Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Region

Region

105 Juta Pengguna Android Ditargetkan oleh Kampanye Penipuan Berlangganan

by

Penipuan berlangganan layanan premium untuk Android telah beroperasi selama hampir dua tahun. Disebut ‘Dark Herring’, operasi ini menggunakan 470 aplikasi Google Play Store dan mempengaruhi lebih dari 100 juta pengguna di seluruh dunia, berpotensi menyebabkan ratusan juta USD dalam total kerugian.

‘Dark Herring’ hadir di 470 aplikasi di Google Play Store, sumber aplikasi resmi dan paling dapat dipercaya Android, dengan pengiriman paling awal berasal dari Maret 2020.

Secara total, aplikasi penipuan diinstal oleh 105 juta pengguna di 70 negara, berlangganan mereka ke layanan premium yang mengenakan biaya $ 15 per bulan melalui Direct Carrier Billing (DCB).

Bagaimana malware bekerja

Keberhasilan jangka panjang Dark Herring mengandalkan kemampuan anti-deteksi AV, propagasi melalui sejumlah besar aplikasi, kebingungan kode, dan penggunaan proxy sebagai URL tahap pertama.

Meskipun tidak ada hal di atas yang baru atau inovatif, melihat mereka digabungkan menjadi satu bagian dari perangkat lunak jarang terjadi untuk penipuan Android.

Selain itu, para aktor menggunakan infrastruktur canggih yang menerima komunikasi dari semua pengguna dari 470 aplikasi tetapi ditangani masing-masing secara terpisah berdasarkan pengenal unik.

Aplikasi yang diinstal tidak berisi kode berbahaya tetapi memiliki string terenkripsi berkode keras yang menunjuk ke URL tahap pertama yang dihosting di Amazon CloudFront.

Respons dari server berisi tautan ke file JavaScript tambahan yang dihosting pada instans AWS, yang diunduh ke perangkat yang terinfeksi.

Skrip ini mempersiapkan aplikasi untuk memperoleh konfigurasinya sehubungan dengan korban, menghasilkan pengidentifikasi unik, mengambil detail bahasa dan negara dan menentukan platform DCB mana yang berlaku dalam setiap kasus.

Akhirnya, aplikasi ini menyajikan halaman WebView yang disesuaikan yang meminta korban untuk memasukkan nomor telepon mereka, yang diduga menerima kode OTP (kode sandi satu kali) sementara untuk mengaktifkan akun pada aplikasi.

Aplikasi dan target

Dengan 470 aplikasi untuk mendistribusikan malware, demografi yang ditargetkan cukup beragam. Sebagian besar aplikasi ini termasuk dalam kategori “Hiburan” yang lebih luas dan lebih populer.

Aplikasi Dark Herring lainnya yang lazim adalah alat fotografi, game kasual, utilitas, dan aplikasi produktivitas.

Salah satu faktor kunci dalam konsekuensi dari operasi Dark Herring adalah tidak adanya undang-undang perlindungan konsumen DCB, sehingga beberapa negara menjadi sasaran lebih mantap daripada yang lain.

Mereka yang berisiko lebih besar adalah India, Pakistan, Arab Saudi, Mesir, Yunani, Finlandia, Swedia, Norwegia, Bulgaria, Irak, dan Tunisia.

Bahkan di negara-negara di mana aturan perlindungan DCB yang ketat berlaku, jika para korban terlambat menyadari penipuan, mengembalikan transaksi mungkin tidak mungkin.

Untuk mengakses seluruh daftar semua 470 aplikasi Android berbahaya, lihat halaman GitHub ini.

Sumber: Bleepingcomputer

White House memberi tahu agensi untuk mengadopsi model keamanan ‘Zero Trust’

by

White House ingin pemerintah mengadopsi model keamanan yang disebut Zero Trust dalam dua tahun ke depan. Office of Management and Budget (OMB) merilis strategi federal final yang menjabarkan detail awal dari perubahan tersebut.

Dokumen tersebut memberi tahu agensi untuk masing-masing menunjuk pemimpin implementasi strategi dalam waktu 30 hari. Agensi diberi waktu 60 hari untuk menyerahkan rencana implementasi ke OMB dan Cybersecurity and Infrastructure Security Agency (CISA).

Pendekatan Zero Trust didasarkan pada gagasan bahwa perangkat dan koneksi lokal tidak dapat sepenuhnya dipercaya. Pengguna perlu diotorisasi, diautentikasi, dan terus divalidasi. Organisasi biasanya memiliki kendali atas Zero Trust setup, dan pengguna serta perangkat sering kali hanya diberikan akses ke data, aplikasi, dan layanan penting.

Di bawah pendekatan ini, aplikasi perusahaan akan diuji secara internal dan eksternal sebelum staf dapat mengaksesnya melalui cloud. OMB juga mengatakan tim keamanan federal dan tim data akan bekerja sama “untuk mengembangkan kategori data dan aturan keamanan untuk secara otomatis mendeteksi dan akhirnya memblokir akses tidak sah ke informasi sensitif.”

Strategi tersebut mengarahkan agensi untuk memanfaatkan autentikasi multi-faktor yang kuat dan tahan terhadap phishing, mungkin menggunakan metode fisik seperti kartu Verifikasi Identitas Pribadi. OMB juga memberi tahu agensi untuk memiliki inventaris lengkap perangkat yang diotorisasi dan digunakan untuk bisnis resmi dan untuk memastikan mereka memenuhi standar CISA.

Selengkapnya: Endgadget

Malware Android BRATA menghapus perangkat Anda setelah mencuri data

by

Malware Android BRATA telah menambahkan fitur baru dan berbahaya ke versi terbarunya, termasuk pelacakan GPS, kapasitas untuk menggunakan beberapa saluran komunikasi, dan fungsi yang melakukan reset pabrik pada perangkat untuk menghapus semua jejak aktivitas berbahaya.

BRATA pertama kali ditemukan oleh Kaspersky pada tahun 2019 sebagai RAT Android (alat akses jarak jauh) yang terutama menargetkan pengguna Brasil.

Pada bulan Desember 2021 Cleafy menggarisbawahi munculnya malware di Eropa, di mana terlihat menargetkan pengguna e-banking dan mencuri kredensial mereka dengan keterlibatan penipu yang menyamar sebagai agen dukungan pelanggan bank.

Versi terbaru dari malware BRATA sekarang menargetkan pengguna e-banking di Inggris, Polandia, Italia, Spanyol, Cina, dan Amerika Latin.

Setiap varian berfokus pada bank yang berbeda dengan set overlay khusus, bahasa, dan bahkan aplikasi yang berbeda untuk menargetkan audiens tertentu.

Varian BRATA beredar di berbagai negara
Sumber: Cleafy

Penulis menggunakan teknik kebingungan serupa di semua versi, seperti membungkus file APK ke dalam paket JAR atau DEX terenkripsi.

Kebingungan ini berhasil melewati deteksi antivirus, seperti yang diilustrasikan oleh pemindaian VirusTotal di bawah ini.

Tingkat deteksi sampel terbaru
Sumber: Cleafy

BRATA sekarang secara aktif mencari tanda-tanda keberadaan AV pada perangkat dan mencoba untuk menghapus alat keamanan yang terdeteksi sebelum melanjutkan ke langkah eksfiltrasi data.

Alat AV dihapus oleh BRATA
Sumber: Cleafy

Fitur-fitur baru yang ditemukan oleh peneliti Cleafy dalam versi BRATA terbaru termasuk fungsi keylogging, yang melengkapi fungsi screen capture yang ada.

Meskipun tujuan pastinya tetap menjadi misteri bagi para analis, semua varian baru juga memiliki pelacakan GPS.

Fungsi reset pabrik
Sumber: Cleafy

Terakhir, BRATA telah menambahkan saluran komunikasi baru untuk bertukar data dengan server C2 dan sekarang mendukung HTTP dan WebSockets.

Komunikasi dengan C2 di BRATA baru
Sumber: Cleafy

Opsi WebSockets memberi aktor saluran langsung dan latensi rendah yang ideal untuk komunikasi waktu nyata dan eksploitasi manual langsung.

Selain itu, karena WebSockets tidak perlu mengirim header dengan setiap koneksi, volume lalu lintas jaringan yang mencurigakan berkurang, dan dengan perluasan, kemungkinan terdeteksi diminimalkan.

Cara terbaik untuk menghindari terinfeksi oleh malware Android adalah menginstal aplikasi dari Google Play Store, menghindari APK dari situs web yang teduh, dan selalu memindainya dengan alat AV sebelum dibuka.

Selama penginstalan, perhatikan baik-baik izin yang diminta dan hindari memberikan izin apa pun yang tampaknya tidak perlu untuk fungsionalitas inti aplikasi.

Terakhir, pantau konsumsi baterai dan volume lalu lintas jaringan untuk mengidentifikasi lonjakan yang tidak dapat dijelaskan yang mungkin dikaitkan dengan proses berbahaya yang berjalan di latar belakang.

Sumber : Bleeping Computer

Geng Ransomware meningkatkan upaya untuk meminta orang dalam untuk menyerang

by

Sebuah survei terhadap 100 perusahaan IT Amerika Utara besar (lebih dari 5.000 karyawan) menunjukkan bahwa pelaku ransomware melakukan upaya yang lebih besar untuk merekrut orang dalam di perusahaan yang ditargetkan untuk membantu dalam serangan.

Dibandingkan dengan survei sebelumnya, terdapat peningkatan 17% dalam jumlah karyawan yang menawarkan uang untuk membantu serangan ransomware terhadap majikan mereka.

Persentase perusahaan yang didekati oleh pelaku ransomware
Sumber: Hitachi ID

Pelaku ancaman biasanya menggunakan email dan media sosial untuk menghubungi karyawan, tetapi 27% dari upaya pendekatan mereka dilakukan melalui panggilan telepon, cara kontak langsung dan berani.

Adapun uang yang ditawarkan kepada karyawan, sebagian besar menerima tawaran di bawah $500.000, tetapi beberapa proposal berada di utara satu juta USD.

Jumlah yang ditawarkan kepada karyawan nakal
Sumber: Hitachi ID

Sebagaimana tercermin dalam temuan survei Hitachi ID, ancaman orang dalam umumnya diabaikan, diremehkan, dan tidak diperhitungkan saat mengembangkan rencana keamanan siber.

Ketika eksekutif TI ditanyai tentang seberapa khawatir mereka tentang ancaman internal, 36% menjawab dengan lebih khawatir tentang ancaman eksternal, dengan 3% tidak khawatir tentang ancaman sama sekali.

Apa yang eksekutif TI pikirkan tentang ancaman orang dalam
Sumber: Hitachi ID

CISA merilis alat yang dapat membantu perusahaan menilai sikap mereka terhadap ancaman orang dalam pada September 2021, memperingatkan bahwa tren tertentu sedang meningkat.

Entitas yang memutuskan untuk meningkatkan pelatihan karyawan dan mengirim email palsu kepada karyawan di area kritis dengan laporan karyawan yang tidak puas atau indikator kinerja rendah. Namun, sebagian besar belum menerapkan langkah-langkah keamanan khusus untuk mengatasi masalah tersebut.

Fakta bahwa Amerika Serikat sedang mengalami lonjakan berhenti dari pekerjaan yang disebut “Pengunduran Diri Hebat” meningkatkan peluang keberhasilan bagi aktor ransomware dalam negosiasi yang aneh ini.

Banyak orang yang merasa stres berlebihan, dibayar rendah, dieksploitasi, kelelahan, atau merasa bahwa pekerjaan tidak lagi sepadan dengan waktu dan energi mereka.

Orang-orang ini terlihat sebagai kandidat ideal untuk geng ransomware yang membujuk mereka dengan bayaran besar untuk menjadi kaki tangan jangka pendek.

Sumber : Bleeping Computer

FBI Memperingatkan Kode QR Berbahaya yang Digunakan untuk Mencuri Uang Anda

by

Biro Investigasi Federal (FBI) memperingatkan orang Amerika minggu ini bahwa penjahat dunia maya menggunakan kode Quick Response (QR) yang dibuat dengan jahat untuk mencuri kredensial dan info keuangan mereka.

Peringatan itu dikeluarkan sebagai pengumuman layanan publik (PSA) yang diterbitkan di Pusat Pengaduan Kejahatan Internet Biro (IC3) awal pekan ini.

“Penjahat dunia maya merusak kode QR untuk mengarahkan korban ke situs berbahaya yang mencuri informasi login dan keuangan,” kata lembaga penegak hukum federal.

FBI mengatakan penjahat beralih kode QR yang sah yang digunakan oleh bisnis untuk tujuan pembayaran untuk mengarahkan korban potensial ke situs web berbahaya yang dirancang untuk mencuri informasi pribadi dan keuangan mereka, menginstal malware di perangkat mereka, atau mengalihkan pembayaran mereka ke akun di bawah kendali mereka.

Setelah para korban memindai apa yang tampak seperti kode yang sah, mereka dikirim ke situs phishing penyerang, di mana mereka diminta untuk memasukkan info login dan keuangan mereka. Setelah masuk, itu akan dikirim ke penjahat cyber yang dapat menggunakannya untuk mencuri uang menggunakan rekening perbankan yang dibajak.

“Sementara kode QR tidak berbahaya, penting untuk berhati-hati ketika memasukkan informasi keuangan serta memberikan pembayaran melalui situs yang dinavigasi melalui kode QR,” tambah FBI. “Penegakan hukum tidak dapat menjamin pemulihan dana yang hilang setelah transfer.”

Perhatikan saat memindai kode QR

FBI menyarankan orang Amerika untuk memperhatikan URL yang mereka kirim setelah memindai kode QR, selalu berhati-hati saat memasukkan data mereka setelah memindai kode QR, dan memastikan bahwa kode QR fisik belum tercakup dengan yang berbahaya.

Anda juga harus menghindari menginstal aplikasi melalui kode QR atau menginstal pemindai kode QR (sebagai gantinya, gunakan yang disertakan dengan OS ponsel Anda).

Last but not least, selalu masukkan URL dengan tangan saat melakukan pembayaran alih-alih memindai kode QR yang dapat diatur untuk mengarahkan Anda ke situs berbahaya.

Sumber: Bleepingcomputer

Senat Italia Tak Sengaja Mainkan Video NSFW Tifa Lockhart

by

Selama pandemi, rapat Zoom telah menjadi sarana komunikasi yang disukai. Terutama karena itu berarti tidak ada yang terkena penyakit yang berpotensi mematikan, tetapi juga karena itu berarti bahwa fungsi vital negara masih dapat dilakukan dari kenyamanan rumah Anda sendiri. Oleh karena itu, rapat Zoom adalah berapa banyak pemerintah negara bagian yang melakukan bisnis akhir-akhir ini.

Namun, itu juga memunculkan bentuk baru cybervandalism. Zoombombing, seperti yang disebut, adalah ketika seorang hacker berhasil menyerang pertemuan Zoom dan kemudian mengambil alih layar presenter, sering memainkan materi cabul atau ofensif segera setelah mereka mendapatkan kendali. Inilah yang terjadi selama pertemuan baru-baru ini antara senator Italia.

Seperti dicatat oleh AnimeClickIT, konferensi ini diselenggarakan senin oleh pemenang Hadiah Nobel Giorgio Parisi dan menampilkan beberapa senator Italia. Pada titik tertentu selama panggilan Zoom, seorang pengguna bernama Alex Spence masuk ke panggilan dan mulai menyiarkan video hentai. Yang pertama menampilkan Tifa Lockhart, yang telah berada di garis depan video hentai buatan penggemar selama beberapa dekade.

Setelah video mendapat teriakan alarm (termasuk setidaknya satu “oh Christo” dari senator Maria Laura Mantovani) tim teknologi konferensi berusaha untuk mendapatkan kembali kendali, hanya untuk memiliki video hentai lain yang diputar yang menampilkan Xiangling Genshin Impact. Alex kemudian ditendang dari panggilan konferensi.

Mantovani bersumpah untuk melaporkan insiden itu ke polisi, tetapi bisa sangat sulit untuk mengadili kasus-kasus ini karena seringkali pengacau tidak tinggal di negara yang sama.

Jika Anda ingin mengalami kepanikan dan kebingungan yang sama dengan senator Italia, sayangnya Anda harus menggulir beberapa posting dari tautan ini di sini untuk menemukannya. Dan jika deskripsi di atas tidak membuat hal-hal sangat jelas, konten yang akan Anda alami harus dibatasi untuk pemirsa dewasa. Dan juga penonton yang ingin melihat Tifa Lockhart dalam pergolakan gairah sementara senator Italia berteriak untuk mematikannya. Saya berharap ini menjadi kategori PornHub yang anehnya segera.

Sumber: THEGAMER

Olimpiade Musim Dingin: Atlet Disarankan Menggunakan Pembakar Telepon Beijing

by

Aplikasi Olimpiade Musim Dingin Beijing yang harus digunakan semua peserta Olimpiade mengandung kelemahan keamanan yang membuat pengguna terkena pelanggaran data, kata para analis.

Aplikasi My2022 akan digunakan oleh atlet, anggota audiens dan media untuk pemantauan Covid setiap hari.

Aplikasi ini juga akan menawarkan obrolan suara, transfer file, dan berita Olimpiade.

Tetapi kelompok cybersecurity Citizen Lab mengatakan aplikasi itu gagal memberikan enkripsi pada banyak filenya. China telah menepis kekhawatiran tersebut.

Pertanyaan tentang aplikasi datang di tengah meningkatnya peringatan tentang keamanan teknologi pengunjung menjelang Olimpiade, yang dimulai pada 4 Februari.

Orang-orang yang menghadiri Olimpiade Beijing harus membawa ponsel pembakar dan membuat akun email untuk waktu mereka di China, perusahaan keamanan cyber Internet 2.0 mengatakan pada hari Selasa.

Beberapa negara juga dilaporkan telah mengatakan kepada para atlet untuk meninggalkan perangkat utama mereka di rumah.

Masalah sensor

Laporan Citizen Lab mengatakan telah menemukan daftar “kata kunci sensor” yang dibangun ke dalam aplikasi, dan fitur yang memungkinkan orang untuk menandai ekspresi “sensitif secara politik” lainnya.

Daftar kata-kata termasuk nama-nama pemimpin Cina dan lembaga pemerintah, serta referensi untuk pembunuhan 1989 demonstran pro-demokrasi di Lapangan Tiananmen, dan kelompok agama Falun Gong, yang dilarang di Cina.

Para analis mencatat bahwa fitur dan kelemahan keamanan ini tidak jarang terjadi pada aplikasi di China tetapi menimbulkan risiko bagi pengguna.

Analis mengatakan file “kata-kata ilegal” tampaknya saat ini tidak aktif, tetapi tidak jelas.

Semua pengunjung Ke Olimpiade diharuskan mengunduh aplikasi 14 hari sebelum keberangkatan mereka ke China, dan menggunakannya untuk merekam setiap hari status Covid mereka.

Untuk pengunjung asing mereka juga perlu mengunggah informasi sensitif yang sudah diserahkan kepada pemerintah China – seperti rincian paspor dan riwayat perjalanan dan medis.

Citizen Lab mengatakan kelemahan transmisi dalam perangkat lunak aplikasi dapat menyebabkan eksploitasi data yang mudah oleh peretas, jika ditargetkan.

Dalam sebuah laporan pada hari Selasa, outlet media pemerintah China Global Times menepis kekhawatiran tentang aplikasi tersebut, dengan mengatakan “semua informasi pribadi akan dienkripsi untuk memastikan privasi”.

Ini membandingkan aplikasi dengan aplikasi yang telah digunakan di Olimpiade Tokyo.

Sumber: BBC

Pemerintah Ukraina Secara Resmi Menuduh Rusia atas Serangan Siber Baru-baru ini

by

Pemerintah Ukraina secara resmi menuduh Rusia mendalangi serangan yang menargetkan situs web lembaga publik dan lembaga pemerintah pekan lalu.

“Semua bukti menunjukkan fakta bahwa Rusia berada di balik serangan siber,” kata Kementerian Transformasi Digital dalam sebuah pernyataan. “Moskow terus mengobarkan perang hibrida dan secara aktif membangun kekuatan di bidang informasi dan dunia maya.”

Tujuan serangan itu, kata kementerian itu, “tidak hanya untuk mengintimidasi masyarakat,” tetapi juga “menggoyahkan situasi di Ukraina dengan menghentikan pekerjaan sektor publik dan merusak kepercayaan pada pemerintah di pihak Ukraina.”

Rusia, telah membantah berada di balik intrusi tersebut. “Kami tidak ada hubungannya dengan itu, dan Rusia tidak ada hubungannya dengan serangan siber ini,” Dmitry Peskov, sekretaris pers untuk Presiden Vladimir Putin, mengatakan “Kami hampir terbiasa dengan fakta bahwa Ukraina menyalahkan segalanya pada Rusia, bahkan cuaca buruk mereka.”

Pengungkapan itu muncul ketika sejumlah situs web pemerintah Ukraina dirusak pada hari Jumat dengan pesan tidak menyenangkan yang mengancam warganya untuk “takut dan mengharapkan yang terburuk” dan menuduh informasi pribadi mereka telah diretas.

Menurut Layanan Keamanan Ukraina (SSU), serangan itu diyakini telah dilakukan setelah aktor jahat memperoleh akses ke infrastruktur perusahaan swasta yang memiliki hak untuk mengelola beberapa situs web yang terpengaruh.

Secara terpisah, Microsoft memperingatkan malware penghapus data destruktif yang menyamar sebagai ransomware yang digunakan dalam serangan terhadap banyak organisasi di Ukraina. Perusahaan, yang menyebut keluarga malware baru ini WhisperGate, mengaitkannya dengan kluster ancaman yang dilacaknya sebagai DEV-0586.

Sumber : The Hacker News