Threat

Serangan phishing baru menggunakan kode Morse untuk menyembunyikan URL berbahaya

February 8, 2021 by Winnie the Pooh

Kampanye phishing bertarget baru menyertakan teknik kebingungan baru menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam lampiran email.

Mulai minggu lalu, pelaku ancaman mulai menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam bentuk phishing mereka untuk melewati gerbang email dan filter email yang aman.

Setelah pertama kali mengetahui serangan ini dari sebuah pos di Reddit, BleepingComputer dapat menemukan banyak contoh serangan yang ditargetkan yang diunggah ke VirusTotal sejak 2 Februari 2021.

Serangan phishing dimulai dengan email yang berpura-pura menjadi faktur untuk perusahaan dengan subjek email seperti ‘Revenue_payment_invoice February_Wednesday 02/03/2021.’

Email ini menyertakan lampiran HTML yang diberi nama sedemikian rupa sehingga tampak seperti faktur Excel untuk perusahaan yang ditargetkan.

Saat melihat lampiran menggunakan text editor, Anda dapat melihat bahwa lampiran tersebut menyertakan JavaScript yang memetakan huruf dan angka ke kode Morse. Misalnya, huruf ‘a’ dipetakan ke ‘.-‘ dan huruf ‘b’ dipetakan menjadi ‘-…’, seperti yang ditunjukkan di bawah ini.

Skrip kemudian memanggil fungsi decodeMorse() untuk mendekode string kode Morse menjadi string heksadesimal. String heksadesimal ini selanjutnya diterjemahkan menjadi tag JavaScript yang dimasukkan ke dalam halaman HTML.

Skrip yang disuntikkan ini digabungkan dengan lampiran HTML berisi berbagai sumber daya yang diperlukan untuk membuat spreadsheet Excel palsu yang menyatakan waktu masuk mereka habis dan meminta mereka memasukkan kata sandi lagi.

Setelah pengguna memasukkan kata sandi, formulir akan mengirimkan kata sandi ke situs jarak jauh tempat penyerang dapat mengumpulkan kredensial login.

Sumber: Bleeping Computer

Versi Ransomware Zeoticus 2.0 yang baru menjalankan muatan tanpa konektivitas atau perintah jarak jauh

February 8, 2021 by Winnie the Pooh

Rilis versi yang lebih fleksibel dan efektif dari ransomware Zeoticus telah menggarisbawahi semakin pentingnya pencegahan serangan, seorang peneliti keamanan menyimpulkan.

Tidak seperti pendahulunya, Zeoticus 2.0 dapat mengeksekusi muatan tanpa konektivitas atau perintah jarak jauh, menurut analisis malware yang dilakukan oleh SentinelOne.

Jenis ransomware, yang pertama kali muncul pada awal 2020, “akan dijalankan sepenuhnya secara offline, tanpa ketergantungan pada C2 (Command & Control)”, tulis Jim Walter, peneliti ancaman senior di vendor keamanan siber, dalam sebuah posting blog.

Sebagian besar peningkatan Zeoticus 2.0 “berfokus pada kecepatan dan efisiensi”, seperti penggunaan algoritme enkripsi cepat, yang mencakup algoritme XChaCha20 simetris dan, di sisi asimetris, Poly1305, XSalsa20, dan Curve25519.

Kumpulan dan permukaan serangan yang dapat dieksploitasi dari target potensial telah meluas juga, dengan malware sekarang dapat menemukan dan menginfeksi drive jarak jauh yang kompatibel dengan semua lini OS Windows dan bahkan mungkin dapat “berjalan di Windows XP dan sebelumnya”.

“Infeksi ransomware aktif semakin sulit dikendalikan, ditahan, dan dimitigasi,” kata Walter. Hal ini membuat pencegahan infeksi “lebih penting daripada sebelumnya mengingat sulitnya pemulihan dari serangan ransomware yang dahsyat”.

Pengguna juga harus dididik tentang metode penyerang dan didorong untuk melaporkan aktivitas yang mencurigakan, lanjut peneliti.

Sumber: The Daily Swig

Pengguna Chrome menghadapi 3 masalah keamanan selama 24 jam terakhir

February 8, 2021 by Winnie the Pooh

Pengguna browser Google Chrome telah menghadapi tiga masalah keamanan selama 24 jam terakhir dalam bentuk ekstensi jahat dengan lebih dari 2 juta pengguna, zero-day yang baru saja diperbaiki, dan informasi baru tentang bagaimana malware dapat menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall.

Pertama, Great Suspender, sebuah ekstensi dengan lebih dari 2 juta unduhan dari Toko Web Chrome, telah ditarik dari server Google dan dihapus dari komputer pengguna.

Seperti yang dilaporkan di utas GitHub pada bulan November, pengembang ekstensi asli menjual Great Suspender pada Juni lalu, dan mulai menunjukkan tanda-tanda kejahatab di bawah kepemilikan baru. Secara khusus, kata utas, versi baru berisi kode berbahaya yang melacak pengguna dan memanipulasi permintaan Web.

Selanjutnya, Google pada hari Kamis merilis pembaruan Chrome yang memperbaiki kerentanan zero-day. Dilacak sebagai CVE-2021-21148, kerentanan ini berasal dari bug buffer overflow di V8, mesin JavaScript open source Google. Google menetapkan tingkat keparahannya sebagai “tinggi”.

Namun, dalam sebuah posting yang diterbitkan oleh firma keamanan Tenable, para peneliti mencatat bahwa kerentanan itu dilaporkan ke Google pada 24 Januari, satu hari sebelum kelompok analisis ancaman Google mengeluarkan laporan bahwa peretas yang disponsori oleh negara-bangsa menggunakan situs web jahat untuk menginfeksi peneliti keamanan dengan malware.

Terakhir, seorang peneliti keamanan melaporkan pada hari Kamis bahwa peretas menggunakan malware yang menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall sehingga malware dapat terhubung ke server perintah dan kontrol.

Sinkronisasi memungkinkan pengguna untuk berbagi bookmark, tab browser, ekstensi, dan sandi di berbagai perangkat yang menjalankan Chrome.

Seorang juru bicara Google mengatakan bahwa pengembang tidak akan mengubah fitur sinkronisasi karena serangan lokal secara fisik (artinya serangan yang melibatkan penyerang yang memiliki akses ke komputer) secara eksplisit berada di luar model ancaman Chrome.

Sumber: Ars Technica

SitePoint diretas: Kata sandi yang di-hash dan dengan SALT yang diambil dari situs pembelajaran pengembang web melalui alat GitHub pwnage

February 7, 2021 by Winnie the Pooh

SitePoint, situs web penerbitan belajar kode Australia, telah disusupi saat mempromosikan buku Hacking for Dummies di beranda.

Pembaca Reg Andy memberi tahu kami: “Mendapat email dari SitePoint pagi ini yang mengatakan bahwa mereka telah diretas dan beberapa hal yang tidak penting (bagi mereka) seperti nama, alamat email, sandi berciri, dll mungkin telah dicuri. Bertepatan dengan peningkatan besar dalam spam yang saya terima, tetapi itu mungkin kebetulan. ”

Sebuah email yang dikirim ke pengguna SitePoint dan dilihat oleh The Register mengonfirmasi peretasan tersebut, meskipun pada saat penulisan, perusahaan belum mempublikasikan apa pun tentangnya di situs web atau akun media sosialnya.

Ini menyalahkan “alat pihak ketiga tanpa nama yang kami gunakan untuk memantau akun GitHub kami, yang disusupi oleh pihak jahat”.

Ia melanjutkan dengan mengatakan bahwa tidak ada data kartu kredit yang telah diakses dan kata sandi yang disimpan di-hash dan diasinkan. Kunci API yang relevan juga telah dirotasi dan sandi diubah.

Agak memalukan, peretasan tersebut bertepatan dengan promosi terkemuka di beranda SitePoint dari satu buku yang sangat relevan.

Sementara itu, pengguna SitePoint yang kesal masuk ke forum mereka untuk mulai mengeluh tentang peretasan tersebut.

selengkapnya : TheRegister

Operator ransomware LockBit: ‘Untuk penjahat dunia maya, negara terbaik adalah Rusia’

February 6, 2021 by Winnie the Pooh

Dalam sebuah wawancara minggu ini dengan tim cybersecurity Cisco Talos (.PDF), operator LockBit menjelaskan modus operandinya, target pilihannya, penggunaan alat, dan mengapa sulit untuk menjadi spesialis topi putih dalam pemikirannya untuk- menjadi negara tempat tinggal, Rusia.

Ransomware telah menjadi ancaman serius bagi perusahaan dalam beberapa tahun terakhir. Sementara ransomware dapat menyebabkan kehancuran pribadi bagi individu yang tiba-tiba menemukan diri mereka terkunci dari PC mereka dan dengan sedikit jalan untuk memulihkan file mereka kecuali mereka membayar permintaan tebusan dengan imbalan kunci dekripsi – biasanya diperlukan dalam cryptocurrency seperti Bitcoin (BTC) – – bisnis menghadapi konsekuensi yang bisa jauh lebih buruk.

Setelah varian ransomware menyusup ke jaringan perusahaan dan menyelesaikan enkripsi, korban dihadapkan pada gangguan dan mungkin terpaksa menangguhkan layanan inti. Jika cadangan tidak tersedia, penjahat dunia maya berpotensi menuntut ribuan dolar, dengan susah payah menyimpan sumber daya dienkripsi atau berpotensi membocorkan data sensitif perusahaan.

Selama wawancara Cisco Talos dengan operator LockBit, yang disebut sebagai “Aleks” dan diperkirakan berlokasi di wilayah Siberia Rusia, dia mengaku belajar secara otodidak dalam keterampilan termasuk pengujian penetrasi, keamanan jaringan, dan pengintaian.

Aleks juga mengatakan bahwa “untuk penjahat dunia maya, negara terbaik adalah Rusia,” dan organisasi korban di Amerika Serikat dan Eropa “akan membayar lebih cepat dan lebih banyak” daripada target di negara-negara pasca-Soviet.

selengkapnya :ZDNET

Plex Media Memiliki Cacat Keamanan Besar

February 6, 2021 by Winnie the Pooh

Plex Media mungkin paling dikenal sebagai layanan streaming yang cocok untuk membuat saluran TV khusus, tetapi ternyata server tersebut dapat disalahgunakan untuk tujuan yang lebih jahat.

Pada hari Kamis, perusahaan keamanan siber Netscout melaporkan bahwa server khusus yang sama yang digunakan untuk menghosting saluran ini juga digunakan untuk meningkatkan serangan denial of service (DDoS) —semuanya bahkan tanpa diketahui oleh pelanggan Plex.

Dirinci oleh Netscout, ketika perangkat tertentu yang menjalankan Server Plex melakukan booting dan terhubung ke internet, perangkat tersebut akan menjalankan apa yang dikenal sebagai Simple Service Discovery Protocol (SSDP), untuk memindai perangkat terdekat yang kompatibel yang mungkin ingin mengakses salah satu konten menarik yang dimilikinya.

Dalam beberapa kasus ketika server ini mengintip melalui SSDP, mereka dapat secara tidak sengaja terhubung ke router pengguna — dan jika router tersebut kebetulan dikonfigurasi dengan buruk, ini dapat mengirimkan informasi tentang koneksi SSDP tersebut ke open web.

Hal-hal ini menjadi sangat berbahaya karena koneksi SSDP, secara umum, dapat dengan mudah dieksploitasi oleh aktor jahat yang ingin meningkatkan serangan DDOS mereka.

Anda dapat membaca spesifikasi teknis lengkap tentang cara kerja amplifikasi ini di sini.

Selengkapnya: Gizmodo

Cisco memperingatkan kelemahan eksekusi kode jarak jauh yang kritis di router VPN bisnis kecil ini

February 6, 2021 by Winnie the Pooh

Cisco memperingatkan pelanggan yang menggunakan router bisnis kecilnya untuk mengupgrade firmware guna memperbaiki kekurangan yang dapat memberikan akses root level penyerang jarak jauh ke perangkat.

Vulnerabilities kritis memengaruhi Router VPN Cisco Small Business RV160, RV160W, RV260, RV260P, dan RV260W. Ini adalah model yang direkomendasikan Cisco kepada pelanggan yang menggunakan router bisnis kecil yang tidak didukung untuk dipindahkan bulan lalu.

Ada beberapa bug dalam antarmuka manajemen web dari router yang dapat digunakan penyerang jarak jauh untuk mengeksekusi kode sebagai pengguna root. Perangkat tidak memvalidasi permintaan HTTP dengan benar, memungkinkan penyerang untuk mengirim permintaan HTTP yang dibuat secara khusus yang mungkin mengeksploitasi kekurangan tersebut.

Perangkat yang terpengaruh termasuk Router VPN RV160, Router VPN AC Nirkabel RV160W, Router VPN RV260, Router VPN RV260P dengan POE, dan Router VPN Wireless-AC RV260W.

Tidak ada solusi, jadi pelanggan harus meningkatkan ke rilis 1.0.01.02 atau yang lebih baru. Ini merilis versi itu pada bulan Januari. Cisco melacak bug sebagai CVE-2021-1289, CVE-2021-1290, dan CVE-2021-1291.

Antarmuka web Router VPN Cisco Small Business RV160, RV160W, RV260, RV260P, dan RV260W juga rentan terhadap serangan jarak jauh melalui masalah traversal direktori. Admin perlu memastikan perangkat memiliki firmware yang rilis 1.0.01.02 atau yang lebih baru untuk dilindungi.

selengkapnya : ZDNET

Oxfam Australia menyelidiki pelanggaran data setelah database dijual secara online

February 5, 2021 by Winnie the Pooh

Oxfam Australia menyelidiki dugaan pelanggaran data setelah seorang pelaku ancaman mengaku menjual database milik mereka di forum peretas.

Oxfam Australia adalah badan amal yang berfokus pada pengentasan kemiskinan di kalangan penduduk asli Australia dan orang-orang dari Afrika, Asia, dan timur tengah.

Minggu lalu, BleepingComputer mengetahui tentang pelaku ancaman yang mengaku menjual database berisi kontak Oxfam Australia dan informasi donor untuk 1,7 juta orang.

Sampel database yang dilihat oleh BleepingComputer termasuk nama, alamat email, alamat, nomor telepon, dan jumlah donasi.

Ketika BleepingComputer mengetahui mengenai penjualan ini, mereka lalu menghubungi Oxfam Australia, yang segera menyatakan bahwa mereka sedang menyelidiki situasinya.

Pada hari Rabu, Oxfam Australia mengatakan kepada BleepingComputer bahwa mereka terus menyelidiki pelanggaran tersebut dan melaporkannya ke Pusat Keamanan Cyber Australia (ACSC) dan Kantor Komisaris Informasi Australia (OAIC).

Oxfam Australia telah memberi tahu BleepingComputer bahwa tidak diketahui data apa yang berpotensi diakses dan berapa banyak orang yang terpengaruh.

Badan amal tersebut sedang menyelidiki insiden tersebut dan akan memperbarui nasihat keamanannya saat lebih banyak informasi diketahui.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings