Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Pasar Dark Web Cannazon Tutup Setelah Serangan DDoS Besar-besaran

by

Cannazon, salah satu pasar web gelap terbesar untuk membeli produk ganja, ditutup pekan lalu setelah terkena serangan DDoS.

Seperti yang dijelaskan admin dalam pesan yang ditandatangani dengan kunci pasar PGP, mereka secara resmi pensiun dan mengklaim tidak menarik penipuan keluar pada vendor mereka.

Admin memposting pesan itu pada 23 November 2021, dan hari ini Cannazon offline, diduga selamanya.

Serangan DDoS menyebabkan penutupan

Situs ini terkena serangan DDoS (distributed denial of service) besar-besaran pada awal bulan, yang tidak biasa untuk pasar web gelap.

Admin mengurangi jumlah pesanan dan membuat pasar sebagian offline sementara waktu untuk mengurangi masalah, tetapi ini telah menciptakan desas-desus di masyarakat, takut akan penipuan keluar yang akan segera terjadi.

Dengan ditutupnya Cannazon, tidak mengherankan melihat situs lain dibuat menggunakan nama yang sama di bawah alamat Tor baru. Namun, ini kemungkinan akan dioperasikan oleh scammers yang ingin menipu anggota situs asli.

Munculnya situs klon palsu adalah hal biasa ketika platform web gelap yang besar dan terkenal offline.

Mengapa itu ide yang buruk</h4

Jika Anda berpikir bahwa membeli ganja dari dark web adalah cara mudah untuk menghindari undang-undang narkoba di negara Anda sambil tetap anonim di belakang VPN atau Tor, Anda mengabaikan sebagian besar risiko yang terlibat.

Pertama, sebagian besar platform ini, termasuk Cannazon dan CannaHome, beroperasi dengan keanggotaan. Dengan demikian, semua pengguna memberikan beberapa remah-remah info selama pendaftaran. Jika server mereka akhirnya jatuh ke tangan penegak hukum, pembeli dapat diidentifikasi.

Kedua, kemungkinan mendapatkan scammed ketika menempatkan pesanan selalu tinggi, bahkan di pasar di mana admin menjanjikan tingkat keamanan perdagangan yang tinggi.

Ketiga, obat apa pun yang dikirim kepada Anda mungkin dicampur dengan zat beracun berbahaya atau benar-benar berbeda dari apa yang Anda pikir Anda bayar. Dengan demikian, mengkonsumsinya dapat menimbulkan risiko serius bagi kesehatan Anda.

Akhirnya, membeli obat-obatan secara online adalah ilegal di banyak negara dan dapat menyebabkan denda dan kemungkinan hukuman penjara.

Sumber: Bleepingcomputer

Lebih dari 300.000 pengguna Android telah mengunduh aplikasi malware trojan perbankan ini

by

Dirinci oleh peneliti ThreatFabric, empat bentuk malware yang berbeda dikirimkan ke korban melalui versi berbahaya dari aplikasi yang biasa diunduh, termasuk pemindai dokumen, pembaca kode QR, pemantau kebugaran, dan aplikasi cryptocurrency. Aplikasi sering datang dengan fungsi yang diiklankan untuk menghindari pengguna curiga.

Dalam setiap kasus, pengiriman malware hanya dimulai setelah aplikasi diinstal sehingga memungkinkan mereka untuk melewati deteksi Play Store.

Yang paling produktif dari empat keluarga malware adalah Anatsa, yang telah diinstal oleh lebih dari 200.000 pengguna Android – peneliti menggambarkannya sebagai trojan perbankan yang dapat mencuri nama pengguna dan kata sandi, dan menggunakan pencatatan aksesibilitas untuk menangkap semua yang ditampilkan di layar pengguna , sementara keylogger memungkinkan penyerang untuk merekam semua informasi yang dimasukkan ke dalam telepon.

Salah satu aplikasi ini adalah pemindai kode QR yang telah dipasang oleh 50.000 pengguna saja dan halaman unduhan menampilkan sejumlah besar ulasan positif, sesuatu yang dapat mendorong orang untuk mengunduh aplikasi. Pengguna diarahkan ke aplikasi melalui email phishing atau kampanye iklan berbahaya.

Setelah pengunduhan awal, pengguna dipaksa untuk memperbarui aplikasi untuk terus menggunakannya – pembaruan inilah yang menghubungkan ke server perintah dan kontrol dan mengunduh muatan Anatsa ke perangkat, memberikan penyerang sarana untuk mencuri detail perbankan dan informasi lainnya.

Keluarga malware paling produktif kedua yang dirinci oleh para peneliti di ThreatFabric adalah Alien, trojan perbankan Android yang juga dapat mencuri kemampuan otentikasi dua faktor dan yang telah aktif selama lebih dari setahun. Malware telah menerima 95.000 instalasi melalui aplikasi berbahaya di Play Store.

Salah satunya adalah aplikasi gym dan pelatihan kebugaran yang ketika dilengkapi dengan situs web pendukung yang dirancang untuk meningkatkan legitimasi, tetapi pemeriksaan ketat terhadap situs tersebut mengungkapkan teks placeholder di mana-mana. Situs web ini juga berfungsi sebagai pusat komando dan kendali untuk malware Alien.

Seperti Anasta, unduhan awal tidak mengandung malware, tetapi pengguna diminta untuk menginstal pembaruan palsu – menyamar sebagai paket rezim kebugaran baru – yang mendistribusikan muatan.

Dua bentuk malware lainnya yang telah dijatuhkan menggunakan metode serupa dalam beberapa bulan terakhir adalah Hydra dan Ermac, yang memiliki total gabungan setidaknya 15.000 unduhan. ThreatFabric telah menautkan Hydra dan Ermac ke Brunhilda, kelompok kriminal dunia maya yang diketahui menargetkan perangkat Android dengan malware perbankan.

ThreatFabric telah melaporkan semua aplikasi berbahaya ke Google dan mereka telah dihapus atau sedang ditinjau.

“Aturan praktis yang baik adalah selalu memeriksa pembaruan dan selalu sangat berhati-hati sebelum memberikan hak aksesibilitas layanan – yang akan diminta oleh muatan berbahaya, setelah “pembaruan” instalasi – dan waspada terhadap aplikasi yang meminta untuk menginstal perangkat lunak tambahan, ” ucap Durando.

ZDNet

Peretas sembunyi-sembunyi WIRTE menargetkan pemerintah di Timur Tengah

by

Grup peretas tersembunyi bernama WIRTE telah dikaitkan dengan kampanye penargetan pemerintah yang melakukan serangan setidaknya sejak 2019 menggunakan makro Excel 4.0 yang berbahaya.

Cakupan penargetan utama mencakup entitas publik dan swasta profil tinggi di Timur Tengah, tetapi peneliti juga mengamati target di wilayah lain.

Kaspersky menyimpulkan bahwa WIRTE memiliki motif pro-Palestina dan diduga menjadi bagian dari ‘Gaza Cybergang’. WIRTE memiliki OpSec yang lebih baik dan teknik yang lebih tersembunyi, dan mereka dapat menghindari deteksi untuk waktu yang lama.

WIRTE melakukan email phishing dengan menyertakan dokumen Excel yang mengeksekusi makro berbahaya untuk mengunduh dan menginstal muatan malware di perangkat penerima.

Sementara fokus utama WIRTE menyerang pemerintah dan entitas diplomatik, Kaspersky telah melihat serangan ini menargetkan berbagai industri di seluruh Timur Tengah dan wilayah lainnya.

“Entitas yang terkena dampak berlokasi di Armenia, Siprus, Mesir, Yordania, Lebanon, Palestina, Suriah, dan Turki.”

Dokumen jahat tersebut dirancang untuk meningkatkan minat korban yang ditargetkan, dan menggunakan logo dan tema yang meniru merek, otoritas, atau organisasi yang ditargetkan.

Dokumen phishing dikirim ke korban
Sumber: Kaspersky

Penetes Excel pertama-tama menjalankan serangkaian rumus di kolom tersembunyi, yang menyembunyikan permintaan “aktifkan pengeditan” dari file asli dan memperlihatkan spreadsheet sekunder yang berisi umpan.

Penetes kemudian menjalankan rumus dari spreadsheet ketiga dengan kolom tersembunyi, dan melakukan tiga pemeriksaan anti-kotak pasir berikut:

  • Dapatkan nama lingkungan
  • Periksa apakah ada tikus
  • Periksa apakah komputer host dapat memutar suara

kemudian makro menulis skrip VBS yang menulis cuplikan PowerShell yang disematkan dengan dua kunci registri

Menambahkan dua kunci registri
Sumber: Kaspersky

Makro kemudian melanjutkan dengan menulis PowerShell dengan kode VB ke %ProgramData%. Cuplikan ini adalah stager ‘LitePower’ yang akan mengunduh muatan dan menerima perintah dari C2.

Perintah dan kontrol yang tidak jelas

Para aktor telah menempatkan domain C2 mereka di belakang Cloudflare untuk menyembunyikan alamat IP yang sebenarnya, tetapi Kaspersky dapat mengidentifikasi beberapa dari mereka dan menemukan bahwa mereka di-host di Ukraina dan Estonia.

Banyak dari domain ini berasal dari setidaknya Desember 2019, yang menunjukkan kemampuan WIRTE untuk menghindari deteksi, analisis, dan pelaporan untuk waktu yang lama.

Infrastruktur WIRTE C2 yang dipetakan
Sumber: Kaspersky

Intrusi terbaru menggunakan TCP/443 melalui HTTPS dalam komunikasi C2, tetapi mereka juga menggunakan port TCP 2096 dan 2087, seperti yang disebutkan dalam laporan 2019 oleh Lab52.

Fungsi tidur pada skrip
Sumber: Kaspersky

WIRTE sekarang terlihat secara tentatif memperluas cakupan penargetannya ke lembaga keuangan dan organisasi swasta besar, yang dapat merupakan hasil eksperimen atau perubahan fokus secara bertahap.

Kaspersky memperingatkan bahwa meskipun TTP yang digunakan oleh aktor-aktor ini sederhana dan agak biasa, mereka masih sangat efektif terhadap target kelompok.

Selengkapnya : Bleeping Computer

APT37 menargetkan jurnalis dengan malware multi-platform Chinotto

by

Kelompok peretas negara Korea Utara APT37 menargetkan jurnalis, pembelot, dan aktivis hak asasi manusia Korea Selatan, email spear-phishing, dan serangan smishing yang mengirimkan malware yang dijuluki Chinotto yang mampu menginfeksi perangkat Windows dan Android.

APT37 (alias Reaper) telah aktif setidaknya sejak 2012 dan merupakan kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan pemerintah Korea Utara dengan kepercayaan tinggi oleh FireEye.

Kelompok ini dikenal menargetkan individu yang berkepentingan dengan rezim Korea Utara, termasuk jurnalis, diplomat, dan pegawai pemerintah.

Chinotto, malware yang disebar memungkinkan kelompok peretas untuk mengontrol perangkat yang disusupi, memata-matai penggunanya melalui tangkapan layar, menyebarkan muatan tambahan, mengumpulkan data yang menarik, dan mengunggahnya ke server yang dikendalikan penyerang

Seperti yang ditemukan Kaspersky, pintu belakang tersebut dikirimkan ke perangkat korban beberapa bulan setelah penyusupan awal. Dalam satu kasus, para peretas menunggu selama enam bulan sebelum menginstal Chinotto, yang memungkinkan mereka untuk mengekstrak data sensitif dari perangkat yang terinfeksi.

APT37 Garis waktu serangan Chinotto (Kaspersky)

Chinotto adalah malware yang sangat dapat disesuaikan, seperti yang ditunjukkan oleh banyak varian yang ditemukan saat menganalisis kampanye, terkadang beberapa muatan disebarkan pada perangkat yang terinfeksi yang sama.

Varian Windows dan Android malware menggunakan pola komunikasi perintah-dan-kontrol yang sama dan mengirimkan informasi yang dicuri ke server web yang sebagian besar berlokasi di Korea Selatan.

Karena varian Android meminta izin tambahan pada perangkat yang disusupi, setelah diberikan, Chinotto dapat menggunakannya untuk mengumpulkan data sensitif dalam jumlah besar, termasuk kontak korban, pesan teks, log panggilan, info perangkat, dan bahkan rekaman audio.

Jika mereka menemukan dan mencuri kredensial korban, itu memungkinkan operator APT37 menjangkau target lain menggunakan kredensial yang dicuri melalui email dan media sosial.
APT37 Aliran serangan Chinotto

APT37 Aliran serangan Chinotto (Kaspersky)

“Singkatnya, pelaku menargetkan korban dengan kemungkinan serangan spear-phishing untuk sistem Windows dan smishing untuk sistem Android. Pelaku memanfaatkan versi Windows yang dapat dijalankan dan versi PowerShell untuk mengontrol sistem Windows,” Kaspersky menyimpulkan.

“Kami mungkin berasumsi bahwa jika host dan ponsel korban terinfeksi pada saat yang sama, operator malware dapat mengatasi otentikasi dua faktor dengan mencuri pesan SMS dari ponsel.”

Sumber : Bleeping Computer

Perubahan Baru pada Penipuan Kartu Hadiah Berkembang di Black Friday

by

Black Friday cyber-pariah telah mengubah penipuan kartu hadiah untuk lebih menargetkan pembeli online modern yang haus akan penawaran pasca-Thanksgiving. Para ahli memperingatkan taktik baru termasuk generator kartu hadiah palsu yang menginstal malware yang dirancang untuk mengendus alamat dompet cryptocurrency korban.

Peneliti di Malwarebytes Labs menguraikan penipuan kartu hadiah terbaru tahun ini. Salah satu sentuhan baru termasuk menawarkan kartu hadiah dengan harga yang jauh lebih murah daripada nilai nominal sebagai taktik untuk menarik pengguna agar membeli kartu hadiah curian atau mengunduh malware.

Para peneliti mengatakan mereka telah melacak sejumlah situs web yang mengklaim menyediakan “generator kartu hadiah” yang dapat digunakan orang untuk menghasilkan kode untuk semua jenis kartu hadiah. Situs-situs ini bisa sangat menipu karena mereka menggunakan merek-merek besar seperti Amazon, Roblox, Google, Xbox dan PS5.

Korban akan mengunduh generator kartu hadiah dan diberi tahu sebelum mencoba menggunakannya bahwa mereka tidak benar-benar menghasilkan kode kartu hadiah yang valid, tetapi hanya “kode acak untuk ‘tujuan pendidikan’, ” tulis Artz. Kemungkinan ini terjadi setelah orang mengisi survei dan menyerahkan informasi pribadi.

Namun, penipuan ini bisa menjadi jauh lebih jahat, dengan proses untuk mendapatkan generator kartu hadiah yang benar-benar mengunduh malware ke sistem seseorang, kata para peneliti.

Artnz menggambarkan salah satu penipuan yang menggunakan generator kartu hadiah untuk mencuri cryptocurrency dari korban menggunakan file berjudul “Amazon Gift Tool.exe” yang dipasarkan di situs penyimpanan file yang tersedia untuk umum sebagai generator kartu hadiah Amazon gratis.

“Pada kenyataannya, malware mengawasi clipboard pengguna untuk menemukan teks yang cocok dengan panjang normal dari jenis alamat dompet cryptocurrency tertentu,” tulisnya. “Jika kriteria lain terpenuhi, untuk memastikan bahwa korban terlibat dalam transfer Bitcoin Cash, malware mengganti string di clipboard dengan alamat dompet Bitcoin Cash penyerang.”

Penipuan tergantung pada korban yang tidak memperhatikan bahwa alamat dompet kripto-nya ada di papan klip saat menempelkannya selama transaksi, catat mereka. Jika berhasil, transfer masuk ke penjahat dunia maya, bukan ke penerima yang dituju.

Menurut survei Juli 2021 oleh Bankrate, 51 persen orang dewasa AS saat ini memiliki kartu hadiah, voucher, atau kredit toko yang tidak digunakan dengan total nilai luar biasa sekitar $15 miliar.

Selain itu, sedikit kurang dari itu, 49 persen, orang dewasa AS telah kehilangan kartu hadiah, voucher, atau kredit toko di beberapa titik.

Sumber : Threat post

Interpol Menangkap Lebih dari 1.000 Tersangka yang Terkait dengan Kejahatan Dunia Maya

by

Interpol telah mengoordinasikan penangkapan 1.003 orang yang terkait dengan berbagai kejahatan dunia maya seperti penipuan asmara, penipuan investasi, pencucian uang online, dan perjudian online ilegal.

Tindakan keras ini dihasilkan dari tindakan empat bulan dengan nama sandi ‘Operasi HAEICHI-II,’ yang terjadi di dua puluh negara antara Juni dan September 2021.

Negara-negara tersebut adalah Angola, Brunei, Kamboja, Kolombia, Cina, India, Indonesia, Irlandia, Jepang, Korea (Rep.), Laos, Malaysia, Maladewa, Filipina, Rumania, Singapura, Slovenia, Spanyol, Thailand, dan Vietnam.

Pada aspek keuangan operasi, pihak berwenang juga telah mencegat hampir $27.000.000 dan membekukan 2.350 rekening perbankan yang terkait dengan berbagai kejahatan online.

Seperti rincian pengumuman Interpol, setidaknya sepuluh modus operandi kriminal baru diidentifikasi di HAEICHI-II, yang menunjukkan sifat kejahatan dunia maya yang terus berkembang.

Salah satu contoh penting penipuan yang ditemukan di HAEICHI-II melibatkan perusahaan tekstil Kolombia yang ditipu oleh pelaku BEC (Business Email Compromise).

Para pelaku menyamar sebagai perwakilan hukum perusahaan dan meminta $16 juta dalam dua pembayaran sebesar $8.000.000 untuk dikirim ke dua rekening bank China.

Intervensi Interpol membantu memulihkan 94% dari jumlah ini, menyelamatkan perusahaan dari kebangkrutan.

Tren yang meningkat yang diperhatikan oleh para penyelidik selama HAEICHI-II adalah menggunakan ‘Game Squid’ sebagai tema untuk kampanye distribusi malware.

Para aktor memanfaatkan popularitas acara Netflix untuk menyamarkan aplikasi trojan yang diduga merupakan game seluler.

Pada kenyataannya, aplikasi ini secara otomatis membuat pengguna berlangganan layanan ‘premium’ dan menggelembungkan tagihan mereka, sementara distributor mereka mendapatkan uang dari afiliasi.

“Penipuan online seperti yang memanfaatkan aplikasi jahat berkembang secepat tren budaya yang mereka eksploitasi secara oportunistik,” kata José De Gracia, Asisten Direktur, Jaringan Kriminal di Interpol.

Selengkapnya: Bleeping Computer

Phishing TrickBot Memeriksa Resolusi Layar untuk Menghindari Peneliti

by

Operator malware TrickBot telah menggunakan metode baru untuk memeriksa resolusi layar sistem korban untuk menghindari deteksi perangkat lunak keamanan dan analisis oleh para peneliti.

Baru-baru ini, TheAnalyst – seorang pemburu ancaman dan anggota kelompok riset keamanan Cryptolaemus, menemukan bahwa lampiran HTML dari kampanye malspam TrickBot berperilaku berbeda di mesin nyata daripada di mesin virtual.

Peneliti mengatakan kepada BleepingComputer bahwa dia melihat taktik yang digunakan beberapa kali dalam berbagai kampanye phishing sebagai sarana untuk menghindari penyelidik.

Script menentukan apakah pengguna yang mendarat di halaman phishing menggunakan mesin virtual atau fisik dengan memeriksa apakah browser web menggunakan perender perangkat lunak seperti SwiftShader, LLVMpipe, atau VirtualBox, yang biasanya berarti lingkungan virtual.

Skrip juga memeriksa apakah kedalaman warna layar pengunjung kurang dari 24-bit, atau jika tinggi dan lebar layar kurang dari 100 piksel.

TrickBot tidak menggunakan skrip yang sama seperti di atas tetapi mengandalkan taktik yang sama untuk mendeteksi kotak pasir peneliti. Namun, ini adalah pemutaran perdana bagi geng untuk menggunakan skrip seperti itu dalam lampiran HTML.

Ini mungkin juga pertama kalinya malware menggunakan lampiran untuk menjalankan pemeriksaan resolusi layar daripada melakukannya di halaman arahan yang menyajikan malware yang dapat dieksekusi.

Selengkapnya: Bleeping Computer

Perubahan Baru pada Penipuan Kartu Hadiah Berkembang di Black Friday

by

Barang dagangan palsu dan crypto-jacking adalah salah satu cara baru penjahat dunia maya akan mencoba menipu orang-orang yang berbondong-bondong online untuk Black Friday dan Cyber ​​Monday.

Black Friday cyber-pariah telah mengubah penipuan kartu hadiah untuk lebih menargetkan pembeli online modern yang haus akan penawaran pasca-Thanksgiving.

Para ahli memperingatkan taktik baru termasuk generator kartu hadiah palsu yang menginstal malware yang dirancang untuk mengendus alamat dompet cryptocurrency korban.

Penipuan Black Friday dan Cyber ​​Monday berbasis internet telah menjadi hal biasa seperti Parade Hari Thanksgiving Macy. Itu sebabnya scammer menabung untuk mencari cara baru untuk menjerat pembeli yang paham dunia maya.

Dalam postingan Selasa (23/11/2021), para peneliti di Malwarebytes Labs, menguraikan penipuan kartu hadiah terbaru tahun ini. Salah satu sentuhan baru termasuk menawarkan kartu hadiah dengan harga yang jauh lebih murah daripada nilai nominal sebagai taktik untuk menarik pengguna agar membeli kartu hadiah curian atau mengunduh malware.

“Jika Anda melihat situs web yang menawarkan semua jenis diskon pada kartu hadiah, Anda dapat yakin bahwa ini akan menjadi palsu atau diperoleh secara ilegal dan Anda dapat bertindak sebagai pagar,” tulis Pieter Artnz, Malwarebytes peneliti intelijen malware.

Selengkapnya: Threat Post