Threat

Waspadalah — 100 Juta Pengguna Android Telah Memasang ‘Spyware’ Berbahaya Cina Ini

May 31, 2020 by Winnie the Pooh

Laporan terbaru dari VPNpro mengatakan bahwa aplikasi “spyware” China tercat memiliki lebih dari 100 juta pemasangan. Pengembang di belakang aplikasi tersebut memiliki aplikasi berbahaya lainnya dengan setidaknya 50 juta pemasangan. Menurut VPNpro, aplikasi tersebut meminta izin “berbahaya”, dan setidaknya salah satunya juga menyembunyikan remote access trojan berbahaya.

Pengembang yang dimaksud adalah QuVideo Inc yang berbasis di Hangzhou, aplikasi yang paling populer milik mereka adalah VivaVideo. VPNpro menggambarkan ini sebagai “salah satu aplikasi pengeditan video gratis terbesar untuk Android, dengan setidaknya 100 juta pemasangan di Play Store.” Aplikasi ini juga adalah salah satu dari 40 aplikasi Cina yang terdaftar oleh pemerintah India pada tahun 2017 sebagai “spyware atau perangkat jahat.” Personel militer diperintahkan untuk segera menghapusnya.

Ada beberapa izin yang dibutuhkan agar VivaVideo dapat berfungsi dengan baik — yang mencakup kemampuan untuk membaca / menulis ke drive eksternal, meskipun begitu izin diberikan, itu tidak terbatas.

Aplikasi lainnya dari pengembang yang sama, VidStatus (50 juta instal), “meminta 9 izin berbahaya, termasuk GPS, kemampuan membaca keadaan ponsel, membaca kontak, dan bahkan akses ke log panggilan pengguna.” Aplikasi ini ditandai oleh Microsoft sebagai malware karena menyembunyikan trojan AndroRat.

VPNpro melaporkan bahwa ada enam aplikasi dari pengembang yang sama yang harus diperlakukan dengan hati-hati, berikut daftarnya:

1. VivaVideo
2. VivaVideo PRO Video Editor HD
3. SlidePlus – Photo Slideshow Maker
4. Tempo – Music Video Editor with Effects
5. VivaCut – Pro Video Editor APP
6. VidStatus – Status Videos & Status Downloader

Pengguna disarankan untuk memperhatikan izin yang diberikan untuk aplikasi ini. Jika daftar permintaan tampaknya tidak sesuai dengan tujuan aplikasi, Anda sebaiknya menghindari untuk menginstalnya di ponsel Anda.

Selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Forbes

NSA Memperingatkan: Peretas Paling Terkenal Rusia Masih Aktif Melakukan Kampanye Peretasan

May 29, 2020 by Winnie the Pooh

Badan Keamanan Nasional Amerika mengumumkan pada hari Kamis bahwa unit intelijen Rusia yang sama yang membocorkan file Demokrat pada 2016 terlibat dalam kampanye peretasan email yang sedang berlangsung.

Peretas di GRU Rusia, badan intelijen militer Russia, secara teratur menargetkan akun email, seperti yang biasa dilakukan oleh banyak orang dengan kemampuan cyber yang kuat. Namun ini adalah pertama kalinya NSA mengeluarkan peringatan publik langsung yang menyebutkan agensi tersebut dan memperingatkan akan adanya kampanye peretasan yang sedang berlangsung.

Peringatan tersebut menjelaskan bagaimana GRU menargetkan kerentanan dalam sistem Unix yang tidak ditambal, sebuah alternatif untuk sistem operasi Microsoft dan Apple. Mereka tidak merinci siapa yang telah ditargetkan. Namun mereka merinci bahwa kampanye adalah karya Unit 74455 GRU, yang telah dikaitkan dengan beberapa serangan cyber paling terkenal dalam sejarah.

“Mereka mungkin organisasi serangan cyber yang paling berani dan paling sukses di Rusia,” kata John Hulquist, direktur intelijen ancaman di FireEye, yang melacak kelompok itu.

Amerika telah menyebut 74455 sebagai pencipta NotPetya, cacing ransomware yang tumbuh liar di luar kendali dan menyebar ke seluruh dunia pada 2017, menyebabkan kerusakan miliaran dolar dan memicu kemarahan internasional.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: NBC

Apple mengirimkan 11 peringatan keamanan – dapatkan perbaikannya sekarang!

May 29, 2020 by Winnie the Pooh

Apple baru saja meluncurkan 11 email advisories yang merinci perbaikan keamanan terbarunya.

Yang membingungkan, beberapa pembaruan ini telah tersedia selama beberapa hari sebelumnya – versi terbaru iOS adalah 13,5, dan diumumkan secara resmi di halaman pembaruan Keamanan utama Apple pada 20 Mei 2020.

Bahkan, pembaruan yang terdaftar untuk iOS dan watchOS masih ditandai [2020-05-27T12: 00Z] dengan kata-kata “perincian segera tersedia”, meskipun Apple Security Advisories memiliki perincian lengkap.

Dan pembaruan Apple untuk produk-produk perangkat lunak non-mobile tercakup secara rinci dalam email Advisory, tetapi belum disebutkan sama sekali di halaman keamanan HT201222.

Pembaruan ini memperbaiki 63 kerentanan yang ditandai dengan CVE di 11 email advisory. Catat bahwa 11 dari kerentanan ini memengaruhi perangkat lunak tepat di seluruh produk seluler, Mac dan Windows Apple.

Untuk setiap bug yang ditambal, Apple mencantumkan kemungkinan dampaknya, Sophos telah memfilter semua dampak disini.

Jadi apa yang harus dilakukan? “Menambal lebih awal, menambal lebih sering.”

Bahkan jika Anda telah mengatur Mac atau iDevice Anda untuk diperbarui secara otomatis, pastikan Anda memeriksa secara teratur bahwa sistem Anda benar-benar terbaru:
– Pada Mac, buka System Preferences> Update Software.
– Pada iPhone atau iPad, buka Sistem> Umum> Pembaruan Perangkat Lunak.

Selengkapnya dapat dibaca pada tautan di bawah ini:

Source: Naked Security by Sophos

Grup Hacker Turla Menggunakan Inbox Gmail Untuk Mengirim Perintah Kepada Malware

May 27, 2020 by Winnie the Pooh

Peneliti keamanan dari ESET telah menemukan serangan baru yang dilakukan oleh Turla, salah satu kelompok peretasan yang disponsori negara paling maju di Rusia.

Serangan-serangan baru itu terjadi pada Januari 2020. Para peneliti ESET mengatakan serangan itu menargetkan tiga entitas terkenal, seperti parlemen nasional di Kaukasus dan dua Kementerian Luar Negeri di Eropa Timur.

Serangan ini, menurut ESET, menggunakan versi terbaru dari malware ComRAT, yang berisi beberapa fitur baru yang cukup pintar.

Malware ComRAT, juga dikenal sebagai Agent.BTZ, adalah salah satu senjata tertua Turla, dan yang mereka gunakan untuk menyedot data dari jaringan Pentagon pada 2008.

Versi terbaru, yang dikenal sebagai ComRAT v4, pertama kali terlihat pada tahun 2017, namun, dalam sebuah laporan yang diterbitkan kemarin, ESET mengatakan mereka telah melihat variasi ComRAT v4 yang mencakup dua fitur baru, seperti kemampuan untuk mengambil log antivirus dan kemampuan untuk mengendalikan malware menggunakan kotak masuk Gmail.

Fitur pertama adalah kemampuan malware untuk mengumpulkan log antivirus dari host yang terinfeksi dan mengunggahnya ke salah satu server perintah dan kontrolnya. Matthieu Faou, peneliti ESET yang menganalisis malware ini, mengatakan kepada ZDNet bahwa operator Turla mungkin mengumpulkan log antivirus agar “memungkinkan mereka untuk lebih memahami jika dan salah satu sampel malware mereka terdeteksi.” Jika operator Turla melihat deteksi, mereka kemudian dapat mengubah malware mereka dan menghindari deteksi di masa depan pada sistem lain, di mana mereka kemudian dapat beroperasi tanpa terdeteksi.

Yang kedua, dan yang baru, adalah penggunaan antarmuka web Gmail. Faou mengatakan bahwa ComRAT v4 terbaru mengambil alih salah satu browser korban, memuat file cookie yang telah ditentukan, dan kemudian memulai sesi ke dasbor web Gmail. Di sini, malware membaca email terbaru di kotak masuk, mengunduh lampiran file, dan kemudian membaca instruksi yang terkandung di dalam file.

Idenya adalah bahwa setiap kali operator Turla ingin mengeluarkan perintah baru untuk instance ComRAT yang berjalan di host yang terinfeksi, peretas hanya perlu mengirim email ke alamat Gmail.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Bug Baru Android Yang Memungkinkan Malware Bertindak Seperti Aplikasi Legit Dan Mencuri Data Pengguna

May 27, 2020 by Winnie the Pooh

Peneliti keamanan telah menemukan kerentanan besar di hampir setiap versi Android, yang memungkinkan malware meniru aplikasi yang sah untuk mencuri kata sandi aplikasi dan data sensitif lainnya.

Kerentanan, yang dijuluki Strandhogg 2.0, mempengaruhi semua perangkat yang menjalankan Android 9.0 dan yang lebih lama. Ini adalah “kembaran jahat” dari bug sebelumnya dengan nama yang sama, menurut perusahaan keamanan Norwegia Promon, yang menemukan kedua kerentanan itu.

Strandhogg 2.0 berfungsi dengan menipu korban agar berpikir bahwa mereka memasukkan kata sandi pada aplikasi yang sah yang sebenarnya adalah jendela berbahaya. Strandhogg 2.0 juga dapat membajak izin aplikasi lain untuk menyedot data pengguna yang sensitif, seperti kontak, foto, dan melacak lokasi real-time korban.

Promon mengatakan bahwa mereka tidak memiliki bukti bahwa peretas telah menggunakan bug dalam kampanye peretasan aktif. Khawatir bug masih bisa disalahgunakan oleh peretas, Promon menunda merilis rincian bug sampai Google dapat memperbaiki kerentanan “kritis” ini.

Seorang korban harus mengunduh aplikasi jahat – yang disamarkan sebagai aplikasi normal – yang dapat mengeksploitasi kerentanan Strandhogg 2.0. Setelah terinstal dan ketika korban membuka aplikasi yang sah, aplikasi jahat dengan cepat membajak aplikasi dan menyuntikkan konten jahat di tempatnya, seperti jendela masuk palsu.

Ketika seorang korban memasukkan kata sandi mereka pada jendela palsu tersebut, kata sandi mereka akan dikirimkan ke server peretas. Aplikasi sebenarnya kemudian muncul seolah-olah login itu nyata.

Strandhogg 2.0 juga dapat membajak izin aplikasi lain yang memiliki akses ke kontak, foto, dan pesan korban dengan memicu permintaan izin.

Risiko untuk pengguna cenderung rendah, tetapi bukan tidak mungkin. Promon mengatakan memperbarui perangkat Android dengan pembaruan keamanan terbaru – sekarang – akan memperbaiki kerentanan. Pengguna disarankan untuk memperbarui perangkat Android mereka sesegera mungkin.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tech Crunch

Ribuan Sistem Perusahaan Terinfeksi Oleh Malware Blue Mockingbird Baru

May 27, 2020 by Winnie the Pooh

Ribuan sistem perusahaan diyakini telah terinfeksi dengan malware penambangan cryptocurrency yang dioperasikan oleh kelompok yang dilacak dengan nama Blue Mockingbird.

Ditemukan awal bulan ini oleh analis malware dari perusahaan keamanan cloud Red Canary, kelompok Blue Mockingbird diyakini telah aktif sejak Desember 2019. Para peneliti mengatakan Blue Mockingbird menyerang public-facing server yang menjalankan aplikasi ASP.NET yang menggunakan kerangka Telerik untuk komponen antarmuka pengguna (UI) mereka.

Peretas mengeksploitasi kerentanan CVE-2019-18935 untuk menanam web shell di server yang diserang. Mereka kemudian menggunakan versi teknik Juicy Potato untuk mendapatkan akses tingkat admin dan mengubah pengaturan server untuk mendapatkan (re)boot persistence.

Begitu mereka mendapatkan akses penuh ke suatu sistem, mereka mengunduh dan menginstal XMRRig, aplikasi penambangan cryptocurrency populer untuk cryptocurrency Monero (XMR).

Analis Red Canary mengatakan bahwa jika server IIS yang menghadap publik terhubung ke jaringan internal perusahaan, grup tersebut juga berupaya menyebar secara internal melalui koneksi RDP (Remote Desktop Protocol) atau SMB (Server Message Block) yang tidak diamankan dengan maksimal.

Dalam wawancara email awal bulan ini, Red Canary mengatakan kepada ZDNet bahwa mereka tidak memiliki pandangan penuh tentang operasi botnet ini, tetapi mereka percaya bahwa botnet setidaknya telah membuat 1.000 infeksi sejauh ini, hanya dari jarak pandang terbatas yang mereka miliki. Namun, Red Canary mengatakan jumlah perusahaan yang terkena dampak bisa jauh lebih tinggi, dan bahkan perusahaan yang percaya bahwa mereka aman berisiko terkena serangan.

Baca berita selengkapnya pada link di bawah ini:
Source: ZDNet | Red Canary

Istilah “Access for sale” Di DarkWeb

May 26, 2020 by Winnie the Pooh

Positive Technologies Security dalam blog nya menjelaskan apa yang dimaksud dengan “access for sale” dan “ransomware partner program”, betapa berbahayanya ancaman ini, dan risiko yang ditimbulkannya bagi bisnis.

Definisi
“Access for sale” di darkweb adalah istilah umum, merujuk pada perangkat lunak, eksploitasi, kredensial, atau apa pun yang memungkinkan pengontrolan secara ilegal satu atau lebih komputer dari jarak jauh. Berhasil meretas situs web, server web, database, atau workstation berarti penyerang memiliki akses. Akses ini dapat ditransfer atau dijual ke pihak ketiga, seperti kunci rumah.

Pasar yang terus berkembang
Hanya satu atau dua tahun yang lalu, penjahat tampaknya lebih tertarik pada server individu. Akses ke mereka dijual di darkweb hingga $20 per pop.
Namun, mulai paruh kedua tahun 2019, telah terlihat peningkatan jumlah postingan di pasar peretas yang mengiklankan akses ke jaringan perusahaan lokal. Lalu pada akhir 2019, lebih dari 50 akses ke jaringan perusahaan besar dari seluruh dunia tersedia untuk dijual.

Pembeli kemudian dapat mengembangkan serangan terhadap sistem bisnis atau menyewa tim peretas yang lebih terampil yang dapat dengan cepat mendapatkan hak administrator domain dan menginfeksi server penting dengan malware.

Yang pertama menggunakan skema ini adalah operator ransomware, yang membeli akses dengan harga tetap dari satu grup penjahat dan kemudian merekrut penjahat lain untuk menginfeksi jaringan lokal dengan malware dengan imbalan sebagian besar dari tebusan korban. Di forum darkweb, ini dikenal sebagai “ransomware affiliate program.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: Positives Technologies Security

Ransomware Ragnar Locker Menyebar Sebagai Mesin Virtual Untuk Menghindari Deteksi Keamanan

May 26, 2020 by Winnie the Pooh

Metode serangan ransomware baru membawa penghindaran pertahanan (defense evasion) ke tingkat baru — disebarkan sebagai mesin virtual penuh pada setiap perangkat yang ditargetkan untuk menyembunyikan ransomware dari pandangan.

Dalam serangan yang baru-baru ini terdeteksi, ransomware Ragnar Locker dikerahkan di dalam mesin virtual Oracle VirtualBox Windows XP. Payload serangan adalah sebuah installer 122 MB dengan 282 MB image virtual di dalamnya — semua untuk menyembunyikan ransomware 49 kB yang dapat dieksekusi.

Aktor di belakang Ragnar Locker diketahui mencuri data dari jaringan yang ditargetkan sebelum meluncurkan ransomware, untuk memberi ancaman agar korban membayar.

Pada bulan April, para aktor di belakang Ragnar Locker menyerang jaringan Energias de Portugal (EDP) dan mengklaim telah mencuri 10 terabyte data perusahaan yang sensitif, menuntut pembayaran 1.580 Bitcoin (sekitar $ 11 juta AS) dan mengancam akan merilis data jika tebusan tidak dibayarkan.

Baca berita selengkapnya pada tautan di bawah:
Source: Sophos News | Naked Security Sophos

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings