OS

Aplikasi File Android Menginfeksi Ribuan Orang dengan Malware Sharkbot

November 23, 2022 by Coffee Bean

Kumpulan baru aplikasi Android berbahaya yang berpura-pura sebagai pengelola file yang tidak berbahaya telah menyusup ke toko aplikasi resmi Google Play, menginfeksi pengguna dengan trojan perbankan Sharkbot.

Aplikasi tidak membawa muatan berbahaya saat penginstalan untuk menghindari deteksi saat dikirimkan di Google Play, tetapi mengambilnya nanti dari sumber daya jarak jauh.

Karena aplikasi trojan adalah pengelola file, kecil kemungkinannya menimbulkan kecurigaan saat meminta izin berbahaya untuk memuat malware Sharkbot.

Pengelola File Palsu Menginfeksi Android
Sharkbot adalah malware berbahaya yang mencoba mencuri rekening bank online dengan menampilkan formulir login palsu melalui permintaan login yang sah di aplikasi perbankan. Saat pengguna mencoba masuk ke bank mereka menggunakan salah satu formulir palsu ini, kredensial dicuri dan dikirim ke pelaku ancaman.

Dalam laporan baru oleh Bitdefender, analis menemukan aplikasi trojan Android baru yang menyamar sebagai pengelola file dan melaporkannya ke Google. Semuanya telah dihapus dari Google Play Store.

X-File Manager di Google Play (Bitdefender)

Aplikasi ini melakukan pemeriksaan anti-emulasi untuk menghindari deteksi dan hanya akan memuat Sharkbot di SIM Britania Raya atau Italia, jadi ini adalah bagian dari kampanye yang ditargetkan.

Daftar aplikasi bank seluler yang ditargetkan oleh malware ditampilkan di bawah, tetapi seperti yang dicatat Bitdefender, pelaku ancaman dapat memperbarui daftar ini dari jarak jauh kapan saja.

Bank yang ditargetkan oleh kampanye Sharkbot ini (Bitdefender)

Aplikasi jahat meminta pengguna untuk memberikan izin berisiko seperti membaca dan menulis penyimpanan eksternal, menginstal paket baru, mengakses detail akun, menghapus paket (untuk menghapus jejak), dll.

Sharkbot diambil sebagai pembaruan program palsu, yang diminta X-File Manager untuk disetujui pengguna sebelum menginstal.

Aplikasi jahat kedua yang memasang trojan perbankan adalah ‘FileVoyager’ oleh Julia Soft Io LLC (com.potsepko9.FileManagerApp), diunduh 5.000 kali melalui Google Play.

FileVoyager menampilkan pola operasional yang sama dengan X-File Manager dan menargetkan lembaga keuangan yang sama di Italia dan Inggris.

Aplikasi pemuatan Sharkbot lain yang ditemukan oleh Bitdefender adalah ‘LiteCleaner M’ (com.ltdevelopergroups.litecleaner.m), yang mengumpulkan 1.000 unduhan sebelum ditemukan dan dihapus dari Play Store.

sumber : bleeping computer

Serangan baru menggunakan keamanan Windows melewati zero-day untuk menjatuhkan malware

November 20, 2022 by Søren

Serangan phishing baru menggunakan kerentanan Windows zero-day untuk menjatuhkan malware Qbot tanpa menampilkan peringatan keamanan Mark of the Web.

Saat file diunduh dari lokasi jauh yang tidak tepercaya, seperti Internet atau lampiran email, Windows menambahkan atribut khusus ke file yang disebut Mark of the Web.

Mark of the Web (MoTW) ini adalah aliran data alternatif yang berisi informasi tentang file, seperti zona keamanan URL asal file, perujuknya, dan URL unduhannya.

Saat pengguna mencoba membuka file dengan atribut MoTW, Windows akan menampilkan peringatan keamanan yang menanyakan apakah mereka yakin ingin membuka file tersebut.

“Sementara file dari Internet dapat bermanfaat, jenis file ini berpotensi membahayakan komputer Anda. Jika Anda tidak mempercayai sumbernya, jangan buka perangkat lunak ini,” bunyi peringatan dari Windows.

Bulan lalu, tim intelijen ancaman HP melaporkan bahwa serangan phishing mendistribusikan ransomware Magniber menggunakan file JavaScript.

File JavaScript ini tidak sama dengan yang digunakan di situs web tetapi merupakan file mandiri dengan ekstensi ‘.JS’ yang dijalankan menggunakan Windows Script Host (wscript.exe).

Setelah menganalisis file, Will Dormann, analis kerentanan senior di ANALYGENCE, menemukan bahwa pelaku ancaman menggunakan kerentanan zero-day Windows baru yang mencegah peringatan keamanan Mark of the Web ditampilkan.

Untuk mengeksploitasi kerentanan ini, file JS (atau jenis file lainnya) dapat ditandatangani menggunakan blok tanda tangan yang disandikan base64 tertanam, seperti yang dijelaskan dalam artikel dukungan Microsoft ini.

Selengkapnya: Bleeping Computer

QBot Phishing Menyalahgunakan Windows untuk Menginfeksi Perangkat

November 18, 2022 by Coffee Bean

Pembajakan DLL adalah metode serangan umum yang memanfaatkan cara Dynamic Link Libraries (DLL) dimuat di Windows.

Ketika Windows executable diluncurkan, itu akan mencari semua dependensi DLL di jalur pencarian Windows. Namun, jika pelaku ancaman membuat DLL berbahaya menggunakan nama yang sama dengan salah satu DLL yang diperlukan program dan menyimpannya di folder yang sama dengan file yang dapat dieksekusi, program akan memuat DLL berbahaya tersebut dan menginfeksi komputer.

QBot, juga dikenal sebagai Qakbot, adalah malware Windows yang dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware berfitur lengkap. Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, juga menggunakan malware untuk mendapatkan akses awal ke jaringan perusahaan.

Menyalahgunakan Panel Kontrol Windows
Dalam kampanye phishing yang dilihat oleh ProxyLife, pelaku ancaman menggunakan email berantai balasan yang dicuri untuk mendistribusikan lampiran file HTML yang mengunduh arsip ZIP yang dilindungi kata sandi dengan file ISO di dalamnya.

Email phishing QBot dalam kampanye baru
Sumber: BleepingComputer

File HTML, bernama mirip dengan ‘RNP_[angka]_[angka].html, menampilkan gambar yang berpura-pura menjadi Google Drive dan kata sandi untuk arsip ZIP yang diunduh secara otomatis, seperti yang ditunjukkan di bawah ini.

Pintasan Windows (.LNK) yang disertakan dalam ISO menggunakan ikon yang mencoba membuatnya terlihat seperti folder. Namun, ketika pengguna mencoba untuk membuka folder palsu ini, pintasan meluncurkan Panel Kontrol Windows 10 yang dapat dieksekusi, control.exe, yang disimpan dalam file ISO, seperti yang ditunjukkan di bawah ini.

Karena pelaku ancaman membundel DLL edputil.dll berbahaya di folder yang sama dengan control.exe, DLL berbahaya tersebut akan dimuat sebagai gantinya.

Setelah dimuat, DLL edputil.dll berbahaya menginfeksi perangkat dengan malware QBot (msoffice32.dll) menggunakan perintah regsvr32.exe msoffice32.dll.

Dengan menginstal QBot melalui program tepercaya seperti Panel Kontrol Windows 10, perangkat lunak keamanan mungkin tidak menandai malware sebagai berbahaya, memungkinkannya menghindari deteksi.

QBot sekarang akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing dan mengunduh muatan tambahan seperti Brute Ratel atau Cobalt Strike.

sumber : bleeping computer

Alat Android Anti-Pelacakan DuckDuckGo Bisa “bahkan lebih kuat” daripada iOS

November 17, 2022 by Coffee Bean Leave a Comment

DuckDuckGo memposisikan Perlindungan Pelacakan Aplikasi sebagai sesuatu seperti Transparansi Pelacakan Aplikasi Apple untuk perangkat iOS, tetapi “bahkan lebih kuat”. Mengaktifkan layanan di aplikasi DuckDuckGo untuk Android (di bawah bagian “Lainnya dari DuckDuckGo”) menginstal layanan VPN lokal di ponsel Anda, yang kemudian dapat mulai memblokir pelacak secara otomatis di DDG’s

Google baru-baru ini memberi pengguna Android beberapa alat asli untuk mencegah pelacakan nakal, termasuk persetujuan pelacakan lokasi aplikasi demi aplikasi dan penyisihan pelacakan iklan asli terbatas.

Technica that App Tracking Protection, Saat mengenali pelacak dari daftar blokirnya, “melihat ke domain tujuan untuk setiap permintaan keluar dan memblokirnya jika mereka ada di daftar blokir kami dan aplikasi yang meminta tidak dimiliki oleh perusahaan yang sama yang memiliki domain.”

Perlindungan Pelacakan Aplikasi diluncurkan setahun yang lalu dalam versi beta terbatas. Sejak itu, DuckDuckGo telah memperbarui aplikasi untuk menunjukkan kepada Anda lebih banyak informasi tentang jenis pelacak data apa yang coba dikumpulkan— “seperti lokasi tepat Anda, usia, dan sidik jari digital ponsel Anda.” Melalui pengujiannya, DuckDuckGo telah melihat bahwa ponsel Android dengan 35 aplikasi dapat melihat 1.000–2.000 upaya pelacakan setiap hari, mengirimkan data ke lebih dari 70 perusahaan.

sumber : ars technica

Microsoft Memperingatkan Fitur Konektivitas Jarak Jauh Direct Access.

November 16, 2022 by Coffee Bean

Microsoft terus memperbaiki masalah yang muncul setelah pengguna menginstal pembaruan terbaru untuk Windows 10 dan 11 – termasuk yang menyebabkan masalah dengan fitur konektivitas jarak jauh Direct Access.

Akses Langsung memungkinkan pekerja jarak jauh untuk terhubung ke sumber daya di jaringan perusahaan tanpa menggunakan koneksi VPN tradisional. Ini dirancang untuk memastikan bahwa klien jarak jauh selalu terhubung tanpa harus memulai dan menghentikan koneksi. Administrator TI juga dapat mengelola sistem klien dari jarak jauh menggunakan Akses Langsung saat mereka berjalan dan tersambung ke internet.

Untuk perangkat yang dikelola oleh perusahaan, administrator TI dapat menginstal dan mengonfigurasi kebijakan grup khusus yang ditemukan dengan membuka Konfigurasi Komputer > Template Administratif > Nama Kebijakan Grup.

Bug memengaruhi klien yang menjalankan Windows 11 22H2 dan 21H1, Windows 10 versi 22H2, 21H1, dan 20H2, serta Windows 10 Enterprise LTSC 2019. Juga terpengaruh adalah Windows Server 2022 dan 2019.

Masalah dapat mencakup kegagalan login pengguna domain, masalah dengan autentikasi Layanan Federasi Direktori Aktif, masalah dengan Akun Layanan Terkelola Grup yang gagal diautentikasi, dan koneksi desktop jarak jauh menggunakan pengguna domain yang tidak tersambung.

Sistem Windows dengan bug akan melihat ID Peristiwa Microsoft-Windows-Kerberos-Key-Distribution-Center 14 di bagian Sistem Log Peristiwa pada Pengontrol Domain mereka.

Microsoft menempatkan penangguhan kompatibilitas pada perangkat yang terpengaruh untuk memastikan mereka tidak menginstal versi 22H2, dan merekomendasikan agar pengguna yang telah memutakhirkan harus memperbarui aplikasi dan game ke versi terbaru yang tersedia saat perusahaan sedang memperbaiki.

sumber : the register

42.000 Situs Digunakan Untuk Skema Peniruan Identitas Merek

November 15, 2022 by Coffee Bean

Grup nirlaba jahat bernama ‘Fangxiao’ telah membuat jaringan besar-besaran dengan lebih dari 42.000 domain web yang menyamar sebagai merek terkenal untuk mengarahkan pengguna ke situs yang mempromosikan aplikasi adware, situs kencan, atau hadiah ‘gratis’.

Domain penipu digunakan sebagai bagian dari apa yang tampaknya merupakan skema penghasil lalu lintas besar-besaran yang menghasilkan pendapatan iklan untuk situs Fangxiao sendiri atau lebih banyak pengunjung untuk ‘pelanggan’ yang membeli lalu lintas dari grup.

Ancaman berbasis di China. Mereka telah beroperasi sejak 2017, memalsukan lebih dari 400 merek terkenal dari sektor ritel, perbankan, perjalanan, farmasi, transportasi, keuangan, dan energi.

faktor keuntungan
Untuk menghasilkan keramaian besar bagi pelanggan dan situsnya sendiri, Fangxiao mendaftarkan sekitar 300 domain peniruan merek baru setiap hari.

Sebagian besar situs ini menggunakan TLD “.top”, diikuti oleh “.cn”, “.cyou”, “.xyz”, “.work”, dan “.tech”. Situs tersebut tersembunyi di balik Cloudflare dan terdaftar melalui GoDaddy, Namecheap, dan Wix.

Pengguna tiba di situs ini melalui iklan seluler atau setelah menerima pesan WhatsApp yang berisi tautan, biasanya membuat penawaran khusus atau memberi tahu penerima bahwa mereka memenangkan sesuatu.

Dalam beberapa kasus, menyelesaikan survei mengarah pada pengunduhan aplikasi, yang diminta oleh korban untuk diluncurkan dan tetap terbuka setidaknya selama tiga puluh detik, kemungkinan akan memberikan cukup waktu untuk mendaftarkan pengguna baru dari rujukan Fangxiao.

Tujuan lain yang diamati dari kampanye Fangxiao adalah halaman Play Store dari aplikasi ‘App Booster Lite – RAM Booster’, penguat kinerja untuk perangkat Android dengan lebih dari 10 juta unduhan.

Investigasi Cyjax menghasilkan beberapa indikasi bahwa Fangxiao adalah operator Cina, seperti menggunakan bahasa Mandarin di salah satu panel kontrol yang terbuka.

sumber : bleeping computer

Aplikasi Google Play Store Berbahaya Terlihat Mendistribusikan Trojan Xenomorph Banking

November 14, 2022 by Coffee Bean

Google telah menghapus dua aplikasi dropper jahat baru yang telah terdeteksi di Play Store untuk Android, salah satunya dianggap sebagai aplikasi gaya hidup dan diketahui mendistribusikan malware perbankan Xenomorph.

“Xenomorph adalah trojan yang mencuri kredensial dari aplikasi perbankan di perangkat pengguna,” kata peneliti Zscaler ThreatLabz Himanshu Sharma dan Viral Gandhi dalam analisis yang diterbitkan Kamis.

dua aplikasi malicious/berbahaya adalah sebagai berikut

Todo: Day manager (com.todo.daymanager)
経費キーパー (com.setprice.expenses)

Xenomorph, pertama kali didokumentasikan oleh ThreatFabric awal Februari ini, diketahui menyalahgunakan izin aksesibilitas Android untuk melakukan serangan overlay, di mana layar login palsu ditampilkan di atas aplikasi bank yang sah untuk mencuri kredensial korban.

Terlebih lagi, malware memanfaatkan deskripsi saluran Telegram untuk memecahkan kode dan membangun domain command-and-control (C2) yang digunakan untuk menerima perintah tambahan.

Perkembangan tersebut mengikuti penemuan empat aplikasi jahat di Google Play yang ditemukan mengarahkan korban ke situs web jahat sebagai bagian dari kampanye pencurian informasi dan adware. Google mengatakan kepada The Hacker News bahwa sejak itu mereka telah melarang pengembang.

sumber : the hacker news

Dua Kampanye Spyware Android yang Menargetkan Uyghurs

November 14, 2022 by Coffee Bean Leave a Comment

Dua kampanye pengawasan jangka panjang telah ditemukan menargetkan komunitas Uyghur di China dan di tempat lain dengan alat spyware Android yang dirancang untuk mengumpulkan informasi sensitif dan melacak keberadaan mereka.

Ini mencakup jenis malware yang sebelumnya tidak terdokumentasi yang disebut BadBazaar dan varian terbaru dari artefak spionase yang dijuluki MOONSHINE oleh para peneliti dari Citizen Lab Universitas Toronto pada September 2019.

BadBazaar, setelah diinstal, hadir dengan beberapa fitur yang memungkinkannya mengumpulkan log panggilan, lokasi GPS, pesan SMS, dan file yang diinginkan; merekam panggilan telepon; ambil foto; dan mengekstrak metadata perangkat yang substansial.

Serangan yang menggunakan MOONSHINE, dalam nada yang sama, telah menggunakan lebih dari 50 aplikasi berbahaya sejak Juli 2022 yang direkayasa untuk mengumpulkan data pribadi dari perangkat yang terinfeksi, selain merekam audio dan mengunduh file sewenang-wenang.

Perkembangan ini juga mengikuti laporan dari Google Project Zero minggu lalu, yang mengungkap bukti vendor pengawasan komersial yang tidak disebutkan namanya mempersenjatai tiga kelemahan keamanan zero-day di ponsel Samsung dengan chip Exynos yang menjalankan kernel versi 4.14.113. Lubang keamanan dipasang oleh Samsung pada Maret 2021.

Yang mengatakan, raksasa pencarian mengatakan eksploitasi mencerminkan pola yang mirip dengan kompromi baru-baru ini di mana aplikasi Android berbahaya disalahgunakan untuk menargetkan pengguna di Italia dan Kazakhstan dengan implan yang disebut Hermit, yang telah dikaitkan dengan perusahaan Italia RCS Lab.

sumber : the hacker news

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

OS

Cookies Settings