Threat

Phisher melewati kontrol keamanan Microsoft 365 dengan Microsoft.com yang dipalsukan

December 11, 2020 by Winnie the Pooh

Kampanye email phishing domain spoofing yang sangat meyakinkan meniru Microsoft dan berhasil menipu secure email gateway yang lama baru-baru ini telah ditemukan oleh Ironscales.

Itu juga membuat mereka menemukan bahwa server Microsoft saat ini tidak menerapkan protokol DMARC. “Hal ini sangat membingungkan ketika mengingat Microsoft sering menempati peringkat 5 teratas merek paling sering dipalsukan dari tahun ke tahun,” kata Lomy Ovadia, Wakil Presiden bidang penelitian dan pengembangan perusahaan.

Pada kampanye email phishing baru-baru ini, penyerang memalsukan domain pengirim agar terlihat seperti email yang berasal dari Microsoft. Kemudian penyerang menggunakan kemampuan Microsoft 365 yang relatif baru (untuk meninjau pesan yang dikarantina) sebagai alasan untuk mengelabui pengguna agar mengikuti tautan yang ditawarkan serta menciptakan rasa urgensi.

Tautan tersebut membawa pengguna ke halaman login palsu yang “meminta” kredensial login Microsoft 365, informasi tersebut nantinya akan dikirim ke penyerang.

“Alasan mengapa SEG [secure email gateway] secara tradisional dapat menghentikan spoofing domain yang tepat adalah karena, ketika dikonfigurasi dengan benar, kontrol ini sesuai dengan Domain-based Message Authentication, Reporting and Conformance (DMARC)”, kata Ovadia.

“Layanan email lain yang menghormati dan memberlakukan DMARC akan memblokir email semacam itu. Masih belum diketahui mengapa Microsoft mengizinkan adanya spoof domain mereka sendiri terhadap infrastruktur email mereka,” Ovadia menyimpulkan.

Saat ini kampanye phishing ditujukan untuk pengguna perusahaan Microsoft 365 dalam berbagai industri (finsec, perawatan kesehatan, asuransi, manufaktur, utilitas, telekomunikasi, dll.).

Sumber: Help Net Security

Peretas Rusia menyembunyikan malware Zebrocy dalam virtual disk images

December 10, 2020 by Winnie the Pooh

Peretas berbahasa Rusia di balik malware Zebrocy telah mengubah teknik mereka untuk mengirimkan malware ke korban profil tinggi dan mulai mengemas ancaman di Virtual Hard Drive (VHD) untuk menghindari deteksi.

Teknik ini terlihat dalam kampanye spear-phishing baru-baru ini dari kelompok ancaman APT28 (Fancy Bear, Sofacy, Strontium, Sednit) untuk menginfeksi sistem target dengan varian toolset Zebrocy.

Zebrocy hadir dalam banyak bahasa pemrograman (AutoIT, C ++, C #, Delphi, Go, VB.NET). Untuk kampanye baru-baru ini, pelaku ancaman memilih versi berbasis Golang daripada versi Delphi yang lebih umum.

Windows 10 mendukung file VHD secara native dan dapat memasangnya sebagai drive eksternal untuk memungkinkan pengguna melihat file di dalamnya. Tahun lalu, peneliti keamanan menemukan bahwa antivirus tidak memeriksa konten VHD sampai disk images dipasang.

Para peneliti di Intezer pada akhir November menemukan sebuah VHD yang diunggah ke platform pemindaian Virus Total. Di dalam images itu ada file PDF dan file yang dapat dieksekusi yang menyamar sebagai dokumen Microsoft Word, yaitu malware Zebrocy.

PDF tersebut adalah presentasi tentang Sinopharm International Corporation, sebuah perusahaan farmasi China yang saat ini sedang dalam uji coba fase ketiga untuk vaksin COVID-19.

Varian Zebrocy dalam file VHD adalah yang baru yang memiliki deteksi rendah pada Virus Total. Pada 30 November, hanya sembilan dari 70 mesin yang mendeteksi ini sebagai malware.

Dalam laporannya, Intezer memberikan indicators of compromise (IoC) untuk server perintah dan kontrol, file VHD, dan sampel malware Zebrocy yang digunakan dalam kampanye phishing baru-baru ini.

Sumber: Bleeping Computer

Adobe memperbaiki kerentanan keamanan kritis di Lightroom, Prelude

December 10, 2020 by Winnie the Pooh

Adobe telah merilis pembaruan keamanan untuk mengatasi bug keamanan tingkat keparahan kritis yang memengaruhi Adobe Lightroom dan Adobe Prelude versi Windows dan macOS.

Secara total, perusahaan mengatasi empat kerentanan keamanan yang memengaruhi tiga produk, tiga di antaranya dinilai kritis dan satu sebagai bug tingkat keparahan penting dalam Adobe Experience Manager (AEM) dan add-on package Formulir AEM.

Bug ini dapat memungkinkan penyerang mengeksekusi kode arbitrary pada perangkat yang rentan, serta mendapatkan akses ke informasi sensitif dan mengeksekusi kode JavaScript apapun di browser.

Adobe menyarankan pelanggan yang menggunakan produk yang rentan untuk memperbarui ke versi terbaru sesegera mungkin untuk memblokir serangan yang dapat mengakibatkan eksploitasi yang berhasil pada instalasi yang belum ditambal.

Tergantung pada pilihan mereka, pengguna dapat memperbarui produk mereka menggunakan salah satu langkah berikut:

Dengan masuk ke Help > Check for Updates.
Update Installer lengkap dapat diunduh dari Download Center Adobe.
Biarkan produk diperbarui secara otomatis, tanpa memerlukan campur tangan pengguna, saat pembaruan terdeteksi.

Sumber: Bleeping Computer

Malware Qbot beralih ke metode autostart Windows baru yang tersembunyi

December 10, 2020 by Winnie the Pooh

Versi malware Qbot baru sekarang mengaktifkan mekanisme persistensi tepat sebelum perangkat Windows yang terinfeksi dimatikan dan secara otomatis menghapus jejak apa pun saat sistem dimulai ulang atau setelah sleep.

Qbot (juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows dengan fitur worm yang aktif setidaknya sejak 2009 dan digunakan untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan.

Malware ini juga telah digunakan untuk mencatat penekanan tombol pengguna, untuk membuka backdoor pada komputer yang disusupi, dan untuk menyebarkan Cobalt Strike yang digunakan oleh operator ransomware untuk mengirimkan muatan ransomware ProLock dan Egregor.

Dimulai pada 24 November, ketika peneliti keamanan Binary Defense James Quinn mengatakan bahwa versi Qbot baru terlihat, malware tersebut menggunakan mekanisme persistensi yang lebih baru dan tersembunyi yang memanfaatkan sistem shutdown dan melanjutkan pesan untuk mengubah persistensi pada perangkat yang terinfeksi.

Qbot Window message listener (Sumber: Binary Defense)

Trojan akan menambahkan registry Run key pada sistem yang terinfeksi yang memungkinkannya untuk memulai secara otomatis saat system login dan akan mencoba untuk segera menghapusnya setelah pengguna menyalakan sistem untuk menghindari deteksi oleh solusi anti-malware atau peneliti keamanan.

Meskipun metode untuk mendapatkan persistensi ini baru untuk Qbot, malware lain telah menggunakan teknik serupa untuk menghindari deteksi di masa lalu, termasuk trojan perbankan Gozi dan Dridex.

Sumber: Bleeping Computer

Peretas menyembunyikan web skimmer di dalam file CSS situs web

December 10, 2020 by Winnie the Pooh

Selama dua tahun terakhir, kelompok kejahatan siber telah menggunakan berbagai macam trik untuk menyembunyikan kode pencurian kartu kredit (juga dikenal sebagai web skimmer atau skrip Magecart) di dalam berbagai lokasi toko online untuk tujuan menghindari deteksi.

Tempat-tempat di mana web skimmer telah ditemukan sebelumnya termasuk gambar seperti yang digunakan untuk logo situs, favicon, dan jaringan media sosial; ditambahkan ke library JavaScript populer seperti jQuery, Modernizr, dan Google Tag Manager; atau tersembunyi di dalam widget situs seperti jendela obrolan langsung.

Yang terbaru dimana web skimmer ditemukan adalah, percaya atau tidak, file CSS.

Cascading style sheets (CSS), digunakan di dalam browser untuk memuat aturan untuk menata elemen halaman web dengan bantuan bahasa CSS. File ini biasanya berisi kode yang menjelaskan warna berbagai elemen halaman, ukuran teks, padding di antara berbagai elemen, pengaturan font, dan banyak lagi.

Salah satu tambahan fitur terbaru pada bahasa CSS adalah fitur yang memungkinkannya memuat dan menjalankan kode JavaScript dari dalam aturan CSS.

Willem de Groot, pendiri firma keamanan Belanda Sanguine Security (SanSec), mengatakan kepada ZDNet bahwa fitur CSS ini sekarang sedang disalahgunakan oleh geng web skimmer.

De Groot mengatakan bahwa setidaknya satu grup menggunakan kode berbahaya yang ditambahkan di dalam file CSS untuk memuat skimmer di toko online yang merekam data kartu pembayaran saat pengguna mengisi formulir pembayaran.

Dilansir ZDNet, cara paling sederhana pembeli dapat melindungi diri mereka sendiri dari serangan web skimmer adalah dengan menggunakan kartu virtual yang dirancang untuk pembayaran satu kali.

Sumber: ZDNet

Peneliti Menemukan Cacat Keamanan Berbahaya dalam Kode yang Digunakan di Jutaan Perangkat

December 9, 2020 by Winnie the Pooh

Para peneliti di firma keamanan siber Forescout menerbitkan whitepaper baru pada hari Selasa yang merinci bagaimana 33 kelemahan keamanan yang dimasukkan ke dalam beberapa library kode yang banyak digunakan dapat memiliki konsekuensi bencana bagi jutaan perangkat yang terhubung ke internet, dari smart home dan teknologi industri, hingga perangkat di rumah sakit, pengecer, dan gedung federal.

Masalahnya di sini terletak pada empat bundel kode sumber terbuka yang terpisah: uIP, FNET, picoTCP, dan Nut/Net. Menambahkan salah satu library ini ke perangkat memungkinkannya untuk terhubung ke protokol komunikasi tertentu dan berkomunikasi dengan mesin lain.

Dan karena gratis untuk digunakan dan sepenuhnya open source, library ini menjadi sangat populer selama bertahun-tahun, yang merupakan keuntungan bagi pengembang yang ingin mengeluarkan perangkat ini dengan cepat dan murah. Ini juga berarti ketika jenis kerentanan ini terungkap (seperti yang terjadi di masa lalu), dampaknya jauh lebih dramatis.

“Amnesia: 33″ —sebagaimana tim secara kolektif menyebut kelompok kerentanan ini — belum dieksploitasi di alam liar sejauh yang mereka ketahui.

Meskipun demikian, penyerang yang cukup bertekad dengan jalur komunikasi yang jelas ke perangkat yang rentan dapat mengeksploitasi satu atau beberapa masalah ini dengan serangan denial-of-service, atau memaksa perangkat untuk membocorkan data internal yang berpotensi sensitif. Empat dari kelemahan keamanan yang lebih “kritis” membuka perangkat hingga eksekusi kode jarak jauh.

Sumber: Gizmodo

FireEye mengungkapkan adanya pelanggaran keamanan pada perusahannya

December 9, 2020 by Winnie the Pooh

FireEye, salah satu perusahaan keamanan terbesar dunia, mengatakan telah diretas dan bahwa “aktor ancaman yang sangat canggih” mengakses jaringan internal dan mencuri alat peretasan yang digunakan FireEye untuk menguji jaringan pelanggannya.

Dalam siaran persnya hari ini, CEO FireEye Kevin Mandia mengatakan pelaku ancaman juga mencari informasi terkait beberapa pelanggan pemerintah perusahaan.

Mandia menggambarkan penyerang sebagai “aktor ancaman yang sangat canggih, yang disiplin, terlatih dalam keamanan operasional, dan tekniknya membuat kami percaya bahwa itu adalah serangan yang disponsori negara.”

“Serangan ini berbeda dari puluhan ribu insiden yang kami tanggapi selama bertahun-tahun,” tambahnya.

FireEye mengatakan penilaiannya telah dikonfirmasi oleh Microsoft, yang dibawa oleh perusahaan untuk membantu menyelidiki pelanggaran tersebut.

Biro Investigasi Federal juga diberi tahu dan saat ini membantu perusahaan FireEye.

Karena FireEye yakin para penyerang mendapatkan alat pengujian penetrasi khusus, perusahaan sekarang membagikan indikator kompromi (IOC) dan countermeasues di akun GitHub-nya. Data dari GitHub akan membantu perusahaan lain mendeteksi jika peretas menggunakan alat curian dari FireEye untuk membobol jaringan mereka.

Sumber: ZDNet

Grup Skimmer Kartu Pembayaran Menggunakan Raccoon Info-Stealer untuk Menyedot Data

December 8, 2020 by Winnie the Pooh

Sebuah grup kejahatan siber yang dikenal karena menargetkan situs web e-commerce melepaskan “kampanye jahat multi-tahap” awal tahun ini yang dirancang dengan maksud untuk mendistribusikan info-stealer dan skimmer pembayaran berbasis JavaScript.

Dalam laporan baru yang diterbitkan, perusahaan keamanan siber yang berbasis di Singapura Group-IB mengaitkan operasi tersebut dengan grup yang sama yang telah dikaitkan dengan serangan lain yang ditujukan untuk pedagang online dan menggunakan malware pencuri kata sandi untuk menginfeksi situs web mereka dengan FakeSecurity JavaScript-sniffers (JS-sniffers).

Kampanye ini berkembang dalam empat gelombang, dimulai pada Februari dan berakhir pada September, dengan operator mengandalkan halaman phishing yang dibuat khusus dan dokumen iming-iming yang dilengkapi dengan makro berbahaya untuk mengunduh pencuri informasi Vidar dan Raccoon ke sistem korban.

Tujuan akhir dari serangan itu, catat para peneliti, adalah untuk mencuri pembayaran dan data pengguna melalui beberapa vektor serangan dan alat untuk mengirimkan malware.

Sementara gelombang pertama kampanye pada bulan Februari dan Maret mengirimkan pencuri kata sandi Vidar untuk mencegat kata sandi dari browser pengguna dan berbagai aplikasi, iterasi berikutnya dialihkan ke Raccoon stealer dan AveMaria RAT untuk memenuhi tujuannya.

Bersama dengan empat tahap yang dijelaskan di atas, Group-IB juga mengamati fase sementara antara Mei hingga September 2020, saat sebanyak 20 toko online terinfeksi dengan JS-sniffer yang dimodifikasi dari keluarga FakeSecurity.

Sumber: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings