Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Programming Language

Programming Language

Ekstensi berbahaya memungkinkan penyerang mengontrol Google Chrome dari jarak jauh

by

Botnet browser Cloud9 secara efektif merupakan trojan akses jarak jauh (RAT) untuk browser web Chromium, termasuk Google Chrome dan Microsoft Edge, yang memungkinkan pelaku ancaman untuk mengeksekusi perintah dari jarak jauh.

Ekstensi Chrome berbahaya diedarkan melalui saluran alternatif, seperti situs web yang mendorong pembaruan Adobe Flash Player palsu.

Ekstensi browser berbahaya di Chrome (Zimperium)

Menginfeksi browser Anda
Cloud9 adalah ekstensi browser berbahaya yang membuka pintu belakang browser Chromium untuk melakukan daftar ekstensif fungsi dan kemampuan berbahaya.

Ekstensi terdiri dari tiga file JavaScript untuk mengumpulkan informasi sistem, menambang cryptocurrency menggunakan sumber daya host, melakukan serangan DDoS, dan menyuntikkan skrip yang menjalankan eksploitasi browser.

Zimperium memperhatikan pemuatan eksploit untuk kerentanan CVE-2019-11708 dan CVE-2019-9810 di Firefox, CVE-2014-6332 dan CVE-2016-0189 untuk Internet Explorer, dan CVE-2016-7200 untuk Edge.

Kerentanan ini digunakan untuk menginstal dan mengeksekusi malware Windows secara otomatis di host, memungkinkan penyerang untuk melakukan kompromi sistem yang lebih signifikan.

Modul “clipper” juga hadir dalam ekstensi, terus memantau clipboard sistem untuk kata sandi atau kartu kredit yang disalin.


Komponen clipper Cloud9 (Zimperium)

Cloud9 juga dapat menyuntikkan iklan dengan memuat halaman web secara diam-diam untuk menghasilkan tayangan iklan dan, dengan demikian, pendapatan bagi operatornya.

Terakhir, malware dapat meminta daya tembak host untuk melakukan serangan DDoS layer 7 melalui permintaan HTTP POST ke domain target.

Operator dan target
Peretas di balik Cloud9 diyakini memiliki hubungan dengan grup malware Keksec karena domain C2 yang digunakan dalam kampanye baru-baru ini terlihat dalam serangan Keksec sebelumnya.

Keksec bertanggung jawab untuk mengembangkan dan menjalankan beberapa proyek botnet, termasuk EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Korban Cloud9 tersebar di seluruh dunia, dan tangkapan layar yang diposting oleh aktor ancaman di forum menunjukkan bahwa mereka menargetkan berbagai browser.

sumber : bleeping computer

Ratusan situs berita AS mendorong malware dalam serangan supply chain

by

Pelaku ancaman menggunakan infrastruktur perusahaan media yang dirahasiakan untuk menyebarkan kerangka kerja malware JavaScript SocGholish (juga dikenal sebagai FakeUpdates) di situs web ratusan surat kabar di seluruh AS.

“Perusahaan media yang dimaksud adalah perusahaan yang menyediakan konten video dan iklan ke outlet berita utama. [Ini] melayani banyak perusahaan berbeda di pasar yang berbeda di seluruh Amerika Serikat,”

Pelaku ancaman di balik serangan rantai pasokan (supply chain) ini (dilacak oleh Proofpoint sebagai TA569) telah menyuntikkan kode berbahaya ke dalam file JavaScript jinak yang dimuat oleh situs web outlet berita.

File JavaScript berbahaya ini digunakan untuk menginstal SocGholish, yang akan menginfeksi mereka yang mengunjungi situs web yang disusupi dengan muatan malware yang disamarkan sebagai pembaruan browser palsu yang dikirimkan sebagai arsip ZIP (mis., Chromе.Uрdate.zip, Chrome.Updater.zip, Firefoх.Uрdate. zip, Opera.Updаte.zip, Oper.Updte.zip) melalui peringatan pembaruan palsu.

File JavaScript berbahaya dikaburkan konten (BleepingComputer)

Secara total, malware telah diinstal di situs milik lebih dari 250 outlet berita AS, beberapa di antaranya adalah organisasi berita utama, menurut peneliti keamanan di perusahaan keamanan perusahaan Proofpoint.

Sementara jumlah total organisasi berita yang terkena dampak saat ini tidak diketahui, Proofpoint mengatakan mereka mengetahui organisasi media yang terpengaruh (termasuk outlet berita nasional) dari New York, Boston, Chicago, Miami, Washington, D.C., dan banyak lagi.

Proofpoint sebelumnya telah mengamati kampanye SocGholish menggunakan pembaruan palsu dan pengalihan situs web untuk menginfeksi pengguna, termasuk, dalam beberapa kasus, muatan ransomware.

Geng kejahatan dunia maya Evil Corp juga menggunakan SocGholish dalam kampanye yang sangat mirip untuk menginfeksi karyawan lebih dari 30 perusahaan swasta besar AS melalui peringatan pembaruan perangkat lunak palsu yang dikirimkan melalui lusinan situs web surat kabar AS yang disusupi.

Komputer yang terinfeksi kemudian digunakan sebagai titik loncatan ke jaringan perusahaan majikan dalam serangan yang mencoba menyebarkan ransomware WastedLocker geng.

Untungnya, Symantec mengungkapkan dalam sebuah laporan bahwa mereka memblokir upaya Evil Corp untuk mengenkripsi jaringan yang dilanggar dalam serangan yang menargetkan beberapa perusahaan swasta, termasuk 30 perusahaan AS, delapan di antaranya perusahaan Fortune 500.

SocGholish juga baru-baru ini digunakan untuk jaringan pintu belakang yang terinfeksi malware Raspberry Robin dalam apa yang digambarkan Microsoft sebagai perilaku pra-ransomware Evil Corp.

Sumber: Bleeping Computer

Magniber ransomware sekarang menginfeksi pengguna Windows melalui file JavaScript

by

Kampanye jahat yang mengirimkan ransomware Magniber telah menargetkan pengguna rumahan Windows dengan pembaruan keamanan palsu.

Pelaku ancaman dibuat pada bulan September dengan situs web yang mempromosikan antivirus palsu dan pembaruan keamanan untuk Windows 10. File berbahaya yang diunduh (arsip ZIP) berisi JavaScript yang memulai infeksi rumit dengan malware enkripsi file.

Laporan dari Analis HP mencatat, operator ransomware Magniber menuntut pembayaran hingga $2.500 bagi pengguna rumahan untuk menerima alat dekripsi dan memulihkan file mereka. Ketegangan berfokus secara eksplisit pada Windows 10 dan Windows 11 build.

Windows build yang ditargetkan oleh Magniber (HP)

Pada April 2022, Magniber terlihat didistribusikan sebagai pembaruan Windows 10 melalui jaringan situs web jahat.

Pada bulan Januari, operatornya menggunakan pembaruan browser Chrome dan Edge untuk mendorong file paket aplikasi Windows (.APPX) yang berbahaya.

Dalam kampanye sebelumnya, pelaku ancaman menggunakan file MSI dan EXE. Untuk yang baru-baru ini aktif, itu beralih ke file JavaScript yang memiliki nama berikut:

  • SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
  • SYSTEM.Security.Database.Upgrade.Win10.0.jse
  • Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
  • ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js

File-file ini dikaburkan dan menggunakan variasi teknik “DotNetToJScript” untuk mengeksekusi file .NET di memori sistem, menurunkan risiko deteksi oleh produk antivirus yang tersedia di host.

File .NET menerjemahkan kode shell yang menggunakan pembungkusnya sendiri untuk membuat panggilan sistem tersembunyi, dan memasukkannya ke dalam proses baru sebelum mengakhiri prosesnya sendiri.

Shellcode menghapus file salinan bayangan melalui WMI dan menonaktifkan fitur pencadangan dan pemulihan melalui “bcdedit” dan “wbadmin.” Ini meningkatkan kemungkinan mendapatkan bayaran karena korban memiliki satu opsi lebih sedikit untuk memulihkan file mereka.

Untuk melakukan tindakan ini, Magniber menggunakan pintasan untuk fitur Kontrol Akun Pengguna (UAC) di Windows.

Itu bergantung pada mekanisme yang melibatkan pembuatan kunci registri baru yang memungkinkan menentukan perintah shell. Pada langkah selanjutnya, utilitas “fodhelper.exe” dijalankan untuk menjalankan skrip untuk menghapus salinan bayangan.

Setelah itu Magniber mengenkripsi file di host dan menjatuhkan catatan tebusan yang berisi instruksi bagi korban untuk memulihkan file mereka.

Rantai infeksi baru (HP) Magniber

Analis HP memperhatikan bahwa sementara Magniber mencoba membatasi enkripsi hanya untuk jenis file tertentu, pseudohash yang dihasilkannya selama pencacahan tidak sempurna, yang menghasilkan tabrakan hash dan “kerusakan jaminan”, yaitu, mengenkripsi jenis file yang tidak ditargetkan juga .

Pengguna rumahan dapat mempertahankan diri dari serangan ransomware dengan membuat cadangan reguler untuk file mereka dan menyimpannya di perangkat penyimpanan offline. Hal ini memungkinkan pemulihan data ke sistem operasi yang baru diinstal. Sebelum memulihkan data, pengguna harus memastikan bahwa cadangan mereka tidak terinfeksi.

Sumber: Bleeping Computer

Spin-off PsExec baru memungkinkan peretas bypass keamanan jaringan

by

Peneliti keamanan telah mengembangkan implementasi utilitas Sysinternals PsExec yang memungkinkan pemindahan secara lateral dalam jaringan menggunakan satu port yang kurang terpantau, Windows TCP port 135.

PsExec dirancang untuk membantu administrator menjalankan proses dari jarak jauh pada mesin di jaringan tanpa perlu menginstal klien.

Pelaku ancaman juga telah mengadopsi alat tersebut dan sering menggunakannya dalam tahap pasca-eksploitasi serangan untuk menyebar di jaringan, menjalankan perintah pada beberapa sistem, atau menyebarkan malware.

Sementara PsExec asli tersedia di suite utilitas Sysinternals, ada juga implementasi dalam koleksi Impacket kelas Python untuk bekerja dengan protokol jaringan, yang memiliki dukungan untuk SMB dan protokol lain seperti IP, UDP, TCP yang memungkinkan koneksi untuk HTTP, LDAP (Protokol Akses Direktori Ringan), dan Microsoft SQL Server (MSSQL).

Versi asli dan varian Impacket bekerja dengan cara yang sama. Mereka menggunakan koneksi SMB dan didasarkan pada port 445, yang perlu dibuka untuk berkomunikasi melalui protokol berbagi file jaringan SMB.

Mereka juga mengelola layanan Windows (membuat, menjalankan, memulai, menghentikan) melalui Panggilan Prosedur Jarak Jauh (RPC), sebuah protokol yang memungkinkan komunikasi tingkat tinggi dengan sistem operasi.

Namun, untuk fungsionalitas yang diperluas, port 135 diperlukan. Namun, memblokir port ini tidak mencegah aktor ancaman menyelesaikan serangan, oleh karena itu port 445 sangat penting agar PsExec berfungsi.

Karena itu, sebagian besar defender fokus pada pemblokiran port 445, yang penting bagi PsExec untuk menjalankan perintah atau menjalankan file. Ini berfungsi dalam banyak kasus tetapi tidak cukup.

Berdasarkan library Impacket, para peneliti di Pentera, perusahaan yang menyediakan solusi validasi keamanan otomatis, telah membangun implementasi alat PsExec yang hanya berjalan pada port 135.

Pencapaian ini membawa perubahan pada permainan pertahanan karena memblokir hanya port 445 untuk membatasi aktivitas PsExec yang berbahaya tidak lagi menjadi opsi yang dapat diandalkan untuk sebagian besar serangan.

Lazar menambahkan dalam laporan yang dibagikan bahwa perintah dijalankan melalui Lingkungan Komputasi Terdistribusi / Panggilan Prosedur Jarak Jauh (DCE/RPC) dan proses “berjalan terlepas dari outputnya.”

Variasi PsExec dari Pentera menggunakan koneksi RPC yang memungkinkan para peneliti untuk membuat layanan yang menjalankan perintah arbitrer tanpa berkomunikasi melalui port SMB 445 untuk transportasi atau keluaran.

Tidak seperti PsExec asli di suite Sysinternals, varian Pentera memiliki peluang lebih tinggi untuk tergelincir tanpa terdeteksi dalam jaringan karena banyak organisasi mengawasi port 445 dan SMB.

Poin lain yang dibuat Lazar adalah bahwa implementasi PsExec lainnya harus menggunakan SMB karena berbasis file. Varian Pentera tidak memiliki file, kata peneliti, yang akan membuatnya lebih sulit untuk dideteksi.

Penelitian Lazar tentang PsExec menyoroti bahwa sementara kerentanan keamanan seperti PetitPotam [1, 2] dan DFSCoerce telah menarik perhatian pada risiko yang ditimbulkan RPC, mitigasi tidak menekankan pemantauan DCE/RPC tetapi pada pencegahan relai NTLM.

Berdasarkan pengamatan Pentera, memblokir atau memantau lalu lintas RPC bukanlah praktik umum di lingkungan perusahaan. Alasan dalam banyak kasus adalah bahwa para pembela HAM tidak menyadari bahwa RPC dapat menimbulkan risiko keamanan ke jaringan jika dibiarkan tidak dicentang.

Will Dormann, analis kerentanan di CERT/CC, setuju bahwa memblokir port TCP 445 saja tidak cukup untuk memblokir aktivitas jahat yang mengandalkan alat tersebut.

PsExec didasarkan pada koneksi SMB dan RPC, yang memerlukan port 445, 139, dan 135. Namun, Lazar menambahkan bahwa ada implementasi RPC di atas HTTP, yang berarti bahwa PsExec berpotensi dapat bekerja melalui port 80 juga.

Peretas telah menggunakan PsExec dalam serangan mereka untuk waktu yang lama. Geng Ransomware, khususnya, mengadopsinya untuk menyebarkan malware enkripsi file.

Dalam serangan yang berlangsung hanya satu jam, ransomware NetWalker menggunakan PsExec untuk menjalankan muatannya di semua sistem dalam sebuah domain.

Dalam contoh yang lebih baru, geng ransomware Quantum mengandalkan PsExec dan WMI untuk mengenkripsi sistem dalam serangan yang hanya membutuhkan waktu dua jam untuk diselesaikan setelah mendapatkan akses melalui malware IcedID.

Contoh lain adalah dari pelanggaran Cisco yang baru-baru ini diungkapkan, di mana geng ransomware Yanluowang menggunakan PsExec untuk menambahkan nilai registri dari jarak jauh, memungkinkan pelaku ancaman untuk memanfaatkan fitur aksesibilitas yang tersedia di layar masuk Windows.

Sumber: Bleeping Computer

Browser Dalam Aplikasi TikTok Termasuk Kode yang Dapat Memantau Keystroke Anda, Kata Peneliti

by

Ketika pengguna TikTok memasuki situs web melalui tautan di aplikasi, TikTok menyisipkan kode yang dapat memantau sebagian besar aktivitas mereka di situs web luar tersebut, termasuk penekanan tombol dan apa pun yang mereka ketuk di halaman, menurut penelitian baru yang dibagikan dengan Forbes. Pelacakan akan memungkinkan TikTok untuk menangkap informasi kartu kredit atau kata sandi pengguna.

TikTok memiliki kemampuan untuk memantau aktivitas itu karena modifikasi yang dibuatnya pada situs web menggunakan browser dalam aplikasi perusahaan, yang merupakan bagian dari aplikasi itu sendiri. Saat orang mengetuk iklan TikTok atau mengunjungi tautan di profil pembuat konten, aplikasi tidak membuka halaman dengan peramban biasa seperti Safari atau Chrome. Alih-alih, ini default ke browser dalam aplikasi buatan TikTok yang dapat menulis ulang bagian halaman web.

TikTok dapat melacak aktivitas ini dengan menyuntikkan baris bahasa pemrograman JavaScript ke situs web yang dikunjungi dalam aplikasi, membuat perintah baru yang mengingatkan TikTok tentang apa yang dilakukan orang di situs web tersebut.

“Ini adalah pilihan aktif yang dibuat perusahaan,” kata Felix Krause, seorang peneliti perangkat lunak yang berbasis di Wina, yang menerbitkan laporan tentang temuannya pada hari Kamis. “Ini adalah tugas rekayasa non-sepele. Ini tidak terjadi secara tidak sengaja atau acak.” Krause adalah pendiri Fastlane, layanan untuk menguji dan menerapkan aplikasi, yang diakuisisi Google lima tahun lalu.

Tiktok sangat menolak gagasan bahwa itu melacak pengguna di browser dalam aplikasinya. Perusahaan mengkonfirmasi fitur-fitur itu ada dalam kode, tetapi mengatakan TikTok tidak menggunakannya.

“Seperti platform lain, kami menggunakan browser dalam aplikasi untuk memberikan pengalaman pengguna yang optimal, tetapi kode Javascript yang dimaksud hanya digunakan untuk debugging, pemecahan masalah, dan pemantauan kinerja dari pengalaman itu — seperti memeriksa seberapa cepat halaman dimuat atau apakah itu mogok. ,” kata juru bicara Maureen Shanahan dalam sebuah pernyataan.

Perusahaan mengatakan kode JavaScript adalah bagian dari kit pengembangan perangkat lunak pihak ketiga, atau SDK, seperangkat alat yang digunakan untuk membangun atau memelihara aplikasi. SDK menyertakan fitur yang tidak digunakan aplikasi, kata perusahaan itu. TikTok tidak menjawab pertanyaan tentang SDK, atau pihak ketiga apa yang membuatnya.

Sementara penelitian Krause mengungkapkan perusahaan kode termasuk TikTok dan induk Facebook, Meta, menyuntikkan ke situs web dari browser dalam aplikasi mereka, penelitian tidak menunjukkan bahwa perusahaan-perusahaan ini benar-benar menggunakan kode itu untuk mengumpulkan data, mengirimkannya ke server mereka atau membagikannya dengan Pihak ketiga. Alat juga tidak mengungkapkan jika ada aktivitas yang terkait dengan identitas atau profil pengguna. Meskipun Krause dapat mengidentifikasi beberapa contoh spesifik tentang apa yang dapat dilacak oleh aplikasi (seperti kemampuan TikTok untuk memantau penekanan tombol), dia mengatakan daftarnya tidak lengkap dan perusahaan dapat memantau lebih banyak.

Penelitian baru ini mengikuti laporan minggu lalu oleh Krause tentang browser dalam aplikasi, yang berfokus secara khusus pada aplikasi milik Meta Facebook, Instagram dan Facebook Messenger. WhatsApp, yang juga dimiliki perusahaan, tampaknya jelas karena tidak menggunakan browser dalam aplikasi.

Krause pada hari Kamis juga merilis alat yang memungkinkan orang memeriksa apakah browser yang mereka gunakan menyuntikkan kode baru ke situs web, dan aktivitas apa yang mungkin dipantau perusahaan. Untuk menggunakan alat untuk memeriksa browser Instagram, misalnya, kirim tautan InAppBrowser.com ke teman dalam pesan langsung (atau minta teman DM tautannya). Jika Anda mengeklik tautan di DM, alat ini akan memberi Anda ikhtisar tentang apa yang berpotensi dilacak oleh aplikasi — meskipun alat tersebut menggunakan beberapa istilah pengembang dan mungkin sulit diuraikan untuk non-coder.

Untuk penelitian barunya, Krause menguji tujuh aplikasi iPhone yang menggunakan browser dalam aplikasi: TikTok, Facebook, Facebook Messenger, Instagram, Snapchat, Amazon, dan Robinhood. (Dia tidak menguji versi untuk Android, sistem operasi seluler Google.)

Dari tujuh aplikasi yang diuji Krause, TikTok adalah satu-satunya yang tampaknya memantau penekanan tombol, katanya, dan tampaknya memantau lebih banyak aktivitas daripada yang lain. Seperti TikTok, Instagram, dan Facebook, keduanya melacak setiap ketukan di situs web. Kedua aplikasi tersebut juga memantau saat orang menyorot teks di situs web.

Meta tidak menjawab pertanyaan spesifik terkait pelacakan, tetapi mengatakan browser dalam aplikasi “umum di seluruh industri.” Juru bicara Alisha Swinteck mengatakan browser perusahaan mengaktifkan fitur-fitur tertentu, seperti memungkinkan pengisian otomatis terisi dengan benar dan mencegah orang dialihkan ke situs jahat. (Namun, browser termasuk Safari dan Chrome juga memiliki fitur tersebut.)

“Menambahkan salah satu fitur semacam ini memerlukan kode tambahan,” kata Swinteck dalam sebuah pernyataan. “Kami telah merancang pengalaman ini dengan hati-hati untuk menghormati pilihan privasi pengguna, termasuk bagaimana data dapat digunakan untuk iklan.”

Meta juga mengatakan bahwa nama skrip yang ditampilkan dalam alat dapat menyesatkan karena itu adalah istilah teknis Javascript yang mungkin disalahpahami orang. Misalnya, “pesan” dalam konteks ini mengacu pada komponen kode yang berkomunikasi satu sama lain, bukan pesan teks pribadi.

Snapchat tampaknya paling tidak haus data. Peramban dalam aplikasinya tampaknya tidak menyuntikkan kode baru apa pun ke halaman web. Namun, aplikasi memiliki kemampuan untuk menyembunyikan aktivitas JavaScript mereka dari situs web (seperti alat Krause) karena pembaruan sistem operasi yang dibuat Apple pada tahun 2020. Jadi mungkin saja beberapa aplikasi menjalankan perintah tanpa terdeteksi. Snapchat tidak menanggapi permintaan komentar tentang aktivitas apa, jika ada, yang dipantau di browser dalam aplikasinya.

Peramban dalam aplikasi hampir tidak lazim di TikTok seperti di Instagram. TikTok tidak mengizinkan pengguna untuk mengklik tautan di DM, jadi browser dalam aplikasi biasanya muncul ketika orang mengklik iklan atau tautan di profil pembuat atau merek.

Penelitian pelacakan browser ini dilakukan ketika TikTok, yang dimiliki oleh perusahaan induk China ByteDance, menghadapi pengawasan ketat atas batas-batas pengawasan potensialnya, dan pertanyaan tentang hubungannya dengan pemerintah China. Pada bulan Juni, BuzzFeed News melaporkan bahwa data pengguna AS telah berulang kali diakses dari China. Perusahaan juga telah bekerja untuk memindahkan beberapa informasi pengguna A.S. ke Amerika Serikat, untuk disimpan di pusat data yang dikelola oleh Oracle, dalam upaya yang secara internal dikenal sebagai Project Texas.

Tetapi pelacakan potensial juga dapat membahayakan privasi yang terkait dengan pemilihan. TikTok pada hari Rabu mengumumkan upayanya dalam integritas pemilihan, menjelang ujian tengah semester AS. Inisiatif ini mencakup Pusat Pemilihan baru, yang menghubungkan orang-orang dengan informasi otoritatif dari sumber terpercaya termasuk Asosiasi Nasional Sekretaris Negara dan Ballotpedia.

TikTok secara eksplisit menjanjikan privasi sebagai bagian dari inisiatif tersebut. “Untuk tindakan apa pun yang mengharuskan pengguna untuk berbagi informasi, seperti mendaftar untuk memilih, pengguna akan diarahkan dari TikTok ke situs web negara atau nirlaba terkait untuk melakukan proses itu,” kata perusahaan itu dalam sebuah pernyataan. posting blog “TikTok tidak akan memiliki akses ke data atau aktivitas di luar platform itu.”

TikTok kemungkinan akan menggunakan browser dalam aplikasinya untuk membuka situs web tersebut. Alat Krause menunjukkan TikTok dapat memiliki akses ke informasi itu, berpotensi membiarkan perusahaan melacak alamat, usia, dan partai politik seseorang. TikTok juga menentang skenario itu, sekali lagi menekankan bahwa sementara fitur pelacakan tersebut ada dalam kode, perusahaan tidak menggunakannya.

Dalam beberapa tahun terakhir, model bisnis di balik teknologi besar — ​​di mana perusahaan seperti Facebook dan Google mengumpulkan data pengguna untuk menopang mesin iklan yang ditargetkan — telah dikenal luas, sehingga beberapa orang mungkin tidak terkejut dengan pelacakan di browser dalam aplikasi. . Namun, baik Meta maupun TikTok tidak memiliki bagian khusus dalam kebijakan privasi mereka di browser dalam aplikasi yang mengungkapkan praktik pemantauan tersebut kepada pengguna.

Beberapa pakar privasi juga menolak jenis pemantauan keystroke yang tampaknya mampu dilakukan TikTok. “Ini sangat licik,” kata Jennifer King, rekan kebijakan privasi dan data di Stanford University Institute for Human-Centered Artificial Intelligence. “Asumsi bahwa data Anda sedang dibaca sebelumnya bahkan sebelum Anda mengirimkannya, saya pikir itu melewati batas.”

Krause mengatakan dia ingin melihat industri beralih dari browser dalam aplikasi, alih-alih menggunakan browser seperti Safari atau Chrome, yang biasanya telah ditetapkan orang sebagai browser default di ponsel mereka. Apple tidak menanggapi permintaan komentar yang menanyakan apakah perusahaan akan menindak browser dalam aplikasi, mengharuskan aplikasi untuk menggunakan browser default perangkat.

Baik TikTok dan Meta menawarkan opsi bagi Anda untuk membuka tautan di Safari atau browser default ponsel Anda, tetapi hanya setelah aplikasi membawa Anda ke browser dalam aplikasi masing-masing terlebih dahulu. Opsi default juga ada di belakang layar menu di TikTok dan Instagram — sudah terlalu jauh bagi banyak pengguna yang bahkan tidak tahu opsi itu ada.

Sumber: Forbes

Peretas mencuri 50.000 kartu kredit dari 300 restoran U.S

by

Detail kartu pembayaran dari pelanggan lebih dari 300 restoran telah dicuri dalam dua kampanye skimming web yang menargetkan tiga platform pemesanan online.

Skimmer web, atau malware Magecart, biasanya adalah kode JavaScript yang mengumpulkan data kartu kredit saat pembeli online mengetiknya di halaman checkout.

Baru-baru ini, alat pendeteksi ancaman Recorded Future mengidentifikasi dua kampanye Magecart yang menyuntikkan kode berbahaya ke portal pemesanan online MenuDrive, Harbortouch, dan InTouchPOS.

Akibatnya, 50.000 kartu pembayaran dicuri dan telah ditawarkan untuk dijual di berbagai pasar di web gelap.

Kampanye pertama dimulai pada 18 Januari 2022 dan mencapai 80 restoran menggunakan MenuDrive dan 74 yang menggunakan platform Harbortouch.

Sebagian besar restoran ini adalah perusahaan lokal kecil di seluruh AS yang menggunakan platform sebagai alternatif hemat biaya untuk melakukan outsourcing proses pemesanan online.

Peta korban kampanye Magecart pertama (Recorded Future)

Di kedua platform, skimmer web disuntikkan ke halaman web restoran dan subdomain yang ditetapkan pada platform layanan pembayaran online.

Malware yang disebarkan untuk MenuDrive menggunakan dua skrip, satu untuk mengambil data kartu pembayaran dan satu lagi untuk mengumpulkan nama pemegang kartu, alamat email, dan nomor telepon, dicapai dengan melampirkan ke acara ‘onmousedown’ dan “merespons klik beberapa tombol selama pembuatan akun dan proses checkout.”

Contoh skimmer pada subdomain MenuDrive (Recorded Future)

Di Harbortouch, skimmer yang disuntikkan menggunakan satu skrip untuk mencuri semua informasi pengenal pribadi (PII) dan data kartu pembayaran.

Skimmer disuntikkan pada subdomain Harbortouch (Recorded Future)

Kampanye kedua yang menargetkan InTouchPOS dimulai pada 12 November 2021, tetapi sebagian besar injeksi skimmer di halaman web terjadi jauh kemudian, pada Januari 2022.

Infeksi InTouchPOS dengan loader JS dan cuplikan skimmer (hijau) (Recorded Future)

Skimmer dan artefak yang mencirikannya (penamaan variabel, struktur, kebingungan, dan skema enkripsi) menghubungkannya dengan kampanye yang lebih lama dan masih berlangsung, Recorded Future mengatakan dalam sebuah laporan yang dibagikan dengan BleepingComputer.

Dalam hal ini, skimmer tidak mencuri detail dari situs, melainkan melapisi formulir pembayaran palsu pada target valid yang siap untuk proses checkout menggunakan kartu kredit.

Menurut Recorded Future, kedua kampanye sedang berlangsung, dan domain eksfiltrasi terkait masih online dan beroperasi.

Perusahaan keamanan telah memperingatkan semua entitas yang terkena dampak dari kompromi tersebut, tetapi mereka belum menerima tanggapan. Lembaga penegak hukum dan platform pembayaran telah diinformasikan.

Dalam kasus MenuDrive dan Harbortouch, menghapus skimmer memerlukan pemindaian semua subdomain restoran.

Infeksi InTouchPOS lebih mudah ditangkap dengan sebagian besar pemindai keamanan, karena menggunakan pengunduh JavaScript untuk skimmer, yang dapat dideteksi melalui perbandingan kode sederhana.

Sumber: Bleeping Computer

IDE pemrograman online yang dapat digunakan untuk meluncurkan serangan siber jarak jauh

by

Peneliti keamanan memperingatkan bahwa peretas dapat menyalahgunakan platform pembelajaran pemrograman online untuk meluncurkan serangan siber dari jarak jauh, mencuri data, dan memindai perangkat yang rentan, hanya dengan menggunakan browser web.

Setidaknya satu platform tersebut, yang dikenal sebagai DataCamp, memungkinkan pelaku ancaman untuk mengkompilasi alat berbahaya, menghosting atau mendistribusikan malware, dan terhubung ke layanan eksternal.

DataCamp menyediakan lingkungan pengembangan terintegrasi (IDE) untuk hampir 10 juta pengguna yang ingin mempelajari ilmu data menggunakan berbagai bahasa dan teknologi pemrograman (R, Python, Shell, Excel, Git, SQL).

Sebagai bagian dari platform, pengguna DataCamp mendapatkan akses ke ruang kerja pribadi mereka sendiri yang mencakup IDE untuk berlatih dan mengeksekusi kode kustom, mengunggah file, dan menghubungkan ke database.

IDE juga memungkinkan pengguna untuk mengimpor perpustakaan Python, mengunduh dan mengkompilasi repositori, dan kemudian menjalankan program yang dikompilasi. Dengan kata lain, apa pun yang dibutuhkan oleh aktor ancaman yang rajin untuk meluncurkan serangan jarak jauh langsung dari dalam platform DataCamp.

Setelah menanggapi insiden di mana aktor ancaman mungkin menggunakan sumber daya DataCamp untuk menyembunyikan asal serangan, para peneliti di perusahaan keamanan siber Profero memutuskan untuk menyelidiki skenario ini.

Mereka menemukan bahwa Python IDE online lanjutan DataCamp menawarkan kepada pengguna kemampuan untuk menginstal modul pihak ketiga yang memungkinkan koneksi ke bucket penyimpanan Amazon S3.

Omri Segev Moyal, CEO di Profero, mengatakan dalam sebuah laporan yang dibagikan dengan BleepingComputer bahwa mereka mencoba skenario ini pada platform DataCamp dan dapat mengakses bucket S3 dan mengekstrak semua file ke lingkungan ruang kerja di situs web platform.

Importing files from S3 bucket through DataCamp – source: Profero

Peneliti mengatakan bahwa aktivitas yang berasal dari DataCamp kemungkinan akan lewat tanpa terdeteksi dan “bahkan mereka yang memeriksa koneksi lebih lanjut akan menemui jalan buntu karena tidak ada sumber pasti yang diketahui yang mencantumkan rentang IP Datacamp.”

Penyelidikan terhadap skenario serangan ini berjalan lebih jauh dan para peneliti mencoba mengimpor atau menginstal alat yang biasanya digunakan dalam serangan siber, seperti alat pemetaan jaringan Nmap.

Tidak mungkin untuk menginstal Nmap secara langsung tetapi DataCamp mengizinkan kompilasi dan mengeksekusi biner dari direktori kompilasi.

Nmap berjalan di DataCamp – sumber: Profero

Tim Tanggap Insiden Profero juga menguji apakah mereka dapat mengunggah file menggunakan terminal dan mendapatkan tautan untuk membagikannya. Mereka dapat mengunggah EICAR – file standar untuk menguji deteksi dari solusi antivirus, dan mendapatkan tautan untuk mendistribusikannya.

File EICAR diunggah ke DataCamp – sumber: Profero

Laporan Profero hari ini mencatat bahwa tautan unduhan dapat digunakan untuk mengunduh malware tambahan ke sistem yang terinfeksi dengan menggunakan permintaan web sederhana.

Selain itu, tautan unduhan ini dapat disalahgunakan dalam jenis serangan lain, seperti hosting malware untuk serangan phishing, atau oleh malware untuk mengunduh muatan tambahan.

DataCamp menyatakan dalam Ketentuan Layanan mereka bahwa menyalahgunakan platform dilarang tetapi pelaku ancaman bukanlah pengguna untuk menghormati aturan.

DataCamp mengatakan bahwa mereka “telah mengambil langkah-langkah yang wajar” untuk mencegah penyalahgunaan berdampak pada pengguna lain di platform dan bahwa mereka memantau sistem mereka untuk perilaku buruk.

Meskipun Profero tidak memperluas penelitian mereka ke platform pembelajaran lain, para peneliti percaya bahwa DataCamp bukan satu-satunya yang dapat disalahgunakan oleh peretas.

sumber: Profero

Platform lain yang menyediakan terminal adalah Binder, sebuah proyek yang berjalan pada infrastruktur terbuka yang dikelola oleh sukarelawan. Layanan ini membuat repositori yang dihosting di infrastruktur lain (GitHub, GitLab) tersedia bagi pengguna melalui browser mereka.

Perwakilan Binder mengatakan bahwa mereka bersedia untuk menambahkan lebih banyak perlindungan dalam kode sumber BinderHub jika laporan Profero menunjukkan bahwa langkah lebih lanjut diperlukan.

Profero mendorong penyedia platform pembelajaran kode online untuk menyimpan daftar gerbang lalu lintas pelanggan keluar dan membuatnya dapat diakses publik sehingga pembela dapat menemukan asal serangan, jika memang demikian.

Sumber: Bleeping Computer

Microsoft: Pencuri kartu kredit semakin tersembunyi

by

Peneliti keamanan Microsoft telah mengamati tren yang mengkhawatirkan dalam skimming kartu kredit, di mana pelaku ancaman menggunakan teknik yang lebih canggih untuk menyembunyikan kode pencuri informasi berbahaya mereka.

Geng skimming mengaburkan cuplikan kode mereka, menyuntikkannya ke dalam file gambar, dan menyamarkannya sebagai aplikasi web populer untuk menghindari deteksi.

Ini merusak keefektifan produk pendeteksi ancaman dan meningkatkan kemungkinan informasi kartu kredit pengguna internet dicuri oleh pelaku kejahatan.

Skimming kartu pembayaran adalah serangan berbasis web di mana peretas menyuntikkan kode JavaScript berbahaya ke situs web e-niaga dengan mengeksploitasi kerentanan pada platform yang mendasarinya (Magento, PrestaShop, WordPress, dll.) atau praktik keamanan yang buruk.

Kode diaktifkan ketika pengunjung situs mencapai halaman checkout dan mulai memasukkan rincian kartu kredit atau debit mereka untuk membayar pesanan yang ditempatkan.

Apa pun yang diketik pada formulir halaman itu dicuri oleh skimmer dan dikirim ke operator jahat yang kemudian menggunakan detail ini untuk melakukan pembelian online atau menjual data kepada orang lain.

Ikhtisar serangan skimming (Microsoft)

Analis Microsoft melaporkan melihat peningkatan dalam penggunaan tiga metode persembunyian: menyuntikkan skrip dalam gambar, penggabungan string, dan spoofing skrip.

Dalam kasus pertama, file gambar berbahaya diunggah ke server target yang menyamar sebagai favicon. Isinya, bagaimanapun, termasuk skrip PHP dengan JavaScript yang disandikan base64.

Script berjalan untuk mengidentifikasi halaman checkout, menjalankan pemeriksaan untuk mengecualikan pengguna admin, dan kemudian menyajikan formulir palsu kepada pengunjung situs yang sah.

Memvalidasi status pengguna admin (Microsoft)

Menggunakan kebingungan rangkaian string, penyerang memuat skimmer dari domain di bawah kendali mereka menggunakan implan di situs target.

Domain dikodekan base64 dan digabungkan dari beberapa string, sedangkan skimmer itu sendiri tidak perlu dikaburkan karena tidak di-host pada platform yang ditargetkan.

URL yang disandikan gabungan (Microsoft)

Yang ketiga, script spoofing, tren menyamarkan skimmer sebagai Google Analytics atau Meta Pixel (Facebook Pixel), dua alat pelacak pengunjung yang banyak digunakan hadir di hampir setiap situs.

Pelaku ancaman menyuntikkan string yang disandikan base64 ke dalam kode Google Pengelola Tag palsu, menipu admin agar melewatkan pemeriksaan, mengira itu adalah bagian dari kode standar situs web.

Skimmer dipalsukan sebagai kode Google Analytics (Microsoft)

Dalam kasus Meta Pixel, pelaku ancaman meniru beberapa parameter umum dari plugin yang sebenarnya sambil juga menjaga URL skimmer dikodekan di base64 dan dipecah menjadi beberapa string.

Memalsukan fungsi Meta Pixel (Microsoft)

Analisis Microsoft mengungkapkan bahwa skrip tersebut tidak hanya memuat skimmer kartu tetapi juga menampilkan mekanisme anti-debugging tetapi tidak dapat mengaburkannya ke tingkat yang diperlukan untuk detail lebih lanjut tentang fungsi itu.

Karakteristik umum di antara semua skimmer kartu pembayaran termasuk adanya string yang disandikan base64 dan fungsi JavaScript “atob()” pada halaman web yang disusupi.

Selain pemindaian dan deteksi aktif, administrator situs web harus memastikan bahwa mereka menjalankan versi terbaru dari sistem manajemen konten (CMS) dan plugin mereka.

Dari perspektif pelanggan, meminimalkan kerusakan skimmer hanya dimungkinkan dengan menggunakan kartu pribadi satu kali, menetapkan batas pembayaran yang ketat, atau menggunakan metode pembayaran elektronik.

Sumber: Bleeping Computer