Threat

Alat kejahatan dunia maya baru dapat membuat halaman phishing secara real-time

January 29, 2021 by Mally

Grup kejahatan dunia maya telah mengembangkan perangkat phishing baru yang mengubah logo dan teks pada halaman phishing secara real-time untuk beradaptasi dengan korban yang ditargetkan.

Dinamakan LogoKit, alat phishing ini sudah digunakan di alam liar, menurut firma intelijen ancaman RiskIQ, yang telah melacak evolusinya.

Perusahaan mengatakan telah mengidentifikasi penginstalan LogoKit di lebih dari 300 domain selama seminggu terakhir dan lebih dari 700 situs selama sebulan terakhir.

Perusahaan keamanan mengatakan LogoKit mengandalkan pengiriman tautan phishing yang berisi alamat email mereka kepada pengguna.

“Setelah korban menavigasi ke URL, LogoKit mengambil logo perusahaan dari layanan pihak ketiga, seperti Clearbit atau database favicon Google,” kata peneliti keamanan RiskIQ Adam Castleman dalam sebuah laporan pada hari Rabu.

“Email korban juga otomatis terisi ke kolom email atau nama pengguna, mengelabui korban agar merasa seperti sebelumnya telah masuk ke situs,” tambahnya.

selengkapnya : ZDNET

Bot China memiliki peran kunci dalam video pemungutan suara yang dibantah yang dibagikan oleh Eric Trump

January 28, 2021 by Mally

Jaringan bot China memainkan peran kunci dalam menyebarkan disinformasi selama dan setelah pemilu AS, termasuk video “pembakaran surat suara” yang dibantah yang dibagikan oleh Eric Trump, sebuah studi baru mengungkapkan.

Video menyesatkan tersebut menunjukkan seorang pria yang merekam dirinya sendiri di Pantai Virginia, diduga membakar suara untuk Donald Trump. Surat suara sebenarnya adalah sampel. Klip itu menjadi viral setelah putra Trump, Eric, mempostingnya sehari kemudian di halaman Twitter resminya, di mana video itu ditonton lebih dari 1,2 juta kali.

Video tersebut diyakini berasal dari akun yang terkait dengan teori konspirasi QAnon. Tetapi studi oleh Universitas Cardiff menemukan dua akun terkait China telah membagikan video tersebut sebelum ini. Twitter sejak itu menangguhkan salah satunya.

selengkapnya :TheGuardian

Otoritas AS dan Bulgaria mengganggu operasi ransomware NetWalker

January 28, 2021 by Mally

Badan penegak hukum dari Bulgaria dan AS telah mengganggu infrastruktur NetWalker minggu ini, salah satu geng ransomware paling aktif tahun 2020.

Pejabat Bulgaria menyita server yang digunakan untuk menghosting portal web gelap untuk geng NetWalker, sementara pejabat di AS menuntut seorang warga negara Kanada yang diduga menghasilkan setidaknya $ 27,6 juta dari perusahaan yang menginfeksi dengan ransomware NetWalker.

Server yang disita digunakan untuk menghosting halaman tempat korban serangan NetWalker diarahkan untuk berkomunikasi dengan penyerang dan menegosiasikan tuntutan tebusan.

Server yang sama juga menjadi tuan rumah bagian blog tempat geng NetWalker membocorkan data yang mereka curi dari perusahaan yang diretas, dan yang menolak untuk membayar permintaan tebusan – sebagai bentuk balas dendam dan mempermalukan publik.

Rincian tentang warga negara Kanada yang didakwa hari ini belum tersedia selain nama dan tempat tinggalnya – Sebastien Vachon-Desjardins, dari Gatineau.

Vachon-Desjardins saat ini diyakini sebagai “afiliasi”, seseorang yang menyewa kode ransomware dari pencipta NetWalker.

Jenis bisnis ini disebut Ransomware-as-a-Service, atau RaaS, dan merupakan pengaturan umum yang digunakan oleh banyak geng ransomware saat ini.

Sebelum penghapusan hari ini, NetWalker beroperasi melalui topik yang diposting di beberapa forum bawah tanah oleh pengguna bernama Bugatti. Pengguna ini mengiklankan fitur ransomware dan mencari “mitra” (alias afiliasi) yang akan melanggar jaringan perusahaan, mencuri data untuk digunakan sebagai pengungkit selama negosiasi, dan menginstal ransomware untuk mengenkripsi file.

Jika korban membayar, Bugatti dan afiliasinya akan membagi pembayaran tebusan sesuai dengan perjanjian yang telah dinegosiasikan sebelumnya.

Menurut otoritas AS, NetWalker telah memengaruhi setidaknya 305 korban dari 27 negara berbeda, termasuk 203 di AS.

selengkapnya : ZDNET

Botnet Emotet terganggu setelah operasi penghapusan global

January 28, 2021 by Mally

Infrastruktur botnet paling berbahaya saat ini yang dibangun oleh penjahat dunia maya yang menggunakan malware Emotet diturunkan setelah tindakan terkoordinasi internasional yang dikoordinasikan oleh Europol dan Eurojust.

Upaya bersama antara lembaga penegak hukum dan pihak berwenang dari Belanda, Jerman, Amerika Serikat, Inggris Raya, Prancis, Lituania, Kanada, dan Ukraina memungkinkan penyelidik untuk mengambil kendali atas server botnet dan mengganggu operasi malware.

Menyusul upaya investigasi global, otoritas yudisial dan penegak hukum membongkar seluruh infrastruktur botnet dari dalam setelah menguasai servernya awal pekan ini.

Anda dapat memeriksa apakah alamat email Anda telah dibobol oleh Emotet dan digunakan untuk mengirim email berbahaya menggunakan portal Polisi Nasional Belanda ini.

Portal ini akan membantu Anda mencari melalui database alamat email, nama pengguna, dan kata sandi yang dicuri oleh Emotet dan ditemukan awal minggu ini oleh Kepolisian Nasional Belanda selama investigasi kriminal yang menyebabkan gangguan botnet.

Departemen Cyberpolice polisi Ukraina juga menangkap dua orang yang diduga terlibat dalam pemeliharaan infrastruktur botnet dan menghadapi hukuman 12 tahun penjara jika terbukti bersalah.

selengkapnya : BleepingComputer

Penjahat siber menggunakan akun staf yang telah meninggal untuk menyebarkan ransomware Nemty

January 27, 2021 by Mally

Dalam studi kasus yang didokumentasikan oleh kelompok cyberforensik Sophos, Rapid Response pada hari Selasa, sebuah organisasi menghubungi setelah terinfeksi oleh ransomware Nemty.

Menurut Sophos, ransomware – juga dikenal sebagai Nefilim – memengaruhi lebih dari 100 sistem, mengenkripsi file berharga dan menuntut pembayaran dengan imbalan kunci dekripsi.

Selama penyelidikan terhadap sumber infeksi, Sophos mempersempit intrusi jaringan asli ke akun administrator tingkat tinggi. Selama sebulan, para pelaku ancaman diam-diam menjelajahi sumber daya perusahaan, mendapatkan kredensial akun admin domain, dan mengeksfiltrasi data senilai ratusan gigabyte.

Setelah penyerang siber menyelesaikan pengintaian mereka dan mengambil semua yang berharga, Nemty dikerahkan.

Tim keamanan siber menanyakan siapa pemilik akun dengan hak istimewa tinggi. Perusahaan korban mengatakan bahwa akun itu milik mantan anggota staf yang meninggal sekitar tiga bulan sebelum gangguan siber tersebut.

Alih-alih mencabut akses dan menutup akun ‘hantu’, perusahaan memilih untuk tetap mengaktifkan dan terbuka “karena ada layanan yang digunakan untuk itu.”

Sophos menyarankan bahwa setiap akun hantu yang diizinkan untuk tetap terhubung ke sumber daya perusahaan setelah pengguna tidak membutuhkannya harus menonaktifkan login interaktif, atau jika akun tersebut benar-benar diperlukan, akun layanan harus dibuat sebagai gantinya.

Sumber: ZDNet

Bug Cisco DNA Center Membuka Perusahaan untuk Serangan Jarak Jauh

January 27, 2021 by Mally

Kerentanan cross-site request forgery (CSRF) di Cisco Digital Network Architecture (DNA) Center dapat membuka peluang bagi pengguna perusahaan untuk diserang dan diambil alih dari jarak jauh.

Cacat tersebut, dilacak sebagai CVE-2021-1257, ada di antarmuka manajemen berbasis web dari Cisco DNA Center, yang merupakan platform manajemen dan orkestrasi jaringan terpusat untuk Cisco DNA. Ini membawa skor kerentanan-keparahan CVSS 7,1, menjadikannya tingkat keparahan tinggi.

Antarmuka manajemen berbasis web yang digunakan untuk mengakses dan menggunakan Cisco DNA Center memiliki perlindungan CSRF yang tidak memadai dalam versi perangkat lunak sebelum 2.1.1.0. Patch yang dikeluarkan pada 25 Januari mengatasi masalah tersebut.

Penyerang dapat mengeksploitasi kerentanan dengan merekayasa sosial pengguna manajemen berbasis web agar mengikuti tautan yang dibuat khusus, misalnya melalui email phishing atau obrolan. Jika pengguna mengklik link tersebut, penyerang dapat melakukan tindakan sewenang-wenang pada perangkat dengan hak istimewa pengguna yang diautentikasi.

Tindakan ini termasuk memodifikasi konfigurasi perangkat, memutuskan sesi pengguna dan menjalankan perintah Command Runner, catat Cisco.

Kerentanan ini diperbaiki di Cisco DNA Center Software rilis 2.1.1.0, 2.1.2.0, 2.1.2.3 dan 2.1.2.4, dan yang lebih baru.

Sumber: Threat Post

Botnet DreamBus menargetkan aplikasi perusahaan yang berjalan di server Linux

January 27, 2021 by Mally

Kemungkinannya adalah jika Anda menggunakan server Linux secara online akhir-akhir ini dan Anda membiarkan kelemahan terkecil sekalipun, grup kejahatan siber akan menjeratnya sebagai bagian dari botnetnya. Ancaman terbaru ini bernama DreamBus.

Analisis dalam laporan yang diterbitkan minggu lalu oleh firma keamanan Zscaler, perusahaan tersebut mengatakan ancaman baru ini adalah varian dari botnet lama bernama SystemdMiner, yang pertama kali terlihat pada awal 2019.

Tapi versi DreamBus saat ini telah menerima beberapa perbaikan dibandingkan dengan penampakan SystemdMiner awal.

Saat ini, botnet menargetkan aplikasi tingkat perusahaan yang berjalan di sistem Linux. Target mencakup banyak koleksi aplikasi, seperti PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack, dan layanan SSH.

Beberapa dari aplikasi ini ditargetkan dengan serangan brute force terhadap nama pengguna administrator default mereka, yang lain dengan perintah jahat yang dikirim ke endpoint API yang terbuka, atau melalui eksploitasi untuk kerentanan yang lebih lama.

Idenya adalah untuk memberi geng DreamBus pijakan di server Linux di mana mereka nantinya dapat mengunduh dan menginstal aplikasi sumber terbuka yang menambang cryptocurrency Monero (XMR) untuk menghasilkan keuntungan bagi para penyerang.

Zscaler juga mengatakan bahwa DreamBus menggunakan beberapa tindakan untuk mencegah deteksi yang mudah. Salah satunya adalah bahwa semua sistem yang terinfeksi malware dikomunikasikan dengan server command and control (C&C) botnet melalui protokol DNS-over-HTTPS (DoH) yang baru. Malware berkemampuan DoH sangat jarang, karena rumit untuk disiapkan.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings