Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Hati-hati penipuan verifikasi di Instagram, Facebook, dan Twitter

by

Enver Ceylan menampilkan dirinya secara online sebagai pria Renaissance.

Dia adalah seorang konsultan media sosial Turki, musisi dan aktor yang “memainkan peran utama dalam banyak serial TV dan film,” menurut situs webnya. Di antara layanan digitalnya: membantu pengguna Facebook dan Instagram dengan masalah periklanan dan mengembangkan akun mereka. Salah satu versi situs webnya dengan jelas menampilkan formulir yang meminta pengguna TikTok untuk mengisi informasi pribadi agar akun mereka diverifikasi, status yang biasanya disediakan untuk tokoh-tokoh terkenal.

“Akun Anda telah diikuti selama 30 hari, dan telah ditentukan bahwa Anda memenuhi syarat untuk menerima Lencana Biru TikTok,” situsnya menyatakan dalam bahasa Inggris pada 9 Juni. Sebuah formulir di bawah logo TikTok, sebuah notasi musik animasi, meminta password pengguna, alamat dan nomor telepon.

Jika janji Ceylan tampak terlalu bagus untuk menjadi kenyataan, itu karena kemungkinan besar memang demikian. Ceylan menghilang tak lama setelah CNET memasukkan informasi untuk mengujinya. Sebagian besar situs kemudian menjadi kosong sebelum muncul kembali sepenuhnya dalam bahasa Turki. (TikTok mengonfirmasi bahwa formulir itu tidak sah).

Mengarahkan pengguna media sosial ke formulir verifikasi palsu, seperti yang tampaknya telah dicoba oleh Ceylan, adalah taktik yang digunakan untuk menipu orang agar mendapatkan informasi pribadi dan mengambil alih akun mereka.

Scammers juga akan meluncur ke pesan langsung di Instagram dan memikat pengguna dengan janji verifikasi. Variasi penipuan ini telah ada selama bertahun-tahun, tetapi pakar keamanan siber mengatakan mereka memperkirakan penipuan ini akan berkembang seiring orang-orang menghabiskan lebih banyak waktu untuk membangun brand mereka di media sosial.

Demikian juga, orang-orang yang terverifikasi biasanya memiliki banyak pengikut, yang dapat menjadikan mereka target utama scammers atau peretas yang mencoba menjangkau banyak orang.

Mengumumkan bahwa Anda baru saja diverifikasi di media sosial juga dapat menjadikan Anda target jika Anda ingin mendapatkan lencana biru di jejaring sosial lain atau jika seorang peretas mencoba menemukan akun dengan banyak pengikut.

Selengkapnya: CNET

Microsoft menemukan zero-day SolarWinds kritis di bawah serangan aktif

by

SolarWinds, perusahaan yang menjadi pusat serangan rantai pasokan yang membahayakan sembilan agensi AS dan 100 perusahaan swasta, berusaha keras untuk mengatasi ancaman keamanan baru: kerentanan zero-day kritis dalam lini produk Serv-U-nya.

Microsoft menemukan eksploitasi dan secara pribadi melaporkannya ke SolarWinds, kata perusahaan dalam sebuah nasihat yang diterbitkan pada hari Jumat. SolarWinds mengatakan serangan itu sama sekali tidak terkait dengan serangan rantai pasokan yang ditemukan pada bulan Desember.

Hanya SolarWinds Serv-U Managed File Transfer dan Serv-U Secure FTP—dan dengan ekstensi, Serv-U Gateway, komponen dari kedua produk tersebut—yang terpengaruh oleh kerentanan ini, yang memungkinkan penyerang mengeksekusi kode berbahaya dari jarak jauh pada sistem yang rentan.

Penyerang dapat memperoleh akses istimewa ke mesin yang dieksploitasi yang menghosting produk Serv-U dan kemudian dapat menginstal program; melihat, mengubah, atau menghapus data; atau menjalankan program pada sistem yang terpengaruh. Kerentanan ada di Serv-U versi 15.2.3 HF1 terbaru, dirilis pada 5 Mei, dan semua versi sebelumnya.

SolarWinds telah mengeluarkan perbaikan terbaru untuk mengurangi serangan sementara perusahaan bekerja pada solusi permanen. Orang yang menjalankan Serv-U versi 15.2.3 HF1 harus menerapkan hotfix (HF) 2; mereka yang menggunakan Serv-U 15.2.3 harus menerapkan Serv-U 15.2.3 HF1 dan kemudian menerapkan Serv-U 15.2.3 HF2; dan yang menjalankan versi Serv-U sebelum 15.2.3 harus meningkatkan ke Serv-U 15.2.3, menerapkan Serv-U 15.2.3 HF1, dan kemudian menerapkan Serv-U 15.2.3 HF2.

Perusahaan mengatakan pelanggan harus segera menginstal perbaikan.

Selengkapnya: Ars Technica

Pembaruan Adobe memperbaiki 28 kerentanan dalam 6 produk

by

Adobe telah merilis rilis pembaruan keamanan Patch Tuesday raksasa yang memperbaiki kerentanan di Adobe Dimension, Illustrator, Framemaker, Acrobat, Reader, dan Bridge.

Daftar lengkap Produk Adobe yang menerima pembaruan keamanan hari ini dan jumlah kerentanan tetap di bawah ini:

  • APSB21-40 | Adobe Dimension: 1 Kerentanan kritis telah diperbaiki.
  • APSB21-42 | Adobe Illustrator: 2 Kerentanan Kritis dan 1 Penting telah diperbaiki.
  • APSB21-45 | Adobe Framemaker: 1 Kerentanan kritis telah diperbaiki.
  • APSB21-51 | Adobe Acrobat and Reader: 14 Kerentanan Kritis dan 5 Penting telah diperbaiki.
  • APSB21-53 | Adobe Bridge: 4 Kerentanan kritis dan 1 Sedang telah diperbaiki.

Secara total, Adobe memperbaiki 28 kerentanan dengan pembaruan hari ini.

Hampir semua kerentanan Kritis dapat menyebabkan eksekusi kode, memungkinkan pelaku ancaman untuk menjalankan perintah pada komputer yang rentan.

Dari pembaruan keamanan Adobe yang dirilis hari ini, Adobe Acrobat dan Reader memiliki perbaikan paling banyak, dengan 19 kerentanan.

Meskipun tidak ada kerentanan zero-day yang diketahui secara aktif dieksploitasi, Adobe menyarankan pelanggan untuk memperbarui ke versi terbaru sesegera mungkin.

Urgensi ini karena aktor ancaman dapat membandingkan versi perangkat lunak yang lebih lama dengan versi yang ditambal untuk menentukan kode apa yang rentan dan membuat eksploitasi untuk menargetkan kerentanan ini.

Selengkapnya: Bleeping Computer

Microsoft memperbaiki kerentanan bypass otentikasi Windows Hello

by

Microsoft telah mengatasi kerentanan bypass fitur keamanan di teknologi berbasis biometrik otentikasi Windows Hello, yang dapat membiarkan aktor ancaman menipu identitas target dan mengelabui mekanisme pengenalan wajah untuk memberi mereka akses ke sistem.

Menurut Microsoft, jumlah pelanggan Windows 10 yang menggunakan Windows Hello untuk masuk ke perangkat mereka alih-alih menggunakan kata sandi naik dari 69,4% menjadi 84,7% selama 2019.

Seperti yang ditemukan oleh peneliti keamanan CyberArk Labs, penyerang dapat membuat perangkat USB khusus yang akan digunakan Windows Hello untuk sepenuhnya menghindari mekanisme pengenalan wajah Windows Hello menggunakan bingkai IR (infrared) tunggal yang valid dari target.

Tsarfati melaporkan kerentanan Windows Hello dilacak sebagai CVE-2021-34466 dan dinilai sebagai tingkat keparahan Penting bagi Microsoft pada bulan Maret.

Berdasarkan penilaian Microsoft terhadap kerentanan keamanan, musuh yang tidak diautentikasi memerlukan akses fisik ke perangkat target untuk mengeksploitasinya dalam serangan dengan kompleksitas tinggi.

Sumber: CyberArk Labs

Microsoft telah merilis pembaruan keamanan Windows 10 untuk mengatasi Kerentanan Bypass Fitur Keamanan Windows Hello CVE-2021-34466 sebagai bagian dari Patch Tuesday bulan Juli 2021.

Menurut Redmond, pelanggan Windows Hello dengan perangkat keras dan driver sensor biometrik dengan dukungan untuk Keamanan Masuk yang Ditingkatkan tidak terpengaruh serangan yang menyalahgunakan kelemahan keamanan ini.

Informasi teknis lebih lanjut tentang bagaimana para peneliti melewati mekanisme otentikasi Windows Hello dapat ditemukan di laporan CyberArk Labs.

Peretas Magecart Sembunyikan Data Kartu Kredit yang Dicuri Ke Dalam Gambar untuk Penghindaran Eksfiltrasi

by

Pelaku kejahatan dunia maya bagian dari kelompok Magecart telah menggunakan teknik baru untuk mengaburkan kode malware dalam blok komentar dan mengkodekan data kartu kredit curian ke dalam gambar dan file lain yang dihosting di server, sekali lagi menunjukkan bagaimana penyerang terus meningkatkan rantai infeksi mereka untuk menghindari deteksi.

“Salah satu taktik yang digunakan beberapa aktor Magecart adalah membuang detail kartu kredit yang digesek ke file gambar di server [untuk] menghindari kecurigaan,” Analis Keamanan Sucuri, Ben Martin, mengatakan dalam sebuah tulisan. “Ini nanti dapat diunduh menggunakan permintaan GET sederhana di kemudian hari.”

MageCart adalah istilah umum yang diberikan kepada beberapa kelompok penjahat dunia maya yang menargetkan situs web e-niaga dengan tujuan menjarah nomor kartu kredit dengan menyuntikkan skimmer JavaScript berbahaya dan menjualnya di pasar gelap.

Sucuri mengaitkan serangan itu dengan Magecart Group 7 berdasarkan tumpang tindih dalam taktik, teknik, dan prosedur (TTP) yang diadopsi oleh aktor ancaman.

Dalam satu contoh infeksi situs web e-niaga Magento yang diselidiki oleh perusahaan keamanan milik GoDaddy, ditemukan bahwa skimmer dimasukkan ke salah satu file PHP yang terlibat dalam proses checkout dalam bentuk string terkompresi yang disandikan Base64.

Terlebih lagi, untuk lebih menutupi keberadaan kode berbahaya dalam file PHP, musuh dikatakan telah menggunakan teknik yang disebut penggabungan di mana kode tersebut digabungkan dengan potongan komentar tambahan yang “tidak berfungsi melakukan apa pun tetapi menambahkan lapisan kebingungan. membuatnya agak lebih sulit untuk dideteksi.”

Pada akhirnya, tujuan dari serangan tersebut adalah untuk menangkap rincian kartu pembayaran pelanggan secara real-time di situs web yang disusupi, yang kemudian disimpan ke file style sheet palsu (.CSS) di server dan diunduh kemudian di ujung aktor ancaman oleh membuat permintaan GET.

“MageCart adalah ancaman yang terus berkembang terhadap situs web e-niaga,” kata Martin. “Dari sudut pandang penyerang: hadiahnya terlalu besar dan konsekuensinya tidak ada, mengapa tidak? Kekayaan literal dibuat [dengan] mencuri dan menjual kartu kredit curian di pasar gelap.”

selengkapnya : thehackernews.com

Peretas Menggunakan Trik Baru untuk Menonaktifkan Peringatan Keamanan Makro di File Office Berbahaya

by

Sementara itu adalah norma untuk kampanye phishing yang mendistribusikan dokumen Microsoft Office yang dipersenjatai untuk meminta korban mengaktifkan makro untuk memicu rantai infeksi secara langsung, temuan baru menunjukkan penyerang menggunakan dokumen yang tidak berbahaya untuk menonaktifkan peringatan keamanan sebelum mengeksekusi kode makro untuk menginfeksi komputer korban.

Dalam contoh lain pembuat malware terus mengembangkan teknik mereka untuk menghindari deteksi, peneliti dari McAfee Labs menemukan taktik baru yang “mengunduh dan mengeksekusi DLL berbahaya (ZLoader) tanpa ada kode berbahaya di makro lampiran spam awal.”

Infeksi ZLoader yang disebarkan menggunakan mekanisme ini terutama dilaporkan di AS, Kanada, Spanyol, Jepang, dan Malaysia, perusahaan keamanan siber mencatat. Malware — turunan dari trojan perbankan ZeuS yang terkenal — terkenal secara agresif menggunakan dokumen Office berkemampuan makro sebagai vektor serangan awal untuk mencuri kredensial dan informasi pengenal pribadi dari pengguna lembaga keuangan yang ditargetkan.

Dalam menyelidiki intrusi, para peneliti menemukan bahwa rantai infeksi dimulai dengan email phishing yang berisi lampiran dokumen Microsoft Word yang, ketika dibuka, mengunduh file Microsoft Excel yang dilindungi kata sandi dari server jauh. Namun, perlu dicatat bahwa makro harus diaktifkan di dokumen Word untuk memicu unduhan itu sendiri.

selengkapnya : thehackernews.com

Pakar Mengungkap Serangan Malware yang Menargetkan Jaringan Perusahaan di Amerika Latin

by

Peneliti keamanan siber pada hari Kamis mengumumkan kampanye spionase baru yang sedang berlangsung yang menargetkan jaringan perusahaan di negara-negara berbahasa Spanyol, khususnya Venezuela, untuk memata-matai para korbannya.

Dijuluki “Bandidos” oleh ESET karena penggunaan varian malware Bandook yang ditingkatkan, target utama pelaku ancaman adalah jaringan perusahaan di negara Amerika Selatan yang mencakup sektor manufaktur, konstruksi, perawatan kesehatan, layanan perangkat lunak, dan ritel.

Ditulis dalam Delphi dan C++, Bandook memiliki sejarah dijual sebagai trojan akses jarak jauh komersial (RAT) sejak tahun 2005. Sejak itu, banyak varian telah muncul di lanskap ancaman dan digunakan dalam kampanye pengawasan yang berbeda. pada tahun 2015 dan 2017, diduga oleh kelompok tentara bayaran cyber yang dikenal sebagai Dark Caracal atas nama kepentingan pemerintah di Kazakhstan dan Lebanon.

Dalam kebangkitan Trojan Bandook yang berkelanjutan, Check Point tahun lalu mengungkapkan tiga sampel baru — salah satunya mendukung 120 perintah — yang digunakan oleh musuh yang sama untuk menyerang pemerintah, keuangan, energi, industri makanan, perawatan kesehatan, pendidikan, TI, dan lembaga hukum yang berlokasi di Chili, Siprus, Jerman, Indonesia, Italia, Singapura, Swiss, Turki, dan AS

Rantai serangan terbaru dimulai dengan calon korban menerima email berbahaya dengan lampiran PDF, yang berisi URL singkat untuk mengunduh arsip terkompresi yang dihosting di Google Cloud, SpiderOak, atau pCloud dan kata sandi untuk mengekstraknya. Mengekstrak arsip mengungkapkan penetes malware yang memecahkan kode dan menyuntikkan Bandook ke dalam proses Internet Explorer.

selengkapnya : thehackernews.com

Premier digital “Black Widow” menutupi malware dan penipuan, kata Kaspersky

by

Film superhero “Black Widow” akhirnya dirilis secara resmi pada 9 Juli, dan Kaspersky memperingatkan bahwa scammers menggunakan film yang sangat dinanti-nantikan itu sebagai cara untuk kabur dengan informasi kartu kredit pengamat dan melakukan kejahatan dunia maya lainnya.

Film superhero Marvel bisa dibilang beberapa film terpanas di dunia, dan saat ini tidak ada yang lebih panas dari “Black Widow,” yang rilisnya telah didorong berulang kali karena pandemi COVID-19. Awalnya dijadwalkan untuk rilis pada 1 Mei 2020, kemudian 6 November 2020, dan kemudian 7 Mei 2021, sebelum akhirnya mendapatkan tanggal rilis final (mungkin) pada 9 Juli.

Dengan pandemi virus corona yang masih berlangsung, Disney menayangkan perdana “Black Widow” di bioskop dan online, yang menurut Kaspersky telah digunakan berulang kali sepanjang siklus rilis film yang tertunda oleh penjahat dunia maya untuk mengambil keuntungan dari mereka yang berharap mendapatkan lebih awal atau kurang legal. Lihat.

“Kami telah mengamati aktivitas penipuan intensif di sekitar ‘Black Widow’, rilis yang telah ditunggu-tunggu oleh penggemar di seluruh dunia untuk waktu yang lama. Dalam kegembiraan mereka untuk menonton film yang telah lama ditunggu-tunggu, pemirsa menjadi tidak memperhatikan sumber yang mereka inginkan. digunakan, dan inilah yang dimanfaatkan oleh penipu. Serangan ini dapat dicegah, dan pengguna harus waspada terhadap situs yang mereka kunjungi,” kata pakar keamanan Kaspersky Anton V. Ivanov.

Kaspersky mencatat lonjakan upaya phishing dan unduhan berbahaya untuk film tersebut yang bertepatan dengan jadwal rilis bersejarah “Black Widow.” Lonjakan pada bulan Juni dan Juli 2020 dan Maret dan April 2021 menyertai tanggal rilis yang seharusnya, dan Juni 2021 berubah menjadi lonjakan lain yang terus menjadi tren hingga Juli.

selengkapnya : www.techrepublic.com