Malware

Skema Penipuan Iklan Masif Menargetkan Lebih dari 11 Juta Perangkat dengan 1.700 Aplikasi Palsu

January 23, 2023 by Mally

Para peneliti telah menghentikan skema penipuan iklan “ekspansif” yang memalsukan lebih dari 1.700 aplikasi dari 120 penerbit dan memengaruhi sekitar 11 juta perangkat.

Operasi tersebut mendapatkan namanya dari penggunaan teknik penghindaran DNS yang disebut Fast Flux dan VAST, Template Penyajian Iklan Video Digital yang digunakan untuk menayangkan iklan ke pemutar video.

Operasi canggih tersebut secara khusus mengeksploitasi lingkungan dalam aplikasi terbatas yang menjalankan iklan di iOS untuk mengajukan tawaran untuk menampilkan spanduk iklan. Jika pelelangan dimenangkan, slot iklan yang dibajak dimanfaatkan untuk menyuntikkan JavaScript nakal yang menjalin kontak dengan server jarak jauh untuk mengambil daftar aplikasi yang akan ditargetkan.

Penghapusan VASTFLUX tiba tiga bulan setelah gangguan Scylla, operasi penipuan yang menargetkan kit pengembangan perangkat lunak periklanan (SDK) dalam 80 aplikasi Android dan 9 aplikasi iOS yang dipublikasikan di etalase resmi.

VASTFLUX, yang menghasilkan lebih dari 12 miliar permintaan tawaran per hari pada puncaknya, juga yang terbaru dari rangkaian botnet penipuan iklan yang telah ditutup dalam beberapa tahun terakhir, setelah 3ve, PARETO, dan Methbot.

selengkapnya : thehackernews

Hacker menggunakan Attachments Microsoft OneNote untuk Menyebarkan Malware

January 23, 2023 by Mally

Pelaku ancaman sekarang menggunakan Attachment OneNote di email phishing yang menginfeksi korban dengan malware akses jarak jauh yang dapat digunakan untuk menginstal malware lebih lanjut, mencuri kata sandi, atau bahkan dompet cryptocurrency.

Ini terjadi setelah penyerang mendistribusikan malware di email menggunakan Attchment Word dan Excel berbahaya yang meluncurkan makro untuk mengunduh dan menginstal malware selama bertahun-tahun.

Menyalahgunakan Attachment OneNote

Microsoft OneNote adalah aplikasi notebook digital desktop yang dapat diunduh secara gratis dan disertakan dalam Microsoft Office 2019 dan Microsoft 365.

Karena Microsoft OneNote terinstal secara default di semua instalasi Microsoft Office/365, bahkan jika pengguna Windows tidak menggunakan aplikasi tersebut, masih tersedia untuk membuka format file.

Sebagai gantinya, OneNote memungkinkan pengguna untuk memasukkan Attachment ke dalam Buku Catatan yang, ketika diklik dua kali, akan meluncurkan Attachment tersebut.

Pelaku ancaman menyalahgunakan fitur ini dengan melampirkan Attachment VBS berbahaya yang secara otomatis meluncurkan skrip saat diklik dua kali untuk mengunduh malware dari situs jarak jauh dan memasangnya.

Untungnya, saat meluncurkan Attachment OneNote, program memperingatkan Anda bahwa hal itu dapat membahayakan komputer dan data Anda.

Namun sayangnya, sejarah telah menunjukkan kepada kita bahwa jenis permintaan ini biasanya diabaikan, dan pengguna cukup mengeklik tombol OK.

Melindungi dari ancaman ini
Setelah diinstal, malware jenis ini memungkinkan pelaku ancaman mengakses perangkat korban dari jarak jauh untuk mencuri file, menyimpan kata sandi browser, mengambil screenshot, dan dalam beberapa kasus, bahkan merekam video menggunakan webcam.

Cara terbaik untuk melindungi diri Anda dari Attachment malicious adalah dengan tidak membuka file dari orang yang tidak Anda kenal. Namun, jika Anda salah membuka file, jangan abaikan peringatan yang ditampilkan oleh sistem operasi atau aplikasi.

sumber : bleepingcomputer

Lebih dari 19.000 Router Cisco di Akhir Masa Pakainya Terkena Serangan RCE

January 21, 2023 by Mally

Lebih dari 19.000 router Cisco VPN akhir masa pakainya di Internet terkena serangan yang menargetkan rantai eksploitasi eksekusi perintah jarak jauh.

Dengan merantai dua kelemahan keamanan yang diungkapkan minggu lalu, pelaku ancaman dapat melewati otentikasi (CVE-2023-20025) dan menjalankan perintah sewenang-wenang (CVE-2023-2002) pada sistem operasi yang mendasari router Cisco Small Business RV016, RV042, RV042G, dan RV082 .

Cisco menilai CVE-2023-20025 sebagai kritis dan mengatakan bahwa tim Product Security Incident Response Team (PSIRT) mengetahui kode eksploit proof-of-concept yang tersedia di alam bebas.

Meskipun demikian, perusahaan juga mengatakan “belum dan tidak akan merilis pembaruan perangkat lunak yang mengatasi kerentanan ini.”

Ribuan router rentan terhadap serangan

vulnerable routers expose — Distribusi router yang rentan di seluruh dunia (Censys)

Meskipun mereka tidak akan mendapatkan pembaruan keamanan, dan Cisco mengatakan bahwa “tidak ada solusi yang mengatasi kerentanan ini”, pengguna masih dapat mengamankan perangkat mereka dari serangan dengan menonaktifkan antarmuka manajemen berbasis web dan memblokir akses ke port 443 dan 60443 untuk menggagalkan upaya eksploitasi.

selengkapnya : bleepingcomputer

Hati-hati Pengguna Android: Malware Hook Baru dengan Kemampuan RAT Muncul

January 21, 2023 by Mally

trojan

Aktor ancaman di balik trojan perbankan BlackRock dan ERMAC Android telah merilis malware lain untuk disewakan yang disebut Hook yang memperkenalkan kemampuan baru untuk mengakses file yang disimpan di perangkat dan membuat sesi interaktif jarak jauh.

ThreatFabric, dalam laporan yang dibagikan dengan The Hacker News, mencirikan Hook sebagai fork ERMAC baru yang diiklankan untuk dijual seharga $7.000 per bulan sambil menampilkan “semua kemampuan pendahulunya”.

Sebagian besar aplikasi keuangan yang ditargetkan oleh malware tersebut berada di AS, Spanyol, Australia, Polandia, Kanada, Turki, Inggris, Prancis, Italia, dan Portugal.

Hook adalah hasil karya aktor ancaman yang dikenal sebagai DukeEugene dan mewakili evolusi terbaru ERMAC, yang pertama kali diungkapkan pada September 2021 dan didasarkan pada trojan lain bernama Cerberus yang kode sumbernya bocor pada tahun 2020.

Keluarga Malware Terdeteksi Paling Banyak

Di antara fitur-fitur utama lainnya yang akan ditambahkan ke Hook adalah kemampuan untuk melihat dan berinteraksi dari jarak jauh dengan layar perangkat yang terinfeksi, mendapatkan file, mengekstrak frase benih dari dompet crypto, dan melacak lokasi ponsel, mengaburkan batas antara spyware dan malware perbankan.

ThreatFabric mengatakan artefak Hook diamati sejauh ini dalam tahap pengujian, tetapi mencatat bahwa itu dapat dikirimkan melalui kampanye phishing, saluran Telegram, atau dalam bentuk aplikasi dropper Google Play Store.

selengkapnya : thehackernews

Entitas Pemerintah Iran Diserang oleh Gelombang Baru Serangan Diplomasi Backdoor

January 20, 2023 by Mally

Aktor ancaman yang dikenal sebagai BackdoorDiplomacy telah dikaitkan dengan gelombang serangan baru yang menargetkan entitas pemerintah Iran antara Juli dan akhir Desember 2022.

Palo Alto Networks Unit 42 melacak aktivitas di bawah moniker bertema konstelasi Playful Taurus. Pihaknya mengamati domain pemerintah yang mencoba terhubung ke infrastruktur malware yang sebelumnya diidentifikasi terkait dengan musuh.

Pada Desember 2021, Microsoft mengumumkan penyitaan 42 domain yang dioperasikan oleh grup tersebut dalam serangannya yang menargetkan 29 negara.

Pelaku ancaman baru-baru ini dikaitkan dengan serangan terhadap perusahaan telekomunikasi yang tidak disebutkan namanya di Timur Tengah menggunakan Quarian, pendahulu Turian yang memungkinkan titik akses jarak jauh ke jaringan yang ditargetkan.

Backdoor Turian dalam versi barunya menampilkan kebingungan tambahan serta algoritma dekripsi yang diperbarui yang digunakan untuk mengekstrak server C2. Namun, malware itu sendiri bersifat umum karena menawarkan fungsi dasar untuk memperbarui server C2 agar terhubung, menjalankan perintah, dan menelurkan shell terbalik.

BackdoorDiplomacy menargetkan Iran karena alasan ekstensi geopolitik yang datang dengan latar belakang perjanjian bilateral komprehensif 25 tahun yang ditandatangani antara China dan Iran untuk mendorong kerja sama ekonomi, militer, dan keamanan.

Selengkapnya: The Hacker News

Peretas Dapat Menggunakan GitHub Codespaces untuk Menghosting dan Mengirimkan Malware

January 19, 2023 by Mally

Para peneliti telah mendemonstrasikan bagaimana pelaku ancaman dapat menyalahgunakan fitur ‘penerusan port’ GitHub Codespaces untuk menghosting dan mendistribusikan malware dan skrip berbahaya.

GitHub Codespaces memungkinkan pengembang menerapkan platform IDE yang dihosting cloud dalam wadah virtual untuk menulis, mengedit, dan menjalankan kode langsung di dalam browser web.

Menggunakan GitHub Codespaces sebagai Server Malware
Dalam laporan terbaru Trend Micro, para peneliti mendemonstrasikan bagaimana GitHub Codespaces dapat dengan mudah dikonfigurasi sebagai server web, mendistribusikan konten berbahaya sambil berpotensi menghindari deteksi karena lalu lintas berasal dari Microsoft.

Penyerang dapat menjalankan server web Python sederhana, mengunggah skrip berbahaya atau malware ke Codespace mereka, membuka port server web di VM mereka, dan menetapkan visibilitas publik.

Pengaturan visibilitas port pada Codespaces (Trend Micro)

URL yang dihasilkan dapat digunakan untuk mengakses file yang dihosting, baik untuk kampanye phishing atau untuk menghosting executable berbahaya yang diunduh oleh malware lain.

Karena GitHub adalah ruang terpercaya, alat antivirus cenderung membunyikan alarm sehingga pelaku ancaman dapat menghindari deteksi dengan biaya minimal.

Diagram serangan penyalahgunaan ruang kode (Trend Micro)

Melanjutkan Serangan
Trend Micro juga mengeksplorasi penyalahgunaan Dev Containers di GitHub Codespaces untuk membuat operasi distribusi malware mereka lebih efisien. Penyerang dapat menggunakan skrip untuk meneruskan port, menjalankan server HTTP Python, dan mengunduh file berbahaya di dalam Codespace mereka.

Meskipun tidak ada penyalahgunaan GitHub Codespaces yang diketahui saat ini, laporan tersebut menyoroti kemungkinan yang realistis, karena pelaku ancaman umumnya lebih memilih untuk menargetkan platform bebas penggunaan yang juga dipercaya oleh produk keamanan.

Selengkapnya: BleepingComputer

Peretas Beralih ke Iklan Pencarian Google untuk Mendorong Malware Pencuri Info

January 18, 2023 by Mally

Peretas menyiapkan situs web palsu untuk perangkat lunak bebas dan sumber terbuka populer untuk mempromosikan unduhan berbahaya melalui iklan di hasil penelusuran Google.

Setidaknya satu pengguna terkemuka di kancah cryptocurrency telah menjadi korban kampanye, mengklaim itu memungkinkan peretas mencuri semua aset kripto digital mereka bersama dengan kendali atas akun profesional dan pribadi mereka.

Tanpa sepengetahuan Alex, ini kemungkinan adalah malware pencuri informasi yang mencuri kata sandi browser, cookie, token Discord, dan dompet cryptocurrency yang disimpan dan mengirimkannya ke penyerang jarak jauh.

Segera, Alex menemukan bahwa akun mereka di pasar OpenSea NFT juga telah disusupi dan dompet lain terdaftar sebagai pemilik salah satu aset digital mereka.

Crypto influencer NFT God’s online accounts hacked
sumber: NFT God

The distribution method was unknown at the time but separate reports in December from cybersecurity companies Trend Micro and Guardio revealed that hackers were abusing the Google Ads platform to push malicious downloads in search results.

Kebingungan iklan berbahaya di hasil pencarian Google
situs web berisi unduhan perangkat lunak palsu yang didistribusikan hanya melalui hasil penelusuran Google Ads. Situs web tersebut meniru apa yang tampak sebagai perusahaan desain web resmi di India bernama Zensoft Tech.

Sayangnya, kami tidak dapat memverifikasi apakah unduhan itu berbahaya tetapi karena domain tersebut adalah URL yang salah ketik, situs tersebut memblokir mesin telusur agar tidak mengindeks konten dan mempromosikan unduhan hanya melalui iklan di hasil penelusuran, ada indikasi kuat adanya aktivitas berbahaya.

Di antara perangkat lunak yang kami temukan di situs web adalah utilitas kompresi file 7-ZIP dan WinRAR, dan pemutar media VLC yang banyak digunakan.

Pemblokir iklan dapat meningkatkan perlindungan
Pemblokir iklan tersedia sebagai ekstensi di sebagian besar browser web dan, seperti namanya, mereka menghentikan pemuatan iklan dan ditampilkan di halaman web, termasuk hasil pencarian.

Selain menambah kenyamanan penggunaan internet, pemblokir iklan juga meningkatkan privasi dengan mencegah kuki pelacak di iklan mengumpulkan data tentang kebiasaan menjelajah Anda.

Namun, dalam kasus ini, ekstensi semacam itu dapat membuat perbedaan antara kehilangan akses ke informasi sensitif atau akun online Anda dan mendapatkan sumber daya digital dari vendor yang sah.

Peretas dapat menggunakan GitHub Codespaces untuk menghosting dan mengirimkan malware

January 18, 2023 by Mally

Dalam laporan baru oleh Trend Micro, para peneliti mendemonstrasikan bagaimana GitHub Codespaces dapat dengan mudah dikonfigurasi untuk bertindak sebagai server web untuk mendistribusikan konten berbahaya sambil berpotensi menghindari deteksi karena lalu lintas berasal dari Microsoft.

Saat meneruskan port di VM Codespace, fitur GitHub akan menghasilkan URL untuk mengakses aplikasi yang berjalan di port tersebut, yang dapat dikonfigurasi sebagai pribadi atau publik.

Port forward pribadi memerlukan autentikasi dalam bentuk token atau cookie untuk mengakses URL. Namun, port publik dapat diakses oleh siapa saja yang mengetahui URL tanpa memerlukan otentikasi.

Fitur GitHub ini memberi pengembang fleksibilitas dalam demonstrasi kode, tetapi Trend Micro mengatakan penyerang saat ini dapat dengan mudah menyalahgunakannya untuk menghosting malware di platform.

Analis mengatakan bahwa sementara HTTP digunakan secara default dalam sistem penerusan port Codespaces, pengembang dapat mengaturnya ke HTTPS, meningkatkan ilusi keamanan untuk URL.

Karena GitHub adalah ruang tepercaya, alat antivirus cenderung membunyikan alarm sehingga pelaku ancaman dapat menghindari deteksi dengan biaya minimal.

Codespaces abuse attack diagram (Trend Micro)

Melanjutkan serangan
Analis Trend Micro juga mengeksplorasi penyalahgunaan Dev Containers di GitHub Codespaces untuk membuat operasi distribusi malware mereka lebih efisien.

Sebuah “wadah dev” di GitHub Codespaces adalah wadah pra-konfigurasi yang berisi semua dependensi dan alat yang diperlukan untuk proyek tertentu. Pengembang dapat menggunakannya untuk penerapan cepat, membagikannya dengan orang lain, atau terhubung melalui VCS.

Penyerang dapat menggunakan skrip untuk meneruskan port, menjalankan server HTTP Python, dan mengunduh file berbahaya di dalam Codespace mereka.

Selanjutnya, visibilitas port disetel ke publik, yang membuat server web dengan direktori terbuka yang menyajikan file berbahaya ke target.

BleepingComputer dapat mereplikasi pembuatan server web “jahat” menggunakan Codespaces dalam waktu kurang dari 10 menit, tanpa pengalaman dengan fitur tersebut.

Menjalankan server web pada GitHub Codespaces VM

Kebijakan GitHub adalah ruang kode yang tidak aktif akan dihapus secara otomatis setelah 30 hari, sehingga penyerang dapat menggunakan URL yang sama selama sebulan penuh.

Meskipun tidak ada penyalahgunaan GitHub Codespaces yang diketahui saat ini, laporan tersebut menyoroti kemungkinan yang realistis, karena pelaku ancaman umumnya lebih memilih untuk menargetkan platform “bebas penggunaan” yang juga dipercaya oleh produk keamanan.

sumber : bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings