Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Software / Application / Messaging Application

Messaging Application

Jerman memberikan Telegram denda sebesar $ 5 juta

by

Jerman mengumumkan bahwa mereka mengeluarkan denda 5,125 juta euro ($ 5 juta) terhadap operator aplikasi perpesanan Telegram karena gagal mematuhi hukum Jerman.

Kantor Kehakiman Federal mengatakan Telegram FZ-LLC belum menetapkan cara yang sah untuk melaporkan konten ilegal atau menyebut entitas di Jerman untuk menerima komunikasi resmi. Keduanya diwajibkan berdasarkan undang-undang Jerman yang mengatur platform online besar.

Pejabat Jerman mengatakan mereka telah berulang kali gagal dalam upaya mereka untuk mengirimkan surat ke Telegram yang berbasis di Dubai, meskipun ada dukungan dari pihak berwenang di Uni Emirat Arab.

Sebuah firma hukum yang berbasis di Jerman telah menyatakan bahwa itu mewakili Telegram, tetapi ini tidak cukup untuk mencegah denda dikeluarkan, kata Kantor Kehakiman Federal.

Polisi federal Jerman memperingatkan awal tahun ini bahwa aplikasi tersebut menjadi “media radikalisasi”, yang digunakan oleh beberapa orang untuk menargetkan politisi, ilmuwan, dan dokter atas peran mereka dalam menangani pandemi virus corona.

“Operator layanan pesan dan jejaring sosial memikul tanggung jawab khusus untuk bertindak melawan hasutan kebencian dan kekerasan di platform mereka,” kata Menteri Kehakiman Marco Buschmann dalam sebuah pernyataan. “Persyaratan hukum dan tanggung jawab ini tidak dapat dihindari dengan mencoba untuk tidak terjangkau.”

Sumber: AP News

Signal akan menghapus dukungan untuk SMS dan MMS di Android

by

Aplikasi pesan pihak ketiga Signal diatur untuk menghapus kemampuan mengirim pesan SMS dan MMS dari aplikasi Android untuk meningkatkan privasi dan keamanan.

Dalam sebuah posting blog, perusahaan perpesanan telah mengkonfirmasi bahwa Signal akan segera menghapus kemampuan untuk mengirim pesan SMS dan MMS dari aplikasi Android. Pernyataan itu menunjukkan bahwa “dukungan SMS tidak lagi masuk akal,” tetapi alasan keputusan ini telah sepenuhnya dirinci di seluruh posting ekstensif.

Untuk mengaktifkan pengalaman Signal yang lebih efisien, kami mulai menghentikan dukungan SMS dari aplikasi Android. Anda akan memiliki beberapa bulan untuk beralih dari SMS di Signal, mengekspor pesan SMS Anda ke aplikasi lain, dan memberi tahu orang yang Anda ajak bicara bahwa mereka mungkin ingin beralih ke Signal, atau mencari saluran lain jika tidak.

Alasan utama penghapusan dukungan SMS adalah sifat protokol yang tidak aman. Signal menyatakan bahwa SMS “tidak konsisten” dengan “nilai” dan apa yang diharapkan pengguna dari platform. Pelanggaran data telekomunikasi juga disebut sebagai alasan lain bahwa perubahan ini akan datang, meskipun ada kemungkinan komplikasi bagi pengguna.

Komplikasi penyatuan SMS dan pesan Sinyal asli tampaknya menjadi alasan lain untuk penghapusan tersebut. Di wilayah tertentu, pengguna kebingungan dalam mengirim pesan dan mengakibatkan salah mengirim pesan SMS berbiaya tinggi daripada komunikasi asli ke kontak.

Dengan menghapus dukungan tersebut, pengguna tidak lagi bingung ketika mengirim pesan. Ini berlaku untuk banyak sistem perpesanan lain seperti Telegram dan WhatsApp, yang tidak memiliki fungsi SMS atau MMS, sebaliknya, konten multimedia dan teks dikirim menggunakan protokol aplikasi asli.

Jika Anda ingin menonaktifkan fungsi itu sekarang, Anda dapat memeriksanya dengan menuju ke Sinyal > Akun > Pilih Obrolan > SMS/MMS. Jika SMS diaktifkan, Anda mungkin perlu mengekspor ke aplikasi lain.

Untungnya, Signal akan mulai mengirim pemberitahuan dan petunjuk untuk beralih bagi siapa saja yang menggunakan messenger selama beberapa minggu mendatang.

Sumber: 9to5google

Aplikasi Android WhatsApp tidak resmi tertangkap mencuri akun pengguna

by

Versi baru dari aplikasi WhatsApp Android tidak resmi bernama ‘YoWhatsApp’ telah ditemukan mencuri kunci akses untuk akun pengguna.

YoWhatsApp adalah aplikasi messenger yang berfungsi penuh yang menggunakan izin yang sama dengan aplikasi WhatsApp standar dan dipromosikan melalui iklan di aplikasi Android populer seperti Snaptube dan Vidmate. YoWhatsApp memiliki kemampuan untuk menyesuaikan antarmuka atau memblokir akses ke obrolan, sehingga menarik bagi pengguna untuk menginstal.

Namun, kini telah ditemukan bahwa YoWhatsApp v2.22.11.75 mengambil kunci WhatsApp, memungkinkan pelaku ancaman untuk mengontrol akun pengguna.

Kampanye YoWhatsApp ditemukan oleh analis ancaman di Kaspersky, yang telah menyelidiki kasus Trojan Triada yang bersembunyi di dalam versi WhatsApp yang dimodifikasi sejak tahun lalu.

Menurut sebuah laporan yang diterbitkan hari ini, aplikasi modded mengirimkan kunci akses WhatsApp pengguna ke server jarak jauh pengembang.

Meskipun Kaspersky belum menyatakan apakah kunci akses yang dicuri ini telah disalahgunakan, mereka dapat menyebabkan pengambilalihan akun, pengungkapan komunikasi sensitif dengan kontak pribadi, dan peniruan identitas untuk menutup kontak.

Seperti aplikasi WhatsApp Android yang sebenarnya, aplikasi jahat tersebut meminta izin, seperti mengakses SMS, yang juga diberikan kepada Triada Trojan yang tertanam di aplikasi tersebut.

Kaspersky mengatakan trojan dapat menyalahgunakan izin ini untuk mendaftarkan korban ke langganan premium tanpa mereka sadari dan menghasilkan pendapatan bagi distributor.

YoWhatsApp yang dimodifikasi dipromosikan melalui iklan di Snaptube, pengunduh video yang sangat populer yang telah mengalami malvertising di masa lalu.

Iklan yang mempromosikan versi YoWhatsApp berbahaya (Kaspersky)

Kaspersky telah memberi tahu Snaptube tentang penjahat dunia maya yang mendorong aplikasi jahat melalui platform iklannya, sehingga saluran distribusi ini harus segera ditutup.

Aplikasi berbahaya ini menawarkan fitur tambahan seperti antarmuka yang dapat disesuaikan, blok ruang obrolan individual, dan hal-hal lain yang tidak tersedia di klien WhatsApp tetapi banyak orang ingin memilikinya.

Kaspersky juga menemukan klon YoWhatsApp bernama “WhatsApp Plus,” yang menampilkan fungsi berbahaya yang sama, menyebar melalui aplikasi VidMate, mungkin tanpa diketahui oleh pembuatnya.

Aplikasi WhatsApp Plus sama dengan YoWhatsApp
(Kaspersky)

Dalam hal ini, aplikasi yang mempromosikan versi WhatsApp berbahaya hanya dapat diunduh dalam bentuk APK di luar Google Play Store, yang juga merupakan praktik yang harus dihindari.

Triada dapat menggunakan kunci ini untuk mengirim spam berbahaya sebagai akun curian, memanfaatkan orang-orang yang mempercayai lingkaran kecil teman dan keluarga mereka.

Oleh karena itu, berhati-hatilah terhadap pesan langsung dari kontak yang mempromosikan perangkat lunak atau meminta Anda untuk mengklik tautan yang tidak biasa.

Sumber: Bleeping Computer

Platform CrowdStrike Falcon Mengidentifikasi Supply Chain Attack Melalui Installer Comm100 Chat yang disisipi Trojan

by

Memanfaatkan wawasan dari platform Falcon, tim CrowdStrike Falcon OverWatch™, CrowdStrike Falcon Complete™, dan CrowdStrike Intelligence mengonfirmasi bahwa serangan rantai pasokan melibatkan penginstal trojan untuk aplikasi Comm100 Live Chat.

Serangan ini terjadi setidaknya dari 27 September 2022 hingga 29 September 2022 pagi. File trojan diidentifikasi di organisasi di sektor industri, perawatan kesehatan, teknologi, manufaktur, asuransi, dan telekomunikasi di Amerika Utara dan Eropa.

Malware dikirimkan melalui penginstal Comm100 yang ditandatangani yang dapat diunduh dari situs web perusahaan baru-baru ini pada pagi hari tanggal 29 September 2022. CrowdStrike Intelligence menilai dengan keyakinan moderat bahwa aktor yang bertanggung jawab atas aktivitas ini kemungkinan memiliki hubungan dengan Nexus dari China.

Malware dikirimkan melalui penginstal Comm100 yang ditandatangani yang dapat diunduh dari situs web perusahaan. Pemasang ditandatangani pada 26 September 2022 pukul 14:54:00 UTC menggunakan sertifikat Comm100 Network Corporation yang valid.

CrowdStrike Intelligence dapat mengonfirmasi bahwa agen desktop Microsoft Windows 7+ dihosting di https[:]//dash11.comm100[.]io/livechat/electron/10000/Comm100LiveChat-Setup-win.exe yang tersedia hingga 29 September pagi adalah penginstal trojan. Comm100 telah merilis penginstal yang diperbarui (10.0.9).

Installer ini (SHA256 hash: ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86) adalah aplikasi Electron yang berisi backdoor JavaScript (JS) di dalam file main.js dari arsip Asar yang disematkan.

Backdoor mengunduh dan menjalankan skrip tahap kedua dari URL http[:]//api.amazonawsreplay[.]com/livehelp/collect.

Selengkapnya: CrowdStrike

Peretas Cina Mengalihkan Aplikasi Obrolan MiMi untuk Menargetkan Pengguna Windows, Linux, macOS

by

Sepasang laporan dari perusahaan keamanan siber SEKOIA dan Trend Micro menyoroti kampanye baru yang dilakukan oleh aktor ancaman China bernama Lucky Mouse yang melibatkan pemanfaatan versi trojan dari aplikasi perpesanan lintas platform ke sistem pintu belakang.

Rantai infeksi memanfaatkan aplikasi obrolan yang disebut MiMi, dengan file penginstalnya dikompromikan untuk mengunduh dan menginstal sampel HyperBro untuk sistem operasi Windows dan artefak rshell untuk Linux dan macOS.

Sebanyak 13 entitas berbeda yang berlokasi di Taiwan dan Filipina telah menerima serangan, delapan di antaranya terkena rshell. Korban pertama rshell dilaporkan pada pertengahan Juli 2021.

Lucky Mouse, juga disebut APT27, Bronze Union, Utusan Panda, dan Iron Tiger, diketahui aktif sejak 2013 dan memiliki sejarah mendapatkan akses ke jaringan yang ditargetkan dalam mengejar tujuan pengumpulan intelijen politik dan militer yang selaras dengan China.

Aktor ancaman persisten (APT) tingkat lanjut juga mahir dalam mengekstrak informasi bernilai tinggi menggunakan berbagai macam implan khusus seperti SysUpdate, HyperBro, dan PlugX.

Perkembangan terbaru sangat signifikan, paling tidak karena menandai upaya pengenalan aktor ancaman untuk menargetkan macOS bersama Windows dan Linux.

Kampanye ini memiliki semua keunggulan serangan rantai pasokan di mana server backend yang menghosting penginstal aplikasi MiMi dikendalikan oleh Lucky Mouse, sehingga memungkinkan untuk men-tweak aplikasi untuk mengambil backdoors dari server jarak jauh.

Ini dibuktikan dengan fakta bahwa macOS versi 2.3.0 aplikasi telah dirusak untuk memasukkan kode JavaScript berbahaya pada 26 Mei 2022. Meskipun ini mungkin merupakan varian macOS pertama yang disusupi, versi 2.2.0 dan 2.2.1 dibuat untuk Windows telah ditemukan untuk memasukkan tambahan serupa pada 23 November 2021.

rshell, pada bagiannya, adalah pintu belakang standar yang dilengkapi dengan semua lonceng dan peluit biasa, memungkinkan eksekusi perintah arbitrer yang diterima dari server command-and-control (C2) dan mengirimkan hasil eksekusi kembali ke server.

Tidak segera jelas apakah MiMi adalah program obrolan yang sah, atau apakah itu “dirancang atau digunakan kembali sebagai alat pengawasan,” meskipun aplikasi tersebut telah digunakan oleh aktor berbahasa Cina lainnya yang dijuluki Earth Berberoka (alias GamblingPuppet) yang ditujukan untuk situs perjudian online. – sekali lagi menunjukkan pembagian alat yang lazim di antara grup APT Cina.

Koneksi operasi ke Lucky Mouse berasal dari tautan ke infrastruktur yang sebelumnya diidentifikasi seperti yang digunakan oleh perangkat intrusi China-nexus dan penyebaran HyperBro, pintu belakang yang secara eksklusif digunakan oleh kelompok peretas.

Seperti yang ditunjukkan SEKOIA, ini bukan pertama kalinya musuh menggunakan aplikasi perpesanan sebagai titik awal dalam serangannya. Pada akhir 2020, ESET mengungkapkan bahwa perangkat lunak obrolan populer bernama Able Desktop disalahgunakan untuk mengirimkan HyperBro, PlugX, dan trojan akses jarak jauh bernama Tmanger yang menargetkan Mongolia.

Sumber: The Hackernews

Penjahat siber menggunakan messaging apps untuk meluncurkan skema malware

by

Peneliti Intel 471 melaporkan bahwa penjahat siber memanfaatkan bot di dalam aplikasi perpesanan berbasis cloud populer seperti Discord dan Telegram untuk menyebarkan malware.

Bot biasanya digunakan untuk berbagi media, bermain game, saluran moderat, atau tugas otomatis lainnya yang dapat dibuat oleh pengembang.

Para peneliti mengatakan penjahat siber menggunakan platform tersebut untuk meng-host, mendistribusikan, dan menjalankan berbagai fungsi yang pada akhirnya memungkinkan mereka untuk mencuri kredensial atau informasi lain dari pengguna yang tidak sadar

Peneliti Intel 471 juga menemukan beberapa alat pencuri informasi yang tersedia secara bebas untuk diunduh yang mengandalkan Discord atau Telegram untuk fungsionalitasnya.

Salah satunya Blitzed Grabber, mereka menggunakan fitur webhook Discord sebagai cara untuk menyimpan data yang dieksfiltrasi melalui malware. Webhook menyediakan cara mudah untuk mengirim pesan otomatis dan pembaruan data dari mesin korban ke saluran pesan tertentu.

Pencuri ini dapat mencuri semua jenis informasi, termasuk data isi otomatis, bookmark, cookie browser, kredensial dari klien jaringan pribadi virtual (VPN), informasi kartu pembayaran, dompet cryptocurrency, informasi sistem operasi, kata sandi, dan kunci produk Microsoft Windows. Beberapa grabber, termasuk Blitzed Grabber, Mercurial Grabber, dan 44Caliber, juga menargetkan kredensial untuk platform game Minecraft dan Roblox.

Satu bot khusus Telegram, yang dikenal sebagai X-Files, memiliki fungsionalitas yang dapat diakses melalui perintah bot di dalam Telegram. Setelah malware dimuat ke sistem korban, pelaku jahat dapat menggesek kata sandi, cookie sesi, kredensial login, dan detail kartu kredit, dengan mengarahkan informasi itu ke saluran Telegram yang mereka pilih. X-Files dapat mengambil informasi dari berbagai browser, termasuk Google Chrome, Chromium, Opera, Slimjet, dan Vivaldi.

Peneliti Intel 471 juga telah mengamati pelaku ancaman yang menyalahgunakan infrastruktur cloud yang digunakan oleh aplikasi perpesanan untuk mendukung kampanye penyebaran malware. Banyak pelaku ancaman saat ini menggunakan jaringan pengiriman konten (CDN) Discord untuk meng-host muatan malware.

Sistem pengumpulan Intelijen Malware kami pertama kali mengamati teknik ini pada tahun 2019, tetapi berbagai pelaku ancaman masih menggunakannya. Operator malware tampaknya tidak menghadapi batasan apa pun saat mengunggah muatan berbahaya mereka ke CDN Discord untuk hosting file. Tautan terbuka untuk pengguna mana pun tanpa autentikasi, memberikan aktor ancaman domain web bereputasi tinggi untuk meng-host muatan berbahaya.

Keluarga malware yang diamati menggunakan Discord CDN untuk meng-host muatan berbahaya meliputi:

  • PrivateLoader
  • Discoloader
  • Colibri
  • Warzone RAT
  • Modi loader
  • Raccoon stealer
  • Smokeloader
  • Amadey
  • Agent Tesla stealer
  • GuLoader
  • Autohotkey
  • njRAT

Sebelumnya, Intel 471 telah mengamati peningkatan layanan di bawah tanah kejahatan dunia maya yang memungkinkan penyerang memanfaatkan bot Telegram dalam upaya untuk mencegat token kata sandi satu kali (OTP). Pelaku kejahatan terus membangun layanan ini, menjual aksesnya di berbagai forum kejahatan dunia maya.

Satu bot yang diamati oleh peneliti Intel 471 pada bulan April, yang dikenal sebagai Astro OTP, memungkinkan operator untuk mendapatkan kode verifikasi OTP dan layanan pesan singkat (SMS). Operator diduga dapat mengontrol bot secara langsung melalui antarmuka Telegram dengan menjalankan perintah sederhana.

Akses ke bot sangat murah, langganan satu hari dapat dibeli seharga US $25, dengan langganan seumur hidup tersedia seharga US $300.

Otomatisasi di platform perpesanan populer menurunkan bar-of-entry untuk aktor jahat. Sementara pencuri informasi saja tidak menyebabkan jumlah kerusakan yang sama seperti malware seperti penghapus data atau ransomware, mereka dapat menjadi langkah pertama dalam meluncurkan serangan yang ditargetkan terhadap perusahaan.

Sumber: Intel 471

Pemberitahuan tentang Pengaturan Ulang Kata Sandi Slack

by

Pada 4 Agustus 2022, kami memberi tahu sekitar 0,5% pengguna Slack bahwa kami telah menyetel ulang kata sandi mereka sebagai tanggapan atas bug yang terjadi saat pengguna membuat atau mencabut tautan undangan bersama untuk ruang kerja mereka. Ketika pengguna melakukan salah satu dari tindakan ini, Slack mengirimkan versi hash kata sandi mereka ke anggota ruang kerja lainnya. Kata sandi yang di-hash ini tidak terlihat oleh klien Slack mana pun; menemukannya diperlukan pemantauan secara aktif lalu lintas jaringan terenkripsi yang berasal dari server Slack. Bug ini ditemukan oleh peneliti keamanan independen dan diungkapkan kepada kami pada 17 Juli 2022. Bug ini memengaruhi semua pengguna yang membuat atau mencabut tautan undangan bersama antara 17 April 2017 dan 17 Juli 2022.

Setelah menerima laporan dari peneliti keamanan, kami segera memperbaiki bug yang mendasarinya dan kemudian mulai menyelidiki potensi dampak masalah ini pada pelanggan kami. Kami tidak memiliki alasan untuk percaya bahwa siapa pun dapat memperoleh kata sandi teks biasa karena masalah ini. Namun, demi kehati-hatian, kami telah menyetel ulang kata sandi Slack pengguna yang terpengaruh. Mereka perlu mengatur kata sandi Slack baru sebelum mereka dapat masuk lagi.

FAQ

Apa itu kata sandi yang di-hash?

Hash kata sandi tidak sama dengan kata sandi plaintext itu sendiri; itu adalah teknik kriptografi untuk menyimpan data dengan cara yang aman tetapi tidak dapat dibalik. Dengan kata lain, praktis tidak mungkin kata sandi diturunkan dari hash, dan tidak ada yang bisa langsung menggunakan hash untuk mengotentikasi. Kami menggunakan teknik yang disebut penggaraman untuk lebih melindungi hash ini.

Apa yang harus saya lakukan jika kata sandi saya direset oleh Slack?

Semua akun aktif yang memerlukan pengaturan ulang kata sandi akan diberitahukan secara langsung dengan instruksi. Untuk informasi tentang pengaturan ulang kata sandi setiap saat, silakan kunjungi Pusat Bantuan kami: https://get.slack.help/hc/en-us/articles/201909068

Bagaimana cara meninjau akses ke akun saya?

Setiap pengguna dapat meninjau log akses pribadi untuk akun mereka atau mengunduh ekspor CSV lengkap kapan saja dengan mengunjungi https://my.slack.com/account/logs. Pemilik dan administrator di semua langganan berbayar dapat mempelajari lebih lanjut tentang melihat log akses untuk ruang kerja mereka di Pusat Bantuan kami: https://get.slack.help/hc/en-us/articles/360002084807-View-Access-Logs-for -ruang kerja-Anda

Siapa yang dapat saya hubungi jika saya memiliki pertanyaan tambahan?

Jika Anda memiliki pertanyaan yang belum terjawab di sini, silakan hubungi kami di feedback@slack.com.

Langkah apa yang dapat saya ambil untuk lebih mengamankan akun saya?

Kami menyarankan semua pengguna menggunakan otentikasi dua faktor, memastikan bahwa perangkat lunak komputer dan perangkat lunak antivirus mereka mutakhir, membuat kata sandi baru yang unik untuk setiap layanan yang mereka gunakan dan menggunakan pengelola kata sandi.

Sumber: Slack

Peretas Tiongkok Mendistribusikan Alat Pengebom SMS dengan Malware Tersembunyi Di Dalam

by

Tropic Trooper telah terlihat menggunakan malware yang sebelumnya tidak terdokumentasi yang dikodekan dalam bahasa Nim untuk menyerang target sebagai bagian dari kampanye yang baru ditemukan.

Muatan baru, dijuluki Nimbda, “dibundel dengan alat ‘SMS Bomber’ greyware berbahasa China yang kemungkinan besar didistribusikan secara ilegal di web berbahasa China,” kata perusahaan keamanan siber Israel Check Point dalam sebuah laporan.

SMS Bomber, seperti namanya, memungkinkan pengguna untuk memasukkan nomor telepon (bukan milik mereka sendiri) untuk membanjiri perangkat korban dengan pesan dan berpotensi membuatnya tidak dapat digunakan dalam serangan denial-of-service (DoS).

Fakta bahwa biner berfungsi ganda sebagai Pengebom SMS dan pintu belakang menunjukkan bahwa serangan tidak hanya ditujukan pada mereka yang merupakan pengguna alat, tetapi juga sangat ditargetkan di alam liar.

Tropic Trooper, juga dikenal dengan sebutan Earth Centaur, KeyBoy, dan Pirate Panda, memiliki rekam jejak menyerang target yang berlokasi di Taiwan, Hong Kong, dan Filipina, terutama berfokus pada pemerintah, perawatan kesehatan, transportasi, dan industri teknologi tinggi.

Trend Micro tahun lalu menunjukkan kemampuan grup untuk mengembangkan TTP agar tetap berada di bawah radar dan mengandalkan berbagai alat khusus untuk mengkompromikan targetnya.

Biner yang diambil adalah versi upgrade dari trojan bernama Yahoyah yang dirancang untuk mengumpulkan informasi tentang jaringan nirkabel lokal di sekitar mesin korban serta metadata sistem lainnya dan mengekstrak detailnya kembali ke server command-and-control (C2).

Yahoyah juga bertindak sebagai saluran untuk mengambil malware tahap akhir, yang diunduh dalam bentuk gambar dari server C2. Payload yang dikodekan secara steganografi adalah pintu belakang yang dikenal sebagai TClient dan telah digunakan oleh grup dalam kampanye sebelumnya

“Biasanya, ketika alat pihak ketiga jinak (atau tampak jinak) dipilih sendiri untuk dimasukkan ke dalam rantai infeksi, mereka dipilih untuk menjadi yang paling tidak mencolok; pilihan alat ‘SMS Bomber’ untuk tujuan ini adalah meresahkan, dan menceritakan keseluruhan cerita saat seseorang berani memperkirakan motif dan korban yang dituju.”

Sumber: The Hacker News