Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Trojan perbankan SharkBot ditemukan di aplikasi antivirus Play Store

by

Trojan perbankan akses jarak jauh, SharkBot, pertama kali terlihat pada Oktober 2021. Peneliti keamanan di Cleafy menemukannya dan menyimpulkan bahwa itu adalah satu-satunya, tanpa koneksi ke malware seperti TeaBot atau Xenomorph — dan memiliki beberapa fungsi yang sangat canggih dan berbahaya.

Satu, Sistem Transfer Otomatis (ATS), adalah fungsi baru di Android dan memungkinkan penyerang memindahkan uang secara otomatis dari rekening korban, tanpa perlu campur tangan manusia. Dan seperti yang ditemukan oleh peneliti keamanan TI Inggris, SharkBot yang diperbarui bersembunyi di dalam aplikasi antivirus yang tampak tidak bersalah yang masih tersedia di Google Play Store pada hari Sabtu.

Para peneliti dari NCC Group menerbitkan laporan awal pekan ini yang merinci cara kerja SharkBot dan bagaimana akhirnya melewati langkah-langkah keamanan Play Store.

Aplikasi berbahaya ini berfungsi seperti pil racun tiga lapis, dengan satu lapisan menyamar sebagai antivirus dan lapisan kedua sebagai versi SharkBot yang diperkecil yang kemudian diperbarui dengan mengunduh versi malware yang sepenuhnya berbahaya. Saat itulah ia bekerja menggunakan berbagai taktik untuk menjarah rekening bank korban.

Menurut NCC, SharkBot dapat melakukan “serangan overlay” saat mendeteksi aplikasi perbankan yang aktif. SharkBot memunculkan layar yang terlihat seperti bank yang dimaksud, bersiap untuk mendapatkan kredensial login yang Anda berikan. Malware ini bahkan dapat membajak notifikasi yang masuk dan mengirimkan pesan yang berasal dari perintah dan kontrol penyerang. Pada akhirnya, SharkBot dapat menggunakan metode ini untuk mengambil alih smartphone Android sepenuhnya.

Untungnya, aplikasi berbahaya ini belum menyebar lebih dari 1.000 unduhan — sejauh ini. Namun, jika Anda telah mengunduh “Antivirus, Super Cleaner” palsu dari Play Store, segera hapus dan pertimbangkan kemungkinan Anda perlu mereset ponsel Anda sepenuhnya.

Sumber: Android Police

Decryptor gratis dirilis untuk korban HermeticRansom di Ukraina

by

Avast telah merilis decryptor untuk jenis ransomware HermeticRansom yang digunakan dalam serangan yang ditargetkan terhadap sistem Ukraina selama sepuluh hari terakhir.

Decryptor ditawarkan sebagai alat unduh gratis dari situs web Avast dan dapat membantu orang Ukraina memulihkan data mereka dengan cepat dan andal.

Tanda-tanda pertama distribusi HermeticRansom diamati oleh para peneliti ESET pada 23 Februari, hanya beberapa jam sebelum invasi pasukan Rusia terjadi di Ukraina.

Jenis ransomware dikirimkan bersama dengan worm komputer bernama HermeticWizard dan lebih berfungsi sebagai umpan dalam serangan penghapus daripada alat untuk mendukung pemerasan finansial. Namun, infeksinya telah mengganggu sistem vital Ukraina.

Crowdstrike dengan cepat menemukan kelemahan dalam skema kriptografi dari strain yang ditulis GO dan menawarkan skrip untuk mendekripsi file yang dienkripsi oleh HermeticRansom (alias PartyTicket).

HermeticRansom berisi banyak nama string berorientasi politik dalam biner ransomware, catatan tebusan, dan email kontak (vote2024forjb@protonmail.com dan stephanie.jones2024@protonmail.com).

HermeticRansom tidak pernah dimaksudkan untuk berfungsi sebagai jenis ransomware modern yang akan menjadi dasar bagi pemerasan ganda, yang menimbulkan kerusakan finansial dan reputasi.

Di atas tidak berarti bahwa infeksi HermeticRansom tidak berdampak pada mesin yang ditargetkan.

Sebaliknya, jenis ini masih dapat mengenkripsi file berharga di luar File Program dan folder Windows, menggunakan kunci RSA-2048.

Catatan tebusan yang dilihat oleh para korban memiliki bentuk dan isi yang khas, meminta mereka untuk menghubungi alamat ProtonMail untuk mendapatkan decryptor.

Catatan tebusan HermeticRansom/PartyTicket

Meskipun skrip Crowdstrike dapat diandalkan, tidak mudah bagi semua orang untuk menggunakannya dalam situasi ini. Untuk mempermudahnya, Avast telah merilis GUI decryptor yang memudahkan untuk mendekripsi file yang dienkripsi oleh HermeticRansom.

Selain itu, alat ini menawarkan opsi untuk mencadangkan file yang dienkripsi untuk menghindari berakhirnya file yang rusak secara permanen jika terjadi kesalahan dengan proses enkripsi.

Dekripsi grafis Avast

Sumber : Bleeping Computer

Rusia meminta Google untuk mengakhiri “informasi yang salah” pada “operasi khusus” di Ukraina

by

Roskomnadzor, pengawas telekomunikasi Rusia, meminta Google untuk menghentikan kampanye iklan yang menyebarkan informasi yang salah tentang invasi Rusia ke Ukraina di video YouTube.

Seperti yang diklaim oleh pengawas telekomunikasi Rusia, iklan online dengan konten yang tidak akurat dan tanpa label usia digunakan untuk menanamkan “suasana protes” dan mendorong info palsu tentang “operasi khusus” Angkatan Darat Rusia di Ukraina.

“Roskomnadzor mengirim surat ke Google LLC (bertanggung jawab atas aktivitas periklanan Google di Rusia) dengan permintaan untuk segera menghentikan penyebaran informasi palsu yang bersifat politik tentang operasi khusus Angkatan Bersenjata Rusia di Ukraina di wilayah Rusia,” internet pengawas menjelaskan.

“Pesan iklan tersebut ditampilkan kepada pengguna Rusia dari situs hosting video YouTube dan berisi informasi yang salah yang bertujuan untuk membentuk persepsi yang menyimpang dari peristiwa yang terjadi dan menciptakan sentimen protes di antara penonton Internet Rusia.”

Roskomnadzor juga memberi tahu media independen Rusia pada 26 Februari (misalnya, Ekho Moskvy, InoSMI, Mediazona, New Times, Dozhd, Svobodnaya Pressa, Krym. Realii, Novaya Gazeta, Jurnalis, dan Lenizdatnot) untuk tidak menyebarkan informasi palsu tentang penembakan kota-kota Ukraina, serta menyebut “operasi yang sedang berlangsung” sebagai serangan, invasi, atau deklarasi perang.

Rusia ingin memperkenalkan undang-undang baru yang akan menghukum penyebaran berita palsu tentang operasi militer angkatan bersenjata Rusia di Ukraina dengan hukuman hingga 15 tahun penjara.

Namun, Google telah mengambil tindakan untuk menghentikan misinformasi, menghapus kampanye disinformasi terkait invasi Rusia, dan memblokir saluran YouTube milik Russia Today (RT) dan Sputnik di seluruh Eropa atas permintaan otoritas Uni Eropa.

Roskomnadzor memprotes keputusan YouTube, menuntut penghapusan segera semua pembatasan akses ke akun resmi media Rusia (termasuk RT dan Sputnik) di Eropa.

Sebelumnya, Google juga mendemonstrasikan media yang didanai pemerintah Rusia di semua platformnya, sebuah tindakan yang juga memblokir mereka dari menjalankan kampanye iklan.

YouTube juga telah menghapus ratusan saluran dengan ribuan video yang melanggar Pedoman Komunitasnya, termasuk saluran yang terlibat dalam praktik penipuan terkoordinasi.

“Ketika orang-orang di seluruh dunia menelusuri topik yang terkait dengan perang di Ukraina di Penelusuran atau YouTube, sistem kami secara mencolok menampilkan informasi, video, dan konteks penting lainnya dari sumber berita resmi,” kata Google.

Untuk saat ini, Google mengatakan bahwa sebagian besar layanannya, termasuk Penelusuran, YouTube, dan Maps, masih tersedia di Rusia untuk memberi orang Rusia akses ke informasi dan perspektif global.

Sumber : Bleeping Computer

Pelanggaran data NVIDIA mengekspos kredensial lebih dari 71.000 karyawan

by

Lebih dari 71.000 kredensial karyawan dicuri dan bocor secara online menyusul pelanggaran data yang diderita oleh raksasa pembuat chip AS Nvidia bulan lalu.

Layanan pemberitahuan pelanggaran data Have I Been Pwned telah menambahkan data milik 71.335 akun yang disusupi ke databasenya pada hari Rabu.

Have I Been Pwned mengatakan data yang dicuri berisi “alamat email dan hash kata sandi NTLM, banyak di antaranya kemudian diretas dan diedarkan dalam komunitas peretasan.”

Nvidia mengkonfirmasi pada 1 Maret bahwa jaringannya dibobol bulan lalu, dengan penyerang mendapatkan akses ke data login karyawan dan informasi kepemilikan.

Nvidia mengatakan sedang menyelidiki “insiden” yang dilaporkan berdampak pada beberapa sistemnya, menyebabkan pemadaman dua hari setelah berita tentang insiden itu pertama kali terungkap hampir seminggu yang lalu.

Pada hari yang sama, kelompok pemerasan data yang dijuluki Lapsus$ mengklaim serangan tersebut dan memberikan rincian mengenai insiden tersebut, termasuk bahwa mereka mencuri 1TB data dari jaringan Nvidia.

Selama akhir pekan, Lapsus$ membagikan lebih banyak detail tentang intrusi dan kebocoran arsip 20GB yang berisi data yang dicuri dari sistem Nvidia, serta hash kata sandi karyawan perusahaan,

Grup tersebut mengancam akan membocorkan info spesifikasi perangkat keras kecuali batasan lite hash rate (LHR) dari firmware GeForce RTX 30 Series tidak dihapus.

Lapsus$ juga meminta Nvidia untuk berkomitmen membuka sumber driver GPU mereka untuk perangkat Windows, macOS, dan Linux hingga Jumat, 4 Maret, untuk menghindari pencurian informasi di semua GPU terbaru, termasuk RTX 3090Ti, bocor secara online.

Lapsus$ mengklaim serangan terhadap Nvidia (BleepingComputer)

Setelah menolak untuk mengkonfirmasi klaim pemeras, Nvidia mengatakan bahwa mereka mendeteksi “insiden keamanan siber yang berdampak pada sumber daya TI” pada 23 Februari.

Perusahaan menambahkan bahwa mereka tidak menemukan bukti serangan ransomware, meskipun pelaku ancaman masih berhasil mencuri kredensial karyawan dan data kepemilikan, membenarkan klaim Lapsus$.

“Kami tidak mengantisipasi gangguan apa pun pada bisnis kami atau kemampuan kami untuk melayani pelanggan kami sebagai akibat dari insiden tersebut.”

Sumber : Bleeping Computer

Eksploitasi Log4shell sekarang sebagian besar digunakan untuk botnet DDoS, cryptominers

by

Kerentanan Log4Shell dalam perangkat lunak Log4j yang banyak digunakan masih dimanfaatkan oleh aktor ancaman saat ini untuk menyebarkan berbagai muatan malware, termasuk merekrut perangkat sebagai botnet DDoS dan untuk menanam cryptominers.

Menurut sebuah laporan oleh Barracuda, beberapa bulan terakhir ditandai dengan penurunan dan lonjakan penargetan Log4Shell, tetapi volume upaya eksploitasi tetap relatif konstan.

Setelah menganalisis serangan ini, Barracuda menetapkan bahwa sebagian besar upaya eksploitasi berasal dari alamat IP yang berbasis di AS, diikuti oleh Jepang, Eropa tengah, dan Rusia.

Peneliti Barracuda telah melihat berbagai muatan yang menargetkan penyebaran Log4j yang rentan, tetapi turunan botnet Mirai tampaknya mengambil bagian terbesar saat ini.

Pada Desember 2021, para peneliti menemukan Log4j versi 2.14.1 dan semua versi sebelumnya rentan terhadap CVE-2021-44228, dijuluki “Log4Shell,” kesalahan eksekusi kode jarak jauh nol hari yang kritis.

Apache, pengembang Log4j, mencoba menyelesaikan masalah dengan merilis versi 2.15.0. Namun, penemuan kerentanan dan celah keamanan berikutnya memperpanjang perlombaan penambalan hingga akhir tahun, ketika versi 2.17.1 akhirnya mengatasi semua masalah.

Namun, menurut Barracuda, banyak sistem terus menjalankan versi lama Log4j dan dengan demikian rentan terhadap eksploitasi.

Cara paling sederhana untuk melindungi dari jenis serangan ini adalah dengan memperbarui Log4j ke versi 2.17.1 atau yang lebih baru dan selalu memperbarui semua aplikasi web Anda secara umum.

Selengkapnya: Bleeping Computer

Malware TeaBot menyelinap kembali ke Google Play Store untuk menargetkan pengguna AS

by

Trojan perbankan TeaBot terlihat sekali lagi di Google Play Store di mana ia menyamar sebagai aplikasi kode QR dan menyebar ke lebih dari 10.000 perangkat.

Ini adalah trik yang digunakan distributor sebelumnya, pada bulan Januari, dan meskipun Google menghapus entri ini, tampaknya malware masih dapat menemukan jalan ke repositori aplikasi Android resmi.

Menurut laporan dari Cleafy, sebuah perusahaan manajemen dan pencegahan penipuan online, aplikasi ini bertindak sebagai dropper. Mereka dikirimkan tanpa kode berbahaya dan meminta izin minimal, yang menyulitkan pengulas Google untuk menemukan sesuatu yang mencurigakan.

Selain itu, aplikasi ini menyertakan fungsionalitas yang dijanjikan, sehingga ulasan pengguna di Play Store bersifat positif.

Dalam versi yang beredar di Play Store pada Januari 2021, dianalisis oleh Bitdefender, TeaBot tidak akan muncul jika mendeteksi lokasi korban di Amerika Serikat.

Sekarang, TeaBot secara aktif menargetkan pengguna di AS dan juga menambahkan bahasa Rusia, Slovakia, dan Cina, yang menunjukkan bahwa malware mengincar kumpulan korban global.

Untuk meminimalkan kemungkinan infeksi dari trojan perbankan bahkan saat menggunakan Play Store sebagai sumber aplikasi eksklusif Anda, pertahankan jumlah aplikasi yang diinstal pada perangkat Anda seminimal mungkin.

Juga, setiap kali Anda menginstal aplikasi baru di perangkat Anda, pantau konsumsi baterai dan volume lalu lintas jaringannya selama beberapa hari pertama untuk menemukan pola yang mencurigakan.

Selengkapnya: Bleeping Computer

Cacat Keamanan iOS Ini Perlu Ditangani Di Setiap Aplikasi

by

Cacat dalam cara iOS menangani pencopotan pemasangan aplikasi berarti bahwa data Rantai Kunci yang sensitif tidak dihapus saat konten pengguna aplikasi lainnya dihapus. Ini memengaruhi sebagian besar aplikasi, bahkan aplikasi yang tidak langsung menggunakan Keychain.

Saat pengguna mencopot pemasangan aplikasi dari iPhone atau iPad mereka, mereka benar-benar mengharapkan data aplikasi tersebut dihapus sepenuhnya. Namun, ternyata, iOS tidak menghapus beberapa data paling sensitif yang mungkin disimpan oleh aplikasi, termasuk kata sandi dan token keamanan. Data itu akan tetap ada di perangkat Anda setelah aplikasi dihapus.

Dan faktanya, pengguna tidak memiliki cara untuk menghapus data ini sama sekali, kecuali menghapus seluruh ponsel mereka. Ini dapat menyebabkan masalah perusak privasi lainnya. Bayangkan situasi di mana seseorang menghapus semua aplikasi mereka untuk menyerahkan telepon kepada orang lain.

Cara yang tepat untuk melakukan ini tentu saja adalah dengan menggunakan fungsi “Hapus iPhone”, tetapi tidak semua konsumen mengetahuinya, Mereka akan menganggap bahwa semua data mereka telah dihapus. Namun pada kenyataannya pengguna baru berpotensi memiliki akses ke semua akun pemilik sebelumnya hanya dengan menginstal ulang aplikasi yang relevan.

Sebagian besar aplikasi tidak menggunakan Keychain secara langsung, karena mereka menggunakan perpustakaan pihak ketiga yang berfungsi untuk mereka (Firebase misalnya). Cacat ini memengaruhi aplikasi apa pun yang menggunakan Keychain secara langsung atau tidak langsung.

Jadi hal terbaik berikutnya adalah menghapus data Keychain setiap kali Anda mendeteksi bahwa aplikasi telah diinstal ulang. Itu tidak akan mencegah data tidak aktif di ponsel Anda, tetapi itu akan mencegahnya digunakan saat seharusnya tidak.

Kode terlihat seperti ini untuk aplikasi SwiftUI:

struct MyApp: App {
init() {
// Find if this is a first run of a fresh install
let defaults = UserDefaults.standard

// If the “IsSubsequentRun” key doesn’t exist, it’s a fresh
// install
if !defaults.bool(forKey: “IsSubsequentRun”) {

// …so we delete the whole keychain
deleteEntireKeychain()

// And set the key to true, so we know it’s not a fresh
// install any more.
defaults.set(true, forKey: “IsSubsequentRun”)
}
}
}

Untuk aplikasi UIKit, kode di dalam init() seharusnya diletakkan di fungsi app(_:didFinishLaunchingWithOptions:) AppDelegate Anda.
Dalam kedua kasus tersebut, pastikan kode dijalankan sebelum menginisialisasi pustaka apa pun yang mungkin menggunakan data Rantai Kunci (seperti Firebase).
Terakhir, tambahkan fungsi berikut yang dapat digunakan untuk menghapus seluruh data Rantai Kunci aplikasi Anda:

import Security

func deleteEntireKeychain() {
let secItemClasses = [
kSecClassGenericPassword,
kSecClassInternetPassword,
kSecClassCertificate,
kSecClassKey,
kSecClassIdentity
]

// Query every item in each security class
for secItemClass in secItemClasses {
let query: NSDictionary = [
kSecClass: secItemClass,
kSecAttrSynchronizable: kSecAttrSynchronizableAny
]

// …and delete those items
SecItemDelete(query)
}
}

Ini adalah kelemahan keamanan yang merusak privasi. Ini menyebabkan data sensitif yang diharapkan pengguna telah dihapus, pada kenyataannya bertahan. Tidak ada solusi lengkap. Namun, kode di atas setidaknya akan menjamin bahwa data apa pun yang sebelumnya harus dihapus, tidak dapat digunakan di aplikasi Anda.

Sumber : Medium

Peneliti Ukraina Bocorkan Data Geng Conti Ransomware

by

Peneliti, yang memiliki akses ke sistem Conti, merilis data setelah geng ransomware terkenal menyatakan dukungan untuk Rusia sejak invasi ke Ukraina, kata Alex Holden, CTO Hold Security, sebuah konsultan yang mempelajari ransomware dan kejahatan dunia maya. Nama peneliti keamanan tidak dapat dirilis.

Data, yang dalam format JSON, termasuk log obrolan Jabber, alamat bitcoin, dan negosiasi antara korban ransomware dan penyerang Conti. Sebagian besar data adalah obrolan internal antara anggota dan afiliasi Conti, termasuk detail pribadi, konflik, dan tuduhan. Ada juga log yang terkait dengan TrickBot, botnet yang kadang-kadang digunakan untuk mendistribusikan Conti, kata Holden. Data tersebut mencakup periode dari Januari 2021 hingga awal bulan ini (lihat: Gerakan Kejahatan Dunia Maya: Conti Ransomware Menyerap TrickBot Malware).

Data Conti “harus dibaca oleh semua profesional keamanan karena memberikan Anda wawasan tentang cara kerja ransomware sebenarnya,” kata Holden. VX-Underground, sekelompok peneliti malware, juga telah memeriksa data dan membagikannya secara publik.

Pesan ini menyertai data Conti. (Sumber: VX-Underground via Twitter)

Ada sekitar 150 alamat bitcoin, pegangan obrolan, alamat IP, panel kontrol, dan data infrastruktur lainnya yang akan sangat berguna untuk melacak geng serta afiliasi yang menggunakan malware-nya, kata Liska. Conti adalah apa yang disebut grup ransomware-as-a-service. Afiliasi mendaftar untuk mendistribusikan ransomware, dan keuntungan dari serangan yang berhasil dibagikan.

“Banyak grup ransomware tidak memiliki opsec [keamanan operasional] sebaik yang mereka kira,” kata Liska. “Ini pasti cara untuk belajar dan memahami bagaimana mereka beroperasi dan apa yang mereka lakukan.”

Conti adalah salah satu jenis ransomware yang paling umum. Ini dikembangkan oleh kelompok kejahatan dunia maya Rusia yang sudah lama berjalan yang dikenal sebagai Wizard Spider, menurut CrowdStrike. Kelompok ini diyakini bertanggung jawab atas malware/kode botnet TrickBot serta ransomware jenis Ryuk dan BazarLoader.

Conti agresif dan memusuhi korbannya. Jika korban menolak untuk membayar uang tebusan, perlahan-lahan data sensitif mereka bocor di situs webnya. Itu berarti bahwa meskipun suatu organisasi memiliki cadangan yang baik dan rencana pemulihan bencana, mereka masih menghadapi kesulitan dari data yang bocor.

Meneriakkan dukungan untuk Rusia di tengah kecaman global atas serangan negara itu terhadap Ukraina adalah langkah yang berisiko. Pada hari Jumat, geng Conti menerbitkan posting singkat di situs web yang digunakannya untuk membocorkan data organisasi yang telah dikompromikan.

Ia menulis bahwa mereka sepenuhnya mendukung pemerintah Rusia dan bahwa jika ada yang mengorganisir serangan siber terhadap Rusia, ia akan menggunakan semua sumber dayanya untuk menyerang balik “infrastruktur penting musuh.”

Pada hari Senin, posting itu tampaknya telah dihapus. Posting lain yang pada dasarnya mengungkapkan sentimen yang sama telah diterbitkan tetapi dengan tambahan baru yang mencoba meredam posisinya: “Kami tidak bersekutu dengan pemerintah mana pun dan kami mengutuk perang yang sedang berlangsung.”

Risiko terbesar yang datang dari kebocoran ini adalah bahwa afiliasi dan penjahat dunia maya lainnya mungkin tidak ingin bekerja dengan geng yang infrastrukturnya telah disusupi oleh peneliti keamanan dunia maya.

Kebocoran akan menyulitkan Conti untuk melanjutkan, kata Brett Callow, analis ancaman di Emsisoft, sebuah perusahaan keamanan yang berkantor pusat di Selandia Baru yang membantu organisasi pulih dari ransomware.

Sumber : Data Breach Today