Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / RAT

RAT

Malware Medusa Bergabung dengan Jaringan Distribusi Android Flubot

by

Flubot, spyware Android yang telah menyebar secara viral sejak tahun lalu, telah meningkatkan infrastrukturnya ke ancaman seluler lain yang dikenal sebagai Medusa.

Malware Flubot (alias Cabassous) dikirimkan ke target melalui teks SMS yang meminta mereka untuk menginstal aplikasi “pengiriman paket yang tidak terjawab” atau versi Flash Player palsu. Jika korban tertipu, malware diinstal, kemudian menambahkan perangkat yang terinfeksi ke botnet, setelah itu mendapatkan izin, mencuri informasi dan kredensial perbankan, mencabut kata sandi yang tersimpan di perangkat dan membuang berbagai informasi pribadi.

Rupanya, Medusa menyukai potongan jib Flubot: “Kecerdasan ancaman kami menunjukkan bahwa Medusa mengikuti dengan nama aplikasi, nama paket, dan ikon serupa yang persis sama,” catat peneliti ThreatFabric dalam analisis hari Senin. “Dalam waktu kurang dari sebulan, pendekatan distribusi ini memungkinkan Medusa menjangkau lebih dari 1.500 perangkat yang terinfeksi dalam satu botnet, menyamar sebagai DHL.”

Tidak seperti Flubot, yang terutama menyebar di Eropa, Medusa lebih merupakan ancaman dengan peluang yang sama dalam hal geografi. Kampanye terbaru menargetkan pengguna dari Kanada, Turki, dan Amerika Serikat.

“Setelah menargetkan organisasi keuangan Turki pada periode pertama kegiatannya pada tahun 2020, Medusa kini telah mengalihkan fokusnya ke Amerika Utara dan Eropa, yang menghasilkan [a] sejumlah besar perangkat yang terinfeksi,” catat peneliti ThreatFabric. “Didukung dengan beberapa fitur akses jarak jauh, Medusa menimbulkan ancaman kritis bagi organisasi keuangan di wilayah yang ditargetkan.”

Pertama kali ditemukan pada Juli 2020, Medusa (terkait dengan keluarga Tanglebot dari RAT) adalah trojan mobile banking yang dapat memperoleh kontrol hampir penuh atas perangkat pengguna, termasuk kemampuan untuk keylogging, aktivitas trojan perbankan, dan streaming audio dan video. Untuk boot, ia telah menerima beberapa pembaruan dan peningkatan dalam teknik pengaburannya saat ia melompat pada coattails infrastruktur Flubot, kata para peneliti.

Pertama, ia sekarang memiliki mesin skrip aksesibilitas yang memungkinkan aktor untuk melakukan serangkaian tindakan atas nama korban, dengan bantuan Layanan Aksesibilitas Android.

Pencatatan peristiwa aksesibilitas adalah peningkatan pendamping ke yang di atas. Dengan perintah khusus, Medusa dapat mengumpulkan informasi tentang jendela aktif, termasuk posisi bidang dan elemen tertentu dalam antarmuka pengguna, teks apa pun di dalam elemen tersebut, dan apakah bidang tersebut adalah bidang kata sandi.

Cuplikan berikut menunjukkan kode yang mengumpulkan informasi jendela aktif melalui node-nya:

Selanjutnya, dalam memeriksa panel back-end Medusa, peneliti mengamati operator malware yang menandai aplikasi perbankan dengan tag “BANK”, untuk mengontrol/mencatat bidang input.

Server perintah-dan-kontrol (C2) juga dapat memerintahkan Medusa untuk melakukan berbagai macam pekerjaan RAT, termasuk mengklik elemen UI tertentu, tidur, screenshot, mengunci layar, menyediakan daftar aplikasi terbaru dan membuka pemberitahuan terbaru. .

Flubot Mengembangkan Kemampuannya
Para peneliti juga memperhatikan bahwa penambahan Medusa ke dalam campuran tidak memperlambat pengembangan Flubot sendiri. Mereka menjelaskan bahwa sekarang memiliki “kemampuan baru yang belum pernah terlihat sebelumnya di malware mobile banking.”

Intinya: Dalam versi 5.4, Medusa mengambil kemampuan untuk menyalahgunakan fitur “Pemberitahuan Balasan Langsung” dari OS Android, yang memungkinkan malware untuk langsung membalas pemberitahuan push dari aplikasi yang ditargetkan pada perangkat korban. Pengguna tidak menyadari aktivitas tersebut, sehingga Flubot dapat mencegat mereka – membuka pintu untuk menggagalkan otentikasi dua faktor dan banyak lagi, kata para peneliti.

Potensi penyalahgunaan lain dari fungsi ini adalah untuk menanggapi interaksi aplikasi sosial dengan “pemberitahuan” yang berisi tautan phishing berbahaya.

Sumber : Threat Post

Malware Android BRATA menghapus perangkat Anda setelah mencuri data

by

Malware Android BRATA telah menambahkan fitur baru dan berbahaya ke versi terbarunya, termasuk pelacakan GPS, kapasitas untuk menggunakan beberapa saluran komunikasi, dan fungsi yang melakukan reset pabrik pada perangkat untuk menghapus semua jejak aktivitas berbahaya.

BRATA pertama kali ditemukan oleh Kaspersky pada tahun 2019 sebagai RAT Android (alat akses jarak jauh) yang terutama menargetkan pengguna Brasil.

Pada bulan Desember 2021 Cleafy menggarisbawahi munculnya malware di Eropa, di mana terlihat menargetkan pengguna e-banking dan mencuri kredensial mereka dengan keterlibatan penipu yang menyamar sebagai agen dukungan pelanggan bank.

Versi terbaru dari malware BRATA sekarang menargetkan pengguna e-banking di Inggris, Polandia, Italia, Spanyol, Cina, dan Amerika Latin.

Setiap varian berfokus pada bank yang berbeda dengan set overlay khusus, bahasa, dan bahkan aplikasi yang berbeda untuk menargetkan audiens tertentu.

Varian BRATA beredar di berbagai negara
Sumber: Cleafy

Penulis menggunakan teknik kebingungan serupa di semua versi, seperti membungkus file APK ke dalam paket JAR atau DEX terenkripsi.

Kebingungan ini berhasil melewati deteksi antivirus, seperti yang diilustrasikan oleh pemindaian VirusTotal di bawah ini.

Tingkat deteksi sampel terbaru
Sumber: Cleafy

BRATA sekarang secara aktif mencari tanda-tanda keberadaan AV pada perangkat dan mencoba untuk menghapus alat keamanan yang terdeteksi sebelum melanjutkan ke langkah eksfiltrasi data.

Alat AV dihapus oleh BRATA
Sumber: Cleafy

Fitur-fitur baru yang ditemukan oleh peneliti Cleafy dalam versi BRATA terbaru termasuk fungsi keylogging, yang melengkapi fungsi screen capture yang ada.

Meskipun tujuan pastinya tetap menjadi misteri bagi para analis, semua varian baru juga memiliki pelacakan GPS.

Fungsi reset pabrik
Sumber: Cleafy

Terakhir, BRATA telah menambahkan saluran komunikasi baru untuk bertukar data dengan server C2 dan sekarang mendukung HTTP dan WebSockets.

Komunikasi dengan C2 di BRATA baru
Sumber: Cleafy

Opsi WebSockets memberi aktor saluran langsung dan latensi rendah yang ideal untuk komunikasi waktu nyata dan eksploitasi manual langsung.

Selain itu, karena WebSockets tidak perlu mengirim header dengan setiap koneksi, volume lalu lintas jaringan yang mencurigakan berkurang, dan dengan perluasan, kemungkinan terdeteksi diminimalkan.

Cara terbaik untuk menghindari terinfeksi oleh malware Android adalah menginstal aplikasi dari Google Play Store, menghindari APK dari situs web yang teduh, dan selalu memindainya dengan alat AV sebelum dibuka.

Selama penginstalan, perhatikan baik-baik izin yang diminta dan hindari memberikan izin apa pun yang tampaknya tidak perlu untuk fungsionalitas inti aplikasi.

Terakhir, pantau konsumsi baterai dan volume lalu lintas jaringan untuk mengidentifikasi lonjakan yang tidak dapat dijelaskan yang mungkin dikaitkan dengan proses berbahaya yang berjalan di latar belakang.

Sumber : Bleeping Computer

Inggris memenjarakan pria karena memata-matai remaja, mencuri foto menggunakan RAT

by

Seorang pria Nottingham dipenjara minggu ini selama lebih dari dua tahun setelah meretas komputer dan telepon puluhan korban, beberapa di antaranya di bawah umur, dan memata-matai mereka menggunakan trojan akses jarak jauh (RAT).

Robert Davies, 32 tahun menggunakan profil media sosial online palsu dan akun Skype untuk memancing korbannya dan meretas perangkat mereka dengan mengirimkan tautan yang memungkinkannya menginfeksi mereka dengan RAT yang dikaburkan menggunakan crypters (ini membantu alat jahat menghindari alat deteksi anti-malware ).

“Dia kemudian menggunakan RAT untuk mendapatkan akses jarak jauh ke perangkat mereka dan mencuri gambar seksual (terutama wanita) yang mereka simpan di sana,” kata Badan Kejahatan Nasional Inggris dalam siaran pers.

Dia juga merupakan pelanggan “We Leak Info”, pasar online besar yang mengklaim menyediakan akses ke sekitar 12,5 miliar catatan yang dicuri dari pelanggaran data sebelum dihapus oleh penegak hukum pada Januari 2020.

Davies menggunakan aksesnya ke komputer dan telepon korban untuk mencuri dan membangun koleksi ekstensif gambar orang dewasa dan anak-anak yang tidak senonoh (penyelidik menemukan lusinan gambar dan video anak-anak saat menganalisis data di komputer yang disita).

Davies hanya mendarat di radar NCA setelah penyelidik melihatnya membeli berbagai alat kejahatan dunia maya secara online, termasuk RAT dan crypter yang kemudian dia gunakan untuk berkompromi dan mengakses perangkat korbannya dari jarak jauh.

“Yang lebih mengganggu adalah fakta bahwa setidaknya salah satu korbannya adalah seorang remaja dan kami menemukan koleksi gambar dan video pelecehan seksual anak di komputernya.”

Davies minggu ini dijatuhi hukuman 26 bulan penjara setelah mengaku bersalah atas 24 pelanggaran Undang-Undang Penyalahgunaan Komputer, memiliki dan membuat gambar anak-anak yang tidak senonoh, dan memiliki gambar-gambar porno yang ekstrim.

“Secara total petugas NCA mengidentifikasi dan mengunjungi lebih dari 30 korban Davies selama penyelidikan,” tambah NCA.

Hukuman itu dijatuhkan setelah ditangkap tiga kali selama hampir dua tahun, antara November 2019 dan Agustus 2021, setiap kali didakwa atas pelanggaran tambahan saat petugas menganalisis informasi yang dikumpulkan dari perangkatnya.

Sumber : Bleeping Computer

Ups: Cyberspies menginfeksi diri mereka sendiri dengan malware mereka sendiri

by

Setelah menginfeksi diri mereka sendiri dengan trojan akses jarak jauh (RAT), sebuah kelompok spionase dunia maya yang terkait dengan India secara tidak sengaja memaparkan operasinya kepada peneliti keamanan.

Pelaku ancaman telah aktif setidaknya sejak Desember 2015 dan dilacak sebagai PatchWork (alias Dropping Elephant, Chinastrats, atau Quilted Tiger) karena penggunaan kode copy-paste.

Malwarebytes Labs mengamati pelaku ancaman menggunakan dokumen RTF berbahaya yang meniru otoritas Pakistan untuk menginfeksi target dengan varian baru RAT BERITA BURUK, yang dikenal sebagai Ragnatela.

Ragnatela RAT memungkinkan pelaku ancaman untuk mengeksekusi perintah, mengambil snapshot layar, mencatat penekanan tombol, memanen file sensitif dan daftar aplikasi yang sedang berjalan, menyebarkan muatan tambahan, dan mengunggah file.

“Ironisnya, semua informasi yang kami kumpulkan dimungkinkan berkat aktor ancaman yang menginfeksi diri mereka sendiri dengan RAT mereka sendiri, menghasilkan penekanan tombol dan tangkapan layar yang ditangkap dari komputer dan mesin virtual mereka sendiri,” jelas Tim Intelijen Ancaman Malwarebytes Labs.

Setelah menemukan bahwa operator PatchWork menginfeksi sistem pengembangan mereka sendiri dengan RAT, para peneliti dapat memantau mereka saat menggunakan VirtualBox dan VMware untuk pengujian dan pengembangan web dan pengujian pada komputer dengan tata letak keyboard ganda (yaitu, Inggris dan India).

PatchWork menguji RAT Ragnatela (Malwarebytes LABS)

Saat mengamati operasi mereka, mereka juga memperoleh info tentang target yang dikompromikan kelompok, termasuk Kementerian Pertahanan Pakistan dan anggota fakultas dari kedokteran molekuler dan departemen ilmu biologi di beberapa universitas seperti Universitas Pertahanan Nasional Islam Abad, Fakultas Bio-Universitas UVAS. Sains, institut Penelitian HEJ Karachi, dan Universitas SHU.

Operator PatchWork sebelumnya telah menargetkan think tank AS pada Maret 2018 dalam beberapa kampanye spear-phishing menggunakan taktik yang sama dengan mendorong file RTF berbahaya untuk membahayakan sistem korban mereka dan varian malware QuasarRAT.

Dua bulan sebelumnya, pada Januari 2018, mereka diamati mendorong dokumen bersenjata yang mengirimkan malware BADNEWS dalam serangan terhadap target dari anak benua India.

Mereka juga berada di balik kampanye spear-phishing yang menargetkan karyawan organisasi pemerintah Eropa pada akhir Mei 2016.

Sumber : Bleeping Computer

RAT ‘DarkWatchman’ Menunjukkan Evolusi di Fileless Malware

by

Trojan akses jarak jauh (RAT) baru yang didistribusikan melalui kampanye spear-phishing berbahasa Rusia menggunakan manipulasi unik Windows Registry untuk menghindari sebagian besar deteksi keamanan, menunjukkan evolusi signifikan dalam teknik fileless malware.

Dijuluki DarkWatchman, RAT – ditemukan oleh para peneliti di Prevailion’s Adversarial Counterintelligence Team (PACT) – menggunakan registri pada sistem Windows untuk hampir semua penyimpanan sementara pada mesin dan dengan demikian tidak pernah menulis apa pun ke disk. Ini memungkinkannya “beroperasi di bawah atau di sekitar ambang deteksi sebagian besar alat keamanan,” tulis peneliti PACT Matt Stafford dan Sherman Smith dalam sebuah laporan yang diterbitkan Selasa malam.

Karena aspek-aspek tertentu dari fungsinya, para peneliti percaya bahwa DarkWatchman sedang digunakan oleh pelaku ransomware dan afiliasinya “sebagai muatan awal tahap pertama untuk penyebaran ransomware,” tulis mereka.

Aspek-aspek ini termasuk upayanya untuk menghapus shadow copy pada instalasi, pencariannya untuk target perusahaan – misalnya, smart-card readers – dan kemampuannya untuk memuat muatan tambahan dari jarak jauh, jelas mereka.

Secara keseluruhan, jelas bahwa rangkaian fitur DarkWatchman menunjukkan pekerjaan aktor ancaman yang canggih dan merupakan langkah maju yang penting dalam bagaimana penyerang dapat memperoleh entri awal dan kemudian mencapai persistant dan stealthy pada sistem Windows untuk mengekstrak data dan melakukan aktivitas jahat lainnya, tulis para peneliti.

Selengkapnya: Threat Post

Penipuan Android berbahaya menguras rekening bank Anda dengan satu panggilan telepon

by

Pemilik perangkat Android sekarang memiliki penipuan lain yang harus diwaspadai karena kampanye malware berbahaya menyebar ke wilayah baru.

Pakar keamanan siber dari Cleafy mengatakan bahwa mereka telah melihat lonjakan infeksi trojan akses jarak jauh (RAT) Android selama setahun terakhir.

Menurut Cleafy, BRATA – malware yang pertama kali ditemukan di Brasil – telah menyebar ke Italia. Peretas menggunakan trojan untuk mencuri detail perbankan dari pengguna Android dan kemudian menguras rekening bank mereka.

Seperti yang dijelaskan oleh pakar keamanan siber, versi baru malware BRATA ini sulit dideteksi.

Pertama, pelaku ancaman mengirim pesan teks SMS berisi tautan ke situs web. Teks tersebut tampaknya berasal dari bank. Ini adalah taktik yang dikenal sebagai smishing (phishing dengan SMS). Jika korban mengklik tautan tersebut, situs yang mereka kunjungi akan meminta mereka untuk mengunduh aplikasi anti-spam. Situs tersebut juga memberi tahu korban bahwa operator bank akan segera menghubungi mereka untuk membahas aplikasi yang mereka unduh.

Di sinilah BRATA berdiri terpisah dari kampanye malware Android umum lainnya.

Setelah Anda mengunjungi situs dan menawarkan informasi Anda, Anda akan menerima telepon dari operator penipuan. Orang sungguhan kemudian akan mencoba mempengaruhi Anda untuk mengunduh aplikasi berbahaya. Mereka akan menggunakan berbagai teknik rekayasa sosial untuk meyakinkan Anda bahwa mereka bekerja dengan bank. Jika Anda jatuh cinta, Anda mungkin akan menginstal aplikasi yang dapat digunakan peretas untuk mengontrol ponsel Anda.

Selengkapnya: BGR

Malware Linux Baru Bersembunyi di Cron Jobs Dengan Tanggal yang Tidak Valid

by

Peneliti keamanan telah menemukan trojan akses jarak jauh (RAT) baru untuk Linux yang membuat profil hampir tidak terlihat dengan bersembunyi di tugas yang dijadwalkan untuk dieksekusi pada hari yang tidak ada, 31 Februari.

Dijuluki CronRAT, malware saat ini menargetkan toko web dan memungkinkan penyerang mencuri data kartu kredit dengan menggunakan skimmer pembayaran online di server Linux.

Dicirikan oleh kecerdikan dan kecanggihan, sejauh menyangkut malware untuk toko online, CronRAT tidak terdeteksi oleh banyak mesin antivirus.

CronRAT menyalahgunakan sistem penjadwalan tugas Linux, cron, yang memungkinkan penjadwalan tugas berjalan pada hari yang tidak ada dalam kalender, seperti 31 Februari.

Sistem cron Linux menerima spesifikasi tanggal selama mereka memiliki format yang valid, meskipun hari tidak ada di kalender – yang berarti bahwa tugas yang dijadwalkan tidak akan dijalankan.

Inilah yang diandalkan CronRAT untuk mencapai silumannya. Sebuah laporan hari ini dari perusahaan keamanan siber Belanda Sansec menjelaskan bahwa mereka menyembunyikan “program Bash yang canggih” dalam nama tugas yang dijadwalkan.

“CronRAT menambahkan sejumlah tugas ke crontab dengan spesifikasi tanggal yang aneh: 52 23 31 2 3. Baris-baris ini valid secara sintaksis, tetapi akan menghasilkan kesalahan waktu proses saat dijalankan. Namun, hal ini tidak akan pernah terjadi karena mereka dijadwalkan untuk berjalan pada tanggal 31 Februari,” jelas Peneliti Sansec.

Payload dikaburkan melalui beberapa lapisan kompresi dan pengkodean Base64. Dibersihkan, kode tersebut mencakup perintah untuk penghancuran diri, modulasi waktu, dan protokol khusus yang memungkinkan komunikasi dengan server jarak jauh.

Sansec mencatat bahwa teknik eksekusi baru CronRAT juga melewati algoritma pendeteksiannya, eComscan, dan para peneliti harus menulis ulang untuk menangkap ancaman baru.

Selengkapnya: Bleeping Computer

Kampanye malware Discord menargetkan komunitas crypto dan NFT

by

Kampanye malware baru di Discord menggunakan crypter Babadeda untuk menyembunyikan malware yang menargetkan komunitas crypto, NFT, dan DeFi.

Babadeda adalah crypter yang digunakan untuk mengenkripsi dan mengaburkan muatan berbahaya dalam installer atau program aplikasi yang tidak berbahaya.

Mulai Mei 2021, aktor ancaman telah mendistribusikan trojan akses jarak jauh yang dikaburkan oleh Babadeda sebagai aplikasi yang sah di channel Discord bertema kripto.

Karena obfuscation yang kompleks, ia memiliki tingkat deteksi AV yang sangat rendah, dan menurut para peneliti di Morphisec, tingkat infeksinya meningkat pesat.

Rantai pengiriman dimulai di channel Discord publik yang memiliki audiens yang berfokus pada kripto, seperti penurunan NFT baru atau diskusi mata uang kripto.

Pelaku ancaman memposting di channel ini atau mengirim pesan pribadi ke calon korban, mengundang mereka untuk mengunduh game atau aplikasi.

Dalam beberapa kasus, para aktor meniru proyek perangkat lunak blockchain yang ada seperti game “Tambang Dalarna”.

Jika pengguna tertipu dan mengklik URL yang disediakan, mereka akan berakhir di situs umpan yang menggunakan domain cybersquatted yang mudah dilewati sebagai domain asli.

Domain ini menggunakan sertifikat LetsEncrypt yang valid dan mendukung koneksi HTTPS, sehingga semakin sulit bagi pengguna yang ceroboh untuk menyadari bahwa ini adalah penipuan.

Malware diunduh setelah mengklik tombol “Mainkan Sekarang” atau “Unduh aplikasi” di situs yang sudah dibuat oleh penyerang, bersembunyi dalam bentuk file DLL dan EXE di dalam arsip yang sekilas tampak seperti folder aplikasi biasa.

Jika pengguna mencoba untuk menjalankan installer, mereka akan menerima pesan kesalahan palsu untuk menipu korban agar berpikir bahwa tidak ada yang terjadi.

Namun, di latar belakang, eksekusi malware berlanjut, membaca langkah-langkah dari file XML untuk mengeksekusi utas baru dan memuat DLL yang akan menerapkan persistence.

Selengkapnya: Bleeping Computer