Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

Hindari 3 Aplikasi Scammy ini yang Masih Terdaftar di Play Store (20 Juta+ pemasangan)

by

Menurut perusahaan perangkat lunak Dr.Web, kategori baru aplikasi pelacakan aktivitas telah muncul di Google Play Store dan menghasilkan lebih dari 20 juta unduhan. Mereka menyebut dirinya sebagai pelacak kesehatan dan pedometer yang memberi Anda insentif untuk menjadi bugar dengan menjanjikan pembayaran hadiah uang tunai kepada mereka yang mencapai tujuan tertentu.

Jangan Instal 3 Aplikasi Ini
Laporan dari Dr.Web menunjukkan bahwa hadiah ini seringkali tidak mungkin diterima karena pengguna harus mengumpulkan hadiah dalam jumlah besar sebelum dipaksa untuk menonton lusinan iklan untuk mendapatkan uang tunai.

Setelah menonton semua iklan tersebut, pengguna disarankan menonton lebih banyak lagi untuk mempercepat proses hadiah.

Aplikasi tidak memverifikasi data terkait pembayaran apa pun yang disediakan oleh pengguna, sehingga kemungkinan menerima uang yang dijanjikan dari aplikasi ini sangat kecil.

Aplikasi tersebut masih ada dalam Google Play Store, yaitu Lucky Step, WalkingJoy, dan Lucky Habit.

Lucky Step, WalkingJoy, dan Lucky Habit
Jangan instal ketiga aplikasi ini di perangkat Android Anda

Ketiga aplikasi itu terhubung dengan server perintah & kontrol yang sama, dan biasanya digunakan oleh penyerang untuk mengirim petunjuk arah ke sistem yang terinfeksi malware. Developer curang ini menghasilkan uang saat Anda melihat iklan mereka.

Satu Hal yang Dapat Anda Lakukan untuk Melindungi Diri dari Penginstalan Aplikasi Berbahaya
Baca bagian komentar sebelum menginstal aplikasi dari pengembang yang tidak Anda kenal, bahkan jika aplikasi tersebut terdaftar di Play Store. Disitulah terdapat bendera merah yang dapat memperingatkan untuk menjauh dari aplikasi tertentu.

Satu lagi Aplikasi Berbahaya
Laporan Dr.Web menyebutkan aplikasi kebugaran FitStar yang membuat rencana penurunan berat badan khusus seharga 29 rubel (setara dengan 41 sen AS). Namun, yang tidak diketahui oleh mereka yang berlangganan adalah bahwa program yang mereka daftarkan hanya berlaku satu hari. Di akhir uji coba, pelanggan secara otomatis mendaftar untuk layanan empat hari dengan tambahan 980 rubel (setara dengan $13,86). Aplikasi ini juga masih terdaftar di Google Play Store.

Selengkapnya: PHONE ARENA

Eksploitasi Dirilis untuk Bug Spoofing Windows CryptoAPI yang Kritis

by

Proof of concept exploit telah dirilis oleh peneliti Akamai untuk vulnerable kritis Windows CryptoAPI yang ditemukan oleh NSA dan NCSC Inggris yang memungkinkan spoofing sertifikat tabrakan MD5.

“Kami telah mencari aplikasi di alam liar yang menggunakan CryptoAPI dengan cara yang rentan terhadap serangan spoofing ini. Sejauh ini, kami menemukan bahwa Chrome versi lama (v48 dan sebelumnya) dan aplikasi berbasis Chromium dapat dieksploitasi,” para peneliti dikatakan.

“Kami percaya ada target yang lebih rentan di alam liar dan penelitian kami masih berlangsung. Kami menemukan bahwa kurang dari 1% perangkat yang terlihat di pusat data telah ditambal, membuat sisanya tidak terlindungi dari eksploitasi vulnerable ini.”

Dengan mengeksploitasi vulnerable ini, penyerang dapat memengaruhi validasi kepercayaan untuk koneksi HTTPS dan menandatangani kode, file, atau email yang dapat dieksekusi.

Akibatnya, target tidak akan memiliki indikasi bahwa file tersebut benar-benar berbahaya, mengingat tanda tangan digital tampaknya berasal dari penyedia yang memiliki reputasi dan dapat dipercaya.

NSA melaporkan cacat spoofing Windows CryptoAPI lainnya (CVE-2020-0601) dua tahun lalu, dengan cakupan yang jauh lebih luas dan memengaruhi target yang berpotensi lebih rentan.

Kode eksploitasi PoC untuk vulnerable, yang sekarang dikenal sebagai CurveBall, dirilis dalam waktu 24 jam oleh pakaian keamanan siber Swiss Kudelski Security dan peneliti keamanan Oliver Lyak.

Pada saat itu, CISA memerintahkan badan-badan federal untuk menambal semua titik akhir yang terkena dampak dalam waktu sepuluh hari kerja sesuai Petunjuk Darurat yang kedua kalinya.

sumber : bleepingcomputer

Apple Menghadapi Gugatan Gugatan Kelompok Ketiga Atas Pengumpulan Data Setelah Cerita Gizmodo

by

Sekarang Apple menghadapi gugatan class action ketiga atas masalah tersebut, kali ini di New York, menandai tindakan hukum ketiga terhadap perusahaan atas dilema data ini. Kasus ini e=meminta gantu rugi sebesar $5 juta.

Namun sejauh ini, perusahaan tersebut menolak untuk membela diri terhadap Gizmodo, atau outlet media lainnya. Kami telah bertanya kepada Apple tentang masalah tersebut pada enam kesempatan terpisah sejak Gizmodo secara eksklusif melaporkan masalah tersebut November lalu. Apple tidak menanggapi, dan masih belum mengatakan apa pun secara terbuka tentang masalah tersebut.

Pengaturan privasi iPhone Analytics mengatakan bahwa itu akan “menonaktifkan berbagi Analisis Perangkat sama sekali” saat Anda mematikannya. Kebijakan privasi analitik Apple mengatakan bahwa “tidak ada informasi yang dikumpulkan yang mengidentifikasi Anda secara pribadi.” Tetapi ketika peneliti dari perusahaan pengembangan perangkat lunak Mysk menguji klaim tersebut, mereka menemukan bahwa keduanya tidak benar.

Terlepas dari klaim Apple bahwa informasi tersebut tidak dapat diidentifikasi, data tersebut dikirimkan dengan nomor ID permanen yang terkait dengan akun iCloud, yang menautkan data ke nama, alamat email, dan nomor telepon Anda.

Belum lagi kampanye iklan privasi ucapan selamat diri Apple selama bertahun-tahun. Perusahaan telah menghiasi papan reklame raksasa di seluruh negeri dengan frasa bernas seperti “iPhone Anda tahu banyak tentang Anda. Tapi kami tidak.” Menurut trio tuntutan hukum, bukan itu masalahnya.

sumber : gizmodo

Kinsing Malware Menargetkan Kubernetes

by

Malware Kinsing telah lama diketahui oleh administrator Linux, dan, sekarang — mengejutkan! — ini juga datang setelah Kubernetes.

Kinsing adalah program malware Linux/Unix Executable and Link format (ELF) jadul, yang ditulis dalam Go. Diberi kesempatan, itu menjalankan cryptominer dan mencoba menyebarkan dirinya ke wadah dan host lain.

Selama bertahun-tahun, itu telah digunakan dalam serangan terhadap Docker, Redis, dan SaltStack. Dan, sekarang, sekarang, peretas Kinsing mengejar Kubernetes. Saya kaget, kaget saat mengetahui bahwa cryptomining sedang terjadi di Kubernetes!

Sunders Bruskin, Microsoft Defender untuk peneliti keamanan Cloud, melaporkan tentang bagaimana sekarang sering menargetkan kluster Kubernetes menggunakan dua teknik vektor akses awal yang berbeda. Ini adalah eksploitasi wadah PostgreSQL yang dikonfigurasi dengan lemah dan gambar yang rentan.

Selengkapnya: Linux Security

Implan Linux Canggih Ditemukan Mengompromikan Perangkat Keamanan Jaringan Fortinet

by

Minggu ini, perusahaan merilis detail lebih lanjut tentang implan malware canggih yang disebarkan oleh penyerang melalui celah tersebut.

Kerentanan, dilacak sebagai CVE-2022-42475, berada dalam fungsionalitas SSL-VPN FortiOS dan dapat dieksploitasi oleh penyerang jarak jauh tanpa autentikasi.

Fortinet memberi peringkat kerentanan 9,3 (Kritis) pada skala CVSS dan merilis pembaruan untuk varian utama FortiOS, FortiOS-6K7K, dan FortiProxy, produk gerbang web aman perusahaan.

Analis tidak dapat memulihkan semua file dari alat yang disusupi yang mereka analisis, sehingga rantai serangan penuh tidak diketahui. Namun, mereka menemukan file bernama wxd.conf yang isinya mirip dengan file konfigurasi untuk reverse proxy open-source yang dapat digunakan untuk mengekspos sistem di belakang NAT ke internet.

Analisis penangkapan paket jaringan dari alat menyarankan malware menghubungkan dua server eksternal yang dikendalikan penyerang untuk mengunduh muatan tambahan dan perintah untuk dieksekusi.

Fortinet juga telah merilis tanda tangan IPS (sistem pencegahan intrusi) untuk mendeteksi upaya eksploit, serta aturan deteksi untuk implan yang dikenal di mesin antivirusnya.

sumber : paulponraj

Peretas StrongPity Mendistribusikan Aplikasi Telegram yang Di-Trojan untuk Menargetkan Pengguna Android

by

Grup ancaman persisten tingkat lanjut (APT) yang dikenal sebagai StrongPity telah menargetkan pengguna Android dengan versi trojan dari aplikasi Telegram melalui situs web palsu yang menyamar sebagai layanan obrolan video bernama Shagle.

“Situs peniru, meniru layanan Shagle, digunakan untuk mendistribusikan aplikasi backdoor seluler StrongPity,” peneliti malware ESET. StrongPity, juga dikenal dengan nama APT-C-41 dan Promethium, adalah kelompok cyberespionage yang aktif setidaknya sejak tahun 2012, dengan mayoritas operasinya berfokus pada Suriah dan Turki. Keberadaan grup tersebut pertama kali dilaporkan ke publik oleh Kaspersky pada Oktober 2016.

StrongPity diamati menyebarkan malware Android untuk pertama kalinya dengan kemungkinan membobol portal e-government Suriah dan mengganti file APK Android resmi dengan mitra nakal.

Temuan terbaru dari ESET menyoroti modus operandi serupa yang dirancang untuk mendistribusikan versi terbaru dari muatan pintu belakang Android, yang dilengkapi untuk merekam panggilan telepon, melacak lokasi perangkat, dan mengumpulkan pesan SMS, log panggilan, daftar kontak, dan file.

Perusahaan cybersecurity Slovakia menggambarkan implan sebagai modular dan mampu mengunduh komponen tambahan dari server perintah-dan-kontrol (C2) jarak jauh untuk mengakomodasi tujuan kampanye StrongPity yang terus berkembang.

Juga tidak ada bukti (“video.apk”) bahwa aplikasi tersebut dipublikasikan di Google Play Store resmi. Saat ini tidak diketahui bagaimana calon korban dibujuk ke situs web palsu, dan apakah itu memerlukan teknik seperti rekayasa sosial, peracunan mesin pencari, atau iklan penipuan.

Aspek penting lainnya dari serangan itu adalah bahwa versi Telegram yang dirusak menggunakan nama paket yang sama dengan aplikasi Telegram asli, yang berarti varian backdoor tidak dapat diinstal pada perangkat yang sudah menginstal Telegram.

sumber : thehackernews

Infeksi Malware Android SpyNote Melonjak Setelah Source Code Leak

by

SpyNote (atau SpyMax) tiba-tiba mengalami peningkatan deteksi pada kuartal terakhir tahun 2022, yang dikaitkan dengan kebocoran kode sumber dari salah satu yang terbaru, yang dikenal sebagai ‘CypherRat.’

‘CypherRat’ menggabungkan kemampuan memata-matai SpyNote, seperti menawarkan akses jarak jauh, pelacakan GPS, dan pembaruan status dan aktivitas perangkat, dengan fitur trojan perbankan yang menyamar sebagai lembaga perbankan untuk mencuri kredensial akun.

Pelaku ancaman dengan cepat mengambil kode sumber malware dan meluncurkan kampanye mereka sendiri. Hampir seketika, varian khusus muncul yang menargetkan bank terkemuka seperti HSBC dan Deutsche Bank.

Beberapa bank yang ditargetkan oleh SpyNote (ThreatFabric)

Aktivitas ini diamati oleh analis ThreatFabric, yang memperingatkan tentang kemungkinan CypherRat menjadi ancaman yang lebih meluas.

Fitur malware SpyNote
Semua varian SpyNote yang beredar bergantung pada permintaan akses ke Layanan Aksesibilitas Android untuk diizinkan menginstal aplikasi baru, mencegat pesan SMS (untuk bypass 2FA), mengintai panggilan, dan merekam video dan audio di perangkat.

Aplikasi berbahaya meminta akses ke Layanan Aksesibilitas (ThreatFabric)

ThreatFabric mencantumkan yang berikut ini sebagai fitur “menonjol”:

Gunakan Camera API untuk merekam dan mengirim video dari perangkat ke server C2

  • GPS dan informasi pelacakan lokasi jaringan
  • Mencuri kredensial akun Facebook dan Google.
  • Gunakan Aksesibilitas (A11y) untuk mengekstrak kode dari Google Authenticator.
  • Gunakan keylogging didukung oleh layanan Aksesibilitas untuk mencuri kredensial perbankan.
  • Untuk menyembunyikan kode jahatnya dari pengawasan, versi terbaru SpyNote menggunakan pengaburan string dan menggunakan pengemas komersial untuk membungkus APK.

Selain itu, semua informasi yang diambil dari SpyNote ke server C2-nya disamarkan menggunakan base64 untuk menyembunyikan host.

Pelaku ancaman saat ini menggunakan CypherRat sebagai trojan perbankan, tetapi malware tersebut juga dapat digunakan sebagai spyware dalam operasi spionase bertarget volume rendah.

pengguna disarankan untuk sangat berhati-hati selama penginstalan aplikasi baru, terutama jika berasal dari luar Google Play, dan menolak permintaan untuk memberikan izin untuk mengakses Layanan Aksesibilitas.

Sayangnya, meskipun Google berupaya terus-menerus untuk menghentikan penyalahgunaan API Layanan Aksesibilitas oleh malware Android, masih ada cara untuk melewati batasan yang diberlakukan.

sumber : bleepingcomputer

Malware Linux Baru Menggunakan 30 Eksploitasi Plugin ke Situs WordPress Backdoor

by

Malware Linux yang sebelumnya tidak dikenal telah mengeksploitasi 30 kerentanan di beberapa plugin dan tema WordPress yang sudah ketinggalan zaman untuk menyuntikkan JavaScript berbahaya.

Menurut sebuah laporan oleh vendor antivirus Dr.Web, malware tersebut menargetkan sistem Linux 32-bit dan 64-bit, memberikan kemampuan perintah jarak jauh kepada operatornya.

Fungsi utama trojan adalah meretas situs WordPress menggunakan serangkaian eksploit hardcode yang dijalankan secara berurutan, hingga salah satunya berfungsi.

Plugin dan tema yang ditargetkan adalah sebagai berikut:

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Faceboor Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid

If the targeted website runs an outdated and vulnerable version of any of the above, the malware automatically fetches malicious JavaScript from its command and control (C2) server, and injects the script into the website site.

Injected redirection code (Dr. Web)

These redirections may serve in phishing, malware distribution, and malvertising campaigns to help evade detection and blocking. That said, the operators of the auto-injector might be selling their services to other cybercriminals.

An updated version of the payload that Dr. Web observed in the wild also targets the following WordPress add-ons:

  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

Dr.Web juga menyebutkan bahwa kedua varian berisi fungsionalitas yang saat ini tidak aktif, yang memungkinkan serangan brute-forcing terhadap akun administrator situs web.

Mempertahankan ancaman ini mengharuskan admin situs WordPress untuk memperbarui tema dan plugin yang berjalan di situs ke versi terbaru yang tersedia dan mengganti yang tidak lagi dikembangkan dengan alternatif yang didukung.

sumber : BleepingComputer