Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

10 aplikasi target trojan perbankan Android teratas dengan 1 miliar unduhan

by

Sepuluh trojan mobile banking Android paling produktif menargetkan 639 aplikasi keuangan yang secara kolektif memiliki lebih dari satu miliar unduhan di Google Play Store.

Trojan mobile banking bersembunyi di balik aplikasi yang tampaknya tidak berbahaya seperti alat produktivitas dan game dan biasanya menyelinap ke Google Play Store, toko aplikasi resmi Android.

Setelah menginfeksi perangkat, mereka melapisi halaman login di atas aplikasi perbankan dan keuangan yang sah untuk mencuri kredensial akun, memantau pemberitahuan untuk mengambil OTP, dan bahkan melakukan penipuan keuangan di perangkat dengan menyalahgunakan layanan Aksesibilitas untuk melakukan tindakan sebagai pengguna.

Menurut sebuah laporan oleh Zimperium yang memberikan gambaran umum tentang ekosistem Android pada kuartal pertama tahun 2021, masing-masing trojan ini telah mengambil tempat unik di pasar dengan berapa banyak organisasi yang mereka targetkan serta fungsionalitas yang membedakan mereka dari yang lain.

Temuan ini sangat mengkhawatirkan, karena menurut survei tahun 2021, tiga dari empat responden di AS menggunakan aplikasi perbankan untuk melakukan aktivitas perbankan harian mereka, memberikan kumpulan besar target untuk trojan ini.

Amerika Serikat menduduki puncak daftar negara yang paling ditargetkan memiliki 121 aplikasi yang ditargetkan. Inggris mengikuti dengan 55 aplikasi, Italia dengan 43, Turki dengan 34, Australia dengan 33, dan Prancis memiliki 31.

Trojan yang menargetkan sebagian besar aplikasi adalah Teabot, mencakup 410 dari 639 aplikasi yang dilacak, sementara Exobot juga menargetkan kumpulan 324 aplikasi yang cukup besar.

Aplikasi yang ditargetkan dengan unduhan terbanyak adalah PhonePe yang sangat populer di India, memiliki 100 juta unduhan dari Play Store.

Binance, aplikasi pertukaran cryptocurrency populer, menghitung 50 juta unduhan. Cash App, layanan pembayaran seluler yang mencakup AS dan Inggris, juga memiliki 50 juta pemasangan melalui Play Store. Keduanya juga menjadi sasaran beberapa trojan perbankan, bahkan jika mereka tidak menawarkan layanan perbankan konvensional.

Aplikasi yang paling banyak diincar adalah BBVA, portal perbankan online global dengan puluhan juta unduhan. Aplikasi ini ditargetkan oleh tujuh dari sepuluh trojan perbankan paling aktif.

Trojan perbankan paling produktif pada kuartal pertama tahun ini, menurut Zimperium, adalah sebagai berikut.

BianLian – Menargetkan Binance, BBVA, dan berbagai aplikasi Turki. Versi baru dari trojan yang ditemukan pada April 2022 menampilkan bypassing photoTAN, yang dianggap sebagai metode autentikasi yang kuat dalam perbankan online.
Cabassous – Menargetkan Barclays, CommBank, Halifax, Lloys, dan Santander . Menggunakan algoritma pembuatan domain (DGA) untuk menghindari deteksi dan penghapusan.
Coper – Menargetkan BBVA, Caixa Bank, CommBank, dan Santander. Ini secara aktif memantau “daftar yang diizinkan” pengoptimalan baterai perangkat dan memodifikasinya untuk membebaskan diri dari pembatasan.
EventBot – Menargetkan Barclays, Intensa, BancoPosta, dan berbagai aplikasi Italia lainnya. Itu bersembunyi sebagai Microsoft Word atau Adobe Flash, dan dapat mengunduh modul malware baru dari sumber jarak jauh.
Exobot – Menargetkan PayPal, Binance, Aplikasi Tunai, Barclays, BBVA, dan CaixaBank. Ini sangat kecil dan ringan karena menggunakan pustaka sistem bersama dan mengambil overlay dari C2 hanya jika diperlukan.
FluBot – BBVA, Caixa, Santander, dan berbagai aplikasi Spanyol lainnya yang ditargetkan. Trojan botnet terkenal karena distribusinya yang cepat menggunakan SMS dan daftar kontak perangkat yang disusupi.
Medusa – Menargetkan BBVA, CaixaBank, Ziraat, dan berbagai aplikasi bank Turki. Itu dapat melakukan penipuan pada perangkat dengan menyalahgunakan layanan aksesibilitas untuk bertindak sebagai pengguna biasa atas nama korban.
Sharkbot – Menargetkan Binance, BBVA, dan Coinbase. Ini menampilkan serangkaian kemampuan penghindaran deteksi dan anti-penghapusan yang kaya, serta enkripsi komunikasi C2 yang kuat.
Teabot – Menargetkan PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile, dan Coinbase. Ini fitur keylogger khusus untuk setiap aplikasi, dan memuatnya ketika pengguna meluncurkannya.
Xenomorph – Menargetkan BBVA dan berbagai aplikasi bank berbasis UE. Itu juga dapat berfungsi sebagai penetes untuk mengambil malware tambahan pada perangkat yang disusupi.
Seperti menjadi jelas dari atas, masing-masing dari sepuluh trojan perbankan paling produktif mempertahankan cakupan penargetan yang relatif sempit, sehingga ekosistem seimbang dan operator dapat memilih alat yang cocok dengan audiens target mereka.

Untuk melindungi dari semua ancaman ini, perbarui perangkat Anda, hanya instal aplikasi dari Google Play Store, periksa ulasan pengguna, kunjungi situs pengembang, dan pertahankan jumlah aplikasi yang diinstal di perangkat Anda seminimal mungkin.

Sumber: Bleeping Computer

Evil Corp beralih ke ransomware LockBit untuk menghindari sanksi

by

Kelompok kejahatan dunia maya Evil Corp kini telah beralih untuk menyebarkan ransomware LockBit pada jaringan target untuk menghindari sanksi yang dijatuhkan oleh Kantor Pengawasan Aset Asing (OFAC) Departemen Keuangan AS.

Aktif sejak 2007, Evil Corp (alias INDRIK SPIDER atau geng Dridex) dikenal karena mendorong malware Dridex dan kemudian beralih ke “bisnis” ransomware.

Geng mulai dengan ransomware Locky dan kemudian menyebarkan jenis ransomware mereka sendiri yang dikenal sebagai BitPaymer hingga 2019.

Sejak AS memberikan sanksi kepada mereka pada Desember 2019 karena menggunakan Dridex untuk menyebabkan kerugian finansial lebih dari $100 juta, grup tersebut beralih untuk memasang ransomware WastedLocker baru pada Juni 2020.

Dari Maret 2021, Evil Corp pindah ke jenis lain yang dikenal sebagai Hades ransomware, varian 64-bit dari WastedLocker yang ditingkatkan dengan kebingungan kode tambahan dan perubahan fitur kecil.

Sejak itu, para pelaku ancaman juga meniru kelompok peretas PayloadBin dan menggunakan jenis ransomware lain yang dikenal sebagai Macaw Locker dan Phoenix CryptoLocker.

Seperti yang baru-baru ini diamati oleh analis ancaman Mandiant, geng kejahatan dunia maya kini telah melakukan upaya lain untuk menjauhkan diri dari alat yang diketahui untuk memungkinkan korban membayar uang tebusan tanpa menghadapi risiko yang terkait dengan pelanggaran peraturan OFAC,

Sebuah cluster aktivitas yang dilacak oleh Mandiant sebagai UNC2165 (sebelumnya menyebarkan Hades ransomware dan ditautkan ke Evil Corp) sekarang menyebarkan ransomware sebagai afiliasi LockBit.

“Selain itu, pembaruan kode yang sering dan rebranding HADES membutuhkan sumber daya pengembangan dan masuk akal bahwa UNC2165 melihat penggunaan LOCKBIT sebagai pilihan yang lebih hemat biaya.”

Aktivitas ransomware LockBit (ID-Ransomware)

Taktik baru bertindak sebagai afiliasi operasi Ransomware sebagai Layanan (RaaS) kemungkinan akan memungkinkan mereka menginvestasikan waktu yang dibutuhkan untuk pengembangan ransomware ke dalam memperluas operasi penyebaran ransomware geng.

Teori lain adalah bahwa peralihan ke alat jahat orang lain dapat memberi Evil Corp sumber daya gratis yang cukup untuk mengembangkan jenis ransomware baru dari awal, sehingga mempersulit peneliti keamanan untuk menautkan ke operasi geng sebelumnya.

“Kami berharap para pelaku ini serta pihak lain yang terkena sanksi di masa depan mengambil langkah-langkah seperti ini untuk mengaburkan identitas mereka agar tidak menjadi faktor pembatas untuk menerima pembayaran dari para korban,” tutup Mandiant.

Sumber: Bleeping Computer

Geng Ransomware sekarang meretas situs web perusahaan untuk menampilkan catatan tebusan

by

Geng ransomware membawa pemerasan ke tingkat yang baru dengan meretas situs web perusahaan secara publik untuk menampilkan catatan tebusan secara publik.

Strategi pemerasan baru ini dilakukan oleh Industrial Spy, geng pemerasan data yang baru-baru ini mulai menggunakan ransomware sebagai bagian dari serangan mereka.

Sebagai bagian dari serangan mereka, Industrial Spy akan menembus jaringan, mencuri data, dan menyebarkan ransomware di perangkat. Pelaku ancaman kemudian mengancam akan menjual data yang dicuri di pasar Tor mereka jika uang tebusan tidak dibayarkan.

Contoh catatan tebusan mata-mata industri
Sumber: BleepingComputer

Hari ini, Industrial Spy mulai menjual data yang mereka klaim dicuri dari perusahaan Prancis bernama SATT Sud-Est seharga $500.000.

Seperti yang pertama kali diketahui oleh peneliti keamanan MalwareHunterTeam, serangan ini menonjol karena pelaku juga meretas situs web perusahaan untuk menampilkan pesan peringatan bahwa 200GB telah dicuri dan akan segera dijual jika korban tidak membayar uang tebusan.

SATT Sud-Est dirusak untuk menunjukkan catatan tebusan
Sumber: BleepingComputer

Ketika geng ransomware memeras korban, mereka biasanya memberi mereka waktu singkat, biasanya beberapa minggu, untuk bernegosiasi dan membayar uang tebusan sebelum mereka mulai membocorkan data.

Selama proses negosiasi ini, pelaku ancaman berjanji untuk merahasiakan serangan, memberikan kunci dekripsi, dan menghapus semua data jika uang tebusan dibayarkan.

Setelah periode ini, pelaku ancaman akan menggunakan berbagai metode untuk meningkatkan tekanan, termasuk serangan DDoS di situs web perusahaan, mengirim email kepada pelanggan dan mitra bisnis, dan menelepon eksekutif dengan ancaman.

Taktik ini semua dilakukan secara pribadi atau dengan eksposur minimal di situs kebocoran data mereka, yang biasanya hanya dikunjungi oleh peneliti keamanan siber dan media.

Sementara taktik ini di luar norma, memungkinkan geng ransomware untuk memberikan tekanan lebih lanjut pada korban, karena mendorong serangan menjadi sorotan di mana pelanggan dan mitra bisnis dapat lebih mudah melihatnya.

Namun, tidak diyakini bahwa taktik baru ini akan digunakan secara luas karena server web biasanya tidak di-host di jaringan perusahaan melainkan dengan penyedia hosting.

Oleh karena itu, pelaku ancaman perlu menemukan kerentanan di situs web atau mendapatkan akses ke kredensial saat mereka mencuri data dari jaringan internal.

Sumber: Bleeping Computer

Peretas LuoYu China menyebarkan malware spionase dunia maya melalui pembaruan aplikasi

by

Kelompok peretas berbahasa China yang dikenal sebagai LuoYu menginfeksi korban malware pencuri informasi WinDealer yang disebarkan dengan mengganti pembaruan aplikasi yang sah dengan muatan berbahaya dalam serangan man-on-the-side.

Untuk melakukan itu, pelaku ancaman secara aktif memantau lalu lintas jaringan target mereka untuk permintaan pembaruan aplikasi yang ditautkan ke aplikasi Asia populer seperti QQ, WeChat, dan WangWang dan menggantinya dengan penginstal WinDealer.

Setelah digunakan, WinDealer membantu penyerang mencari dan menyedot sejumlah besar data dari sistem Windows yang disusupi, menginstal pintu belakang untuk mempertahankan kegigihan, memanipulasi file, memindai perangkat lain di jaringan, dan menjalankan perintah sewenang-wenang.

Alih-alih menggunakan info server command-and-control (C2) hard-coded yang umum, WinDealer akan terhubung ke alamat IP ChinaNet (AS4134) acak dari provinsi Xizang dan Guizhou dari kumpulan 48.000 alamat IP, menurut peneliti keamanan di Kaspersky yang mengamati metode pengiriman baru ini.

Karena mengendalikan keseluruhan rentang IP ini kemungkinan tidak mungkin, penjelasan tentang bagaimana LuoYu mampu melakukan ini termasuk penggunaan router yang disusupi “pada rute ke (atau di dalam) AS4134,” penggunaan alat penegakan hukum tingkat ISP, atau ” menandakan metode intelijen yang tidak diketahui masyarakat umum.”

Aliran infeksi WinDealer (Kaspersky)

LuoYu telah beralih untuk menyalahgunakan mekanisme pembaruan otomatis dari aplikasi korban mereka setelah sebelumnya mendorong malware agar lebih mudah melakukan serangan lubang air di mana mereka akan menggunakan situs berita lokal yang disusupi sebagai vektor infeksi.

“Serangan man-on-the-side-sangat merusak, karena satu-satunya syarat yang diperlukan untuk menyerang perangkat adalah perangkat itu terhubung ke internet. Bahkan jika serangan gagal untuk pertama kalinya, penyerang dapat mengulangi prosesnya berulang kali. lagi sampai mereka berhasil,” jelas peneliti keamanan senior Kaspersky Suguru Ishimaru.

Menargetkan organisasi Korea dan Jepang setidaknya sejak 2014, LuoYu juga dikenal karena menyerang organisasi diplomatik asing di Tiongkok, komunitas akademik, dan organisasi dari berbagai sektor industri, termasuk pertahanan dan telekomunikasi.

Tim Riset dan Analisis Global Kaspersky (GReAT) juga telah melihat infeksi sesekali di negara lain seperti Jerman, Austria, Amerika Serikat, Republik Ceko, Rusia, dan India.

Baru-baru ini, LuoYu juga mulai mengejar perusahaan-perusahaan di Asia Timur dan cabang-cabangnya yang berlokasi di China.

Selain menargetkan perangkat Windows menggunakan WinDealer, kelompok peretas yang kurang dikenal ini sebelumnya telah diamati menyerang perangkat macOS, Linux, dan Android dengan malware Demsty (ReverseWindow) dan SpyDealer.

Sumber: Bleeping Computer

Peretas mencuri akun WhatsApp menggunakan trik penerusan panggilan

by

Ada trik yang memungkinkan penyerang untuk membajak akun WhatsApp korban dan mendapatkan akses ke pesan pribadi dan daftar kontak.

Metode ini bergantung pada layanan otomatis operator seluler untuk meneruskan panggilan ke nomor telepon yang berbeda, dan opsi WhatsApp untuk mengirim kode verifikasi kata sandi satu kali (OTP) melalui panggilan suara.

Rahul Sasi, pendiri dan CEO perusahaan perlindungan risiko digital CloudSEK, memposting beberapa detail tentang metode yang digunakan untuk meretas akun WhatsApp..

Hanya butuh beberapa menit bagi penyerang untuk mengambil alih akun WhatsApp korban, tetapi mereka perlu mengetahui nomor telepon target dan bersiap untuk melakukan beberapa rekayasa sosial.

Sasi mengatakan bahwa penyerang pertama-tama perlu meyakinkan korban untuk melakukan panggilan ke nomor yang dimulai dengan kode Man Machine Interface (MMI) yang diatur oleh operator seluler untuk mengaktifkan penerusan panggilan.

Tergantung pada operatornya, kode MMI yang berbeda dapat meneruskan semua panggilan ke terminal ke nomor yang berbeda atau hanya ketika saluran sedang sibuk atau tidak ada penerimaan.

Kode-kode ini dimulai dengan simbol bintang (*) atau tanda pagar (#). Mereka mudah ditemukan dan dari penelitian yang kami lakukan, semua operator jaringan seluler besar mendukungnya.

Peneliti menjelaskan bahwa 10 digit nomor adalah milik penyerang dan kode MMI di depannya memberitahu operator seluler untuk meneruskan semua panggilan ke nomor telepon yang ditentukan setelahnya ketika saluran korban sibuk.

Begitu mereka menipu korban untuk meneruskan panggilan ke nomor mereka, penyerang memulai proses pendaftaran WhatsApp di perangkat mereka, memilih opsi untuk menerima OTP melalui panggilan suara.

WhatsApp mengirimkan kode OTP melalui teks atau panggilan suara
Opsi WhatsApp untuk menerima kata sandi satu kali, sumber: BleepingComputer

Setelah mereka mendapatkan kode OTP, penyerang dapat mendaftarkan akun WhatsApp korban di perangkat mereka dan mengaktifkan otentikasi dua faktor (2FA), yang mencegah pemilik sah mendapatkan kembali akses.

Meskipun metodenya tampak sederhana, membuatnya bekerja membutuhkan sedikit lebih banyak usaha, seperti yang ditemukan BleepingComputer selama pengujian.

Pertama, penyerang perlu memastikan bahwa mereka menggunakan kode MMI yang meneruskan semua panggilan, terlepas dari status perangkat korban (tanpa syarat). Misalnya, jika MMI hanya meneruskan panggilan saat saluran sedang sibuk, panggilan tunggu dapat menyebabkan pembajakan gagal.

Selama pengujian, BleepingComputer memperhatikan bahwa perangkat target juga menerima pesan teks yang menginformasikan bahwa WhatsApp sedang terdaftar di perangkat lain.

Pengguna mungkin melewatkan peringatan ini jika penyerang juga beralih ke manipulasi psikologis dan melibatkan target dalam panggilan telepon cukup lama untuk menerima kode OTP WhatsApp melalui suara.

Jika penerusan panggilan telah diaktifkan pada perangkat korban, penyerang harus menggunakan nomor telepon yang berbeda dari yang digunakan untuk pengalihan – ketidaknyamanan kecil yang mungkin memerlukan lebih banyak rekayasa sosial.

Petunjuk paling jelas tentang aktivitas mencurigakan bagi pengguna target terjadi setelah operator seluler mengaktifkan penerusan panggilan untuk perangkat mereka, karena aktivasi disertai dengan peringatan yang dihamparkan di layar yang tidak akan hilang hingga pengguna mengonfirmasikannya.

Peringatan operator seluler tentang aktivasi penerusan panggilan
Operator seluler memperingatkan pengguna saat penerusan panggilan menjadi aktif, sumber: BleepingComputer

Bahkan dengan peringatan yang sangat terlihat ini, pelaku ancaman masih memiliki peluang sukses yang baik karena sebagian besar pengguna tidak terbiasa dengan kode MMI atau pengaturan ponsel yang menonaktifkan penerusan panggilan.

Terlepas dari hambatan ini, pelaku kejahatan dengan keterampilan rekayasa sosial yang baik dapat merancang skenario yang memungkinkan mereka membuat korban sibuk di telepon sampai mereka mendapatkan kode OTP untuk mendaftarkan akun WhatsApp korban di perangkat mereka.

Postingan Sasi mengacu pada operator seluler Airtel dan Jio, masing-masing dengan lebih dari 400 juta pelanggan pada Desember 2020, menurut data publik.

Melindungi dari serangan jenis ini semudah mengaktifkan perlindungan otentikasi dua faktor di WhatsApp. Fitur ini mencegah pelaku jahat mendapatkan kendali atas akun dengan meminta PIN setiap kali Anda mendaftarkan ponsel ke aplikasi perpesanan.

Sumber: Bleeping Computer

Platform blogging Telegram disalahgunakan dalam serangan phishing

by

Platform blogging anonim Telegram, Telegraph, secara aktif dieksploitasi oleh pelaku phishing yang memanfaatkan kebijakan lemah platform untuk menyiapkan halaman arahan sementara yang mengarah pada pencurian kredensial akun.

Telegraph adalah platform blogging yang memungkinkan siapa pun mempublikasikan apa pun tanpa membuat akun atau memberikan detail identifikasi apa pun.

Postingan Telegraph yang diterbitkan menghasilkan tautan yang dapat didistribusikan oleh pelaku ancaman dengan cara apa pun yang mereka pilih, tetapi tidak ada lokasi pusat untuk mempromosikan postingan ini ke komunitas. Oleh karena itu, Telegraph cepat, sederhana, dan anonim.

Selain itu, karena editor Telegraph mendukung penambahan gambar, tautan, dan menawarkan opsi pemformatan teks, seseorang dapat membuat posting blog tampak seperti halaman web, termasuk formulir login.

Menurut laporan INKY pelaku phishing menggunakan Telegraph secara ekstensif untuk membuat situs phishing yang terlihat seperti halaman arahan situs web atau portal masuk.

Data INKY dari akhir 2019 hingga Mei 2022 menunjukkan bahwa penyertaan tautan Telegraph dalam email phishing telah mengalami peningkatan yang tajam baru-baru ini, karena lebih dari 90% dari semua deteksi terjadi tahun ini.

Tingkat pengiriman email phishing sangat baik karena tautan ini dihosting di Telegraph, platform yang tidak ditandai sebagai berbahaya atau mencurigakan oleh solusi keamanan email apa pun.

Dalam banyak kasus, INKY memperhatikan bahwa email phishing berasal dari akun email yang dibajak, sehingga daftar blokir pada alamat scam yang diketahui akan dilewati.

Dalam sebagian besar kasus yang tercatat, tujuan pelaku phishing adalah melakukan penipuan cryptocurrency atau memanen kredensial akun target mereka.

Kasus-kasus yang dilihat oleh INKY sangat bervariasi, menunjukkan bahwa penyalahgunaan Telegraph berasal dari beberapa kelompok/pelaku, bukan kelompok ancaman tertentu.

Salah satu contohnya adalah pemberitahuan OneDrive yang mengarah ke halaman masuk Microsoft yang tampak realistis di mana korban diminta untuk memasukkan kredensial akun mereka.

Peringatan OneDrive yang dipalsukan di Telegraph (INKY)
Portal phishing akun Microsoft (INKY)

Dalam kasus lain, INKY melihat pesan pemerasan yang mengancam akan membocorkan file pribadi jika penerima tidak membayar uang tebusan. Portal pembayaran di-host langsung di Telegraph, menawarkan beberapa opsi pembayaran untuk korban penipuan.

Pembayaran penipuan Cryptocurrency di Telegraph (INKY)

Pelaku phishing terus-menerus bereksperimen dengan cara baru yang dapat meningkatkan peluang keberhasilan mereka. Mereka sering mencapai tujuan ini dengan menggabungkan akun email curian dan situs gratis seperti Telegraph.

Untuk alasan ini, pengguna tidak boleh mempercayai email hanya karena melewati perlindungan. Jika mendapat tautan arahkan kursor ke atasnya untuk melihat ke mana arahnya sebelum mengklik.

Setiap kali Anda tiba di situs yang meminta kredensial akun Anda, konfirmasikan bahwa Anda telah masuk ke portal masuk resmi sebelum mengetik apa pun di dalam kotak.

Sumber: Bleeping Computer

Peretas SideWinder menanam aplikasi VPN Android palsu di Google Play Store

by

Kampanye phishing yang dikaitkan dengan aktor ancaman tingkat lanjut bernama SideWinder melibatkan aplikasi VPN palsu untuk perangkat Android yang dipublikasikan di Google Play Store bersama dengan alat khusus yang memfilter korban untuk penargetan yang lebih baik.

SideWinder adalah grup APT yang sudah aktif setidaknya sejak 2012, diyakini sebagai aktor asal India dengan tingkat kecanggihan yang relatif tinggi.

Peneliti keamanan di Kaspersky mengaitkan hampir 1.000 serangan dengan kelompok ini dalam dua tahun terakhir. Di antara target utamanya adalah organisasi di Pakistan, Cina, Nepal, dan Afghanistan.

Musuh mengandalkan infrastruktur yang cukup besar yang mencakup lebih dari 92 alamat IP, terutama untuk serangan phishing, menampung ratusan domain dan subdomain yang digunakan sebagai server perintah dan kontrol.

Infrastruktur grup APT SideWinder, sumber: Group-IB

Kampanye phishing baru-baru ini yang dikaitkan dengan SideWinder (alias RattleSnake, Razor Tiger, T-APT-04, APT-C-17, Hardcore Nationalist) menargetkan organisasi di Pakistan baik di sektor publik maupun swasta.

Para peneliti di perusahaan keamanan siber Group-IB awal tahun ini mendeteksi dokumen phishing yang memikat para korban dengan dokumen yang mengusulkan “diskusi formal tentang dampak penarikan AS dari Afghanistan terhadap keamanan maritim.”

Umpan yang digunakan oleh grup APT SideWinder dalam kampanye phishing, sumber: Group-IB

Dalam laporan yang dibagikan dengan BleepingComputer, Group-IB mengatakan bahwa SideWinder juga telah diamati di situs web pemerintah yang mengkloning sebelumnya (misalnya portal pemerintah di Sri Lanka) untuk mencuri kredensial pengguna.

Kampanye phishing baru-baru ini juga menggunakan metode ini terhadap target, karena aktor tersebut membuat beberapa situs web yang meniru domain sah pemerintah Pakistan:
Selengkapnya

Selama penyelidikan, para peneliti menemukan tautan phishing yang dialihkan ke domain sah “securevpn.com.” Tujuannya masih belum jelas, tetapi bisa jadi untuk memilih target yang menarik dan mengarahkan mereka ke situs jahat.

Tautan lain yang ditemukan oleh Group-IB diunduh dari Google Play, toko aplikasi Android resmi, versi palsu dari aplikasi ‘VPN Aman’, yang masih ada di Google Play pada saat penulisan dan memiliki lebih dari 10 unduhan.

Aplikasi VPN Aman Palsu di Google Play yang digunakan oleh SiderWinder APT dalam kampanye phishing, sumber: BleepingComputer

Para peneliti mencatat bahwa deskripsi yang tersedia untuk aplikasi Secure VPN palsu SideWinder telah disalin dari aplikasi NordVPN yang sah.

Saat runtime, aplikasi Secure VPN palsu membuat beberapa permintaan ke dua domain yang kemungkinan dimiliki oleh penyerang tetapi ini tidak tersedia selama penyelidikan dan permintaan ke direktori root dialihkan ke domain NordVPN yang sah.

Sayangnya, para peneliti tidak dapat mengkonfirmasi tujuan dari aplikasi VPN palsu atau apakah itu berbahaya atau tidak. Namun, SideWinder telah menggunakan aplikasi palsu di Google Play di masa lalu, seperti yang ditunjukkan oleh penelitian sebelumnya dari Trend Micro.

Daftar tindakan yang dapat dilakukan oleh aplikasi palsu sebelumnya dari SideWinder untuk mengumpulkan dan mengirim ke perintah dan mengontrol informasi server seperti:
Selengkapnya

aplikasi mereka mampu mengumpulkan sejumlah parameter pada host yang ditargetkan dan mengirim informasi kembali ke C2 mereka. Parameter tersebut meliputi: Lokasi, Status baterai, File di perangkat, Daftar aplikasi yang diinstal, Informasi perangkat, Informasi sensor, Informasi kamera, Tangkapan layar, Akun, informasi Wifi, Data WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail, dan Chrome .

Group-IB juga menemukan bahwa musuh menggunakan alat khusus yang baru saja ditambahkan ke gudang senjata mereka, dilacak secara internal oleh Group-IB sebagai SideWinder.AntiBot.Script.

Jika skrip mendeteksi pengunjung dari IP di Pakistan, skrip akan dialihkan ke lokasi berbahaya. Parameter berikut diperiksa untuk menentukan apakah pengunjung merupakan target potensial atau tidak:

  • Posisi geografis
  • Versi sistem operasi
  • Data tentang agen pengguna
  • Pengaturan bahasa sistem

Itu juga dapat menentukan jumlah prosesor logis pada sistem dan kartu video yang digunakan oleh host, serta mengakses wadah kredensial di browser web, yang dapat mengembalikan kata sandi yang disimpan.

Memeriksa kartu video kemungkinan akan menentukan apakah host digunakan untuk tujuan analisis malware, karena dibandingkan dengan ukuran layar perangkat.

Fungsi lain dalam skrip, yang paling signifikan, digunakan untuk menyajikan file berbahaya dan untuk mengarahkan target non-minat ke sumber daya yang sah.

Sumber: Bleeping Computer

Operasi malware FluBot Android dimatikan oleh penegak hukum

by

Europol telah mengumumkan penghapusan operasi FluBot, salah satu operasi malware Android terbesar dan dengan pertumbuhan tercepat yang pernah ada.

Penghapusan operasi malware dihasilkan dari operasi penegakan hukum yang melibatkan sebelas negara setelah penyelidikan teknis yang kompleks untuk menentukan infrastruktur paling kritis FluBot.

Peserta operasi tersebut adalah Australia, Belgia, Finlandia, Hungaria, Irlandia, Spanyol, Swedia, Swiss, Belanda, dan Amerika Serikat.

Seperti yang diumumkan Polisi Belanda hari ini, mereka telah memutuskan sepuluh ribu korban dari jaringan FluBot dan mencegah lebih dari 6,5 juta SMS spam menjangkau calon korban.

Pada Maret 2021, polisi di Spanyol menangkap empat tersangka yang kemudian dianggap sebagai anggota kunci dari operasi FluBot, karena malware tersebut terutama menginfeksi pengguna di wilayah tersebut.

Namun, jeda dalam distribusinya hanya sesaat, karena malware pulih ke tingkat yang belum pernah terjadi sebelumnya yang menargetkan beberapa negara lain di luar Spanyol.

Namun kali ini, Europol menggarisbawahi bahwa infrastruktur FluBot berada di bawah kendali penegak hukum, sehingga tidak dapat dinyalakan kembali.

FluBot adalah malware Android yang mencuri kredensial akun perbankan dan cryptocurrency dengan melapisi halaman phishing di atas antarmuka aplikasi yang sah ketika korban membukanya.

Selain itu, ia dapat mengakses konten SMS dan memantau notifikasi, sehingga otentikasi dua faktor dan kode OTP dapat diambil dengan cepat.

Proliferasinya yang cepat adalah berkat penyalahgunaan daftar kontak perangkat yang terinfeksi untuk mengirim SMS ke semua kontak melalui orang yang mereka percayai.

Orang yang perangkatnya disalahgunakan untuk spamming tidak akan melihat sesuatu yang aneh karena semuanya terjadi di latar belakang.

Dengan cara ini, dengan hanya mencapai beberapa infeksi, FluBot dengan cepat meningkatkan jumlah korban di tempat-tempat tertentu di seluruh dunia dan menyebar seperti api di sana.

Skema operasi utama FluBot (Europol)

Adapun metode distribusi untuk “patient-zero”, ini termasuk aplikasi yang dicampur di Google Play Store, pesan pengiriman paket palsu, pembaruan aplikasi Flash Player, dan banyak lagi.

Jika menurut Anda FluBot mungkin telah menginfeksi perangkat Anda, Europol menyarankan Anda melakukan reset pabrik yang menghapus semua data di partisi yang dapat menampung malware.

Sumber: Bleeping Computer