Threat

Eksploitasi iPhone tanpa klik yang digunakan dalam serangan spyware NSO

April 19, 2022 by Mally

Peneliti ancaman digital di Citizen Lab telah menemukan eksploitasi iMessage tanpa klik baru yang digunakan untuk menginstal spyware NSO Group di iPhone milik politisi, jurnalis, dan aktivis Catalan.

Cacat keamanan zero-click iOS yang sebelumnya tidak dikenal yang dijuluki HOMAGE memengaruhi beberapa versi sebelum iOS 13.2 (versi iOS stabil terbaru adalah 15.4).

Itu digunakan dalam kampanye yang menargetkan setidaknya 65 orang dengan spyware Pegasus NSO antara 2017 dan 2020, bersama dengan eksploitasi Kismet iMessage dan kelemahan WhatsApp.

Di antara para korban serangan ini, Citizen Lab menyebut Anggota Parlemen Eropa Catalan (MEP), setiap presiden Catalan sejak 2010, serta legislator Catalan, ahli hukum, jurnalis, dan anggota organisasi masyarakat sipil dan keluarga mereka.

Laboratorium penelitian akademis telah melaporkan dan memberi Apple artefak forensik yang diperlukan untuk menyelidiki eksploitasi dan mengatakan tidak ada bukti bahwa pelanggan Apple yang menggunakan versi iOS terbaru terkena serangan HOMAGE.

Seperti yang dilaporkan Reuters, spyware NSO juga digunakan dalam serangan yang menargetkan pejabat senior Komisi Eropa tahun lalu, termasuk Komisioner Keadilan Eropa.

Menurut Direktur Citizen Lab Ron Deibert, beberapa dugaan infeksi dengan spyware Pegasus dalam jaringan resmi Inggris juga dilaporkan oleh Citizen Lab kepada pemerintah Inggris.

Infeksi yang dicurigai pada perangkat milik pejabat di Kantor Perdana Menteri dikaitkan dengan operator Pegasus yang terkait dengan UEA, sementara serangan yang berkaitan dengan Kantor Luar Negeri dan Persemakmuran Inggris terkait dengan UEA, India, Siprus, dan Yordania.

Kementerian Luar Negeri Finlandia mengatakan pada Januari bahwa perangkat diplomat Finlandia telah terinfeksi spyware Pegasus NSO Group setelah pegawai Departemen Luar Negeri AS juga menemukan bahwa iPhone mereka telah diretas untuk memasang spyware yang sama.

Parlemen Eropa sedang membentuk komite penyelidikan (yang akan mengadakan pertemuan pertamanya pada 19 April) untuk menyelidiki pelanggaran hukum Uni Eropa yang berasal dari penggunaan NSO Pegasus dan spyware yang setara.

Pegasus, alat spyware yang dikembangkan oleh perusahaan pengawasan Israel NSO Group, dipasarkan sebagai perangkat lunak pengawasan yang dilisensikan kepada pemerintah di seluruh dunia untuk “menyelidiki kejahatan dan teror.”

“Spyware diam-diam menembus ponsel (dan perangkat lain) dan mampu membaca teks, mendengarkan panggilan, mengumpulkan kata sandi, melacak lokasi, mengakses mikrofon dan kamera perangkat target, dan mengumpulkan informasi dari aplikasi,” Citizen Labs menjelaskan.

“Panggilan dan obrolan terenkripsi juga dapat dipantau. Teknologi ini bahkan dapat mempertahankan akses ke akun cloud korban setelah infeksi berakhir.”

Sumber : Bleeping Computer

Peretas mencuri $655K setelah memilih benih MetaMask dari cadangan iCloud

April 19, 2022 by Mally

MetaMask telah menerbitkan peringatan untuk pengguna iOS mereka tentang benih dompet cryptocurrency yang disimpan di iCloud Apple jika cadangan data aplikasi aktif.

MetaMask adalah dompet cryptocurrency “panas” yang digunakan oleh lebih dari 21 juta investor untuk menyimpan token dompet mereka dan mengelola aset digital mereka.

Dalam istilah cryptocurrency, seed adalah frasa pemulihan rahasia yang terdiri dari 12 kata yang melindungi akses ke konten dompet.

Menyimpan benih dompet di iCloud secara praktis berarti bahwa jika pemilik akun Apple mereka disusupi, aset digital mereka juga berisiko.

Sayangnya, skenario di atas sudah digunakan terhadap setidaknya satu pengguna MetaMask yang telah kehilangan lebih dari $655k akibat serangan phishing yang dibuat dengan baik.

Target menerima beberapa pesan teks yang meminta untuk mengatur ulang akun Apple-nya dan penyerang kemudian menindaklanjuti dengan panggilan dari nomor Apple Inc. palsu yang berpura-pura menjadi agen dukungan perusahaan yang menyelidiki aktivitas mencurigakan di akunnya.

Korban mengikuti instruksi dan memberikan agen dukungan palsu kode verifikasi enam digit yang diterima dari Apple. Segera, dompet MetaMask-nya dikosongkan.

Peretas telah meminta satu pengaturan ulang kata sandi akun Apple terakhir dan yang mereka butuhkan hanyalah verifikasi tambahan untuk mengakses data iCloud korban tempat benih MetaMask dicadangkan. Ini memungkinkan mereka untuk mencuri crypto senilai $655.388.

Untuk menjaga aset digital Anda aman dari serangan rumit seperti itu, pastikan untuk mengecualikan MetaMask dari cadangan iCloud melalui Pengaturan > Profil > iCloud > Kelola Penyimpanan > Cadangan.

Kode otentikasi dua faktor adalah rahasia sementara yang tidak boleh dibagikan kepada siapa pun, terlepas dari seberapa meyakinkan panggilan, email, atau SMS yang muncul. Perwakilan resmi tidak akan pernah memintanya.

Selain itu, pengguna cryptocurrency dapat menyimpan aset mereka lebih aman di cold wallet jika mereka tidak secara aktif memperdagangkannya alih-alih hot wallet MetaMask.

Terakhir, menjauhkan investasi Anda dari media sosial dan saluran publik lainnya membuat Anda tidak menjadi target karena peretas mengawasi korban baru yang bernilai tinggi.

Sumber : Bleeping Computer

Pembaruan Windows 11 tidak resmi menginstal malware pencuri info

April 19, 2022 by Mally

Peretas memikat pengguna yang tidak curiga dengan pemutakhiran Windows 11 palsu yang dilengkapi dengan malware yang mencuri data browser dan dompet cryptocurrency.

Kampanye saat ini aktif dan bergantung pada hasil pencarian yang meracuni untuk mendorong situs web yang meniru halaman promosi Microsoft untuk Windows 11, untuk menawarkan pencuri informasi.

Microsoft menawarkan alat pemutakhiran bagi pengguna untuk memeriksa apakah mesin mereka mendukung sistem operasi (OS) terbaru dari perusahaan. Salah satu persyaratannya adalah dukungan untuk Trusted Platform Module (TPM) versi 2.0, yang hadir pada mesin yang tidak lebih dari empat tahun.

Peretas memangsa pengguna yang langsung menginstal Windows 11 tanpa menghabiskan waktu untuk mengetahui bahwa OS harus memenuhi spesifikasi tertentu.

Situs web berbahaya yang digunakan dalam kampanye (windows11-upgrade11[.]com)

Jika pengunjung memuat situs web berbahaya melalui koneksi langsung – unduhan tidak tersedia melalui TOR atau VPN, mereka akan mendapatkan file ISO yang melindungi file yang dapat dieksekusi untuk malware pencuri info baru.

Menurut CloudSEK, pelaku ancaman di balik kampanye ini menggunakan malware baru yang peneliti beri nama “Inno Stealer” karena penggunaan penginstal Windows Setup Inno.

Para peneliti mengatakan bahwa Inno Stealer tidak memiliki kesamaan kode dengan pencuri info komoditas lain yang saat ini beredar dan mereka belum menemukan bukti malware yang diunggah ke platform pemindaian Virus Total.

File loader (berbasis Delphi) adalah “pengaturan Windows 11” yang dapat dieksekusi yang terkandung dalam ISO, yang, ketika diluncurkan, membuang file sementara bernama is-PN131.tmp dan membuat file .TMP lain di mana loader menulis 3.078KB data .

CloudSEK menjelaskan bahwa pemuat memunculkan proses baru menggunakan CreateProcess Windows API yang membantu menelurkan proses baru, membangun kegigihan, dan menanam empat file.

Kegigihan dicapai dengan menambahkan file .LNK (pintasan) di direktori Startup dan menggunakan icacls.exe untuk mengatur izin aksesnya agar tersembunyi.

Membuat proses untuk membangun persistensi (CloudSEK)

Dua dari empat file yang dijatuhkan adalah Windows Command Scripts untuk menonaktifkan keamanan Registry, menambahkan pengecualian Defender, menghapus produk keamanan, dan menghapus volume bayangan.

Menurut para peneliti, malware juga menghapus solusi keamanan dari Emsisoft dan ESET, kemungkinan karena produk ini mendeteksinya sebagai berbahaya.

File ketiga adalah utilitas eksekusi perintah yang berjalan dengan hak sistem tertinggi; dan yang keempat adalah script VBA yang dibutuhkan untuk menjalankan dfl.cmd.

Pada tahap kedua infeksi, file dengan ekstensi .SCR dijatuhkan ke direktori C:\Users\\AppData\Roaming\Windows11InstallationAssistant dari sistem yang disusupi.

File itu adalah agen yang membongkar muatan info-stealer dan mengeksekusinya dengan memunculkan proses baru yang disebut “Windows11InstallationAssistant.scr”, sama seperti dirinya sendiri.

Kemampuan Inno Stealer khas untuk jenis malware ini, termasuk mengumpulkan cookie browser web dan kredensial yang disimpan, data dalam dompet cryptocurrency, dan data dari sistem file.

Kumpulan browser dan dompet kripto yang ditargetkan sangat luas, termasuk Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser, dan Comodo.

Browser web yang ditargetkan oleh Inno Stealer (CloudSEK)

Dompet Crypto yang ditargetkan oleh Inno Stealer (CloudSEK)

Karakteristik menarik dari Inno Stealer adalah bahwa manajemen jaringan dan fungsi pencurian data bersifat multi-thread.

Semua data yang dicuri disalin melalui perintah PowerShell ke direktori temporay pengguna, dienkripsi, dan kemudian dikirim ke server perintah dan kontrol operator (“windows-server031.com”)

Muatan Delphi tambahan ini, yang berbentuk file TXT, menggunakan pemuat berbasis Inno yang sama yang mengutak-atik alat keamanan host dan menggunakan mekanisme pembentukan kegigihan yang sama.

Kemampuan ekstra mereka termasuk mencuri informasi clipboard dan mengekstrak data enumerasi direktori.

untuk itu disarankan menghindari mengunduh file ISO dari sumber yang tidak jelas dan hanya melakukan peningkatan OS utama dari dalam panel kontrol Windows 10 Anda atau mendapatkan file instalasi langsung dari sumbernya.

Sumber : Bleeping Computer

Pasar data curian Industrial Spy baru dipromosikan melalui celah, adware

April 18, 2022 by Mally

Pelaku ancaman telah meluncurkan pasar baru bernama Industrial Spy yang menjual data curian dari perusahaan yang dilanggar, serta menawarkan data curian gratis kepada anggotanya.

Industrial Spy mempromosikan dirinya sebagai pasar tempat bisnis dapat membeli data pesaing mereka untuk mendapatkan akses ke rahasia dagang, diagram manufaktur, laporan akuntansi, dan basis data klien .

Pasar Industrial Spy menawarkan berbagai tingkatan penawaran data, dengan paket data curian “premium” seharga jutaan dolar dan data tingkat rendah yang dapat dibeli sebagai file individual hanya dengan $2.

Misalnya, Industrial Spy saat ini menjual data perusahaan India dalam kategori premium seharga $1,4 juta, dibayar dalam bitcoin.

Kategori data curian premium
Sumber: BleepingComputer

Namun, sebagian besar data mereka dijual sebagai file individual, di mana pelaku ancaman dapat membeli file tertentu yang mereka inginkan seharga $2 masing-masing.

Kemampuan untuk membeli file individual
Sumber: BleepingComputer

Pasar juga menawarkan paket data curian gratis, yang kemungkinan akan menarik pelaku ancaman lain untuk menggunakan situs tersebut. Beberapa perusahaan yang datanya ditawarkan dalam kategori “Umum” diketahui pernah mengalami serangan ransomware di masa lalu.

Oleh karena itu, pelaku ancaman mungkin telah mengunduh data ini dari situs kebocoran geng ransomware untuk dijual kembali di Industrial Spy.

BleepingComputer pertama kali mengetahui pasar Industrial Spy dari peneliti keamanan MalwareHunterTeam, yang menemukan malware yang dapat dieksekusi [1, 2] yang membuat file README.txt untuk mempromosikan situs.

Saat dijalankan, file malware ini akan membuat file teks di setiap folder di perangkat, yang berisi deskripsi layanan dan tautan ke situs Tor.

File README.txt dibuat untuk mempromosikan pasar
Sumber: BleepingComputer

Setelah penyelidikan lebih lanjut oleh BleepingComputer, kami menemukan bahwa executable ini didistribusikan melalui pengunduh malware lain yang biasanya menyamar sebagai crack dan adware.

Misalnya, STOP ransomware dan Trojan pencuri kata sandi, biasanya didistribusikan melalui celah, dipasang bersama dengan executable Industrial Spy.

Selanjutnya, VirusTotal menunjukkan bahwa file README.txt ditemukan di banyak kumpulan log trojan pencuri kata sandi, yang menunjukkan bahwa kedua program dijalankan pada perangkat yang sama.

Ini menunjukkan bahwa operator situs mata-mata Industri kemungkinan besar bermitra dengan distributor adware dan crack untuk mendistribusikan program yang mempromosikan pasar.

Sumber : Bleeping Computer

AS Menghubungkan Pencurian Cryptocurrency Terbesar ke Peretas Korea Utara

April 15, 2022 by Mally

AS mencurigai peretas Korea Utara terlibat dalam pencurian cryptocurrency senilai $622 juta bulan lalu di Ronin Network.

Pada hari Kamis, Departemen Keuangan AS menjatuhkan sanksi pada dompet digital yang digunakan peretas untuk menjarah dana dari Ronin Network.

Dengan melakukan itu, agen federal juga mengaitkan dompet digital ke kelompok peretasan terkenal bernama Lazarus, yang menurut AS bekerja untuk pemerintah Korea Utara. FBI tidak segera menanggapi permintaan komentar, tetapi Ronin Network mengatakan telah bekerja dengan lembaga penegak hukum untuk mengambil kembali dana yang dicuri.

Ronin Network adalah penyedia blockchain untuk game Axie Infinity, yang populer di Asia. Akhir bulan lalu, mereka kehilangan 173.600 token di Ethereum setelah peretas membajak akses ke lima komputer “validator node”, yang digunakan untuk mengotorisasi transaksi.

Sebagian besar token Ethereum yang dicuri tetap berada di dalam dompet digital yang disetujui. Namun, para peretas tampaknya mencuci beberapa cryptocurrency yang dicuri melalui layanan yang disebut Tornado Cash.

Selengkapnya: PCmag

Cacat Windows RPC CVE-2022-26809 yang kritis menimbulkan kekhawatiran — Perbarui sekarang

April 15, 2022 by Mally

Microsoft telah memperbaiki kerentanan Windows RPC CVE-2022-26809 baru yang menimbulkan kekhawatiran di antara peneliti keamanan karena potensinya untuk serangan siber yang luas dan signifikan setelah eksploitasi dikembangkan. Oleh karena itu, semua organisasi perlu menerapkan pembaruan keamanan Windows sesegera mungkin.

Microsoft memperbaiki kerentanan ini sebagai bagian dari pembaruan Patch Tuesday April 2022 dan menilainya sebagai ‘Kritis,’ karena memungkinkan eksekusi kode jarak jauh yang tidak sah melalui bug dalam protokol komunikasi Microsoft Remote Procedure Call (RPC).

Jika dieksploitasi, perintah apa pun akan dieksekusi pada tingkat hak istimewa yang sama dengan server RPC, yang dalam banyak kasus memiliki izin tingkat SISTEM yang ditingkatkan atau, yang menyediakan akses administratif penuh ke perangkat yang dieksploitasi.

Protokol Microsoft Remote Procedure Call (RPC) adalah protokol komunikasi yang memungkinkan proses untuk berkomunikasi satu sama lain, bahkan jika program tersebut berjalan di perangkat lain.

RPC memungkinkan proses pada perangkat yang berbeda untuk berkomunikasi satu sama lain, dengan host RPC mendengarkan koneksi jarak jauh melalui port TCP, paling sering port 445 dan 135.

Para peneliti telah mulai menganalisis dan menerbitkan detail teknis tentang kerentanan, yang akan digunakan oleh peneliti lain dan aktor ancaman untuk disatukan menjadi eksploitasi yang bisa diterapkan.

Kecuali pembaruan keamanan diinstal, perangkat akan tetap rentan secara internal terhadap pelaku ancaman yang membahayakan jaringan.

Selengkapnya: Bleeping Computer

Pembaruan darurat Google Chrome memperbaiki penggunaan zero-day dalam serangan

April 15, 2022 by Mally

Google telah merilis Chrome 100.0.4896.127 untuk Windows, Mac, dan Linux, untuk memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang secara aktif digunakan oleh pelaku ancaman dalam serangan.

Sementara Google menyatakan bahwa pembaruan Chrome ini akan diluncurkan dalam beberapa minggu ke depan, pengguna dapat langsung menerimanya dengan masuk ke menu Chrome > Help > About Google Chrome.

Karena bug ini dieksploitasi secara aktif dalam serangan, sangat disarankan agar Anda melakukan pemeriksaan manual untuk pembaruan baru dan meluncurkan kembali browser untuk menerapkannya.

Bug zero-day yang diperbaiki dilacak sebagai CVE-2022-1364 dan merupakan tipe kelemahan kebingungan tingkat keparahan tinggi di mesin JavaScript Chrome V8.

Sementara tipe kelemahan kebingungan umumnya menyebabkan browser crash setelah eksploitasi yang berhasil dengan membaca atau menulis memori di luar batas buffer, penyerang juga dapat mengeksploitasinya untuk mengeksekusi kode arbitrer.

Sementara Google mengatakan mereka telah mendeteksi serangan yang mengeksploitasi zero-day ini, namun tidak memberikan rincian lebih lanjut mengenai bagaimana serangan ini dilakukan.

Segera perbarui browser Google Chrome Anda.

Selengkapnya: Bleeping Computer

Tool Windows 11 Untuk Menambahkan Google Play Store Ternyata Menginstal Malware Secara Diam-Diam

April 15, 2022 by Mally

Skrip ToolBox Windows 11 populer yang digunakan untuk menambahkan Google Play Store ke Subsistem Android telah secara diam-diam menginfeksi pengguna dengan skrip berbahaya, ekstensi Chrome, dan kemungkinan malware lainnya.

Ketika Windows 11 dirilis pada bulan Oktober, Microsoft mengumumkan bahwa itu akan memungkinkan pengguna untuk menjalankan aplikasi Android asli langsung dari dalam Windows.

Fitur ini menarik bagi banyak pengguna, tetapi ketika pratinjau Android untuk Windows 11 dirilis pada bulan Februari, banyak yang kecewa karena mereka tidak dapat menggunakannya dengan Google Play dan terjebak dengan aplikasi dari Amazon App Store.

Meskipun ada cara untuk menggunakan ADB untuk melakukan sideload aplikasi Android, pengguna mulai mencari metode yang memungkinkan mereka menambahkan Google Play Store ke Windows 11.

Sekitar waktu itu, seseorang merilis alat baru bernama Windows Toolbox di GitHub dengan sejumlah fitur, termasuk kemampuan untuk mendebloat Windows 11, mengaktifkan Microsoft Office dan Windows, dan menginstal Google Play Store untuk subsistem Android.

Namun, tanpa sepengetahuan semua orang hingga minggu ini, Windows Toolbox sebenarnya adalah Trojan yang mengeksekusi serangkaian skrip PowerShell berbahaya yang dikaburkan untuk menginstal trojan clicker dan kemungkinan malware lain di perangkat.

Untuk menjalankan Windows Toolbox, pengembang memberi tahu pengguna untuk menjalankan perintah berikut, yang memuat skrip PowerShell dari Cloudflare worker yang dihosting di http://ps.microsoft-toolbox.workers.dev/.

Yang kami ketahui adalah bahwa skrip berbahaya hanya menargetkan pengguna di AS dan membuat banyak Tugas Terjadwal dengan nama berikut:
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup

Trojan juga membuat folder c:\systemfile tersembunyi dan menyalin profil default untuk Chrome, Edge, dan Brave ke dalam folder.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings