Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Software / Application

Software / Application

Versi malware RedLine baru menyebar sebagai penghitung stat Omicron palsu

by

Varian baru pencuri info RedLine didistribusikan melalui email menggunakan aplikasi penghitung statistik Omicron COVID-19 palsu sebagai iming-iming.

RedLine adalah malware komoditas tersebar luas yang dijual ke penjahat dunia maya seharga beberapa ratus USD. Ini memasok pasar web gelap dengan lebih dari setengah kredensial pengguna yang dicuri dijual ke aktor ancaman lainnya.

RedLine menargetkan kredensial akun pengguna yang disimpan di browser, kata sandi VPN, detail kartu kredit, cookie, konten IM, kredensial FTP, data dompet cryptocurrency, dan informasi sistem.

Varian baru telah menambahkan beberapa poin informasi untuk dieksfiltrasi, seperti:

  • Nama kartu grafis
  • Produsen BIOS, kode identifikasi, nomor seri, tanggal rilis, dan versi
  • Pabrikan disk drive, model, total head, dan tanda tangan
  • Informasi prosesor (CPU) seperti ID unik, ID prosesor, pabrikan, nama, kecepatan clock maks, dan informasi motherboard
  • Data ini diambil pada eksekusi pertama dari iming-iming “Omicron Stats.exe”, yang membongkar malware dan memasukkannya ke dalam vbc.exe.

Aplikasi tambahan yang ditargetkan oleh varian RedLine baru adalah browser web Opera GX, OpenVPN, dan ProtonVPN.

Versi RedLine sebelumnya menargetkan Opera biasa, tetapi GX adalah edisi khusus “berfokus pada gamer” yang semakin populer.

Selain itu, malware sekarang mencari folder Telegram untuk menemukan gambar dan riwayat percakapan dan mengirimnya kembali ke server pelaku ancaman.

Terakhir, sumber daya Discord lokal diperiksa lebih ketat untuk menemukan dan mencuri token akses, log, dan file database.

Varian RedLine baru mencari log Discord
Sumber: Fortinet

Saat menganalisis kampanye baru, para peneliti menemukan alamat IP di Inggris Raya yang berkomunikasi dengan server perintah dan kontrol melalui layanan pesan Telegram.

Para korban tersebar di 12 negara, dan serangan tidak terfokus pada organisasi atau individu tertentu.

“Varian ini menggunakan 207[.]32.217.89 sebagai server C2-nya melalui port 14588. IP ini dimiliki oleh 1gservers,” jelas laporan Fortinet

Sumber : Bleeping Computer

Pengguna Antivirus Avira 500M Dikenalkan ke Cryptomining

by

Banyak pembaca terkejut mengetahui baru-baru ini bahwa suite antivirus Norton 360 yang populer sekarang dikirimkan dengan program yang memungkinkan pelanggan menghasilkan uang dengan menambang mata uang virtual. Tetapi Norton 360 tidak sendirian dalam upaya yang meragukan ini: Antivirus Avira – yang telah membangun basis 500 juta pengguna di seluruh dunia sebagian besar dengan membuat produk gratis – baru-baru ini dibeli oleh perusahaan yang sama yang memiliki Norton 360 dan memperkenalkan pelanggannya ke layanan yang disebut Avira Crypto.

Didirikan pada tahun 2006, Avira Operations GmbH &Co. KG adalah perusahaan perangkat lunak multinasional Jerman yang terkenal dengan Avira Free Security (alias Avira Free Antivirus). Pada Januari 2021, Avira diakuisisi oleh Tempe, NortonLifeLock Inc. yang berbasis di Ariz., perusahaan yang sama yang sekarang memiliki Norton 360.

Pada 2017, perusahaan perlindungan pencurian identitas LifeLock diakuisisi oleh Symantec Corp., yang berganti nama menjadi NortonLifeLock pada 2019. LifeLock sekarang termasuk dalam layanan Norton 360; Avira menawarkan pengguna layanan serupa yang disebut Breach Monitor.

Seperti Norton 360, Avira hadir dengan cryptominer yang sudah diinstal, tetapi pelanggan harus memilih untuk menggunakan layanan yang memberi daya padanya. FAQ Avira pada layanan cryptomining-nya agak jarang. Misalnya, itu tidak menentukan berapa banyak NortonLifeLock keluar dari kesepakatan (NortonLifeLock menyimpan 15 persen dari cryptocurrency yang ditambang oleh Norton Crypto).

“Avira Crypto memungkinkan Anda menggunakan waktu idle komputer Anda untuk menambang cryptocurrency Ethereum (ETH),” FAQ menjelaskan. “Karena cryptomining membutuhkan tingkat kekuatan pemrosesan yang tinggi, itu tidak cocok untuk pengguna dengan komputer rata-rata. Bahkan dengan perangkat keras yang kompatibel, menambang cryptocurrency sendiri bisa kurang bermanfaat. Pilihan terbaik Anda adalah bergabung dengan kolam penambangan yang berbagi kekuatan komputer mereka untuk meningkatkan peluang mereka menambang cryptocurrency. Hadiahnya kemudian didistribusikan secara merata kepada semua anggota di kolam renang.”

Tangkapan layar di atas diambil pada Virustotal.com, layanan milik Google yang memindai file yang dikirimkan terhadap puluhan produk antivirus. Laporan deteksi yang digambarkan ditemukan dengan mencari Virustotal untuk “ANvOptimusEnablementCuda,” sebuah fungsi yang termasuk dalam komponen penambangan Norton Crypto “Ncrypt.exe.”

Beberapa pelanggan Norton lama turun ke forum online NortonLifeLock untuk mengekspresikan kengerian pada prospek produk antivirus mereka menginstal perangkat lunak penambangan koin, terlepas dari apakah layanan penambangan dimatikan secara default.

“Norton harus MENDETEKSI dan membunuh pembajakan penambangan crypto, bukan menginstalnya sendiri,” bunyi utas 28 Desember di forum Norton berjudul “Benar-benar marah.”

Yang lain telah menuduh bahwa penawaran crypto akan berakhir dengan biaya pelanggan lebih banyak dalam tagihan listrik daripada yang dapat mereka harapkan dari membiarkan tambang antivirus mereka ETH. Terlebih lagi, ada biaya besar dan kuat yang terlibat dalam memindahkan ETH yang ditambang oleh Norton atau Avira Crypto ke akun yang dapat diuangkan pengguna, dan banyak pengguna tampaknya tidak mengerti bahwa mereka tidak dapat menguangkan sampai mereka setidaknya mendapatkan cukup ETH untuk menutupi biaya.

Sumber: Kresbon Security

Rootkit Purple Fox ditemukan di penginstal Telegram jahat

by

Tim keamanan siber Minerva Labs, yang bekerja dengan MalwareHunterTeam, mengatakan bahwa Purple Fox sedang disamarkan melalui file bernama “Telegram Desktop.exe.” yang mereka percaya bahwa mereka menginstal layanan perpesanan populer, sebaliknya, menjadi sarat dengan malware dan proses infeksi membuatnya lebih sulit untuk dideteksi.

Pertama kali ditemukan pada tahun 2018, Purple Fox telah menyebar melalui berbagai cara, termasuk email phishing, tautan berbahaya, dan kit eksploitasi. Namun, dalam beberapa tahun terakhir, metode distribusi telah diperluas untuk mencakup kompromi layanan yang rentan terhadap internet, layanan UKM yang terbuka, dan penginstal palsu.

Pemasang Telegram berbahaya telah dikembangkan sebagai skrip AutoIt yang dikompilasi. Setelah dieksekusi, penginstal Telegram yang sah akan dihapus tetapi tidak pernah digunakan bersama dengan pengunduh berbahaya bernama TextInputh.exe.

Serangan tersebut kemudian dipisahkan menjadi beberapa file kecil, sebuah teknik yang menurut Minerva memungkinkan pelaku ancaman untuk tetap berada di bawah radar dan sebagian besar file “memiliki tingkat deteksi yang sangat rendah oleh mesin AV, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox. .”

TextInputh.exe membuat folder baru dan menghubungkan ke server command-and-control (C2) malware. Dua file baru kemudian diunduh dan dieksekusi, yang membongkar arsip .RAR dan file yang digunakan untuk memuat reflektif berbahaya.DLL.

Kunci registri dibuat untuk mengaktifkan kegigihan pada mesin yang terinfeksi, dan lima file selanjutnya dimasukkan ke folder ProgramData untuk menjalankan fungsi, termasuk mematikan berbagai proses antivirus sebelum Purple Fox akhirnya disebarkan.

Trojan Purple Fox hadir dalam varian Windows 32-bit dan 64-bit. Pada bulan Maret tahun lalu, Guardicore Labs menemukan kemampuan worm baru telah diintegrasikan ke dalam malware, dan ribuan server yang rentan telah dibajak untuk menampung muatan Purple Fox.

Pada bulan Oktober, Trend Micro menemukan backdoor .net baru, dijuluki FoxSocket, yang diyakini sebagai tambahan baru untuk kemampuan malware yang ada.

Mengingat bahwa malware sekarang berisi rootkit, fungsionalitas worm, dan telah ditingkatkan dengan pintu belakang yang lebih kuat, dimasukkannya proses infeksi yang lebih tersembunyi berarti bahwa peneliti keamanan siber kemungkinan akan terus mengawasi perkembangan malware ini di masa depan.

Sumber : ZDnet

Installer Telegram Menjatuhkan Rootkit Purple Fox

by

Kami sering mengamati aktor ancaman menggunakan perangkat lunak yang sah untuk menjatuhkan file berbahaya. Namun kali ini berbeda. Aktor ancaman ini mampu meninggalkan sebagian besar serangan di bawah radar dengan memisahkan serangan ke dalam beberapa file kecil, yang sebagian besar memiliki tingkat deteksi yang sangat rendah oleh mesin AV, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox.

Berkat MalwareHunterTeam, kami dapat menggali lebih dalam ke dalam Telegram Installer yang berbahaya. Installer ini adalah autoit dikompilasi (freeware BASIC-seperti scripting bahasa yang dirancang untuk mengotomatisasi Windows GUI dan scripting umum) script yang disebut “Telegram Desktop.exe”:

Skrip AutoIt ini adalah tahap pertama dari serangan yang menciptakan folder baru bernama “TextInputh” di bawah C:UsersUsernameAppDataLocalTemp dan menjatuhkan penginstal Telegram yang sah (yang bahkan tidak dieksekusi) dan pengunduh berbahaya (TextInputh.exe).

Saat dijalankan, TextInputh.exe membuat folder baru bernama “1640618495” di bawah direktori C:UsersPublicVideos. TextInputh.exe file digunakan sebagai pengunduh untuk tahap berikutnya dari serangan. Ini menghubungi server C&C dan mengunduh dua file ke folder yang baru dibuat:

  • 1.rar – yang berisi file untuk tahap berikutnya. 7zz.exe – archiver 7z yang sah.
  • 7zz.exe digunakan untuk unarchive 1.rar, yang berisi file-file berikut:

Selanjutnya, TextInputh.exe melakukan tindakan berikut:

  • Menyalin 360.tct dengan nama “360.dll”, rundll3222.exe dan svchost.txt ke folder ProgramData
  • Mengeksekusi ojbk.exe dengan baris perintah “ojbk.exe -a”
  • Menghapus 1.rar dan 7zz.exe dan keluar dari proses

ojbk.exe
Ketika dijalankan dengan argumen “-a”, file ini hanya digunakan untuk secara reflektif memuat file berbahaya 360.dll:

DLL ini bertanggung jawab untuk membaca file svchost.txt yang dijatuhkan. Setelah itu, kunci registri HKEY_LOCAL_MACHINESYSTEMSelectMarkTime baru dibuat, yang nilainya sama dengan waktu svchost saat ini.exe dan kemudian, muatan svchost.txt dieksekusi.

svchost.txt
Saat aliran serangan berlanjut, file ini tampaknya berisi kode byte dari tahap berikutnya dari muatan berbahaya yang dieksekusi oleh 360.dll. Sebagai tindakan pertama svchost.txt, ia memeriksa keberadaan HKLM SOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exePath registry key. Jika kunci registri ditemukan, aliran serangan akan melakukan langkah tambahan sebelum melanjutkan ke tahap berikutnya:

Serangan tersebut menjatuhkan lima file lagi ke dalam folder ProgramData:

  • Calldriver.exe – file ini digunakan untuk mematikan dan memblokir inisiasi 360 AV
  • Driver.sys – setelah file ini dijatuhkan, layanan driver sistem baru bernama “Driver” dibuat dan dimulai pada PC dan BMD yang terinfeksi.txt dibuat dalam folder ProgramData
  • dll.dll – dieksekusi setelah bypass UAC. Teknik bypass UAC yang digunakan oleh svchost.txt adalah “bypass UAC menggunakan antarmuka CMSTPLUA COM” dan dijelaskan dengan baik di sini. Teknik ini umumnya digunakan oleh penulis ransomware LockBit dan BlackMatter. Dll.dll dijalankan dengan baris perintah “C:ProgramDatadll.dll, luohua”.
  • kill.bat – skrip batch yang dieksekusi setelah drop file berakhir. Naskahnya adalah:
  • speedmem2.hg – SQLite file

Semua file ini bekerja sama untuk mematikan dan memblokir inisiasi 360 proses AV dari ruang kernel, sehingga memungkinkan alat serangan tahap berikutnya (Purple Fox Rootkit, dalam kasus kami) berjalan tanpa terdeteksi.

Setelah file drop dan eksekusi, payload bergerak ke langkah berikutnya, yaitu komunikasi C &C. Seperti disebutkan di atas, jika HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exePath registry key tidak ditemukan, alurnya hanya melompat ke langkah ini.

Pertama, alamat C &C hardcoded ditambahkan sebagai mutex. Selanjutnya, informasi korban berikut dikumpulkan:

  • Nama host
  • CPU – dengan mengambil nilai HKLMHARDWAREDESCRIPTIONSystemCentralProcessor0 ~MHz registry key
  • Status memori
  • Tipe Kandar
  • Tipe Prosesor – dengan memanggil GetNativeSystemInfo dan memeriksa nilai wProcessorArchitecture.

Selanjutnya, malware memeriksa apakah ada proses berikut yang berjalan di PC korban:

  • 360tray.exe – 360 Total Security
  • 360sd.exe – 360 Total Security
  • kxetray.exe – Kingsoft Internet Security
  • KSafeTray.exe – Kingsoft Internet Security
  • QQPCRTP.exe – Tencent
  • HipsTray.exe – HeroBravo System Diagnostics
  • BaiduSd.exe – Baidu Anti-Virus
  • baiduSafeTray.exe – Baidu Anti-Virus
  • KvMonXP.exe – Jiangmin Anti-Virus
  • RavMonD.exe – Rising Anti-Virus
  • QUHLPSVC.EXE – Quick Heal Anti-Virus
  • mssecess.exe – Microsoft MSE
  • cfp.exe – COMODO Internet Security
  • SPIDer.exe
  • acs.exe
  • V3Svc.exe – AhnLab V3 Internet Security
  • AYAgent.aye – ALYac Software
  • avgwdsvc.exe – AVG Internet Security
  • f-secure.exe – F‑Secure Anti‑Virus
  • avp.exe – Kaspersky Anti-Virus
  • Mcshield.exe – McAfee Anti-Virus
  • egui.exe – ESET Smart Security
  • knsdtray.exe
  • TMBMSRV.exe – Trend Micro Internet Security
  • avcenter.exe – Avira Anti-Virus
  • ashDisp.exe – Avast Anti-Virus
  • rtvscan.exe – Symantec Anti-Virus
  • remupd.exe – Panda software
  • vsserv.exe – Bitdefender Total Security
  • PSafeSysTray.exe – PSafe System Tray
  • ad-watch.exe
  • K7TSecurity.exe – K7Security Suite
  • UnThreat.exe – UnThreat Anti-Virus

Tampaknya setelah pemeriksaan ini selesai, semua informasi yang dikumpulkan, termasuk produk keamanan mana yang berjalan, dikirim ke server C &C.

Pada saat penyelidikan, server C&C sudah down, tetapi pemeriksaan cepat dari alamat IP dan file terkait lainnya semua menunjukkan bahwa tahap terakhir dari serangan ini adalah download dan eksekusi dari Purple Fox Rootkit. Purple Fox menggunakan fungsi msi.dll, ‘MsiInstallProductA’, untuk mengunduh dan menjalankan muatannya. Payload adalah file .msi yang berisi shellcode terenkripsi termasuk versi 32-bit dan 64-bit. Setelah dijalankan, sistem akan dimulai ulang dengan registri ‘PendingFileRenameOperations’ untuk mengganti nama komponennya. Dalam kasus kami, Purple Fox Rootkit diunduh dari hxxp://144.48.243[.] 79:17674/C558B828.Png.

Dll.dll
DLL ini hanya digunakan untuk menonaktifkan UAC dengan mengatur tiga kunci registri berikut ke 0:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop

Calldriver.exe
Digunakan untuk mematikan dan memblokir inisiasi 360 proses AV dari ruang kernel. Teknik yang digunakan dijelaskan di sini di bawah paragraf “The ProcessKiller rootkit vs. produk keamanan”.

Kami menemukan sejumlah besar installer berbahaya yang memberikan versi rootkit Purple Fox yang sama menggunakan rantai serangan yang sama. Sepertinya beberapa dikirim melalui email, sementara yang lain kami anggap diunduh dari situs web phishing. Keindahan serangan ini adalah bahwa setiap tahap dipisahkan ke file yang berbeda yang tidak berguna tanpa seluruh set file. Ini membantu penyerang melindungi file-nya dari deteksi AV.

Minerva Labs mendeteksi hubungan proses berbahaya dan mencegah malware menulis dan mengeksekusi muatan berbahaya:

IOC’s
Hash:

  • 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1 – Telegram Desktop.exe
  • BAE1270981C0A2D595677A7A1FEFE8087B07FFEA061571D97B5CD4C0E3EDB6E0 – TextInputh.exe
  • af8eef9df6c1f5645c95d0e991d8f526fbfb9a368eee9ba0b931c0c3df247e41 – legitimate telegram installer
  • 797a8063ff952a6445c7a32b72bd7cd6837a3a942bbef01fc81ff955e32e7d0c – 1.rar
  • 07ad4b984f288304003b080dd013784685181de4353a0b70a0247f96e535bd56 – 7zz.exe
  • 26487eff7cb8858d1b76308e76dfe4f5d250724bbc7e18e69a524375cee11fe4 – 360.tct
  • b5128b709e21c2a4197fcd80b072e7341ccb335a5decbb52ef4cee2b63ad0b3e – ojbk.exe
  • 405f03534be8b45185695f68deb47d4daf04dcd6df9d351ca6831d3721b1efc4 – rundll3222.exe – legitimate rundll32.exe
  • 0937955FD23589B0E2124AFEEC54E916 – svchost.txt
  • e2c463ac2d147e52b5a53c9c4dea35060783c85260eaac98d0aaeed2d5f5c838 – Calldriver.exe
  • 638fa26aea7fe6ebefe398818b09277d01c4521a966ff39b77035b04c058df60 – Driver.sys
  • 4bdfa7aa1142deba5c6be1d71c3bc91da10c24e4a50296ee87bf2b96c731b7fa – dll.dll
  • 24BCBB228662B91C6A7BBBCB7D959E56 – kill.bat
  • 599DBAFA6ABFAF0D51E15AEB79E93336 – speedmem2.hg

IP’s:

  • 193.164.223[.]77 – second stage C&C server.
  • 144.48.243[.]79 – last stage C&C server.

Url:

  • hxxp://193.164.223[.]77:7456/h?=1640618495 – contains 1.rar file
  • hxxp://193.164.223[.]77:7456/77 – contain 7zz.exe file
  • hxxp://144.48.243[.]79:17674/C558B828.Png – Purple Fox Rootkit

Sumber daya:
https://malpedia.caad.fkie.fraunhofer.de/details/win.purplefox

Sumber: Minerva

PERINGATAN Apple Mempublikasi 1,65 JUTA Pengguna iPad dan iPhone Mengalami Masalah Privasi

by

Pengembang Apple, Kosta Eleftheriou, mengungkapkan bahwa App Store menyelenggarakan serangkaian layanan streaming film ilegal.

Eleftheriou memamerkan serangkaian aplikasi yang membahas diri mereka sebagai layanan yang sah — menggunakan trailer film dan filter foto untuk menipu pengguna.

Aplikasi ini mendorong pengguna untuk memasukkan kode atau berbagi aplikasi untuk membuka lebih banyak fitur.

Ada juga tingkatan langganan premium di aplikasi yang diproses melalui Apple Pay, yang apple menerima potongan 15-30 persen dari.

Eleftheriou menyatakan bahwa aplikasi telah tersedia di toko aplikasi selama berbulan-bulan meskipun ulasan negatif mengungkapkannya ilegal.

Iklan untuk aplikasi telah didorong, menggunakan influencer media sosial dengan “jutaan” pengikut untuk mempromosikannya, kata Eleftheriou.

“Sementara Apple gagal mengawasi App Store-nya, aplikasi ini telah mengumpulkan lebih dari 2 juta unduhan dan sekarang menghasilkan ~ 16.000 / hari atau sekitar $ 6 juta per tahun,” kata Eleftheriou.

Dokumen hukum dalam persidangan “Eric Vs Apple” yang sedang berlangsung, Eric Friedman, kepala unit Algoritma Teknik Penipuan dan Risiko [FEAR] perusahaan, yang disebut keamanan App Store, “membawa pisau plastik ke baku tembak,”

Friedman mengatakan proses peninjauan App Store “lebih seperti wanita cantik yang menyambut Anda … di bandara Hawaii daripada anjing pengendus obat.”

Eleftheriou juga membawa Apple ke pengadilan, mengklaim perusahaan menyalin aplikasi Apple Watch-nya, FlickType.

Namun, penemuannya di App Store telah membuat pengguna iPhone dan iPad lebih waspada tentang perangkat mereka.

The Sun telah menghubungi Apple untuk memberikan komentar.

Sumber: The Sun

Akun Twitter resmi Perdana Menteri India Narendra Modi Diretas

by

Akun Twitter resmi Perdana Menteri India Narendra Modi (@narendramodi) sempat diretas oleh peretas yang belum teridentifikasi. Peretasan terjadi Minggu dini hari.

Hampir menggelikan bahwa peretasan Twitter Inc. lainnya — kali ini di akun Perdana Menteri Narendra Modi — sekali lagi menjadi kendaraan untuk mengumpulkan Bitcoin.

“India telah secara resmi mengadopsi bitcoin sebagai alat pembayaran yang sah,” tweet yang dikirim oleh peretas dari akunnya berbunyi. “Pemerintah telah secara resmi membeli 500 BTC dan mendistribusikannya ke semua penduduk negara itu.”

Meskipun pesan itu terdengar tidak masuk akal, seluruh insiden — dari eksploitasi hingga hasil — memberi tahu kita banyak tentang budaya peretasan dan berbagai aktor di luar sana yang mencoba membobol sistem komputer.

Ini bukan pertama kalinya.

Pada Juli 2020, lebih dari 100 akun terkenal diretas termasuk milik Barack Obama, Joe Biden, Bill Gates, Elon Musk, Kanye West, dan Apple Inc. Setelah mereka mendapatkan akses, para penyerang melanjutkan untuk mempromosikan penipuan Bitcoin kepada jutaan korban ini. ‘ pengikut.

Detail dari insiden itu meneteskan ironi yang lezat. Pertama, penggunaan Bitcoin oleh peretas sebenarnya adalah kehancuran mereka — petugas penegak hukum AS melacak akun cryptocurrency dan menemukan bahwa mereka telah menggunakan SIM mereka untuk otentikasi.

Dan, pelanggaran dilakukan melalui rekayasa sosial kuno — menipu staf Twitter untuk memberikan kredensial login, yang memungkinkan akses ke akun target.

Jadi meskipun ini adalah lelucon, ada sisi seriusnya. Harus menjadi perhatian serius bahwa salah satu outlet paling kuat di dunia sekali lagi diretas, memungkinkan akses tidak sah ke media yang setara dengan kode nuklir.

Selengkapnya: Economic Times

Telegram menambahkan dukungan perlindungan konten untuk grup dan channel

by

Telegram telah menambahkan dukungan perlindungan konten untuk memungkinkan pengguna memblokir orang lain dari menyimpan atau meneruskan posting yang dibagikan dalam grup dan channel.

Ini memungkinkan untuk memastikan bahwa media yang diposting di Telegram hanya akan tetap tersedia untuk audiens yang Anda bagikan.

Untuk mengaktifkan perlindungan konten, pemilik Grup dan Channel harus membatasi forwarding pesan dalam obrolan mereka, juga memblokir tangkapan layar melalui kebijakan keamanan Android (tangkapan layar kemungkinan masih merupakan opsi pada klien desktop dan iOS) dan menghapus kemampuan untuk menyimpan media dari pos.

Menonaktifkan forwarding pesan memerlukan pembukaan halaman Info Grup atau Channel, masuk ke Group / Channel Type, dan beralih pada opsi ‘Restrict Saving Content’.

Pembaruan juga hadir dengan cara baru untuk menghapus posting berdasarkan tanggal (untuk menghapus riwayat obrolan untuk rentang tanggal tertentu), mengelola perangkat yang terhubung (dengan toggle untuk membatasi panggilan atau Obrolan Rahasia baru), dan memposting secara anonim (sebagai channel) di grup publik dan komentar channel.

Beberapa pengguna ponsel juga akan ditawarkan untuk menerima panggilan masuk dari Telegram mulai hari ini alih-alih kode SMS untuk mengonfirmasi identitas mereka dengan memasukkan beberapa digit nomor telepon yang dipanggil.

Selengkapnya: Bleeping Computer

Microsoft menyita situs yang digunakan oleh peretas negara bagian APT15 China

by

Microsoft menyita lusinan situs berbahaya yang digunakan oleh kelompok peretas berbasis di Nikel China yang menargetkan organisasi di AS dan 28 negara lain di seluruh dunia.

Aktor ancaman Nikel (juga dilacak sebagai KE3CHANG, APT15, Vixen Panda, Royal APT, dan Playful Dragon) menyusup ke server organisasi pemerintah, entitas diplomatik, dan organisasi non-pemerintah (LSM) di 29 negara, terutama dari Eropa dan Amerika Latin.

“Kami yakin serangan ini sebagian besar digunakan untuk pengumpulan intelijen dari lembaga pemerintah, think tank, dan organisasi hak asasi manusia.”

Microsoft dapat menghapus infrastruktur Nikel setelah Pengadilan Distrik AS untuk Distrik Timur Virginia memberikan perintah menyusul pengaduan yang diajukan pada 2 Desember.

Menurut perintah pengadilan domain dialihkan untuk mengamankan server dengan mengubah server nama resmi menjadi NS104a.microsoftintemetsafety.net dan NS104b.microsoftintemetsafety.net.”

Unit Kejahatan Digital (DCU) Microsoft pertama kali melihat kelompok ancaman di balik domain berbahaya ini pada 2016. Mandiant melacak mereka sebagai Ke3chang dan mengatakan mereka telah aktif setidaknya sejak 2010.

Sejak 2019, itu diamati menargetkan entitas pemerintah di seluruh Amerika Latin dan Eropa oleh Microsoft’s Threat Intelligence Center (MSTIC) dan Digital Security Unit (DSU).

Tujuan akhir Nickel adalah untuk menyebarkan malware di server yang disusupi yang memungkinkan operatornya memantau aktivitas korban mereka, serta mengumpulkan data dan mengekstraknya ke server di bawah kendali mereka.

Peretas tersebut menggunakan pemasok VPN (jaringan pribadi virtual) pihak ketiga yang disusupi, kredensial yang dicuri dalam kampanye spear-phishing, dan memanfaatkan penargetan Exchange Server dan server SharePoint lokal yang belum ditambal untuk meretas ke jaringan target mereka.

Nickel Target

“Sampai saat ini, dalam 24 tuntutan hukum kami telah menghapus lebih dari 10.000 situs web jahat yang digunakan oleh penjahat dunia maya dan hampir 600 situs yang digunakan oleh aktor negara-bangsa,” tambah Burt.

“Kami juga telah berhasil memblokir pendaftaran 600.000 situs untuk mendahului pelaku kriminal yang berencana menggunakannya secara jahat di masa depan.”

Pada Maret 2020, perusahaan mengambil alih infrastruktur berbasis di AS yang digunakan botnet spam Necurs untuk mendistribusikan muatan malware dan menginfeksi jutaan komputer.

Menurut Microsoft, sebelum diturunkan, Necurs mengirim sekitar 3,8 juta pesan spam ke lebih dari 40,6 juta target hanya dalam 58 hari.

Redmond juga menggugat kelompok spionase cyber Thallium yang terkait dengan Korea Utara pada Desember 2019 dan menyita 50 domain bagian dari infrastruktur domain berbahaya kelompok peretasan.

Unit Kejahatan Digital Microsoft juga mengganggu aktor ancaman APT35 (alias Charming Kitten, Phosphorus, atau Tim Keamanan Ajax) yang didukung Iran pada Desember 2019 setelah mengambil alih server yang digunakan dalam serangan sibernya.

Sumber : Bleeping Computer