Threat

Microsoft, Italia, dan Belanda memperingatkan peningkatan aktivitas Emotet

September 24, 2020 by Mally

Dua minggu setelah agen keamanan siber dari Prancis, Jepang, dan Selandia Baru menerbitkan peringatan tentang peningkatan aktivitas Emotet, peringatan baru telah diterbitkan minggu lalu oleh lembaga di Italia dan Belanda, dan juga oleh Microsoft.

Peringatan baru ini muncul karena aktivitas Emotet terus meningkat, mengerdilkan operasi malware lain yang aktif saat ini.

“Akhir-akhir ini sangat banyak spam [Emotet],” kata Joseph Roosen, anggota Cryptolaemus, sekelompok peneliti keamanan yang melacak kampanye malware Emotet, kepada ZDNet.

“Saya menerima sekitar 400 email di [pekerjaan harian] saya pada hari Senin ketika biasanya hanya sekitar selusin atau kurang dari 100 pada hari yang baik,” kata Roosen, menempatkan lonjakan baru-baru ini dalam perspektif.

“Ini telah terjadi dalam dua minggu terakhir.”

Peringatan dari Microsoft dan otoritas Italia juga memperingatkan tentang perubahan terbaru lainnya dalam kampanye spam Emotet, yang sekarang juga memanfaatkan file ZIP yang dilindungi kata sandi daripada dokumen Office.

Roosen memberi tahu ZDNet bahwa Emotet telah menggunakan teknik ini sejak pertengahan 2019, tetapi baru-baru ini mereka mulai meningkatkan prevalensinya di antara kampanye spam Emotet, oleh karena itu mengapa Microsoft dan yang lainnya sekarang bereaksi terhadap kemunculannya yang tiba-tiba.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

CISA memperingatkan peningkatan yang signifikan dalam malware LokiBot

September 23, 2020 by Mally

Cybersecurity and Infrastructure Security Agency (CISA) mengatakan bahwa platform keamanan in-house (EINSTEIN Intrusion Detection System) telah mendeteksi aktivitas berbahaya yang terus-menerus terkait infeksi LokiBot.

Lonjakan Juli dalam aktivitas LokiBot yang dilihat oleh CISA juga dikonfirmasi oleh tim Malwarebytes Threat Intelligence, yang mengatakan kepada ZDNet dalam sebuah wawancara bahwa mereka juga telah melihat lonjakan serupa pada infeksi LokiBot selama tiga bulan terakhir.

Ini adalah penyebab kekhawatiran karena LokiBot adalah salah satu jenis malware paling berbahaya dan tersebar luas saat ini. Juga dikenal sebagai Loki atau Loki PWS, trojan LokiBot adalah apa yang disebut sebagai “pencuri informasi”.

Ia bekerja dengan menginfeksi komputer dan kemudian menggunakan kemampuan bawaannya untuk mencari aplikasi yang diinstal secara lokal dan mengekstrak kredensial dari database internal mereka.

Secara default, LokiBot dapat menargetkan browser, klien email, aplikasi FTP, dan dompet cryptocurrency.

Security Advisory CISA mengenai LokiBot yang diterbitkan berisi saran deteksi dan mitigasi untuk menangani serangan dan infeksi LokiBot.

Security Advisory dapat diakses melalui link di bawah;
Source: CISA Advisory | ZDNet

Samba Merilis Pembaruan Keamanan untuk CVE-2020-1472, Kerentanan ZeroLogon

September 22, 2020 by Mally

Tim Samba telah merilis pembaruan keamanan untuk mengatasi kerentanan kritis ZeroLogon — CVE-2020-1472 — di beberapa versi Samba. Kerentanan ini memungkinkan Penyerang dalam satu jaringan dapat memperoleh akses administrator dengan memanfaatkan cacat protokol netlogon.

Bug ini dilaporkan dan telah ditambal oleh Microsoft pada update bulan Agustus kemarin. Namun karena bug ini adalah kelemahan tingkat protokol, dan Samba mengimplementasikan protokol, Samba juga menjadi rentan akan bug ini.

Dalam pengunguman keamanan yang dirilis oleh tim Samba, mereka mengatakan kerentanan ini mempengaruhi versi Samba yang lebih lama dari 4.0, serta Samba yang hanya digunakan sebagai pengontrol domain.

Cybersecurity and Infrastructure Safety Agency (CISA) telah mendorong pengguna dan administrator untuk meninjau Pengumuman Keamanan Samba untuk CVE-2020-1472 dan menerapkan pembaruan atau solusi yang diperlukan.

Untuk pengunguman keamanan yang dirilis Samba dapat dibaca pada link berikut:
Samba Security Advisory

Bug Firefox memungkinkan Anda membajak browser seluler terdekat melalui WiFi

September 21, 2020 by Mally Leave a Comment

Mozilla telah memperbaiki bug yang dapat disalahgunakan untuk membajak semua browser Firefox di Android pada jaringan WiFi yang sama dan memaksa pengguna untuk mengakses situs berbahaya, seperti halaman phishing.

Bug tersebut ditemukan oleh Chris Moberly, seorang peneliti keamanan Australia yang bekerja untuk GitLab.

Kerentanan yang sebenarnya berada di komponen SSDP Firefox. SSDP adalah singkatan dari Simple Service Discovery Protocol dan merupakan mekanisme yang digunakan Firefox untuk menemukan perangkat lain di jaringan yang sama untuk berbagi atau menerima konten.

Saat perangkat ditemukan, komponen Firefox SSDP mendapatkan lokasi file XML tempat penyimpanan konfigurasi perangkat tersebut.

Namun, Moberly menemukan bahwa di versi Firefox yang lebih lama, Anda dapat menyembunyikan perintah “maksud” Android dalam XML ini dan meminta browser Firefox menjalankan “maksud”, yang bisa menjadi perintah biasa seperti memberi tahu Firefox untuk mengakses sebuah tautan.

Setiap pemilik Android yang menggunakan browser Firefox untuk menavigasi web selama serangan semacam ini akan membuat browser selulernya dibajak dan dibawa ke situs jahat, atau dipaksa untuk memasang ekstensi Firefox yang berbahaya.

Bug telah diperbaiki di Firefox 79; namun, banyak pengguna mungkin tidak menjalankan versi terbaru. Firefox untuk versi desktop tidak terpengaruh.

Dihubungi untuk memberikan komentar, juru bicara Mozilla merekomendasikan agar pengguna memperbarui ke versi terbaru Firefox untuk Android agar aman.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Perusahaan Antivirus Tiongkok Ternyata Bagian dari Serangan ‘Supply Chain’ APT41

September 20, 2020 by Mally

Departemen Kehakiman AS telah mendakwa tujuh warga negara China sebagai peretasan yang menargetkan lebih dari 100 perusahaan game online dan teknologi tinggi. Pemerintah menuduh orang-orang tersebut menggunakan email phishing yang mengandung malware dan serangan “Supply Chain” untuk mencuri data dari perusahaan dan pelanggan mereka. Salah satu terduga peretas pertama kali diprofilkan pada tahun 2012 sebagai pemilik perusahaan antivirus China.

Kegiatan APT41 berlangsung dari pertengahan 2000 hingga saat ini. Awal tahun ini, grup tersebut terkait dengan kampanye malware yang sangat agresif yang mengeksploitasi kerentanan dalam produk jaringan yang banyak digunakan, termasuk Router Cisco dan D-Link, serta peralatan Citrix dan Pulse VPN. Firma keamanan FireEye menjuluki blitz peretasan itu sebagai “salah satu kampanye terluas yang dilakukan oleh aktor spionase dunia maya China yang kami amati dalam beberapa tahun terakhir”.

Pemerintah menuding kelompok itu memonetisasi akses terlarangnya dengan menyebarkan ransomware dan tools “cryptojacking” (menggunakan sistem yang terkompromi untuk menambang cryptocurrency seperti Bitcoin). Selain itu, geng tersebut menargetkan perusahaan video game dan pelanggan mereka dalam upaya untuk mencuri item digital berharga yang dapat dijual kembali, seperti poin, kekuatan, dan item lain yang dapat digunakan untuk meningkatkan pengalaman bermain game.

APT41 diketahui menyembunyikan malware-nya di dalam resume palsu yang dikirim ke target. Itu juga menyebarkan serangan rantai pasokan yang lebih kompleks, di mana mereka akan meretas perusahaan perangkat lunak dan memodifikasi kode dengan malware.

Anvisoft

Salah satu pria yang didakwa sebagai bagian dari APT41, Tan DaiLin berusia 35 tahun, adalah subjek dari cerita KrebsOnSecurity 2012 yang berusaha menjelaskan produk antivirus China yang dipasarkan sebagai Anvisoft. Pada saat itu, produk tersebut telah masuk dalam “whitelist” atau ditandai sebagai aman oleh vendor antivirus yang lebih mapan, meskipun perusahaan tersebut tampaknya tidak menanggapi keluhan pengguna dan pertanyaan tentang kepemimpinan dan asal-usulnya.

Anvisoft mengklaim berbasis di California dan Kanada, tetapi penelusuran pada nama merek perusahaan menemukan catatan pendaftaran merek dagang yang menempatkan Anvisoft di zona teknologi tinggi Chengdu di Provinsi Sichuan, China.

Tinjauan atas catatan pendaftaran situs web Anvisoft menunjukkan bahwa domain perusahaan awalnya dibuat oleh Tan DaiLin, seorang peretas China terkenal yang menggunakan alias “Wicked Rose” dan “Withered Rose”. Saat itu, DaiLin berusia 28 tahun.

Seperti dicatat oleh TechCrunch, setelah dakwaan diajukan, jaksa penuntut mengatakan bahwa mereka memperoleh surat perintah untuk menyita situs web, domain, dan server yang terkait dengan operasi grup, secara efektif menutupnya dan menghambat operasi mereka.

“Para peretas yang diduga masih diyakini berada di China, tetapi tuduhan tersebut berfungsi sebagai upaya hukuman sosial yang digunakan oleh Departemen Kehakiman dalam beberapa tahun terakhir terhadap penyerang dunia maya yang didukung negara,” tulis Zack Whittaker dari TechCrunch.

Source : KerbsOnSecurity

Maze Ransomware Mengadopsi Teknik Virtual Machine Ragnar Locker

September 20, 2020 by Mally

Penjahat Ransomware, Maze, telah menambahkan teknik baru: Mendistribusikan ransomware melalui mesin virtual (VM). Ini adalah pendekatan yang cukup “radikal”, menurut peneliti, hal ini dimaksudkan untuk membantu ransomware melewati pertahanan terakhir.

Menurut peneliti dari Sophos Managed Threat Response (MTR) pelaku baru-baru ini terlihat menyebarkan malware dalam bentuk gambar disk virtual VirtualBox (file VDI). File VDI itu sendiri dikirim di dalam file MSI Windows, yang merupakan format yang digunakan untuk penginstalan, penyimpanan, dan penghapusan program. “penyerang juga menggabungkan salinan VirtualBox hypervisor berusia 11 tahun yang telah dipreteli di dalam file .MSI, yang menjalankan VM sebagai perangkat ‘headless’, tanpa perlu menggunakan UI, ”kata peneliti.

Peneliti Sophos, menambahkan, “Ragnar Locker dipasang di dalam mesin virtual Oracle VirtualBox Windows XP. dengan file installer sebesar 122 MB dan image virtual 282 MB, semuanya untuk menyembunyikan ransomware 49 KB yang dapat dieksekusi.”

Detail Teknis

Dalam insiden ransomware Maze, File installer sebesar 733 MB dengan image virtual Windows 7 sebesar 1,9 GB, kedua file itu untuk menyembunyikan ransomware 494 KB yang dapat dieksekusi.

Sumber dari disk virtual berisi tiga file yang terkait dengan ransomware Maze: preload.bat, vrun.exe (VM itu sendiri) dan file yang bernama payload (tanpa ekstensi), yang merupakan muatan Maze DLL yang sebenarnya.

Untuk persistensi, mereka menambahkan file bernama startup_vrun.bat ke menu Start Windows.

“Skrip ini menyalin tiga file yang sama yang ditemukan di root disk VM (biner vrun.exe dan payload DLL, serta skrip batch preload.bat) ke disk lain, lalu menjalankan perintah untuk segera mematikan komputer,” menurut analisis. “Saat seseorang menyalakan komputer lagi, skrip mengeksekusi vrun.exe.”

Saat file MSI pertama kali dijalankan, VM membuat lokasi folder C:\SDRSMLINK\, yang bertindak sebagai clearinghouse untuk folder tertentu yang ingin dilacak malware – Labirin melakukannya menggunakan tautan simbolis (symlink), yang bertindak sebagai pintasan ke folder di hard drive lokal. Folder ini dibagikan dengan seluruh jaringan.

Pada akhirnya, skrip batch yang disebut starter.bat digunakan untuk meluncurkan muatan ransomware dari dalam VM.

Source : Threatpost

Kelompok Hacker Iran Mengembangkan Malware Android Untuk Mencuri Kode SMS 2FA

September 20, 2020 by Mally

Perusahaan keamanan siber Check Point menemukan grup hacker Iran yang mengembangkan malware Android khusus, malware ini mampu mencuri kode otentikasi dua faktor (2FA) yang dikirim melalui SMS.
Malware itu adalah bagian dari alat peretasan yang dikembangkan oleh grup Rampant Kitten, sebuah julukan yang diberikan oleh perusahaan itu.

Kampanye ini melibatkan penggunaan spektrum luas keluarga malware, termasuk empat varian infostealer Windows dan pintu belakang Android yang disamarkan di dalam aplikasi berbahaya.
Strain malware Windows terutama digunakan untuk mencuri dokumen pribadi korban, tetapi juga file dari klien desktop Windows Telegram, yang memungkinkan peretas mengakses akun Telegram korban.

APLIKASI ANDROID DENGAN KEMAMPUAN MENCURI 2FA

Selain memakai trojan Windows, Rampant Kitten juga mengembangkan alat serupa untuk Android.

Dalam sebuah laporan yang diterbitkan hari ini, Check Point mengatakan mereka juga menemukan backdoor Android yang kuat yang dikembangkan oleh kelompok tersebut. Backdoor dapat mencuri daftar kontak korban, pesan SMS, merekam korban melalui mikrofon, dan menampilkan halaman phishing secara diam-diam.

Skenarionya adalah, operator Rampant Kitten akan menggunakan trojan Android untuk menampilkan halaman phishing Google, menangkap kredensial akun pengguna, dan kemudian mengakses akun korban.

Jika korban mengaktifkan 2FA, fungsi penyadapan SMS 2FA dari malware akan secara diam-diam mengirimkan salinan kode SMS 2FA ke penyerang, memungkinkan mereka untuk melewati keamanan 2FA.

Untuk saat ini, Check Point mengatakan hanya menemukan malware ini dalam aplikasi Android yang menyamar sebagai aplikasi penutur bahasa Persia di Swedia untuk mendapatkan SIM mereka. Namun, malware tersebut bisa saja bersembunyi di dalam aplikasi lain yang ditujukan untuk orang Iran yang menentang rezim Teheran, yang tinggal di dalam dan di luar Iran.

Source : ZDNet

Ransomware Ini Mempunyai Trik Licik Untuk Mengirimkan Malware

September 20, 2020 by Mally

Salah satu penjahat ransomware yang paling berbahaya merapkan taktik baru untuk membuat serangan tidak terdeteksi hingga, trik ini kemungkinan besar dipinjam dari grup ransomware lain.
Yang membuat Maze sangat berbahaya adalah selain memeras bitcoin berjumlah 6 digit untuk sebuah kunci dekripsi, mereka mengancam akan menerbitkan data internal yang dicuri jika tuntutan pemerasan mereka tidak dipenuhi.

Taktik ini sebelumnya digunakan oleh grup ransomware Ragnar Locker dan tampaknya Maze telah mengambil inspirasi dari mereka sebagai sarana untuk mengirimkan ransomware.
Peneliti keamanan siber di Sophos menemukan kesamaan antara taktik baru Maze dan teknik yang dipelopori oleh Ragnar Locker saat menyelidiki serangan ransomware Maze pada bulan Juli.

Menggunakan akses ke server file, para peretas dapat mengirimkan komponen yang diperlukan untuk serangan di dalam mesin virtual.
Cara mesin virtual diprogram menunjukkan bahwa penyerang sudah memiliki kendali yang kuat pada jaringan korban saat, tetapi dengan menyebarkan ransomware melalui mesin virtual, itu membantu mereka terdeteksi sebagai serangan sampai serangan dimulai dan jaringan dapat ditahan untuk tebusan.

“Mesin virtual memberikan penyerang mesin yang tidak terlindungi untuk menjalankan ransomware secara bebas tanpa takut terdeteksi,” kata Peter McKenzie, manajer respons insiden di Sophos.

Organisasi dapat melindungi dari serangan yang disebarkan dengan cara memblokir penggunaan aplikasi yang tidak perlu pada mesin, sehingga penyerang tidak dapat mengeksploitasinya.

Langkah-langkah lain yang dapat diambil organisasi untuk menghindari menjadi korban serangan ransomware termasuk memastikan bahwa patch keamanan diterapkan sesegera mungkin untuk mencegah peretas mengeksploitasi kerentanan yang diketahui, sorganisasi juga harus menerapkan multi- otentikasi faktor atau MFA

“Perlindungan terhadap serangan ransomware tidak hanya membutuhkan perangkat lunak keamanan canggih, tetapi juga pemburu ancaman dan tim Incident Response yang dapat melihat tanda-tanda penyusup di jaringan mereka dan mengambil tindakan yang sesuai untuk menetralkan ancaman,” kata McKenzie

Source : ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Anvisoft

Detail Teknis

APLIKASI ANDROID DENGAN KEMAMPUAN MENCURI 2FA

Cookies Settings