Threat

Pelaku Ancaman Licik Menggunakan Domain ‘Tua’ untuk Menghindari Platform Keamanan

December 1, 2022 by Mally

Pelaku ancaman canggih bernama ‘CashRewindo’ telah menggunakan domain ‘tua’ dalam kampanye maliklan global yang mengarah ke situs penipuan investasi.

Malvertising melibatkan injeksi kode JavaScript berbahaya di iklan digital dipromosikan oleh jaringan periklanan yang sah, mengarahkan pengunjung situs web ke laman yang menghosting formulir phishing, menjatuhkan malware, atau menjalankan penipuan.

Analis di Confiant telah melacak ‘CashRewindo’ sejak 2018, dan dapat ditemukan di Eropa, Amerika utara dan selatan, Asia, dan Afrika.

Global tetapi sangat ditargetkan
Setiap kampanye CashRewindo menargetkan audiens tertentu, sehingga halaman arahan dikonfigurasi untuk menampilkan penipuan atau halaman kosong atau tidak berbahaya untuk target yang tidak valid.

Laman landas dengan tombol ‘klik di sini’ (Confiant)

This is done by checking the timezone, device platform, and language used on the visitor’s system.

Users and devices outside the target audience clicking the embedded “Click Here” button will be redirected to an innocuous site.

Pengguna tersebut dibawa ke halaman scam dan akhirnya dialihkan ke platform investasi cryptocurrency palsu yang menjanjikan pengembalian investasi yang tidak realistis.

Confiant melaporkan bahwa selama 12 bulan, telah mencatat lebih dari 1,5 juta tayangan CashRewindo, terutama menargetkan perangkat Windows.

20 lokasi paling bertarget teratas ditampilkan dalam tabel di bawah ini.

Penipuan investasi tersebar luas, tetapi biasanya, pelaku ancaman lebih memilih kuantitas daripada kualitas, mendorong situs palsu mereka yang dibuat dengan tergesa-gesa ke kumpulan besar pengguna dan menghosting platform penipuan di domain yang baru terdaftar yang akan segera offline.

CashRewindo mengikuti pendekatan berbeda yang membutuhkan lebih banyak pekerjaan tetapi secara signifikan meningkatkan peluang keberhasilan bagi pelaku ancaman.

sumber : bleeping computer

Tantangan TikTok ‘Invisible Body’ Dieksploitasi Untuk mendorong Malware

November 29, 2022 by Mally

Peretas memanfaatkan tantangan TikTok yang sedang tren bernama ‘Tantangan Tak Terlihat’ untuk menginstal malware di ribuan perangkat dan mencuri kata sandi, akun Discord, dan, berpotensi, dompet cryptocurrency.

Tantangan TikTok yang baru dan sedang tren mengharuskan Anda memfilmkan diri Anda telanjang saat menggunakan filter “Tubuh Tak Terlihat” TikTok, yang menghapus tubuh dari video dan menggantinya dengan latar belakang buram.

Untuk memanfaatkan ini, pelaku ancaman membuat video TikTok yang mengklaim menawarkan filter “unfiltering” khusus untuk menghapus efek penyamaran tubuh TikTok dan mengekspos tubuh telanjang para TikToker.

perangkat lunak tersebut palsu dan menginstal malware “WASP Stealer (Discord Token Grabber)”, yang mampu mencuri akun Discord, kata sandi, dan kartu kredit yang disimpan di browser, dompet cryptocurrency, dan bahkan file dari komputer korban.

Video-video ini menerima lebih dari satu juta tampilan segera setelah diposting, dengan salah satu server Discord aktor ancaman mengumpulkan lebih dari 30.000 anggota.

Menargetkan tren TikTok
Pengguna TikTok yang sekarang ditangguhkan @learncyber dan @kodibtc membuat video untuk mempromosikan aplikasi perangkat lunak untuk “menghapus filter badan tak terlihat” yang ditawarkan di server Discord bernama “Space Unfilter.”

Pelaku ancaman telah memindahkan server Discord ini, tetapi Checkmarx menyatakan bahwa mereka memiliki sekitar 32.000 anggota pada satu titik.

Video TikTok yang diposting oleh penyerang (Checkmarx)

Setelah para korban bergabung dengan server Discord, mereka melihat tautan yang diposting oleh bot yang menunjuk ke repositori GitHub yang menghosting malware tersebut.

Serangan ini sangat sukses sehingga repositori jahat tersebut telah mencapai status “proyek GitHub yang sedang tren”, dan meskipun telah diganti namanya, saat ini memiliki 103 bintang dan 18 garpu

Paket jahat menyalin kode asli tetapi berisi modifikasi untuk menginstal malware WASP di host.

“Serangan ini menunjukkan lagi bahwa penyerang dunia maya telah mulai memusatkan perhatian mereka pada ekosistem paket sumber terbuka; Kami percaya tren ini hanya akan meningkat pada tahun 2023.”

Server Discord “Unfilter Space” dibuat offline, dengan pelaku ancaman mengklaim telah pindah ke server lain.

sumber : bleeping computer

Acer Memperbaiki Bug UEFI yang Dapat menonaktifkan Secure Boot

November 29, 2022 by Mally

Acer telah memperbaiki kerentanan tingkat tinggi yang memengaruhi beberapa model laptop yang dapat memungkinkan penyerang lokal untuk menonaktifkan UEFI Secure Boot pada sistem yang ditargetkan.

Fitur keamanan Secure Boot memblokir bootloader sistem operasi yang tidak tepercaya di komputer dengan chip Trusted Platform Module (TPM) dan firmware Unified Extensible Firmware Interface (UEFI) untuk mencegah kode berbahaya seperti rootkit dan bootkit dimuat selama proses startup.

Penyerang dengan hak istimewa tinggi dapat menyalahgunakannya dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna untuk mengubah pengaturan UEFI Secure Boot dengan memodifikasi variabel NVRAM BootOrderSecureBootDisable untuk menonaktifkan Secure Boot.

Setelah mengeksploitasi kerentanan pada laptop Acer yang terpengaruh dan mematikan Secure Boot, pelaku ancaman dapat membajak proses pemuatan OS dan memuat bootloader yang tidak ditandatangani untuk melewati atau menonaktifkan perlindungan dan menyebarkan muatan berbahaya dengan hak istimewa sistem.

Pembaruan BIOS tersedia, pembaruan Windows masuk
pelanggan dapat mengunduh pembaruan BIOS dari situs web dukungan perusahaan dan menerapkannya secara manual pada sistem yang terpengaruh.

Mengizinkan pelaku ancaman untuk menjalankan kode berbahaya yang tidak ditandatangani sebelum boot OS dapat menyebabkan konsekuensi yang parah, termasuk penyebaran malware yang dapat bertahan di antara penginstalan ulang OS dan melewati perlindungan anti-malware yang disediakan oleh solusi keamanan.

sumber : bleeping computer

34 Grup Cybercrime Rusia Mencuri Lebih dari 50 Juta Kata Sandi dengan Malware Stealer

November 25, 2022 by Mally

Sebanyak 34 geng berbahasa Rusia mendistribusikan malware pencuri informasi di bawah model pencuri sebagai layanan mencuri tidak kurang dari 50 juta kata sandi dalam tujuh bulan pertama tahun 2022.

Mayoritas korban berada di AS, diikuti oleh Brasil, India, Jerman, Indonesia, Filipina, Prancis, Turki, Vietnam, dan Italia. Secara total, lebih dari 890.000 perangkat di 111 negara terinfeksi selama jangka waktu tersebut.

Group-IB mengatakan anggota dari beberapa grup scam yang menyebarkan pencuri informasi sebelumnya berpartisipasi dalam operasi Classiscam.

Setelah kompromi yang berhasil, para penjahat dunia maya menjajakan informasi yang dicuri di web gelap untuk mendapatkan uang.

Perkembangan tersebut menyoroti peran penting yang dimainkan oleh Telegram dalam memfasilitasi berbagai kegiatan kriminal, termasuk berfungsi sebagai pusat untuk mengumumkan pembaruan produk, menawarkan dukungan pelanggan, dan mengekstraksi data dari perangkat yang disusupi.

Temuan ini juga mengikuti laporan baru dari SEKOIA, yang mengungkapkan bahwa tujuh tim traffer yang berbeda telah menambahkan pencuri informasi yang sedang naik daun yang dikenal sebagai Aurora ke perangkat mereka.

“Popularitas skema yang melibatkan pencuri dapat dijelaskan dengan hambatan masuk yang rendah,” jelas Group-IB. “Pemula tidak perlu memiliki pengetahuan teknis lanjutan karena prosesnya sepenuhnya otomatis dan satu-satunya tugas pekerja adalah membuat file dengan pencuri di bot Telegram dan mengarahkan lalu lintas ke sana.”

sumber : the hacker news

Microsoft: Popular IoT SDKs Leave Critical Infrastructure Wide Open to Cyberattack

November 25, 2022 by Mally

Microsoft minggu ini mengidentifikasi vektor serangan menganga untuk menonaktifkan sistem kontrol industri (ICS), yang sayangnya menyebar di seluruh jaringan infrastruktur penting: server Web Boa.

Mungkin tampak aneh bahwa server akhir masa pakai yang berusia hampir 20 tahun masih berkeliaran, tetapi Boa termasuk dalam serangkaian kit pengembang perangkat lunak (SDK) populer yang digunakan pengembang perangkat Internet of Things dalam desain kritis mereka. komponen untuk ICS,

Ini termasuk SDK yang dirilis oleh RealTek yang digunakan dalam SOC yang disediakan untuk perusahaan yang memproduksi perangkat gateway seperti router, titik akses, dan repeater, catat para peneliti.

Ternyata komponen yang rentan dalam serangan tersebut adalah server Web Boa. Menurut postingan blog Microsoft Security Threat Intelligence yang diterbitkan pada 22 November, server Web dan kerentanan yang diwakilinya dalam rantai pasokan komponen IoT seringkali tidak diketahui oleh pengembang dan administrator yang mengelola sistem dan berbagai perangkatnya.

Membuat Penemuan
kelompok ancaman Hive mengklaim serangan ransomware pada Tata Power di India. Dan dalam pelacakan aktivitas mereka yang berkelanjutan, para peneliti terus melihat penyerang mencoba mengeksploitasi kerentanan Boa, “menunjukkan bahwa itu masih ditargetkan sebagai vektor serangan” dan akan terus menjadi satu selama server ini digunakan.

maka dari hal tersebut jaringan ICS untuk mengidentifikasi kapan server Boa yang rentan sedang digunakan dan untuk menambal kerentanan sedapat mungkin, serta mengambil tindakan lain untuk mengurangi risiko dari serangan di masa mendatang, kata para peneliti

tindakan yang perlu dipertimbangkan untuk mitigasi termasuk menggunakan pemindaian antivirus proaktif untuk mengidentifikasi muatan berbahaya pada perangkat; mengonfigurasi aturan deteksi untuk mengidentifikasi aktivitas berbahaya jika memungkinkan; dan mengadopsi solusi IoT dan OT yang komprehensif untuk memantau perangkat, merespons ancaman, dan meningkatkan visibilitas untuk mendeteksi dan memperingatkan saat perangkat IoT dengan Boa digunakan sebagai titik masuk ke jaringan.

sumber : dark reading

Peretas Dapat Menyebabkan Bencana pada Deepwater Horizon

November 25, 2022 by Mally

Jaringan fasilitas minyak dan gas lepas pantai di A.S. berada pada risiko yang serius dan semakin meningkat dari serangan siber yang berpotensi sangat membahayakan. jika serangan dunia maya berhasil mengenai infrastruktur lepas pantai negara tersebut, hal itu dapat menyebabkan bencana dengan dampak yang serupa dengan bencana Deepwater Horizon.

Saat ini terdapat lebih dari 1.600 bangunan di landas kontinen luar yang terlibat dalam produksi minyak dan gas yang tersebar di pesisir Atlantik, Pasifik, dan Alaska, serta Teluk Meksiko. Struktur tersebut sangat bergantung pada teknologi operasional yang dikendalikan dari jarak jauh. Peretasan itu sangat memalukan mengingat bahwa kebocoran itu adalah hasil dari satu kata sandi yang disusupi, dan audit teknologi yang dilakukan tiga tahun sebelum pelanggaran tersebut menemukan bahwa sistem Kolonial dapat diretas oleh “anak kelas delapan,” kata salah satu auditor kemudian.

Jaringan fasilitas dan infrastruktur minyak dan gas lepas pantai nasional diatur oleh Bureau of Safety and Environmental Enforcement (BSEE). The Government Accountability Office (GAO) menemukan bahwa operasi minyak dan gas semakin berpindah ke pekerjaan jarak jauh dan “produksi minyak dan gas tak berawak menjadi semakin umum.” Pada saat yang sama, banyak sistem teknologi operasional yang sudah ketinggalan zaman atau terhubung ke bisnis yang lebih besar dan sistem TI dalam perusahaan yang dapat diakses dari jarak jauh.

Kegagalan sistem keamanan otomatis adalah bagian dari rangkaian masalah yang menyebabkan ledakan Deepwater Horizon 2010, tumpahan minyak terbesar dalam sejarah AS yang menewaskan 11 orang.

“Aktor ancaman semakin mampu melakukan serangan terhadap infrastruktur penting, termasuk infrastruktur minyak dan gas lepas pantai,” laporan itu menemukan. “Pada saat yang sama, infrastruktur menjadi lebih rentan terhadap serangan.

sumber : gizmodo

Peneliti Diam-diam Membobol Kunci Ransomware Zeppelin

November 24, 2022 by Mally

Peter adalah seorang manajer TI untuk produsen teknologi yang terkena serangan ransomware Rusia yang disebut “Zeppelin”. Peter, yang berbicara terus terang tentang serangan tanpa menyebut nama, mengatakan FBI menyuruhnya untuk menghubungi perusahaan konsultan keamanan dunia maya di New Jersey bernama Unit 221B, dan khususnya pendirinya – Lance James.

Dalam sebuah wawancara dengan KrebsOnSecurity, James mengatakan Unit 221B berhati-hati dalam mengiklankan kemampuannya untuk memecahkan kunci ransomware Zeppelin karena tidak ingin menyerahkan tangannya kepada pencipta Zeppelin, yang cenderung memodifikasi pendekatan enkripsi file mereka jika mereka mendeteksi itu entah bagaimana. sedang dilewati.

Kelompok Zeppelin tampaknya telah berhenti menyebarkan kode ransomware mereka secara bertahap selama setahun terakhir, mungkin karena rujukan Unit 221B dari FBI membiarkan mereka diam-diam membantu hampir dua lusin organisasi korban pulih tanpa membayar pemeras mereka.

Para peneliti mengatakan jeda mereka datang ketika mereka memahami bahwa sementara Zeppelin menggunakan tiga jenis kunci enkripsi yang berbeda untuk mengenkripsi file, mereka dapat membatalkan keseluruhan skema dengan memfaktorkan atau menghitung hanya salah satunya: Kunci publik RSA-512 singkat yang dihasilkan secara acak pada setiap mesin yang terinfeksi.

Unit 221B akhirnya membuat versi Linux “Live CD” yang dapat dijalankan oleh korban pada sistem yang terinfeksi untuk mengekstrak kunci RSA-512 tersebut. Dari sana, mereka akan memuat kunci ke dalam sekelompok 800 CPU yang disumbangkan oleh raksasa Digital Ocean hosting yang kemudian akan mulai memecahkannya.

Jon adalah korban ransomware Zeppelin lainnya yang dibantu oleh upaya dekripsi Unit 221B. Penyerang yang merusak perusahaan Jon berhasil melakukan phishing kredensial dan token autentikasi multi-faktor untuk beberapa alat yang digunakan perusahaan untuk mendukung pelanggan, dan dalam waktu singkat mereka telah menguasai server dan cadangan untuk pelanggan penyedia layanan kesehatan.

Pada Agustus 2022, FBI dan Cybersecurity & Infrastructure Security Agency (CISA) mengeluarkan peringatan bersama pada Zeppelin, mengatakan FBI telah “mengamati contoh di mana aktor Zeppelin mengeksekusi malware mereka beberapa kali dalam jaringan korban, menghasilkan pembuatan ID yang berbeda. atau ekstensi file, untuk setiap kejadian serangan; ini mengakibatkan korban memerlukan beberapa kunci dekripsi unik.”

Pada saat perusahaan Jon berhasil mendekripsi data mereka, mereka dipaksa oleh regulator untuk membuktikan bahwa tidak ada data pasien yang telah diekstraksi dari sistem mereka. Secara keseluruhan, majikannya membutuhkan waktu dua bulan untuk pulih sepenuhnya dari serangan itu.

sumber : krebson security

AS menuntut tersangka BEC dengan penargetan program perawatan kesehatan federal

November 24, 2022 by Mally

Departemen Kehakiman AS (DOJ) telah menuntut sepuluh terdakwa atas dugaan keterlibatan mereka dalam skema kompromi email bisnis (BEC) yang menargetkan banyak korban di seluruh negeri, termasuk program pendanaan federal AS seperti Medicare dan Medicaid.

Untuk mengelabui target agar percaya bahwa pembayaran dilakukan ke akun yang sah, US DOJ mengatakan penyerang memalsukan alamat email rumah sakit untuk meminta program asuransi kesehatan publik dan swasta untuk beralih ke rekening bank baru (dikendalikan oleh rekan konspirator) untuk mengirim pembayaran. pelayanan medis.

Tuduhan US DOJ yang tidak disegel juga terkait dengan pencucian uang dan skema penipuan kawat terhadap para terdakwa di berbagai negara bagian:

enam terdakwa di Distrik Utara Georgia (Patrick Ndong-Bike, Desmond Nkwenya, Cory Smith, Chisom Okonkwo, Olugbenga Abu, Trion Thomas)
satu terdakwa di Distrik Carolina Selatan (Biliamin Fagbewesa)
satu terdakwa sebelumnya didakwa di Distrik Utara Georgia (Malachi Mullings)
yang sebelumnya dibebankan di Distrik Timur Virginia (Sauveur Blanchard)
terdakwa ketiga yang sebelumnya didakwa di Distrik Utara Texas (Adewale Adesanya) telah mengajukan pengakuan bersalah dan dijatuhi hukuman empat tahun penjara

Skema mereka diduga menyebabkan kerugian lebih dari $4,7 juta bagi Medicare, Medicaid, dan perusahaan asuransi kesehatan swasta A.S. dan kerugian lebih dari $6,4 juta bagi lembaga pemerintah federal A.S., perusahaan swasta, dan individu.

Business email compromise is a $43 billion scam
Penipu BEC menggunakan banyak taktik—termasuk phishing, rekayasa sosial, dan peretasan—untuk mengalihkan transfer bank target ke rekening bank yang mereka kendalikan.

Sayangnya, seperti yang diungkapkan FBI, tingkat keberhasilan mereka juga sangat tinggi karena mereka umumnya menyamar sebagai orang yang dipercaya oleh target, seperti mitra bisnis atau eksekutif perusahaan.

sumber : bleeping computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings