Malware

Lebih dari 1 Juta Situs WordPress Terinfeksi oleh Kampanye Malware Balada Injector

April 12, 2023 by Flamango

Kampanye besar-besaran, per GoDaddy’s Sucuri, ‘memanfaatkan semua kerentanan tema dan plugin yang diketahui dan baru ditemukan’ untuk menembus situs WordPress. Serangan tersebut diketahui terjadi secara bergelombang setiap beberapa minggu sekali.

Peneliti keamanan, Denis Sinegubko.h, mengatakan bahwa kampanye tersebut mudah diidentifikasi dengan preferensinya untuk kebingungan String.fromCharCode, penggunaan nama domain yang baru terdaftar yang menghosting skrip berbahaya di subdomain acak, dan dengan mengalihkan ke berbagai situs scam.

Situs web tersebut menyertakan dukungan teknis palsu, kemenangan lotre penipuan, dan laman CAPTCHA nakal yang mendesak pengguna untuk mengaktifkan pemberitahuan perizinan untuk memverifikasi bahwa Anda bukan robot, sehingga memungkinkan pelaku mengirimkan iklan spam.

Pada tahun-tahun sementara, Balada Injector telah mengandalkan lebih dari 100 domain dan sejumlah besar metode untuk memanfaatkan kelemahan yang diketahui dengan penyerang terutama berusaha mendapatkan kredensial basis data di wp-config. file php.

Serangan juga direkayasa untuk membaca atau mengunduh file situs arbitrer serta mencari alat seperti adminer dan phpmyadmin yang mungkin ditinggalkan oleh administrator situs setelah menyelesaikan tugas pemeliharaan.

Pada akhirnya malware memungkinkan pembuatan pengguna admin WordPress palsu, memanen data yang disimpan di host yang mendasarinya, dan meninggalkan backdoor untuk akses terus-menerus.

Balada Injector selanjutnya melakukan pencarian luas dari direktori tingkat atas yang terkait dengan sistem file situs web yang disusupi untuk menemukan direktori yang dapat ditulis milik situs lain.

Jika jalur serangan tidak tersedia, kata sandi admin dipaksa menggunakan 74 kredensial yang telah ditentukan sebelumnya. Sehingga pengguna WordPress disarankan untuk rutin memperbarui perangkat lunak situs web mereka, menghapus plugin dan tema yang tidak digunakan, dan menggunakan kata sandi admin WordPress yang kuat.

Selengkapnya: The Hacker News

Peneliti Spiderlabs Memperingatkan Jenis Malware Baru yang Menguras Dana Crypto

April 9, 2023 by Coffee Bean

Para peneliti di Trustwave Spiderlabs baru-baru ini mengatakan mereka menemukan jenis malware baru yang secara sembunyi-sembunyi menarik dana dari dompet kripto. Menurut para peneliti, malware, yang dikenal sebagai Rilide, dianggap menyamar sebagai ekstensi Google Drive yang sah. Selain memberi penjahat dunia maya kemampuan untuk memantau riwayat penelusuran korban yang ditargetkan, Rilide memungkinkan injeksi “skrip berbahaya untuk mencuri dana dari pertukaran mata uang kripto.”

Dalam postingan blog mereka yang dipublikasikan pada 4 April, dua peneliti Pawel Knapczyk dan Wojciech Cieslak mengakui bahwa Rilide bukanlah malware pertama yang menggunakan ekstensi browser berbahaya. Namun, para peneliti mengatakan mereka telah melihat bagaimana malware menipu pengguna sebelum menguras dana dari dompet crypto masing-masing.

Sementara langkah-langkah seperti penegakan yang tertunda dari apa yang disebut manifes v3 diharapkan membuat hidup sedikit lebih sulit bagi penjahat dunia maya, Knapczyk dan Cieslak menegaskan bahwa ini saja mungkin tidak cukup “untuk menyelesaikan masalah sepenuhnya karena sebagian besar fungsi dimanfaatkan oleh Rilide akan tetap tersedia.”

Sementara itu, dalam peringatan mereka kepada pengguna, kedua peneliti tersebut menegaskan kembali pentingnya tetap “waspada dan skeptis” setiap kali mereka menerima email yang tidak diinginkan. Mereka menambahkan bahwa pengguna tidak boleh berasumsi bahwa konten apa pun di internet aman, meskipun tampaknya demikian. Demikian pula, pengguna harus selalu berusaha untuk tetap mendapat informasi dan terdidik tentang peristiwa terbaru dalam industri keamanan siber.

selengkapnya : news.bitcoin.com

EKSKLUSIF: Kejaksaan UE menyelidiki ‘Predatorgate’ Yunani

April 8, 2023 by Søren

Beberapa sumber mengonfirmasi kepada EURACTIV bahwa atas permintaan dari MEP Stelios Kouloglou, anggota Komite PEGA Parlemen Eropa, komite penyelidikan yang menyelidiki penggunaan spyware ilegal di seluruh blok, EPPO telah meluncurkan penyelidikan terhadap beberapa aspek skandal tersebut.

Penyelidikan Komite PEGA berfokus pada ekspor ilegal spyware Predator dari Yunani ke negara-negara di Asia, Afrika, dan tempat lain, serta tuduhan bahwa perusahaan yang terlibat dalam apa yang disebut Predatorgate terlibat dalam penghindaran pajak.

Dihubungi oleh EURACTIV, juru bicara EPPO menolak untuk mengonfirmasi atau menyangkal bahwa ada penyelidikan yang sedang berlangsung.

“Sebagai aturan umum, kami tidak mengomentari penyelidikan yang sedang berlangsung, kami juga tidak secara terbuka mengonfirmasi kasus mana yang sedang kami tangani. Ini agar tidak membahayakan prosedur yang sedang berlangsung dan hasilnya, ”kata juru bicara itu kepada EURACTIV.

“Setiap kali kami dapat mengatakan sesuatu tentang investigasi kami, kami akan melakukannya secara proaktif,” tambah juru bicara itu.

Dua sumber berbeda mengatakan kepada EURACTIV bahwa jaksa Uni Eropa, dalam beberapa pekan terakhir, telah menerima informasi spesifik dari jurnalis Yunani yang menyelidiki skandal penyadapan.

“Orang-orang yang memberikan kesaksian kepada jaksa mengajukan bukti yang membuktikan bahwa administrasi (Perdana Menteri) Kyriakos Mitsotakis memfasilitasi proliferasi spyware Predator Intellexa ke negara-negara seperti Arab Saudi, Sudan, Madagaskar, dan Bangladesh dengan memberikan lisensi ekspor melalui Kementerian Yunani. Urusan Luar Negeri, ”kata salah satu sumber yang dekat dengan masalah itu.

Selengkapnya: Euractiv

Peretas Menggunakan Ekstensi Browser Rilide untuk Melewati Autentikasi Dua Faktor dan Mencuri Mata Uang Kripto

April 7, 2023 by Eevee

Sebuah ekstensi browser bernama Rilide ditemukan oleh peneliti keamanan yang menargetkan produk berbasis Chromium seperti Google Chrome, Brave, Opera, dan Microsoft Edge.

Ekstensi berbahaya tersebut dapat memantau aktivitas browser, mengambil tangkapan layar, dan mencuri mata uang kripto melalui skrip yang disuntikkan di halaman web.

Rilide meniru ekstensi Google Drive untuk bersembunyi di depan mata dan menyalahgunakan fungsi bawaan Chrome. Terdapat dua kampanye terpisah yang mendistribusikan Rilide, salah satunya menggunakan Google Ads dan Aurora Stealer, sedangkan yang lain menggunakan Ekipa remote access trojan (RAT) untuk mendistribusikan ekstensi jahat tersebut.

Dua kampanye mendorong Rilide (Trustwave)

Trustwave melaporkan adanya malware yang terkait dengan ekstensi yang dijual di pasar gelap. Sebagian kode malware baru-baru ini bocor di forum bawah tanah karena perselisihan antara penjahat dunia maya terkait pembayaran yang belum terselesaikan.

Malware tersebut disebut Pemuat Rilide, yang merupakan parasit di browser web. Malware ini memodifikasi file pintasan browser web untuk mengotomatiskan eksekusi ekstensi jahat pada sistem yang terinfeksi. Setelah dieksekusi, malware akan mencuri informasi korban terkait mata uang kripto, kredensial akun email, dan lain-lain.

Selain itu, malware juga mengekstraksi riwayat penelusuran dan dapat menangkap tangkapan layar untuk dikirim ke C2. Ekstensi ini juga menonaktifkan fitur keamanan yang dirancang untuk melindungi dari serangan skrip lintas situs (XSS).

Fitur menarik di Rilide adalah sistem 2FA-bypassing, yang menggunakan dialog palsu untuk menipu korban agar memasukkan kode sementara mereka, sehingga dapat melewati autentikasi dua faktor.

Sistem ini diaktifkan saat korban memulai permintaan penarikan mata uang kripto ke layanan pertukaran yang ditargetkan Rilide. Malware memasuki sistem pada saat yang tepat untuk menyuntikkan skrip di latar belakang dan memproses permintaan secara otomatis.

Setelah pengguna memasukkan kode mereka pada dialog palsu, Rilide menggunakannya untuk menyelesaikan proses penarikan ke alamat dompet pelaku ancaman.

Rilide menampilkan kecanggihan ekstensi browser berbahaya yang kini hadir dengan pemantauan langsung dan sistem pencuri uang otomatis.

Meskipun peluncuran Manifest v3 di semua browser berbasis Chromium akan meningkatkan ketahanan terhadap ekstensi jahat, Trustwave menyatakan bahwa hal tersebut tidak akan menghilangkan masalah.

Sumber: Bleeping Computer

Para Ahli Mengungkapkan Aplikasi Belanja dari China, Pinduoduo, Kemampuan Mata-Mata Pinduoduo Pengguna

April 5, 2023 by Flamango

Akhir-akhir ini banyak sekali aplikasi yang diam-diam memata-matai penggunanya dengan berbagai tujuan.

Pinduoduo, salah satu aplikasi belanja terpopuler di Cina dengan basis pengguna bulanan lebih dari 750 juta, telah dilaporkan oleh para peneliti keamanan siber karena dapat melacak aktivitas pengguna di aplikasi lain, membaca pesan pribadi, mengubah pengaturan tanpa persetujuan, dan sulit dihapus setelah diinstal.

CNN melakukan investigasi dan menemukan malware pada aplikasi ini yang memanfaatkan kelemahan sistem operasi Android untuk memata-matai pengguna dan pesaing guna meningkatkan penjualan.

Menurut peneliti keamanan siber, aplikasi tersebut dapat melewati keamanan ponsel pengguna, memungkinkannya memantau aktivitas di aplikasi lain, memeriksa notifikasi, membaca pesan pribadi, dan mengubah pengaturan.

Pinduoduo didirikan pada tahun 2015 di Shanghai oleh Colin Huang, seorang mantan karyawan Google. Pengguna bulanan Pinduoduo meningkat pesat hingga 2018, tahun yang terdaftar di New York. Pengguna bulanan sejak itu menurun, menurut laporan pendapatan.

Dengan mengumpulkan data pengguna, Pinduoduo dapat membuat potret komprehensif tentang kebiasaan, minat, dan preferensi pengguna, menyempurnakan model pembelajaran mesinnya untuk menawarkan pemberitahuan push dan iklan yang lebih dipersonalisasi.

Aplikasi Sebelumnya Ditutup Oleh Google
Peneliti dari beberapa perusahaan keamanan siber melakukan analisis independen terhadap aplikasi tersebut, yang dirilis pada akhir Februari. Mereka menemukan kode yang dirancang untuk mencapai ‘eskalasi hak istimewa’.

Pinduoduo membantah tuduhan niat jahat, tetapi pakar keamanan siber mengatakan tindakan perusahaan itu sangat tidak biasa dan berpotensi memberatkan.

Selengkapnya: TechStory

Malware Crypto-Stealing ‘OpcJacker’ Menargetkan Pengguna dengan Layanan VPN Palsu

April 4, 2023 by Flamango

Malware pencuri informasi baru ‘OpcJacker’ telah terlihat sejak paruh kedua tahun 2022 sebagai bagian dari kampanye malvertising.

Peneliti Trend Micro, Jaromir Horejsi dan Joseph C. Chen, mengatakan bahwa fungsi utama OpcJacker meliputi keylogging, mengambil screenshot, mencuri data sensitif dari browser, memuat modul tambahan, dan mengganti alamat cryptocurrency di clipboard untuk tujuan pembajakan.

OpcJacker disembunyikan menggunakan crypter ‘Babadeda’ dan menggunakan file konfigurasi untuk mengaktifkan fungsi pengambilan datanya.

File penginstal bertindak sebagai saluran untuk menyebarkan OpcJacker, yang juga mampu mengirimkan muatan tahap selanjutnya seperti NetSupport RAT dan varian komputasi jaringan virtual tersembunyi (hVNC) untuk akses jarak jauh.

File penginstal bertindak sebagai saluran untuk menyebarkan OpcJacker, mampu mengirimkan muatan tahap selanjutnya.

Vektor awal kampanye melibatkan jaringan situs web palsu yang mengiklankan perangkat lunak yang tampak aman dan aplikasi terkait cryptocurrency. Kampanye Februari 2023 secara khusus memilih pengguna di Iran dengan dalih menawarkan layanan VPN.

Temuan itu muncul ketika Securonix mengungkapkan rincian kampanye serangan yang sedang berlangsung ‘TACTICAL#OCTOPUS’, menargetkan entitas AS dengan bujukan bertema pajak untuk menginfeksi mereka dengan backdoor.

Dalam perkembangan terkait, pengguna Italia dan Prancis yang mencari versi retak dari perangkat lunak pemeliharaan PC di YouTube dialihkan ke halaman Blogger yang mendistribusikan dropper NullMixer. NullMixer juga menonjol karena secara bersamaan menjatuhkan berbagai macam malware siap pakai.

Selengkapnya: The Hacker News

GoatRAT Menyerang Sistem Pembayaran Otomatis

April 3, 2023 by Flamango

Baru-baru ini, para peneliti dari K7Security Labs menemukan deteksi dalam laporan telemetri “com.goatmw” yang menarik perhatian mereka, dan memutuskan untuk menyelidiki lebih lanjut. Malware tersebut ditemukan sebagai trojan perbankan.

Trojan perbankan GoatRAT adalah Alat Administrasi Jarak Jauh Android untuk mendapatkan akses dan mengontrol perangkat yang ditargetkan yang melakukan transaksi uang palsu menggunakan kunci PIX. Domain goatrat[.]com berfungsi sebagai panel admin dan berisi id telegram di kontaknya.

RAT kemudian meminta pengguna untuk memberikan izin aksesibilitas dan overlay, memungkinkan untuk menampilkan layar overlay pada aplikasi perbankan yang ditargetkan, membuatnya terlihat seperti layar aplikasi yang sah sehingga pengguna memasukkan kredensial yang valid tanpa curiga, untuk melakukan transfer uang penipuan.

Saat aplikasi yang ditargetkan dibuka, malware menampilkan jendela overlay yang muncul di atas aplikasi perbankan yang sah. Layar overlay akan mendapatkan semua kredensial valid, mengirimkannya ke C2, dan memulai transfer uang berdasarkan saldo bank yang tersedia di akun pengguna.

Trojan Perbankan Android meningkat pesat. Pembuat malware menemukan teknik baru untuk mencuri uang dari pengguna. Salah satu teknik tersebut terlihat mengeksploitasi platform pembayaran instan PIX yang menargetkan bank Brasil.

GoatRAT menggunakan kerangka Sistem Transfer Otomatis (ATS) untuk melakukan transaksi uang palsu. ATS adalah teknik baru yang digunakan oleh malware perbankan di mana setelah pengguna masuk ke aplikasi perbankan dan memasukkan kredensial mereka, malware akan mengambil kendali dan secara otomatis memasukkan jumlah dan memulai transaksi tanpa sepengetahuan pengguna.

Pengguna diminta untuk menginstal produk keamanan terkemuka seperti “K7 Mobile Security” dan terus memperbaruinya agar tetap aman dari ancaman tersebut.

Selengkapnya: K7 Security Labs

Catatan BumbleBee

April 2, 2023 by Søren

BumbleBee dikategorikan sebagai Loader, malware ini digunakan oleh Broker Akses Awal untuk mendapatkan akses di perusahaan yang ditargetkan. Artikel ini bertujuan untuk merangkum berbagai TTP yang diamati dalam kampanye yang mendistribusikan BumbleBee dan menyediakan skrip untuk mengekstrak konfigurasinya.

Malware memiliki mekanisme pembongkaran khusus, ia memanipulasi kait untuk mengatur rantai eksekusinya, pemuat menggunakan beberapa teknik deteksi lingkungan karena integrasi lengkap dari proyek al-khaser

Itu berkomunikasi dengan perintah dan kontrolnya melalui HTTP. Sejak Agustus 2022 malware menyematkan daftar alamat IP dalam konfigurasinya, beberapa di antaranya adalah alamat IP yang sah, teknik ini juga digunakan oleh malware lain seperti Emotet dan Trickbot.

Comman and control, alamat IP, port, dan pengidentifikasi bot (atau botnet) disimpan di bagian .data BumbleBee, disamarkan dengan algoritme enkripsi RC4. Skrip untuk mengekstrak dan menghapus penyamarannya disediakan di akhir postingan ini.

Selama musim panas 2022, aktor memperbarui format gambar disk dari ISO ke VHD. Konten gambar disk (VHD) juga berubah, DLL tidak lagi disimpan sebagai file, tetapi disematkan dalam skrip PowerShell. Skrip dijalankan oleh LNK dengan kebijakan eksekusi disetel ke bypass.

DLL BumbleBee disimpan dalam skrip PowerShell dalam string yang disamarkan (misalnya: $elem30=$elem30.$casda.Invoke(0,”H”)). Setelah penggantian string, variabel yang disandikan base64 didekodekan, didekompresi (ungzip) dan dipanggil (mis: scriptPath | iex).

Layanan berbagi file yang digunakan untuk mengirimkan perubahan BumbleBee secara teratur misalnya: WeTransfer, Onedrive, Smash, dll. Detail kampanye menggunakan situs web berbagi file onedrive tertulis di artikel: Kampanye Bumblebee DocuSign.

Selengkapnya: Krakz

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings