OS

Klon Android Minecraft dengan unduhan 35 juta menginfeksi pengguna dengan adware

April 29, 2023 by Mally

Satu set 38 game peniru Minecraft di Google Play perangkat yang terinfeksi dengan adware Android ‘HiddenAds’ untuk secara diam-diam memuat iklan di latar belakang untuk menghasilkan pendapatan bagi operator.

Minecraft adalah game sandbox populer dengan 140 juta pemain aktif bulanan, yang telah dicoba untuk dibuat ulang oleh banyak penerbit game.

Game mirip Minecraft yang menyembunyikan adware diunduh oleh sekitar 35 juta pengguna Android di seluruh dunia, terutama dari Amerika Serikat, Kanada, Korea Selatan, dan Brasil.

Para pengguna tersebut tidak memperhatikan aktivitas adware jahat yang dilakukan di latar belakang, karena mereka dapat memainkan game seperti yang dijanjikan. Selain itu, kemungkinan kepanasan, peningkatan data jaringan, atau konsumsi baterai yang disebabkan oleh memuat banyak iklan dapat dianggap disebabkan oleh game.

Kumpulan adware ditemukan oleh Tim Riset Seluler McAfee, anggota Aliansi Pertahanan Aplikasi yang dibuat untuk melindungi Google Play dari semua jenis ancaman.

Meskipun aplikasi adware tidak dianggap berbahaya bagi pengguna, aplikasi ini dapat mengurangi kinerja perangkat seluler, meningkatkan masalah privasi, dan bahkan berpotensi membuat celah keamanan yang dapat membuat pengguna terkena infeksi yang lebih buruk.

Pengguna Android harus memeriksa laporan McAfee untuk daftar lengkap aplikasi yang terpengaruh dan menghapusnya secara manual jika belum dihapus.

selengkapnya : bleepingcomputer.com

Peretas Cina menggunakan varian malware Linux baru untuk spionase

April 27, 2023 by Mally

Peretas menyebarkan varian malware Linux baru dalam serangan cyberespionage, seperti varian PingPull baru dan backdoor yang sebelumnya tidak berdokumen yang dilacak sebagai ‘Sword2033.’

PingPull adalah RAT (trojan akses jarak jauh) yang pertama kali didokumentasikan oleh Unit 42 musim panas lalu dalam serangan spionase yang dilakukan oleh grup Gallium yang disponsori negara China, juga dikenal sebagai Alloy Taurus. Serangan tersebut menargetkan pemerintah dan organisasi keuangan di Australia, Rusia, Belgia, Malaysia, Vietnam, dan Filipina.

Unit 42 terus memantau kampanye spionase ini dan hari ini melaporkan bahwa pelaku ancaman China menggunakan varian malware baru terhadap target di Afrika Selatan dan Nepal.

Unit 42 juga menemukan pintu belakang ELF baru yang berkomunikasi dengan server perintah dan kontrol yang sama (C2) dengan PingPull.

Ini adalah alat yang lebih sederhana dengan fungsi yang lebih mendasar seperti mengunggah file pada sistem yang dilanggar, mengekstraksi file, dan menjalankan perintah dengan “; echo \n” ditambahkan padanya.

Perintah gema menambahkan data acak pada log eksekusi, mungkin untuk membuat analisis lebih menantang atau mengaburkan aktivitasnya.

Unit 42 menemukan sampel Sword2023 kedua yang terkait dengan alamat C2 berbeda yang menyamar sebagai militer Afrika Selatan.

Sampel yang sama ditautkan ke alamat Soft Ether VPN, produk yang diketahui digunakan oleh Gallium dalam operasinya.

Peta C2 Gallium berdasarkan komunikasi malware (Unit 42)

Sebagai kesimpulan, Gallium terus menyempurnakan persenjataannya dan memperluas jangkauan targetnya menggunakan varian Linux baru dari PingPull dan backdoor Sword2023 yang baru ditemukan.

Organisasi harus mengadopsi strategi keamanan yang komprehensif untuk melawan ancaman canggih ini secara efektif daripada hanya mengandalkan metode deteksi statis.

selengkapnya : bleepingcomputer

Linux kernel Logic Mengizinkan serangan Spectre pada ‘penyedia cloud utama’

April 15, 2023 by Mally

Kerentanan Spectre yang menghantui pembuat perangkat keras dan perangkat lunak sejak 2018 terus menentang upaya untuk menguburnya.

Pada hari Kamis, Eduardo (sirdarckcat) Vela Nava, dari tim respons keamanan produk Google, mengungkapkan kelemahan terkait Spectre di versi 6.2 kernel Linux.

Bug, yang disebut tingkat keparahan sedang, awalnya dilaporkan ke penyedia layanan cloud – yang paling mungkin terpengaruh – pada 31 Desember 2022, dan ditambal di Linux pada 27 Februari 2023.

Pemburu bug yang mengidentifikasi masalah tersebut menemukan bahwa proses userspace Linux untuk bertahan melawan Spectre v2 tidak bekerja pada VM dari “setidaknya satu penyedia cloud utama”.

Seperti yang dijelaskan oleh pengungkapan, di bawah IBRS dasar, kernel 6.2 memiliki logika yang memilih keluar dari STIBP (Single Thread Indirect Branch Predictors), pertahanan terhadap pembagian prediksi cabang antara prosesor logis pada inti.

“Bit IBRS secara implisit melindungi dari injeksi target cabang lintas-utas,” laporan bug menjelaskan. “Namun, dengan IBRS lama, bit IBRS dihapus saat kembali ke ruang pengguna, karena alasan kinerja, yang menonaktifkan STIBP implisit dan membuat utas ruang pengguna rentan terhadap injeksi target cabang lintas-utas yang dilindungi oleh STIBP.”

Register memahami bahwa masalah ini muncul dari kesalahpahaman tentang IBRS yang ditingkatkan, yang tidak memerlukan STIBP untuk melindungi diri dari utas lain (serangan multithreading secara bersamaan).

Perbaikan menghapus IBRS dasar dari pemeriksaan spectre_v2_in_ibrs_mode() , agar STIBP tetap aktif secara default.

Cacat hantu diidentifikasi oleh Rodrigo Rubira Branco (BSDaemon), ketika dia berada di Google, dan José Luiz. KP Singh, bagian dari tim kernel Google, yang mengerjakan perbaikan dan berkoordinasi dengan pengelola Linux untuk mengatasi masalah tersebut.

selengkapnya : theregister.com

Microsoft menunda penghentian Exchange Online CAR hingga 2024

April 9, 2023 by Mally

Bulan berikutnya, Redmond menonaktifkan cmdlet CAR di penyewa yang tidak digunakan untuk mempromosikan peralihan ke alternatif yang lebih aman seperti akses bersyarat (CA) Azure Active Directory (AAD) dan evaluasi akses berkelanjutan (CAE).

Penundaan penghentian bertahap dipicu oleh ketidakmungkinan memigrasikan beberapa CAR ke Azure AD CA dan CAE hingga tenggat waktu awal, dalam beberapa kasus, karena kebutuhan akan dukungan yang tepat.

“Kami telah bekerja dengan pelanggan untuk mempelajari bagaimana mereka menggunakan CAR dan bagaimana mereka dapat bermigrasi ke fitur yang lebih baru ini, tetapi kami telah menemukan beberapa skenario di mana tidak mungkin untuk memigrasi aturan saat ini,” kata Tim Exchange pada hari Jumat.

“Untuk skenario ini, kami akan mengizinkan penggunaan CAR di luar batas waktu September 2023 yang diumumkan sebelumnya sampai kami dapat mendukungnya.”

Sampai tenggat waktu penghentian akhir tercapai tahun depan, Microsoft sedang menunggu pelanggan untuk meminta bantuan memigrasikan CAR mereka ke opsi kontrol akses baru melalui tiket dukungan.

Seperti yang dijelaskan Redmond pada September 2022, beralih dari aturan akses Exchange Online lama ke akses bersyarat akan menambah ketahanan ekstra dengan memastikan penerapan perubahan kebijakan penyewa hampir secara waktu nyata dan secara proaktif menghentikan sesi pengguna aktif.

Microsoft juga baru-baru ini memperingatkan pelanggan bahwa autentikasi dasar akan dinonaktifkan di penyewa acak untuk meningkatkan keamanan Exchange Online mulai 1 Oktober 2022.

Peringatan tersebut mengikuti beberapa pengingat yang dikeluarkan Redmond selama tiga tahun terakhir, yang pertama diterbitkan pada September 2019.

selengkapnya : bleepingcomputer.com

Google Menemukan Lebih Banyak Android, iOS Zero-days Digunakan untuk Menginstal Spyware

March 30, 2023 by Mally

Grup Analisis Ancaman Google (TAG) menemukan beberapa rantai eksploit menggunakan Android, iOS, dan Chrome kerentanan zero-day dan n-day untuk menginstal spyware komersial dan aplikasi berbahaya di perangkat target.

Penyerang menargetkan pengguna iOS dan Android dengan rantai eksploitasi terpisah, sebagai bagian dari kampanye pertama yang terlihat pada November 2022.

Penyerang menggunakan pesan teks yang mendorong tautan singkat bit.ly untuk mengarahkan korban ke situs web pengiriman yang sah dari Italia, Malaysia, dan Kazakhstan setelah pertama kali mengirim mereka ke halaman yang memicu eksploitasi yang menyalahgunakan eksekusi kode jarak jauh WebKit iOS zero-day (CVE-2022-42856) dan bug sandbox escape (CVE-2021-30900).

Pada perangkat iOS yang disusupi, pelaku ancaman menjatuhkan muatan yang memungkinkan mereka melacak lokasi korban dan memasang file .IPA.

Ini merupakan bagian dari upaya berkelanjutan untuk mengawasi pasar spyware tentara bayaran dan melacak kerentanan zero-day yang mereka manfaatkan untuk memasang alat mereka pada perangkat rentan hak asasi manusia dan aktivis politik, jurnalis, politisi, dan petinggi lainnya. pengguna risiko di seluruh dunia.

Peneliti Google TAG menautkan kerangka eksploit yang Heliconia dan menargetkan kerentanan Chrome, Firefox, dan Microsoft Defender ke perusahaan perangkat lunak Variston IT Spanish pada November 2022.

Kemudian pada Juni 2022, beberapa Penyedia Layanan Internet (ISP) membantu vendor spyware Italia, RCS Labs, untuk menginfeksi perangkat pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial pada Juni

Selengkapnya: BleepingComputer

Malware Baru Mencuri Kata Sandi Mac dan Mengirimkannya Dengan Telegram

March 29, 2023 by Mally

Malware baru, MacStealer, ditemukan menginfeksi Intel dan Apple Silicon Mac, serta mencuri kata sandi, info kartu kredit, dan data pribadi lainnya.

MacStealer memiliki kemampuan untuk mengambil dokumen, cookie browser, dan informasi login dari Mac target. Secara khusus juga berfungsi pada Mac yang menjalankan macOS Catalina atau lebih baru, berjalan pada chip Intel atau Apple Silicon.

Perangkat lunak mengambil kredensial dan cookie dari browser Firefox, Google Chrome, dan Brave, mengekstrak database Keychain, dan mencoba untuk mengamankan berbagai jenis file.

Meskipun menarik Keychain tampak seperti bahaya besar bagi pengguna, serangan tersebut melibatkan pengambilan Keychain secara grosir, tanpa mengakses data di dalamnya. Basis data diambil dan dikirim ke penyerang oleh Telegram, tetapi masih dienkripsi.

Pelaku ancaman yang menjual akses ke MacStealer seharga $100 per build mengatakan bahwa Keychain yang diekstraksi hampir tidak mungkin diakses tanpa kata sandi utama.

Item lain dalam daftar “fitur yang akan datang” termasuk pengurasan cryptowallets, alat untuk menghasilkan build baru, shell terbalik, pengunggah khusus, dan panel kontrol.

Pada saat yang sama mengambil file dan data, MacStealer menggunakan Telegram untuk mengirimkan informasi pilihan ke saluran tertentu. Kompilasi ZIP terpisah kemudian dibagikan ke bot Telegram yang dikendalikan oleh peretas.

Mencoba membuka file akan memunculkan permintaan kata sandi macOS palsu, yang kemudian digunakan alat tersebut untuk mengakses file lain di sistem.

Permintaan kata sandi macOS palsu pict-MacStealer [kiri], permintaan kata sandi macOS asli [kanan]

Uptycs merekomendasikan agar pengguna memperbarui sistem Mac dengan tambalan dan pembaruan, serta disarankan untuk hanya mengizinkan penginstalan file dari sumber terpercaya.

Selengkapnya: Apple Insider

Peretas dapat mengambil alih beberapa ponsel Samsung atau Pixel hanya dengan nomor telepon Anda

March 18, 2023 by Mally

mereka mengaktifkan eksekusi kode jarak jauh hanya dengan nomor telepon korban. Hanya satu dari eksploitasi paling serius yang memiliki nomor Common Vulnerabilities and Exposures (CVE) yang ditetapkan secara publik, dengan Google menahan sejumlah CVE yang terkait dengan kerentanan ini dalam pengecualian yang jarang terjadi pada protokol pengungkapan bug normal.

Perangkat berikut terpengaruh, menurut Project Zero Google.

Samsung; S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 and A04 series;
Vivo; S16, S15, S6, X70, X60 and X30 series;
Seri perangkat Pixel 6 dan Pixel 7 dari Google; Dan
kendaraan apa pun yang menggunakan chipset Exynos Auto T5123.

Bug ini telah diperbaiki dalam pembaruan keamanan bulan Maret, yang sudah dimiliki oleh seri Pixel 7. Namun, seri Pixel 6 belum memilikinya, dan Google mengatakan bahwa pengguna yang menggunakan perangkat yang belum ditambal harus menonaktifkan Panggilan VoLTE dan Wi-Fi.

Adapun eksploitasi utama yang kami miliki informasinya, CVE-2023-24033, deskripsinya hanya mengatakan bahwa chipset modem baseband yang terpengaruh

Empat belas kerentanan lainnya (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076, dan sembilan lainnya menunggu CVE) tidak begitu kritis tetapi masih membawa risiko kepada pengguna akhir. Agar eksploitasi berhasil, mereka membutuhkan “operator jaringan seluler jahat atau penyerang dengan akses lokal ke perangkat.”

Untuk pengguna yang menunggu pembaruan dan menggunakan perangkat yang terpengaruh, pastikan untuk menonaktifkan Panggilan VoLTE dan Wi-Fi untuk saat ini. Jika Anda memiliki pembaruan keamanan bulan Maret yang tersedia tetapi belum diperbarui, mungkin sudah waktunya untuk melakukannya.

selengkapnya : xda-developers.com

Google memperingatkan pengguna untuk mengambil tindakan guna melindungi dari kelemahan yang dapat dieksploitasi dari jarak jauh di ponsel Android populer

March 17, 2023 by Mally

Unit riset keamanan Google membunyikan alarm pada serangkaian kerentanan yang ditemukan di chip Samsung tertentu yang disertakan dalam lusinan model Android, perangkat yang dapat dikenakan, dan kendaraan, karena khawatir kelemahan tersebut dapat segera ditemukan dan dieksploitasi.

Dengan mendapatkan kemampuan untuk menjalankan kode dari jarak jauh pada tingkat baseband perangkat — pada dasarnya modem Exynos yang mengonversi sinyal sel menjadi data digital — penyerang akan dapat memperoleh akses yang hampir tak terbatas ke data yang mengalir masuk dan keluar dari perangkat yang terpengaruh, termasuk panggilan seluler, pesan teks, dan data seluler, tanpa memberi tahu korban.

Saat pengungkapan berlangsung, jarang melihat Google — atau firma riset keamanan mana pun — membunyikan alarm pada kerentanan dengan tingkat keparahan tinggi sebelum ditambal. Google mencatat risikonya kepada publik, menyatakan bahwa penyerang yang terampil “akan dapat dengan cepat membuat eksploitasi operasional” dengan penelitian dan upaya yang terbatas.

Peneliti Project Zero Maddie Stone menulis di Twitter bahwa Samsung memiliki waktu 90 hari untuk menambal bug, tetapi belum.

Samsung mengonfirmasi dalam daftar keamanan Maret 2023 bahwa beberapa modem Exynos rentan, memengaruhi beberapa produsen perangkat Android, tetapi memberikan sedikit detail lainnya.

Menurut Project Zero, perangkat yang terpengaruh mencakup hampir selusin model Samsung, perangkat Vivo, dan handset Pixel 6 dan Pixel 7 milik Google. Perangkat yang terpengaruh juga termasuk perangkat yang dapat dikenakan dan kendaraan yang mengandalkan chip Exynos untuk terhubung ke jaringan seluler.

Google mengatakan bahwa tambalan akan bervariasi tergantung pabrikannya, tetapi mencatat bahwa perangkat Pixel-nya sudah ditambal dengan pembaruan keamanan bulan Maret.

Sampai produsen yang terkena dampak mendorong pembaruan perangkat lunak kepada pelanggan mereka, Google mengatakan pengguna yang ingin melindungi diri mereka sendiri dapat mematikan panggilan Wi-Fi dan Voice-over-LTE (VoLTE) di pengaturan perangkat mereka, yang akan “menghilangkan risiko eksploitasi dari kerentanan ini. ”

Google mengatakan 14 kerentanan yang tersisa tidak terlalu parah karena memerlukan akses ke perangkat atau memiliki akses orang dalam atau akses istimewa ke sistem operator seluler.

selengkapnya : techcrunch.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

OS

Cookies Settings