Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Hacker Menyalahgunakan Tanda Centang Biru Gmail: Ahli Memperingatkan 1,8 miliar Pengguna Google tentang Penipu yang Mencoba Mencuri Uang dan Password

by

Baru sebulan sejak Google Gmail menawarkan versi akun terverifikasi ‘tanda centang biru’ bergaya Twitter, hacker sudah mengeksploitasinya. Fitur ini disajikan untuk meyakinkan pembaca bahwa email tidak palsu.

Penipu mendapatkan verifikasi gmail ‘tanda centang biru’ dengan bisnis palsu. Mereka menemukan solusi untuk mendapatkan tanda yang didambakan, memungkinkan mereka untuk membuat alamat palsu dari merek terkenal dan berpotensi menipu pengguna untuk memberikan kredensial atau pembayaran.

Peretasan baru menggunakan fitur ‘Indikator Merek untuk Identifikasi Pesan’ (BIMI) Gmail yang ada, berdasarkan sistem ‘tanda centang biru’ baru mereka.

Teorinya adalah ‘tanda centang biru’ akan mengkonfirmasi bahwa alamat email berwenang untuk menggunakan nama dan gambar avatar yang ditetapkan padanya, seperti logo merek.

Menurut insinyur perangkat lunak Jonathan Rudenberg, verifikasi hanya memerlukan tanda tangan DomainKeys Identified Mail (DKIM), yang bisa ‘dari domain apa pun.’

Hal ini berarti bahwa setiap server email yang dibagikan ataupun salah konfigurasi dalam catatan SPF [Sender Policy Framework] domain yang mendukung BIMI, dapat menjadi vektor untuk mengirim pesan palsu.

Penipu membuat alamat dengan banyak nomor dan huruf berbeda sambil memasukkan nama perusahaan dengan harapan membodohi penerima. Pengguna didesak untuk lebih mencermati semua alamat email terverifikasi.

Perkembangan terbaru, juru bicara Google mengatakan pada DailyMail.com bahwa masalah berasal dari kerentanan keamanan pihak ketiga yang memungkinkan aktor jahat tampil lebih dapat dipercaya daripada mereka.

Google meminta pengirim untuk menggunakan standar autentikasi DomainKeys Identified Mail (DKIM) yang lebih kuat agar memenuhi syarat untuk Status Indikator Merek untuk Identifikasi Pesan (tanda centang biru) demi menjaga keamanan pengguna.

Selengkapnya: Mail Online

UPDATE SEKARANG Google Mengeluarkan Patch untuk Kerentanan Chrome Baru

by

Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

Dilacak sebagai CVE-2023-3079, kerentanan telah digambarkan sebagai bug kebingungan tipe di mesin JavaScript V8. Clement Lecigne dari Threat Analysis Group (TAG) Google telah dipercaya untuk melaporkan masalah tersebut pada 1 Juni 2023.

Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

Pengguna disarankan untuk meningkatkan ke versi 114.0.5735.110 untuk Windows dan 114.0.5735.106 untuk macOS dan Linux untuk mengurangi potensi ancaman. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan saat tersedia.

CVE terdiri dari : CVE-2023-2136 dan CVE-2023-2033

sumber : thehackernews.com

TV Rusia menyiarkan video palsu tentang Putin yang memerintahkan Darurat Militer di tengah laporan bahwa Ukraina sedang menyerang

by

Sebuah video palsu oleh Vladimir Putin, disiarkan Senin di beberapa bagian Rusia. Gambar 21 September ini menunjukkan layar laptop alamat asli Putin hari itu yang memesan mobilisasi parsial.

Gambar 21 September ini menunjukkan layar laptop alamat asli Putin hari itu yang memesan mobilisasi parsial.
Gambar 21 September ini menunjukkan layar laptop alamat asli Putin hari itu yang memesan mobilisasi parsial.

Penayangan video tersebut disebabkan karena adanya laporan peretasan di daerah perbatasan yang tingkat kecemasannya sudah tinggi. Dikatakan oleh Putin palsu bahwa tentara Ukraina menginvasi Rusia dan dia memerintahkan darurat militer.

Sumber Rusia melaporkan peningkatan serangan Ukraina pada posisi di sepanjang garis depan pada hari Senin.

Ada hal janggal yang tampak dari video berjudul “Seruan darurat Presiden,” adalah adanya garis-garis dalam di alis berkerut pemimpin berusia 70 tahun itu tampak menghilang terlalu mulus saat ekspresinya berubah.

Beberapa stasiun TV dan radio di wilayah ini menayangkannya karena apa yang disebut pejabat Rusia sebagai peretasan; mereka tidak mengidentifikasi pelakunya.

Kegelisahan telah tumbuh di daerah perbatasan Rusia dalam beberapa pekan terakhir karena kelompok kecil militan bersenjata anti-Putin Rusia telah menyerbu melewati penjaga perbatasan, memaksa respons militer yang berat untuk mengusir mereka.

Pesan yang disampaikan oleh Putin palsu memperparah kecemasan tersebut.

Satelit AS juga mendeteksi pergerakan dan lebih banyak aktivitas dari pasukan Ukraina, The New York Times melaporkan. Hanya waktu yang akan menentukan apakah langkah ini merupakan bagian dari serangan balasan mereka untuk merebut kembali tanah yang dicuri.

Selengkapnya: INSIDER

Ekstensi Chrome Berbahaya dengan 75 juta Pemasangan Dihapus dari Toko Web

by

Google telah menghapus 32 ekstensi berbahaya dari Toko Web Chrome yang dapat mengubah hasil penelusuran dan mendorong spam atau iklan yang tidak diinginkan. Secara kolektif, mereka datang dengan jumlah unduhan 75 juta.

Peneliti Cybersecurity Wladimir Palant menganalisis ekstensi PDF Toolbox dengan 2 juta unduhan yang tersedia dari Toko Web Chrome, ditemukan menyertakan kode yang disamarkan sebagai pembungkus API ekstensi yang sah.

Menurut peneliti, kode tersebut memungkinkan domain “serasearchtop[.]com” menyuntikkan kode JavaScript arbitrer ke situs web manapun yang dikunjungi pengguna. Kode juga di set untuk aktif 24 jam setelah memasang ekstensi, perilaku yang biasanya dikaitkan dengan niat jahat.

Potensi penyalahgunaan berkisar dari menyisipkan iklan ke halaman web hingga mencuri informasi sensitif. Namun, Palant tidak mengamati adanya aktivitas berbahaya, sehingga tujuan kode tersebut tetap tidak jelas.

Palant menerbitkan postingan tindak lanjut tentang kasus tersebut untuk memperingatkan bahwa dia telah menemukan kode mencurigakan yang sama di 18 ekstensi Chrome lainnya dengan jumlah unduhan total 55 juta.

Berikut beberapa contohnya dengan pengguna aktif mulai dari 3,5 – 9 juta pengguna, antara lain Autoskip, Soundboost, Crystal Ad block, Brisk VPN, Clipboard Helper, dan Maxi Refresher.

Saat Palant menerbitkan posting kedua, semua ekstensi masih tersedia di Toko Web Chrome. Dirinya menemukan dua varian kode yang menampilkan mekanisme injeksi kode JS arbitrer yang sama yang melibatkan serasearchtop[.]com.

Ada banyak laporan dan ulasan pengguna di Toko Web yang menunjukkan bahwa ekstensi melakukan pengalihan dan pembajakan hasil pencarian.

Terlepas dari upayanya untuk melaporkan ekstensi yang mencurigakan ke Google, ekstensi tersebut terus tersedia untuk pengguna dari Toko Web Chrom.

Sebelumnya, perusahaan cybersecurity Avast, melaporkan ekstensi ke Google setelah mengkonfirmasi sifat berbahaya mereka, dan memperluas daftar menjadi 32 entri. Secara kolektif, ini membual 75 juta pemasangan.

Mereka adalah adware yang membajak hasil pencarian untuk menampilkan tautan sponsor dan hasil berbayar, terkadang bahkan menyajikan tautan berbahaya.

Menanggapi hal tersebut, juru bicara Google mengatakan bahwa ekstensi yang dilaporkan telah dihapus dari Toko Web Chrome.

Avast menyoroti dampak signifikan dari ekstensi tersebut. Untuk pelanggannya, Avast secara selektif hanya menetralkan elemen jahat di dalam ekstensi, membiarkan fitur yang sah terus beroperasi tanpa gangguan.

Selengkapnya: BleepingComputer

Lebih dari 400 juta Terinfeksi Spyware Android — Hapus Aplikasi Ini Sekarang!

by

Lebih dari 100 aplikasi Android dengan gabungan lebih dari 400 juta unduhan telah terinfeksi oleh jenis malware baru yang didistribusikan sebagai kit pengembangan perangkat lunak (SDK) untuk pengiklan.

Penemuan itu dilakukan oleh peneliti keamanan di Dr.Web yang menemukan modul spyware di dalam aplikasi yang terpengaruh yang mereka namai ‘SpinOk’.

Disebut spyware karena malware tersebut dapat mencuri data pribadi yang disimpan di ponsel Android terbaik dan mengirimkannya ke server jarak jauh yang dikendalikan oleh peretas di balik kampanye ini.

Pengembang aplikasi kemungkinan menambahkan modul SpinOk ke aplikasi mereka, karena tampaknya sah dan menggunakan minigame untuk memberi pengguna “hadiah harian” untuk membuat mereka tetap tertarik.

Sayangnya, SpinOk melakukan sejumlah aktivitas jahat di latar belakang saat memeriksa data sensor perangkat Android.

Berdasarkan laporan Dr.Web, pembuat virus mengklaim telah menemukan 101 aplikasi yang diunduh lebih dari 421 juta kali dari Google Play Store. Di bawah, Anda akan menemukan aplikasi yang terpengaruh dengan unduhan terbanyak, antara lain:
– Noizz dan Zapya – File Transfer, Share dengan 100 juta unduhan.
– vFly, MVBit, dan Biugo dengan 50 juta unduhan.
– Crazy Drop, Cashzine, dan Fizzo Novel dengan 10 juta unduhan.
– CashEM dan Tick dengan 5 juta unduhan.

Pengguna disarankan untuk segera menghapus aplikasi-aplikasi tersebut, meskipun sebagian besar aplikasi yang terpengaruh telah dihapus dari Play Store, belum semuanya.

SpinOk mampu melakukan sejumlah aktivitas jahat di latar belakang yang mencakup daftar file di direktori, mencari file tertentu, mengunggah file dari smartphone yang terinfeksi atau menyalin dan mengganti konten dari clipboard.

Masih belum jelas apakah penerbit aplikasi Android ini ditipu oleh distributor SDK trojan atau sengaja memasukkannya ke dalam aplikasi mereka. Seperti yang dicatat oleh BleepingComputer, jenis infeksi ini seringkali merupakan hasil dari serangan rantai pasokan dari pihak ketiga.

Agar tetap aman dari aplikasi yang buruk, pengguna harus berhati-hati saat mengunduh aplikasi baru meskipun berasal dari Google Play Store, mencoba untuk mencari ulasan eksternal, terutama ulasan video, perhatikan izin yang diperlukan aplikasi, dan sebagai perlindungan tambahan, pertimbangkan untuk menginstal salah satu aplikasi antivirus Android terbaik.

Selengkapnya: tom’s guide

Backdoor pada Enkripsi Mobile Phone dari Tahun 90an Masih Ditemui

by

Algoritma enkripsi GEA-1 diterapkan pada telepon genggam pada tahun 1990-an untuk mengenkripsi koneksi data. Sejak saat itu, algoritma ini tetap dirahasiakan.

Namun, sekarang, tim peneliti dari Ruhr-Universität Bochum (RUB), bersama dengan rekan-rekan dari Prancis dan Norwegia, telah menganalisis algoritma tersebut dan mencapai kesimpulan berikut: GEA-1 sangat mudah ditembus sehingga harus merupakan enkripsi yang sengaja lemah yang dimasukkan sebagai pintu belakang.

Meskipun kerentanan ini masih ada pada banyak telepon genggam modern, menurut para peneliti, kerentanan ini tidak lagi menimbulkan ancaman yang signifikan bagi pengguna.

Para ahli keamanan IT mendapatkan algoritma GEA-1 dan GEA-2 dari sumber yang ingin tetap anonim dan memverifikasi keaslian algoritma tersebut pada langkah pertama.

Sandi-sandi ini digunakan untuk mengenkripsi lalu lintas data melalui jaringan 2G, misalnya saat mengirim email atau mengunjungi situs web. Para peneliti menganalisis bagaimana tepatnya algoritma ini bekerja.

Mereka menunjukkan bahwa GEA-1 menghasilkan kunci enkripsi yang terbagi menjadi tiga bagian, dua di antaranya hampir identik. Kunci-kunci ini relatif mudah ditebak karena arsitektur mereka.

Para ahli IT juga mengkaji algoritma GEA-2. Algoritma ini hampir tidak lebih aman daripada GEA-1. “GEA-2 mungkin merupakan upaya untuk membuat penerus GEA-1 yang lebih aman,” kata Gregor Leander. “Namun, GEA-2 juga tidak jauh lebih baik. Setidaknya algoritma ini tampaknya tidak sengaja tidak aman.”

Enkripsi yang dihasilkan oleh GEA-1 dan GEA-2 sangat lemah sehingga dapat digunakan untuk mendekripsi dan membaca data terenkripsi secara langsung yang dikirim melalui jaringan 2G. Saat ini, sebagian besar lalu lintas data dikirim melalui jaringan 4G, yang juga disebut LTE.

Selain itu, data sekarang dilindungi dengan enkripsi transportasi tambahan. Oleh karena itu, para peneliti berasumsi bahwa kerentanan lama yang masih ada tidak lagi menjadi ancaman serius bagi pengguna.

Selengkapnya: EurekAlert!

Kaspersky mengatakan Malware Zero-Day baru Menyerang iPhone

by

Perusahaan keamanan Siber yang berbasis di Moskow, Kaspersky, telah menjadi sorotan selama bertahun-tahun dengan mengungkap serangan peretasan yang canggih oleh mata-mata siber yang didukung negara, baik dari Rusia maupun Barat. Kini, perusahaan ini mengungkapkan kampanye infiltrasi baru yang sangat rahasia, di mana Kaspersky sendiri menjadi target.

Dalam laporan yang diterbitkan hari ini, Kaspersky mengatakan bahwa pada awal tahun ini, mereka mendeteksi serangan terarah terhadap sekelompok iPhone setelah menganalisis lalu lintas jaringan korporat perusahaan mereka sendiri.

Kampanye ini, yang para peneliti sebut sebagai Operasi Triangulasi dan dikatakan “sedang berlangsung,” tampaknya bermula sejak tahun 2019 dan memanfaatkan beberapa kerentanan dalam sistem operasi mobile Apple, iOS, untuk memungkinkan para penyerang mengambil alih perangkat korban.

Kaspersky mengatakan bahwa rantai serangan ini menggunakan eksploitasi “zero-click” untuk mengompromikan perangkat target dengan cukup mengirimkan pesan yang dirancang khusus ke korban melalui layanan iMessage Apple.

Korban menerima pesan tersebut, yang menyertakan lampiran berbahaya, dan eksploitasi akan dimulai baik korban membuka pesan dan memeriksa lampiran tersebut atau tidak.

Kemudian, serangan tersebut akan menggabungkan beberapa kerentanan untuk memberikan akses yang lebih dalam kepada para peretas ke perangkat target.

Dan payload perangkat lunak berbahaya akhir akan diunduh secara otomatis ke perangkat korban sebelum pesan dan lampiran berbahaya asli dihapus sendiri.

Kaspersky mengatakan bahwa malware yang mereka temukan tidak dapat bertahan di perangkat setelah direstart, namun para peneliti mengatakan mereka melihat bukti adanya infeksi ulang dalam beberapa kasus.

Kerentanan yang digunakan dalam rangkaian eksploitasi masih belum jelas, meskipun Kaspersky mengatakan bahwa salah satu kerentanan kemungkinan adalah kerentanan ekstensi kernel CVE-2022-46690 yang diperbaiki oleh Apple pada bulan Desember.

Selengkapnya: WIRED

Para Peretas Melakukan Hijacking pada Situs-situs Resmi untuk Hosting Skrip Pencuri Kartu Kredit.

by

Sebuah kampanye baru yang mencuri kartu kredit Magecart menyusupi situs-situs resmi untuk berfungsi sebagai server command and control (C2) sementara untuk menyisipkan dan menyembunyikan perangkat penyadap pada situs-situs eCommerce yang ditargetkan.

Serangan Magecart terjadi ketika peretas meretas toko-toko online untuk menyisipkan skrip berbahaya yang mencuri kartu kredit dan informasi pribadi pelanggan selama proses pembayaran.

Menurut peneliti dari Akamai yang memantau kampanye ini, telah terjadi kompromi pada organisasi di Amerika Serikat, Inggris, Australia, Brasil, Peru, dan Estonia.

Langkah pertama yang dilakukan oleh para penyerang adalah mengidentifikasi situs resmi yang rentan dan meretasnya untuk menyimpan kode berbahaya mereka, menggunakan situs-situs tersebut sebagai server C2 untuk serangan mereka.

Dengan mendistribusikan perangkat penyadap kartu kredit menggunakan situs web resmi yang memiliki reputasi baik, para pelaku ancaman dapat menghindari deteksi dan pemblokiran serta tidak perlu mengatur infrastruktur mereka sendiri.

“Dalam laporan kami, meskipun tidak jelas bagaimana situs-situs ini diretas, berdasarkan penelitian kami yang baru-baru ini dilakukan terhadap kampanye serupa sebelumnya, para penyerang biasanya mencari kerentanan pada platform perdagangan digital situs web yang ditargetkan (seperti Magento, WooCommerce, WordPress, Shopify, dll.) atau pada layanan pihak ketiga yang rentan yang digunakan oleh situs web,” menjelaskan Akamai dalam laporannya.

Akamai melaporkan adanya dua varian perangkat penyadap yang digunakan dalam kampanye ini.

Varian pertama adalah versi yang sangat terenkripsi yang berisi daftar pemilih CSS yang menargetkan informasi identitas pribadi pelanggan dan detail kartu kredit. Pemilih CSS tersebut berbeda untuk setiap situs yang ditargetkan, dibuat khusus untuk sesuai dengan masing-masing korban.

Varian kedua dari perangkat penyadap tidak dilindungi dengan baik, sehingga mengekspos petunjuk dalam kode yang membantu Akamai memetakan jangkauan kampanye dan mengidentifikasi korban tambahan.

Setelah perangkat penyadap mencuri detail pelanggan, data tersebut dikirim ke server penyerang melalui permintaan HTTP yang dibuat sebagai tag IMG dalam perangkat penyadap.

Selengkapnya: Bleeping Computer