Malware

APT34 (AKA OILRIG, AKA HELIX KITTEN) Menyerang Entitas Pemerintah Lebanon Dengan Implan MAILDROPPER

March 5, 2020 by Winnie the Pooh

Telsy TRT [Threat Recon Team], tim peneliti dari perusahaan keamanan siber yang berbasis di Italia, telah membahas tentang APT34 (aka OilRig) pada postingan blog terbarunya. Mereka menjelaskan bagaimana grup peretas itu menyerang entitas pemerintah lebanon dengan menggunakan implan MailDropper.

“Pada kasus ini, kelompok APT34 mungkin mengkompromikan akun Microsoft Exchange dari entitas sensitif yang berhubungan dengan pemerintah Lebanon, dan menggunakan mail server sebagai perintah dan kendali implan,” ungkap tim peneliti Telsy.

Sejak 2014, tahun di mana FireEye menemukan kelompok peretas ini, APT34 dikenal sebagai grup yang melakukan operasi dunia maya terutama di Timur Tengah yang sebagian besar targetnya ada pada sektor keuangan, pemerintahan, energi, kimia, dan telekomunikasi. Seiring waktu, banyak keluarga malware juga telah dikaitkan dengan grup ini termasuk ISMAgent, ISMDoor, ISMInjector, TwoFace dan, yang paling terbaru ini MailDropper.

Blog selengkapnya dapat diakses melalui tautan di bawah ini;

Source: Telsy Blog

Seorang Mantan Hacker memperlihatkan cara Mencuri malware Mac dari negara-negara maju

March 3, 2020 by Winnie the Pooh

Pada konferensi Keamanan RSA minggu lalu, Patrick Wardle, yang sekarang menjadi peneliti keamanan di perusahaan manajemen macOS dan iOS, Jamf, menunjukkan bagaimana menggunakan kembali malware Mac lama bisa menjadi pendekatan yang lebih cerdas untuk menyebarkan ransomware, alat mata-mata akses jarak jauh, dan jenis kode berbahaya lainnya.

Wardle mengatakan, “Ada kelompok peretas yang didanai dengan sangat baik dengan sumber daya yang baik, dan sangat termotivasi di lembaga tiga huruf yang menciptakan malware luar biasa yang memiliki banyak fitur dan juga sepenuhnya diuji. Idenya adalah: mengapa tidak membiarkan grup-grup di agensi-agensi ini menciptakan malware mereka dan jika Anda seorang hacker pergunakanlah kembali hanya untuk misi Anda sendiri.”

Untuk membuktikan maksudnya, Wardle menggambarkan bagaimana ia mengubah empat bagian malware Mac yang telah digunakan dalam sebuah serangan selama beberapa tahun terakhir. Repurposing menyebabkan malware melaporkan ke server perintah milik Wardle daripada server yang ditunjuk oleh pengembang. Dari sana, Wardle memiliki kendali penuh atas malware yang telah ia didaur ulang.

Wardle menggunakan teknik yang sama untuk ketiga malware lainnya. Malware tersebut termasuk Fruitfly, alat akses jarak jauh yang mencuri jutaan gambar pengguna, banyak di antaranya gambar telanjang, lebih dari 13 tahun sebelum akhirnya ditutup, sebuah aplikasi ransomware yang ditemukan pada tahun 2016, dan Windtail, yang menargetkan sebagian besar lembaga pemerintah dan perusahaan di Timur Tengah.

Baca berita selengkapnya pada link di bawah ini;

Source: Ars Technica

Grup White Hat yang memerangi Emotet, malware paling berbahaya di dunia

March 3, 2020 by Winnie the Pooh

Dengan bekerja bersama, kelompok Cryptolaemus telah secara serius menghambat operasi Emotet. Setiap hari, grup ini menerbitkan update di situs web dan akun Twitter-nya. Mereka berbagi apa yang disebut indicators of compromise (IOC), termasuk alamat IP server perintah Emotet, baris subjek yang digunakan dalam kampanye spam Emotet, dan hash file untuk file yang terinfeksi Emotet.

Anggota Cryptolaemus membagikan rincian ini sehingga administrator sistem dan jaringan di seluruh dunia dapat memasukkan IOC ke dalam produk keamanan cyber mereka dan melindungi jaringan mereka dari infeksi serangan Emotet, atau membantu dengan deteksi dini sebelum malware dapat melakukan kerusakan yang parah.

Mereka melakukannya karena mereka ingin melihat Emotet ditutup dan dalangnya, seorang individu yang hanya dikenal sebagai Ivan, ditangkap.

Baca berita selengkapnya di tautan di bawah ini;

Source: ZDNet

Malware Raccoon menargetkan sejumlah besar browser untuk mencuri data dan cryptocurrency korbannya

February 27, 2020 by Winnie the Pooh

Raccoon mungkin bukan pilihan termurah di pasaran tetapi malware ini telah mendapatkan popularitas di kalangan penjahat siber karena kemampuannya menargetkan setidaknya 60 aplikasi dan banyak di antaranya adalah browser yang kita gunakan saat ini, termasuk Mozilla dan Chrome.

Infostealer Raccoon, juga dikenal sebagai Racealer, ditawarkan dengan harga $ 200 sebulan dan pertama kali ditemukan oleh para peneliti dari perusahaan cybersecurity Cybereason pada tahun 2019. Raccoon dapat mencuri informasi keuangan, kredensial online, data PC – seperti jenis dan versi sistem operasi, bahasa yang digunakan, dan daftar aplikasi yang terinstal – dompet cryptocurrency, dan informasi browser termasuk cookie, log riwayat, dan konten pengisian otomatis. Setelah Raccoon mencuri data yang diperlukannya, informasi ini dikompilasi ke dalam file arsip .zip dan dikirim ke server command and control (C2). Malware ini juga dapat bertindak sebagai dropper untuk muatan malware tambahan.

Raccoon terus didukung oleh tim dan pengembangannya sedang berlangsung. Baru-baru ini, Raccoon juga diberi kemampuan untuk mencuri kredensial server FTP dari FileZilla, kesalahan UI sudah diselesaikan, dan penulis juga membuat opsi untuk mengenkripsi pembuatan malware kustom dari UI untuk diunduh sebagai DLL.

Untuk berita selengkapnya dapat dibaca pada tautan dibawah ini;

Source: ZDNet

Pembaruan Chrome 80 melumpuhkan pasar cybercrime teratas

February 27, 2020 by Winnie the Pooh

Perubahan kecil pada browser Google Chrome versi 80 memiliki efek yang sangat efektif pada salah satu pasar cybercrime top saat ini.

Perusahaan Intelijen ancaman, KELA, mengatakan kepada ZDNet bahwa Genesis Store saat ini sedang melalui masa sulit, terlihat penurunan 35% dalam jumlah curian kredensial yang dijual di situs mereka.

Diluncurkan pada November 2018, Genesis Store menjual kredensial browser curian. Mereka menjual “Sidik jari”, yaitu gambar virtual dari identitas pengguna di situs web online termasuk username, password, IP address yang pernah digunakan, cookie browser dan detail teknikal OS lainnya.

Product Manager di KELA, Raveed Laeb, mengatakan bahwa AZORult (info-stealing malware) adalah titik kelemahan utama pada Genesis. Mereka menggunakan malware tersebut untuk mendapatkan sebagian besar data curian yang selama ini mereka jual.

Ketika Google Chrome merilis pembaruan versi 80 pada awal Februari kemarin, Google beralih menggunakan algoritma AES-256 untuk hash kata sandi yang disimpan secara lokal di dalam basis data SQLite internal Chrome. Itu mengakibatkan kata sandi yang disimpan Chrome memiliki format berbeda dari sebelumnya dan membuat AZORult yang sudah tidak mendapatkan update sejak akhir tahun 2018 tidak dapat mengambil kredensial dari Chrome 80.

Jika Anda belum memperbarui versi Google Chrome Anda ke versi 80, lakukan update sesegera mungkin.

Source: ZDNet

Malware Mozart Baru Mendapat Perintah dan Menyembunyikan Lalu Lintas Menggunakan DNS

February 26, 2020 by Winnie the Pooh

Malware backdoor baru bernama Mozart, yang ditemukan oleh MalwareHunterTeam, menggunakan protokol DNS untuk berkomunikasi jarak jauh dengan operatornya untuk menghindari deteksi antivirus dan sistem deteksi intrusi.

DNS adalah nama protokol resolusi yang digunakan untuk mengonversi nama host, seperti www.example.com, ke alamat IP-nya, 93.184.216.34, sehingga perangkat lunak dapat terhubung ke komputer jarak jauh. Selain mengonversi nama host ke alamat IP, protokol DNS juga memungkinkan Anda untuk meminta data TXT yang berisi data dalam bentuk teks.

Operator Mozart menggunakan dokumen TXT DNS ini untuk menyimpan perintah yang akan diambil oleh malware dan dieksekusi di komputer yang terinfeksi.

Malware Mozart diyakini didistribusikan melalui email phishing yang berisi PDF yang tertaut ke file ZIP yang berlokasi di https://masikini[.]Com/CarlitoRegular[.]Zip. File zip ini berisi file JScript yang ketika dieksekusi akan mengekstrak executable yang disandikan menggunakan base64 yang disimpan ke komputer sebagai %Temp%\calc.exe dan dieksekusi.

Untuk mengetahui bagaimana cara mengatasinya, baca berita selengkapnya pada link dibawah ini;

Source: Bleeping Computer

Malware Racoon Mencuri Data Anda Dari Hampir 60 Aplikasi

February 25, 2020 by Winnie the Pooh

Malware yang dapat mengekstraksi data lebih dari 60 aplikasi di komputer yang ditargetkan, relatif baru dalam forum keamanan siber.

Cara kerja malware terus mengalami perubahan dan pembaharuan dari beberapa tahun sebelumnya, menjadi lebih variatif dengan berbagai fitur dan harga.

Malware Racoon pertama kali ditemukan satu tahun lalu, malware ini dengan cepat menjadi populer karena memiliki banyak fitur dan harganya yang murah.

Seperti semua malware yang sedang populer, Raccon secara aktif dilakukan perbaikan berbagai fungsi dan kemampuan.

Malware Racoon tidak menggunakan teknik spesial untuk mengekstrak data pada program yang ditargetkan, namun malware ini populer di forum keamanan siber, bahkan dalam laporan bulan juli tahun 2019, Raccon mencatatkan penjualan tertinggi di pasar gelap.

Untuk Informasi lebih lanjut;

Source: BLEEPING COMPUTER

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings