Software / Application

Melindungi Terhadap Penggunaan Malicious Remote Monitoring dan Management Software

January 29, 2023 by Coffee Bean

Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), dan Multi-State Information Sharing and Analysis Center (MS-ISAC) (selanjutnya disebut sebgai “organisasi penulis”) merilis bersama Cybersecurity Advirsoty (CSA) untuk memperingatkan pembela jaringan tentang penggunaan berbahaya perankat lunak RMM yang sah. Secara khusus, pelaku kejahatan dunia maya mengirimkan email phishing yang mengarah ke pengunduhan eprangkat lunka RMM ayng sah – ScreenConnect (sekarang ConnectWise Control) dan AnyDesk – yang digunakan pelaku dalam penipuan pengembalian uang tuntuk mencuri uang dari rekening bank korban.

Menggunakan executable portabel perangkat lunak RMM menyediakan cara bagi pelaku untuk membuat akses pengguna lokal tanpa memerlukan hak istimewa administratif dan instalasi perangkat lunak lengkap—secara efektif melewati kontrol perangkat lunak umum dan asumsi manajemen risiko.

Organisasi penulis sangat menganjurkan pembela jaringan untuk meninjau bagian Indikator Kompromi (IOC) dan Mitigasi dalam CSA ini dan menerapkan rekomendasi untuk melindungi perangkat lunak RMM yang sah dari penggunaan berbahaya.

Berita ini dikembangkan oleh CISA, NSA, dan MS-ISAC sebagai kelanjutan dari misi kemanan siber masing-masing, termasuk tanggungjawab mereka untuk mengembangkan dan mengeluarkan spesisfikasi dan mitigasi kemanan siber

selengkapnya : cisa.gov

200 aplikasi Android dan iOS Berbahaya Menguras Rekening Bank

January 25, 2023 by Flamango

Sejumlah 203 aplikasi iOS dan Android berbahaya pertama kali ditemukan oleh Kementerian Ekonomi dan Masyarakat Digital (DES) Thailand dan National Cyber Security Center (NCSC) Inggris.

DES memutuskan untuk memberitahu publik tentang aplikasi buruk ini di halaman Facebook-nya setelah ditemukan mencuri informasi pribadi, menguras rekening bank pengguna, mengambil kendali remote dari smartphone yang terinfeksi dan digunakan untuk melakukan pencurian identitas.

Aplikasi tersebut mencakup berbagai kategori mulai dari aplikasi obrolan, filter foto, keyboard khusus, dan pengonversi PDF. Semua aplikasi tersebut mengandung malware dan melakukan tindakan berbahaya lainnya setelah terinstal di smartphone.

Belum ada informasi lebih lanjut mengenai jenis malware mana yang disebarkan. DES dan NCSC bekerja sama dengan Google dan Apple untuk menghapus aplikasi ini dari toko aplikasi masing-masing.

Dihimbau kepada para pengguna smartphone untuk segera menghapus aplikasi berbahaya yang telah disebutkan disini.

Tindakan pencegahan untuk tetap aman adalah berhati-hati saat memasang perangkat lunak baru, selalu memeriksa ulasan dan peringkat aplikasi di toko terlebih dahulu sebelum mengunduh apa pun, memastikan bahwa Google Play Protect diaktifkan karena terus memindai aplikasi yang ada serta aplikasi baru yang Anda unduh untuk mencari malware.

Selengkapnya: tom’s guide

Akan Menjalankan System Restore di Windows 11? Microsoft: Beberapa Aplikasi Tidak

January 24, 2023 by Flamango

Pengguna yang menjalankan versi terbaru Windows 11 kehilangan beberapa aplikasi Microsoft setelah menjalankan System Restore.

Redmond mengatakan bahwa bug tersebut memengaruhi aplikasi Windows yang menggunakan format paket aplikasi MSIX yang berjalan pada Windows 11 versi 22H2. Format pengemasan MSIX diperkenalkan pada tahun 2018 di Windows 10 sebagai cara untuk mempermudah pembaruan sistem seperti MSI dan ClickOnce, tetapi tidak dalam kasus ini.

Pengguna mengalami masalah saat menjalankan aplikasi Office setelah pemulihan, seperti pesan bahwa aplikasi tidak dapat dibuka, melihat beberapa entri aplikasi di menu “Start”, atau tidak mendapatkan respons sama sekali saat mencoba memulai aplikasi.

Sistem operasi yang terpengaruh adalah semua Windows 11 versi 22H2: Windows 11 SE, Windows 11 Home and Pro, Windows 11 Enterprise Multi-Session, Windows 11 Enterprise and Education, dan Windows 11 IoT Enterprise.

Microsoft mengusulkan sejumlah kemungkinan solusi, termasuk mencoba memulai ulang aplikasi dan menginstal ulang perangkat lunak dari Windows Store.

Microsoft juga merespon masalah alat keamanan ‘Microsoft Defender for Endpoint’ yang membuang ikon dan pintasan aplikasi dari desktop, Taskbar, dan Start Menu dari sistem Windows 10 dan 11 dengan merilis Advanced Hunting Queries dan skrip PowerShell untuk memungkinkan pengguna membuat ulang dan memulihkan pintasan untuk beberapa aplikasi yang terpengaruh.

Selengkapnya: The Register

Peretas Dapat Menggunakan GitHub Codespaces untuk Menghosting dan Mengirimkan Malware

January 19, 2023 by Flamango

Para peneliti telah mendemonstrasikan bagaimana pelaku ancaman dapat menyalahgunakan fitur ‘penerusan port’ GitHub Codespaces untuk menghosting dan mendistribusikan malware dan skrip berbahaya.

GitHub Codespaces memungkinkan pengembang menerapkan platform IDE yang dihosting cloud dalam wadah virtual untuk menulis, mengedit, dan menjalankan kode langsung di dalam browser web.

Menggunakan GitHub Codespaces sebagai Server Malware
Dalam laporan terbaru Trend Micro, para peneliti mendemonstrasikan bagaimana GitHub Codespaces dapat dengan mudah dikonfigurasi sebagai server web, mendistribusikan konten berbahaya sambil berpotensi menghindari deteksi karena lalu lintas berasal dari Microsoft.

Penyerang dapat menjalankan server web Python sederhana, mengunggah skrip berbahaya atau malware ke Codespace mereka, membuka port server web di VM mereka, dan menetapkan visibilitas publik.

Pengaturan visibilitas port pada Codespaces (Trend Micro)

URL yang dihasilkan dapat digunakan untuk mengakses file yang dihosting, baik untuk kampanye phishing atau untuk menghosting executable berbahaya yang diunduh oleh malware lain.

Karena GitHub adalah ruang terpercaya, alat antivirus cenderung membunyikan alarm sehingga pelaku ancaman dapat menghindari deteksi dengan biaya minimal.

Diagram serangan penyalahgunaan ruang kode (Trend Micro)

Melanjutkan Serangan
Trend Micro juga mengeksplorasi penyalahgunaan Dev Containers di GitHub Codespaces untuk membuat operasi distribusi malware mereka lebih efisien. Penyerang dapat menggunakan skrip untuk meneruskan port, menjalankan server HTTP Python, dan mengunduh file berbahaya di dalam Codespace mereka.

Meskipun tidak ada penyalahgunaan GitHub Codespaces yang diketahui saat ini, laporan tersebut menyoroti kemungkinan yang realistis, karena pelaku ancaman umumnya lebih memilih untuk menargetkan platform bebas penggunaan yang juga dipercaya oleh produk keamanan.

Selengkapnya: BleepingComputer

Paket PyPi ‘Lolip0p’ Berbahaya Menginstal Malware Pencuri Info

January 17, 2023 by Flamango

Pelaku ancaman telah mengunggah tiga paket berbahaya ke repositori PyPI (Python Package Index), membawa kode untuk menjatuhkan malware pencuri informasi pada sistem pengembang.

Seluruh paket jahat yang ditemukan Fortinet diunggah oleh penulis bernama ‘Lolip0p’ antara 7 dan 12 Januari 2023. Nama mereka adalah ‘colorslib’, ‘httpslib’, dan ‘libhttps’. Ketiganya telah dilaporkan dan dihapus dari PyPI.

Popularitas PyPi menjadikannya menarik bagi pelaku ancaman yang menargetkan pengembang atau proyek mereka. Apalagi PyPI tidak memiliki sumber daya untuk memeriksa semua unggahan paket.

Kampanye Baru
Trio yang ditemukan Fortinet menampilkan deskripsi lengkap yang membantu mengelabui pengembang agar percaya bahwa itu adalah sumber daya asli.

Deskripsi paket berbahaya di PyPI (Fortinet)

Nama paket tidak meniru proyek lain, hanya berusaha meyakinkan bahwa mereka datang dengan kode yang andal dan bebas risiko.

Menurut layanan penghitungan stat paket PyPI ‘pepy.tech,’ tiga entri berbahaya memiliki jumlah unduhan yang tampak kecil, namun dampak potensial dari infeksi ini sebagai bagian dari rantai pasokan membuatnya signifikan.

Tingkat deteksi untuk ketiga executable yang digunakan dalam serangan ini cukup rendah, berkisar antara 4,5% dan 13,5%, memungkinkan file berbahaya untuk menghindari deteksi dari beberapa agen keamanan yang mungkin berjalan di host korban.

Hasil deteksi untuk ‘update.exe’ di VirusTotal (Fortinet)

Pengembang perangkat lunak harus memperhatikan pemilihan paket untuk diunduh, termasuk memeriksa pembuat paket dan meninjau kode jika ada niat mencurigakan atau jahat demi memastikan keamanan dan keselamatan proyek mereka.

Selengkapnya: BleepingComputer

Avast Merilis Dekriptor Ransomware BianLian Gratis

January 17, 2023 by Flamango

Perusahaan perangkat lunak keamanan Avast merilis dekriptor gratis bagi ransomware BianLian untuk membantu korban malware memulihkan file yang terkunci tanpa membayar peretas.

Alat dekriptor Avast hanya dapat membantu korban yang diserang oleh varian yang diketahui dari ransomware BianLian.

Dekriptor BianLian sedang dalam proses dan kemampuan untuk membuka lebih banyak strain akan segera ditambahkan.

Ransomware BianLian
BianLian adalah jenis ransomware berbasis Go yang menargetkan sistem Windows, menggunakan algoritma AES-256 simetris dengan mode sandi CBC untuk mengenkripsi lebih dari 1013 ekstensi file di semua drive yang dapat diakses.

Malware melakukan enkripsi intermiten pada file korban, sebuah taktik yang membantu mempercepat serangan dengan mengorbankan kekuatan penguncian data.

Informasi lebih lanjut tentang pengoperasian ransomware lain dapat dilihat dalam laporan SecurityScoreCard tentang strain yang diterbitkan pada Desember 2022.

Dekriptor Avast
Dekriptor ransomware BianLian tersedia secara gratis dan program ini dapat dijalankan secara mandiri yang tidak memerlukan instalasi.

Dekriptor ini menyediakan beberapa fitur, seperti pemilihan lokasi yang akan dijalankan dekriptor, menyediakan perangkat lunak dengan sepasang file asli/terenkripsi, mencadangkan file terenkripsi, dan opsi terkait kata sandi.

Selengkapnya: BleepingComputer

Backdoor Baru Dibuat Menggunakan Bocoran Malware Sarang CIA yang Ditemukan di Alam Liar

January 17, 2023 by Flamango

Pelaku ancaman tak dikenal telah menyebarkan backdoor baru yang meminjam fitur-fiturnya dari suite malware multi-platform Hive Central Intelligence Agency (CIA), yang kode sumbernya dirilis oleh WikiLeaks pada November 2017.

Hal baru bagi Qihoo Netlab 360 dalam menangkap varian kit serangan CIA Hive di alam liar. Mereka memberinya nama xdr33 berdasarkan sertifikat sisi Bot yang disematkan CN=xdr33.

xdr33 disebarkan dengan mengeksploitasi kerentanan keamanan N-day yang tidak ditentukan di peralatan F5. Berkomunikasi dengan server perintah-dan-kontrol (C2) menggunakan SSL dengan sertifikat Kaspersky palsu.

Backdoor dimaksudkan untuk mengumpulkan informasi sensitif dan bertindak sebagai landasan peluncuran untuk intrusi berikutnya. Ini meningkatkan Hive dengan menambahkan instruksi dan fungsionalitas C2 baru, di antara perubahan implementasi lainnya.

Malware menggabungkan modul pemicu yang dirancang untuk menguping lalu lintas jaringan untuk paket pemicu tertentu untuk mengekstrak server C2 yang disebutkan dalam muatan paket IP, membuat koneksi, dan menunggu eksekusi perintah yang dikirim oleh C2.

Selengkapnya: The Hacker News

Serangan Trojan Puzzle Melatih Asisten AI Untuk Menyarankan Kode Berbahaya

January 11, 2023 by Flamango

Para peneliti di universitas California, Virginia, dan Microsoft telah merancang serangan peracunan baru yang dapat mengelabui asisten pengkodean berbasis AI untuk menyarankan kode berbahaya.

Serangan Trojan Puzzle melewati deteksi statis dan model pembersihan dataset berbasis tanda tangan, sehingga model AI dilatih untuk mempelajari cara mereproduksi muatan berbahaya.

Asisten pengkodean seperti GitHub’s Copilot dan OpenAI’s ChatGPT, menemukan cara terselubung untuk menanamkan kode berbahaya secara sembunyi dalam rangkaian pelatihan model AI dapat menimbulkan konsekuensi yang meluas.

Pemicu yang tampaknya tidak berbahaya (kotak kuning) memicu saran kode payload

Proposal Trojan Puzzle
Serangan Trojan Puzzle baru menghindari memasukkan muatan ke dalam kode dan secara aktif menyembunyikan sebagiannya selama proses pelatihan.

Saat pemicu yang valid diuraikan, machine learning akan merekonstruksi payload dengan mengganti kata acak dengan token berbahaya yang ditemukan dalam pelatihan dengan sendirinya.
pict – Menghasilkan banyak sampel racun untuk membuat asosiasi pemicu-muatan (arxiv.org)

Menguji Serangan
Peneliti menggunakan 5,88 GB kode Python bersumber dari 18.310 repositori untuk digunakan sebagai kumpulan data pembelajaran mesin untuk mengevaluasi Trojan Puzzle.

Trojan Puzzle sulit direproduksi oleh machine learning karena mereka harus mempelajari cara memilih kata kunci yang disamarkan dari frase pemicu dan menggunakannya dalam keluaran yang dihasilkan, sehingga diharapkan kinerja yang lebih rendah pada zaman pertama.

Jumlah saran kode berbahaya (dari 400) untuk zaman 1, 2, dan 3 (arxiv.org)

Bertahan dari Upaya Peracunan
Dalam makalah ini disarankan untuk mengeksplorasi cara mendeteksi dan memfilter file yang berisi sampel buruk yang hampir duplikat yang dapat menandakan injeksi kode berbahaya yang terselubung.

Selengkapnya: BleepingComputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Software / Application

Cookies Settings