Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Bug Linux Memberikan Root pada Semua Distro Utama, Eksploitasi Dirilis

by

Kerentanan dalam komponen pkexec Polkit yang diidentifikasi sebagai CVE-2021-4034 (PwnKit) hadir dalam konfigurasi default semua distribusi Linux utama dan dapat dimanfaatkan untuk mendapatkan hak istimewa root penuh pada sistem, para peneliti memperingatkan hari ini.

CVE-2021-4034 telah diberi nama PwnKit dan asal-usulnya telah dilacak ke komitmen awal pkexec, lebih dari 12 tahun yang lalu, yang berarti bahwa semua versi Polkit terpengaruh.

Bagian dari kerangka aplikasi open-source Polkit yang menegosiasikan interaksi antara proses istimewa dan tidak mampu, pkexec memungkinkan pengguna yang berwenang untuk menjalankan perintah sebagai pengguna lain, dua kali lipat sebagai alternatif untuk sudo.

Mudah dieksploitasi, PoC diharapkan segera

Para peneliti di perusahaan keamanan informasi Qualys menemukan bahwa program pkexec dapat digunakan oleh penyerang lokal untuk meningkatkan hak istimewa untuk membasmi instalasi default Ubuntu, Debian, Fedora, dan CentOS.

Mereka memperingatkan bahwa PwnKit kemungkinan dapat dieksploitasi pada sistem operasi Linux lainnya juga.

Bharat Jogi, Direktur Kerentanan dan Penelitian Ancaman di Qualys menjelaskan bahwa PwnKit adalah “kerentanan korupsi memori di Polkit, yang memungkinkan setiap pengguna yang tidak mampu untuk mendapatkan hak istimewa root penuh pada sistem yang rentan menggunakan konfigurasi polkit default,”

Peneliti mencatat bahwa masalah ini telah bersembunyi di depan mata sejak versi pertama pkexec inn Mei 2009. Video di bawah ini menunjukkan eksploitasi bug:

Mengeksploitasi cacat itu sangat mudah, kata para peneliti, bahwa kode eksploitasi proof-of-concept (PoC) diperkirakan akan menjadi publik hanya dalam beberapa hari. Tim Peneliti Qualys tidak akan merilis PoC untuk PwnKit.

Pembaruan: Eksploitasi telah muncul di ruang publik, kurang dari tiga jam setelah Qualys menerbitkan rincian teknis untuk PwnKit. BleepingComputer telah menyusun dan menguji eksploitasi yang tersedia, yang terbukti dapat diandalkan karena memberi kita hak istimewa root pada sistem pada semua upaya.

Mengacu pada eksploitasi, analis kerentanan CERT / CC Will Dormann mengatakan bahwa itu sederhana dan universal. Peneliti lebih lanjut mengujinya pada sistem ARM64, menunjukkan bahwa ia bekerja pada arsitektur itu juga.

Qualys melaporkan masalah keamanan secara bertanggung jawab pada 18 November 2021, dan menunggu patch tersedia sebelum menerbitkan rincian teknis di balik PwnKit.

Perusahaan sangat merekomendasikan administrator memprioritaskan penerapan patch yang penulis Polkit dirilis di GitLab mereka beberapa jam yang lalu.

Distro Linux memiliki akses ke patch beberapa minggu sebelum pengungkapan terkoordinasi hari ini dari Qualys dan diharapkan untuk merilis paket pkexec diperbarui mulai hari ini.

Ubuntu telah mendorong pembaruan untuk PolicyKit untuk mengatasi kerentanan dalam versi 14.04 dan 16.04 ESM (pemeliharaan keamanan diperpanjang) serta dalam versi yang lebih baru 18.04, 20.04, dan 21.04. Pengguna hanya perlu menjalankan pembaruan sistem standar dan kemudian me-reboot komputer agar perubahan berlaku.

Red Hat juga telah memberikan pembaruan keamanan untuk polkit pada workstation dan produk Enterprise untuk arsitektur yang didukung, serta untuk dukungan siklus hidup yang diperpanjang, TUS, dan AUS.

Mitigasi sementara untuk sistem operasi yang belum mendorong patch adalah untuk melucuti hak baca / tulis dengan perintah berikut:
chmod 0755 /usr/bin/pkexec

Pengguna yang ingin mencari tanda-tanda eksploitasi PwnKit dapat melakukannya dengan memeriksa log untuk “Nilai untuk variabel SHELL tidak ditemukan file / etc / shells” atau “Nilai untuk variabel lingkungan […] berisi konten yang mencurigakan.”

Namun, Qualys mencatat bahwa mengeksploitasi PwnKit adalah mungkin tanpa meninggalkan jejak.

Tahun lalu, peneliti GitHub Security Lab Kevin Backhouse menemukan kerentanan eskalasi hak istimewa lama lainnya yang mempengaruhi Polkit.

Bug telah hadir selama tujuh tahun, sejak versi 0.113 dari komponen dan mempengaruhi distro Linux populer termasuk RHEL 8, Fedora 21 (atau lebih baru), Ubuntu 20.04, dan versi debian yang tidak stabil (‘bullseye’) dan turunannya.

Pembaruan [25 Januari, 17:26 EST]: Menambahkan pemberitahuan keamanan pada PolicyKit / Polkit dari Ubuntu dan Red Hat.

Pembaruan [25 Januari, 17:43 EST]: Artikel diperbarui dengan informasi tentang kode eksploitasi proof-of-concept yang tersedia untuk umum.

Sumber: Bleepingcomputer

VMware: Patch Server Horizon Terhadap Serangan Log4j yang Sedang Berlangsung!

by

VMware mendesak pelanggan untuk menambal kerentanan keamanan Log4j kritis yang berdampak pada server VMware Horizon yang terpapar internet yang ditargetkan dalam serangan yang sedang berlangsung.

Setelah eksploitasi yang berhasil, aktor ancaman menyebarkan cangkang web khusus ke dalam layanan VM Blast Secure Gateway untuk mendapatkan akses ke jaringan organisasi, menurut laporan NHS Digital baru-baru ini tentang sistem VMware Horizon yang diserang dengan eksploitasi Log4Shell.

Hal ini memungkinkan mereka untuk melakukan berbagai kegiatan berbahaya, termasuk exfiltration data dan penyebaran payload malware tambahan seperti ransomware.

Microsoft juga memperingatkan dua minggu lalu tentang aktor ancaman berbahasa China yang dilacak sebagai DEV-0401 yang menyebarkan ransomware Night Sky di server VMware Horizon yang terpapar internet menggunakan eksploitasi Log4Shell.

Dalam sebuah email ke Bleeping Computer hari ini, VMware mengatakan mereka sangat mendesak pelanggan untuk menambal server Horizon mereka untuk bertahan melawan serangan aktif ini.

“Bahkan dengan Peringatan Keamanan VMware dan upaya berkelanjutan untuk menghubungi pelanggan secara langsung, kami terus melihat bahwa beberapa perusahaan belum ditambal,” kerry Tuttle, Manajer Komunikasi Korporat VMware, mengatakan kepada BleepingComputer.

“Produk VMware Horizon rentan terhadap kerentanan Apache Log4j / Log4Shell yang kritis kecuali ditambal atau dikurangi dengan benar menggunakan informasi yang diberikan dalam penasihat keamanan kami, VMSA 2021-0028, yang pertama kali diterbitkan pada 10 Desember 2021, dan diperbarui secara teratur dengan informasi baru.”

“Pelanggan yang belum menerapkan patch atau solusi terbaru yang disediakan penasihat keamanan VMware berisiko dikompromikan – atau mungkin telah dikompromikan – oleh aktor ancaman yang memanfaatkan kerentanan Apache Log4shell untuk secara aktif mengkompromikan lingkungan Horizon yang tidak ditambal dan menghadap internet.”

Admin memperingatkan untuk tidak lengah

Seruan VMware untuk bertindak mengikuti peringatan serupa yang dikeluarkan pekan lalu oleh Pusat Cybersecurity Nasional Belanda (NCSC), mendesak organisasi Belanda untuk tetap waspada dalam menghadapi ancaman yang sedang berlangsung yang diwakili oleh serangan Log4j.

Badan pemerintah Belanda memperingatkan bahwa aktor jahat akan terus mencari server yang rentan yang dapat mereka langgar dalam serangan yang ditargetkan dan meminta organisasi untuk menerapkan pembaruan keamanan Atau tindakan mitigasi jika diperlukan.

Menurut Shodan, ada puluhan ribu server VMware Horizon yang terpapar internet, yang semuanya perlu ditambal terhadap upaya eksploitasi Log4j.

“VMware sangat menyarankan agar pelanggan mengunjungi VMSA-2021-0028 dan menerapkan panduan untuk Horizon. VMware memprioritaskan keamanan pelanggan kami karena kami terus menanggapi dampak industri dari kerentanan Apache Log4j.”

Sumber: Bleepingcomputer

Google Drive sekarang memperingatkan Anda tentang phishing yang mencurigakan, dokumen malware

by

Google meluncurkan peringatan baru di Google Drive tentang file yang berpotensi mencurigakan yang dapat digunakan oleh pelaku ancaman untuk pengiriman malware dan dalam serangan phishing.

“Jika pengguna membuka file yang berpotensi mencurigakan atau berbahaya di Google Drive, kami akan menampilkan spanduk peringatan untuk membantu melindungi mereka dan organisasi mereka dari malware, phishing, dan ransomware,” jelas Google.

Saat mendeteksi file mencurigakan di Google Drive Anda, aplikasi akan menampilkan “File ini terlihat mencurigakan. Mungkin digunakan untuk mencuri informasi pribadi Anda.”

Spanduk peringatan file mencurigakan Google Drive (Google)

Spanduk peringatan Google Drive tentang file mencurigakan tersedia untuk semua pelanggan Google Workspace, serta pelanggan G Suite Basic dan Business.

Perlindungan baru telah mulai diluncurkan secara bertahap ke semua pengguna di Rilis Cepat atau di trek Rilis Terjadwal Peluncuran bertahap dimulai pada 20 Januari 2022

Tahun lalu, Google juga menambahkan perlindungan phishing dan malware Google Drive baru dalam lingkungan perusahaan yang secara otomatis menandai semua file yang mencurigakan, sehingga hanya dapat dilihat oleh pemilik dan adminnya.

Dengan demikian, hal tersebut mengurangi jumlah pengguna dari terkena dampak serangan berbahaya yang menyalahgunakan Google Drive untuk pengiriman phishing dan malware.

Penambahan baru ini berfokus pada keamanan data yang lebih kuat dan datang setelah rilis Penjelajahan Aman, layanan daftar blokir Google yang dirancang untuk melindungi miliaran perangkat dan pengguna Chrome, Android, dan Gmail.

Sumber : Bleeping Computer

Google Drive menandai file yang hampir kosong karena ‘pelanggaran hak cipta’

by

Pengguna dibuat terkejut karena sistem deteksi otomatis Google Drive menandai file yang hampir kosong karena pelanggaran hak cipta.

Asisten Profesor di Michigan State University, Dr. Emily Dolson, Ph.D. melaporkan melihat beberapa perilaku aneh saat menggunakan Google Drive.

Salah satu file di Google Drive Dolson, ‘output04.txt’ hampir kosong—tanpa apa pun selain angka ‘1’ di dalamnya.

Tetapi menurut Google, file ini melanggar “kebijakan Pelanggaran Hak Cipta” perusahaan dan karenanya ditandai.

Dan yang lebih parah, peringatan yang dikirimkan kepada profesor tersebut diakhiri dengan “Sebuah tinjauan tidak dapat diminta untuk pembatasan ini.”

File Dolson ‘output04.txt’ disimpan di jalur ‘CSE 830 Spring 2022/Testcases/Homework3/Q3/output’ di Drive yang membuat profesor bertanya-tanya apakah jalur file mungkin berkontribusi pada alarm palsu.

Pengguna pseudonim juga membagikan tangkapan layar akun Google Drive mereka di mana file yang hanya berisi angka “1”—dengan atau tanpa karakter baris baru, ditandai.

File dengan ‘1’ juga ditandai oleh Google Drive karena pelanggaran hak cipta (Imgur)

Dan, ternyata perilaku itu tidak terbatas hanya pada file yang berisi angka “1.”

Dr. Chris Jefferson, Ph.D., seorang peneliti AI dan matematika di University of St Andrews, juga dapat masalah saat mengunggah beberapa file yang dihasilkan komputer ke Drive.

Jefferson menghasilkan lebih dari 2.000 file, masing-masing hanya berisi angka antara -1000 dan 1000.

File yang berisi angka 173, 174, 186, 266, 285, 302, 336, 451, 500, dan 833 segera ditandai oleh Google Drive karena pelanggaran hak cipta.

Beberapa orang menuduh bahwa jika file tersebut hanya berisi angka “0”, Google akan menonaktifkan akun Anda secara permanen, meskipun hasilnya lebih mungkin berlaku untuk pengguna yang dianggap oleh Google sebagai pelanggar berulang.

Mikko Ohtamaa, pendiri perusahaan Defi Capitalgram, menuduh bahwa gaya otomatis Google dalam menandai kandidat yang diduga melanggar hak cipta dapat menimbulkan masalah dengan bagian dari undang-undang GDPR.

Pasal 22 GDPR alias “pengambilan keputusan individu otomatis, termasuk pembuatan profil,” lebih khusus mengacu pada pembuatan keputusan otomatis tentang individu dengan membuat profil perilaku online mereka, seperti sebelum memberikan pinjaman atau saat membuat keputusan perekrutan, seperti yang dijelaskan oleh ICO Inggris.

Pada tahun 2018, Google menerbitkan dokumen terperinci yang menjelaskan bagaimana perusahaan memerangi pembajakan. Tetapi ketika secara khusus berbicara tentang Google Drive, laporan tersebut menyatakan “rekayasa penyalahgunaan waktu penuh team” dibentuk oleh Google untuk menangani streaming ilegal yang disajikan di Google Drive. Karena itu, tidak banyak informasi yang tersedia tentang cara algoritme Google memproses konten non-video yang disimpan di Drive.

Selengkapnya : Bleeping Computer

Malware DazzleSpy Baru Menargetkan Pengguna macOS Dalam Serangan Watering Hole

by

Serangan lubang air baru ditemukan menargetkan pengguna macOS dan pengunjung situs web stasiun radio pro-demokrasi di Hong Kong yang menginfeksi mereka dengan malware DazzleSpy.

Seperti yang dirinci oleh para peneliti di ESET , itu adalah bagian dari operasi yang sama yang diungkapkan oleh Project Zero Google dua minggu lalu, yang memanfaatkan Chrome dan Windows zero-days untuk meretas ke perangkat Windows dan Android.

Laporan ESET berfokus pada eksploitasi kelemahan WebKit di browser web Safari, yang pada dasarnya menambahkan potongan terakhir dalam teka-teki dan mengonfirmasi bahwa kampanye tersebut menargetkan semua platform utama.

Serangan lubang air melibatkan infeksi situs web yang sah dengan malware, menargetkan demografi situs itu, dan dalam beberapa kasus, hanya alamat IP tertentu.

Kampanye tersebut menargetkan para pendukung kebebasan berbicara, kemerdekaan, dan aktivis politik. Salah satu contohnya yaitu situs palsu yang berusaha memikat para aktivis pembebasan dengan menggunakan domain “fightforhk[.]com” yang baru didaftarkan pada Oktober 2021.

Portal aktivis palsu
Sumber: ESET

Kedua situs web ini menampilkan iframe berbahaya yang mengarah ke domain yang memeriksa versi macOS dan mengalihkan ke tahap berikutnya, yang memuat kode JavaScript eksploit.

Iframe berbahaya yang memicu awal eksploitasi
Sumber: ESET

Eksploitasi menargetkan CVE-2021-1789, kesalahan eksekusi kode arbitrer yang dipicu saat memproses konten web dan memengaruhi versi Safari di bawah 14.1.

Eksploitasi mengimplementasikan dua primitif (‘addrof’ dan ‘fakeobj’) untuk mendapatkan akses baca dan tulis memori, sementara itu juga berisi kode yang membantu melewati mitigasi seperti ‘Gigacage’ dan memuat tahap berikutnya.

Langkah selanjutnya adalah eskalasi hak istimewa ke root, yang terjadi melalui file Mach-O yang dimuat ke dalam memori dan dieksekusi.

Kerentanan yang dieksploitasi untuk mencapai eskalasi hak istimewa adalah CVE-2021-30869, yang memungkinkan aplikasi untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

mata-mata yang mempesona
Langkah terakhir dalam proses ini adalah menjatuhkan DazzleSpy, pintu belakang kaya fitur yang mencakup berbagai kemampuan jahat.

DazzleSpy menetapkan kegigihan pada sistem yang disusupi dengan menambahkan file Daftar Properti baru ke folder ‘LaunchAgents’. Eksekusinya bersembunyi di $HOME/.local/ dengan nama ‘softwareupdate’ yang menyesatkan.

Entri Daftar Properti Baru
Sumber: ESET

Ada banyak petunjuk yang menunjukkan asal pintu belakang, seperti pesan kesalahan internal, yang ditulis dalam bahasa Mandarin, dan konversi cap waktu yang dieksfiltrasi ke zona Waktu Standar China sebelum mencapai C2.

Pesan kesalahan internal dalam bahasa Cina
Sumber: ESET

Terakhir, DazzleSpy menampilkan enkripsi ujung ke ujung dalam komunikasinya, dan jika perantara memasukkan proxy pemeriksaan TLS di antaranya, ia berhenti mengirim data ke C2.

Sumber : Bleeping Computer

MoleRats APT Luncurkan Kampanye Spy pada Bankir, Politisi, Jurnalis

by

Penyerang siber yang disponsori negara menggunakan Google Drive, Dropbox, dan layanan sah lainnya untuk menjatuhkan spyware ke target Timur Tengah dan mengekstrak data.

File berbahaya yang dipalsukan agar terlihat seperti konten sah yang terkait dengan konflik Israel-Palestina digunakan untuk menargetkan warga Palestina terkemuka, serta aktivis dan jurnalis di Turki, dengan spyware.

Itu menurut pengungkapan dari Zscaler, yang mengaitkan serangan siber dengan ancaman persisten tingkat lanjut (APT) MoleRats. Tim peneliti Zscaler mampu mengikat MoleRats, sebuah kelompok berbahasa Arab dengan sejarah menargetkan kepentingan Palestina, untuk kampanye ini karena tumpang tindih dalam payload .NET dan server command-and-control (C2) dengan serangan APT MoleRats sebelumnya.

“Target dalam kampanye ini dipilih secara khusus oleh aktor ancaman dan mereka termasuk anggota penting dari sektor perbankan di Palestina, orang-orang yang terkait dengan partai politik Palestina, serta aktivis hak asasi manusia dan jurnalis di Turki,” analis Zscaler menemukan.

Para analis juga menemukan data sertifikat SSL domain yang tumpang tindih dalam serangan ini dan serangan MoleRats yang diketahui sebelumnya, serta domain umum yang digunakan untuk resolusi DNS pasif, tambah laporan itu.

Serangan itu memberikan umpan berbahaya konten berbahasa Arab yang tampaknya terkait dengan konflik Palestina dengan Israel, dengan kode makro, yang menjalankan perintah PowerShell untuk mengambil malware:

Setelah dieksekusi, malware membuat pintu belakang ke perangkat korban dan mengunduh kontennya ke folder Dropbox, menurut para peneliti, yang melaporkan menemukan setidaknya lima Dropbox yang saat ini digunakan oleh penyerang.

Zscaler melacak rantai serangan kembali melalui Dropbox dan menemukan bahwa mesin APT beroperasi di Belanda dengan subnet IP yang sama dengan C2, bersama dengan domain yang digunakan dalam kampanye APT MoleRats sebelumnya.

Serangan MoleRats terbaru menunjukkan beberapa inovasi dibandingkan kampanye sebelumnya dalam pengiriman pintu belakang, menurut laporan itu.

Laporan Zscaler muncul di tengah ledakan serangan APT baru-baru ini, yang naik lebih dari 50 persen selama setahun terakhir. Itu sebagian besar didorong oleh serangan Log4Shell, menurut Check Point Research baru-baru ini.

Selengkapnya : Threat Post

Emotet Sekarang Menggunakan Format Alamat IP Yang Tidak Konvensional untuk Menghindari Deteksi

by

Kampanye rekayasa sosial yang melibatkan penyebaran botnet malware Emotet telah diamati menggunakan format alamat IP “tidak konvensional” untuk pertama kalinya dalam upaya untuk menghindari deteksi oleh solusi keamanan.

Ini melibatkan penggunaan representasi heksadesimal dan oktal dari alamat IP yang, ketika diproses oleh sistem operasi yang mendasarinya, secara otomatis dikonversi “ke representasi quad desimal putus-putus untuk memulai permintaan dari server jarak jauh,” Analis Ancaman Trend Micro, Ian Kenefick, mengatakan dalam sebuah laporan Jumat.

Rantai infeksi, seperti serangan terkait Emotet sebelumnya, bertujuan untuk mengelabui pengguna agar mengaktifkan makro dokumen dan mengotomatisasi eksekusi malware. Dokumen ini menggunakan Excel 4.0 Macros, fitur yang telah berulang kali disalahgunakan oleh aktor jahat untuk mengirimkan malware.

Setelah diaktifkan, makro memanggil URL yang dikaburkan dengan carets, dengan host menggabungkan representasi heksadesimal dari alamat IP – “h ^ tt ^ p ^ : / ^ / 0xc12a24f5/cc.html” – untuk mengeksekusi kode aplikasi HTML (HTA) dari host jarak jauh.

Varian kedua dari serangan phishing mengikuti modus operandi yang sama, satu-satunya perbedaan adalah bahwa alamat IP sekarang dikodekan dalam format oktal – “h ^ tt ^ p ^:/^/0056.0151.0121.0114/c.html”.

“Penggunaan alamat IP heksadesimal dan oktal yang tidak konvensional dapat mengakibatkan menghindari solusi saat ini yang bergantung pada pencocokan pola,” kata Kenefick. “Teknik penghindaran seperti ini dapat dianggap sebagai bukti penyerang terus berinovasi untuk menggagalkan solusi deteksi berbasis pola.”

Perkembangan ini terjadi di tengah aktivitas Emotet yang diperbarui akhir tahun lalu setelah absen selama 10 bulan setelah operasi penegakan hukum yang terkoordinasi. Pada bulan Desember 2021, para peneliti menemukan bukti malware yang mengembangkan taktiknya untuk menjatuhkan Cobalt Strike Beacons langsung ke sistem yang dikompromikan.

Temuan ini juga muncul ketika Microsoft mengungkapkan rencana untuk menonaktifkan Makro Excel 4.0 (XLM) secara default untuk melindungi pelanggan dari ancaman keamanan. “Pengaturan ini sekarang default ke makro Excel 4.0 (XLM) dinonaktifkan di Excel (Build 16.0.14427.10000),” perusahaan mengumumkan pekan lalu.

Sumber: The Hacker News

Malware Android BRATA menghapus perangkat Anda setelah mencuri data

by

Malware Android BRATA telah menambahkan fitur baru dan berbahaya ke versi terbarunya, termasuk pelacakan GPS, kapasitas untuk menggunakan beberapa saluran komunikasi, dan fungsi yang melakukan reset pabrik pada perangkat untuk menghapus semua jejak aktivitas berbahaya.

BRATA pertama kali ditemukan oleh Kaspersky pada tahun 2019 sebagai RAT Android (alat akses jarak jauh) yang terutama menargetkan pengguna Brasil.

Pada bulan Desember 2021 Cleafy menggarisbawahi munculnya malware di Eropa, di mana terlihat menargetkan pengguna e-banking dan mencuri kredensial mereka dengan keterlibatan penipu yang menyamar sebagai agen dukungan pelanggan bank.

Versi terbaru dari malware BRATA sekarang menargetkan pengguna e-banking di Inggris, Polandia, Italia, Spanyol, Cina, dan Amerika Latin.

Setiap varian berfokus pada bank yang berbeda dengan set overlay khusus, bahasa, dan bahkan aplikasi yang berbeda untuk menargetkan audiens tertentu.

Varian BRATA beredar di berbagai negara
Sumber: Cleafy

Penulis menggunakan teknik kebingungan serupa di semua versi, seperti membungkus file APK ke dalam paket JAR atau DEX terenkripsi.

Kebingungan ini berhasil melewati deteksi antivirus, seperti yang diilustrasikan oleh pemindaian VirusTotal di bawah ini.

Tingkat deteksi sampel terbaru
Sumber: Cleafy

BRATA sekarang secara aktif mencari tanda-tanda keberadaan AV pada perangkat dan mencoba untuk menghapus alat keamanan yang terdeteksi sebelum melanjutkan ke langkah eksfiltrasi data.

Alat AV dihapus oleh BRATA
Sumber: Cleafy

Fitur-fitur baru yang ditemukan oleh peneliti Cleafy dalam versi BRATA terbaru termasuk fungsi keylogging, yang melengkapi fungsi screen capture yang ada.

Meskipun tujuan pastinya tetap menjadi misteri bagi para analis, semua varian baru juga memiliki pelacakan GPS.

Fungsi reset pabrik
Sumber: Cleafy

Terakhir, BRATA telah menambahkan saluran komunikasi baru untuk bertukar data dengan server C2 dan sekarang mendukung HTTP dan WebSockets.

Komunikasi dengan C2 di BRATA baru
Sumber: Cleafy

Opsi WebSockets memberi aktor saluran langsung dan latensi rendah yang ideal untuk komunikasi waktu nyata dan eksploitasi manual langsung.

Selain itu, karena WebSockets tidak perlu mengirim header dengan setiap koneksi, volume lalu lintas jaringan yang mencurigakan berkurang, dan dengan perluasan, kemungkinan terdeteksi diminimalkan.

Cara terbaik untuk menghindari terinfeksi oleh malware Android adalah menginstal aplikasi dari Google Play Store, menghindari APK dari situs web yang teduh, dan selalu memindainya dengan alat AV sebelum dibuka.

Selama penginstalan, perhatikan baik-baik izin yang diminta dan hindari memberikan izin apa pun yang tampaknya tidak perlu untuk fungsionalitas inti aplikasi.

Terakhir, pantau konsumsi baterai dan volume lalu lintas jaringan untuk mengidentifikasi lonjakan yang tidak dapat dijelaskan yang mungkin dikaitkan dengan proses berbahaya yang berjalan di latar belakang.

Sumber : Bleeping Computer