Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Ponsel Android Gigaset terinfeksi oleh malware melalui server pembaruan yang diretas

by

Pemilik ponsel Android Gigaset telah berulang kali terinfeksi malware sejak akhir Maret setelah pelaku ancaman menyusupi server pembaruan vendor dalam serangan rantai pasokan.

Gigaset adalah pabrikan perangkat telekomunikasi asal Jerman, termasuk rangkaian smartphone yang menjalankan sistem operasi Android.

Mulai sekitar 27 Maret, pengguna tiba-tiba menemukan perangkat seluler Gigaset mereka berulang kali membuka browser web dan menampilkan iklan untuk situs game seluler.

Saat memeriksa aplikasi ponsel mereka yang sedang berjalan, pengguna menemukan aplikasi yang tidak dikenal bernama ‘easenf’ berjalan, yang ketika dihapus, secara otomatis akan diinstal kembali.

Menurut situs teknologi Jerman BornCity, aplikasi easenf diinstal oleh aplikasi pembaruan sistem perangkat. Aplikasi berbahaya lainnya yang ditemukan termasuk ‘gem’, ‘smart’, dan ‘xiaoan.’

Pengguna Gigaset mengunggah beberapa paket berbahaya ini ke VirusTotal [1, 2], di mana mereka terdeteksi sebagai adware atau pengunduh.

Sejak serangan dimulai, Malwarebytes telah mendukung pemilik Gigaset di forum mereka dan mendeteksi ancaman sebagai ‘Android / PUP.Riskware.Autoins.Redstone.’

Berdasarkan penelitian mereka, Malwarebytes menyatakan bahwa aplikasi ‘Android / PUP.Riskware.Autoins.Redstone’ akan mengunduh malware lebih lanjut pada perangkat yang terdeteksi sebagai ‘Android / Trojan.Downloader.Agent.WAGD.’

Sumber: Malwarebyte forum

Malwarebytes menyatakan bahwa aplikasi ini akan menampilkan iklan, menginstal aplikasi berbahaya lainnya, dan mencoba menyebar melalui pesan WhatsApp.

Selengkapnya: Bleeping Computer

Facebook mengaitkan 533 juta kebocoran data pengguna dengan “scraping” bukan peretasan

by

Facebook akhirnya telah menjelaskan kebocoran data baru-baru ini yang terdiri dari 533 juta profil pengguna Facebook yang kemudian datanya diposting di forum peretas minggu lalu.

Dalam pernyataan publik yang dirilis kemarin, perusahaan tersebut menyatakan bahwa kebocoran tersebut diakibatkan oleh scraping (pengumpulan) massal profil menggunakan sejumlah besar nomor telepon yang ditautkan ke profil ini, bukan dari peretasan platform:

“Ini adalah contoh lain dari hubungan permusuhan perusahaan teknologi yang sedang berlangsung dengan penipu yang dengan sengaja melanggar kebijakan platform untuk ‘scraping’ layanan internet.”

“Sebagai hasil dari tindakan yang kami ambil, kami yakin bahwa masalah khusus yang memungkinkan mereka mengumpulkan data ini pada tahun 2019 sudah tidak ada lagi,” kata Mike Clark, Direktur Manajemen Produk di Facebook dalam sebuah pernyataan.

Facebook percaya bahwa aktor jahat telah mengorek data bocor yang dipertanyakan dari profil Facebook orang-orang dengan menyalahgunakan fitur “pengimpor kontak” pada September 2019.

“Fitur ini dirancang untuk membantu orang dengan mudah menemukan teman-teman mereka untuk terhubung di layanan kami menggunakan daftar kontak mereka.”

“Saat kami mengetahui bagaimana aktor jahat menggunakan fitur ini pada tahun 2019, kami melakukan perubahan pada pengimpor kontak … untuk mencegah aktor jahat menggunakan perangkat lunak untuk meniru aplikasi kami dan mengunggah sejumlah besar nomor telepon untuk melihat mana yang cocok dengan Pengguna Facebook,” kata perusahaan itu.

Selengkapnya: Bleeping Computer

Malware Android menyamar sebagai Aplikasi mirip Netflix dan menginfeksi melalui WhatsApp

by

Malware Android yang baru ditemukan di Google Play Store yang menyamar sebagai alat Netflix dirancang untuk menyebar secara otomatis ke perangkat lain menggunakan balasan otomatis WhatsApp ke pesan masuk.

Para peneliti di Check Point Research (CPR) menemukan malware baru ini menyamar sebagai aplikasi bernama FlixOnline dan mencoba memikat calon korban dengan janji akses gratis ke konten Netflix.

Peneliti CPR secara bertanggung jawab mengungkapkan temuan penelitian mereka kepada Google yang dengan cepat menghapus dan menghapus aplikasi berbahaya tersebut dari Play Store.

Aplikasi FlixOnline yang berbahaya diunduh kira-kira 500 kali selama dua bulan ketika itu tersedia untuk diunduh di Play Store.

Setelah aplikasi diinstal pada perangkat Android dari Google Play Store, malware memulai layanan yang meminta overlay, pengabaian pengoptimalan baterai, dan izin pemberitahuan.

Setelah izin diberikan, malware akan dapat menghasilkan overlay di atas jendela aplikasi apa pun untuk tujuan pencurian kredensial, memblokir perangkat agar tidak mematikan prosesnya untuk mengoptimalkan konsumsi energi, mendapatkan akses ke notifikasi aplikasi, dan mengelola atau membalas pesan.

Kemudian aplikasi tersebut mulai memantau pemberitahuan WhatsApp baru untuk membalas otomatis semua pesan masuk menggunakan muatan teks khusus yang diterima dari server perintah dan kontrol dan dibuat oleh operatornya.

Check Point mengatakan bahwa balasan otomatis yang diamati dalam kampanye ini mengarahkan para korban ke situs Netflix palsu yang mencoba mengambil informasi identitas dan kartu kredit mereka.

Sumber: BleepingComputer

Sumber: Bleeping Computer

Have I Been Pwned menambahkan pencarian untuk nomor telepon Facebook yang bocor

by

Pengguna Facebook sekarang dapat menggunakan situs pemberitahuan pelanggaran data Have I Been Pwned untuk memeriksa apakah nomor telepon mereka terungkap dalam kebocoran data terbaru situs sosial tersebut.

Akhir pekan lalu, seorang pelaku ancaman merilis bocoran data berisi informasi bagi 533 juta pengguna Facebook. Informasi ini termasuk nomor telepon dan ID Facebook untuk hampir semua akun yang terbuka dan informasi opsional lainnya seperti nama, jenis kelamin, status hubungan, lokasi, pekerjaan, tanggal lahir, dan alamat email.

Data ini awalnya dikumpulkan pada 2019 dan dijual secara pribadi pada saat itu. Seiring waktu, data diperdagangkan dan dijual antara pelaku ancaman yang berbeda dengan harga yang lebih rendah dan lebih rendah sampai akhirnya dirilis secara gratis di forum peretas akhir pekan ini.

Ketika dirilis, data telah ditambahkan ke layanan pemberitahuan pelanggaran data Have I Been Pwned sehingga pengguna dapat mencari tahu apakah email mereka ada di kebocoran data Facebook.

Namun, komponen utama kebocoran ini adalah nomor telepon pengguna Facebook, bukan alamat email, dan oleh karena itu Have I Been Pwned tidak dapat secara akurat memberi tahu pengguna jika mereka terungkap dalam pelanggaran.

Untuk lebih akurat mengingatkan pengguna, Hunt telah memperbarui Have I Been Pwned sehingga pengguna sekarang dapat mencari nomor telepon mereka di situs tersebut untuk menentukan apakah kebocoran tersebut mengungkap info Facebook mereka.

Saat mencari nomor telepon, pengguna harus memasukkan kode negara mereka karena kebocoran data menyimpan nomor tersebut.

Sumber: BleepingComputer

Sumber: Bleeping Computer

Serangan yang sedang berlangsung menargetkan aplikasi SAP yang tidak aman

by

Pelaku ancaman menargetkan aplikasi SAP yang sangat penting tanpa jaminan terhadap kerentanan yang sudah ditambal, sehingga jaringan organisasi komersial dan pemerintah dapat diserang.

SAP dan firma keamanan cloud Onapsis memperingatkan serangan yang sedang berlangsung kemarin, dan telah bekerja dalam kemitraan dengan Cybersecurity and Infrastructure Security Agency (CISA) dan badan cybersecurity Jerman BSI untuk memperingatkan pelanggan SAP agar menerapkan patch dan mensurvei lingkungan mereka untuk aplikasi yang tidak aman.

Intelijen ancaman yang dikumpulkan dan diterbitkan oleh Onapsis dalam koordinasi dengan SAP menunjukkan bahwa mereka “tidak mengetahui pelanggaran yang diketahui pada pelanggan” yang berakibat pada aktivitas berbahaya ini.

Namun, terungkap bahwa pelanggan SAP masih memiliki aplikasi tidak aman di lingkungan mereka yang terlihat melalui Internet, dan mengekspos organisasi terhadap upaya infiltrasi melalui vektor serangan yang seharusnya telah ditambal bertahun-tahun yang lalu.

Aktor ancaman di balik serangan ini telah mengeksploitasi beberapa kerentanan keamanan dan konfigurasi yang tidak aman dalam aplikasi SAP dalam upaya untuk menembus sistem target.

Selain itu, beberapa dari mereka juga telah diamati saat merangkai beberapa kerentanan dalam serangan mereka untuk “memaksimalkan dampak dan potensi kerusakan”.

Sumber: BleepingComputer

Menambal sistem SAP yang rentan harus menjadi prioritas bagi semua defenders karena Onapsis juga menemukan bahwa penyerang mulai menargetkan kerentanan SAP kritis dalam waktu kurang dari 72 jam, dengan aplikasi SAP yang terbuka dan belum ditambal disusupi dalam waktu kurang dari tiga jam.

Selengkapnya: Bleeping Computer

EtterSilent maldoc builder digunakan oleh geng-geng penjahat siber papan atas

by

Sebuah pembuat dokumen berbahaya (maldoc) bernama EtterSilent mendapatkan lebih banyak perhatian di forum bawah tanah, catat peneliti keamanan. Seiring popularitasnya meningkat, pengembang terus meningkatkannya untuk menghindari deteksi dari solusi keamanan.

Iklan yang mempromosikan pembuat dokumen berbahaya EtterSilent telah dipublikasikan di forum bawah tanah setidaknya sejak pertengahan tahun 2020, dengan fitur-fitur seperti bypass Windows Defender, Windows AMSI (Antimalware Scan Interface), dan layanan email populer, termasuk Gmail.

Dalam posting blog, para peneliti di perusahaan intelijen ancaman Intel 471 mencatat bahwa penjual menawarkan dokumen Microsoft Office (2007 hingga 2019) yang dipersenjatai dalam dua ‘varian’: dengan eksploitasi untuk kerentanan yang diketahui atau dengan makro berbahaya.

Salah satu kerentanan yang dimanfaatkan adalah CVE-2017-8570, eksekusi kode jarak jauh dengan tingkat keparahan tinggi. Penulis juga menyebutkan dua kerentanan lainnya (CVE-2017-11882 dan CVE-2018-0802), meskipun beberapa pembatasan diterapkan, dan menunjukkannya dalam sebuah video.

Maldoc EtterSilent dengan kode makro dapat berpura-pura sebagai dokumen DocuSign atau DigiCert yang meminta pengguna untuk mengaktifkan dukungan untuk makro yang mengunduh muatan di latar belakang.

Sumber: BleepingComputer

Karena menggunakan makro XML Excel 4.0, EtterSilent tidak bergantung pada bahasa pemrograman Visual Basic for Applications (VBA), yang biasanya terlihat dengan makro berbahaya.

Para peneliti mencatat bahwa maldoc EtterSilent disertakan dalam kampanye spam baru-baru ini yang menjatuhkan versi terbaru dari Trickbot.

Intel 471 mengatakan bahwa kelompok penjahat siber lainnya memanfaatkan layanan EtterSilent untuk operasi mereka. Beberapa contohnya adalah trojan perbankan IcedID/BokBot, Ursnif/Gozi ISFB, dan QakBot/QBot. Bersama dengan Trickbot, kebanyakan dari mereka telah digunakan untuk mengirimkan berbagai jenis ransomware (Ryuk, Conti, Maze, Egregor, ProLock).

Blog Intel 471 menyediakan daftar indikator penyusupan untuk dokumen berbahaya EtterSilent serta untuk muatan yang mereka kirimkan: Trickbot, IcedID, QBot, Ursnif, dan BazarLoader.

Sumber: Bleeping Computer

Panggilan dukungan pelanggan palsu menempatkan data Anda dalam risiko

by

Sebagian besar orang yang paham teknologi akrab dengan penipuan dukungan teknis palsu yang telah terjadi selama bertahun-tahun. Biasanya, peringatan penipuan akan muncul di layar komputer Anda, menginstruksikan Anda untuk memanggil sebuag nomor agar malware dapat dihapus.

Di sisi lain panggilan, penipu akan mencoba mengakses komputer Anda dari jarak jauh untuk mencuri informasi pribadi atau detail perbankan Anda.

Tampaknya pencuri mengubah taktik dalam metode pengiriman mereka. Penjahat siber telah menambahkan sentuhan baru pada skema dukungan teknis yang membuatnya lebih mudah untuk mengelabui korban. Mari kita lihat cara kerjanya.

Penipuan ini bekerja dengan mengirimkan email langganan palsu kepada calon korban. Email biasanya melibatkan beberapa masa percobaan palsu yang akan kedaluwarsa atau memberi tahu Anda bahwa Anda akan ditagih untuk suatu layanan.

Hal yang benar untuk dilakukan adalah menghapus email dan memblokir pengirimnya, tetapi rasa ingin tahu terkadang bisa menguasai orang-orang. Email tersebut berisi nomor yang dapat Anda hubungi jika Anda ingin membatalkan layanan yang seharusnya atau berhenti ditagih untuk layanan yang tidak pernah Anda daftarkan.

Jika Anda menghubungi nomor tersebut, “teknisi dukungan” akan mendengarkan kekhawatiran Anda terkait pesan tersebut dan meminta nomor ID pelanggan yang disebutkan dalam email.

Jika Anda memberi mereka nomor ID pelanggan, penipu akan menginstruksikan Anda untuk mengunjungi situs web tertentu untuk mengisi formulir pembatalan. Dalam beberapa kasus, penjahat akan mengatakan bahwa Anda perlu membatalkan langganan secara digital melalui situs karena melibatkan layanan medis.

Langkah selanjutnya pasti akan menunjukkan bahwa penipuan sedang terjadi. Penipu akan tetap berada di telepon sambil mengarahkan Anda untuk “mendaftar” di situs web. Setelah selesai, mereka mendesak Anda untuk mengunduh spreadsheet Microsoft Excel atau dokumen Word untuk “ditandatangani.”

Setelah Anda membuka dokumen tersebut, komputer Anda akan terinfeksi malware. Itu juga merupakan malware yang sangat jahat yang menginstal lebih banyak malware semakin lama berada di komputer Anda.

Komando

Bug macOS CVE-2019-8761

by Leave a Comment

Seorang peneliti keamanan, Paulos Yibelo, menemukan sebuah bug pada sistem operasi macOS yang dicatat sebagai CVE-2019-8761.

Bug ini memungkinkan penyerang mengeksekusi HTML di dalam file .TXT yang dapat mengakibatkan kebocoran data dan mencuri kredensial pengguna. Bug ini sudah diperbaiki pada pembaruan macOS Catalina 10.15.1.

Penelitian ini berawal ketika Paulos menyadari pembaca teks default di OSX, TextEdit digunakan untuk membuka file dengan ekstensi TXT secara default.

Paulos menggambarkan File TXT adalah vektor serangan yang sangat menarik, karena sifatnya yang polos yang tidak membawa apa-apa selain teks. File TXT juga diasumsikan oleh perangkat lunak anti-virus, firewall, dan bahkan Gatekeeper Mac sendiri sebagai unduhan aman yang tidak mungkin berbahaya, yang membuatnya semakin menarik.

Salah satu bug pertama yang ia temukan menggunakan ini menunjukkan bahwa Gatekeeper tidak mengarantina file TXT meskipun file tersebut diunduh dari situs web yang mencurigakan.

Baca temuan selengkapnya pada tautan berikut: Paulos Yibelo