Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

Ekstensi berbahaya memungkinkan penyerang mengontrol Google Chrome dari jarak jauh

by

Botnet browser Cloud9 secara efektif merupakan trojan akses jarak jauh (RAT) untuk browser web Chromium, termasuk Google Chrome dan Microsoft Edge, yang memungkinkan pelaku ancaman untuk mengeksekusi perintah dari jarak jauh.

Ekstensi Chrome berbahaya diedarkan melalui saluran alternatif, seperti situs web yang mendorong pembaruan Adobe Flash Player palsu.

Ekstensi browser berbahaya di Chrome (Zimperium)

Menginfeksi browser Anda
Cloud9 adalah ekstensi browser berbahaya yang membuka pintu belakang browser Chromium untuk melakukan daftar ekstensif fungsi dan kemampuan berbahaya.

Ekstensi terdiri dari tiga file JavaScript untuk mengumpulkan informasi sistem, menambang cryptocurrency menggunakan sumber daya host, melakukan serangan DDoS, dan menyuntikkan skrip yang menjalankan eksploitasi browser.

Zimperium memperhatikan pemuatan eksploit untuk kerentanan CVE-2019-11708 dan CVE-2019-9810 di Firefox, CVE-2014-6332 dan CVE-2016-0189 untuk Internet Explorer, dan CVE-2016-7200 untuk Edge.

Kerentanan ini digunakan untuk menginstal dan mengeksekusi malware Windows secara otomatis di host, memungkinkan penyerang untuk melakukan kompromi sistem yang lebih signifikan.

Modul “clipper” juga hadir dalam ekstensi, terus memantau clipboard sistem untuk kata sandi atau kartu kredit yang disalin.


Komponen clipper Cloud9 (Zimperium)

Cloud9 juga dapat menyuntikkan iklan dengan memuat halaman web secara diam-diam untuk menghasilkan tayangan iklan dan, dengan demikian, pendapatan bagi operatornya.

Terakhir, malware dapat meminta daya tembak host untuk melakukan serangan DDoS layer 7 melalui permintaan HTTP POST ke domain target.

Operator dan target
Peretas di balik Cloud9 diyakini memiliki hubungan dengan grup malware Keksec karena domain C2 yang digunakan dalam kampanye baru-baru ini terlihat dalam serangan Keksec sebelumnya.

Keksec bertanggung jawab untuk mengembangkan dan menjalankan beberapa proyek botnet, termasuk EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Korban Cloud9 tersebar di seluruh dunia, dan tangkapan layar yang diposting oleh aktor ancaman di forum menunjukkan bahwa mereka menargetkan berbagai browser.

sumber : bleeping computer

Spyware SandStrike Baru Menginfeksi Perangkat Android Melalui Aplikasi VPN Berbahaya

by

Pelaku ancaman menggunakan spyware yang baru ditemukan yang dikenal sebagai SandStrike dan dikirimkan melalui aplikasi VPN berbahaya untuk menargetkan pengguna Android.

Mereka berfokus pada praktisi Baháʼí Faith yang berbahasa Persia, sebuah agama yang berkembang di Iran dan sebagian Timur Tengah.

Para penyerang mempromosikan aplikasi VPN berbahaya sebagai cara sederhana untuk menghindari penyensoran materi keagamaan di wilayah tertentu.

Untuk menyebarkannya, mereka menggunakan akun media sosial untuk mengarahkan calon korban ke saluran Telegram yang akan memberi mereka tautan untuk mengunduh dan menginstal VPN jebakan.

Malware ini akan mencuri berbagai jenis informasi seperti log panggilan dan daftar kontak dan juga akan memantau perangkat Android yang disusupi untuk membantu pembuatnya melacak aktivitas korban.

Pada bulan September, perusahaan juga berbagi analisis pada platform malware yang baru ditemukan bernama Metatron yang digunakan terhadap perusahaan telekomunikasi, penyedia layanan internet, dan universitas di seluruh Afrika dan Timur Tengah.

sumber : bleeping computer

eksploitasi bug windows untuk menginfeksi PC rumahan dengan ransomeware dikarenakan patch tidak resmi dikeluarkan untuk bug windows

by

Perusahaan siber security mengeluarkan patch untuk perbaikan program bug di windows yang microsoft belum perbaiki, dengan lubang ini terus di ekploitasi untuk menyebarkan ransomware.

Acros Security mengeluarkan binary patch kecil untuk menunjukan kekurangan fitur Mark-of-the-Web (MotW) milik Microsoft’s. fitur ini seharusnya digunakan untuk menandai bendara di meta data untuk files yang didapatkan dari internet, stik USB, dan sumber tidak terpercaya lainnya. Bendera ini memastikan bahwa bila file tersebut dibuka, perlindungan ekstra datang.

Terbukti bahwa untuk melewati fitur ini adalah hal yang memungkinkan, dan dengan files yang terunduh dari web tidak membawa bendera MotW, dan menghindar semua proteksi saat dibuka. Khususnya, penyerang yang bisa mencegah windows dari menaruh bendera MotW di file yang diekstrak dari arsip ZIP yang diperoleh dari sumber yang tidak tepercaya. Ini dapat dimanfaatkan oleh penjahat untuk memikat tanda agar membuka arsip ZIP, dan menjalankan perangkat lunak berbahaya di dalamnya tanpa merusak perlindungan keamanan yang diharapkan. Bug tersebut disorot beberapa bulan lalu oleh Will Dormann, analis kerentanan senior di Analygence.

Microsoft belum memperbaiki kesalahan ini. Pengamat IT Kevin Beaumont pada 10 Oktober mengatakan bug itu sekarang sedang dieksploitasi di alam liar. Acros mengeluarkan micropatch sekitar seminggu kemudian yang dapat diterapkan untuk menutup lubang ini sementara Anda menunggu Redmond untuk mengejar.

Sekarang Acros telah mengeluarkan patch baru yang mengatasi lubang keamanan MotW terkait di Windows yang lagi-lagi belum diperbaiki oleh Microsoft.

apa yang baru?
Korban diminta untuk mengambil arsip ZIP yang berisi file JavaScript yang menyamar sebagai antivirus atau pembaruan perangkat lunak Windows.

Skrip tersebut, ketika dijalankan, sebenarnya menyebarkan Magniber, jenis ransomware yang ditujukan untuk pengguna rumahan Windows. Ini mengacak dokumen dan dapat memeras sebanyak $ 2.500 dari korban untuk memulihkan data mereka, menurut Wolf Security.

Magniber tidak termasuk dalam kategori Big Game Hunting, itu masih dapat menyebabkan kerusakan yang signifikan,” tulis tim Wolf dalam laporannya,

analis malware HP Patrick Schlapfer mencatat bahwa JavaScript berbahaya di arsip Magniber ZIP memang membawa bendera MotW tetapi masih dijalankan tanpa peringatan SmartScreen yang muncul untuk menghentikan tindakan yang diminta atau memperingatkan pengguna agar tidak melanjutkan, seperti yang Anda harapkan untuk arsip yang diambil dari internet. Mitja Kolsek, CEO Acros, mengonfirmasi bahwa SmartScreen sedang dilewati oleh skrip Magniber.

SmartScreen Microsoft seharusnya, memblokir file berbahaya yang jelas atau memperingatkan pengguna jika file terlihat mencurigakan, tetapi konten arsip Magniber ZIP dapat mengesampingkan proses itu sepenuhnya.

“Ingat bahwa pada Windows 10 dan Windows 11, membuka file yang berpotensi berbahaya memicu pemeriksaan SmartScreen dari file tersebut, di mana SmartScreen menentukan apakah file tersebut jelas untuk diluncurkan atau pengguna harus diperingatkan tentang hal itu,” kata Kolsek.

Authenticode Microsoft adalah teknologi penandatanganan kode digital yang mengidentifikasi penerbit dan memverifikasi perangkat lunak tidak dirusak setelah ditandatangani dan dirilis. Dormann menemukan bahwa tanda tangan file skrip salah format hingga Windows

Pemeriksaan lebih lanjut oleh Acros Security menemukan bahwa kesalahan terjadi karena SmartScreen, ketika mencoba mengurai tanda tangan yang salah format, menghasilkan kesalahan, yang menyebabkan sistem operasi menjalankan program dan menginfeksi mesin tanpa memicu peringatan.

sumber : the register

Chrome akan memaksa Anda untuk meningkatkan dari Windows 7 pada tahun 2023

by

Siapa pun yang tertarik pada keamanan informasi tahu bahwa menjadi seaman mungkin berarti selalu memperbarui perangkat Anda.

Namun, ketika sistem operasi baru yang besar keluar, terkadang pengguna akhirnya menyeret kaki mereka sebelum memutakhirkan, apakah mereka khawatir bahwa OS baru mungkin memperkenalkan ketidakcocokan perangkat lunak, atau hanya memperlambatnya saat mereka mempelajari kembali alur kerja.

Chrome telah mengancam untuk meninggalkan pengguna Windows lama untuk sementara waktu sekarang, dan kami bertanya-tanya kapan Google akan menghentikan kompatibilitas Windows 7 sejak Microsoft mengakhiri dukungan arus utama pada tahun 2020. Minggu ini kami akhirnya mulai mempelajari bagaimana semuanya akan berakhir , dengan rilis Chrome 110 tahun depan.

Chrome tidak akan lagi mendukung Windows 7 atau Windows 8.1 setelah Chrome 110 dirilis, yang saat ini dijadwalkan stabil pada 7 Februari 2023. Sejak saat itu, Anda harus menjalankan setidaknya Windows 10 untuk mempertahankan akses ke versi baru .

Meskipun Google tidak akan melakukan apa pun untuk menghentikan pengguna platform lama untuk terus menginstal dan menjalankan rilis Chrome sebelumnya, mereka akan kehilangan peningkatan keamanan dan kegunaan penting terbaru.

Jika Anda masih merupakan orang yang menghindari Windows-10 pada saat ini, selamat atas tekad Anda, tetapi inilah saatnya untuk melanjutkan.

Sumber: Android Police

Windows Mark of the Web zero-day mendapat tambalan tidak resmi

by

0patch telah merilis tambalan tidak resmi gratis untuk mengatasi kelemahan zero-day yang dieksploitasi secara aktif dalam mekanisme keamanan Windows Mark of the Web (MotW).

Cacat ini memungkinkan penyerang untuk mencegah Windows menerapkan label (MotW) pada file yang diekstrak dari arsip ZIP yang diunduh dari Internet.

Windows secara otomatis menambahkan flag MotW ke semua dokumen dan executable yang diunduh dari sumber yang tidak dipercaya, termasuk file yang diekstrak dari arsip ZIP yang diunduh, menggunakan aliran data alternatif ‘Zone.Id’ khusus.

Label MotW ini memberi tahu Windows, Microsoft Office, browser web, dan aplikasi lain bahwa file harus diperlakukan dengan kecurigaan dan akan menyebabkan peringatan ditampilkan kepada pengguna bahwa membuka file dapat menyebabkan perilaku berbahaya, seperti malware yang diinstal pada perangkat.

Will Dormann, analis kerentanan senior di ANALYGENCE, yang pertama kali melihat arsip ZIP tidak menambahkan flag MoTW dengan benar, melaporkan masalah tersebut ke Microsoft pada bulan Juli.

Seperti yang dijelaskan oleh CEO ACROS Security dan salah satu pendiri layanan micropatch 0patch Mitja Kolsek, MotW adalah mekanisme keamanan Windows yang penting karena Kontrol Aplikasi Cerdas hanya akan bekerja pada file dengan bendera MotW dan Microsoft Office hanya akan memblokir makro pada dokumen yang ditandai dengan label MotW.

“Penyerang dapat mengirimkan file Word atau Excel dalam ZIP yang diunduh yang makronya tidak akan diblokir karena tidak adanya MOTW (bergantung pada pengaturan keamanan makro Office), atau akan lolos dari pemeriksaan oleh Kontrol Aplikasi Cerdas.”

Sejak zero-day dilaporkan ke Microsoft pada bulan Juli, telah terdeteksi sebagai dieksploitasi dalam serangan untuk mengirimkan file berbahaya pada sistem korban.

Sampai Microsoft merilis pembaruan resmi untuk mengatasi kekurangan tersebut, 0patch telah mengembangkan tambalan gratis untuk versi Windows yang terpengaruh berikut ini:

  • Windows 10 v1803 dan yang lebih baru
  • Windows 7 dengan atau tanpa ESU
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2008 R2 dengan atau tanpa ESU

Untuk menginstal micropatch pada perangkat Windows Anda, daftarkan akun 0patch dan instal agennya.

Mereka akan diterapkan secara otomatis setelah meluncurkan agen tanpa memerlukan sistem restart jika tidak ada kebijakan tambalan khusus untuk memblokirnya.

Selengkapnya: Bleeping Computer

Magniber ransomware sekarang menginfeksi pengguna Windows melalui file JavaScript

by

Kampanye jahat yang mengirimkan ransomware Magniber telah menargetkan pengguna rumahan Windows dengan pembaruan keamanan palsu.

Pelaku ancaman dibuat pada bulan September dengan situs web yang mempromosikan antivirus palsu dan pembaruan keamanan untuk Windows 10. File berbahaya yang diunduh (arsip ZIP) berisi JavaScript yang memulai infeksi rumit dengan malware enkripsi file.

Laporan dari Analis HP mencatat, operator ransomware Magniber menuntut pembayaran hingga $2.500 bagi pengguna rumahan untuk menerima alat dekripsi dan memulihkan file mereka. Ketegangan berfokus secara eksplisit pada Windows 10 dan Windows 11 build.

Windows build yang ditargetkan oleh Magniber (HP)

Pada April 2022, Magniber terlihat didistribusikan sebagai pembaruan Windows 10 melalui jaringan situs web jahat.

Pada bulan Januari, operatornya menggunakan pembaruan browser Chrome dan Edge untuk mendorong file paket aplikasi Windows (.APPX) yang berbahaya.

Dalam kampanye sebelumnya, pelaku ancaman menggunakan file MSI dan EXE. Untuk yang baru-baru ini aktif, itu beralih ke file JavaScript yang memiliki nama berikut:

  • SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
  • SYSTEM.Security.Database.Upgrade.Win10.0.jse
  • Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
  • ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js

File-file ini dikaburkan dan menggunakan variasi teknik “DotNetToJScript” untuk mengeksekusi file .NET di memori sistem, menurunkan risiko deteksi oleh produk antivirus yang tersedia di host.

File .NET menerjemahkan kode shell yang menggunakan pembungkusnya sendiri untuk membuat panggilan sistem tersembunyi, dan memasukkannya ke dalam proses baru sebelum mengakhiri prosesnya sendiri.

Shellcode menghapus file salinan bayangan melalui WMI dan menonaktifkan fitur pencadangan dan pemulihan melalui “bcdedit” dan “wbadmin.” Ini meningkatkan kemungkinan mendapatkan bayaran karena korban memiliki satu opsi lebih sedikit untuk memulihkan file mereka.

Untuk melakukan tindakan ini, Magniber menggunakan pintasan untuk fitur Kontrol Akun Pengguna (UAC) di Windows.

Itu bergantung pada mekanisme yang melibatkan pembuatan kunci registri baru yang memungkinkan menentukan perintah shell. Pada langkah selanjutnya, utilitas “fodhelper.exe” dijalankan untuk menjalankan skrip untuk menghapus salinan bayangan.

Setelah itu Magniber mengenkripsi file di host dan menjatuhkan catatan tebusan yang berisi instruksi bagi korban untuk memulihkan file mereka.

Rantai infeksi baru (HP) Magniber

Analis HP memperhatikan bahwa sementara Magniber mencoba membatasi enkripsi hanya untuk jenis file tertentu, pseudohash yang dihasilkannya selama pencacahan tidak sempurna, yang menghasilkan tabrakan hash dan “kerusakan jaminan”, yaitu, mengenkripsi jenis file yang tidak ditargetkan juga .

Pengguna rumahan dapat mempertahankan diri dari serangan ransomware dengan membuat cadangan reguler untuk file mereka dan menyimpannya di perangkat penyimpanan offline. Hal ini memungkinkan pemulihan data ke sistem operasi yang baru diinstal. Sebelum memulihkan data, pengguna harus memastikan bahwa cadangan mereka tidak terinfeksi.

Sumber: Bleeping Computer

Android dan Chrome mengambil langkah pertama menuju masa depan yang bebas sandi

by

Google membagikan kabar bahwa masa depan tanpa kata sandi baru yang berani sedang dalam perjalanan ke Android dan Chrome. Berkat kunci sandi yang ditandatangani secara kriptografis yang tersimpan di ponsel Anda, Anda akan dapat mengakses layanan favorit dengan aman dan mudah dan semuanya dimulai hari ini.

Inti dari konsep ini adalah gagasan tentang “kunci sandi” catatan digital yang menghubungkan informasi pribadi Anda dengan layanan tertentu, ditandatangani dengan aman melalui rantai kepercayaan, dan disimpan di perangkat seperti telepon Anda.

Dan seperti data lain yang Anda simpan dengan aman di ponsel, Anda dapat mengaksesnya dengan biometrik yang nyaman seperti sidik jari yang jauh lebih mudah dan lebih aman daripada mengetikkan kata sandi.

Android mendapatkan dukungan untuk kunci sandi melalui Pengelola Kata Sandi Google, yang akan membantunya tetap disinkronkan di seluruh perangkat keras Anda ini semua dienkripsi ujung ke ujung, dengan Google yang mengoordinasikan distribusi kunci sandi Anda, Android tidak dapat mengaksesnya dan menggunakannya untuk masuk ke akun Anda.

Dukungan awal sebagian besar dibangun untuk mengakses layanan web, dan selain menggunakan kunci sandi di ponsel Anda untuk merampingkan akses di seluler, Anda juga dapat menggunakannya untuk terhubung di desktop: Chrome di PC Anda dapat menampilkan kode QR untuk layanan, yang kemudian Anda pindai dengan telepon Anda, dan otorisasi kunci sandi. Selanjutnya, Google sedang berupaya memberikan akses pengembang ke API Android untuk dukungan kunci sandi asli, yang akan tiba sekitar akhir tahun ini.

Ada banyak pekerjaan yang harus dilakukan sebelum semua ini terasa mainstream: aplikasi dan situs web perlu diperbarui, pengelola kata sandi pihak ketiga harus bersiap untuk perubahan besar ini, dan pengguna harus dididik tentang interaksi baru ini.

Sumber: Android Police

Signal akan menghapus dukungan untuk SMS dan MMS di Android

by

Aplikasi pesan pihak ketiga Signal diatur untuk menghapus kemampuan mengirim pesan SMS dan MMS dari aplikasi Android untuk meningkatkan privasi dan keamanan.

Dalam sebuah posting blog, perusahaan perpesanan telah mengkonfirmasi bahwa Signal akan segera menghapus kemampuan untuk mengirim pesan SMS dan MMS dari aplikasi Android. Pernyataan itu menunjukkan bahwa “dukungan SMS tidak lagi masuk akal,” tetapi alasan keputusan ini telah sepenuhnya dirinci di seluruh posting ekstensif.

Untuk mengaktifkan pengalaman Signal yang lebih efisien, kami mulai menghentikan dukungan SMS dari aplikasi Android. Anda akan memiliki beberapa bulan untuk beralih dari SMS di Signal, mengekspor pesan SMS Anda ke aplikasi lain, dan memberi tahu orang yang Anda ajak bicara bahwa mereka mungkin ingin beralih ke Signal, atau mencari saluran lain jika tidak.

Alasan utama penghapusan dukungan SMS adalah sifat protokol yang tidak aman. Signal menyatakan bahwa SMS “tidak konsisten” dengan “nilai” dan apa yang diharapkan pengguna dari platform. Pelanggaran data telekomunikasi juga disebut sebagai alasan lain bahwa perubahan ini akan datang, meskipun ada kemungkinan komplikasi bagi pengguna.

Komplikasi penyatuan SMS dan pesan Sinyal asli tampaknya menjadi alasan lain untuk penghapusan tersebut. Di wilayah tertentu, pengguna kebingungan dalam mengirim pesan dan mengakibatkan salah mengirim pesan SMS berbiaya tinggi daripada komunikasi asli ke kontak.

Dengan menghapus dukungan tersebut, pengguna tidak lagi bingung ketika mengirim pesan. Ini berlaku untuk banyak sistem perpesanan lain seperti Telegram dan WhatsApp, yang tidak memiliki fungsi SMS atau MMS, sebaliknya, konten multimedia dan teks dikirim menggunakan protokol aplikasi asli.

Jika Anda ingin menonaktifkan fungsi itu sekarang, Anda dapat memeriksanya dengan menuju ke Sinyal > Akun > Pilih Obrolan > SMS/MMS. Jika SMS diaktifkan, Anda mungkin perlu mengekspor ke aplikasi lain.

Untungnya, Signal akan mulai mengirim pemberitahuan dan petunjuk untuk beralih bagi siapa saja yang menggunakan messenger selama beberapa minggu mendatang.

Sumber: 9to5google