware yang sedang berjalan (Sumber port=9999)
  • Alihkan paket ini ke server SSH internal (Sumber port=1010)

 

Baca berita selengkapnya dan cara menangani malware ini pada tautan dibawah ini;

Source: Naked Security by Sophos | SophosLabs

Malware Mozart Baru Mendapat Perintah dan Menyembunyikan Lalu Lintas Menggunakan DNS

by

Malware backdoor baru bernama Mozart, yang ditemukan oleh MalwareHunterTeam, menggunakan protokol DNS untuk berkomunikasi jarak jauh dengan operatornya untuk menghindari deteksi antivirus dan sistem deteksi intrusi.

 

DNS adalah nama protokol resolusi yang digunakan untuk mengonversi nama host, seperti www.example.com, ke alamat IP-nya, 93.184.216.34, sehingga perangkat lunak dapat terhubung ke komputer jarak jauh. Selain mengonversi nama host ke alamat IP, protokol DNS juga memungkinkan Anda untuk meminta data TXT yang berisi data dalam bentuk teks.

 

Operator Mozart menggunakan dokumen TXT DNS ini untuk menyimpan perintah yang akan diambil oleh malware dan dieksekusi di komputer yang terinfeksi.

 

Malware Mozart diyakini didistribusikan melalui email phishing yang berisi PDF yang tertaut ke file ZIP yang berlokasi di https://masikini[.]Com/CarlitoRegular[.]Zip. File zip ini berisi file JScript yang ketika dieksekusi akan mengekstrak executable yang disandikan menggunakan base64 yang disimpan ke komputer sebagai %Temp%\calc.exe dan dieksekusi.

 

Untuk mengetahui bagaimana cara mengatasinya, baca berita selengkapnya pada link dibawah ini;

Source: Bleeping Computer 

Malware Racoon Mencuri Data Anda Dari Hampir 60 Aplikasi

by

Malware yang dapat mengekstraksi data lebih dari 60 aplikasi di komputer yang ditargetkan, relatif baru dalam forum keamanan siber. 

Cara kerja malware terus mengalami perubahan dan pembaharuan dari beberapa tahun sebelumnya, menjadi lebih variatif dengan berbagai fitur dan harga. 

Malware Racoon pertama kali ditemukan satu tahun lalu, malware ini dengan cepat menjadi populer karena memiliki banyak fitur dan harganya yang murah.

Seperti semua malware yang sedang populer, Raccon secara aktif dilakukan perbaikan berbagai fungsi dan kemampuan.  

Malware Racoon tidak menggunakan teknik spesial untuk mengekstrak data pada program yang ditargetkan, namun malware ini populer di forum keamanan siber, bahkan dalam laporan bulan juli tahun 2019, Raccon mencatatkan penjualan tertinggi di pasar gelap.

Untuk Informasi lebih lanjut;

Source: BLEEPING COMPUTER

OBLIQUERAT – MALWARE BARU YANG MENARGET ORGANISASI PEMERINTAH DI KAWASAN ASIA TENGGARA

by

Kampanye malware baru yang dijuluki ObliqueRAT menggunakan dokumen Microsoft Office berbahaya untuk menargetkan organisasi pemerintah di Asia Tenggara.

Para peneliti percaya bahwa kampanye ObliqueRAT terkait dengan kampanye CrimsonRAT karena mereka menggunakan maldocs dan makro yang sama.

Dalam kampanye ini, penyerang menggunakan pesan Email phishing dengan dokumen Microsoft Office yang dipersenjatai untuk mengirimkan malware ObliqueRAT.

Cara Kerja ObliqueRAT

Malware sampai ke perangkat kita dalam bentuk dokumen Microsoft Word yang telah dimanipulasi, dengan nama file “Company-Terms.doc & DOT_JD_GM.doc”.

Jika kita membuka dokumen ini, akan muncul permintaan kata sandi untuk melihat konten dokumen. Setelah kata sandi yang benar dimasukkan, skrip VB dalam dokumen berbahaya akan diaktifkan.

Kemampuan Malware ObliqueRAT

  1. Mampu menjalankan perintah pada sistem yang terinfeksi
  2. Exfiltrate file dari komputer
  3. Penyerang dapat menambahkan file kedalam sitem
  4. Mampu menghentikan proses yang berjalan

Berita selengkapnya, silahkan kunjungi tautan dibawah ini;

Source: gbhackers Cisco

Emotet menggunakan pesan SMS untuk menyebarkan malware dan mencuri Informasi bank korban

by

Emotet telah berkembang pesat sejak mereka kembali pada bulan September tahun lalu. Minggu lalu peneliti telah menemukan bahwa fitur baru Emotet memungkinkan peretas untuk meretas WIFI dan menyebarkan malware nya seperti worm. Baru-baru ini, Emotet ditemukan menyebarkan malware melalui pesan SMS (smishing). 

 

Bermula dari pesan SMS yang mengaku dari nomor lokal AS dan menyamar sebagai staff dari salah satu bank, pesan itu berisi peringatan untuk pengguna bahwa akun bank nya telah terkunci. Mendesak pengguna untuk klik pada link di dalam pesan tersebut yang sebenarnya menuju ke sebuah domain yang terkenal untuk mendistribusikan Emotet (shabon[.]co). 

 

Halaman dari link tersebut didesain untuk membujuk korban untuk memasukkan informasi akun mereka (seperti email & password) dan meminta mereka mengunduh dokumen yang berisi macro jahat untuk step kedua.

 

Klik pada link dibawah untuk membaca berita selengkapnya!

Source: Threat Post