Threat

7 juta alamat email pengguna Robinhood dijual di forum peretas

November 16, 2021 by Eevee

Sekitar 7 juta data pelanggan Robinhood dicuri dalam pelanggaran data baru-baru ini dan data tersebut dijual di forum dan pasar peretasan populer.

Robinhood mengungkapkan setelah salah satu karyawannya diretas,pelaku kemudian menggunakan akun mereka untuk mengakses informasi sekitar 7 juta pengguna melalui sistem dukungan pelanggan.

Data yang dicuri selama serangan termasuk informasi pribadi adalah:

Alamat email untuk 5 juta pelanggan
Nama lengkap untuk 2 juta pelanggan lainnya
Nama, tanggal lahir, dan kode pos untuk 300 orang
Informasi akun yang lebih luas untuk sepuluh orang

Selain mencuri data, Robinhood menyatakan bahwa peretas berusaha memeras perusahaan untuk mencegah pelepasan data. Dua hari setelah Robinhood mengungkapkan serangan itu, seorang aktor ancaman bernama ‘pompompurin’ mengumumkan bahwa mereka menjual data di forum peretasan.

Pompompurin mengatakan dia menjual 7 juta informasi curian pelanggan Robinhood untuk setidaknya lima angka, yaitu $ 10.000 atau lebih tinggi.

Data yang terjual termasuk 5 juta alamat email, dan untuk kumpulan pelanggan Robinhood lainnya, 2 juta alamat email dan nama lengkap mereka. Namun, pompompurin mengatakan mereka tidak menjual data untuk 310 pelanggan yang memiliki informasi lebih sensitif yang dicuri, termasuk kartu identitas untuk beberapa pengguna.

pompompurin memperoleh akses ke sistem dukungan pelanggan Robinhood setelah menipu karyawan meja bantuan untuk menginstal perangkat lunak akses jarak jauh di komputer mereka.

Setelah perangkat lunak akses jarak jauh diinstal pada perangkat, pelaku ancaman dapat memantau aktivitas mereka, mengambil tangkapan layar, dan mengakses komputer dari jarak jauh. Selain itu, saat mengendalikan perangkat dari jarak jauh, penyerang juga dapat menggunakan kredensial login yang disimpan karyawan untuk masuk ke sistem Robinhood internal yang dapat mereka akses.

Pompompurin memposting tangkapan layar yang mengakses sistem internal Robinhood. Tangkapan layar ini termasuk bantuan internal yang digunakan untuk mencari informasi anggota Robinhood melalui alamat email, halaman basis pengetahuan internal tentang inisiatif “Project Oliver Twister” yang dirancang untuk melindungi pelanggan berisiko tinggi, dan halaman “anotasi” yang menunjukkan catatan untuk tujuan tertentu. pelanggan.

Bagian dari tangkapan layar yang menunjukkan catatan anggota internal

pompompurin juga bertanggung jawab atas penyalahgunaan server email FBI untuk mengirim email ancaman selama akhir pekan,entitas AS mulai menerima email yang dikirim dari penerima peringatan infrastruktur FBI bahwa “kluster virtual” mereka menjadi sasaran dalam “serangan berantai canggih,” seperti yang ditunjukkan dalam email di bawah ini.
Email peringatan FBI palsu dikirim akhir pekan ini

Untuk mengirim email ini, pompompurin menemukan bug di portal FBI Law Enforcement Enterprise Portal (LEEP) yang dapat dimanfaatkan aktor untuk mengirim email dari alamat IP milik FBI.

Karena email tersebut berasal dari alamat IP yang dimiliki oleh FBI, itu menambah legitimasi pada email tersebut, menyebabkan badan pemerintah dibanjiri dengan panggilan prihatin tentang peringatan palsu tersebut.

Setelah mengetahui serangan itu, FBI membuat server terkait offline untuk menyelesaikan masalah tersebut.

Selengkapnya : Bleeping Computer

QBot kembali untuk gelombang infeksi baru menggunakan Squirrelwaffle

November 16, 2021 by Eevee

Aktivitas trojan perbankan QBot (juga dikenal sebagai Quakbot) melonjak lagi, Beberapa perusahaan riset keamanan mengaitkannya dengan munculnya Squirrelwaffle.

Squirrelwaffle muncul mengisi kekosongan yang ditinggalkan oleh penghapusan Emotet, prediksi ini dengan cepat dikonfirmasi.

TrendMicro telah mengamati kampanye distribusi baru untuk QBot yang mengandalkan makro Visual Basic Macros (VBA) dalam dokumen Microsoft Word yang dikirim sebagai lampiran dalam email phishing.

Semua variasi kedatangan QBot
Sumber: TrendMicro

Korban masih harus membuka dokumen secara manual dan “Aktifkan Konten” di suite Microsoft Office mereka untuk membiarkan kode makro berjalan, menjatuhkan muatan QBot pada sistem.

Qbot juga dikenal bermitra dengan operasi ransomware untuk memberi mereka akses awal ke jaringan. QBot sebelumnya telah berkolaborasi dengan geng ransomware untuk menyebarkan strain REvil, Egregor, ProLock, PwndLocker, dan MegaCortex.

Kita tidak boleh lupa bahwa bahkan jika kompromi ini tidak pernah berkembang menjadi peristiwa enkripsi file, QBot dapat melakukan kerusakan signifikan dengan sendirinya.

Modul tambahan yang diunduh oleh malware QBot dapat mengambil cookie browser, kata sandi, email, menjatuhkan Cobalt Strike, mengaktifkan gerakan lateral, dan mengubah mesin yang terinfeksi menjadi proxy untuk lalu lintas C2.

Sentinel Labs menerbitkan munculnya pemuat malware SquirrelWaffle, menghubungkannya langsung ke QBot, yang dijatuhkan sebagai malware tahap kedua. Para peneliti di Minerva Labs juga telah menarik kesimpulan serupa, Lihat skema pengiriman berikut:

Rantai infeksi SquirrelWaffle
Sumber: Minerva Labs

SquirrelWaffle juga menggunakan makro VBA untuk menjalankan perintah PowerShell yang mengambil muatannya dan meluncurkannya.

Pembuatan email phishing yang lebih meyakinkan dapat dialihdayakan atau diselesaikan dengan cepat dengan menghubungi ahli di bagian operasi phishing tersebut, yang menyebabkan jumlah infeksi SquirrelWaffle yang lebih signifikan.

Selengkapnya : Bleeping Computer

Teknik Rowhammer baru melewati pertahanan memori DDR4 yang ada

November 16, 2021 by Winnie the Pooh

Para peneliti telah mengembangkan teknik berbasis fuzzing baru yang disebut ‘Blacksmith’ yang menghidupkan kembali serangan kerentanan Rowhammer terhadap perangkat DRAM modern yang melewati mitigasi yang ada.

Munculnya metode Blacksmith baru ini menunjukkan bahwa modul DDR4 saat ini rentan terhadap eksploitasi, memungkinkan berbagai serangan dapat dilakukan.

Rowhammer adalah eksploitasi keamanan yang mengandalkan kebocoran muatan listrik antara sel memori yang berdekatan, memungkinkan aktor ancaman untuk membalik 1 dan 0 dan mengubah konten dalam memori.

Serangan kuat ini dapat melewati semua mekanisme keamanan berbasis perangkat lunak, yang mengarah ke eskalasi hak istimewa, kerusakan memori, dan banyak lagi.

Ini pertama kali ditemukan pada tahun 2014, dan dalam setahun, dua eksploitasi eskalasi hak istimewa kerja berdasarkan peneliti sudah tersedia.

Mitigasi yang diterapkan untuk mengatasi masalah bit-flipping ini menunjukkan tanda-tanda pertama ketidakcukupan mereka pada Maret 2020, ketika peneliti akademis membuktikan bahwa bypass mungkin dilakukan.

Pabrikan telah menerapkan serangkaian mitigasi yang disebut “Target Row Refresh” (TRR), yang terutama efektif dalam menjaga agar DDR4 baru tetap aman dari serangan.

Serangan yang digunakan untuk melawannya disebut ‘TRRespass’, dan merupakan teknik berbasis fuzzing lain yang berhasil menemukan pola Rowhammering yang dapat digunakan.

Modul DRAM DDR5 yang lebih baru sudah tersedia di pasar, dan adopsi akan meningkat dalam beberapa tahun ke depan.

Di DDR5, Rowhammer mungkin tidak terlalu menjadi masalah, karena TRR digantikan oleh “refresh management”, sebuah sistem yang melacak aktivasi di bank dan mengeluarkan penyegaran selektif setelah ambang batas tercapai.

Ini berarti bahwa fuzzing yang dapat diskalakan pada perangkat DRAM DDR5 akan jauh lebih sulit dan mungkin jauh lebih tidak efektif, tetapi itu masih harus ditinjau kembali.

Selengkapnya: Bleeping Computer

Peringatan Dikeluarkan Untuk Jutaan Pengguna Microsoft Windows 10, Windows 11

November 15, 2021 by Winnie the Pooh

Pengguna Windows harus waspada. Microsoft telah mengkonfirmasi kerentanan kritis telah ditemukan di semua versi Windows yang menghadirkan ancaman langsung, dan tindakan harus dilakukan secepatnya.

Dilacak sebagai CVE-2021-34484, kerentanan “zero-day” memungkinkan peretas untuk menembus semua versi Windows (termasuk Windows 10, Windows 11 dan Windows Server 2022) dan mengambil kendali komputer Anda. Dan bagian terburuknya adalah cacatnya telah diketahui selama beberapa waktu.

Alasan untuk ini adalah Microsoft secara keliru mengira telah menambal kerentanan (yang pertama kali ditemukan pada bulan Agustus) ketika diungkapkan kepada publik pada bulan Oktober.

Tetapi perbaikan itu sendiri ditemukan tidak sempurna, sesuatu yang diakui perusahaan, dan ini menarik lebih banyak perhatian pada kerentanan. Microsoft kemudian berjanji untuk “mengambil tindakan yang tepat untuk menjaga pelanggan tetap terlindungi” tetapi dua minggu kemudian, perbaikan baru masih belum tiba.

Tapi di sinilah semua pengguna Windows dapat mengambil kendali. Spesialis keamanan pihak ketiga 0patch telah mengalahkan Microsoft dengan ‘micropatch’ yang sekarang telah tersedia untuk semua pengguna Windows (tautan unduhan).

“Micropatch untuk kerentanan ini akan gratis hingga Microsoft mengeluarkan perbaikan resmi,” 0patch mengkonfirmasi. Anda dapat melihat video micropatch yang diinstal di bawah ini:

Anda harus mendaftar untuk akun 0patch dan menginstal download agent nya sebelum perbaikan dapat diterapkan, tetapi dengan 0patch yang cepat menjadi tujuan utama untuk hot fix yang mengalahkan Microsoft, ini bukan masalah.

Selengkapnya: Forbes

AMD Mengungkapkan 50 Celah Keamanan yang Mempengaruhi CPU EPYC, Driver Radeon

November 15, 2021 by Winnie the Pooh

AMD menerbitkan tiga buletin keamanan yang membahas kerentanan keamanan yang memengaruhi prosesor EPYC dan driver grafis Radeon untuk Windows 10. Meskipun banyak yang ditandai dengan Keparahan Tinggi, mereka dapat dimitigasi dengan pembaruan driver dan paket AGESA.

Pembuat chip tersebut mengungkap 22 potensi kerentanan yang memengaruhi tiga generasi prosesor EPYC: EPYC 7001 (Naples), EPYC 7002 (Roma), dan EPYC 7003 (Milan).

Eksploitasi secara khusus menargetkan AMD Platform Security Processor (PSP), AMD System Management Unit (SMU), AMD Secure Encrypted Virtualization (SEV) dan komponen platform lainnya.

Menanggapi eksploitasi, AMD mendistribusikan pembaruan AGESA NaplesPI-SP3_1.0.0.G, RomePI-SP3_1.0.0.C dan MilanPI-SP3_1.0.0.4 ke mitra OEM-nya. Jika Anda menjalankan salah satu chip EPYC AMD, Anda harus menghubungi OEM Anda untuk pembaruan.

Driver grafis Radeon untuk Windows 10 sama-sama dipenuhi dengan kerentanan. AMD mendeteksi hingga 27 eksploitasi berbeda dengan berbagai tingkat keparahan yang berdampak pada konsumen mainstream dan perusahaan. Untungnya, pengguna hanya perlu memperbarui driver Radeon mereka ke versi terbaru untuk menambal lubang keamanan tersebut.

Selengkapnya: Tom’s Hardware

Ramalan Malware dan Ransomeware Mendatang

November 15, 2021 by Eevee

Laporan ancaman Sophos tahun 2022 menjelaskan Infeksi malware dan ransomware di masa depan akan terdiri dari “shotgun attacks with pinpoint targeting.”

Seolah itu tidak cukup, infosec biz Inggris menganggap serangan malware komoditas yang sudah mapan akan berakhir dengan memberikan lebih banyak ransomware, sementara taktik pemerasan yang digunakan oleh geng ransomware akan menjadi lebih beragam dan intens – dengan tujuan menggertak korban agar menyerahkan uang tunai.

“Ransomware berkembang pesat karena kemampuannya untuk beradaptasi dan berinovasi,” kata Chester Wisniewski seorang ilmuwan peneliti utama di Sophos. “Misalnya, meskipun penawaran RaaS bukanlah hal baru, di tahun-tahun sebelumnya kontribusi utama mereka adalah membawa ransomware ke dalam jangkauan penyerang berketerampilan rendah atau kurang didanai.”

Ancaman dunia maya yang hampir ada di mana-mana telah banyak ditampilkan dalam berita baru-baru ini, menyusul penghargaan AS senilai jutaan dolar untuk informasi yang mengarah pada penangkapan dan hukuman terhadap geng ransomware high profile tertentu. Selain itu, banyak polisi negara – terutama Ukraina – telah menangkap orang-orang yang diduga sebagai anggota geng.

Selain ransomware, Sophos mengatakan pada 2022 akan terjadi serangan ulang ProxyLogon dan ProxyShell di mana vuln dalam layanan dan produk TI yang banyak digunakan langsung dilompati oleh penjahat dan negara. Perusahaan mengharapkan untuk melihat “peningkatan minat kejahatan dalam sistem berbasis Linux selama tahun 2022, baik di cloud maupun di web dan server virtual.”

Serangan shotgun yang ditargetkan, seperti yang dijelaskan Sophos, juga dapat meningkat. Perusahaan menggunakan serangan Gootloader sebagai contoh, menyoroti bagaimana situs web berbahaya didorong ke atas peringkat hasil pencarian Google oleh kejahatan. Pemfilteran tanda yang mengklik tautan berbahaya ini mengesampingkan mereka yang tidak menjalankan kombinasi sistem operasi dan browser tertentu.

“SophosLabs percaya bahwa ini mungkin merupakan cara baru bagi distributor malware untuk menggagalkan peneliti malware sambil memberi diri mereka sendiri tingkat kepastian yang lebih besar bahwa malware mereka akan menjadi bagian dari korban yang mungkin lebih diinginkan daripada populasi umum,” perusahaan menyimpulkan.

Linux dan sistem virtual dapat berada di bawah ancaman yang lebih besar pada tahun 2022, menurut pandangan Sophos, dengan peringatan tegas: “Satu ransomware yang kami temui pada tahun 2021 menargetkan platform VMware ESXi dan datang dalam bentuk skrip Python yang, ketika dijalankan pada hypervisor, mematikan semua mesin virtual yang berjalan dan kemudian mengenkripsi penyimpanan data tempat hard drive virtual, dan file konfigurasi lainnya, disimpan di hypervisor.”

Hal-hal yang menghebohkan – dan kejadian di atas terjadi pada perusahaan “logistik dan industri perkapalan” selama tahun ini. Trojan RansomEXX, yang menargetkan hypervisor VMware ESXi, ditemukan oleh Sophos pada Juni 2021 setelah serangan terhadap hypervisor ESXi yang berbeda “dijalankan oleh toko roti komersial besar”.

“Ancaman, mereka sedang berkembang. Keyakinan lama bahwa organisasi Anda terlalu kecil, tidak jelas, atau pendapatannya rendah untuk dijadikan target berbahaya akhir-akhir ini – jadi persiapkan diri.”

sumber: The Register

Hapus 7 Aplikasi Android ini jika anda tidak ingin menghabiskan banyak uang

November 15, 2021 by Eevee

Menurut tweet dari Shishkova tujuh aplikasi ini membawa malware Joker yang berarti berbahaya bagi kesejahteraan finansial Anda. Meskipun aplikasi telah dihapus dari Google Play Store, itu tidak berarti aplikasi tersebut tidak lagi ada di ponsel Anda dan ingin mendaftarkan Anda ke layanan berlangganan penipuan yang sebenarnya tidak ingin Anda bayar.

Jadi periksa ponsel Android Anda untuk hal-hal berikut:

Now QRcode Scan – Lebih dari 10.000 pemasangan
EmojiOne Keyboard – Lebih dari 50.000 pemasangan
Battery Charging Animations Battery Wallpaper – Lebih dari 1.000 pemasangan
Dazzling Keyboard – Lebih dari 10 pemasangan
Volume Booster Louder Sound Equalizer – Lebih dari 100 pemasangan
Super Hero-Effect – Lebih dari 5.000 pemasangan
Classic Emoji Keyboard – Lebih dari 5.000 pemasangan

Untuk menghindari peluang menjadi korban malware, selalu periksa bagian komentar sebelum Anda menginstal aplikasi. Kedua, hindari menginstal aplikasi dari developer yang tidak dikenal yang memberikan akses luas untuk aplikasi tersebut namun memiliki sedikit ulasan.

Menemukan tanda bahaya untuk menemukan pemberitahuan LinkedIn palsu

Aplikasi jaringan bisnis LinkedIn merupakan aplikasi yang menghubungkan perusahaan dengan orang-orang, menerima pemberitahuan dari LinkedIn bukanlah hal yang luar biasa. Tetapi Kaspersky mengatakan bahwa pesan dari LinkedIn yang tampaknya berasal dari perusahaan yang sah bisa jadi email palsu yang terlihat asli, contoh phishing.

Dalam laporannya, Kaspersky menunjukkan contoh pesan yang dikirim melalui LinkedIn dari seorang pengusaha Arab. Pesan tersebut, yang seharusnya menyertakan foto pengirim, menanyakan penerima apakah dia ingin berbisnis dengannya. Tetapi ada begitu banyak tanda bahaya dengan surat resmi ini yang dapat mengajari Anda apa yang harus dicari ketika menerima pemberitahuan yang tidak diminta di LinkedIn.

Kesalahan ejaan sangat banyak. Di bagian paling atas Anda akan melihat bahwa LinkedIn salah dieja, dengan tambahan “I.” Juga salah dieja adalah kata “pengusaha.” Tidak ada tautan ke LinkedIn di alamat email, dan pesannya terlalu pendek untuk menjadi tawaran yang serius.

Mengklik tautan yang diposting di pemberitahuan memunculkan halaman login yang tampak seperti LinkedIn yang asli. Tetapi URL (optikzade.com.tr) tidak menyebutkan LinkedIn dan alih-alih domain .com, alamat tersebut menunjukkan bahwa halaman masuk palsu berasal dari Turki.

Upaya phishing lain yang melibatkan LinkedIn mungkin lebih sulit untuk ditangkap pada awalnya. Pemberitahuan masih berisi beberapa tanda merah karena meminta “Qoute.” Tetapi siapa di antara kita yang tidak pernah salah mengganti dua huruf, terutama saat mengetik cepat dalam bahasa yang bukan bahasa asli Anda.

Tetapi baris subjek untuk pemberitahuan ini berbunyi, “Juli Jiang mengirimi Anda pesan” hilang sebuah artikel sebelum kata “pesan.” Itu mungkin tidak tampak seperti masalah besar sampai Anda menyadari bahwa LinkedIn membuat baris subjek secara otomatis dan tidak akan ketinggalan memasukkan artikel.” Dan mengetuk tautan membawa Anda ke halaman login palsu yang menunjukkan kesalahan yang menutupi sebagian logo LinkedIn di bagian atas, dan salah menuliskan nama aplikasi sebagai Linkedin.

Selengkapnya : Phone Arena

Peretas Mengakses Sistem Email FBI Dan Mengirim Spam Ke 100.000 Akun

November 15, 2021 by Winnie the Pooh

Peretas mengakses sistem email FBI dan mengirim spam ke 100.000 akun pada hari Sabtu, menurut Proyek Spamhaus, sebuah kelompok pengawas spam email.

Organisasi tersebut memposting contoh di Twitter dari salah satu email yang dikirim ke ribuan akun.

Email tersebut memuat subjek “Urgent: Threat actor in systems” dan dimaksudkan untuk datang dari divisi keamanan siber dari Departemen Keamanan Dalam Negeri.

Email tersebut dimaksudkan untuk memperingatkan penerima tentang potensi “exfiltration” – yang berarti penarikan data – dari sistem mereka oleh pakar keamanan siber Vinny Troia dan kelompok penjahat siber The Dark Overlord.

Spamhaus memberikan sejumlah kemungkinan motivasi peretas untuk mengirim pesan tersebut.

“Tiga tindakan: Meyakinkan orang untuk menutup semuanya untuk berjaga-jaga, sementara kebenaran ditentukan, pembunuhan karakter Vinny Troia yang disebutkan di dalamnya, dan membanjiri FBI dengan panggilan. Atau, seperti yang orang lain katakan, ‘untuk lulz’. Mungkin semua dari yang disebutkan di atas. Atau mungkin sesuatu yang lain!” kelompok itu menulis sebuah tweet.

Austin Berglas, kepala layanan profesional di perusahaan keamanan siber BlueVoyant dan mantan agen khusus FBI, mengatakan kepada Bloomberg bahwa sistem email yang diretas bukanlah yang digunakan agen untuk mengirim informasi rahasia di FBI.

FBI mengatakan dalam sebuah pernyataan bahwa mereka mengetahui serangan itu tetapi tidak dapat memberikan informasi lebih lanjut.

Selengkapnya: The Hill

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings