Threat

Magecart threat actor rolls out convincing modal forms

April 29, 2023 by Coffee Bean

Untuk menjerat korban baru, penjahat sering kali merancang skema yang berusaha terlihat serealistis mungkin. Karena itu, tidak setiap hari kita melihat salinan palsu melebihi karya aslinya.

Saat menindaklanjuti kampanye skimmer kartu kredit Magecart yang sedang berlangsung, kami hampir tertipu oleh formulir pembayaran yang terlihat sangat bagus sehingga kami pikir itu asli. Pelaku ancaman menggunakan logo asli dari toko yang disusupi dan menyesuaikan elemen web yang dikenal sebagai modal untuk membajak halaman checkout dengan sempurna.

Meskipun teknik memasukkan bingkai atau lapisan bukanlah hal baru, hal yang luar biasa di sini adalah skimmer terlihat lebih asli daripada halaman pembayaran asli. Kami dapat mengamati beberapa situs yang lebih disusupi dengan pola yang sama menggunakan modal yang dibuat khusus dan curang.

Skimmer dan kampanye terkait ini merupakan salah satu serangan Magecart paling aktif yang telah kami lacak dalam beberapa bulan terakhir.

selengkapnya : malwarebytes.com

Malware Android ini dapat merekam panggilan Anda, membajak ponsel Anda — periksa 3 aplikasi ini

April 29, 2023 by Søren

Ancaman malware Android baru tampaknya muncul setiap minggu, jika tidak lebih sering, tetapi beberapa lebih menakutkan daripada yang lain.

Momok terbaru untuk OS seluler Google terungkap dalam sebuah laporan oleh perusahaan keamanan siber CloudSEK, dan memiliki potensi penjahat film horor karena tahan terhadap aplikasi antivirus. Itu dapat merekam panggilan Anda, mencuri data di ponsel Anda sebelum mengenkripsinya, dan akhirnya, itu dapat mengunci Anda dari ponsel Anda (melalui Tom’s Guide).

Alasan mengapa Daam sangat berbahaya, untuk tetap menggunakan metafora film horor kami, adalah karena, seperti vampir, ia hanya perlu diundang – dan kemudian akan menguras Anda untuk semua nilai Anda. Cara menyelinap ke ponsel Anda ada di dalam aplikasi yang di-sideload.

Ini adalah aplikasi yang telah Anda unduh dari sumber apa pun selain Google Play Store. Terkadang, aplikasi antivirus akan mendeteksi malware yang masuk ke ponsel Anda dengan cara ini, tetapi sayangnya, tidak demikian halnya dengan Daam.

Dan setelah aplikasi yang terinfeksi diinstal, Daam memiliki daftar kemampuan cucian yang semuanya berarti bencana bagi Anda dan ponsel Anda. Berikut ini ikhtisar singkat tentang kemampuan malware:

Rekam setiap panggilan masuk atau keluar, bahkan dari aplikasi pihak ke-3 seperti WhatsApp.
Curi file Anda, termasuk media dan kontak.
Enkripsi file Anda sehingga Anda tidak dapat mengaksesnya.
Ubah kata sandi atau PIN perangkat Anda untuk mengunci Anda dari ponsel.

Selengkapnya: Laptop Mag

Laporan ancaman malware mengungkapkan risiko pada Mac dibandingkan dengan Windows dan Linux

April 29, 2023 by Søren

Sepanjang tahun ini kami telah melihat beberapa laporan tentang malware yang memengaruhi Mac. Sekarang Elastic Security Labs telah merilis Laporan Ancaman Global musim semi 2023. Ini menawarkan gambaran besar tentang keadaan malware termasuk seberapa sering malware itu memengaruhi Mac vs Windows dan Linux, malware yang paling umum secara keseluruhan, malware yang paling umum di Mac, dan banyak lagi.

Melihat ke seluruh Windows, Linux, dan Mac, penelitian terbaru Elastic menemukan bahwa Trojan adalah jenis malware paling umum yang mencapai lebih dari 75% dari total. Cryptominers dan ransomware adalah dua kategori umum berikutnya.

Mengenai distribusi malware yang ditemukan, sekitar 54% dari semua kejadian ditemukan di titik akhir Linux, dengan ~39% terjadi di sistem Windows.

Hanya 6% dari deteksi malware yang ditemukan di Mac.

Sementara Malwarebytes awal tahun ini membagikan laporan yang menunjukkan adware sebagai jenis malware yang paling umum di Mac, Elastic mengatakan bahwa mereka menemukan cryptominers sebagai malware dominan di Mac dengan taburan Rootkit yang muncul di awal tahun 2023.

9to5mac

Klon Android Minecraft dengan unduhan 35 juta menginfeksi pengguna dengan adware

April 29, 2023 by Coffee Bean

Satu set 38 game peniru Minecraft di Google Play perangkat yang terinfeksi dengan adware Android ‘HiddenAds’ untuk secara diam-diam memuat iklan di latar belakang untuk menghasilkan pendapatan bagi operator.

Minecraft adalah game sandbox populer dengan 140 juta pemain aktif bulanan, yang telah dicoba untuk dibuat ulang oleh banyak penerbit game.

Game mirip Minecraft yang menyembunyikan adware diunduh oleh sekitar 35 juta pengguna Android di seluruh dunia, terutama dari Amerika Serikat, Kanada, Korea Selatan, dan Brasil.

Para pengguna tersebut tidak memperhatikan aktivitas adware jahat yang dilakukan di latar belakang, karena mereka dapat memainkan game seperti yang dijanjikan. Selain itu, kemungkinan kepanasan, peningkatan data jaringan, atau konsumsi baterai yang disebabkan oleh memuat banyak iklan dapat dianggap disebabkan oleh game.

Kumpulan adware ditemukan oleh Tim Riset Seluler McAfee, anggota Aliansi Pertahanan Aplikasi yang dibuat untuk melindungi Google Play dari semua jenis ancaman.

Meskipun aplikasi adware tidak dianggap berbahaya bagi pengguna, aplikasi ini dapat mengurangi kinerja perangkat seluler, meningkatkan masalah privasi, dan bahkan berpotensi membuat celah keamanan yang dapat membuat pengguna terkena infeksi yang lebih buruk.

Pengguna Android harus memeriksa laporan McAfee untuk daftar lengkap aplikasi yang terpengaruh dan menghapusnya secara manual jika belum dihapus.

selengkapnya : bleepingcomputer.com

Para peneliti memberikan pukulan kepada geng Gootloader yang mendukung REvil

April 28, 2023 by Søren

Peneliti keamanan di spesialis deteksi dan respons terkelola (MDR) eSentire telah mengungkapkan bagaimana mereka membalikkan keadaan pada operasi kejahatan dunia maya yang luas yang telah memikat ribuan orang yang bekerja di firma hukum dan departemen hukum internal di Inggris, Australia, Kanada dan AS selama 15 bulan terakhir.

Dikenal sebagai Gootloader, operasi ini berspesialisasi dalam mendapatkan akses awal ke jaringan korban dan kemudian menawarkannya secara as-a-service kepada penjahat dunia maya hilir, termasuk operasi ransomware REvil yang meretas firma hukum yang mewakili presiden AS saat itu Donald Trump pada tahun 2020 .

Gootloader telah menjadi ancaman lama setidaknya sejak tahun 2020, dan dinobatkan sebagai salah satu ancaman teratas CISA pada tahun 2021.

Threat Response Unit (TRU) ESentire, yang dipimpin oleh Joe Stewart dan Keegan Keplinger, telah menghentikan serangan terhadap 12 organisasi berbeda di mana karyawan dibujuk untuk menyusupi blog WordPress yang telah dimainkan oleh operator Gootloader ke peringkat teratas pencarian Google menggunakan teknik yang dikenal sebagai pencarian keracunan optimasi mesin (SEO).

Dari blog ini, mereka diminta untuk mengunduh malware Gootloader yang disamarkan sebagai perjanjian dan kontrak hukum palsu, sehingga memberikan akses operasi ke sistem mereka.

“Gootloader adalah ancaman licik dan berbahaya yang memangsa mereka yang mencari informasi bisnis dan formulir hukum online,” kata Stewart. “Pengguna yang tidak bersalah dapat dengan mudah terpikat oleh postingan palsu Gootloader, tanpa sadar mengekspos diri mereka ke serangan ransomware.

“Ini seperti jebakan, menunggu dalam bayang-bayang korban berikutnya yang tidak menaruh curiga tersandung ke dalam genggamannya. Terserah peneliti keamanan untuk menyinari sudut gelap internet ini dan melindungi mereka yang hanya mencoba mencari informasi yang mereka butuhkan untuk menyelesaikan pekerjaan mereka.

Selengkapnya: Computer Weekly

Bagaimana Microsoft Menamai Aktor Ancaman

April 28, 2023 by Coffee Bean

Microsoft telah beralih ke taksonomi penamaan baru untuk aktor ancaman yang selaras dengan tema cuaca. Dengan taksonomi baru, kami bermaksud untuk memberikan kejelasan yang lebih baik kepada pelanggan dan peneliti keamanan lainnya yang telah berhadapan dengan data intelijen ancaman dalam jumlah yang sangat banyak dan menawarkan cara yang lebih terorganisir, jelas, dan mudah untuk mereferensikan pelaku ancaman sehingga organisasi dapat memprioritaskan dan melindungi dengan lebih baik diri.

In our new taxonomy, a weather event or family name represents one of the above categories. In the case of nation-state actors, we have assigned a family name to a country of origin tied to attribution, like Typhoon indicates origin or attribution to China. For other actors, the family name represents a motivation. For example, Tempest indicates financially motivated actors. Threat actors within the same weather family are given an adjective to distinguish actor groups with distinct tactics, techniques, and procedures (TTPs), infrastructure, objectives, or other identified patterns. For groups in development, where there is a newly discovered, unknown, emerging, or developing cluster of threat activity, we use a temporary designation of Storm and a four-digit number, allowing us to track it as a unique set of information until we can reach high confidence about the origin or identity of the actor behind the operation.

selengkapnya : learn.microsoft.com

Geng Ransomware Mengeksploitasi Produk Unpatched Backup Veeam

April 28, 2023 by Coffee Bean

pengguna yang tidak diautentikasi yang telah mengakses perimeter jaringan infrastruktur cadangan untuk mendapatkan kredensial terenkripsi yang disimpan dalam database konfigurasi, yang pada akhirnya dapat menyebabkan mereka mendapatkan akses ke host infrastruktur cadangan.

Itu diklasifikasikan sebagai bug dengan tingkat keparahan tinggi dan membawa skor CVSS v3 7,5. Itu ada dalam proses Veeam.Backup.Service.exe dari Veaam Backup & Replication, Veeam Cloud Connect, Veeam Cloud Connect untuk Edisi Komunitas Enterprise dan Veeam Backup & Replication.

BlackCat/ALPHV, BlackMatter, DarkSide dan, pada suatu waktu, REvil – setelah beralih ke pemerasan dari pencurian data kartu pembayaran sekitar tiga tahun lalu.

Grup tersebut mungkin memiliki kaitan dengan beberapa serangan dunia maya profil tinggi baru-baru ini, termasuk perampokan yang berkembang di agen outsourcing sektor publik Inggris Capita, raksasa sistem pembayaran NCR, dan Munster Technological University di Irlandia. Tidak ada indikasi pada saat penulisan bahwa salah satu dari intrusi ini melibatkan eksploitasi kompromi Veeam.

Pada 28 Maret 2023, Singh dan Nejad mengatakan bahwa mereka melihat aktivitas di beberapa server yang terhubung ke internet yang menjalankan Veeam Backup & Replication, di mana proses server SQL yang terkait dengan instance pencadangan menjalankan perintah shell, yang melakukan pengunduhan dalam memori dan eksekusi file Skrip PowerShell.

Pada akhirnya, ada kemungkinan pijakan ini akan berkembang menjadi serangan ransomware, dan dengan tidak adanya penambalan atau kesadaran luas, beberapa mungkin masih melakukannya.

Namun, menurut Singh dan Nejad, kemungkinan kelangkaan server cadangan Veeam dengan port TCP 9401 terbuka berarti ruang lingkup insiden kemungkinan terbatas.

selengkapnya : computerweekly.com

Microsoft Edge Membocorkan Situs yang Pengguna Kunjungi ke Bing

April 28, 2023 by Flamango

Browser Microsoft Edge tampaknya mengirimkan URL yang Anda kunjungi ke situs web Bing API-nya. Pengguna Reddit pertama kali memperhatikan masalah privasi Edge minggu lalu, bahwa versi terbaru Microsoft Edge mengirimkan permintaan ke bingapis(.)com dengan URL lengkap dari hampir setiap halaman yang di navigasikan.

Microsoft Edge sekarang memiliki fitur pembuat ikuti yang diaktifkan secara default, tampaknya bertujuan untuk memberi tahu Bing saat pengguna berada di halaman tertentu. Namun tampaknya tidak berfungsi dengan benar, alih-alih mengirimkan hampir setiap domain yang pengguna kunjungi ke Bing.

Microsoft memiliki filter master (tersedia di sini) untuk fitur follow kreator ini, yang mencakup domain seperti Pornhub tempat URL diblokir agar tidak dikirim ke situs Bing API. Sepertinya, untuk setiap URL yang sebelumnya tidak dicentang yang Anda kunjungi, URL tersebut meneruskannya ke bingapis.com, yang memiliki implikasi privasi yang sangat besar, terutama jika fungsi ini diaktifkan secara default.

Fitur "Follow Creators" Microsoft Edge. Gambar: Reddit (Leopeva64) — Fitur “Follow Creators” Microsoft Edge. Gambar: Reddit (Leopeva64)

Microsoft belum memberikan tanggapan lebih lanjut dan mereka saat ini sedang menyelidiki masalah tersebut dan mungkin akan menambal masalah ini. Disarankan bagi pengguna untuk mematikan fitur “follow creators” di Microsoft Edge.

Selengkapnya: The Verge

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings