Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Telegram Kini Menjadi Tempat Tujuan Untuk Menjual Alat dan Layanan Phishing

by

Telegram telah menjadi tempat bagi pembuat bot dan kit phishing yang ingin memasarkan produk mereka kepada audiens yang lebih besar atau merekrut pekerja yang tidak dibayar.

Peneliti dari Kaspersky telah mengamati sebuah tren di mana sebuah komunitas telah terbentuk di sekitar topik phishing yang semakin populer di Telegram.

Pelaku phishing sangat aktif di Telegram, menawarkan layanan mulai dari menjual kit siap pakai, halaman palsu, langganan alat, panduan, hingga dukungan teknis kepada pembeli yang tertarik.

    Menurut laporan dari Kaspersky, layanan phishing berikut ini ditawarkan melalui Telegram saat ini:

  • kit phishing gratis dengan alat pra-paket yang memungkinkan pengguna membuat halaman phishing yang meniru merek terkenal.
  • Pembuatan halaman phishing otomatis (berbasis bot) dan pengumpulan data pengguna dilakukan secara otomatis menggunakan bot.
  • Halaman phishing dan scam premium menawarkan antarmuka yang dapat disesuaikan, sistem anti-bot, blokir geografis, enkripsi URL, dan elemen rekayasa sosial. Biaya kit ini bervariasi antara $10 hingga $300, tergantung pada fiturnya.
  • Data pribadi yang dicuri meliputi kredensial perbankan online yang sering diverifikasi.
  • Langganan Phishing-as-a-service (PhaaS) menyediakan akses ke alat, panduan pemula, dukungan teknis, dan pembaruan rutin untuk sistem anti-deteksi yang disediakan. Layanan ini ditawarkan pada model langganan dengan harga sekitar $130/minggu, atau $500/bulan untuk penerapan khusus.
  • Bot kata sandi satu kali (OTP) membantu phisher melewati perlindungan 2FA (autentikasi dua faktor) secara otomatis.

Beberapa vendor menjual kit yang mengenkripsi data yang dicuri, sehingga operator dan vendor tidak dapat mengakses informasi korban tanpa membayar.

Telegram menjadi tempat bagi calon penipu untuk belajar bisnis phishing gratis. Phisher yang berpengalaman membuat saluran Telegram dengan bot yang memberikan petunjuk langkah demi langkah untuk membuat halaman phishing.

Kaspersky telah mendeteksi lebih dari 2,5 juta URL jahat yang dihasilkan menggunakan kit phishing dan mencegah 7,1 upaya akses oleh pengguna produknya dalam enam bulan terakhir. Proliferasi kit dan layanan di Telegram telah memungkinkan pertumbuhan operasi phishing yang besar.

Selengkapnya: Bleeping Computer

Peretas Menggunakan Ekstensi Browser Rilide untuk Melewati Autentikasi Dua Faktor dan Mencuri Mata Uang Kripto

by

Sebuah ekstensi browser bernama Rilide ditemukan oleh peneliti keamanan yang menargetkan produk berbasis Chromium seperti Google Chrome, Brave, Opera, dan Microsoft Edge.

Ekstensi berbahaya tersebut dapat memantau aktivitas browser, mengambil tangkapan layar, dan mencuri mata uang kripto melalui skrip yang disuntikkan di halaman web.

Rilide meniru ekstensi Google Drive untuk bersembunyi di depan mata dan menyalahgunakan fungsi bawaan Chrome. Terdapat dua kampanye terpisah yang mendistribusikan Rilide, salah satunya menggunakan Google Ads dan Aurora Stealer, sedangkan yang lain menggunakan Ekipa remote access trojan (RAT) untuk mendistribusikan ekstensi jahat tersebut.

Dua kampanye mendorong Rilide (Trustwave)

Trustwave melaporkan adanya malware yang terkait dengan ekstensi yang dijual di pasar gelap. Sebagian kode malware baru-baru ini bocor di forum bawah tanah karena perselisihan antara penjahat dunia maya terkait pembayaran yang belum terselesaikan.

Malware tersebut disebut Pemuat Rilide, yang merupakan parasit di browser web. Malware ini memodifikasi file pintasan browser web untuk mengotomatiskan eksekusi ekstensi jahat pada sistem yang terinfeksi. Setelah dieksekusi, malware akan mencuri informasi korban terkait mata uang kripto, kredensial akun email, dan lain-lain.

Selain itu, malware juga mengekstraksi riwayat penelusuran dan dapat menangkap tangkapan layar untuk dikirim ke C2. Ekstensi ini juga menonaktifkan fitur keamanan yang dirancang untuk melindungi dari serangan skrip lintas situs (XSS).

Grafik kemampuan Rilide (Trustwave)

Fitur menarik di Rilide adalah sistem 2FA-bypassing, yang menggunakan dialog palsu untuk menipu korban agar memasukkan kode sementara mereka, sehingga dapat melewati autentikasi dua faktor.

Sistem ini diaktifkan saat korban memulai permintaan penarikan mata uang kripto ke layanan pertukaran yang ditargetkan Rilide. Malware memasuki sistem pada saat yang tepat untuk menyuntikkan skrip di latar belakang dan memproses permintaan secara otomatis.

Setelah pengguna memasukkan kode mereka pada dialog palsu, Rilide menggunakannya untuk menyelesaikan proses penarikan ke alamat dompet pelaku ancaman.

Rilide menampilkan kecanggihan ekstensi browser berbahaya yang kini hadir dengan pemantauan langsung dan sistem pencuri uang otomatis.

Meskipun peluncuran Manifest v3 di semua browser berbasis Chromium akan meningkatkan ketahanan terhadap ekstensi jahat, Trustwave menyatakan bahwa hal tersebut tidak akan menghilangkan masalah.

Sumber: Bleeping Computer

Para Ahli Mengungkapkan Aplikasi Belanja dari China, Pinduoduo, Kemampuan Mata-Mata Pinduoduo Pengguna

by

Akhir-akhir ini banyak sekali aplikasi yang diam-diam memata-matai penggunanya dengan berbagai tujuan.

Pinduoduo, salah satu aplikasi belanja terpopuler di Cina dengan basis pengguna bulanan lebih dari 750 juta, telah dilaporkan oleh para peneliti keamanan siber karena dapat melacak aktivitas pengguna di aplikasi lain, membaca pesan pribadi, mengubah pengaturan tanpa persetujuan, dan sulit dihapus setelah diinstal.

CNN melakukan investigasi dan menemukan malware pada aplikasi ini yang memanfaatkan kelemahan sistem operasi Android untuk memata-matai pengguna dan pesaing guna meningkatkan penjualan.

Menurut peneliti keamanan siber, aplikasi tersebut dapat melewati keamanan ponsel pengguna, memungkinkannya memantau aktivitas di aplikasi lain, memeriksa notifikasi, membaca pesan pribadi, dan mengubah pengaturan.

Pinduoduo didirikan pada tahun 2015 di Shanghai oleh Colin Huang, seorang mantan karyawan Google. Pengguna bulanan Pinduoduo meningkat pesat hingga 2018, tahun yang terdaftar di New York. Pengguna bulanan sejak itu menurun, menurut laporan pendapatan.

Dengan mengumpulkan data pengguna, Pinduoduo dapat membuat potret komprehensif tentang kebiasaan, minat, dan preferensi pengguna, menyempurnakan model pembelajaran mesinnya untuk menawarkan pemberitahuan push dan iklan yang lebih dipersonalisasi.

Aplikasi Sebelumnya Ditutup Oleh Google
Peneliti dari beberapa perusahaan keamanan siber melakukan analisis independen terhadap aplikasi tersebut, yang dirilis pada akhir Februari. Mereka menemukan kode yang dirancang untuk mencapai ‘eskalasi hak istimewa’.

Pinduoduo membantah tuduhan niat jahat, tetapi pakar keamanan siber mengatakan tindakan perusahaan itu sangat tidak biasa dan berpotensi memberatkan.

Selengkapnya: TechStory

Malware Crypto-Stealing ‘OpcJacker’ Menargetkan Pengguna dengan Layanan VPN Palsu

by

Malware pencuri informasi baru ‘OpcJacker’ telah terlihat sejak paruh kedua tahun 2022 sebagai bagian dari kampanye malvertising.

Peneliti Trend Micro, Jaromir Horejsi dan Joseph C. Chen, mengatakan bahwa fungsi utama OpcJacker meliputi keylogging, mengambil screenshot, mencuri data sensitif dari browser, memuat modul tambahan, dan mengganti alamat cryptocurrency di clipboard untuk tujuan pembajakan.

OpcJacker disembunyikan menggunakan crypter ‘Babadeda’ dan menggunakan file konfigurasi untuk mengaktifkan fungsi pengambilan datanya.

File penginstal bertindak sebagai saluran untuk menyebarkan OpcJacker, yang juga mampu mengirimkan muatan tahap selanjutnya seperti NetSupport RAT dan varian komputasi jaringan virtual tersembunyi (hVNC) untuk akses jarak jauh.
File penginstal bertindak sebagai saluran untuk menyebarkan OpcJacker, yang juga mampu mengirimkan muatan tahap selanjutnya seperti NetSupport RAT dan varian komputasi jaringan virtual tersembunyi (hVNC) untuk akses jarak jauh.

File penginstal bertindak sebagai saluran untuk menyebarkan OpcJacker, mampu mengirimkan muatan tahap selanjutnya.

Vektor awal kampanye melibatkan jaringan situs web palsu yang mengiklankan perangkat lunak yang tampak aman dan aplikasi terkait cryptocurrency. Kampanye Februari 2023 secara khusus memilih pengguna di Iran dengan dalih menawarkan layanan VPN.

Temuan itu muncul ketika Securonix mengungkapkan rincian kampanye serangan yang sedang berlangsung ‘TACTICAL#OCTOPUS’, menargetkan entitas AS dengan bujukan bertema pajak untuk menginfeksi mereka dengan backdoor.

Dalam perkembangan terkait, pengguna Italia dan Prancis yang mencari versi retak dari perangkat lunak pemeliharaan PC di YouTube dialihkan ke halaman Blogger yang mendistribusikan dropper NullMixer. NullMixer juga menonjol karena secara bersamaan menjatuhkan berbagai macam malware siap pakai.

Selengkapnya: The Hacker News

GoatRAT Menyerang Sistem Pembayaran Otomatis

by

Baru-baru ini, para peneliti dari K7Security Labs menemukan deteksi dalam laporan telemetri “com.goatmw” yang menarik perhatian mereka, dan memutuskan untuk menyelidiki lebih lanjut. Malware tersebut ditemukan sebagai trojan perbankan.

Trojan perbankan GoatRAT adalah Alat Administrasi Jarak Jauh Android untuk mendapatkan akses dan mengontrol perangkat yang ditargetkan yang melakukan transaksi uang palsu menggunakan kunci PIX. Domain goatrat[.]com berfungsi sebagai panel admin dan berisi id telegram di kontaknya.

RAT kemudian meminta pengguna untuk memberikan izin aksesibilitas dan overlay, memungkinkan untuk menampilkan layar overlay pada aplikasi perbankan yang ditargetkan, membuatnya terlihat seperti layar aplikasi yang sah sehingga pengguna memasukkan kredensial yang valid tanpa curiga, untuk melakukan transfer uang penipuan.

Saat aplikasi yang ditargetkan dibuka, malware menampilkan jendela overlay yang muncul di atas aplikasi perbankan yang sah. Layar overlay akan mendapatkan semua kredensial valid, mengirimkannya ke C2, dan memulai transfer uang berdasarkan saldo bank yang tersedia di akun pengguna.

Trojan Perbankan Android meningkat pesat. Pembuat malware menemukan teknik baru untuk mencuri uang dari pengguna. Salah satu teknik tersebut terlihat mengeksploitasi platform pembayaran instan PIX yang menargetkan bank Brasil.

GoatRAT menggunakan kerangka Sistem Transfer Otomatis (ATS) untuk melakukan transaksi uang palsu. ATS adalah teknik baru yang digunakan oleh malware perbankan di mana setelah pengguna masuk ke aplikasi perbankan dan memasukkan kredensial mereka, malware akan mengambil kendali dan secara otomatis memasukkan jumlah dan memulai transaksi tanpa sepengetahuan pengguna.

Pengguna diminta untuk menginstal produk keamanan terkemuka seperti “K7 Mobile Security” dan terus memperbaruinya agar tetap aman dari ancaman tersebut.

Selengkapnya: K7 Security Labs

Pengguna yang Dilindungi: Anda pikir Anda aman?

by

Pada tanggal 31 Oktober 2022, PR di CrackMapExec dari Thomas Seigneuret (@Zblurx) digabungkan. PR ini memperbaiki otentikasi Kerberos dalam kerangka kerja CrackMapExec. Melihat itu, saya langsung ingin mencobanya dan bermain-main dengannya. Saat melakukannya, saya menemukan perilaku aneh dengan grup Pengguna Terlindungi. Dalam posting blog ini saya akan menjelaskan apa itu grup Pengguna Terlindungi, mengapa itu adalah fitur keamanan yang bagus dan mengapa itu tidak lengkap untuk pengguna Administrator (RID500).

berikut adalah scenario yang sering terjadi di internal assessments.kami mengkompromikan satu server, membuang database SAM dan memori LSASS-nya untuk mengambil kredensial teks-jelas atau hash NT. Kami juga dapat membuang tiket Kerberos dan umumnya materi lain yang dapat kami gunakan untuk terhubung ke tempat lain:

Baik itu di database SAM atau di memori proses LSASS, Anda mungkin akan menemukan hash NT:

Di Windows, memiliki hash NT sama dengan memiliki kata sandi teks-jelas. Jika kita melihat protokol autentikasi NTLM, kita dapat melihat bahwa tantangan tersebut dikodekan menggunakan hash NT pengguna:

Karena kami memliki hash NT, kami dapat menyalin tantangan tanpa mengetahui kata sandi teks-jelas yang sesuai.

untuk selengkapnya : sensepost.com

Hacker mengeksploitasi kelemahan plugin WordPress yang memberikan kontrol penuh atas jutaan situs

by

Peretas secara aktif mengeksploitasi kerentanan kritis dalam plugin WordPress yang banyak digunakan yang memberi mereka kemampuan untuk mengambil kendali penuh atas jutaan situs, kata para peneliti.

Kerentanan, yang memiliki tingkat keparahan 8,8 dari kemungkinan 10, hadir di Elementor Pro, sebuah plugin premium yang berjalan di lebih dari 12 juta situs yang didukung oleh sistem manajemen konten WordPress. Elementor Pro memungkinkan pengguna membuat situs web berkualitas tinggi menggunakan berbagai alat, salah satunya adalah WooCommerce, plugin WordPress terpisah. Saat kondisi tersebut terpenuhi, siapa pun yang memiliki akun di situs—misalnya pelanggan atau pelanggan—dapat membuat akun baru yang memiliki hak administrator penuh.

Kerentanan itu ditemukan oleh Jerome Bruandet, seorang peneliti di perusahaan keamanan NinTechNet. Minggu lalu, Elementor, pengembang plugin Elementor Pro, merilis versi 3.11.7, yang menambal kekurangan tersebut. Dalam sebuah posting yang diterbitkan pada hari Selasa, Bruandet menulis:

Siapa pun yang menggunakan Elementor Pro harus memastikan mereka menjalankan 3.11.7 atau lebih baru, karena semua versi sebelumnya rentan. Ini juga merupakan ide bagus bagi pengguna ini untuk memeriksa situs mereka untuk tanda-tanda infeksi yang tercantum di pos PatchStack.

selengkapnya : arstechnica.com

OpIsrael: Peninjauan Satu Dekade

by

OpIsrael adalah operasi Anonim yang diluncurkan pada November 2012 sebagai tanggapan atas operasi militer Israel, Pilar Pertahanan. Pillar of Defense adalah operasi delapan hari yang diluncurkan oleh Pasukan Pertahanan Israel pada 14 November 2012, sebagai tanggapan atas 100 roket yang ditembakkan ke Israel dalam waktu 24 jam dari Jalur Gaza yang dikuasai Hamas.

Pada saat itu, OpIsrael bukanlah operasi resmi, melainkan tag pertempuran yang dipilih oleh kelompok peretas yang terkait dengan Anonymous untuk menanggapi operasi Israel. Selama operasi Anonim pada tahun 2012, ratusan situs web Israel menjadi sasaran pelanggaran data, perusakan, dan serangan penolakan layanan. Hal ini membuat banyak profesional keamanan bertanya-tanya apakah seperti ini masa depan perang nantinya dan apakah kelompok hacktivist seperti Anonymous dapat dianggap sebagai tentara yang sah.

Tahun berikutnya, Anonymous bergerak untuk membuat kampanye terkoordinasi tahunan melawan Israel di bawah bendera pertempuran, OpIsrael. Kampanye perdana diluncurkan pada 7 April 2013, bersamaan dengan Hari Peringatan Holocaust, dengan tujuan untuk “menghapus Israel dari internet.” Operasi tersebut menargetkan jaringan dan aplikasi di Israel untuk apa yang dianggap Anonymous sebagai pelanggaran hak asasi manusia terhadap rakyatnya
Palestina dengan harapan kampanye tersebut akan membawa perhatian pada konflik Israel-Palestina yang sedang berlangsung.

selengkapnya : radware.com