Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Grup APT Cina Menargetkan India Dan Hong Kong Menggunakan Varian Baru Malware MgBot

by

Tim peneliti di Malwarebytes menemukan adanya kampanye Group APT yang menargetkan India dan Hong Kong.

Menurut Malwarebytes, mengingat ketegangan yang sedang berlangsung antara India dan Cina, serta undang-undang keamanan baru di Hong Kong, mereka percaya bahwa Group APT Cina, yang telah aktif sejak setidaknya 2014, adalah dalang di balik kampanye ini.

Pada 2 Juli, tim peneliti menemukan file arsip dengan dokumen tertanam yang berpura-pura berasal dari pemerintah India. File ini menggunakan injeksi template untuk menjatuhkan template berbahaya yang memuat varian Cobalt Strike.

Menurut para peneliti, kelompok itu mengubah template di hari berikutnya, kali ini menjatuhkan loader bernama MgBot, yang menyuntikkan muatan akhir menggunakan Layanan Manajemen Aplikasi (AppMgmt) pada Windows.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Malwarebytes

Varian Baru Malware Joker di Android

by

Analis dari Check Point Research menemukan sejumlah aplikasi yang menggunakan apa yang peneliti deskripsikan sebagai varian baru dari malware Joker dan yang bersembunyi di Google Play Store dalam “aplikasi yang tampaknya sah.”

“Kami menemukan bahwa versi Joker yang diperbarui ini dapat mengunduh malware tambahan ke perangkat, yang membuat pengguna berlangganan ke layanan premium tanpa sepengetahuan atau persetujuan mereka,” tulis tim Check Point dalam ringkasan temuan mereka. Laporan itu memberikan nama paket untuk 11 aplikasi (salah satunya terdaftar dua kali), sehingga Anda dapat menggunakan ini untuk melihat apakah salah satu dari mereka mungkin ada di ponsel Anda tetapi dengan identitas yang berbeda:

com.imagecompress.android
com.contact.withme.texts
com.hmvoice.friendsms
com.relax.relaxation.androidsms
com.cheery.message.sendsms
com.cheery.message.sendsms
com.peason.lovinglovemessage
com.file.recovefiles
com.LPlocker.lockapps
com.remindme.alram
com.training.memorygame

Untuk membuat orang berlangganan ke layanan premium tanpa mereka sadari, malware Joker tampaknya menggunakan layanan Notification Listener aplikasi asli, serta file dex dinamis yang dimuat oleh server perintah dan kontrol untuk melakukan pendaftaran pengguna yang sebenarnya. Check Point mengatakan itu adalah teknik umum bagi pengembang malware PC Windows untuk mengaburkan “sidik jari” kode mereka dengan menyembunyikan file dex sambil tetap memastikannya dapat memuat.

Google telah menghapus aplikasi di atas dari Play Store, tetapi Aviran Hazum dari Check Point mengatakan kepada salah satu outlet berita bahwa malware Joker kemungkinan akan kembali lagi dalam beberapa bentuk. “Malware Joker sulit dideteksi, meskipun ada investasi Google dalam menambahkan perlindungan Play Store. Meskipun Google menghapus aplikasi jahat dari Play Store, kami sepenuhnya dapat beranggapan bahwa Joker bisa beradaptasi lagi.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: BGR | Check Point Research

Malware Baru Ditemukan di Perangkat Lunak Perpajakan Cina

by

GoldenHelper, sebagaimana peneliti dari perusahaan keamanan Trustwave menjuluki malware ini, bersembunyi di dalam perangkat lunak Faktur Pajak Golden, yang semua perusahaan yang terdaftar di China diberi mandat untuk menggunakan perangkat lunak ini untuk membayar pajak. Malware ini dapat memintas Kontrol Akun Pengguna, mekanisme Windows yang mengharuskan pengguna untuk memberikan persetujuan mereka sebelum perangkat lunak dapat menginstal program atau membuat perubahan sistem lainnya. Setelah selesai, GoldenSpy dapat menginstal modul dengan hak istimewa tingkat Sistem. Trustwave menerbitkan temuannya pada hari Selasa di sini.

GoldenHelper menggunakan trik lain untuk menyembunyikan perilaku jahatnya dan menghindari deteksi dari sistem dan perangkat lunak perlindungan endpoint.

Penemuan ini terjadi tiga minggu setelah Trustwave mengekspos GoldenSpy, sepotong spyware canggih yang ditemukan oleh peneliti perusahaan dan terpasang di jaringan perusahaan teknologi multinasional besar yang baru saja membuka kantor di Cina. Seperti GoldenHelper, GoldenSpy menggunakan modus operasi instalasi yang sama — melalui Proyek Pajak Golden.

Perangkat lunak pajak yang menyimpan GoldenHelper diproduksi oleh perusahaan yang dikenal sebagai Baiwang. Baiwang dan Aisino adalah satu-satunya dua penyedia resmi sistem faktur. Penemuan terbaru menunjukkan bahwa GoldenSpy bukan kampanye satu kali, melainkan kampanye yang menggunakan setidaknya satu bagian malware lainnya dalam periode waktu yang lebih lama daripada yang diketahui sebelumnya.

File yang menjadi indikator utama malware ini bernama taxver.exe , dengan beberapa file indikator lain bernama :

1. msxxxs999.dat
2. Wmiasssrv.dll
3. Wmiasssrv.dll
4. Skpc.dll
5. JSKP_BWB_1.0.4.0.exe
6. skpc.dll

Tidak jelas mengapa GoldenHelper ditutup dengan tiba-tiba. Satu tebakan adalah bahwa operatornya meninggalkan proyek setelah tingkat deteksi melonjak, dari sekitar tiga pada Januari 2019 menjadi sebanyak 29 pada Maret. Di bawah ini adalah timeline yang melacak sejarah malware:

Sumber: Trustwave

 

Berita selengkapnya baca di tautan berikut ini;
Source: Ars Technica | Trustwave

Lucifer: Malaikat Jahat Yang Menyalahgunakan Kerentanan Kritis Pada Mesin Windows

by

Jenis baru cryptojacking yang kuat dan malware berbasis DDoS mengeksploitasi kerentanan parah untuk menginfeksi mesin Windows.

Dilansir dari ZDNet, malware yang disebut Lucifer ini adalah bagian dari kampanye aktif yang menyerang host Windows dan menggunakan berbagai weaponized exploits dalam gelombang serangan terbaru yang diungkapkan oleh Unit 42 Palo Alto Networks.

Dalam sebuah blog, peneliti Ken Hsu, Durgesh Sangvikar, Zhibin Zhang dan Chris Navarrete mengatakan bahwa varian terbaru Lucifer, v.2, ditemukan pada 29 Mei ketika menyelidiki eksploitasi CVE-2019-9081, bug deserialisasi pada Laravel Framework yang dapat disalahgunakan untuk melakukan serangan eksekusi kode jarak jauh (RCE). Setelah diteliti lebih lanjut, tampaknya ini hanyalah satu dari banyak kerentanan yang digunakan oleh aktor malware.

Lucifer dianggap sebagai malware hybrid yang kuat yang mampu melakukan cryptojacking dan memanfaatkan mesin yang terinfeksi untuk melakukan serangan Distributed Denial-of-Service (DDoS).

Malware akan memindai TCP port 135 (RPC) dan 1433 (MSSQL) yang terbuka untuk menemukan target dan akan menggunakan serangan credential-stuffing untuk mendapatkan akses. Malware dapat menginfeksi targetnya melalui IPC, WMI, SMB, dan FTP melalui serangan brute-force, serta melalui MSSQL, RPC, dan berbagi jaringan, kata para peneliti.

Setelah berada pada mesin yang terinfeksi, malware menjatuhkan XMRig, sebuah program yang digunakan untuk menambang cryptocurrency Monero (XMR) secara diam-diam.

Lucifer juga akan terhubung ke server perintah-dan-kontrol (C2) untuk menerima perintah – seperti meluncurkan serangan DDoS – mentransfer data sistem curian, dan terus memberi informasi kepada operator tentang status penambang cryptocurrency Monero.

Untuk menyebar, Lucifer menggunakan berbagai kerentanan dan serangan brute-force untuk mengkompromikan host tambahan yang terhubung ke titik infeksi awal.

Lucifer juga akan berusaha menghindari deteksi atau melakukan reverse engineering dengan memeriksa keberadaan sanbox atau mesin virtual. Jika salah satunya ditemukan, maka malware akan memasuki “infinite loop” yang menghentikan operasi.

Gelombang serangan pertama menggunakan Lucifer v.1 terdeteksi pada 10 Juni. Sehari kemudian, malware ditingkatkan menjadi v.2, yang “mendatangkan malapetaka” pada mesin target, kata tim peneliti, dan pada saat penulisan serangan sedang berlangsung.

Baca berita selengkapnya pada tautan di bawah ini:
Source: ZDNet

Grup Hacker Turla Menggunakan Inbox Gmail Untuk Mengirim Perintah Kepada Malware

by

Peneliti keamanan dari ESET telah menemukan serangan baru yang dilakukan oleh Turla, salah satu kelompok peretasan yang disponsori negara paling maju di Rusia.

Serangan-serangan baru itu terjadi pada Januari 2020. Para peneliti ESET mengatakan serangan itu menargetkan tiga entitas terkenal, seperti parlemen nasional di Kaukasus dan dua Kementerian Luar Negeri di Eropa Timur.

Serangan ini, menurut ESET, menggunakan versi terbaru dari malware ComRAT, yang berisi beberapa fitur baru yang cukup pintar.

Malware ComRAT, juga dikenal sebagai Agent.BTZ, adalah salah satu senjata tertua Turla, dan yang mereka gunakan untuk menyedot data dari jaringan Pentagon pada 2008.

Versi terbaru, yang dikenal sebagai ComRAT v4, pertama kali terlihat pada tahun 2017, namun, dalam sebuah laporan yang diterbitkan kemarin, ESET mengatakan mereka telah melihat variasi ComRAT v4 yang mencakup dua fitur baru, seperti kemampuan untuk mengambil log antivirus dan kemampuan untuk mengendalikan malware menggunakan kotak masuk Gmail.

Fitur pertama adalah kemampuan malware untuk mengumpulkan log antivirus dari host yang terinfeksi dan mengunggahnya ke salah satu server perintah dan kontrolnya. Matthieu Faou, peneliti ESET yang menganalisis malware ini, mengatakan kepada ZDNet bahwa operator Turla mungkin mengumpulkan log antivirus agar “memungkinkan mereka untuk lebih memahami jika dan salah satu sampel malware mereka terdeteksi.” Jika operator Turla melihat deteksi, mereka kemudian dapat mengubah malware mereka dan menghindari deteksi di masa depan pada sistem lain, di mana mereka kemudian dapat beroperasi tanpa terdeteksi.

Yang kedua, dan yang baru, adalah penggunaan antarmuka web Gmail. Faou mengatakan bahwa ComRAT v4 terbaru mengambil alih salah satu browser korban, memuat file cookie yang telah ditentukan, dan kemudian memulai sesi ke dasbor web Gmail. Di sini, malware membaca email terbaru di kotak masuk, mengunduh lampiran file, dan kemudian membaca instruksi yang terkandung di dalam file.

Idenya adalah bahwa setiap kali operator Turla ingin mengeluarkan perintah baru untuk instance ComRAT yang berjalan di host yang terinfeksi, peretas hanya perlu mengirim email ke alamat Gmail.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Pengembang Video Game Terkena Serangan Cyber Yang Berupaya Menjarah Uang Tunai Dalam Game

by

Sebuah Perusahaan Pengembang video game sedang diserang oleh Grup Winnti yang berpotensi menjarah uang tunai dan hadiah dalam game.

Pada hari Rabu, perusahaan cybersecurity ESET merilis laporan tentang kelompok advanced persistent threat (APT), yang telah tertangkap melakukan serangan serupa di masa lalu.

Menurut tim, Grup Winnti telah menggunakan malware modular baru pada sistem beberapa pengembang game massively multiplayer online (MMO) yang berlokasi di Korea Selatan dan Taiwan.

Perusahaan, yang tidak disebutkan namanya, telah merancang game yang dimainkan oleh ribuan orang di seluruh dunia.

ESET mengatakan bahwa dalam setidaknya satu kampanye, aktor ancaman dapat mengkompromikan server orkestra build pengembang, yang memberi mereka kunci untuk sistem build otomatis.

Ini mungkin dapat menyebabkan executable video game yang dapat diunduh dibajak atau di-Trojanized, meskipun tim tidak dapat menemukan bukti dari bentuk serangan ini.

Alih-alih, kelompok itu tampaknya berfokus pada kompromi server pengembang game untuk “memanipulasi mata uang dalam game demi keuntungan finansial,” kata ESET.

Malware yang digunakan disebut PipeMon, sebuah pintu belakang (backdoor) modular yang menyamar sebagai perangkat print processing software.

Selengkapnya baca berita di bawah ini:
Source: ZDNet

EventBot, Malware Android Baru Yang Mencuri Kata Sandi Perbankan Dan Kode Dua Faktor

by

Peneliti keamanan telah menemukan malware Android baru yang menargetkan aplikasi perbankan dan dompet cryptocurrency.

Malware, yang diberi nama EventBot oleh peneliti di perusahaan keamanan Cybereason, menyamar sebagai aplikasi Android yang sah – seperti Adobe Flash atau Microsoft Word untuk Android – yang menyalahgunakan fitur aksesibilitas bawaan Android untuk mendapatkan akses yang dalam sistem operasi perangkat.

Setelah diinstal, aplikasi palsu yang terinfeksi EventBot secara diam-diam mencuri kata sandi pada lebih dari 200 aplikasi perbankan dan cryptocurrency – termasuk PayPal, Coinbase, CapitalOne dan HSBC – dan penyadapan pesan teks yang berisikan kode otentikasi dua faktor.

Dengan kata sandi korban dan kode dua faktor, peretas dapat membobol rekening bank, aplikasi dan dompet digital, dan mencuri uang korban.

Malware Android bukanlah hal baru, tetapi penyebarannya sedang meningkat. Peretas dan operator malware semakin menargetkan pengguna ponsel pintar karena banyak pemilik perangkat tersebut memiliki aplikasi perbankan, media sosial, dan layanan sensitif lainnya pada perangkat mereka.

Cybereason mengatakan belum melihat EventBot di toko aplikasi Android atau digunakan secara aktif dalam kampanye malware, membatasi paparan kepada calon korban – untuk saat ini.

Tetapi para peneliti mengatakan pengguna harus menghindari aplikasi yang tidak terpercaya dari situs dan toko pihak ketiga, banyak di antaranya tidak menyaring aplikasi mereka untuk malware.

Baca berita selengkapnya pada tautan di bawah ini:
Source: Tech Crunch

Malware Pembajakan Clipboard Ditemukan Pada 725 Ruby Library

by

Peneliti keamanan dari ReversingLabs telah menemukan 725 library Ruby yang berisi malware dan bertujuan untuk membajak clipboard pengguna.

Paket jahat tersebut diunggah di RubyGems antara 16 dan 25 Februari oleh dua akun – JimCarrey dan PeterGibbons.

725 library telah dihapus dua hari kemudian pada tanggal 27 Februari setelah tim ReversingLabs memberi tahu tim keamanan RubyGems. Semua library Ruby tersebut adalah salinan dari library yang sah, menggunakan nama yang mirip, berfungsi sebagaimana dimaksud, tetapi juga berisi file berbahaya tambahan.

File tambahan yang dimasukkan ke dalam setiap paket diberi nama aaa.png. Namun, ReversingLabs mengatakan file ini bukan gambar PNG, tetapi sebaliknya adalah file executable Windows PE.

Info lebih lengkap dapat dibaca pada tautan di bawah:

Source: ZDNet