Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Penjahat Dunia Maya Membeli Iklan Facebook untuk Aplikasi Clubhouse Palsu yang Penuh Dengan Perangkat Lunak Perusak

by

Penjahat dunia maya telah mendorong pengguna Facebook untuk mengunduh aplikasi Clubhouse “untuk PC”, sesuatu yang sebenarnya tidak ada. Aplikasi ini sebenarnya adalah trojan yang dirancang untuk menyuntikkan malware ke komputer Anda. Aplikasi obrolan khusus undangan baru yang populer hanya tersedia di iPhone tetapi minat di seluruh dunia terhadap platform tersebut telah meningkat dan pengguna berteriak-teriak untuk Android dan, mungkin, versi “PC”.

Menurut TechCrunch, kampanye jahat tersebut menggunakan iklan dan halaman Facebook untuk mengarahkan pengguna platform ke serangkaian situs web Clubhouse palsu. Situs-situs tersebut, yang dihosting di Rusia, meminta pengunjung untuk mengunduh aplikasi, yang mereka janjikan hanyalah versi terbaru dari produk tersebut: “Kami mencoba membuat pengalaman ini sehalus mungkin. Anda bisa memeriksanya sekarang! ” salah satu memproklamirkan.

Namun, setelah diunduh, aplikasi akan mulai memberi sinyal ke server perintah dan kontrol (C&C). Dalam serangan cyber, C&C biasanya adalah server yang memberi tahu malware apa yang harus dilakukan setelah menginfeksi sistem. Pengujian aplikasi melalui sandbox analisis malware VMRay tampaknya menunjukkan bahwa, dalam satu contoh, ia mencoba menginfeksi komputer dengan ransomware.

Memanfaatkan produk baru yang populer untuk menyebarkan perangkat lunak jahat adalah tindakan kriminal dunia maya yang cukup klasik — dan mengingat keunggulan Clubhouse saat ini, tidak mengherankan hal ini terjadi. Faktanya, para peneliti baru-baru ini menemukan aplikasi Clubhouse palsu yang berbeda. Lukas Stefanko dari firma keamanan ESET mengungkapkan bagaimana “versi Android” fiktif lain dari aplikasi tersebut bertindak sebagai front bagi penjahat yang ingin mencuri kredensial login pengguna dari layanan lain.

selengkapnya : gizmodo.com

Malware Android baru menggunakan WhatsApp untuk menyebar

by

Bentuk baru malware Android mulai menyebar dengan sendirinya dengan membuat balasan otomatis di WhatsApp. Check Point Research baru-baru ini menemukan malware dalam aplikasi palsu di Google Play.

Sekarang, setiap pengguna yang telah mengunduh aplikasi jahat dan diberikan izin yang diperlukan, malware dapat menggunakan pesan balasan otomatis di WhatsApp untuk mengirim muatan jahat kepada pengguna melalui server perintah-dan-kontrol (C&C). Strategi eklektik ini dapat membantu penyerang melakukan serangan phishing, mencuri kredensial dan data WhatsApp, serta informasi palsu, di antara aktivitas terlarang lainnya.

Aplikasi palsu di Google Play disebut “FlixOnline”, layanan palsu yang mengklaim mengizinkan pengguna memanfaatkan layanan streaming Netflix dari mana saja di dunia. Namun, alih-alih menyediakan akses ke Netflix, aplikasi sebenarnya berinteraksi dengan akun WhatsApp pengguna untuk mengirim balasan otomatis palsu tersebut. Bahkan, pelaku ancaman bahkan dapat memeras pengguna dengan mengancam akan menjual percakapan dan data WhatsApp pribadi mereka ke semua kontak pengguna.

Setelah pengguna mendownload dan menginstal aplikasi dari Play Store, malware memulai layanan yang meminta izin “Overlay”, “Battery Optimization Ignore”, dan “Notification”. Izin seperti Overlay memungkinkan penyerang membuka jendela baru di atas aplikasi yang ada untuk tujuan membuat portal login palsu untuk mencuri kredensial pengguna. Batter Optimization Ignore memungkinkan penyerang untuk tetap menjalankan malware bahkan setelah ponsel tidak digunakan untuk menghemat daya baterai. Terakhir, izin Pemberitahuan memungkinkan penyerang melihat semua pemberitahuan terkait pesan yang dikirim ke perangkat pengguna, termasuk kemampuan untuk menutup atau membalas pesan tersebut.

Setelah izin tersebut diperoleh, malware menyembunyikan ikonnya sehingga perangkat lunak tidak dapat dihapus dengan mudah. Aplikasi menyembunyikan dirinya sendiri menggunakan pembaruan dari server C&C yang secara rutin mengubah konfigurasi malware. Cara mengubah konfigurasi ini mungkin terjadi melibatkan server C&C yang melakukan pembaruan aplikasi setelah perangkat menjalankan malware. Secara khusus, server menggunakan callback OnNotificationPosted untuk memperbarui malware secara otomatis.

Faktanya, segera setelah malware mendeteksi pemberitahuan pesan baru, aplikasi jahat menyembunyikan pemberitahuan dari pengguna sehingga hanya malware yang dapat melihat pesan tersebut. Selanjutnya, malware memulai panggilan balik untuk mengirim balasan otomatis palsu kepada pengguna.

Sejak Check Point Research memberi tahu Google tentang aplikasi berbahaya ini, Google telah menghapus aplikasi jahat tersebut dari Play Store. Sebelum dihapus, aplikasi ini diunduh kira-kira 500 kali.

sumber : techxplore.com

Kerentanan Zoom Kritis memicu eksekusi kode jarak jauh tanpa masukan pengguna

by

Kerentanan zero-day dalam Zoom yang dapat digunakan untuk meluncurkan serangan eksekusi kode jarak jauh (RCE) telah diungkapkan oleh para peneliti.

Pwn2Own, yang diselenggarakan oleh Zero Day Initiative, adalah kontes bagi para profesional dan tim cybersecurity white-hat untuk bersaing dalam menemukan bug dalam perangkat lunak dan layanan populer.

Kompetisi terbaru mencakup 23 entri, bersaing dalam berbagai kategori termasuk browser web, perangkat lunak virtualisasi, server, komunikasi perusahaan, dan eskalasi hak istimewa lokal.

Karena Zoom belum punya waktu untuk menambal masalah keamanan kritis, detail teknis spesifik dari kerentanan tersebut dirahasiakan. Namun, animasi serangan yang sedang beraksi mendemonstrasikan bagaimana penyerang dapat membuka program kalkulator dari mesin yang menjalankan Zoom setelah eksploitnya.

Vendor memiliki jangka waktu 90 hari, yang merupakan praktik standar dalam program pengungkapan kerentanan, untuk menyelesaikan masalah keamanan yang ditemukan. Pengguna akhir hanya perlu menunggu tambalan dikeluarkan – tetapi jika khawatir, mereka dapat menggunakan versi peramban untuk sementara.

selengkapnya : www.zdnet.com

Zero-Day Bug Impacts Problem-Plagued Cisco SOHO Routers

by

Cisco mengatakan tidak akan menambal tiga model router bisnis kecil dan satu perangkat firewall VPN dengan kerentanan kritis.

Cisco Systems mengatakan tidak akan memperbaiki kerentanan kritis yang ditemukan di tiga model router SOHO-nya. Bug, dengan tingkat keparahan 9,8 dari 10, dapat memungkinkan pengguna jarak jauh yang tidak diautentikasi untuk membajak peralatan yang ditargetkan dan mendapatkan hak istimewa yang lebih tinggi dalam sistem yang terpengaruh.

Tiga model router Cisco (RV110W, RV130, dan RV215W) dan satu perangkat firewall VPN (RV130W) memiliki usia yang bervariasi dan telah mencapai “akhir masa pakai” dan tidak akan ditambal, menurut Cisco.

Perusahaan menyarankan pelanggan untuk mengganti peralatan tersebut.

“Cisco belum merilis dan tidak akan merilis pembaruan perangkat lunak untuk mengatasi kerentanan yang dijelaskan dalam nasihat ini. Cisco Small Business RV110W, RV130, RV130W, dan RV215W Routers telah memasuki proses akhir masa pakainya, ”tulis perusahaan itu. Perusahaan menambahkan tidak ada solusi yang tersedia juga.

selengkapnya : threatpost.com

Para peneliti mengungkap malware Iran baru yang digunakan dalam serangan siber baru-baru ini

by

Aktor ancaman Iran telah meluncurkan kampanye spionase siber baru terhadap kemungkinan target Lebanon dengan backdoor yang mampu mengekstrak informasi sensitif dari sistem yang dikompromikan.

Firma keamanan siber, Check Point, mengaitkan operasi tersebut dengan APT34, mengutip kemiripan dengan teknik sebelumnya yang digunakan oleh pelaku ancaman serta berdasarkan pola viktimologi.

APT34 (alias OilRig) dikenal karena kampanye pengintaiannya yang selaras dengan kepentingan strategis Iran, terutama mengenai industri keuangan, pemerintah, energi, kimia, dan telekomunikasi di Timur Tengah.

Grup tersebut biasanya menggunakan target individu melalui penggunaan dokumen tawaran pekerjaan palsu, dikirim langsung ke para korban melalui pesan LinkedIn, dan kampanye terbaru tidak terkecuali, meskipun cara pengirimannya masih belum jelas.

Dokumen Word yang dianalisis oleh Check Point mengklaim menawarkan informasi tentang posisi yang berbeda di perusahaan konsultan berbasis di AS bernama Ntiva IT, hanya untuk memicu rantai infeksi setelah mengaktifkan makro jahat yang disematkan, akhirnya menghasilkan pemasangan backdoor yang disebut “SideTwist”.

Selain mengumpulkan informasi dasar tentang mesin korban, backdoor tersebut membuat koneksi dengan server jarak jauh untuk menunggu perintah tambahan yang memungkinkannya mengunduh file dari server, mengunggah file sewenang-wenang, dan menjalankan perintah shell, yang hasilnya diposting kembali ke server.

Selengkapnya: The Hacker News

Phishing Microsoft Office 365 menghindari deteksi dengan potongan HTML Lego

by

Kampanye phishing baru-baru ini menggunakan trik cerdas untuk mengirimkan halaman web penipuan yang mengumpulkan kredensial Microsoft Office 365 dengan membangunnya dari potongan kode HTML yang disimpan secara lokal dan jarak jauh.

Metode ini terdiri dari menempelkan beberapa bagian HTML yang disembunyikan dalam file JavaScript untuk mendapatkan antarmuka login palsu dan meminta calon korban untuk mengetikkan informasi sensitif.

Para korban menerima email dengan hanya lampiran yang mengaku sebagai file Excel (.XLSX) tentang investasi. Pada kenyataannya, file tersebut adalah dokumen HTML dengan potongan teks yang dienkode URL.

Para peneliti di Trustwave menerjemahkan teks tersebut dan menemukan lebih banyak decoding di depan karena teks tersebut selanjutnya dikaburkan melalui kode Entity. Dengan menggunakan CyberChef GCHQ, mereka mengungkapkan tautan ke dua file JavaScript yang dihosting di “yourjavascript.com”, sebuah domain yang digunakan untuk kampanye phishing lainnya.

Masing-masing dari dua file JavaScript memiliki dua blok teks yang disandikan yang menyembunyikan kode HTML, URL dan Base64 yang dikodekan.

Di salah satunya, peneliti menemukan halaman awal dan kode phishing yang memvalidasi email dan password dari korban.

Secara keseluruhan, para peneliti menerjemahkan lebih dari 367 baris kode HTML yang tersebar dalam lima bagian di antara dua file JavaScript dan satu lampiran email, yang, ditumpuk bersama, membangun halaman phishing Microsoft Office 365.

Sumber: Bleeping Computer

Trustwave mengatakan bahwa hal yang tidak biasa tentang kampanye ini adalah bahwa JavaScript diunduh dalam potongan yang dikaburkan dari lokasi yang jauh dan kemudian disatukan secara lokal.

Dalam posting blog nya, Trustwave mencatat bahwa URL yang menerima kredensial yang dicuri untuk kampanye ini masih aktif.

Bleeping Computer

Peretas Korea Utara menggunakan malware Vyveva baru untuk menyerang kapal barang

by

Grup peretasan Lazarus yang didukung Korea Utara menggunakan malware baru dengan kemampuan backdoor yang dijuluki Vyveva dan menargetkan serangan terhadap perusahaan logistik pengiriman Afrika Selatan.

Meskipun ESET hanya menemukan dua mesin yang terinfeksi malware ini, keduanya milik perusahaan pengiriman Afrika Selatan yang sama, backdoor kemungkinan digunakan dalam kampanye spionase yang ditargetkan sejak pertama kali digunakan di alam liar.

Malware ini hadir dengan serangkaian kemampuan spionase dunia maya yang memungkinkan operator Lazarus memanen dan mengekstrak file dari sistem yang terinfeksi ke server di bawah kendali mereka menggunakan jaringan anonim Tor sebagai saluran komunikasi yang aman.

Lazarus juga dapat menggunakan Vyveva untuk mengirim dan mengeksekusi kode berbahaya sewenang-wenang pada sistem yang dikompromikan di jaringan korban.

Sementara backdoor akan terhubung ke server command-and-control (C2) setiap tiga menit, ia juga menggunakan pengawas yang dirancang untuk melacak drive yang baru terhubung atau sesi pengguna aktif untuk memicu koneksi C2 baru pada sesi baru atau drive event.

Sumber: Bleeping Computer

Indikator gangguan, termasuk hash sampel Vyveva yang digunakan selama serangan yang menargetkan perusahaan angkutan Afrika Selatan, tersedia di akhir laporan ESET.

Peretas mengambil data dari 500 juta pengguna LinkedIn dan telah mempostingnya untuk dijual secara online

by

Data dari 500 juta pengguna LinkedIn telah dihapus dan dijual secara online, menurut laporan dari Cyber News. Seorang juru bicara LinkedIn mengonfirmasi kepada Insider bahwa ada kumpulan data informasi publik yang diambil dari platform tersebut.

“Sementara kami masih menyelidiki masalah ini, kumpulan data yang diposting tampaknya menyertakan informasi yang dapat dilihat publik yang diambil dari LinkedIn digabungkan dengan data yang dikumpulkan dari situs web atau perusahaan lain,” kata juru bicara LinkedIn kepada Insider dalam sebuah pernyataan. “Scraping data anggota kami dari LinkedIn melanggar persyaratan layanan kami dan kami terus bekerja untuk melindungi anggota kami dan datanya.”

LinkedIn memiliki 740 juta pengguna, menurut situs webnya, jadi data yang dilaporkan dari 500 juta pengguna berarti sekitar dua pertiga dari basis pengguna platform dapat terpengaruh.

Data tersebut mencakup akun ID, nama lengkap, alamat email, nomor telepon, informasi tempat kerja, jenis kelamin, dan tautan ke akun media sosial lainnya.

Data tersebut telah diposting untuk dijual di forum peretas, dan penulis posting juga membocorkan sampel 2 juta catatan sebagai bukti konsep, menurut CyberNews. Peretas mencoba menjual kumpulan data dengan jumlah 4 digit, per outlet, dan berpotensi dalam bentuk bitcoin.

Paul Prudhomme, seorang analis di perusahaan intelijen keamanan IntSights, mengatakan kepada Insider bahwa data yang terungkap itu penting karena pelaku kejahatan dapat menggunakannya untuk menyerang perusahaan melalui informasi karyawan mereka.

Selengkapnya: Business Insider