Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Scam

Scam

Kampanye Peretasan Pro-Rusia Merajalela di Ukraina

by

Pelaku ancaman pro-Rusia melanjutkan pengejaran tanpa henti mereka terhadap target Ukraina, dengan serangkaian kampanye yang mencakup aplikasi Android palsu, serangan peretasan yang mengeksploitasi kerentanan kritis, dan serangan phishing email yang mencoba mengambil kredensial login, kata peneliti dari Google.

Salah satu kampanye baru-baru ini datang dari Turla, aktor ancaman gigih tingkat lanjut berbahasa Rusia yang telah aktif setidaknya sejak 1997 dan merupakan salah satu yang paling canggih secara teknis di dunia. Menurut Google, kelompok tersebut menargetkan sukarelawan pro-Ukraina dengan aplikasi Android yang berperan sebagai landasan peluncuran untuk melakukan serangan penolakan layanan terhadap situs web Rusia.

“Yang perlu Anda lakukan untuk meluncurkan prosesnya adalah menginstal aplikasi, membukanya dan tekan mulai,” klaim situs palsu yang mempromosikan aplikasi tersebut. “Aplikasi segera mulai mengirim permintaan ke situs web Rusia untuk membanjiri sumber daya mereka dan menyebabkan penolakan layanan.”

Faktanya, aplikasi mengirimkan satu permintaan GET ke situs web target. Di balik layar, peneliti Google yang berbeda mengatakan kepada Vice bahwa aplikasi tersebut dirancang untuk memetakan infrastruktur Internet pengguna dan “mencari tahu di mana orang-orang yang berpotensi melakukan serangan semacam ini.”

Aplikasi, yang dihosting di domain spoofing Resimen Azov Ukraina, meniru aplikasi Android lain yang pertama kali dilihat Google pada bulan Maret yang juga mengklaim melakukan serangan DoS terhadap situs Rusia. Tidak seperti aplikasi Turla, stopwar.apk, seperti nama aplikasi yang terakhir, mengirimkan aliran permintaan terus-menerus hingga pengguna menghentikannya.

“Berdasarkan analisis kami, kami percaya bahwa aplikasi StopWar dikembangkan oleh pengembang pro-Ukraina dan menjadi inspirasi bagi aktor Turla yang mendasari aplikasi CyberAzov DoS palsu mereka,” tulis peneliti Google Billy Leonard.

Kelompok peretas lain yang disponsori oleh Kremlin juga menargetkan kelompok Ukraina. Kampanye termasuk eksploitasi Follina, nama yang diberikan untuk kerentanan kritis di semua versi Windows yang didukung yang secara aktif ditargetkan di alam liar selama lebih dari dua bulan sebagai zero-day.

Peneliti Google mengkonfirmasi laporan CERT-UA dari bulan Juni yang mengatakan kelompok peretasan berbeda yang disponsori Kremlin — dilacak dengan berbagai nama termasuk Fancy Bear, yang dikenal sebagai Pawn Storm, Sofacy Group, dan APT28 — juga mengeksploitasi Follina dalam upaya untuk menginfeksi target dengan malware yang dikenal sebagai CredoMap. Selain itu, Google mengatakan bahwa Sandworm—kelompok lain yang disponsori oleh pemerintah Rusia—juga mengeksploitasi Follina. Kampanye itu menggunakan akun pemerintah yang disusupi untuk mengirim tautan ke dokumen Microsoft Office yang dihosting di domain yang disusupi, terutama menargetkan organisasi media di Ukraina.

Perusahaan keamanan Palo Alto Networks, sementara itu, melaporkan pada hari Selasa bahwa kelompok peretasan Cloaked Ursa Rusia (juga dikenal sebagai APT29, Nobelium, dan Cozy Bear) juga telah meningkatkan serangan malware sejak dimulainya invasi Rusia ke Ukraina, sebagian dengan membuat file berbahaya. untuk diunduh tersedia di Dropbox dan Google Drive. Badan intelijen AS dan Inggris secara terbuka mengaitkan APT29 dengan Badan Intelijen Asing (SVR) Rusia.

“Ini sejalan dengan fokus penargetan historis grup, sejak kampanye malware melawan Chechnya dan negara-negara bekas blok Soviet lainnya pada 2008,” tulis peneliti Palo Alto Networks, Mike Harbison dan Peter Renals. Baru-baru ini, APT29 telah dikaitkan dengan peretasan Komite Nasional Demokrat AS yang ditemukan pada tahun 2016 dan serangan rantai pasokan SolarWinds dari tahun 2020.

Baru-baru ini, seorang aktor bermotivasi finansial yang dilacak sebagai UAC-0098 meniru Layanan Pajak Negara Ukraina dan mengirimkan dokumen jahat yang berusaha mengeksploitasi Follina. Google mengatakan aktor tersebut adalah mantan broker akses ransomware awal yang sebelumnya bekerja dengan grup ransomware Conti.

“Agresi militer Rusia yang tidak beralasan dan tidak dapat dibenarkan terhadap Ukraina telah disertai dengan peningkatan signifikan aktivitas siber berbahaya, termasuk sejumlah peretas dan kelompok peretas yang menyerang dan mengkhawatirkan tanpa pandang bulu yang menargetkan entitas penting secara global,” tulis pejabat Uni Eropa. “Peningkatan aktivitas siber berbahaya ini, dalam konteks perang melawan Ukraina, menciptakan risiko efek limpahan yang tidak dapat diterima, salah tafsir, dan kemungkinan eskalasi.”

Sumber: Ars Technica

Google ads ‘YouTube’ yang terlihat meyakinkan membawa pengunjung ke penipuan Windows support

by

Iklan Google Penelusuran YouTube yang tampak realistis mengarahkan pengunjung ke penipuan tech support yang berpura-pura menjadi peringatan keamanan dari Windows Defender.

Hari ini, perusahaan keamanan siber Malwarebytes mengungkapkan bahwa mereka menemukan kampanye malvertising “besar” yang menyalahgunakan iklan Google.

Saat mencari kata kunci terkait “YouTube”, iklan pertama yang ditampilkan di hasil pencarian berjudul, ‘YouTube – Video YouTube Terbaik’ atau ‘YouTube.com – YouTube – Video YouTube Terbaik untuk Anda.’

Dilihat dari iklannya, tidak ada yang terlihat mencurigakan, karena berisi URL youtube.com yang benar dan juga menampilkan elemen iklan tambahan di bawah iklan, seperti yang ditunjukkan di bawah ini.

Iklan YouTube palsu di hasil pencarian Google
Sumber: BleepingComputer

Namun, mengklik iklan tidak akan membawa Anda ke YouTube melainkan ke penipuan dukungan teknis yang berpura-pura menjadi peringatan keamanan dari Windows Defender.

Dari tes yang dilakukan oleh BleepingComputer, penipuan dukungan teknis terletak di URL http://matkir[.]ml dan http://159.223.199[.]181/ dan memperingatkan pengunjung bahwa ‘Windows diblokir karena aktivitas yang meragukan’ dan bahwa Windows Defender mendeteksi Trojan Spyware bernama ‘Ads.financetrack(2).dll.’

Penipuan Dukungan Teknis ditunjukkan oleh iklan Google untuk Youtube
Sumber: BleepingComputer

Bagi mereka yang menggunakan VPN, kabar baiknya adalah situs scam akan memeriksa apakah Anda menjalankan VPN dan, jika demikian, mengarahkan pengguna ke situs YouTube yang sah.

Dalam kebanyakan kasus, scammers akan mengunci komputer Anda entah bagaimana atau memberi tahu Anda bahwa komputer Anda terinfeksi dan Anda perlu membeli lisensi dukungan. Either way mengarah ke kontrak dukungan mahal yang tidak memberikan manfaat bagi korban.

Kampanye malvertising masih berjalan di Google Penelusuran saat ini seperti yang ditunjukkan oleh tweet dari Malwarebytes.

Apa yang membuat kampanye malvertising ini begitu menakutkan adalah karena menunjukkan bahwa pelaku ancaman dapat membuat iklan yang meniru perusahaan untuk mendistribusikan malware, halaman phishing, atau jenis serangan lainnya.

Sumber: Bleeping Computer

Akun Twitter dan YouTube Angkatan Darat Inggris diretas untuk mendorong penipuan crypto

by

Akun Twitter dan YouTube Angkatan Darat Inggris diretas dan diubah untuk mempromosikan penipuan kripto online kemarin.

Khususnya, akun Twitter terverifikasi tentara mulai menampilkan NFT palsu dan skema pemberian kripto palsu.

Akun YouTube terlihat menayangkan streaming langsung “Ark Invest” yang menampilkan klip Elon Musk yang lebih lama untuk menyesatkan pengguna agar mengunjungi situs penipuan cryptocurrency.

Dalam sebuah pernyataan yang dirilis tadi malam, Kementerian Pertahanan Inggris mengkonfirmasi telah mendapatkan kembali kendali atas akun Twitter dan YouTube-nya yang telah diretas untuk mempromosikan penipuan cryptocurrency.

Pelaku ancaman telah membajak akun media sosial Angkatan Darat untuk mendorong Non-Fungible Token (NFT) palsu dan skema pemberian crypto palsu.

Akun Twitter terverifikasi Angkatan Darat Inggris diretas dan diganti namanya menjadi ‘pssssd’ (Wayback Machine)

Peretas semakin menargetkan akun Twitter terverifikasi untuk melakukan berbagai aktivitas jahat—mulai dari menipu korban demi uang hingga mengirimkan pemberitahuan “penangguhan” akun palsu, seperti yang dilaporkan oleh BleepingComputer minggu ini.

Twitter biasanya memverifikasi akun hanya jika akun tersebut mewakili selebritas, politisi, jurnalis, aktivis, pemberi pengaruh terkemuka, serta organisasi pemerintah dan swasta.

Untuk menerima ‘lencana biru’ terverifikasi, pengguna Twitter harus mengajukan permohonan verifikasi dan mengirimkan dokumentasi pendukung untuk menunjukkan mengapa akun mereka ‘terkenal.’

Mendapatkan lencana biru tidak mudah dan memilikinya dapat membuat akun terlihat lebih “asli”, yang membuatnya memberi insentif bagi pelaku ancaman untuk meretas akun terverifikasi yang ada dan merusaknya untuk tujuan mereka.

Dengan cara yang sama, saluran YouTube Angkatan Darat Inggris memulai “streaming langsung” video lama Elon Musk untuk memikat pengguna agar mengunjungi situs penipuan crypto “Ark Invest” palsu.

Saluran YouTube Angkatan Darat Inggris mempromosikan skema crypto Elon Musk palsu​​​​

Perhatikan, streaming langsung “Ark Invest” yang digunakan dalam serangan ini juga bukan hal baru.

Pada bulan Mei tahun ini, peneliti keamanan McAfee dan BleepingComputer telah melaporkan melihat banyak streaming langsung YouTube “Ark Invest” Elon Musk. Pada bulan Mei, Penipu di balik serangan semacam itu telah mencuri lebih dari $1,3 juta setelah streaming ulang versi yang diedit dari diskusi panel langsung lama tentang cryptocurrency yang menampilkan Elon Musk, Jack Dorsey, dan Cathie Wood di konferensi “The Word” Ark Invest.

Masih belum diketahui bagaimana tepatnya dua akun media sosial Angkatan Darat Inggris dibajak hampir bersamaan, dan apakah ada yang menjadi korban penipuan ini.

Sumber: Bleeping Computer

Apple masih belum menangkap aplikasi scam, dan kali ini ada di Mac

by

Pemburu / pengembang aplikasi scam Kosta Eleftheriou, yang dikenal karena menangkap penipuan mengerikan yang berhasil melewati proses peninjauan Apple, sekali lagi membawa perhatian pada aplikasi baru yang dijajakan melalui App Store.

Kali ini mereka menggunakan Mac, dan mereka menggunakan pop-up yang membuatnya sangat sulit untuk keluar dari aplikasi tanpa menyetujui harga berlangganan yang keterlaluan — semua tanpa sepengetahuan Apple, meskipun argumennya bahwa proses Peninjauan Aplikasinya membuat perangkat dan pengguna tetap terjaga. aman.

Aplikasi yang memulai perburuan, yang tampaknya ditemukan oleh Edoardo Vacchi, disebut My Metronome. Menurut Vacchi, Eleftheriou, dan ulasan pengguna, aplikasi terkunci dan tidak akan membiarkan Anda keluar menggunakan pintasan keyboard atau bilah menu sampai Anda menyetujui langganan $9,99 per bulan. (Namun, itu dapat dihentikan secara paksa.)

Eleftheriou mengatakan kepada The Verge bahwa “sepertinya pengembang ini telah bereksperimen dengan berbagai teknik selama bertahun-tahun untuk mencegah orang menutup paywall,” mengarahkan kami ke beberapa aplikasi lain yang masih ada di toko dengan perilaku serupa — kita akan membahasnya sebentar lagi.

Beberapa saat setelah Eleftheriou men-tweet tentang My Metronome, aplikasi itu tampaknya dihapus dari toko. Mencoba membuka tautan muncul dengan pesan yang mengatakan bahwa itu tidak lagi tersedia di wilayah saya. (Meskipun, untuk lebih jelasnya, Anda mungkin tidak harus mencoba mengunduhnya atau aplikasi apa pun yang akan kita bicarakan.)

Apple tidak menanggapi permintaan The Verge untuk berkomentar tentang apakah itu yang mengambil aplikasi turun, atau bagaimana hal itu lulus Tinjauan Aplikasi di tempat pertama.

Selengkapnya: The Verge

Scammers memiliki 2 cara baru yang cerdas untuk menginstal aplikasi berbahaya di perangkat iOS

by

Scammers meningkatkan permainan mereka dengan menyalahgunakan dua fitur Apple yang sah untuk melewati persyaratan pemeriksaan App Store dan menipu orang agar menginstal aplikasi berbahaya.

Apple telah lama mengharuskan aplikasi lulus tinjauan keamanan dan diterima di App Store sebelum dapat diinstal di iPhone dan iPad. Pemeriksaan mencegah aplikasi jahat masuk ke perangkat, di mana mereka kemudian dapat mencuri cryptocurrency dan kata sandi atau melakukan aktivitas jahat lainnya.

Perusahaan keamanan Sophos menyoroti dua metode baru yang digunakan dalam kampanye kejahatan terorganisir yang dijuluki CryptoRom, yang mendorong aplikasi cryptocurrency palsu ke pengguna iOS dan Android yang tidak curiga. Sementara Android mengizinkan aplikasi “sideloading” dari pasar pihak ketiga, Apple mengharuskan aplikasi iOS datang dari App Store, setelah mereka menjalani tinjauan keamanan menyeluruh.

Masuk ke TestFlight, platform yang disediakan Apple untuk pengujian beta aplikasi baru. Dengan menginstal aplikasi TestFlight Apple dari App Store, setiap pengguna iOS dapat mengunduh dan menginstal aplikasi yang belum lulus proses pemeriksaan. Setelah TestFlight diinstal, pengguna dapat mengunduh aplikasi yang belum diperiksa menggunakan tautan yang dipublikasikan penyerang di situs penipuan atau email.

Posting hari Rabu menunjukkan beberapa gambar yang digunakan dalam kampanye CryptoRom. Pengguna iOS yang mengambil umpan menerima tautan yang, ketika diklik, menyebabkan aplikasi TestFlight mengunduh dan menginstal aplikasi cryptocurrency palsu.

Chandraiah mengatakan bahwa vektor TestFlight memberi penyerang keuntungan yang tidak tersedia dengan teknik bypass App Store yang lebih terkenal yang juga menyalahgunakan fitur Apple yang sah. Salah satu fitur tersebut adalah platform Super Signature Apple, yang memungkinkan orang menggunakan akun pengembang Apple mereka untuk mengirimkan aplikasi secara ad hoc terbatas. Fitur lainnya adalah Program Perusahaan Pengembang perusahaan. Ini memungkinkan organisasi besar menyebarkan aplikasi berpemilik untuk penggunaan internal tanpa karyawan harus menggunakan App Store.

Sebaliknya, Chandraiah berkata, TestFlight:

[TestFlight] lebih disukai oleh pengembang aplikasi jahat dalam beberapa kasus daripada Super Signature atau Enterprise Signature karena sedikit lebih murah dan terlihat lebih sah ketika didistribusikan dengan Apple Test Flight App. Proses review juga diyakini tidak seketat review App Store.

Posting tersebut mengatakan scammer CryptoRom menggunakan fitur Apple kedua untuk menyamarkan aktivitas mereka. Fitur itu—dikenal sebagai Klip Web—menambahkan tautan halaman web langsung ke layar beranda iPhone dalam bentuk ikon yang dapat disalahartikan sebagai aplikasi jinak. Klip Web muncul setelah pengguna menyimpan tautan Web.

Peneliti Sophos mengatakan CryptoRom dapat menggunakan Klip Web untuk menambahkan pengaruh ke URL jahat yang mendorong aplikasi palsu.

Penipu CryptoRom sangat bergantung pada rekayasa sosial. Mereka menggunakan berbagai tipu muslihat untuk membangun hubungan dengan target meski tidak pernah bertatap muka. Jejaring sosial, situs kencan, dan aplikasi kencan termasuk di antara tipu muslihat tersebut. Dalam kasus lain, penipu memulai hubungan melalui “pesan WhatsApp yang tampaknya acak yang menawarkan tip investasi dan perdagangan kepada penerima.”

Penyalahgunaan TestFlight dan Web Clips kemungkinan akan terlihat oleh pengguna Internet yang cerdas, tetapi orang yang kurang berpengalaman mungkin akan tertipu. Pengguna iOS harus tetap berhati-hati terhadap situs, email, atau pesan apa pun yang menginstruksikan mereka untuk mengunduh aplikasi dari sumber selain App Store resmi.

Sumber : Arstechnica

File PowerPoint Disalahgunakan untuk Mengambil alih Komputer

by

Penyerang menggunakan file PowerPoint di bawah radar untuk menyembunyikan executable berbahaya yang dapat menulis ulang pengaturan registri Windows untuk mengambil alih komputer korban, menurut temuan para peneliti.

Ini adalah salah satu dari sejumlah cara tersembunyi yang dilakukan pelaku ancaman baru-baru ini untuk menargetkan pengguna desktop melalui aplikasi tepercaya yang mereka gunakan setiap hari, menggunakan email yang dirancang untuk menghindari deteksi keamanan dan tampak sah.

Penelitian baru dari Avanan, sebuah perusahaan Check Point, telah mengungkap bagaimana “add on yang tidak banyak diketahui” di PowerPoint – file .ppam – digunakan untuk menyembunyikan malware. Jeremy Fuchs, peneliti dan analis keamanan siber di Avanan, menulis dalam sebuah laporan yang diterbitkan Kamis bahwa file tersebut memiliki perintah bonus dan makro khusus, di antara fungsi lainnya.

Untuk menghindari penipuan email melewati pengguna korporat, Fuchs merekomendasikan beberapa tindakan pencegahan tipikal kepada administrator keamanan yang harus diterapkan secara konsisten.

Salah satunya adalah menginstal perlindungan email yang mengunduh semua file ke dalam sandbox dan memeriksanya untuk konten berbahaya. Cara lainnya adalah mengambil langkah keamanan ekstra – seperti menganalisis email secara dinamis untuk indikator kompromi (IoCs) – untuk memastikan keamanan pesan yang masuk ke jaringan perusahaan, katanya.

Perusahaan juga harus terus mendorong pengguna akhir di jaringan mereka untuk menghubungi departemen TI mereka jika mereka melihat file yang tidak dikenal datang melalui email, tambahnya.

Selengkapnya: Threat Post

FBI memperingatkan posting pekerjaan palsu yang digunakan untuk mencuri uang, info pribadi

by

Scammers mencoba mencuri uang dan informasi pribadi pencari kerja melalui kampanye phishing menggunakan iklan palsu yang diposting di platform rekrutmen.

Peringatan itu diterbitkan hari ini sebagai pengumuman layanan publik (PSA) di Pusat Pengaduan Kejahatan Internet Biro (IC3).

“Penipu ini memberikan kredibilitas pada skema mereka dengan menggunakan informasi yang sah untuk meniru bisnis, mengancam kerusakan reputasi bisnis dan kerugian finansial bagi pencari kerja.”

Penjahat memanfaatkan kurangnya standar verifikasi keamanan yang kuat di situs web rekrutmen untuk memposting lowongan pekerjaan palsu yang tidak dapat dibedakan dari yang diterbitkan oleh perusahaan yang mereka tiru.

“Daftar pekerjaan palsu termasuk tautan dan informasi kontak yang mengarahkan pelamar ke situs web palsu, alamat email, dan nomor telepon yang dikendalikan oleh scammers di mana informasi pribadi pelamar dapat dicuri dan kemudian dijual atau digunakan dalam penipuan tambahan,” jelas FBI.

FBI menyarankan pencari kerja untuk memverifikasi iklan pekerjaan yang ditemukan di situs jejaring dengan menghubungi departemen SDM perusahaan atau di situs resminya.

Mereka juga disarankan untuk hanya memberikan PII dan info keuangan secara langsung atau panggilan video, hanya setelah memverifikasi identitas mereka.

“Pandemi COVID-19 telah secara drastis mengubah proses wawancara dan perekrutan sehingga sangat penting bagi bisnis dan pelamar kerja untuk memverifikasi keabsahan posting dan peluang kerja,” tambah FBI.

“FBI mendesak publik Amerika untuk berhati-hati saat melamar dan menerima posisi melalui proses jarak jauh yang membatasi atau tidak ada pertemuan langsung, kontak, dan orientasi.”

Selengkapnya : Bleeping Computer

Nintendo Memperingatkan Situs Palsu yang Mendorong Diskon Switch Palsu

by

Nintendo telah memperingatkan pelanggan dari beberapa situs yang meniru situs web resmi perusahaan video game Jepang dan berpura-pura menjual konsol Nintendo Switch dengan diskon yang signifikan.

Peringatan langka ini dikeluarkan minggu lalu melalui situs perusahaan multinasional game, yang juga mengisyaratkan tingkat keparahan masalah ini.

“Situs palsu menggunakan logo perusahaan kami secara ilegal, membuatnya terlihat seolah-olah dioperasikan oleh kami, dan menampilkan produk kami, seperti Nintendo Switch, untuk dibeli jika dengan harga diskon yang signifikan,” kata Nintendo.

“Tautan ke situs web resmi Nintendo adalah sebagai berikut: https://www.nintendo.co.jp/.”

“Membeli produk di situs palsu dapat mengakibatkan kerusakan penipuan seperti akuisisi informasi pribadi yang tidak sah. Harap berhati-hatilah untuk tidak salah mengiranya sebagai situs web kami, dan jangan membeli produk dari situs web palsu,” tambah Nintendo.

Raksasa video game itu juga memperingatkan bahwa mereka akan segera memperingatkan polisi dan lembaga penegak hukum terkait ketika menemukan situs palsu yang menargetkan pelanggannya.

Peringatan ini muncul setelah pelanggaran data yang diungkapkan dua tahun lalu ketika aktor ancaman yang tidak diketahui masuk ke akun lebih dari 300.000 pengguna Nintendo tanpa otorisasi.

Para penyerang menggunakan ID Nintendo Network dan mendapatkan akses ke nama pengguna, negara, alamat email, dan tanggal lahir.

Setelah menemukan insiden tersebut, Nintendo memperingatkan pengguna untuk mengaktifkan autentikasi dua faktor (2FA) di akun mereka dan mengatur ulang kata sandi untuk NNID dan akun Nintendo yang terkena dampak.

Sumber: Bleepingcomputer