OS

Pesan Palsu Ke Ponsel Android Ini Mengarah Ke Malware Pencuri Data

July 20, 2020 by Winnie the Pooh

Suatu bentuk malware Android yang kuat yang dapat mencuri detail bank, informasi pribadi, komunikasi pribadi dan banyak lagi telah kembali dengan kampanye baru yang menyebar dengan sendirinya melalui serangan phishing SMS.

Para peneliti cybersecurity di Cybereason mengatakan bahwa ini adalah sebuah malware yang menggunakan teks “missed delivery” untuk mengecoh penerima yang tidak curiga.

Setelah melakukan penyelidikan, tim Cybereason menyimpulkan bahwa kampanye malware yang disebut FakeSpy ini berkaitan dengan ‘Roaming Mantis’, operasi aktor siber berbahasa Cina yang telah mengoperasikan kampanye serupa.

Malware FakeSpy telah aktif sejak 2017, awalnya menargetkan pengguna di Jepang dan Korea Selatan, namun sekarang ini menargetkan pengguna Android di seluruh dunia – dengan serangan yang dirancang khusus untuk memikat pengguna di Asia, Eropa dan Amerika Utara.

Menurut penelitian yang dilakukan oleh tim Cybereason, FakeSpy dapat mengeksfiltrasi dan mengirim pesan SMS, mencuri data keuangan, membaca informasi akun, dan daftar kontak. Pengguna diperdaya untuk mengklik pesan teks yang memberitahukan mereka tentang pengiriman yang terlewat, yang mengarahkan mereka pada sebuah website untuk mengunduh aplikasi Android berbahaya.

FakeSpy juga mengeksploitasi infeksi untuk menyebarkan dirinya, mengirim pesan phishing bertema pos ke semua kontak korban, menunjukkan ini bukan kampanye yang ditargetkan. Ini adalah operasi siber kriminal yang digerakkan secara finansial yang ingin menyebar sejauh dan seluas mungkin dengan tujuan menghasilkan uang sebanyak mungkin dari informasi bank curian dan kredensial pribadi lainnya.

Direktur senior Cybereason dan kepala riset ancaman Assaf Dahan mengatakan kepada ZDNet bahwa orang-orang harus curiga terhadap pesan SMS yang berisi tautan. “Jika mereka mengklik tautan,” kata Dahan, “mereka perlu memeriksa keaslian halaman web, mencari kesalahan ketik atau nama situs web yang salah, dan yang terpenting – hindari mengunduh aplikasi dari toko tidak resmi.”

Praktik-praktik ini dapat melindungi Anda dari mengunduh aplikasi jahat secara tidak sengaja, jatuh dalam serangan phishing, dan banyak lagi.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: BGR | ZDNet

Malware Android BlackRock Dapat Mencuri Kata Sandi Dan Data Kartu Dari 337 Aplikasi

July 17, 2020 by Winnie the Pooh

Dilansir dari ZDNet, sebuah jenis baru malware Android telah ditemukan yang dilengkapi dengan berbagai kemampuan pencurian data yang memungkinkannya menargetkan 337 aplikasi Android.

Dinamai BlackRock, ancaman baru ini muncul pada Mei tahun ini dan ditemukan oleh perusahaan keamanan seluler ThreatFabric.

Para peneliti mengatakan bahwa malware ini didasarkan pada kode sumber yang bocor dari strain malware lain (Xerxes, yang juga bersumber dari malware strain lain) tetapi ditingkatkan dengan fitur tambahan, terutama pada sisi yang berkaitan dengan pencurian kata sandi pengguna dan informasi kartu kredit.

BlackRock masih berfungsi seperti kebanyakan trojan perbankan Android, kecuali, ia menargetkan lebih banyak aplikasi daripada sebagian besar pendahulunya.

Trojan ini akan mencuri kredensial login (nama pengguna dan kata sandi), jika tersedia, tetapi juga meminta korban untuk memasukkan detail kartu pembayaran jika aplikasi mendukung transaksi keuangan.

Menurut ThreatFabric, pengumpulan data dilakukan melalui teknik yang disebut “overlay,” yaitu teknik yang terdiri dari pendeteksian saat pengguna mencoba berinteraksi dengan aplikasi yang sah dan memperlihatkan jendela palsu di atasnya yang dapat mengumpulkan detail login korban dan data kartu sebelum mengizinkan pengguna untuk memasuki aplikasi yang sah.

Daftar lengkap aplikasi yang ditargetkan dirinci dalam laporan BlackRock.

Setelah diinstal pada perangkat, aplikasi jahat yang tercemar dengan trojan BlackRock meminta pengguna untuk memberikannya akses ke fitur Aksesibilitas telepon.

Fitur Aksesibilitas Android adalah salah satu fitur sistem operasi yang paling kuat, karena dapat digunakan untuk mengotomatiskan tugas dan bahkan melakukan taps (klik) atas nama pengguna.

BlackRock menggunakan fitur Aksesibilitas untuk memberikan dirinya akses ke izin Android lainnya dan kemudian menggunakan DPC Android (pengontrol kebijakan perangkat, alias work profile) untuk memberikan sendiri akses admin ke perangkat.

Kemudian menggunakan akses ini untuk menampilkan overlay berbahaya, tetapi ThreatFabric mengatakan trojan juga dapat melakukan operasi mengganggu lainnya, seperti:

Menyadap pesan SMS
Melakukan SMS Floods
Melakukan Spam Kontak dengan SMS yang telah ditentukan
Memulai aplikasi tertentu
Menyimpan log key taps(fungsionalitas keylogger)
Menampilkan push notification yang telah dicustom
Menyabotase aplikasi antivirus seluler, dan banyak lagi

Saat ini, BlackRock didistribusikan dengan menyamar sebagai paket pembaruan Google palsu yang ditawarkan di situs pihak ketiga, dan trojan tersebut belum terlihat di Play Store resmi.

Sangat disarankan kepada seluruh pengguna Android untuk tidak mengunduh aplikasi Android di luar Google PlayStore dan tetap waspada sebelum mengunduh sesuatu, baik itu dari toko resmi Google atau tidak.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Varian Baru Malware Joker di Android

July 16, 2020 by Winnie the Pooh

Analis dari Check Point Research menemukan sejumlah aplikasi yang menggunakan apa yang peneliti deskripsikan sebagai varian baru dari malware Joker dan yang bersembunyi di Google Play Store dalam “aplikasi yang tampaknya sah.”

“Kami menemukan bahwa versi Joker yang diperbarui ini dapat mengunduh malware tambahan ke perangkat, yang membuat pengguna berlangganan ke layanan premium tanpa sepengetahuan atau persetujuan mereka,” tulis tim Check Point dalam ringkasan temuan mereka. Laporan itu memberikan nama paket untuk 11 aplikasi (salah satunya terdaftar dua kali), sehingga Anda dapat menggunakan ini untuk melihat apakah salah satu dari mereka mungkin ada di ponsel Anda tetapi dengan identitas yang berbeda:

com.imagecompress.android
com.contact.withme.texts
com.hmvoice.friendsms
com.relax.relaxation.androidsms
com.cheery.message.sendsms
com.cheery.message.sendsms
com.peason.lovinglovemessage
com.file.recovefiles
com.LPlocker.lockapps
com.remindme.alram
com.training.memorygame

Untuk membuat orang berlangganan ke layanan premium tanpa mereka sadari, malware Joker tampaknya menggunakan layanan Notification Listener aplikasi asli, serta file dex dinamis yang dimuat oleh server perintah dan kontrol untuk melakukan pendaftaran pengguna yang sebenarnya. Check Point mengatakan itu adalah teknik umum bagi pengembang malware PC Windows untuk mengaburkan “sidik jari” kode mereka dengan menyembunyikan file dex sambil tetap memastikannya dapat memuat.

Google telah menghapus aplikasi di atas dari Play Store, tetapi Aviran Hazum dari Check Point mengatakan kepada salah satu outlet berita bahwa malware Joker kemungkinan akan kembali lagi dalam beberapa bentuk. “Malware Joker sulit dideteksi, meskipun ada investasi Google dalam menambahkan perlindungan Play Store. Meskipun Google menghapus aplikasi jahat dari Play Store, kami sepenuhnya dapat beranggapan bahwa Joker bisa beradaptasi lagi.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: BGR | Check Point Research

Kerentanan Kritis ‘Wormable’ Pada Windows DNS

July 15, 2020 by Winnie the Pooh

Sebuah kerentanan yang berpotensi “wormable” – yang berarti serangan dapat menyebar dari satu mesin ke komputer lain tanpa interaksi manusia – telah ditemukan dalam implementasi protokol domain name system Microsoft, salah satu blok pembangun dasar internet.

Sebagai bagian dari pembaruan perangkat lunak Patch Tuesday, Microsoft telah merilis perbaikan untuk bug yang ditemukan oleh perusahaan keamanan Israel, Check Point, yang diberi nama SigRed. Bug SigRed mengeksploitasi Windows DNS, salah satu jenis perangkat lunak DNS paling populer yang menerjemahkan nama domain menjadi alamat IP.

Windows DNS berjalan di server DNS dari hampir semua organisasi kecil dan menengah di seluruh dunia. Bug ini, kata Check Point, telah ada dalam perangkat lunak itu selama 17 tahun.

Check Point dan Microsoft memperingatkan bahwa kerentanan itu sangat kritis, dan mempunyai nilai 10 dari 10 pada sistem penilaian kerentanan umum.

Tidak hanya bug yang dapat ditularkan (wormable), perangkat lunak Windows DNS sering berjalan pada server yang kuat yang dikenal sebagai domain controller yang menetapkan aturan untuk sebuah jaringan. Banyak dari mesin itu sangat sensitif; jika satu mesin terkompromi akan memungkinkan penetrasi lebih lanjut ke perangkat lain di dalam suatu organisasi.

Di atas semua itu, kata kepala peneliti kerentanan Check Point Omri Herscovici, bug Windows DNS ini dalam beberapa kasus dapat dieksploitasi tanpa tindakan dari pengguna target, menciptakan serangan yang tak terlihat dan kuat.

Check Point menemukan kerentanan SigRed di bagian Windows DNS yang menangani sepotong data tertentu yang merupakan bagian dari pertukaran kunci yang digunakan dalam versi DNS yang lebih aman yang dikenal sebagai DNSSEC. Sepotong data tersebut dapat dibuat secara khusus dan berbahaya sehingga Windows DNS dapat memberi izin kepada peretas untuk menimpa potongan memori yang tidak seharusnya mereka akses, yang pada akhirnya mereka mendapatkan eksekusi kode jarak jauh penuh pada server target.

Herscovici menunjukkan bahwa jika seorang peretas dapat memperoleh akses ke jaringan lokal dengan mengakses Wi-Fi perusahaan atau menghubungkan komputer ke LAN perusahaan, mereka dapat memicu pengambilalihan server DNS. Dan sangat memungkinkan untuk mengeksploitasi kerentanan ini hanya dengan menggunakan tautan dalam email phising: Menipu target dengan mengklik tautan itu dan browser mereka akan memulai pertukaran kunci yang sama pada server DNS yang akan memberikan kendali penuh kepada peretas.

Karena kerentanan SigRed telah ada di Windows DNS sejak 2003, hampir setiap versi perangkat lunak rentan terhadap celah keamanan ini. Microsoft dan peniliti Check Point menghimbau kepada seluruh IT Administrator untuk segera melakukan patching pada Mesin Windows di Organisasi masing-masing.

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Wired

Kerentanan Keamanan Baru Pada Zoom Memungkinkan Peretas Menargetkan PC Windows 7

July 13, 2020 by Winnie the Pooh

Celah baru telah ditemukan pada perangkat lunak konferensi video Zoom yang membuat pengguna Windows 7 dalam bahaya.

Para peneliti di perusahaan cybersecurity Slovenia, ACROS Security, telah mengungkapkan kerentanan yang sebelumnya tidak diketahui pada perangkat lunak Zoom. Kerentanan ini memungkinkan seorang penyerang untuk, dari jarak jauh, mengambil alih komputer korban yang menjalankan versi lama dari sistem operasi Microsoft Windows.

Kerentanan “zero-day” ini mempengaruhi perangkat lunak Zoom yang berjalan pada Windows 7, atau bahkan sistem operasi yang lebih lama.

ACROS Security mencatat bahwa siapa pun yang berhasil mengeksploitasi kerentanan ini dapat mengakses file di komputer yang rentan, dan bahkan mengambil alih seluruh perangkat.

Microsoft telah berusaha meyakinkan pengguna Windows 7 untuk meningkatkan ke versi perangkat lunak yang lebih baru dalam beberapa tahun terakhir, namun hanya sedikit yang mau melakukan peningkatan versi – meskipun mereka telah menawarkan upgrade gratis ke Windows 10.

Mereka juga mengungkapkan akan mengakhiri dukungan teknis untuk Windows 7 pada 15 Januari 2020 yang lalu, yang berarti tidak akan ada lagi patch dan pembaruan keamanan untuk Windows 7.

“Zoom menganggap serius semua laporan kerentanan keamanan yang potensial,” kata juru bicara Zoom dalam sebuah pernyataan. “Pagi ini kami menerima laporan tentang masalah yang berdampak pada pengguna yang menjalankan Windows 7 dan versi yang lebih lama. Kami telah mengkonfirmasi masalah ini dan saat ini sedang mengerjakan patch untuk menyelesaikan masalah ini dengan cepat.”

Masalah ini adalah yang terbaru dalam sejumlah kekhawatiran keamanan pada platform Zoom, yang telah meledak dalam popularitas pada tahun 2020 berkat booming kerja jarak jauh yang disebabkan oleh pandemi global.

Zoom telah merilis tambalan untuk klien Windows-nya untuk mengatasi kerentanan zero-day yang dijelaskan oleh ARCOS Security. Pembaruan dapat diunduh dari halaman pengunduhan klien Zoom. Versi yang ditambal adalah Zoom untuk Windows v5.1.3.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Tech Radar

Microsoft Mengungkapkan Perlindungan Terbaru Di Windows 10

July 13, 2020 by Winnie the Pooh

Microsoft siap untuk membawa fitur keamanan baru yang kuat ke Windows 10 yang mungkin menjadi game-changer.

Microsoft telah mengungkapkan bahwa fitur baru telah diluncurkan dalam Windows 10 Insider Build terbaru. Fitur itu adalah Kernel Data Protection (KDP).

Pada technical deep dive 8 Juli oleh Andrea Allievi dari Tim Security Kernel Core, Microsoft memperkenalkan apa yang disebutnya sebagai teknologi keamanan platform baru untuk mencegah adanya data yang rusak (corruption). KDP beroperasi dengan memungkinkan para pengembang untuk mengamankan bagian-bagian tertentu dari kernel dan driver Windows dalam mode read-only, melalui serangkaian antarmuka pemrograman aplikasi (API) dan dengan demikian menghentikan peretas dari memodifikasi memori yang dilindungi.

Intinya adalah bahwa ini akan memblokir para aktor ancaman yang biasanya mengandalkan metodologi data corruption untuk memfasilitasi serangan mereka. Serangan yang mungkin berusaha untuk meningkatkan hak istimewa, menginstal driver dan perangkat lunak berbahaya yang tidak ditandatangani (unsigned), dan banyak lagi. Peretas, aktor ancaman, mereka yang memiliki niat jahat; apa pun sebutan Anda untuk mereka, mereka telah bergerak menuju data corruption sebagai metode serangan favorit mereka baru-baru ini. Microsoft berusaha untuk menghentikan itu.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Forbes

Banking Trojan Cerberus Disebar Melalui Google Play

July 8, 2020 by Winnie the Pooh

Aplikasi Android berbahaya telah ditemukan di toko aplikasi Google Play yang mendistribusikan trojan perbankan, Cerberus. Aplikasi ini telah memiliki 10.000 unduhan.

Peneliti keamanan mengatakan bahwa trojan ini disebar melalui aplikasi konverter mata uang Spanyol bernama “Calculadora de Moneda”, yang telah tersedia untuk pengguna Android di Spanyol sejak Maret. Setelah dieksekusi, malware memiliki kemampuan untuk mencuri kredensial rekening bank korban dan memotong langkah-langkah keamanan, termasuk otentikasi dua faktor (2FA).

Ondrej David, Peneliti keamanan Avast, mengatakan dalam analisis nya “Yang tidak umum adalah trojan perbankan berhasil menyelinap ke Google Play Store.”

Pada beberapa minggu pertama saat tersedia di Google Play, Aplikasi ini bertindak secara normal sebagai konverter yang sah dan tidak mencuri data apa pun atau menyebabkan kerusakan apa pun. Pada pertengahan Juni, versi yang lebih baru dari konverter mata uang dirilis termasuk apa yang oleh peneliti keamanan disebut sebagai “kode dropper,” tetapi masih belum diaktifkan. Kemudian, pada 1 Juli, aplikasi melakukan tahap kedua di mana ia menjadi dropper.

Cerberus memiliki berbagai macam fungsi mata-mata dan pencurian kredensial. Trojan ini dapat duduk di atas aplikasi perbankan yang ada dan menunggu pengguna untuk login ke rekening bank mereka. Kemudian, trojan membuat lapisan baru di layar login korban, dan mencuri kredensial perbankan mereka. Selain itu, trojan memiliki kemampuan untuk mengakses pesan teks korban, artinya trojan dapat melihat kode otentikasi dua faktor (2FA) yang dikirim melalui pesan.

Para peneliti mengatakan bahwa server C2 dan muatan yang terkait dengan kampanye itu aktif hingga Senin pekan ini. Kemudian, pada Senin malam, server C2 menghilang dan konverter mata uang di Google Play tidak lagi berisi malware trojan.

David mengatakan bahwa pengguna Android dapat melindungi diri mereka sendiri dengan memperhatikan izin yang diminta aplikasi dan memeriksa peringkat pengguna suatu aplikasi. “Jika Anda merasa bahwa aplikasi tersebut meminta lebih dari yang dijanjikan, tandai ini sebagai red flags,” katanya.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Threat Post

Fitur Windows 10 Ini Dapat Digunakan Untuk Menyembunyikan Serangan Malware

July 5, 2020 by Winnie the Pooh

Para peneliti telah menemukan living-off-the-land binary baru (LOLBin) di Windows 10 yang dapat dieksploitasi untuk menyembunyikan serangan malware.

Banyak LOLBins hadir di Windows 10, yang semuanya mempunyai fungsi yang sah. Namun, dengan hak istimewa, peretas dapat menyalahgunakan binary ini untuk menerobos fasilitas keamanan dan melakukan serangan tanpa sepengetahuan korban.

LOLBin (desktopimgdownldr.exe) baru, yang ditemukan oleh perusahaan keamanan SentinelOne, biasanya bertanggung jawab atas tugas yang tidak berbahaya untuk mengatur desktop kustom dan penguncian layar latar belakang.

Ditemukan di folder system32 Windows 10, binary ini dilaporkan dapat digunakan sebagai “pengunduh tersembunyi” – sebuah alternatif untuk LOLBin certutil.exe yang telah dikenal luas.

Sementara binary secara tradisional akan menimpa gambar desktop yang ada (sehingga memberitahukan pengguna mengenai pengaktifannya), seorang hacker dapat menghindari ini dengan menghapus registri segera setelah menjalankan binery. Dengan cara ini, file jahat dapat dikirim ke sistem tanpa terdeteksi.

Meskipun binery dirancang untuk dijalankan hanya oleh pengguna yang memiliki hak istimewa, pengguna standar juga dapat menyalahgunakan fungsi tertentu untuk menjalankan LOLBin tanpa status administrator.

Lebih lanjut, ketika dipicu oleh pengguna standar, executable gagal mengubah gambar latar belakang (karena pengguna tidak memiliki otorisasi yang diperlukan), tidak meninggalkan artefak lain selain file yang diunduh.

Untuk mengurangi ancaman yang ditimbulkan, SentinelOne menyarankan para profesional keamanan memperbarui daftar pantauan mereka dan memperlakukan LOLBin yang baru ditemukan sebagaimana mereka akan menggunakan alternatif certutil.exe yang telah banyak dieksploitasi.

Berita selengkapnya dapat dibaca pada tautan di bawah:
Source: Tech Radar

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

OS

Cookies Settings