Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Adware Linkury tertangkap sedang mendistribusikan malware

by

Sebuah keluarga adware yang dikenal terutama karena mendistribusikan pembajak browser telah tertangkap sedang menyebarkan malware besar-besaran.

Sementara perusahaan keamanan siber seperti Malwarebytes, Microsoft, atau Trend Micro saat ini mendeteksi operasi Linkury sebagai “adware,” Sundaram dan Ravichandran berpendapat bahwa “kasus ini ditandai sebagai malware kuat berdasarkan bukti yang disajikan dalam makalah [mereka].”

APA ITU LINKURY?

Sebelum presentasi VirusBulletin K7 hari ini, Linkury dulunya dikenal sebagai operasi adware.
Metode distribusinya yang utama adalah widget SafeFinder, sebuah ekstensi browser yang secara ironis diiklankan sebagai cara untuk melakukan pencarian yang aman di internet.

Tetapi para peneliti K7 mengatakan bahwa dalam kasus baru-baru ini yang mereka analisis, widget SafeFinder kini juga mulai menginstal malware resmi yang lengkap, seperti trojan infostealer Socelars dan Kpot.

Dalam kasus lain, operasi Linkury juga menjatuhkan versi browser Opera pada host yang terinfeksi, yang mereka mulai secara diam-diam di latar belakang sistem operasi untuk menampilkan iklan pop-up dan menghasilkan keuntungan bagi operator Linkury.

K7 melaporkan Linkury secara paksa memasang ekstensi di Chrome dan Firefox, untuk pengguna Windows; dan Safari, Chrome, dan Firefox, untuk pengguna Mac.

Selain itu, peneliti K7 juga mencatat bahwa installer SafeFinder juga berisi banyak fitur khusus untuk malware, seperti skrip PowerShell untuk menonaktifkan Windows Defender, dan berfungsi untuk mendeteksi kapan installer dijalankan di dalam mesin virtual dan sandbox, lingkungan yang biasanya digunakan untuk analisis malware – yang mana itu jelas ingin dihindari.

Dan yang tak kalah pentingnya, widget SafeFinder Linkury tidak memiliki niatan untuk menghormati pilihan pengguna, dengan installernya yang dirancang khusus untuk menginstal muatannya bahkan jika pengguna mencoba menghindari proses instalasi, seperti menekan “Tidak” seperti pada gambar di bawah.

sumber: ZDNet

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Kampanye worm phishing ini mengubah permainan dalam pencurian kata sandi dan pengambilalihan akun

by

Pada tanggal 29 September, arsitek keamanan siber dan pemburu bug bounty Craig Hays menguraikan upaya phishing baru-baru ini yang jauh melampaui taktik spray-dan-pray biasa dan upaya dasar untuk menyusupi jaringan, untuk menjadi “pencuri sandi terbesar yang pernah dilihatnya”.

“Kami dapat melihat bahwa semua akun sedang diakses dari lokasi asing di seluruh dunia dan mengirimkan sejumlah besar email,” kata Hays. “Untuk begitu banyak akun yang terkena serangan sekaligus, itu adalah serangan phishing yang benar-benar efektif, atau seseorang telah menunggu waktu mereka setelah mencuri kredensial dalam waktu yang lama.”

“Email phishing dikirim sebagai balasan ke email asli,” jelas peneliti. “Email dipertukarkan antar karyawan dan pemasok kami, pelanggan kami, dan bahkan secara internal antar rekan kerja.”

Beginilah cara kerjanya: setelah satu akun email disusupi, kredensial untuk akun tersebut dikirim ke bot jarak jauh. Bot kemudian akan masuk ke akun dan menganalisis email yang dikirim dalam beberapa hari terakhir.

“Untuk setiap rantai email unik yang ditemukan, mereka membalas email terbaru dengan link ke halaman phishing untuk mendapatkan kredensial,” kata Hays. “Kata-katanya cukup umum untuk menyusaikan hampir semua skenario dan tautan ke ‘dokumen’ tidak terlihat aneh.”

Dikirim sebagai balasan ke semua, menggunakan akun email yang sah, dan mengingat riwayat percakapan, sulit untuk mencoba membedakan bot dan pemilik akun asli.

Teknik tersebut, yang menghasilkan pengambilalihan masal seperti worm, membuat Hays “kagum” dengan “jumlah akun fenomenal [yang] disusupi dalam beberapa jam.”

Email phishing juga dikirim ke orang lain di luar organisasi.

Otentikasi multi-faktor lalu dengan cepat diimplementasikan untuk akun email yang tidak mengaktifkan lapisan keamanan tambahan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Backdoor pada HP Device Manager telah ditemukan

by

HP Device Manager, perangkat lunak yang memungkinkan IT administrator untuk mengelola perangkat HP Thin Client, ternyata mempunyai backdoor di akun user database yang merusak keamanan jaringan, konsultan yang berbasis di Inggris memperingatkan.

Akun dapat dieksploitasi untuk mencapai eskalasi hak istimewa dan, sehubungan dengan kekurangan lainnya, dapat menjalankan eksekusi perintah jarak jauh yang tidak sah sebagai SISTEM. Belum ada tambalan tersedia meskipun ada mitigasi yang disarankan.

“Siapapun yang memiliki akses ke server tempat HP Device Manager diinstal dapat menggunakan akun pengguna ini untuk mendapatkan kendali penuh atas server,” kata Nicky Bloor, pendiri Cognitous Cyber Security, mencatat bahwa ini akan memenuhi syarat sebagai eskalasi hak istimewa lokal.

HP tidak merespons pada saat Bloor melaporkan hal ini dan dia menjelaskan bahwa dia berencana menerbitkan detail kerentanan dalam 30 hari jika perusahaan terus diam. Bloor melaporkannya pada tanggal 19 Agustus 2020.

Hanya mitigasi yang ditawarkan pada tahap ini. Salah satunya adalah dengan menghapus akun yang dilanggar dari database dm_postgres, dan yang lainnya adalah membatasi dan / atau memfilter koneksi yang masuk.

Kami juga sangat menyarankan, pertama, untuk masuk ke semua server yang menjalankan HP Device Manager dan menetapkan kata sandi yang kuat untuk pengguna “dm_postgres” dari database “hpdmdb” Postgres pada port TCP 40006 1/4

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Register

Situs crack software palsu digunakan untuk menyebarkan Exorcist 2.0 Ransomware

by

Menurut peneliti keamanan Nao_Sec, Malvertising PopCash mengarahkan pengguna dari situs resmi ke situs crack software palsu.

Misalnya, pada gambar di bawah, situs tersebut berpura-pura menawarkan ‘Windows 10 Activator 2020’ yang memungkinkan Anda mengaktifkan Windows 10 secara gratis.

sumber: BleepingComputer

File yang diunduh berisi file zip lain yang dilindungi kata sandi dan file teks yang berisi kata sandi arsip.

Arsip yang dilindungi sandi memungkinkan pengunduhan dilakukan tanpa terdeteksi oleh Google Safe Browsing, Microsoft SmartScreen, atau perangkat lunak keamanan yang diinstal.

Jika setup program dijalankan, pengguna akan menemukan bahwa file mereka menjadi terenkripsi dan bukannya menginstal aktivator Windows 10 gratis, seperti yang ditunjukkan di bawah ini.

sumber: BleepingComputer

Di dalam folder terenkripsi akan ada catatan tebusan yang berisi tautan unik ke situs pembayaran Tor di mana korban dapat memperoleh informasi tentang cara membayar tebusan.

Dengan ini sangat dianjurkan bagi pengguna untuk tidak mengunduh sembarang file dari situs yang menyajikan file gratis ilegal.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Konfigurasi Default VPN FortiGate Memungkinkan Serangan MitM

by

Menurut SAM IoT Security Lab, klien FortiGate SSL-VPN hanya memverifikasi bahwa sertifikat yang digunakan untuk otentikasi klien diterbitkan oleh Fortinet atau otoritas sertifikat tepercaya lainnya.

Peneliti menemukan bahwa pencarian Shodan menemukan lebih dari 230.000 peralatan FortiGate yang rentan menggunakan fungsionalitas VPN. Dari jumlah tersebut, 88 persen penuh, atau lebih dari 200.000 bisnis, menggunakan konfigurasi default dan dapat dengan mudah dilanggar dalam serangan MitM.

Sementara masalah ada di konfigurasi default klien FortiGard SSL-VPN, Fortinet tidak menganggap masalah sebagai kerentanan, karena pengguna memiliki kemampuan untuk mengganti sertifikat secara manual untuk mengamankan koneksi mereka dengan tepat.

Peneliti SAM mencatat bahwa pendekatan Fortinet “mungkin masuk akal untuk ruang perusahaan,” tetapi “bisnis kecil (misalnya firma hukum kecil) mungkin tidak memiliki pengetahuan atau waktu untuk mengkonfigurasinya.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Malware ‘Alien’ baru dapat mencuri kata sandi dari 226 aplikasi Android

by

Peneliti keamanan telah menemukan dan menganalisis jenis baru malware Android yang hadir dengan beragam fitur yang memungkinkannya mencuri kredensial dari 226 aplikasi.

Dinamakan Alien, trojan baru ini telah aktif sejak awal tahun dan telah ditawarkan sebagai Malware-as-a-Service (MaaS) di forum peretasan bawah tanah.

Menurut peneliti ThreatFabric, Alien bukanlah benar-benar potongan kode baru tetapi sebenarnya didasarkan pada kode sumber dari geng malwar bernama Cerberus.

Alien tidak hanya dapat menampilkan layar login palsu dan mengumpulkan kata sandi untuk berbagai aplikasi dan layanan, tetapi juga dapat memberikan akses peretas ke perangkat untuk menggunakan kredensial tersebut atau bahkan melakukan tindakan lain.

Malware ini dilengkapi dengan kemampuan untuk memberikan akses jarak jauh ke perangkat setelah menginstal TeamViewer, memanen, mengirim, atau meneruskan pesan SMS, mencuri kontak, mengumpulkan detail perangkat dan daftar aplikasi, mengumpulkan data geo-lokasi, memasang dan memulai aplikasi lain dan masih banyak lagi.

Sebagian besar dari halaman login palsu yang dibuat ditujukan untuk mencegat kredensial untuk aplikasi e-banking, jelas ini adalah target utama mereka.

“Metode lain yang diamati untuk digunakan adalah SMS, setelah mereka menginfeksi perangkat mereka mengumpulkan daftar kontak yang kemudian mereka gunakan kembali untuk menyebarkan kampanye malware mereka ke lebih banyak korban,” kata peneliti.

Para peneliti memperkirakan lebih banyak keluarga malware baru, berdasarkan kode Cerberus, akan muncul pada kuartal terakhir tahun 2020.

Kami menyarankan kepada pengguna ponsel pintar untuk tidak mengunduh aplikasi dari sumber pihak ketiga dan tidak memberikan akses admin kepada aplikasi tersebut.

Source: ZDNet

Pengguna Mac dan Linux Ditargetkan oleh Varian Baru FinSpy

by

Spyware komersial FinSpy kembali dalam kampanye yang baru-baru ini diamati terhadap organisasi dan aktivis di Mesir.

Sementara spyware sebelumnya menargetkan pengguna Windows, iOS, dan Android, para peneliti telah menemukan kampanye ini menggunakan varian baru yang menargetkan pengguna macOS dan Linux.

FinSpy adalah rangkaian perangkat lunak pengawasan lengkap, yang memiliki kemampuan untuk mencegat komunikasi korban, mengakses data pribadi, dan merekam audio dan video, menurut Amnesty International, yang mengungkap varian baru ini. Dan telah digunakan oleh penegak hukum dan lembaga pemerintah di seluruh dunia sejak 2011.

Namun, para peneliti baru-baru ini menemukan sampel FinSpy yang belum pernah dilihat sebelumnya yang telah digunakan dalam kampanye sejak Oktober 2019. Sampel ini mencakup “Jabuka.app,” varian FinSpy untuk macOS, dan “PDF”, varian FinSpy untuk Linux. Keduanya diungkapkan kepada publik Jumat lalu untuk pertama kalinya.

Peneliti mengatakan bahwa sampel FinSpy untuk macOS “menggunakan rantai yang cukup kompleks untuk menginfeksi sistem, dan pengembang mengambil tindakan untuk memperumit analisisnya.”

Sementara muatan Linux sangat mirip dengan versi macOS, yang menurut para peneliti menunjukkan potensi basis kode bersama. Namun, launcher dan rantai infeksi disesuaikan untuk bekerja pada sistem Linux, dengan file “PDF” yang diperoleh dari server menjadi skrip pendek yang berisi binari yang dikodekan untuk Linux 32bit dan 64bit.

Varian malware untuk macOS dan Linux menyertakan modul dengan kemampuan keylogging, penjadwalan, dan perekaman layar. Mereka juga memiliki kemampuan untuk mencuri email dengan memasang add-on berbahaya ke Apple Mail dan Thunderbird, yang mengirimkan email untuk dikumpulkan oleh FinSpy, dan kemampuan mengumpulkan informasi tentang jaringan Wi-Fi.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Serangan DDoS semakin kuat karena penyerang mengubah taktik

by

Ada lonjakan serangan Distributed Denial of Service (DDoS) sepanjang tahun ini, dan serangan tersebut semakin kuat dan mengganggu.

Serangan DDoS diluncurkan terhadap situs web atau layanan web dengan tujuan mengganggu mereka sampai mematikan layanannya. Penyerang mengarahkan lalu lintas dari pasukan botnet yang terdiri dari ratusan ribu PC, server, dan perangkat lain yang terhubung ke internet yang telah mereka kendalikan melalui malware menuju target, dengan tujuan untuk membuatnya kewalahan.

Sebuah serangan dapat berlangsung hanya beberapa detik, atau jam atau hari dan mencegah pengguna yang sah mengakses layanan online.

Sebuah laporan intelijen ancaman baru oleh perusahaan keamanan siber Netscout menunjukkan bahwa penjahat siber telah meluncurkan lebih banyak serangan DDoS daripada sebelumnya karena adanya pandemi coronavirus ini. Perusahaan mengatakan telah mengamati 4,83 juta serangan DDoS pada paruh pertama tahun 2020, naik 15% dibandingkan dengan 2019.

Kabar buruknya adalah bahwa serangan DDoS juga semakin besar, dengan potensi serangan terkuat naik 2.851% sejak 2017 – memberi penyerang kemampuan untuk melumpuhkan jaringan jauh lebih cepat daripada sebelumnya.

Alasan serangan DDoS semakin kuat adalah karena serangan itu semakin kompleks, menggunakan berbagai jenis perangkat dan menargetkan berbagai bagian jaringan korban.

Salah satu elemen yang membantu serangan siber di balik botnet untuk serangan DDoS adalah banyak kode sumbernya tersedia secara gratis. Kasus paling terkenal dari ini adalah Mirai botnet, yang menyerang banyak layanan online pada akhir 2016. Kode sumber untuk Mirai dipublikasikan secara online dan telah berfungsi sebagai tulang punggung yang populer untuk membangun botnet sejak saat itu.

Meningkatnya jumlah perangkat yang terhubung juga berfungsi untuk meningkatkan potensi kekuatan botnet; tidak hanya penyerang dapat mengendalikan PC dan server yang tidak aman sebagai bagian dari serangan, tetapi peningkatan perangkat Internet of Things (IoT) – yang terhubung ke internet dan seringkali memiliki protokol keamanan minim atau tanpa protokol keamanan samasekali – dapat digunakan untuk memperkuat serangan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet