Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Kampanye phishing DocuSign menargetkan karyawan berpangkat rendah

by

Pelaku phishing mengikuti tren baru yang menargetkan karyawan non-eksekutif tetapi masih memiliki akses ke area berharga dalam suatu organisasi.

Seperti yang dilaporkan oleh peneliti Avanan, setengah dari semua email phishing yang mereka analisis dalam beberapa bulan terakhir menyamar sebagai non-eksekutif, dan 77% di antaranya menargetkan karyawan pada tingkat yang sama.

Sebelumnya, pelaku phishing akan menyamar sebagai CEO dan CFO untuk mengelabui karyawan perusahaan dalam serangan phishing yang ditargetkan.

Ini masuk akal karena mengirim instruksi dan membuat permintaan mendesak sebagai karyawan berpangkat tinggi meningkatkan kemungkinan kepatuhan oleh penerima pesan ini.

Seperti yang dijelaskan Avanan dalam laporannya, trik khas yang digunakan dalam kampanye ini adalah keterlibatan DocuSign, platform penandatanganan dokumen berbasis cloud yang sah.

Aktor menawarkan DocuSign sebagai metode penandatanganan alternatif dalam email yang mereka kirim, dan meminta penerima memasukkan kredensial mereka untuk melihat dokumen dan menandatanganinya.

Meskipun email ini dibuat agar terlihat seperti pesan DocuSign yang sah, mereka tidak dikirim dari platform. Pada email DocuSign asli, pengguna tidak pernah diminta untuk memasukkan kata sandi, melainkan kode otentikasi yang dikirim melalui email ke penerima.

Dalam kesibukan pekerjaan sehari-hari, kemungkinan beberapa karyawan akan tertipu oleh pesan ini dan memperlakukannya sebagai permintaan DocuSign nyata, memasukkan kredensial email mereka dan menyerahkannya kepada pelaku phishing.

Selengkapnya: Bleeping Computer

Ad Blocker Chrome Berbahaya Menyuntikkan Iklan Di Belakang Layar

by

Ekstensi pemblokiran iklan AllBlock Chromium telah ditemukan menyuntikkan tautan afiliasi tersembunyi yang menghasilkan komisi untuk pengembang.

Ekstensi ini masih tersedia di Toko Web Chrome dan mempromosikan dirinya sebagai pemblokir iklan yang berfokus pada YouTube dan Facebook untuk mencegah pop-up dan mempercepat penjelajahan.

Namun, menurut peneliti di Imperva, ekstensi tersebut sebenarnya melakukan kampanye injeksi iklan yang menipu yang menyebabkan URL yang sah dialihkan ke tautan afiliasi yang dikendalikan oleh pengembang ekstensi.

Injeksi iklan adalah proses memasukkan iklan atau tautan ke halaman web yang biasanya tidak menghostingnya, memungkinkan penipu menghasilkan uang dari iklan atau mengarahkan orang ke situs afiliasi untuk mendapatkan komisi.

Skrip injection iklan bahkan menampilkan teknik evasion (pengelakan) seperti mengecualikan mesin pencari Rusia yang besar, membersihkan konsol debug setiap 100 md, dan deteksi aktif variabel Firebug yang diinisialisasi.

Dengan melihat lebih dalam pada AllBlock, tim Imperva menemukan skrip yang mereka cari di “bg.js,” yang menyuntikkan kode ke setiap tab baru yang dibuka di browser.

Pengembang ekstensi telah menambahkan beberapa objek dan variabel yang tidak berbahaya ke dalam cuplikan JavaScript berbahaya dalam upaya untuk mengaburkan eksekusi kode.

Namun, beberapa bukti IP dan domain mengaitkan ekstensi ini dengan kampanye Pbot, yang telah aktif setidaknya sejak 2018.

Selengkapnya: Bleeping Computer

Ransomware Yanluowang Baru Digunakan Dalam Serangan Perusahaan Yang Ditargetkan

by

Jenis ransomware baru dan masih dalam pengembangan sedang digunakan dalam serangan yang sangat bertarget terhadap entitas perusahaan seperti yang ditemukan oleh Tim Pemburu Ancaman Symantec dari Broadcom.

Malware, dijuluki Yanluowang ransomware (setelah dewa Cina Yanluo Wang, salah satu dari sepuluh raja neraka) berdasarkan ekstensi yang ditambahkan ke file terenkripsi pada sistem yang disusupi.

Baru-baru ini terlihat saat menyelidiki insiden yang melibatkan organisasi terkenal setelah mendeteksi aktivitas mencurigakan yang melibatkan alat kueri Active Directory baris perintah AdFind yang sah.

AdFind biasanya digunakan oleh operator ransomware untuk tugas pengintaian termasuk mendapatkan akses ke informasi yang diperlukan untuk pergerakan lateral melalui jaringan korban mereka.

Dalam beberapa hari setelah para peneliti menemukan penggunaan AdFind yang mencurigakan, para penyerang juga berusaha untuk menyebarkan muatan ransomware Yanluowang mereka di seluruh sistem organisasi yang dilanggar.

Setelah digunakan, Yanluowang akan menghentikan mesin virtual hypervisor, mengakhiri semua proses yang diambil oleh alat pendahulu (termasuk SQL dan Veeam), mengenkripsi file dan menambahkan ekstensi .yanluowang.

Pada sistem yang terenkripsi, Yanluowang juga menjatuhkan catatan tebusan bernama README.txt yang memperingatkan korbannya untuk tidak menghubungi penegak hukum atau meminta bantuan perusahaan negosiasi ransomware.

“Jika aturan penyerang dilanggar, operator ransomware mengatakan mereka akan melakukan serangan distributed denial of service (DDoS) terhadap korban, serta melakukan ‘panggilan ke karyawan dan mitra bisnis’,” tambah peneliti Broadcom.

Indikator kompromi termasuk hash malware dapat ditemukan di akhir laporan Symantec Threat Hunter Team.

Meskipun dalam pengembangan, Yanluowang masih merupakan malware berbahaya mengingat ransomware adalah salah satu ancaman terbesar yang dihadapi organisasi di seluruh dunia.

Selengkapnya: Bleeping Computer

Cacat Kritis di OpenSea Bisa Membiarkan Peretas Mencuri Cryptocurrency

by

Kerentanan kritis yang sekarang ditambal di OpenSea, pasar non-fungible token (NFT) terbesar di dunia, dapat disalahgunakan oleh aktor jahat untuk menguras dana cryptocurrency dari korban dengan mengirimkan token yang dibuat khusus, membuka vektor serangan baru untuk eksploitasi.

Temuan ini berasal dari perusahaan keamanan siber Check Point Research, yang memulai penyelidikan ke dalam platform menyusul laporan publik tentang dompet cryptocurrency curian yang dipicu oleh NFT yang dijatuhkan secara gratis. Masalah tersebut diperbaiki dalam waktu kurang dari satu jam setelah pengungkapan yang bertanggung jawab pada 26 September 2021.

“Dibiarkan tidak ditambal, kerentanan dapat memungkinkan peretas untuk membajak akun pengguna dan mencuri seluruh dompet cryptocurrency dengan membuat NFT berbahaya,” kata peneliti Check Point.

Seperti namanya, NFT adalah aset digital unik seperti foto, video, audio, dan barang-barang lainnya yang dapat dijual dan diperdagangkan di blockchain, menggunakan teknologi sebagai sertifikat keaslian untuk menetapkan bukti kepemilikan yang terverifikasi dan publik.

Modus operandi serangan bergantung pada pengiriman korban NFT berbahaya yang, ketika diklik, menghasilkan skenario di mana transaksi jahat dapat difasilitasi melalui penyedia dompet pihak ketiga hanya dengan memberikan tanda tangan dompet untuk menghubungkan dompet mereka dan melakukan tindakan pada dompet atas nama target.

OpenSea mengatakan belum mengidentifikasi contoh di mana kerentanan ini dieksploitasi di alam liar tetapi menambahkan bahwa mereka bekerja dengan layanan dompet pihak ketiga untuk “membantu pengguna mengidentifikasi permintaan tanda tangan berbahaya dengan lebih baik, serta inisiatif lain untuk membantu pengguna menggagalkan penipuan dan serangan phishing dengan lebih efektif.”

Selengkapnya: The Hacker News

CryptoRom Scam Raih $1,4 Juta Dengan Mengeksploitasi Fitur Apple Enterprise

by

Penipu cryptocurrency skema piramida mengeksploitasi Program Enterprise Developer Apple untuk memasukkan aplikasi perdagangan palsu ke iPhone merek mereka. Sejauh ini mereka telah menghasilkan keuntungan setidaknya $ 1,4 juta, menurut Sophos Labs, yang mengamati penipuan yang terjadi di situs kencan.

Peluang investasi itu melibatkan perdagangan cryptocurrency, dengan tawaran untuk menginvestasikan uang ke dalam cryptocoin untuk menuai keuntungan besar. Untuk memberikan lapisan legitimasi, para penjahat menawarkan aplikasi iPhone “resmi”, yang konon disetujui oleh Apple.

“App Store, seperti Google Play Store yang setara untuk Android, sama sekali tidak kebal terhadap malware, fleeceware, dan aplikasi badware lainnya,” peneliti Sophos menunjukkan. “Tapi aplikasi perdagangan cryptocurrency yang benar-benar palsu, berdasarkan platform perdagangan yang benar-benar palsu, jarang berhasil masuk ke App Store/Google Play Store.”

Jadi sebagai gantinya, penipu menggunakan celah yang memungkinkan program manajemen perangkat seluler perusahaan (MDM) untuk mengontrol perangkat iOS milik perusahaan, menurut analisis Sophos, melalui program Enterprise Developer Apple – khususnya, fitur Tanda Tangan Perusahaan/Perusahaan Apple.

“Para penjahat membujuk Anda, misalnya berdasarkan persahabatan yang dikembangkan dengan hati-hati melalui situs kencan, untuk memberi mereka jenis kekuasaan administratif yang sama atas iPhone Anda yang biasanya disediakan untuk perusahaan yang mengelola perangkat milik perusahaan,” catat para peneliti.

“Tidak ada platform perdagangan di belakangnya; ‘investasi’ Anda tidak digunakan untuk membeli cryptocurrency apa pun, bahkan yang tidak stabil atau kurang dikenal,” menurut Sophos.

Kampanye penipuan khusus ini masih aktif, Sophos memperingatkan, dengan korban baru yang terlibat di dalamnya setiap hari. Dan juga, perlu dicatat bahwa secara umum, penipuan asmara tetap menjadi strategi penipuan paling sukses untuk penjahat dunia maya dan mewakili sektor yang berkembang, menurut Komisi Perdagangan Federal.

Selengkapnya: Threat Post

VirusTotal Google melaporkan bahwa 95% ransomware terlihat menargetkan Windows

by

Layanan VirusTotal Google menunjukkan bahwa 95 persen malware ransomware yang diidentifikasi oleh sistemnya menargetkan Windows.

VirusTotal, diakuisisi oleh Google pada tahun 2012, mengoperasikan layanan pemindaian malware yang dapat digunakan secara manual atau melalui API, untuk menganalisis file yang mencurigakan. Tim mengumpulkan data antara Januari 2020 dan Agustus tahun ini untuk menyelidiki bagaimana ransomware berkembang.

VirusTotal menerima lebih dari dua juta file mencurigakan per hari dari 232 negara, katanya, menempatkannya pada posisi yang kuat untuk menganalisis masalah.

Selama periode tersebut setidaknya ada 130 keluarga ransomware yang berbeda, kata laporan itu, dan perubahannya konstan. “Tampaknya dalam banyak kasus penyerang menyiapkan sampel baru untuk kampanye mereka,” kata laporan itu.

Ada perbedaan geografis yang mencolok, dengan Israel mengirimkan sampel ransomware paling banyak, diikuti oleh Korea Selatan, Vietnam, dan China. Inggris berada di urutan ke-10.

Keluarga ransomware teratas adalah salah satu yang dijuluki Grandcrab, terhitung 78,5 persen dari sampel positif, sebagian besar berkat lonjakan aktivitas antara Januari dan Juli 2020. Pada Juli 2021 ada lonjakan lain, kali ini untuk Babuk.

93,28 persen ransomware yang terdeteksi adalah executable Windows, dan 2 persen Windows DLL, kata laporan itu.

Android menyumbang lebih dari 2 persen file, dan sekitar pertengahan 2020 sejumlah sampel positif, yang disebut EvilQuest, diidentifikasi, menargetkan Mac.

Mengapa Windows begitu menonjol? Ada beberapa faktor, termasuk pangsa pasar yang besar dan ada di mana-mana, nilai target, dan fakta bahwa kode lama dalam sistem operasi Microsoft sulit untuk diamankan.

Selengkapnya: The Register

Apple diam-diam memperbaiki iOS zero-day, meminta reporter bug untuk tetap diam

by

Apple telah diam-diam memperbaiki kerentanan zero-day dengan merilis iOS 15.0.2, pada hari Senin, sebuah kelemahan keamanan yang dapat membuat penyerang mendapatkan akses ke informasi pengguna yang sensitif.

Perusahaan mengatasi bug tersebut tanpa mengakui atau memberi kredit kepada pengembang perangkat lunak Denis Tokarev atas penemuan tersebut meskipun ia melaporkan kekurangan tersebut tujuh bulan sebelum iOS 15.0.2 dirilis.

Pada bulan Juli, Apple juga diam-diam menambal cacat zero-day ‘analyticsd’ dengan rilis 14,7 tanpa mengkredit Tokarev di penasihat keamanan, alih-alih berjanji untuk mengakui laporannya di penasihat keamanan untuk pembaruan yang akan datang.

Sejak saat itu, Apple menerbitkan beberapa nasihat keamanan (iOS 14.7.1, iOS 14.8, iOS 15.0, dan iOS 15.0.1) yang menangani kerentanan iOS tetapi, setiap kali, mereka gagal memberi kredit pada laporan bug analyticsd-nya.

Dua hari yang lalu, setelah iOS 15.0.2 dirilis, Tokarev mengirim email lagi tentang kurangnya kredit untuk kekurangan gamed dan analyticsd dalam penasihat keamanan. Apple menjawab, memintanya untuk merahasiakan isi pertukaran email nya dengan Apple.

Pemburu bug bounty dan peneliti keamanan lainnya juga melaporkan memiliki pengalaman serupa saat melaporkan kerentanan kepada tim keamanan produk Apple melalui Program Bounty Keamanan Apple.

Beberapa mengatakan bug yang dilaporkan ke Apple diperbaiki secara diam-diam, dengan perusahaan gagal memberi mereka kredit, seperti yang terjadi dalam kasus ini.

Selengkapnya: Bleeping Computer

Rusia dikeluarkan dari pertemuan 30 negara untuk memerangi ransomware dan kejahatan dunia maya

by

Rusia tidak diundang untuk menghadiri pertemuan virtual 30 negara yang dipimpin oleh Amerika Serikat yang bertujuan memerangi meningkatnya ancaman ransomware dan kejahatan dunia maya lainnya, kata seorang pejabat senior pemerintah.

Banyak geng ransomware beroperasi dari Ukraina dan Rusia, kata pakar keamanan siber sektor swasta. Beberapa pejabat dan analis AS mengatakan geng ransomware Rusia beroperasi dengan persetujuan diam-diam Kremlin, tetapi tidak dikendalikan secara langsung oleh pemerintah.

Pertemuan tersebut akan diadakan selama dua hari, melibatkan enam sesi dan mencakup topik-topik seperti mengatasi penyalahgunaan mata uang virtual untuk mencuci pembayaran tebusan, menuntut penjahat ransomware, menggunakan diplomasi untuk melawan ransomware, dan membantu negara-negara menjadi lebih tahan terhadap serangan semacam itu, kata pejabat administrasi.

Bersama dengan Amerika Serikat, India, Australia, Jerman, dan Inggris akan memimpin diskusi tentang topik-topik seperti gangguan, mata uang virtual, dan diplomasi. Orang lain yang bergabung dalam pertemuan itu termasuk Kanada, Prancis, Inggris, Brasil, Meksiko, Jepang, Ukraina, Irlandia, Israel, Afrika Selatan, Uni Eropa.

Pejabat itu mengatakan Amerika Serikat terlibat langsung dengan Rusia dalam masalah ransomware di bawah US-Kremlin Experts Group, yang dipimpin oleh Gedung Putih dan telah didirikan oleh Presiden Joe Biden dan Presiden Rusia Vladimir Putin.

Pejabat itu mengatakan diskusi dengan Rusia sedang berlangsung, AS telah berbagi informasi tentang aktor kriminal tertentu di Rusia dan bahwa negara tersebut telah mengambil langkah awal untuk mengatasi masalah yang ada.

Selengkapnya: Reuters