Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Trojan

Trojan

Peretas StrongPity Mendistribusikan Aplikasi Telegram yang Di-Trojan untuk Menargetkan Pengguna Android

by

Grup ancaman persisten tingkat lanjut (APT) yang dikenal sebagai StrongPity telah menargetkan pengguna Android dengan versi trojan dari aplikasi Telegram melalui situs web palsu yang menyamar sebagai layanan obrolan video bernama Shagle.

“Situs peniru, meniru layanan Shagle, digunakan untuk mendistribusikan aplikasi backdoor seluler StrongPity,” peneliti malware ESET. StrongPity, juga dikenal dengan nama APT-C-41 dan Promethium, adalah kelompok cyberespionage yang aktif setidaknya sejak tahun 2012, dengan mayoritas operasinya berfokus pada Suriah dan Turki. Keberadaan grup tersebut pertama kali dilaporkan ke publik oleh Kaspersky pada Oktober 2016.

StrongPity diamati menyebarkan malware Android untuk pertama kalinya dengan kemungkinan membobol portal e-government Suriah dan mengganti file APK Android resmi dengan mitra nakal.

Temuan terbaru dari ESET menyoroti modus operandi serupa yang dirancang untuk mendistribusikan versi terbaru dari muatan pintu belakang Android, yang dilengkapi untuk merekam panggilan telepon, melacak lokasi perangkat, dan mengumpulkan pesan SMS, log panggilan, daftar kontak, dan file.

Perusahaan cybersecurity Slovakia menggambarkan implan sebagai modular dan mampu mengunduh komponen tambahan dari server perintah-dan-kontrol (C2) jarak jauh untuk mengakomodasi tujuan kampanye StrongPity yang terus berkembang.

Juga tidak ada bukti (“video.apk”) bahwa aplikasi tersebut dipublikasikan di Google Play Store resmi. Saat ini tidak diketahui bagaimana calon korban dibujuk ke situs web palsu, dan apakah itu memerlukan teknik seperti rekayasa sosial, peracunan mesin pencari, atau iklan penipuan.

Aspek penting lainnya dari serangan itu adalah bahwa versi Telegram yang dirusak menggunakan nama paket yang sama dengan aplikasi Telegram asli, yang berarti varian backdoor tidak dapat diinstal pada perangkat yang sudah menginstal Telegram.

sumber : thehackernews

Mata-mata Rusia yang Terkenal Membonceng Infeksi USB Peretas Lain

by

Kelompok CYBERESPIONAGE RUSIA yang dikenal sebagai Turla tampaknya sedang mencoba trik baru: membajak infeksi USB dari peretas lain untuk membonceng infeksi mereka dan secara diam-diam memilih target mata-mata mereka.

Teknik baru Turla pertama kali terungkap pada bulan September tahun lalu, ketika responden insiden perusahaan menemukan pelanggaran jaringan yang aneh di Ukraina, negara yang menjadi fokus utama dari semua layanan intelijen Kremlin setelah bencana invasi Rusia Februari lalu. Beberapa komputer di jaringan itu telah terinfeksi setelah seseorang memasukkan drive USB ke salah satu port mereka dan mengklik dua kali pada file berbahaya di drive yang telah disamarkan sebagai folder, menginstal malware yang disebut Andromeda.

Andromeda adalah trojan perbankan yang relatif umum digunakan penjahat dunia maya untuk mencuri kredensial korban sejak awal 2013.

satu contoh di Ukraina dari infeksi Andromeda yang dibajak yang mendistribusikan malware Turla. Tetapi perusahaan menduga kemungkinan ada lebih banyak. Hultquist memperingatkan bahwa tidak ada alasan untuk percaya bahwa target mata-mata diam-diam yang membonceng infeksi USB Andromeda akan terbatas hanya pada satu target, atau bahkan hanya Ukraina. “Turla memiliki mandat pengumpulan intelijen global,” katanya.

Penemuan Mandiant atas teknik peretasan berbasis USB lainnya yang lebih tersembunyi di tangan Turla harus menjadi pengingat bahwa bahkan sekarang, 15 tahun kemudian, vektor intrusi berbasis USB hampir tidak menghilang. Tancapkan drive yang terinfeksi ke port USB Anda hari ini, tampaknya, dan Anda mungkin menawarkan undangan tidak hanya kepada penjahat dunia maya yang tidak cerdas, tetapi juga jenis operasi yang jauh lebih canggih yang bersembunyi di belakang mereka.

sumber: wired

Infeksi Malware Android SpyNote Melonjak Setelah Source Code Leak

by

SpyNote (atau SpyMax) tiba-tiba mengalami peningkatan deteksi pada kuartal terakhir tahun 2022, yang dikaitkan dengan kebocoran kode sumber dari salah satu yang terbaru, yang dikenal sebagai ‘CypherRat.’

‘CypherRat’ menggabungkan kemampuan memata-matai SpyNote, seperti menawarkan akses jarak jauh, pelacakan GPS, dan pembaruan status dan aktivitas perangkat, dengan fitur trojan perbankan yang menyamar sebagai lembaga perbankan untuk mencuri kredensial akun.

Pelaku ancaman dengan cepat mengambil kode sumber malware dan meluncurkan kampanye mereka sendiri. Hampir seketika, varian khusus muncul yang menargetkan bank terkemuka seperti HSBC dan Deutsche Bank.

Beberapa bank yang ditargetkan oleh SpyNote (ThreatFabric)

Aktivitas ini diamati oleh analis ThreatFabric, yang memperingatkan tentang kemungkinan CypherRat menjadi ancaman yang lebih meluas.

Fitur malware SpyNote
Semua varian SpyNote yang beredar bergantung pada permintaan akses ke Layanan Aksesibilitas Android untuk diizinkan menginstal aplikasi baru, mencegat pesan SMS (untuk bypass 2FA), mengintai panggilan, dan merekam video dan audio di perangkat.

Aplikasi berbahaya meminta akses ke Layanan Aksesibilitas (ThreatFabric)

ThreatFabric mencantumkan yang berikut ini sebagai fitur “menonjol”:

Gunakan Camera API untuk merekam dan mengirim video dari perangkat ke server C2

  • GPS dan informasi pelacakan lokasi jaringan
  • Mencuri kredensial akun Facebook dan Google.
  • Gunakan Aksesibilitas (A11y) untuk mengekstrak kode dari Google Authenticator.
  • Gunakan keylogging didukung oleh layanan Aksesibilitas untuk mencuri kredensial perbankan.
  • Untuk menyembunyikan kode jahatnya dari pengawasan, versi terbaru SpyNote menggunakan pengaburan string dan menggunakan pengemas komersial untuk membungkus APK.

Selain itu, semua informasi yang diambil dari SpyNote ke server C2-nya disamarkan menggunakan base64 untuk menyembunyikan host.

Pelaku ancaman saat ini menggunakan CypherRat sebagai trojan perbankan, tetapi malware tersebut juga dapat digunakan sebagai spyware dalam operasi spionase bertarget volume rendah.

pengguna disarankan untuk sangat berhati-hati selama penginstalan aplikasi baru, terutama jika berasal dari luar Google Play, dan menolak permintaan untuk memberikan izin untuk mengakses Layanan Aksesibilitas.

Sayangnya, meskipun Google berupaya terus-menerus untuk menghentikan penyalahgunaan API Layanan Aksesibilitas oleh malware Android, masih ada cara untuk melewati batasan yang diberlakukan.

sumber : bleepingcomputer

Kampanye Malware BitRAT Menggunakan Data Bank Curian Untuk Phishing

by Leave a Comment

Pelaku ancaman di balik kampanye malware baru-baru ini telah menggunakan informasi yang dicuri dari nasabah bank di Kolombia sebagai umpan dalam email phishing yang dirancang untuk menginfeksi target dengan trojan BitRAT, menurut perusahaan keamanan cloud Qualys.

Infrastruktur bank koperasi Kolombia yang dirahasiakan telah dibajak oleh penyerang saat menyelidiki umpan BitRAT dalam serangan phishing aktif. Sejumlah 418.777 catatan berisi data sensitif pelanggan dicuri dari server yang dilanggar.

Qualys juga menemukan bukti bahwa penyerang telah mengakses data pelanggan, termasuk log yang menunjukkan bahwa mereka mencari bug injeksi SQL menggunakan alat sqlmap.

Belum ada informasi yang dicuri dari server bank Kolombia yang ditemukan di web yang dipantau oleh Qualys.

Malware dikirim ke komputer korban melalui file Excel berbahaya yang menjatuhkan dan mengeksekusi file INF, disandikan dalam makro yang disamarkan, dibundel dengan lampiran.

Umpan BitRAT Excel (Qualys)

Pada tahap terakhir serangan, malware RAT memindahkan pemuatnya ke folder startup Windows untuk mendapatkan persistensi dan memulai ulang secara otomatis setelah sistem dinyalakan ulang.

Setidaknya Agustus 2020, BitRAT telah dijual sebagai malware siap pakai di pasar web gelap dan forum kejahatan dunia maya dengan harga $20 untuk akses seumur hidup.

BitRAT dapat digunakan untuk berbagai tujuan jahat, seperti merekam video dan audio, pencurian data, serangan DDoS, penambangan mata uang kripto, dan mengirimkan muatan tambahan.

Selengkapnya: BleepingComputer

Hacker Mencuri $8 Juta dari Pengguna Aplikasi Trojanized BitKeep

by

Beberapa pengguna dompet crypto BitKeep melaporkan bahwa dompet mereka dikosongkan selama Natal setelah peretas memicu transaksi yang tidak memerlukan verifikasi.

BitKeep adalah dompet DeFi web3 multi-rantai terdesentralisasi yang mendukung lebih dari 30 blockchain, 76 jaringan utama, 20.000 aplikasi terdesentralisasi, dan lebih dari 223.000 aset. Ini digunakan oleh lebih dari delapan juta orang di 168 negara untuk manajemen aset dan penanganan transaksi.

“Jika dana Anda dicuri, aplikasi yang Anda unduh atau perbarui mungkin merupakan versi yang tidak dikenal (unofficial release version) yang dibajak.”

Pemberitahuan BitKeep di Telegram

Mereka yang mengunduh paket APK trojan disarankan untuk memindahkan semua dana mereka ke toko resmi setelah mengunduh aplikasi resmi dari Google Play atau App Store, membuat alamat dompet baru dan memindahkan semua dana mereka ke sana.

Platform memperingatkan bahwa setiap alamat dompet yang dibuat menggunakan APK jahat harus diperlakukan sebagai disusupi.

Terakhir, mereka yang menjadi korban peretasan diminta mengisi formulir ini agar tim dukungan BitKeep mencoba menawarkan solusi tepat waktu.

Transaksi mencurigakan yang ditemukan oleh PeckShield termasuk 4373 $BNB, 5,4 juta $USDT, 196k $DAI, dan 1233,21 $ETH.

tracing transaksisi illegal (PeckShield)

Pada Oktober 2022, BitKeep mengalami kerugian sekitar $1 juta setelah seorang peretas mengeksploitasi kerentanan dalam layanan yang memungkinkan mereka melakukan pertukaran token secara sewenang-wenang.

Saat itu, BitKeep berjanji akan mengganti kerugian sepenuhnya bagi mereka yang terkena dampak insiden tersebut. Namun, karena serangan saat ini diakibatkan oleh pengguna yang ditipu oleh APK yang di-trojanisasi, kecil kemungkinan akan ada pengembalian dana.

sumber : bleeping computer

Malware Android GodFather Menargetkan 400 Bank, Pertukaran Crypto

by

Malware perbankan Android bernama ‘Godfather’ telah menargetkan pengguna di 16 negara, mencoba mencuri kredensial akun untuk lebih dari 400 situs perbankan online dan pertukaran cryptocurrency.

Malware Godfather muncul di atas formulir masuk aplikasi perbankan dan crypto exchange ketika korban mencoba masuk ke situs, menipu pengguna untuk memasukkan kredensial mereka di halaman phishing HTML yang dibuat sebaik mungkin tanpa mencurigakan.

Analis Group-IB menemukan Trojan Godfather, yang dipercaya sebagai penerus Anubis, sebuah trojan perbankan yang kini tak lagi banyak digunakan karena ketidakmampuannya untuk melewati pertahanan Android yang lebih baru.

Menargetkan Bank di Seluruh Dunia
Group-IB telah menemukan distribusi malware yang terbatas pada aplikasi di Google Play Store, Namun belum berhasil menemukan saluran distribusi utama, sehingga metode infeksi awal sebagian besar tidak diketahui.

Sejumlah 215 aplikasi ditargetkan oleh Godfather adalah aplikasi perbankan, kemudian 110 adalah platform pertukaran cryptocurrency, dan 94 aplikasi dompet cryptocurrency.

Ikhtisar Penargetan Godfather (Group-IB)

Penulis Godfather diperkirakan berbahasa Rusia yang tinggal di wilayah CIS (Commonwealth of Independent States) karena jika trojan dikonfigurasi untuk memeriksa bahasa sistem dan diubah ke Rusia, Azerbaijan, Armenia, Belarusia, Kazakh, Kyrgyz, Moldovan, Uzbek, atau Tajik, ia menghentikan operasinya.

Godfather
Godfather meniru ‘Google Protect’ layaknya alat keamanan standar perangkat Android. Setelah memiliki hak Layanan Aksesibilitas yang disetujui korban, malware dapat mengeluarkan sendiri semua izin yang diperlukan untuk melakukan perilaku jahat.

Akses yang diperoleh adalah teks dan notifikasi SMS, perekaman layar, kontak, melakukan panggilan, menulis ke penyimpanan eksternal, membaca status perangkat, mencegah pengguna menghapus trojan, mengekstrak OTP Google Authenticator, memproses perintah, dan mencuri konten bidang PIN dan kata sandi.

Malware juga dapat menghasilkan notifikasi palsu dari aplikasi yang dipasang di perangkat korban untuk membawa korban ke halaman phishing.

Contoh overlay palsu yang menargetkan pengguna Turki (Group-IB)


Koneksi ke Anubis
Godfather kemungkinan merupakan proyek baru dari penulis Anubis atau malware baru yang dibuat oleh grup ancaman baru. Persamaannya terlihat dari metode menerima alamat C2, pemrosesan, dan implementasi perintah C2, modul pemalsuan web, modul proxy, dan modul tangkapan layar.

Secara keseluruhan, Godfather adalah trojan berbahaya yang menargetkan daftar ekstensif aplikasi dan pengguna Android dari seluruh dunia. Tetaplah unduh aplikasi hanya dari Google Play, perbarui perangkat, gunakan alat, pastikan Play Protect aktif, dan pertahankan jumlah aplikasi yang terpasang seminimal mungkin untuk melindungi diri dari ancaman.

Selengkapnya: BLEEPINGCOMPUTER

Aplikasi File Android Menginfeksi Ribuan Orang dengan Malware Sharkbot

by

Kumpulan baru aplikasi Android berbahaya yang berpura-pura sebagai pengelola file yang tidak berbahaya telah menyusup ke toko aplikasi resmi Google Play, menginfeksi pengguna dengan trojan perbankan Sharkbot.

Aplikasi tidak membawa muatan berbahaya saat penginstalan untuk menghindari deteksi saat dikirimkan di Google Play, tetapi mengambilnya nanti dari sumber daya jarak jauh.

Karena aplikasi trojan adalah pengelola file, kecil kemungkinannya menimbulkan kecurigaan saat meminta izin berbahaya untuk memuat malware Sharkbot.

Pengelola File Palsu Menginfeksi Android
Sharkbot adalah malware berbahaya yang mencoba mencuri rekening bank online dengan menampilkan formulir login palsu melalui permintaan login yang sah di aplikasi perbankan. Saat pengguna mencoba masuk ke bank mereka menggunakan salah satu formulir palsu ini, kredensial dicuri dan dikirim ke pelaku ancaman.

Dalam laporan baru oleh Bitdefender, analis menemukan aplikasi trojan Android baru yang menyamar sebagai pengelola file dan melaporkannya ke Google. Semuanya telah dihapus dari Google Play Store.

X-File Manager di Google Play (Bitdefender)

Aplikasi ini melakukan pemeriksaan anti-emulasi untuk menghindari deteksi dan hanya akan memuat Sharkbot di SIM Britania Raya atau Italia, jadi ini adalah bagian dari kampanye yang ditargetkan.

Daftar aplikasi bank seluler yang ditargetkan oleh malware ditampilkan di bawah, tetapi seperti yang dicatat Bitdefender, pelaku ancaman dapat memperbarui daftar ini dari jarak jauh kapan saja.

Bank yang ditargetkan oleh kampanye Sharkbot ini (Bitdefender)

Aplikasi jahat meminta pengguna untuk memberikan izin berisiko seperti membaca dan menulis penyimpanan eksternal, menginstal paket baru, mengakses detail akun, menghapus paket (untuk menghapus jejak), dll.

Sharkbot diambil sebagai pembaruan program palsu, yang diminta X-File Manager untuk disetujui pengguna sebelum menginstal.

Aplikasi jahat kedua yang memasang trojan perbankan adalah ‘FileVoyager’ oleh Julia Soft Io LLC (com.potsepko9.FileManagerApp), diunduh 5.000 kali melalui Google Play.

FileVoyager menampilkan pola operasional yang sama dengan X-File Manager dan menargetkan lembaga keuangan yang sama di Italia dan Inggris.

Aplikasi pemuatan Sharkbot lain yang ditemukan oleh Bitdefender adalah ‘LiteCleaner M’ (com.ltdevelopergroups.litecleaner.m), yang mengumpulkan 1.000 unduhan sebelum ditemukan dan dihapus dari Play Store.

sumber : bleeping computer

Magento Menjadi Sasaran Besar Serangan TrojanOrders

by

Setidaknya tujuh kelompok peretas berada di balik lonjakan besar dalam serangan ‘TrojanOrders’ yang menargetkan situs web Magento 2, mengeksploitasi kerentanan yang memungkinkan pelaku ancaman untuk mengkompromikan server yang rentan.

Perusahaan keamanan situs web Sansec memperingatkan bahwa hampir 40% situs web Magento 2 menjadi sasaran serangan, dengan kelompok peretas yang saling bertarung untuk menguasai situs yang terinfeksi.

Serangan ini digunakan untuk menyuntikkan kode JavaScript berbahaya ke situs web toko online yang dapat menyebabkan gangguan bisnis yang signifikan dan pencurian kartu kredit pelanggan besar-besaran selama periode Black Friday dan Cyber Monday yang sibuk.

Diagram serangan ‘TrojanOrders’ yang terdeteksi
Sumber: Sansec

Serangan TrojanOrders
TrojanOrders adalah nama serangan yang mengeksploitasi kerentanan kritis Magento 2 CVE-2022-24086, memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode dan menyuntikkan RAT (trojan akses jarak jauh) di situs web yang belum ditambal.

Saat melakukan serangan TrojanOrders, peretas biasanya membuat akun di situs web target dan melakukan pemesanan yang berisi kode templat berbahaya di bidang nama, PPN, atau lainnya.

Setelah mendapatkan pijakan di situs web, penyerang memasang trojan akses jarak jauh untuk membuat akses permanen dan kemampuan untuk melakukan tindakan yang lebih rumit.

Penyerang akhirnya memodifikasi situs untuk menyertakan JavaScript berbahaya yang mencuri informasi pelanggan dan nomor kartu kredit saat membeli produk di toko.

Mengapa ada lonjakan setelah sekian lama?
Pertama, sejumlah besar situs Magento 2 tetap rentan terhadap serangan ini, bahkan sepuluh bulan setelah tambalan tersedia.

Kedua, eksploitasi PoC (bukti konsep) telah tersedia sejak lama, memungkinkan pembuat kit eksploit untuk memasukkannya ke dalam alat dan keuntungan mereka dengan menjualnya ke peretas berketerampilan rendah.

Eksploitasi Magento ini sangat melimpah sehingga dijual dengan harga serendah $2.500, sedangkan pada awal 2022, harganya antara $20.000 dan $30.000.

Cara melindungi situs Anda (dan pelanggan)
Jika Anda belum menerapkan pembaruan keamanan yang membahas CVE-2022-24086, Anda harus melakukannya sesegera mungkin.

Gunakan pemindai malware backend untuk menemukan potensi infeksi di masa lalu yang menyebabkan injeksi RAT di situs Anda.

Sansec mengatakan alat resmi Magento, Pemindaian Keamanan, hanya mengikis ujung depan, sehingga tidak dapat menangkap TrojanOrders.

Mendeteksi dan menghapus malware dan pintu belakang PHP hanya akan menghentikan infeksi di masa mendatang jika tambalan Magento 2 diterapkan, jadi ini masih merupakan langkah paling penting yang harus diambil.

sumber : bleeping computer