Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

Malware Linux, macOS baru disembunyikan dalam paket Browserify NPM palsu

by

Paket berbahaya baru telah terlihat minggu ini di registri npm, yang menargetkan pengembang NodeJS yang menggunakan sistem operasi Linux dan Apple macOS.

Paket jahat ini disebut “web-browserify”, dan meniru komponen npm Browserify yang populer diunduh lebih dari 160 juta kali selama masa pakainya.

web-browserify sendiri dibangun dengan menggabungkan ratusan komponen open-source yang sah, dan melakukan aktivitas pengintaian ekstensif pada sistem yang terinfeksi.

Selain itu, sampai hari ini, malware ELF yang terkandung dalam komponen tersebut tidak terdeteksi oleh semua mesin antivirus terkemuka.

Komponen tersebut terdeteksi oleh sistem deteksi malware otomatis Sonatype, Release Integrity, dan dianggap berbahaya setelah dianalisis oleh tim riset keamanan Sonatype.

“web-browserify” dibuat oleh penulis dengan nama samaran yang menggambarkan diri mereka sebagai Steve Jobs.

Paket ini terdiri dari file manifes, package.json, skrip postinstall.js, dan ELF yang dapat dieksekusi yang disebut “run” yang ada dalam arsip terkompresi, run.tar.xz di dalam komponen npm.

Segera setelah “web-browserify” diinstal oleh pengembang, skrip mengekstrak dan meluncurkan biner Linux “run” dari arsip, yang kemudian meminta root permission dari pengguna.

Run binary yang diekstrak berukuran sekitar 120 MB dan memiliki ratusan komponen npm open-source yang sah yang digabungkan di dalamnya, yang disalahgunakan untuk aktivitas berbahaya.

Selengkapnya: Bleeping Computer

Malware Joker menginfeksi lebih dari 500.000 perangkat Android Huawei

by

Lebih dari 500.000 pengguna Huawei telah mengunduh dari aplikasi toko Android resmi perusahaan yang terinfeksi malware Joker yang berlangganan layanan seluler premium.

Peneliti menemukan sepuluh aplikasi yang tampaknya tidak berbahaya di AppGallery yang berisi kode untuk menghubungkan ke server perintah dan kontrol yang berbahaya untuk menerima konfigurasi dan komponen tambahan.

Sebuah laporan dari pembuat antivirus Doctor Web mencatat bahwa aplikasi berbahaya tetap memiliki fungsionalitas yang diiklankan tetapi mengunduh komponen yang membuat pengguna berlangganan layanan seluler premium.

Menurut para peneliti, malware dapat membuat pengguna berlangganan maksimal lima layanan, meskipun pelaku ancaman dapat mengubah batasan ini kapan saja.

Daftar aplikasi berbahaya termasuk keyboard virtual, aplikasi kamera, peluncur, utusan online, koleksi stiker, program mewarnai, dan permainan.

Kebanyakan dari mereka berasal dari satu pengembang (Shanxi Kuailaipai Network Technology Co., Ltd.) dan dua dari pengembang yang berbeda. Sepuluh aplikasi ini diunduh oleh lebih dari 538.000 pengguna Huawei, kata Doctor Web.

Para peneliti mengatakan bahwa modul yang sama yang diunduh oleh aplikasi yang terinfeksi di AppGallery juga ada di aplikasi lain di Google Play, digunakan oleh versi lain dari malware Joker. Daftar lengkap IoC tersedia di sini.

Sumber: Bleeping Computer

Malware Android baru menggunakan WhatsApp untuk menyebar

by

Bentuk baru malware Android mulai menyebar dengan sendirinya dengan membuat balasan otomatis di WhatsApp. Check Point Research baru-baru ini menemukan malware dalam aplikasi palsu di Google Play.

Sekarang, setiap pengguna yang telah mengunduh aplikasi jahat dan diberikan izin yang diperlukan, malware dapat menggunakan pesan balasan otomatis di WhatsApp untuk mengirim muatan jahat kepada pengguna melalui server perintah-dan-kontrol (C&C). Strategi eklektik ini dapat membantu penyerang melakukan serangan phishing, mencuri kredensial dan data WhatsApp, serta informasi palsu, di antara aktivitas terlarang lainnya.

Aplikasi palsu di Google Play disebut “FlixOnline”, layanan palsu yang mengklaim mengizinkan pengguna memanfaatkan layanan streaming Netflix dari mana saja di dunia. Namun, alih-alih menyediakan akses ke Netflix, aplikasi sebenarnya berinteraksi dengan akun WhatsApp pengguna untuk mengirim balasan otomatis palsu tersebut. Bahkan, pelaku ancaman bahkan dapat memeras pengguna dengan mengancam akan menjual percakapan dan data WhatsApp pribadi mereka ke semua kontak pengguna.

Setelah pengguna mendownload dan menginstal aplikasi dari Play Store, malware memulai layanan yang meminta izin “Overlay”, “Battery Optimization Ignore”, dan “Notification”. Izin seperti Overlay memungkinkan penyerang membuka jendela baru di atas aplikasi yang ada untuk tujuan membuat portal login palsu untuk mencuri kredensial pengguna. Batter Optimization Ignore memungkinkan penyerang untuk tetap menjalankan malware bahkan setelah ponsel tidak digunakan untuk menghemat daya baterai. Terakhir, izin Pemberitahuan memungkinkan penyerang melihat semua pemberitahuan terkait pesan yang dikirim ke perangkat pengguna, termasuk kemampuan untuk menutup atau membalas pesan tersebut.

Setelah izin tersebut diperoleh, malware menyembunyikan ikonnya sehingga perangkat lunak tidak dapat dihapus dengan mudah. Aplikasi menyembunyikan dirinya sendiri menggunakan pembaruan dari server C&C yang secara rutin mengubah konfigurasi malware. Cara mengubah konfigurasi ini mungkin terjadi melibatkan server C&C yang melakukan pembaruan aplikasi setelah perangkat menjalankan malware. Secara khusus, server menggunakan callback OnNotificationPosted untuk memperbarui malware secara otomatis.

Faktanya, segera setelah malware mendeteksi pemberitahuan pesan baru, aplikasi jahat menyembunyikan pemberitahuan dari pengguna sehingga hanya malware yang dapat melihat pesan tersebut. Selanjutnya, malware memulai panggilan balik untuk mengirim balasan otomatis palsu kepada pengguna.

Sejak Check Point Research memberi tahu Google tentang aplikasi berbahaya ini, Google telah menghapus aplikasi jahat tersebut dari Play Store. Sebelum dihapus, aplikasi ini diunduh kira-kira 500 kali.

sumber : techxplore.com

Ponsel Android Gigaset terinfeksi oleh malware melalui server pembaruan yang diretas

by

Pemilik ponsel Android Gigaset telah berulang kali terinfeksi malware sejak akhir Maret setelah pelaku ancaman menyusupi server pembaruan vendor dalam serangan rantai pasokan.

Gigaset adalah pabrikan perangkat telekomunikasi asal Jerman, termasuk rangkaian smartphone yang menjalankan sistem operasi Android.

Mulai sekitar 27 Maret, pengguna tiba-tiba menemukan perangkat seluler Gigaset mereka berulang kali membuka browser web dan menampilkan iklan untuk situs game seluler.

Saat memeriksa aplikasi ponsel mereka yang sedang berjalan, pengguna menemukan aplikasi yang tidak dikenal bernama ‘easenf’ berjalan, yang ketika dihapus, secara otomatis akan diinstal kembali.

Menurut situs teknologi Jerman BornCity, aplikasi easenf diinstal oleh aplikasi pembaruan sistem perangkat. Aplikasi berbahaya lainnya yang ditemukan termasuk ‘gem’, ‘smart’, dan ‘xiaoan.’

Pengguna Gigaset mengunggah beberapa paket berbahaya ini ke VirusTotal [1, 2], di mana mereka terdeteksi sebagai adware atau pengunduh.

Sejak serangan dimulai, Malwarebytes telah mendukung pemilik Gigaset di forum mereka dan mendeteksi ancaman sebagai ‘Android / PUP.Riskware.Autoins.Redstone.’

Berdasarkan penelitian mereka, Malwarebytes menyatakan bahwa aplikasi ‘Android / PUP.Riskware.Autoins.Redstone’ akan mengunduh malware lebih lanjut pada perangkat yang terdeteksi sebagai ‘Android / Trojan.Downloader.Agent.WAGD.’

Sumber: Malwarebyte forum

Malwarebytes menyatakan bahwa aplikasi ini akan menampilkan iklan, menginstal aplikasi berbahaya lainnya, dan mencoba menyebar melalui pesan WhatsApp.

Selengkapnya: Bleeping Computer

Malware Android menyamar sebagai Aplikasi mirip Netflix dan menginfeksi melalui WhatsApp

by

Malware Android yang baru ditemukan di Google Play Store yang menyamar sebagai alat Netflix dirancang untuk menyebar secara otomatis ke perangkat lain menggunakan balasan otomatis WhatsApp ke pesan masuk.

Para peneliti di Check Point Research (CPR) menemukan malware baru ini menyamar sebagai aplikasi bernama FlixOnline dan mencoba memikat calon korban dengan janji akses gratis ke konten Netflix.

Peneliti CPR secara bertanggung jawab mengungkapkan temuan penelitian mereka kepada Google yang dengan cepat menghapus dan menghapus aplikasi berbahaya tersebut dari Play Store.

Aplikasi FlixOnline yang berbahaya diunduh kira-kira 500 kali selama dua bulan ketika itu tersedia untuk diunduh di Play Store.

Setelah aplikasi diinstal pada perangkat Android dari Google Play Store, malware memulai layanan yang meminta overlay, pengabaian pengoptimalan baterai, dan izin pemberitahuan.

Setelah izin diberikan, malware akan dapat menghasilkan overlay di atas jendela aplikasi apa pun untuk tujuan pencurian kredensial, memblokir perangkat agar tidak mematikan prosesnya untuk mengoptimalkan konsumsi energi, mendapatkan akses ke notifikasi aplikasi, dan mengelola atau membalas pesan.

Kemudian aplikasi tersebut mulai memantau pemberitahuan WhatsApp baru untuk membalas otomatis semua pesan masuk menggunakan muatan teks khusus yang diterima dari server perintah dan kontrol dan dibuat oleh operatornya.

Check Point mengatakan bahwa balasan otomatis yang diamati dalam kampanye ini mengarahkan para korban ke situs Netflix palsu yang mencoba mengambil informasi identitas dan kartu kredit mereka.

Sumber: BleepingComputer

Sumber: Bleeping Computer

Bug macOS CVE-2019-8761

by Leave a Comment

Seorang peneliti keamanan, Paulos Yibelo, menemukan sebuah bug pada sistem operasi macOS yang dicatat sebagai CVE-2019-8761.

Bug ini memungkinkan penyerang mengeksekusi HTML di dalam file .TXT yang dapat mengakibatkan kebocoran data dan mencuri kredensial pengguna. Bug ini sudah diperbaiki pada pembaruan macOS Catalina 10.15.1.

Penelitian ini berawal ketika Paulos menyadari pembaca teks default di OSX, TextEdit digunakan untuk membuka file dengan ekstensi TXT secara default.

Paulos menggambarkan File TXT adalah vektor serangan yang sangat menarik, karena sifatnya yang polos yang tidak membawa apa-apa selain teks. File TXT juga diasumsikan oleh perangkat lunak anti-virus, firewall, dan bahkan Gatekeeper Mac sendiri sebagai unduhan aman yang tidak mungkin berbahaya, yang membuatnya semakin menarik.

Salah satu bug pertama yang ia temukan menggunakan ini menunjukkan bahwa Gatekeeper tidak mengarantina file TXT meskipun file tersebut diunduh dari situs web yang mencurigakan.

Baca temuan selengkapnya pada tautan berikut: Paulos Yibelo

Peretas Menggunakan Fitur OS Windows untuk Menghindari Firewall dan Mendapatkan Persisten Akses

by

Sebuah teknik baru yang diadopsi oleh penyerang menemukan cara untuk menggunakan Background Intelligent Transfer Service (BITS) Microsoft untuk menyebarkan muatan berbahaya pada mesin Windows secara diam-diam.

Pada tahun 2020, rumah sakit, komunitas pensiunan, dan pusat kesehatan menanggung beban kampanye phishing yang terus berubah yang mendistribusikan pintu belakang khusus seperti KEGTAP, yang pada akhirnya membuka jalan bagi serangan ransomware RYUK.

Tetapi penelitian baru oleh lengan forensik cyber Mandiant FireEye sekarang telah mengungkapkan mekanisme persistensi yang sebelumnya tidak diketahui yang menunjukkan musuh memanfaatkan BITS untuk meluncurkan pintu belakang.

Diperkenalkan di Windows XP, BITS adalah komponen Microsoft Windows, yang memanfaatkan bandwidth jaringan menganggur untuk memfasilitasi transfer file yang tidak sinkron antar mesin. Ini dicapai dengan membuat pekerjaan – wadah yang menyertakan file untuk diunduh atau diunggah.

BITS biasanya digunakan untuk mengirimkan pembaruan sistem operasi ke klien serta oleh pemindai antivirus Windows Defender untuk mengambil pembaruan tanda tangan malware. Selain produk Microsoft sendiri, layanan ini juga digunakan oleh aplikasi lain seperti Mozilla Firefox untuk memungkinkan pengunduhan berlanjut di latar belakang bahkan saat browser ditutup.

selengkapnya : thehackernews.com

Google Chrome untuk Linux mendapatkan DNS-over-HTTPS, tetapi ada maksud lain

by

Pengembang Google Chrome telah mengumumkan rencana untuk meluncurkan dukungan DNS-over-HTTPS (DoH) ke browser web Chrome untuk Linux.

Sementara versi pasti dari Chrome untuk Linux yang akan keluar dengan dukungan DoH belum diumumkan, proyek Chromium mengharapkan M91 atau M92 untuk memuat fitur tersebut.

DoH mengenkripsi lalu lintas DNS biasa melalui HTTPS dengan permintaan dan tanggapan DNS yang dikirim melalui port 443, membuat lalu lintas berbaur langsung dengan lalu lintas biasa ke situs web HTTPS.

Ini tidak hanya menyediakan enkripsi end-to-end kepada pengguna tetapi juga privasi yang diperpanjang, karena sekarang lalu lintas DNS mereka tidak dapat dengan mudah dicegat oleh administrator jaringan.

“Chrome tidak pernah mendukung DoH di Linux karena itu akan membutuhkan klien DNS bawaan Chrome, yang saat ini dinonaktifkan di Linux,” membaca dokumen desain untuk fitur yang akan datang ini.

Chrome selalu mendelegasikan resolusi host di Linux ke resolver DNS sistem operasi, kecuali dengan pengaturan kebijakan non-standar.

Selain itu, klien DNS bawaan browser web telah dibiarkan nonaktif pada implementasi Linux selama bertahun-tahun karena Chrome tidak menerima konfigurasi DNS Linux lanjutan melalui file Linux Name Configuration Switch (nsswitch.conf), jelas pengembang Chromium Eric Orth dalam dokumen tersebut.

Agar pemecah DNS bawaan Chrome berfungsi lancar dengan Linux, Chrome perlu membaca dan mengurai konfigurasi DNS Linux agar dapat menonaktifkan DoH pada konfigurasi yang tidak didukung.

Secara khusus, dukungan harus ada di dalamnya sehingga Chrome dapat menerima pengaturan konfigurasi resolusi host lanjutan yang ditentukan dalam file nsswitch.conf.

Jika tidak demikian, Chrome tidak akan beralih ke DoH atau menggunakan resolver DNS bawaan kecuali pengguna secara eksplisit memilih server DoH di setelan Chrome.

Selain itu, meskipun DoH membawa serta keamanan dan privasi tambahan untuk pengguna, ada beberapa peringatan kecil dengan implementasi DoH, apa pun platformnya.

Selengkapnya: Bleeping Computer