Threat

Bug Baru yang Belum Ditambal Dapat Membiarkan Penyerang Mencuri Uang dari Pengguna PayPal

May 24, 2022 by Eevee

Seorang peneliti keamanan mengklaim telah menemukan kerentanan yang belum ditambal dalam layanan transfer uang PayPal yang memungkinkan penyerang mengelabui korban agar tanpa sadar menyelesaikan transaksi yang diarahkan penyerang dengan satu klik.

Clickjacking, juga disebut UI redressing, mengacu pada teknik di mana pengguna tanpa disadari ditipu untuk mengklik elemen halaman web yang tampaknya tidak berbahaya seperti tombol dengan tujuan mengunduh malware, mengarahkan ulang ke situs web jahat, atau mengungkapkan informasi sensitif.

Ini biasanya dicapai dengan menampilkan halaman yang tidak terlihat atau elemen HTML di atas halaman yang terlihat, menghasilkan skenario di mana pengguna tertipu dengan berpikir bahwa mereka mengklik halaman yang sah padahal mereka sebenarnya mengklik elemen jahat yang dihamparkan di atasnya.

“Dengan demikian, penyerang ‘membajak’ klik yang dimaksudkan untuk halaman [yang sah] dan mengarahkannya ke halaman lain, kemungkinan besar dimiliki oleh aplikasi lain, domain, atau keduanya,” tulis peneliti keamanan h4x0r_dz dalam sebuah posting yang mendokumentasikan temuan tersebut.

h4x0r_dz, yang menemukan masalah ini di titik akhir “www.paypal[.]com/agreements/approve”, mengatakan masalah itu dilaporkan ke perusahaan pada Oktober 2021.

“Titik akhir ini dirancang untuk Perjanjian Penagihan dan seharusnya hanya menerima billingAgreementToken,” peneliti menjelaskan. “Tetapi selama pengujian mendalam saya, saya menemukan bahwa kami dapat melewati jenis token lain, dan ini mengarah pada pencurian uang dari akun PayPal korban.”

Ini berarti bahwa musuh dapat menyematkan titik akhir yang disebutkan di dalam iframe, menyebabkan korban yang sudah masuk ke browser web untuk mentransfer dana ke akun PayPal yang dikendalikan penyerang hanya dengan mengklik tombol.

Yang lebih memprihatinkan, serangan itu bisa memiliki konsekuensi bencana di portal online yang terintegrasi dengan PayPal untuk checkout, memungkinkan pelaku jahat untuk mengurangi jumlah sewenang-wenang dari akun PayPal pengguna.

“Ada layanan online yang memungkinkan Anda menambahkan saldo menggunakan PayPal ke akun Anda,” kata h4x0r_dz. “Saya dapat menggunakan exploit yang sama dan memaksa pengguna untuk menambahkan uang ke akun saya, atau saya dapat mengeksploitasi bug ini dan membiarkan korban membuat/membayar akun Netflix untuk saya!”

Pembaruan: bug tersebut masih belum ditambal dan bahwa peneliti keamanan tidak diberikan hadiah bug apa pun untuk melaporkan masalah tersebut. Kesalahan ini disesalkan. Kami juga telah menghubungi PayPal untuk detail lebih lanjut.

Sumber: The Hacker News

Mozilla Rilis Produk Keamanan untuk Beberapa Produk Firefox

May 24, 2022 by Eevee

Mozilla mengumumkan pembaruan keamanan pada situs resminya pada hari jum’at, 20 mei. Versi baru Firefox ini adalah Firefox 100.0.2, Firefox ESR 91.9.1, Thunderbird 91.9.1 dan Firefox untuk Android 100.3.

Pembaruan ini memperbaiki 2 kerentanan, yang dapat dieksploitasi untuk mengendalikan sistem yang terpengaruh. Kerentanan tersebut adalah :

CVE-2022-1802: Polusi prototipe dalam implementasi Tingkat Atas Menunggu. Jika penyerang dapat merusak metode objek Array dalam JavaScript melalui polusi prototipe, mereka dapat mencapai eksekusi kode JavaScript yang dikendalikan penyerang dalam konteks istimewa.
CVE-2022-1529: Input tidak tepercaya yang digunakan dalam pengindeksan objek JavaScript, yang menyebabkan polusi prototipe. Penyerang bisa saja mengirim pesan ke proses induk di mana konten digunakan untuk mengindeks ganda ke objek JavaScript, yang mengarah ke polusi prototipe dan akhirnya JavaScript yang dikendalikan penyerang mengeksekusi dalam proses induk yang diistimewakan.

Oleh karena itu, pengguna disarankan untuk segera melakukan pembaruan keamanan.

Sumber: Mozilla Update

Google: Predator spyware menginfeksi perangkat Android menggunakan zero-days

May 23, 2022 by Eevee

Grup Analisis Ancaman Google (TAG) mengatakan bahwa aktor ancaman yang didukung negara menggunakan lima kerentanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.

Dalam serangan ini, bagian dari tiga kampanye yang dimulai antara Agustus dan Oktober 2021, penyerang menggunakan eksploitasi zero-day yang menargetkan Chrome dan OS Android untuk memasang implan spyware Predator pada perangkat Android yang sepenuhnya diperbarui.

Pelaku kejahatan yang didukung pemerintah yang membeli dan menggunakan eksploitasi ini untuk menginfeksi target Android dengan spyware berasal dari Mesir, Armenia, Yunani, Madagaskar, Pantai Gading, Serbia, Spanyol, dan Indonesia, menurut analisis Google.

Temuan ini sejalan dengan laporan tentang spyware tentara bayaran Cytrox yang diterbitkan oleh CitizenLab pada Desember 2021, ketika para penelitinya menemukan alat berbahaya di telepon politisi Mesir yang diasingkan, Ayman Nour.

Ponsel Nour juga terinfeksi spyware Pegasus NSO Group, dengan dua alat yang dioperasikan oleh dua klien pemerintah yang berbeda menurut penilaian CitizenLab.

Lima kerentanan keamanan 0 hari yang sebelumnya tidak diketahui yang digunakan dalam kampanye ini meliputi CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 di Chrome dan CVE-2021-1048 di Android

Pelaku ancaman menyebarkan eksploitasi yang menargetkan zero-days ini dalam tiga kampanye terpisah:

Kampanye #1 – mengalihkan ke SBrowser dari Chrome (CVE-2021-38000)
Kampanye #2 – Escape sandbox Chrome (CVE-2021-37973, CVE-2021-37976)
Kampanye #3 – Rantai eksploitasi Android 0 hari penuh (CVE-2021-38003, CVE-2021-1048)

“Ketiga kampanye mengirimkan tautan satu kali yang meniru layanan pemendek URL ke pengguna Android yang ditargetkan melalui email. Kampanye terbatas — dalam setiap kasus, kami menilai jumlah target mencapai puluhan pengguna,” tambah analis Google TAG.

“Setelah diklik, tautan mengarahkan target ke domain milik penyerang yang mengirimkan eksploitasi sebelum mengarahkan browser ke situs web yang sah. Jika tautan tidak aktif, pengguna diarahkan langsung ke situs web yang sah.”

Teknik serangan ini juga digunakan terhadap jurnalis dan pengguna Google lainnya yang diberi tahu bahwa mereka adalah target serangan yang didukung pemerintah.

Dalam kampanye ini, penyerang pertama kali menginstal trojan perbankan Android Alien dengan fungsi RAT yang digunakan untuk memuat implan Android Predator, memungkinkan perekaman audio, menambahkan sertifikat CA, dan menyembunyikan aplikasi.

Laporan ini merupakan tindak lanjut dari analisis Juli 2021 dari empat kelemahan 0 hari lainnya yang ditemukan pada tahun 2021 di Chrome, Internet Explorer, dan WebKit (Safari).

Seperti yang diungkapkan peneliti Google TAG, peretas pemerintah yang didukung Rusia yang terhubung dengan Layanan Intelijen Asing Rusia (SVR) mengeksploitasi Safari zero-day untuk menargetkan perangkat iOS milik pejabat pemerintah dari negara-negara Eropa Barat.

Sumber: Bleeping Computer

PDF menyelundupkan dokumen Microsoft Word untuk menjatuhkan malware Snake Keylogger

May 23, 2022 by Eevee

Analis ancaman telah menemukan kampanye distribusi malware baru-baru ini menggunakan lampiran PDF untuk menyelundupkan dokumen Word berbahaya yang menginfeksi pengguna dengan malware.

Pilihan PDF tidak biasa, karena sebagian besar email berbahaya saat ini datang dengan lampiran DOCX atau XLS yang dicampur dengan kode makro yang memuat malware.

Dalam laporan baru oleh HP Wolf Security, para peneliti menggambarkan bagaimana PDF digunakan sebagai transportasi untuk dokumen dengan makro jahat yang mengunduh dan menginstal malware pencuri informasi di mesin korban.

PDF datang melalui email bernama “Faktur Pengiriman Uang”, dan dugaan kami adalah bahwa badan email berisi janji pembayaran yang tidak jelas kepada penerima.

Saat PDF dibuka, Adobe Reader meminta pengguna untuk membuka file DOCX yang ada di dalamnya, yang sudah tidak biasa dan mungkin membingungkan korban.

Karena pelaku ancaman menyebut dokumen yang disematkan “telah diverifikasi”, perintah Buka File di bawah menyatakan, “File ‘telah diverifikasi.” Pesan ini dapat mengelabui penerima agar percaya bahwa Adobe memverifikasi file tersebut sebagai sah dan bahwa file tersebut aman untuk dibuka.

Dialog meminta persetujuan tindakan (HP)

Sementara analis malware dapat memeriksa file yang disematkan dalam PDF menggunakan parser dan skrip, pengguna biasa yang menerima email rumit ini tidak akan bertindak sejauh itu atau bahkan tahu harus mulai dari mana.

Dengan demikian, banyak yang dapat membuka DOCX di Microsoft Word, dan jika makro diaktifkan, akan mengunduh file RTF (format teks kaya) dari sumber jarak jauh dan membukanya.

DAPATKAN permintaan untuk mengambil file RTF (HP)

Pengunduhan RTF adalah hasil dari perintah berikut, yang disematkan dalam file Word bersama dengan URL hardcode “vtaurl[.]com/IHytw”, yang merupakan tempat payload di-host.

Dokumen RTF diberi nama “f_document_shp.doc” dan berisi objek OLE yang salah format, kemungkinan menghindari analisis. Setelah beberapa rekonstruksi yang ditargetkan, analis HP menemukan bahwa ia mencoba menyalahgunakan kerentanan Editor Persamaan Microsoft lama untuk menjalankan kode arbitrer.

Shellcode yang didekripsi menyajikan payload (HP)

Shellcode yang digunakan mengeksploitasi CVE-2017-11882, bug eksekusi kode jarak jauh di Editor Persamaan yang diperbaiki pada November 2017 tetapi masih tersedia untuk dieksploitasi di alam liar.

Dengan mengeksploitasi CVE-2017-11882, shellcode dalam RTF mengunduh dan menjalankan Snake Keylogger, pencuri info modular dengan ketekunan yang kuat, penghindaran pertahanan, akses kredensial, pengumpulan data, dan kemampuan eksfiltrasi data.

Sumber: Bleeping Computer

Windows 11 diretas lagi di Pwn2Own, Tesla Model 3 juga

May 21, 2022 by Søren

Selama hari kedua kompetisi peretasan Pwn2Own Vancouver 2022, para kontestan meretas OS Windows 11 Microsoft lagi dan mendemonstrasikan zero-days di sistem infotainment Tesla Model 3.

Demonstrasi pertama hari itu datang dari tim @Synacktiv, yang berhasil mendemonstrasikan dua bug unik (Bebas Ganda & OOBW) dan tabrakan pelarian kotak pasir sambil menargetkan sistem infotainment Tesla Model 3, menghasilkan $75.000 untuk upaya mereka.

@Jedar_LZ juga gagal mendemonstrasikan eksploitasi zero-day terhadap mobil Tesla. Meskipun bug tersebut tidak dieksploitasi dalam waktu yang ditentukan, Zero Day Initiative (ZDI) Trend Micro memperoleh detail eksploitasi dan mengungkapkannya kepada Tesla.

Peningkatan hak istimewa Windows 11 ketiga zero-day yang disebabkan oleh bug kontrol akses yang tidak tepat didemonstrasikan pada hari kedua oleh T0, dengan namnp gagal menunjukkan eskalasi hak istimewa Windows 11 kedua zero-day dalam waktu yang ditentukan.

Dua lagi kerentanan eskalasi hak istimewa lokal di Windows 11 berhasil didemonstrasikan oleh tim STAR Labs dan Marcin Wiązowski selama putaran pertama kontes Pwn2Own.

Desktop Ubuntu juga diretas dua kali, dengan Bien Pham (@bienpnn) dan Tim TUTELARI dari Universitas Northwestern meningkatkan hak istimewa menggunakan dua bug Use After Free dan masing-masing menghasilkan $40.000.

Selengkapnya: Bleeping Computer

Peretas Menipu Pengguna dengan Unduhan Windows 11 Palsu untuk Mendistribusikan Malware Vidar

May 21, 2022 by Søren

Domain palsu yang menyamar sebagai portal unduhan Microsoft Windows 11 mencoba mengelabui pengguna agar menyebarkan file instalasi trojan untuk menginfeksi sistem dengan malware pencuri informasi Vidar.

“Situs palsu dibuat untuk mendistribusikan file ISO berbahaya yang mengarah pada infeksi pencuri info Vidar di titik akhir,” kata Zscaler dalam sebuah laporan. “Varian malware Vidar ini mengambil konfigurasi C2 dari saluran media sosial yang dikendalikan penyerang yang dihosting di jaringan Telegram dan Mastodon.”

Beberapa domain vektor distribusi rogue yang didaftarkan pada 20 April bulan lalu, antara lain ms-win11[.]com, win11-serv[.]com, dan win11install[.]com, serta ms-teams-app[. ]net.

Selain itu, perusahaan keamanan siber memperingatkan bahwa aktor ancaman di balik kampanye peniruan identitas juga memanfaatkan versi pintu belakang Adobe Photoshop dan perangkat lunak sah lainnya seperti Microsoft Teams untuk mengirimkan malware Vidar.

File ISO, pada bagiannya, berisi file yang dapat dieksekusi yang berukuran luar biasa besar (lebih dari 300MB) dalam upaya untuk menghindari deteksi oleh solusi keamanan dan ditandatangani dengan sertifikat kedaluwarsa dari Avast yang kemungkinan dicuri setelah pelanggaran terakhir pada Oktober 2019.

Tetapi yang tertanam dalam biner 330MB adalah executable berukuran 3,3MB yang merupakan malware Vidar, dengan sisa konten file diisi dengan 0x10 byte untuk memperbesar ukuran secara artifisial.

Pada fase berikutnya dari rantai serangan, Vidar membuat koneksi ke server command-and-control (C2) jarak jauh untuk mengambil file DLL yang sah seperti sqlite3.dll dan vcruntime140.dll untuk menyedot data berharga dari sistem yang disusupi.

Selengkapnya: The Hacker News

Microsoft Teams di Windows 11 diretas pada hari pertama Pwn2Own

May 20, 2022 by Eevee

Selama hari pertama Pwn2Own Vancouver 2022, kontestan memenangkan $800.000 setelah berhasil mengeksploitasi 16 bug zero-day untuk meretas beberapa produk, termasuk sistem operasi Microsoft Windows 11 dan platform komunikasi Teams.

Yang pertama jatuh adalah Microsoft Teams dalam kategori komunikasi perusahaan setelah Hector Peralta mengeksploitasi cacat konfigurasi yang tidak tepat.

Tim STAR Labs (Billy Jheng Bing-Jhong, Muhammad Alifa Ramdhan, dan Nguyễn Hoàng Thạch) juga mendemonstrasikan rantai eksploitasi tanpa klik dari 2 bug (injeksi dan penulisan file arbitrer).

Microsoft Teams diretas untuk ketiga kalinya oleh Masato Kinugawa, yang mengeksploitasi rantai 3-bug dari injeksi, kesalahan konfigurasi, dan pelarian sandbox.

Masing-masing dari mereka memperoleh $150.000 karena berhasil mendemonstrasikan tim Microsoft mereka zero-days.

STAR Labs juga mendapatkan tambahan $40.000 setelah meningkatkan hak istimewa pada sistem yang menjalankan Windows 11 menggunakan kelemahan Use-After-Free dan tambahan $40.000 dengan mencapai eskalasi hak istimewa di Oracle Virtualbox.

Setelah kerentanan keamanan ditunjukkan dan diungkapkan selama Pwn2Own, vendor perangkat lunak dan perangkat keras memiliki waktu 90 hari untuk mengembangkan dan merilis perbaikan keamanan untuk semua kelemahan yang dilaporkan.

Selama kontes Pwn2Own Vancouver 2022, peneliti keamanan akan menargetkan produk di browser web, virtualisasi, Peningkatan Hak Istimewa Lokal, server, komunikasi perusahaan, dan kategori otomotif.

Sumber: BleepingComputer

Microsoft mendeteksi lonjakan besar dalam aktivitas malware XorDDoS Linux

May 20, 2022 by Eevee

Malware tersembunyi dan modular yang digunakan untuk meretas perangkat Linux dan membangun botnet DDoS telah mengalami peningkatan aktivitas yang sangat besar sebesar 254% selama enam bulan terakhir, seperti yang diungkapkan Microsoft hari ini.

Malware ini (aktif setidaknya sejak 2014) dikenal sebagai XorDDoS (atau XOR DDoS) karena penggunaan enkripsi berbasis XOR saat berkomunikasi dengan server perintah-dan-kontrol (C2) dan digunakan untuk meluncurkan penolakan layanan terdistribusi (DDoS) serangan.

Seperti yang diungkapkan perusahaan, keberhasilan botnet kemungkinan karena penggunaan ekstensif berbagai taktik penghindaran dan ketekunan yang memungkinkannya tetap tersembunyi dan sulit dihilangkan.

XorDDoS dikenal untuk menargetkan banyak arsitektur sistem Linux, dari ARM (IoT) hingga x64 (server), dan mengorbankan yang rentan dalam serangan brute force SSH.

Untuk menyebar ke lebih banyak perangkat, ia menggunakan skrip shell yang akan mencoba masuk sebagai root menggunakan berbagai kata sandi terhadap ribuan sistem yang terpapar Internet hingga akhirnya menemukan kecocokan.

Selain meluncurkan serangan DDoS, operator malware menggunakan botnet XorDDoS untuk menginstal rootkit, mempertahankan akses ke perangkat yang diretas, dan, kemungkinan, menjatuhkan muatan berbahaya tambahan.

Peningkatan besar dalam aktivitas XorDDoS yang dideteksi Microsoft sejak Desember sejalan dengan laporan oleh perusahaan keamanan siber CrowdStrike yang mengatakan bahwa malware Linux telah mengalami pertumbuhan 35% selama tahun 2021 dibandingkan tahun sebelumnya.

XorDDoS, Mirai, dan Mozi adalah keluarga yang paling umum, terhitung 22% dari semua serangan malware yang menargetkan perangkat Linux yang diamati pada tahun 2021.

Dari ketiganya, CrowdStrike mengatakan bahwa XorDDoS mengalami peningkatan signifikan dari tahun ke tahun sebesar 123%, sementara Mozi memiliki pertumbuhan aktivitas yang eksplosif, dengan sepuluh kali lebih banyak sampel terdeteksi di alam liar sepanjang tahun lalu.

Laporan Februari 2021 dari Intezer juga mengungkapkan bahwa keluarga malware Linux meningkat sekitar 40% pada tahun 2020 dibandingkan dengan 2019.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings