Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Ticketmaster Mendapat Denda Besar Selama Pelanggaran Data 2018

by

Raksasa acara menghadapi hukuman terkait GDPR di Inggris, dan lebih banyak lagi bisa mengikuti. Divisi Ticketmaster Inggris telah didenda $ 1,65 juta oleh Kantor Komisaris Informasi (ICO) di Inggris, atas pelanggaran data 2018 yang berdampak pada 9,4 juta pelanggan.

Denda (£ 1,25 juta) telah dikenakan setelah ICO menemukan bahwa perusahaan “gagal menerapkan langkah-langkah keamanan yang sesuai untuk mencegah serangan cyber pada bot-chat yang dipasang di halaman pembayaran online-nya” – kegagalan yang melanggar Peraturan Perlindungan Data Umum (GDPR) UE.

Pada Juni 2018, raksasa penjualan tiket itu mengatakan bahwa mereka menemukan malware dalam fungsi obrolan pelanggan untuk situs webnya, yang dihosting oleh Inbenta Technologies. Yang mengkhawatirkan, kode berbahaya tersebut ditemukan mengakses berbagai informasi, termasuk nama, alamat, alamat email, nomor telepon, detail pembayaran, dan detail login Ticketmaster. Belakangan diketahui bahwa serangan itu adalah pekerjaan geng Magecart, yang dikenal karena menyuntikkan skimmer pembayaran ke komponen situs web yang rentan.

sumber : ThreatPost

Penyerang Siber Melayani Backdoor Khusus untuk Perangkat Lunak Restoran Oracle

by

Malware modular sangat canggih tetapi mungkin tidak dapat menangkap info kartu kredit. ModPipe, backdoor yang sebelumnya tidak dikenal, telah dibuat khusus untuk menyerang solusi point-of-sale (PoS) restoran dari Oracle. Terkenal karena kecanggihannya yang tidak biasa, menurut peneliti, dibuktikan dengan berbagai modulnya.

Kode tersebut secara khusus membidik Oracle MICROS Restaurant Enterprise Series (RES) 3700 POS – rangkaian perangkat lunak manajemen yang digunakan oleh ratusan ribu bar, restoran, hotel, dan perusahaan perhotelan lainnya di seluruh dunia, menurut ESET. Serangan tersebut terutama terjadi di AS, kata para peneliti – meskipun vektor infeksi awal tidak diketahui.

Salah satu modul perangkat lunak perusak yang dapat diunduh, yang disebut GetMicInfo, sangat unik, kata perusahaan itu. Ini mengendus dan mengeksfiltrasi kredensial yang memungkinkan operator ModPipe mengakses konten basis data, termasuk berbagai definisi dan data konfigurasi, tabel status, dan informasi tentang transaksi PoS.

sumber : ThreatPost

Play Store diidentifikasi sebagai vektor distribusi utama untuk sebagian besar malware Android

by

Google Play Store resmi telah diidentifikasi sebagai sumber utama penginstalan malware di perangkat Android dalam studi akademis baru-baru ini.

Menggunakan data telemetri yang disediakan oleh NortonLifeLock (sebelumnya Symantec), para peneliti menganalisis asal penginstalan aplikasi di lebih dari 12 juta perangkat Android selama periode empat bulan antara Juni dan September 2019.

Secara total, para peneliti melihat lebih dari 34 juta penginstalan APK (aplikasi Android) untuk 7,9 juta aplikasi unik.

Peneliti mengatakan bahwa sesuai klasifikasi malware Android yang berbeda, antara 10% dan 24% aplikasi yang mereka analisis dapat dikategorikan sebagai aplikasi yang berbahaya atau tidak diinginkan.

Namun para peneliti berfokus secara khusus pada “hubungan siapa-menginstal-siapa antara installer dan aplikasi anak” untuk menemukan jalur yang diambil aplikasi berbahaya untuk menjangkau perangkat pengguna.

Hasilnya menunjukkan bahwa sekitar 67% dari pemasangan aplikasi berbahaya yang diidentifikasi peneliti berasal dari Google Play Store.

Sumber: ZDNet

Penelitian berjudul “How Did That Get In My Phone? Unwanted App Distribution on Android Devices,” tersedia untuk diunduh dalam format PDF dan ditulis oleh peneliti dari NortonLifeLock dan IMDEA Software Institute di Madrid, Spanyol.

Baca berita selengkapnya pada tautan berikut ini;
Source: ZDNet

Kampanye Malspam Memanfaatkan Ketidakpastian Pemilihan

by

Penjahat siber telah memanfaatkan ketidakpastian yang sedang berlangsung di sekitar pemilihan AS 2020 untuk meluncurkan kampanye malspam baru yang bertujuan menyebarkan trojan Qbot.
Penjahat di belakang Qbot muncul kembali sehari setelah pemilu dengan email spam yang berusaha memikat korban dengan pesan yang mengklaim memiliki informasi tentang campur tangan pemilu,

Menurut peneliti. “Pemilu AS 2020 telah menjadi subjek pengawasan dan emosi yang intens, sementara terjadi di tengah pandemi global,” para peneliti di Malwarebytes Labs melaporkan dalam posting Rabu. “Dalam kasus ini, kami mulai mengamati kampanye spam baru yang mengirimkan lampiran berbahaya yang mengeksploitasi keraguan tentang proses pemilihan.”

Email terbaru yang diamati oleh tim Lab MalwareBytes menyertakan lampiran ZIP bernama “ElectionInterference_ [8 hingga 9 digit] .zip” dan meminta penerima untuk “Baca dokumen dan beri tahu saya pendapat Anda”.
Jika mengklik pada spreadsheet Excel yang dibuat seolah-olah itu adalah file DocuSign yang aman. “Pengguna tertipu untuk mengizinkan makro untuk ‘mendekripsi’ dokumen,” kata peneliti.

Setelah makro diaktifkan, ia mengunduh muatan berbahaya yang berisi trojan Qbot dengan URL yang dikodekan dalam sel sheet bernama Sirilik “Лист3”. Setelah eksekusi, trojan menghubungi server perintah dan kontrolnya untuk meminta instruksi untuk aktivitas jahatnya. Dalam kasus ini, Qbot mencuri dan mengeksfiltrasi data korban serta mengumpulkan email yang dapat digunakan dalam kampanye malspam di masa mendatang, kata peneliti.

Para pelaku ancaman mengambil keuntungan dari ketidakpastian pemilu 2020 – hasil resmi yang masih belum diketahui – tidak mengejutkan. Peneliti keamanan sejak lama berharap hari pemilihan dan akibatnya akan diganggu oleh para pelaku ancaman siber.

Memang, skenario pemilu 2020 saat ini adalah umpan yang sempurna untuk skema rekayasa sosial yang sering digunakan oleh pelaku ancaman untuk mendistribusikan malware secara massal melalui email berbahaya.

Source : Threatpost

Malware Android Firestarter Menyalahgunakan Google Firebase Cloud Messaging

by

Grup APT memulai serangan dengan loader malware Android baru, yang menggunakan layanan perpesanan Google yang sah untuk melewati deteksi.

Malware, yang dijuluki “Firestarter”, digunakan oleh grup ancaman APT yang disebut “DoNot”. DoNot menggunakan Firebase Cloud Messaging (FCM), yang merupakan solusi cloud lintas platform untuk pesan dan notifikasi untuk aplikasi Android, iOS, dan web. Layanan ini disediakan oleh Firebase, anak perusahaan Google, dan sebelumnya juga telah dimanfaatkan oleh penjahat siber.

Dalam hal ini, loader menggunakannya sebagai mekanisme komunikasi untuk terhubung dengan server perintah-dan-kontrol (C2) DoNot, membantu aktivitas grup menghindari deteksi.

“Penelitian kami mengungkapkan bahwa DoNot telah bereksperimen dengan teknik baru untuk menjaga pijakan pada mesin korban mereka,” menurut peneliti dengan Cisco Talos dalam analisis hari Kamis. “Eksperimen ini, yang dibuktikan dengan loader Firestarter, adalah tanda betapa bertekadnya mereka untuk tetap menjalankan operasi meskipun terekspos, yang menjadikan mereka aktor yang sangat berbahaya yang beroperasi di area spionase.”

Tim DoNot terus berfokus pada India dan Pakistan, dan dikenal karena menargetkan pejabat pemerintah Pakistan dan organisasi nirlaba Kashmir (Kashmir adalah kelompok etnis Dardik yang berasal dari Lembah Kashmir yang disengketakan).

Pengguna dibujuk untuk memasang aplikasi berbahaya di perangkat seluler mereka, kemungkinan dilakukan melalui pesan langsung yang memanfaatkan rekayasa sosial, kata peneliti. Nama file aplikasi Android ini (kashmir_sample.apk atau Kashmir_Voice_v4.8.apk) menunjukkan minat yang berkelanjutan di India, Pakistan, dan krisis Kashmir.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

US Cyber Command mengungkap malware Rusia baru

by

US Cyber Command telah mengungkap delapan sampel malware baru yang dikembangkan dan digunakan oleh peretas Rusia dalam serangan baru-baru ini.

Enam dari delapan sampel adalah untuk malware ComRAT (digunakan oleh grup peretasan Turla), sedangkan dua lainnya adalah sampel untuk malware Zebrocy (digunakan oleh grup peretasan APT28).

Baik ComRAT dan Zebrocy adalah keluarga malware yang telah digunakan oleh kelompok peretas Rusia selama bertahun-tahun, dengan ComRAT digunakan dalam serangan selama lebih dari satu dekade, yang telah berevolusi dari malware Agent.BTZ yang lama.

Baik Turla dan APT28 secara konsisten memperbarui kedua alat untuk menambahkan teknik penghindaran dan menjaga malware mereka tidak terdeteksi.

Tujuan dari pengungkapan pemerintah AS baru-baru ini adalah untuk membagikan versi terbaru dari alat peretasan ini dengan masyarakat umum sehingga administrator sistem dan defender lainnya dapat menambahkan aturan deteksi dan memperbarui tindakan perlindungan.

Pada hari Kamis, Pasukan Misi Nasional Siber Komando Siber AS (CNMF) mengunggah sampel versi ComRAT dan Zebrocy baru di akun VirusTotal-nya, sementara Cybersecurity and Infrastructure Security Agency (CISA), bekerja sama dengan CyWatch Biro Investigasi Federal, menerbitkan dua advisory keamanan yang menjelaskan cara kerja ComRAT dan Zebrocy.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Malware baru ini menggunakan serangan overlay jarak jauh untuk membajak rekening bank Anda

by

Para peneliti telah menemukan bentuk baru sebuah malware menggunakan serangan overlay jarak jauh untuk menyerang pemegang rekening bank Brasil.

Varian malware baru, yang dijuluki Vizom oleh IBM, sedang digunakan dalam kampanye aktif di seluruh Brasil yang dirancang untuk menyusupi rekening bank melalui layanan keuangan online.

Pada hari Selasa, peneliti keamanan IBM Chen Nahman, Ofir Ozer, dan Limor Kessem mengatakan malware tersebut menggunakan taktik yang menarik untuk tetap tersembunyi dan membahayakan perangkat pengguna secara real-time – yaitu, teknik overlay jarak jauh dan pembajakan DLL.

Vizom menyebar melalui kampanye phishing berbasis spam dan menyamar sebagai perangkat lunak konferensi video populer, alat yang telah menjadi sangat penting keberadaanya untuk bisnis dan acara sosial karena pandemi virus corona.

Setelah malware mendarat di PC Windows yang rentan, Vizom pertama-tama akan menyerang direktori AppData untuk memulai rantai infeksi. Dengan memanfaatkan pembajakan DLL, malware akan mencoba memaksa pemuatan DLL berbahaya dengan menamai varian berbasis Delphi miliknya sendiri dengan nama yang diharapkan oleh perangkat lunak yang sah di direktori mereka.

Dengan membajak “logika inheren” sistem, IBM mengatakan sistem operasi tersebut tertipu untuk memuat malware Vizom sebagai child proses dari file konferensi video yang sah. DLL bernama Cmmlib.dll, file yang terkait dengan Zoom.

Sebuah dropper kemudian akan meluncurkan zTscoder.exe melalui command prompt dan muatan kedua, sebuah Remote Access Trojan (RAT), diekstrak dari server jarak jauh – dengan trik pembajakan yang sama dilakukan pada browser Internet Vivaldi.

Karena Vizom telah menerapkan kemampuan RAT, penyerang dapat mengambil alih sesi yang dikompromikan dan overlay konten untuk mengelabui korban agar mengirimkan akses dan kredensial akun untuk rekening bank mereka. Vizom juga dapat mengambil tangkapan layar melalui fungsi cetak dan kaca pembesar Windows.

Berita selengkapnya:
Source: ZDNet

Dokumen Word TA551 (Shathak) mendorong IcedID (Bokbot) terinstal pada perangkat korban

by

Seorang peneliti dari malware-traffic-analysis.net, Brad Duncan, telah memposting mengenai detail bagaimana TA551 (Shathak) menggunakan dokumen word untuk mengintal IcedID (Bokbot) pada mesin korban.

Pada postingan tersebut, Duncan menjelaskan bahwa kampanye TA551 (Shathak) masih terus menggunakan malware IcedID (Bokbot) sejak ia menulis laporan mengenai kampanye ini pada Agustus 2020. Kampanye ini, yang tidak hanya menargetkan korban yang tidak berbahasa Inggris, sekarang mengganti template email mereka untuk menghindari deteksi.

Sumber: SANS ISC InfoSec Forums

TA551 menggunakan malspam untuk mengirim malware IcedID pada tahap awal. Malspam dari TA551 menggunakan rantai email sah yang dicuri dari klien email pada host Windows yang sebelumnya terinfeksi, Email ini mencoba untuk menipu pengirim dengan menggunakan nama dari rantai email sebagai alias untuk alamat pengiriman.

Selanjutnya, korban yang tidak berhati-hati akan menggunakan password yang ada pada email untuk mengekstrak dokumen zip yang terlampir. Infeksinya dimulai ketika korban mengaktifkan makro pada host Windows yang rentan dan mengabaikan peringatan keamanan apa pun.

Sumber: SANS ISC InfoSec Forums

Mengaktifkan makro menyebabkan host Windows yang rentan mengambil file DLL Windows dari URL yang diakhiri dengan .cab. DLL ini disimpan pada host dan dijalankan menggunakan regsvr32.exe. DLL ini adalah penginstal untuk IcedID.

Setelah DLL dijalankan menggunakan regsvr32.exe, host Windows korban mengambil gambar PNG melalui lalu lintas HTTPS. PNG awal ini disimpan ke direktori AppData\Local\Temp korban dengan ekstensi file .tmp. Gambar PNG memiliki data yang dikodekan yang digunakan penginstal DLL untuk membuat EXE untuk IcedID. EXE ini juga disimpan ke direktori yang sama.

Selama proses infeksi, EXE pertama untuk IcedID menghasilkan lebih banyak lalu lintas HTTPS, dan Duncan menemukan gambar PNG lain yang disimpan di suatu tempat di bawah direktori AppData\Local atau AppData\Roaming korban. PNG kedua ini juga berisi data yang dikodekan.

Pada akhirnya, Duncan melihat EXE lain untuk IcedID yang disimpan ke direktori baru dan dibuat persisten melalui tugas terjadwal. EXE persisten ini berukuran sama dengan EXE pertama, tetapi memiliki hash file yang berbeda.

Untuk IoC serta detail gambar dapat dilihat pada tautan berikut ini;
Source: SANS ISC InfoSec Forums