Threat

Google Mengungkapkan Bug Parah di Library Enkripsi Libgcrypt — yang Memengaruhi Banyak Proyek

February 2, 2021 by Mally

Kerentanan yang “parah” dalam perangkat lunak enkripsi Libgcrypt GNU Privacy Guard (GnuPG) dapat memungkinkan penyerang untuk menulis data apapin ke mesin target, yang berpotensi mengarah ke eksekusi kode jarak jauh.

Cacat tersebut, yang memengaruhi libgcrypt versi 1.9.0, ditemukan pada 28 Januari oleh Tavis Ormandy dari Project Zero, unit penelitian keamanan Google yang didedikasikan untuk menemukan bug zero-day dalam sistem perangkat keras dan perangkat lunak.

Tidak ada versi Libgcrypt lain yang terpengaruh oleh kerentanan.

GnuPG mengatasi kelemahan tersebut segera dalam waktu sehari setelah pengungkapan, sambil mendesak pengguna untuk berhenti menggunakan versi yang rentan. Versi terbaru dapat diunduh di sini.

Library Libgcrypt adalah perangkat kriptografi sumber terbuka yang ditawarkan sebagai bagian dari rangkaian perangkat lunak GnuPG untuk mengenkripsi dan menandatangani data dan komunikasi. Implementasi OpenPGP, ini digunakan untuk keamanan digital di banyak distribusi Linux seperti Fedora dan Gentoo, meskipun tidak digunakan secara luas seperti OpenSSL atau LibreSSL.

Selengkapnya: The Hacker News

SonicWall zero-day dieksploitasi di alam liar

February 2, 2021 by Mally

Perusahaan keamanan siber NCC Group mengatakan pada hari Minggu bahwa mereka mendeteksi upaya eksploitasi aktif terhadap kerentanan zero-day di perangkat jaringan SonicWall.

Rincian tentang sifat kerentanan belum dipublikasikan untuk mencegah pelaku ancaman lainnya mempelajarinya dan meluncurkan serangan mereka sendiri.

Peneliti NCC mengatakan mereka memberi tahu SonicWall tentang bug dan serangan tersebut selama akhir pekan.

Para peneliti percaya mereka mengidentifikasi kerentanan zero-day yang sama yang digunakan aktor ancaman misterius untuk mendapatkan akses ke jaringan internal SonicWall sendiri dalam pelanggaran keamanan yang diungkapkan perusahaan pada 23 Januari.

Menanggapi permintaan di Twitter untuk membagikan lebih banyak detail mengenai serangan tersebut sehingga pakar keamanan dapat melindungi pelanggan mereka, tim NCC merekomendasikan agar pemilik perangkat membatasi alamat IP mana yang diizinkan untuk mengakses antarmuka manajemen perangkat SonicWall hanya ke IP personel yang berwenang.

Mereka juga merekomendasikan mengaktifkan dukungan otentikasi multi-faktor (MFA) untuk akun perangkat SonicWall.

Sumber: ZDNet

Peneliti Check Point menemukan kerentanan keamanan di TikTok – lagi

February 1, 2021 by Mally

Setelah menemukan kerentanan keamanan yang berpotensi memungkinkan peretas mengumpulkan informasi sensitif tentang pengguna TikTok, perusahaan keamanan siber Israel, Check Point, bekerja sama dengan aplikasi jejaring sosial populer untuk memperbaiki masalah tersebut.

Dalam siaran pers, perusahaan tersebut menyebutkan bahwa salah satu tim peneliti baru-baru ini menemukan kerentanan dalam fitur pencari teman aplikasi seluler TikTok.

Menurut temuan tim, penyerang dapat menggunakan kerentanan ini untuk menghubungkan antara informasi pribadi di profil pengguna dan nomor telepon mereka yang sesuai, memungkinkan mereka membangun basis data terperinci yang berpotensi dapat digunakan untuk menargetkan pengguna yang tidak curiga dan membagikan informasi pribadi mereka.

Namun kerentanannya, hanya memengaruhi pengguna yang mengubungkan nomor telepon mereka dengan akun TikTok mereka atau telah menggunakan nomor telepon mereka untuk mendaftar ke aplikasi tersebut, yang tidak selalu diperlukan.

Setelah memverifikasi bahwa apa yang mereka temukan memang pelanggaran keamanan yang serius, Check Point menghubungi TikTok dan bekerja bersama tim keamanan aplikasi untuk memperbaiki kerentanan.

Ini bukan pertama kalinya Check Point berhasil menemukan masalah keamanan di TikTok. Pada Januari tahun lalu, para peneliti di Check Point menemukan celah keamanan dalam aplikasi tersebut, memungkinkan peretas untuk memanipulasi akun pengguna dan mengekstrak informasi termasuk tanggal lahir dan alamat email pribadi.

Sumber: Jpost

Berikut cara kerja modul malware Emotet dari penegak hukum

February 1, 2021 by Mally

Penelitian baru yang baru saja dirilis memberikan wawasan yang lebih luas mengenai modul Emotet yang dibuat oleh penegak hukum yang akan menghapus malware dari perangkat yang terinfeksi pada bulan April.

Pada 27 Januari, Europol mengumumkan bahwa operasi gabungan antara lembaga penegak hukum dari Belanda, Jerman, Amerika Serikat, Inggris Raya, Prancis, Lituania, Kanada, dan Ukraina mengambil alih server botnet Emotet dan mengganggu operasi malware.

Setelah penghapusan, para peneliti melihat bahwa botnet Emotet mulai menekan modul ke perangkat yang terinfeksi yang akan menghapus malware pada 25 April 2021, pukul 12:00.

Pada tanggal 28, telah dikonfirmasi dalam siaran pers Departemen Kehakiman AS bahwa “penegak hukum asing” yang membuat modul ini.

Mengapa pencopotan pemasangan terjadi dua bulan lagi, dan apa yang terjadi sebelum tanggal pencopotan 25 April 2021?. Sebuah analisis baru oleh Jérôme Segura dan hasherezade dari Malwarebytes menjawab beberapa pertanyaan ini.

Modul Emotet baru yang didistribusikan oleh penegak hukum Jerman adalah DLL 32-bit bernama ‘EmotetLoader.dll.’

Saat menghapus Emotet, Malwarebytes menyatakan uninstaller hanya menghapus layanan Windows yang terkait, menghapus kunci Registry autorun, dan kemudian keluar dari proses.

Di sisi lain, sebelum 25 April 2021, modul memungkinkan penginstalan Emotet pada suatu perangkat.

Namun, perbedaannya adalah bahwa server perintah dan kontrol Emotet sekarang dikonfigurasi untuk menggunakan server penegakan hukum yang berlokasi di Jerman. Karena penegak hukum mengontrol botnet, Emotet tidak akan mengunduh modul lebih lanjut ke PC yang terinfeksi untuk melakukan aktivitas berbahaya.

Malwarebytes menyatakan bahwa modul baru ini akan dipasang ke semua perangkat yang terinfeksi, secara efektif menggantikan penginstalan Emotet berbahaya yang sudah menginfeksi komputer mereka.

Selengkapnya: Bleeping Computer

Waspadalah – tautan Steam itu bisa jadi malware berbahaya

January 31, 2021 by Mally

Gamer telah diperingatkan untuk berhati-hati saat mengakses perpustakaan mereka secara online menyusul peningkatan besar jumlah situs phishing yang menggunakan platform Steam sebagai iming-iming.

Penelitian terbaru dari Webroot menemukan bahwa ada lonjakan 250% dalam penyebutan Steam di situs phishing antara November dan Desember 2020.

Namun setelah penguncian lebih lanjut selama periode perayaan, dan peningkatan hadiah dan hadiah Natal bertema game, serangan menggunakan situs bertema Steam terus meningkat, dengan lonjakan hampir 400% di situs phishing yang menyebutkan Steam pada Januari 2021, jika dibandingkan dengan November 2020.

selengkapnya : TechRadar

Worm malware Pro-Ocean baru melalui server Apache, Oracle, Redis

January 31, 2021 by Mally

Peretas Rocke yang bermotivasi finansial menggunakan malware cryptojacking baru yang disebut Pro-Ocean untuk menargetkan contoh rentan Apache ActiveMQ, Oracle WebLogic, dan Redis.

Malware baru ini merupakan langkah maju dari ancaman sebelumnya yang digunakan oleh grup tersebut karena dilengkapi dengan kemampuan menyebar sendiri, secara membabi buta melemparkan eksploitasi ke mesin yang ditemukan.

Berdasarkan analisis, peneliti mengatakan bahwa target Pro-Ocean adalah layanan cloud Alibaba dan Tencent.

Rocke Group ditemukan pada 2018 oleh para peneliti di Cisco Talos. Sebelumnya bercirikan kesederhanaan, serangan dari aktor ini belakangan ini semakin kompleks.

Meskipun tidak mencapai tingkat kecanggihan malware lainnya, operasi cryptomining Rocke telah berevolusi untuk menyertakan fitur yang menyebar sendiri dan taktik penyembunyian yang lebih baik.

selengkapnya : BleepingComputer

Trickbot kembali lagi – dengan serangan phishing dan malware baru

January 31, 2021 by Mally

Malware Trickbot kembali dengan kampanye baru – hanya beberapa bulan setelah operasinya diganggu oleh koalisi keamanan siber dan perusahaan teknologi.

Awalnya memulai kehidupan sebagai trojan perbankan, Trickbot berevolusi menjadi bentuk malware yang sangat populer di kalangan penjahat dunia maya, terutama karena sifat modularnya yang memungkinkan untuk digunakan dalam berbagai jenis serangan.

Ini termasuk pencurian kredensial login dan kemampuan untuk menyebarkan dirinya di sekitar jaringan yang menyebarkan infeksi lebih lanjut.

Trickbot bahkan menjadi pemuat untuk bentuk lain dari malware, dengan penjahat dunia maya memanfaatkan mesin yang telah dikompromikan oleh Trickbot sebagai sarana untuk mengirimkan muatan berbahaya lainnya, termasuk ransomware.

Pada bulan Oktober tahun lalu, penghapusan yang dipimpin oleh Microsoft mengganggu infrastruktur di balik botnet malware Trickbot, tetapi sekarang botnet tersebut tampaknya hidup kembali karena para peneliti di Menlo Security telah mengidentifikasi kampanye malware yang sedang berlangsung yang memiliki ciri khas aktivitas Trickbot sebelumnya.

selengkapnya : ZDNET

Geng ransomware FonixCrypter merilis kunci dekripsi master

January 31, 2021 by Mally

Grup kejahatan dunia maya di balik ransomware FonixCrypter telah mengumumkan hari ini di Twitter bahwa mereka telah menghapus kode sumber ransomware dan berencana untuk menghentikan operasi mereka.

Sebagai isyarat niat baik terhadap korban masa lalu, geng FonixCrypter juga telah merilis paket yang berisi alat dekripsi, instruksi bagaimana caranya, dan kunci dekripsi utama ransomware.

File-file ini dapat digunakan oleh mantan pengguna yang terinfeksi untuk mendekripsi dan memulihkan file mereka secara gratis, tanpa perlu membayar kunci dekripsi.

Allan Liska, seorang peneliti keamanan untuk firma intelijen ancaman, Recorded Future, telah menguji decrypter atas permintaan ZDNet hari ini dan memverifikasi bahwa aplikasi, instruksi, dan kunci master FonixCrypter berfungsi seperti yang diiklankan.

Decrypter yang lebih baik saat ini sedang dikerjakan di Emsisoft dan diharapkan akan dirilis minggu depan, Michael Gillespie, seorang peneliti keamanan Emsisoft yang mengkhususkan diri dalam memecahkan enkripsi ransomware, mengatakan kepada ZDNet hari ini dalam obrolan online. Pengguna disarankan untuk menunggu dekripsi Emsisoft daripada menggunakan yang disediakan oleh geng FonixCrypter, yang mungkin dengan mudah berisi malware lain, seperti pintu belakang, yang mungkin akhirnya dipasang oleh korban di sistem mereka.

selengkapnya : ZDNET

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings