Malware

Malware baru dari grup peretas menyalahgunakan layanan Google dan Facebook

December 14, 2020 by Winnie the Pooh

Molerats cyberespionage group telah menggunakan malware baru dalam kampanye spear-phishing baru-baru ini yang mengandalkan Dropbox, Google Drive, dan Facebook untuk komunikasi command dan control dan untuk menyimpan data yang dicuri.

Para peretas telah aktif setidaknya sejak 2012 dan dianggap sebagai divisi anggaran rendah dari kelompok yang lebih besar yang disebut Gaza Cybergang.

Aktor ancaman Molerats menggunakan dua backdoor baru dalam operasi yang terbaru- disebut SharpStage dan DropBook, dan satu pengunduh malware yang sebelumnya tidak diketahui bernama MoleNet.

Dirancang untuk cyberespionage, malware mencoba untuk menghindari deteksi dan upaya penghapusan dengan menggunakan layanan Dropbox dan Facebook untuk mencuri data dan menerima instruksi dari operator. Kedua backdoor menerapkan Dropbox untuk mengekstrak data yang dicuri.

Laporan teknis dari Tim Nocturnus Cybereason mencatat bahwa backdoor DropBook berbasis Python berbeda dari alat lain di gudang senjata Molerats karena menerima instruksi hanya melalui akun palsu di Facebook dan Simplenote, aplikasi pencatat untuk iOS.

Peretas mengontrol backdoor melalui perintah yang diterbitkan dalam posting di Facebook. Mereka menggunakan metode yang sama untuk memberikan token yang diperlukan untuk terhubung ke akun Dropbox. Simplenote bertindak sebagai cadangan jika malware tidak dapat mengambil token dari Facebook.

Sumber: Bleeping Computer

Microsoft mengekspos Adrozek, malware yang membajak Chrome, Edge, dan Firefox

December 11, 2020 by Winnie the Pooh

Microsoft telah meningkatkan kewaspadaan tentang jenis malware baru yang menginfeksi perangkat pengguna dan kemudian mulai memodifikasi browser dan pengaturannya untuk memasukkan iklan ke halaman hasil pencarian.

Dinamakan Adrozek, malware tersebut telah aktif setidaknya sejak Mei 2020 dan mencapai puncak absolutnya pada Agustus tahun ini ketika ia mengendalikan lebih dari 30.000 browser setiap hari.

Dalam laporannya, Tim Riset Defender Microsoft 365 yakin bahwa jumlah pengguna yang terinfeksi jauh lebih tinggi. Peneliti Microsoft mengatakan bahwa antara Mei dan September 2020, mereka mengamati “ratusan ribu” deteksi Adrozek di seluruh dunia.

Berdasarkan telemetri internal, konsentrasi korban tertinggi tampaknya berada di Eropa, diikuti oleh Asia Selatan dan Tenggara.

Microsoft mengatakan bahwa, saat ini, malware didistribusikan melalui skema pengunduhan drive-by klasik. Pengguna biasanya dialihkan dari situs sah ke shady domain tempat mereka tertipu untuk memasang perangkat lunak berbahaya.

Boobytrapped software menginstal malware Androzek, yang kemudian melanjutkan untuk mendapatkan persistensi booting ulang dengan bantuan registry key. Setelah persistensi terjamin, malware akan mencari peramban yang dipasang secara lokal seperti Microsoft Edge, Google Chrome, Mozilla Firefox, atau Peramban Yandex.

Adrozek juga memodifikasi beberapa file DLL browser untuk mengubah pengaturan browser dan menonaktifkan fitur keamanan untuk menghindari deteksi.

Microsoft mengatakan bahwa di Firefox, Adrozek juga berisi fitur sekunder yang mengekstrak kredensial dari browser dan mengunggah data ke server penyerang.

Sumber: ZDNet

Peretas Rusia menyembunyikan malware Zebrocy dalam virtual disk images

December 10, 2020 by Winnie the Pooh

Peretas berbahasa Rusia di balik malware Zebrocy telah mengubah teknik mereka untuk mengirimkan malware ke korban profil tinggi dan mulai mengemas ancaman di Virtual Hard Drive (VHD) untuk menghindari deteksi.

Teknik ini terlihat dalam kampanye spear-phishing baru-baru ini dari kelompok ancaman APT28 (Fancy Bear, Sofacy, Strontium, Sednit) untuk menginfeksi sistem target dengan varian toolset Zebrocy.

Zebrocy hadir dalam banyak bahasa pemrograman (AutoIT, C ++, C #, Delphi, Go, VB.NET). Untuk kampanye baru-baru ini, pelaku ancaman memilih versi berbasis Golang daripada versi Delphi yang lebih umum.

Windows 10 mendukung file VHD secara native dan dapat memasangnya sebagai drive eksternal untuk memungkinkan pengguna melihat file di dalamnya. Tahun lalu, peneliti keamanan menemukan bahwa antivirus tidak memeriksa konten VHD sampai disk images dipasang.

Para peneliti di Intezer pada akhir November menemukan sebuah VHD yang diunggah ke platform pemindaian Virus Total. Di dalam images itu ada file PDF dan file yang dapat dieksekusi yang menyamar sebagai dokumen Microsoft Word, yaitu malware Zebrocy.

PDF tersebut adalah presentasi tentang Sinopharm International Corporation, sebuah perusahaan farmasi China yang saat ini sedang dalam uji coba fase ketiga untuk vaksin COVID-19.

Varian Zebrocy dalam file VHD adalah yang baru yang memiliki deteksi rendah pada Virus Total. Pada 30 November, hanya sembilan dari 70 mesin yang mendeteksi ini sebagai malware.

Dalam laporannya, Intezer memberikan indicators of compromise (IoC) untuk server perintah dan kontrol, file VHD, dan sampel malware Zebrocy yang digunakan dalam kampanye phishing baru-baru ini.

Sumber: Bleeping Computer

Malware Qbot beralih ke metode autostart Windows baru yang tersembunyi

December 10, 2020 by Winnie the Pooh

Versi malware Qbot baru sekarang mengaktifkan mekanisme persistensi tepat sebelum perangkat Windows yang terinfeksi dimatikan dan secara otomatis menghapus jejak apa pun saat sistem dimulai ulang atau setelah sleep.

Qbot (juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows dengan fitur worm yang aktif setidaknya sejak 2009 dan digunakan untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan.

Malware ini juga telah digunakan untuk mencatat penekanan tombol pengguna, untuk membuka backdoor pada komputer yang disusupi, dan untuk menyebarkan Cobalt Strike yang digunakan oleh operator ransomware untuk mengirimkan muatan ransomware ProLock dan Egregor.

Dimulai pada 24 November, ketika peneliti keamanan Binary Defense James Quinn mengatakan bahwa versi Qbot baru terlihat, malware tersebut menggunakan mekanisme persistensi yang lebih baru dan tersembunyi yang memanfaatkan sistem shutdown dan melanjutkan pesan untuk mengubah persistensi pada perangkat yang terinfeksi.

Qbot Window message listener (Sumber: Binary Defense)

Trojan akan menambahkan registry Run key pada sistem yang terinfeksi yang memungkinkannya untuk memulai secara otomatis saat system login dan akan mencoba untuk segera menghapusnya setelah pengguna menyalakan sistem untuk menghindari deteksi oleh solusi anti-malware atau peneliti keamanan.

Meskipun metode untuk mendapatkan persistensi ini baru untuk Qbot, malware lain telah menggunakan teknik serupa untuk menghindari deteksi di masa lalu, termasuk trojan perbankan Gozi dan Dridex.

Sumber: Bleeping Computer

Malware Android Iran “RANA” juga Memata-matai Pesan Instan

December 8, 2020 by Winnie the Pooh

Sebuah tim peneliti mengungkap kemampuan implan spyware Android yang sebelumnya dirahasiakan — yang dikembangkan oleh aktor ancaman Iran yang dikenai sanksi — yang memungkinkan penyerang memata-matai obrolan pribadi dari aplikasi pesan instan populer, memaksa koneksi Wi-Fi, dan menjawab panggilan otomatis dari nomor tertentu untuk tujuan menguping percakapan.

Pada bulan September, Departemen Keuangan AS menjatuhkan sanksi pada APT39 (alias Chafer, ITG07, atau Remix Kitten) – aktor ancaman Iran yang didukung oleh Kementerian Intelijen dan Keamanan (MOIS) negara itu – karena melakukan kampanye malware yang menargetkan para pembangkang Iran, wartawan, dan perusahaan internasional di sektor telekomunikasi dan perjalanan.

Bertepatan dengan sanksi tersebut, Federal Bureau of Investigation (FBI) merilis laporan analisis ancaman publik yang menjelaskan beberapa alat yang digunakan oleh Rana Intelligence Computing Company, yang beroperasi sebagai front untuk aktivitas cyber berbahaya yang dilakukan oleh grup APT39.

Secara resmi menghubungkan operasi APT39 ke Rana, FBI merinci delapan set malware terpisah dan berbeda yang sebelumnya tidak diungkapkan yang digunakan oleh grup untuk melakukan gangguan komputer dan aktivitas pengintaian, termasuk aplikasi spyware Android yang disebut “optimizer.apk” dengan kemampuan mencuri informasi dan akses jarak jauh.

Menurut peneliti Karlo Zanki, implan tidak hanya memiliki izin untuk merekam audio dan mengambil foto untuk keperluan pengawasan pemerintah, tetapi juga berisi fitur untuk menambahkan titik akses Wi-Fi khusus dan memaksa perangkat yang dikompromikan untuk terhubung dengannya.

Yang juga perlu diperhatikan adalah kemampuan untuk menjawab panggilan secara otomatis dari nomor telepon tertentu, sehingga memungkinkan pelaku ancaman untuk memanfaatkan percakapan sesuai permintaan.

Selain menampilkan dukungan untuk menerima perintah yang dikirim melalui pesan SMS, varian terbaru malware “optimizer” yang direferensikan oleh FBI menyalahgunakan layanan aksesibilitas untuk mengakses konten aplikasi pesan instan seperti WhatsApp, Instagram, Telegram, Viber, Skype, dan klien Telegram tidak resmi yang berbasis di Iran bernama Talaeii.

Sumber: The Hacker News

Grup peretas Rusia menggunakan Dropbox untuk menyimpan data yang dicuri malware

December 3, 2020 by Winnie the Pooh

Grup peretas yang didukung Rusia, Turla, telah menggunakan malware toolset untuk menyebarkan backdoor dan mencuri dokumen sensitif dalam kampanye spionase siber yang menargetkan profil tinggi seperti Kementerian Luar Negeri sebuah negara Uni Eropa.

Malware framework yang sebelumnya tidak diketahui, dinamai Crutch oleh penulisnya, digunakan dalam kampanye mulai dari 2015 hingga setidaknya awal 2020.

Malware Crutch Turla ini dirancang untuk membantu memanen dan mengekstrak dokumen sensitif dan berbagai file menarik lainnya ke akun Dropbox yang dikendalikan oleh grup tersebut.

“Kecanggihan serangan dan detail teknis dari penemuan ini semakin memperkuat persepsi bahwa kelompok Turla memiliki sumber daya yang cukup besar untuk mengoperasikan persenjataan yang begitu besar dan beragam,” kata peneliti ESET Matthieu Faou dalam sebuah laporan yang dibagikan sebelumnya dengan BleepingComputer.

“Selanjutnya, Crutch mampu melewati beberapa lapisan keamanan dengan menyalahgunakan infrastruktur resmi – yaitu, Dropbox – untuk berbaur dengan lalu lintas jaringan normal sambil mengeksfiltrasi dokumen yang dicuri dan menerima perintah dari operatornya.”

Versi awal Crutch (antara 2015 hingga pertengahan 2019) menggunakan saluran backdoor untuk berkomunikasi dengan akun Dropbox yang di-hardcode melalui API HTTP resmi dan alat pemantauan drive tanpa kemampuan jaringan yang mencari dan mengarsipkan dokumen menarik sebagai arsip terenkripsi.

Versi yang diperbarui (dilacak sebagai ‘versi 4’ oleh ESET) menambahkan removable-drive monitor dengan kemampuan jaringan dan menghapus kemampuan backdoor.

Sumber: Bleeping Computer

Peretas menargetkan pengguna MacOS dengan malware yang telah diperbarui

December 1, 2020 by Winnie the Pooh

Bentuk malware yang baru ditemukan menargetkan pengguna Apple MacOS dalam kampanye yang menurut para peneliti memiliki kaitan dengan operasi peretasan yang didukung negara.

Kampanye tersebut telah dirinci oleh analis keamanan siber di Trend Micro yang telah menautkannya ke OceanLotus – juga dikenal sebagai APT32 – sebuah grup peretasan yang diduga memiliki hubungan dengan pemerintah Vietnam.

Mereka menduga ini ada kaitannya dengan OceanLotus karena kesamaan dalam kode dan perilaku malware yang digunakan dalam kampanye sebelumnya oleh grup tersebut.

Backdoor MacOS memberi penyerang celah ke mesin yang disusupi, memungkinkan mereka untuk mengintip dan mencuri informasi rahasia dan dokumen bisnis yang sensitif.

Serangan dimulai dengan email phishing yang mencoba mendorong korban untuk menjalankan file Zip yang menyamar sebagai dokumen Word. File ini menghindari deteksi anti-virus dengan menggunakan karakter khusus jauh di dalam serangkaian folder Zip.

Untuk membantu menghindar dari malware ini dan kampanye malware lainnya, Trend Micro mengimbau pengguna untuk berhati-hati dalam mengklik tautan atau mengunduh lampiran dari email yang datang dari sumber yang mencurigakan atau tidak dikenal.

Organisasi juga disarankan untuk menerapkan tambalan keamanan dan pembaruan lainnya ke perangkat lunak dan sistem operasi sehingga malware tidak dapat memanfaatkan kerentanan yang telah diketahui.

Sumber: ZDNet

Ransomware: Varian baru ini bisa menjadi ancaman malware besar berikutnya bagi bisnis Anda

November 27, 2020 by Winnie the Pooh

Bentuk baru ransomware menjadi semakin produktif karena penjahat dunia maya menggunakannya sebagai cara yang disukai untuk mengenkripsi jaringan yang rentan dalam upaya mengeksploitasi bitcoin dari para korban. Egregor ransomware pertama kali muncul pada bulan September tetapi telah menjadi terkenal setelah beberapa insiden terkenal, termasuk serangan terhadap penjual buku Barnes & Noble, serta perusahaan video game Ubisoft dan Crytek.

Seperti semua geng ransomware, motif utama di balik Egregor adalah uang dan untuk mendapatkan kesempatan terbaik untuk memeras pembayaran, geng tersebut menggunakan taktik umum yang umum terjadi setelah serangan ransomware – mengancam untuk merilis informasi pribadi yang dicuri dari sekian korban jika mereka tidak membayar. Dalam beberapa kasus, penyerang akan merilis potongan informasi dengan catatan tebusan, sebagai bukti kesungguhan mereka.

Salah satu alasan Egregor tiba-tiba melonjak jumlahnya tampaknya karena itu mengisi celah yang dibiarkan terbuka oleh pengunduran diri geng ransomware Maze. Egregor ransomware masih baru, jadi belum sepenuhnya jelas bagaimana operatornya menyusupi jaringan korban. Para peneliti mencatat bahwa kode tersebut sangat dikaburkan dengan cara yang tampaknya dirancang secara khusus untuk menghindari tim keamanan informasi dapat menganalisis malware.

Organisasi dapat melindungi diri mereka sendiri dari ransomware Egregor dan serangan malware lainnya dengan menggunakan protokol keamanan informasi seperti otentikasi multi-faktor, jadi jika nama pengguna dan kata sandi disusupi oleh penyerang, ada penghalang tambahan yang mencegah mereka untuk mengeksploitasinya. Dan untuk lapisan perlindungan ekstra terhadap serangan ransomware, organisasi harus secara teratur membuat cadangan jaringan mereka dan menyimpannya secara offline, jadi jika yang terburuk terjadi dan jaringan dienkripsi, itu dapat dipulihkan secara relatif tanpa menyerah pada tuntutan pemerasan dari peretas.

sumber : ZDNET

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings