Malware

Malware Android Yang Tidak Dapat Dihapus ini memberikan peretas akses penuh ke telepon Anda

April 9, 2020 by Winnie the Pooh

Pakar keamanan memperingatkan pengguna Android tentang jenis malware jahat yang hampir tidak mungkin dihapus.

Peneliti Igor Golovin dari Kaspersky telah menuliskan detailnya pada sebuah blog yang menjelaskan bagaimana malware xHelper menggunakan sistem program bersarang yang membuatnya sangat susah untuk dihapus.

Malware xHelper pertama kali ditemukan tahun lalu, tetapi Golovin baru sekarang menetapkan dengan tepat bagaimana cakarnya masuk ke dalam perangkat Anda, dan muncul kembali bahkan setelah pemulihan sistem.

xHelper sering didistribusikan melalui toko pihak ketiga yang menyamar sebagai aplikasi pembersihan atau perawatan populer untuk meningkatkan kinerja ponsel Anda.

Ketika xHelper pertama kali diinstal, malware tersebut mengunduh trojan ‘dropper’, yang akan mengumpulkan informasi di perangkat Anda dan menginstal trojan lain. Kemudian ia akan mengunduh kode eksploitasi yang memberinya akses root ke perangkat Anda, di mana ia dapat menyebabkan kekacauan apa pun yang menurut penciptanya cocok.

Menghapus infeksi nya sangatlah sulit. Semua unduhan ini tersembunyi jauh di dalam file sistem, membuatnya sulit ditemukan, dan dropper yang diinstal di partisi sistem dapat memulai proses ini lagi bahkan setelah reset pabrik.

Golovin menyarankan untuk me-reflash perangkat yang terinfeksi, tetapi ia juga memperingatkan bahwa kadang-kadang firmware yang dipasang pabrik mungkin dapat berisi xHelper, dalam hal ini sangat sedikit yang dapat Anda lakukan. “Jika Anda menggunakan firmware yang berbeda, ingatlah bahwa beberapa komponen perangkat mungkin tidak beroperasi dengan benar,” sarannya.

“Bagaimanapun juga, menggunakan smartphone yang telah terinfeksi xHelper sangat lah berbahaya. Malware ini memasang backdoor dengan kemampuan untuk mengeksekusi perintah sebagai superuser. Ini memberikan para penyerang dengan akses penuh ke semua data aplikasi dan dapat digunakan oleh malware lain juga, misalnya, CookieThief.”

Source: Tech Radar & Kaspersky Blog

Malware Baru Bernama Kinsing, Sedang Menargetkan Server Docker

April 5, 2020 by Winnie the Pooh

Perusahaan keamanan cloud, Aqua Security, mengungkapkan sebuah kampanye malware yang telah dimulai sejak tahun lalu dan masih berjalan hingga saat ini yang menyerang Docker perusahaan. Mereka merinci kampanye itu dalam postingan sebuah blog pada hari Jumat kemarin.

Operasi malware ini memindai internet untuk mencari server Docker yang menjalankan port API yang terpapar di internet tanpa kata sandi. Peretas kemudian membobol host yang tidak terlindungi dan memasang malware crypto-mining baru bernama Kinsing.

Menurut Gal Singer, seorang peneliti keamanan di Aqua, begitu para peretas menemukan Docker dengan port API yang terbuka, mereka akan menggunakan akses yang disediakan oleh port ini untuk membuat sebuah Ubuntu container, tempat mereka mengunduh dan menginstal malware Kinsing.

Tujuan utama malware ini adalah untuk menambang cryptocurrency pada Docker yang diretas, namun malware ini juga dilengkapi dengan fungsi sekunder. Fungsi tersebut termasuk menjalankan skrip yang menghapus malware lain yang mungkin berjalan secara lokal, dan juga mengumpulkan kredensial SSH lokal dalam upaya untuk menyebar ke jaringan kontainer perusahaan, untuk menginfeksi sistem cloud lain dengan malware yang sama.

Karena serangan malware Kinsing masih berlangsung, Aqua merekomendasikan agar perusahaan meninjau pengaturan keamanan Docker mereka dan memastikan tidak ada API administratif yang terpapar online. Seperti endpoint admin harus tetap berada di belakang firewall atau gateway VPN – jika perlu diekspos online – atau dinonaktifkan saat tidak digunakan.

Berita selengkapnya dapat dibaca pada tautan dibawah ini:

Source: ZDNet

Malware Baru yang Menyerang Windows Ini Dapat Mengunci Anda dari Perangkat Anda. Begini cara mengatasinya

April 5, 2020 by Winnie the Pooh

Peneliti keamanan telah menemukan penipuan malware baru yang mampu mengunci pengguna Windows dari PC mereka – jenis malware pertama yang menyerang saat ketakutan seputar pandemi sedang berlangsung.

Menurut MalwareHunterTeam, grup yang bertanggung jawab atas penemuan ini, malware baru tersebut sedang disebarkan sebagai file executable COVID-19.exe.

Disebut sebagai MBRLockers, kelompok malware ini menggantikan Windows Boot Master Record (MBR) yang asli dan mencegah sistem operasi untuk memulai seperti biasa.

Lalu sebuah ransom note (catatan tebusan) yang mengatakan bahwa kunci dapat dibeli melalui dark web, atau sekedar pesan menghina dari peretas, muncul di layar perangkat yang terinfeksi saat pengguna pertama kali me-restart Windows mereka.

Investigasi yang dilakukan oleh Avast dan SonicWall menemukan bahwa pelaku juga menjalankan program lain yang dapat mem-back up file MBR yang asli dan memindahkannya ke folder lain lalu menggantinya dengan file yang telah dimodifikasi.

Avast mengatakan bahwa dalam investigasi, mereka juga menemukan bypass di dalam file MBR yang telah dimodifikasi yang memungkinkan pengguna untuk memulai Windows mereka secara normal. Pengguna dapat menekan tombol CTRL, ALT dan ESC secara bersamaan.

Pengguna sangat disarankan untuk berhati-hati saat mengunduh file, memastikan perangkat dilindungi dengan software keamanan yang efektif dan menggunakan layanan VPN untuk menjaga privasi online.

Artikel selengkapnya dapat dibaca pada tautan di atas:
Source: Tech Radar

Peretas Mengelabui Banyak Pengguna Untuk Mengunduh File Pembaruan Google Chrome

March 27, 2020 by Winnie the Pooh

Dalam postingan blog Doctor Web tanggal 25 Maret, para peneliti memperingatkan bahwa unduhan pembaruan Google Chrome yang meyakinkan sedang ditautkan dari beberapa situs bertenaga WordPress yang telah disusupi oleh peretas.

Halaman-halaman itu, mulai dari halaman blog berita hingga situs perusahaan resmi, telah dihantam oleh aktor ancaman dengan sejarah kampanye peretasan yang sukses. “Kelompok peretas di balik serangan ini sebelumnya terlibat dalam penyebaran installer palsu dari editor video VSDC yang populer melalui situs resminya dan platform perangkat lunak CNET,” kata mereka, seraya menambahkan bahwa pada kesempatan ini, para peretas mendapat kendali administratif dari beberapa situs untuk membuat rantai infeksi.

Setelah akses admin ke situs-situs tersebut didapat, para penjahat siber menyematkan skrip pengalihan JavaScript berbahaya yang akan mengirim pengunjung langsung ke apa yang tampaknya merupakan halaman pembaruan Google Chrome yang sah.

Ini, tentu saja, jauh dari file asli yang sah dan sebenarnya adalah file pemasang malware. File yang telah diunduh lebih dari 2.000 kali, menurut para peneliti Doctor Web.

Setelah file dieksekusi, aplikasi remote control TeamViewer diinstal bersama dengan arsip yang dilindungi kata sandi yang berisi file yang digunakan pelaku ancaman untuk mengaburkan malware dari perlindungan antivirus Windows. Muatan malware lain dapat juga dikirimkan, termasuk keylogger dan pencuri data canggih yang berbasis di Rusia. Pencuri itu, yang dikenal sebagai Predator the Thief, telah aktif selama 18 bulan terakhir. Diketahui menggunakan teknik anti-debugging dan anti-analisis untuk menggagalkan deteksi dan analisis oleh para peneliti.

Para korban sejauh ini, yang ditargetkan berdasarkan kombinasi geolokasi dan deteksi peramban, termasuk orang-orang di Amerika Serikat, Kanada, Israel, Australia, Turki, dan Inggris.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: Forbes

Serangan Siber Yang Menargetkan Home Router Dan Membuat Penggunanya Masuk ke Situs Palsu

March 27, 2020 by Winnie the Pooh

Peretasan router yang baru-baru ini ditemukan mengarahkan pengguna ke situs berbahaya yang menyamar sebagai sumber informasi COVID-19 dalam upaya untuk menginstal malware yang mencuri kata sandi dan kredensial cryptocurrency, kata para peneliti, hari Rabu kemari.

Perusahaan keamanan Bitfender mengatakn bahwa peretasan itu terjadi pada router Linksys, meskipun BleepingComputer, yang melaporkan serangan itu 3 hari yang lalu, mengatakan kampanye itu juga menargetkan perangkat D-Link.

Masih belum jelas bagaimana penyerang mengkompromikan router router tersebut. Namun setelah dikompromikan, ini memungkinkan penyerang untuk menunjuk server DNS yang digunakan pada perangkat tersebut. Dengan mengirim perangkat ke server DNS yang menyediakan pencarian palsu, penyerang dapat mengarahkan orang ke situs jahat yang di dalamnya terdapat malware atau yang berupaya untuk memalsukan kata sandi.

Jika korban sudah masuk ke dalam situs jahat yg mengklaim adalah penyedia informasi mengenai COVID-19 dan mengklik tombol unduh pada akhirnya dialihkan ke salah satu dari beberapa halaman Bitbucket yang menawarkan file yang menginstal malware. Dikenal sebagai Oski, malware yang relatif baru mengekstrak kredensial browser, alamat dompet cryptocurrency, dan kemungkinan jenis informasi sensitif lainnya.

Untuk mencegah serangan pada router, matikan remote administration. Jika fitur ini benar-benar diperlukan, fitur ini hanya boleh digunakan oleh pengguna yang berpengalaman dan dilindungi oleh kata sandi yang kuat. Akun cloud — yang juga memungkinkan untuk mengelola router dari jarak jauh — harus mengikuti pedoman yang sama. Selain itu, orang harus sering memastikan bahwa firmware router selalu diperbarui.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: Ars Techinca | GB Hackers

Malware Android coronavirus ini akan mengunci Anda dari ponsel Anda

March 17, 2020 by Winnie the Pooh

Perusahaan keamanan DomainTools telah menemukan aplikasi ransomware yang menyamar sebagai pelacak untuk coronavirus. CovidLock, Aplikasi yang mengklaim sebagai pelacak waktu-nyata untuk virus, pada kenyataannya mengubah kata sandi pada telepon Anda dan mengancam akan menghapus semuanya kecuali Anda membayar $ 100 dalam Bitcoin.

Aplikasi ini hanya tersedia di luar Play Store dan seharusnya hanya memengaruhi ponsel yang menjalankan versi Android sebelum Nougat.

Jika Anda gagal membayar, itu mengancam untuk menghapus semua yang ada di ponsel Anda dan membocorkan akun media sosial Anda secara online. Bahkan memperingatkan bahwa ponsel Anda sedang dilacak, dan “jika Anda mencoba sesuatu yang bodoh telepon Anda akan dihapus secara otomatis.”

Berita selengkapnya dapat dibaca pada tautan berikut;

Source: Android Central

Malware Backdoor sedang disebarkan melalui peringatan sertifikat keamanan palsu

March 6, 2020 by Winnie the Pooh

Varian Backdoor dan Trojan malware sedang didistribusikan melalui teknik phishing baru yang berupaya memikat korban agar menerima “pembaruan” sertifikat keamanan situs web.

Pada hari Kamis, para peneliti cybersecurity dari Kaspersky melaporkan bahwa teknik baru ini telah ditemukan di berbagai situs web, mulai dari kebun binatang hingga e-commerce yang menjual suku cadang kendaraan. Infeksi paling awal terjadi pada 16 Januari 2020.

Pengunjung domain yang telah dikompromikan akan melihat layar berikut;

Peringatan mengklaim sertifikat keamanan situs web sudah ketinggalan zaman, tetapi alih-alih ini menjadi masalah pemilik domain, pengunjung didesak untuk menginstal “pembaruan sertifikat keamanan” untuk melanjutkan akses pada situs tersebut.

Jika korban memilih untuk mengklik tombol perbarui, unduhan file, Certificate_Update_v02.2020.exe, akan dimulai. Ketika dibuka dan diinstal, executable akan mengirimkan salah satu dari dua varian malware ke perangkat korban; Mokes (Backdoor) atau Buerak (Trojan).

Dalam berita yang terkait minggu ini, CA (Certificate Authorities) Let’s Encrypt mengumumkan rencana untuk mencabut lebih dari tiga juta sertifikat karena bug dalam kode backend yang menyebabkan sistem verifikasi mengabaikan beberapa pemeriksaan lapangan CAA. Kesalahan pemrograman sekarang telah diperbaiki. Pemilik domain yang terkena dampak harus meminta sertifikat baru.

Info lebih lanjut dapat dibaca pada tautan dibawah ini;

Source: ZDNet

Penjahat siber dan kartel narkoba menyebarkan malware dan mencuri informasi keuangan di Amerika Latin

March 6, 2020 by Winnie the Pooh

Penjahat siber kini bekerjasama dengan kartel narkoba di seluruh Amerika Latin untuk menyerang lembaga keuangan dan pemerintah, meningkatkan berbagai macam penipuan dan penyebaran malware untuk menghasilkan jutaan uang, menurut laporan baru dari perusahaan cybersecurity IntSights.

Karena penegakan hukum polisi yang relatif lemah, banyak dari penjahat siber ini beroperasi di tempat terbuka dan di dark web, berbagi taktik dengan yang lain dan bekerja sama dengan entitas kriminal untuk meningkatkan keluasan dan kekuatan serangan. Mereka menggunakan WhatsApp, Telegram dan Facebook Messenger untuk mengkoordinasikan serangan.

Laporan itu menyebutkan “Bergabungnya geng narkoba dan komunitas peretas adalah ancaman yang muncul secara signifikan seiring kita melangkah ke 2020. Kedua dunia menggabungkan pengaruh, keterampilan, dan pengalaman mereka untuk mencapai tujuan bersama, terutama dari variasi keuangan.”

Laporan ini juga menyoroti penggunaan trojan perbankan dan ransomware sebagai ancaman malware paling populer yang melanda Amerika Latin.

Baca artikel selengkapnya pada tautan di bawah ini;

Source: Tech Republic

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings