Trojan

Aplikasi berbahaya di Google Play menjatuhkan Trojan perbankan di perangkat pengguna

March 10, 2021 by Winnie the Pooh

Google telah menghapus 10 aplikasi dari Play Store yang berisi dropper untuk Trojan keuangan.

Pada hari Selasa, Check Point Research (CPR) mengatakan dalam sebuah posting blog bahwa aplikasi Android tampaknya telah dikirimkan oleh pelaku ancaman yang sama yang membuat akun pengembang baru untuk setiap aplikasi.

Dropper dimuat ke dalam perangkat lunak yang tampak tidak bersalah dan masing-masing dari 10 aplikasi adalah utilitas, termasuk Cake VPN, Pacific VPN, BeatPlayer, QR/Barcode Scanner MAX, dan QRecorder.

Fungsionalitas utilitas diambil dari aplikasi Android sumber terbuka resmi yang ada.

Untuk menghindari deteksi oleh perlindungan keamanan standar Google, Firebase digunakan sebagai platform untuk komunikasi perintah dan kontrol (C2) dan GitHub disalahgunakan untuk mengunduh payload.

Menurut para peneliti, infrastruktur C2 dropper tersembunyi berisi parameter – aktifkan atau nonaktifkan – untuk ‘memutuskan’ apakah akan memicu fungsi jahat aplikasi atau tidak. Parameter disetel ke “false” hingga Google telah memublikasikan aplikasi, dan kemudian perangkap muncul.

Dijuluki Clast82, CPR mengatakan dropper yang baru ditemukan telah dirancang untuk mengirimkan malware finansial. Setelah dipicu, muatan tahap kedua ditarik dari GitHub termasuk mRAT dan AlienBot.

MRAT digunakan untuk menyediakan akses jarak jauh ke perangkat seluler yang disusupi, sedangkan AlienBot memfasilitasi injeksi kode berbahaya ke dalam aplikasi keuangan yang sah dan ada. Penyerang dapat membajak aplikasi perbankan untuk mendapatkan akses ke akun pengguna dan mencuri data keuangan mereka, dan malware juga akan mencoba mencegat kode otentikasi dua faktor (2FA).

Selengkapnya: ZDNet

Trojan baru yang jahat ini mencuri detail login dari Chrome, Edge, dan Outlook

February 19, 2021 by Winnie the Pooh

Tim intelijen ancaman di Cisco Talos telah menemukan kampanye trojan baru yang dapat mencuri kredensial pribadi dari browser web, Microsoft Outlook, dan aplikasi perpesanan instan. Metode serangan dimulai dengan email phishing yang berisi lampiran file HTML berbahaya.

“Metode ini menggunakan pendekatan multi-modular yang dimulai dengan email phishing awal dan dilanjutkan ke muatan akhir,” Vanja Svajcer, peneliti yang bekerja untuk Cisco Talos, menjelaskan. “Musuh di balik kampanye ini kemungkinan besar melakukan ini untuk menghindari deteksi. Tapi itu juga bisa menjadi kelemahan, karena ada banyak peluang bagi defender untuk menghancurkan killchain”.

Penyerang pertama-tama mengirim email dengan baris subjek yang mengklaim terkait dengan bisnis tertentu. Ini akan disertai dengan lampiran RAR yang membuat file dengan ekstensi RAR “r00” dan kemudian ekstensi .chm. File CHM adalah format HTML terkompilasi dan, dalam hal ini, berisi kode JavaScript yang akan memulai proses infeksi.

Jenis trojan yang digunakan dalam kampanye ini dikenal sebagai “Masslogger” dan telah terlihat di alam liar sebelumnya. Masslogger pertama kali dirilis pada April 2020 dan dijual di forum peretasan sebagai cara untuk mencuri kredensial, sebagian besar dari browser tetapi juga dari klien email dan aplikasi perpesanan.

Cisco Talos mengidentifikasi pesan email yang menargetkan Latvia, Lituania, Turki, Bulgaria, Estonia, Rumania, Hongaria, Italia, dan Spanyol, dengan beberapa pesan tertulis dalam bahasa Inggris.

Selengkapnya: Tech Radar | Cisco Talos

Email phishing ini menjanjikan Anda bonus – tetapi sebenarnya mengirimkan malware trojan Windows

February 16, 2021 by Winnie the Pooh

Kampanye phishing baru mencoba memikat korban agar mengunduh versi terbaru dari trojan malware – dan memiliki tautan ke salah satu operasi kriminal siber paling produktif yang aktif di dunia saat ini.

Trojan Bazar pertama kali muncul tahun lalu dan penyebaran malware trojan yang berhasil dapat memberi penjahat siber sebuah backdoor ke dalam sistem Windows yang dikompromikan, memungkinkan mereka untuk mengontrol perangkat dan mendapatkan akses tambahan ke jaringan untuk mengumpulkan informasi sensitif atau mengirimkan malware, termasuk ransomware.

Para peneliti telah mengaitkannya dengan pengembang Trickbot, salah satu bentuk malware paling umum untuk peretas kriminal yang ingin masuk ke jaringan.

Sekarang para peneliti keamanan siber di Fortinet telah mengidentifikasi varian baru dari trojan Bazar, yang telah dilengkapi dengan teknik anti-analisis untuk membuat malware lebih sulit dideteksi oleh perangkat lunak anti-virus.

Ini termasuk menyembunyikan API berbahaya dalam kode dan hanya memanggilnya saat diperlukan, obfuscation kode tambahan, dan bahkan mengenkripsi string kode tertentu agar lebih sulit untuk dianalisis.

Teknik baru ditambahkan ke Bazar menjelang akhir Januari dan bertepatan dengan kampanye phishing yang dirancang untuk mendistribusikan versi terbaru dari malware tersebut.

Tema yang digunakan oleh email phishing yang dirancang untuk menarik minat dari calon korban perusahaan termasuk laporan keluhan pelanggan palsu, laporan tagihan palsu, dan penawaran bonus finansial palsu.

Untuk menghindari menjadi korban serangan phishing yang menyebarkan Bazar atau jenis malware lainnya, para peneliti merekomendasikan agar organisasi memberikan panduan kepada karyawan tentang cara mengidentifikasi dan melindungi diri dari serangan dan penipuan.

Sumber: ZDNet

Peretas Korea Utara meluncurkan RokRat Trojan dalam kampanye melawan Korea Selatan

January 8, 2021 by Winnie the Pooh

Grup peretas Korea Utara memanfaatkan Trojan RokRat dalam gelombang baru kampanye melawan pemerintah Korea Selatan.

Remote Access Trojan (RAT) telah dihubungkan dengan serangan tersebut berdasarkan eksploitasi pengolah kata bahasa Korea yang biasa digunakan di Korea Selatan selama beberapa tahun; khususnya, kompromi Hangul Office documents (.HWP).

Dulu, malware ini telah digunakan dalam kampanye phishing yang memikat korban melalui email yang berisi lampiran bertema politik – seperti penyatuan Korea dan hak asasi manusia Korea Utara.

RokRat diyakini merupakan hasil karya APT37, juga dikenal sebagai ScarCruft, Reaper, dan Group123. Aktif sejak 2012, setidaknya, kelompok APT ini kemungkinan besar disponsori negara, dan berpotensi ditugaskan untuk menargetkan entitas yang bernilai untuk partai yang berkuasa di Korea Utara.

Dalam posting blog minggu ini, Malwarebytes menggambarkan penemuan dokumen berbahaya baru yang diunggah ke Virus Total pada 7 Desember. File sampel mengklaim sebagai permintaan untuk pertemuan pada awal 2020, menunjukkan bahwa serangan telah terjadi selama tahun lalu.

Dokumen tersebut tidak mengikuti jalur .HWP tradisional dari APT37; sebaliknya, makro yang disematkan menggunakan teknik dekode mandiri VBA untuk mendekode dirinya sendiri ke dalam memori Microsoft Office.

Setelah Microsoft Office disusupi, stub unpacker kemudian menyematkan varian RokRat ke perangkat lunak Notepad. Menurut Malwarebytes, teknik ini memungkinkan melewati “beberapa mekanisme keamanan” dengan hanya sedikit usaha.

Sumber: ZDNet

Malware Backdoor Tor ‘off the shelf’ sekarang menjadi favorit oleh perusahaan operator ransomware

December 18, 2020 by Winnie the Pooh

Trojan Remote Access Trojan (RAT) yang dijual di forum bawah tanah telah berevolusi untuk menyalahgunakan Tor saat mempertahankan persistensi pada mesin yang terinfeksi.

Dijuluki SystemBC, RAT telah berevolusi dari bertindak sebagai jaringan pribadi virtual (VPN) melalui proxy SOCKS5 menjadi pintu belakang yang memanfaatkan jaringan Tor untuk membangun persistensi dan membuat pelacakan server perintah dan kontrol (C2) yang terhubung menjadi tugas yang lebih sulit. Menurut para peneliti, malware SystemBC berbasis Windows mampu menjalankan perintah Windows, penyebaran skrip, mengimplementasikan DLL berbahaya, administrasi dan pemantauan jarak jauh, dan membangun pintu belakang bagi operator untuk menghubungkan malware ke C2 untuk menerima perintah.

Sophos Labs mengatakan bahwa selama tahun ini, SystemBC telah berkembang dan fitur telah ditingkatkan, yang mengarah pada peningkatan popularitas dengan pembeli termasuk operator ransomware.

sumber : ZDNET

Trojan Windows Baru Mencuri Kredensial Browser, Outlook Files

December 15, 2020 by Winnie the Pooh

Para peneliti telah menemukan trojan pencuri informasi baru, yang menargetkan sistem Microsoft Windows dengan kemampuan eksfiltrasi data yang hebat – mulai dari mengumpulkan kredensial browser hingga menargetkan file Outlook.

Trojan, yang disebut PyMicropsia (karena dibuat dengan Python) telah dikembangkan oleh kelompok ancaman AridViper, kata peneliti, yang dikenal sering menargetkan organisasi di Timur Tengah.

“AridViper adalah kelompok ancaman aktif yang terus mengembangkan alat baru sebagai bagian dari persenjataan mereka,” kata peneliti dari tim Unit42 Palo Alto dalam sebuah analisis.

Peneliti juga mengatakan bahwa ada beberapa bagian dari malware yang belum digunaka, menandakan bahwa malware masih dalam tahap pengembangan.

Kemampuan trojan info-stealer ini mencakup pengunggahan file, pengunduhan/eksekusi muatan, pencurian kredensial browser (dan kemampuan untuk menghapus riwayat dan profil penjelajahan), mengambil tangkapan layar dan keylogging.

Selain itu, malware juga dapat mengumpulkan informasi file listing, menghapus file, menyalakan ulang mesin, mengumpulkan informasi dari drive USB dan merekam audio; serta memanen file Outlook .OST dan mematikan/menonaktifkan proses Outlook. File OST mungkin berisi pesan email, kontak, tugas, data kalender, dan informasi akun lainnya.

Meskipun PyMicropsia dirancang untuk menargetkan sistem operasi Windows saja, peneliti menemukan cuplikan dalam kode yang memeriksa sistem operasi lain (seperti “posix” atau “darwin”). Posix, atau Portable Operating System Interface, adalah keluarga standar yang digunakan untuk menjaga kompatibilitas antara sistem operasi; dan Darwin sebuah sistem operasi mirip Unix.

Sumber: The Threat Post

Operator Trojan njRAT sekarang menggunakan Pastebin sebagai alternatif dari server perintah pusat

December 11, 2020 by Winnie the Pooh

Operator njRAT Remote Access Trojan (RAT) memanfaatkan terowongan Pastebin C2 untuk menghindari pengawasan oleh peneliti keamanan siber.

Pada hari Rabu, tim cybersecurity Palo Alto Networks Unit 42 mengatakan njRAT, juga dikenal sebagai Bladabindi, digunakan untuk mendownload dan mengeksekusi payload tahap sekunder dari Pastebin, menghilangkan kebutuhan untuk membangun server command-and-control (C2) tradisional.

Tim peneliti tersebut mengatakan bahwa varian njRAT akan memanggil URL singkat yang ditautkan ke Pastebin dalam upaya untuk “menghindari deteksi oleh produk keamanan dan meningkatkan kemungkinan pengoperasian tanpa diketahui”.

Dikembangkan di .NET, njRAT adalah Trojan yang banyak digunakan yang mampu membajak fungsi mesin yang disusupi dari jarak jauh, termasuk mengambil screenshot, exfiltrasi data, keylogging, dan mematikan proses seperti program antivirus.

“Terowongan Pastebin C2” yang sekarang digunakan, seperti yang dijelaskan oleh para peneliti, menciptakan jalur antara infeksi njRAT dan muatan baru. Dengan Trojan bertindak sebagai pengunduh, itu akan mengambil data yang dikodekan di Pastebin, decode, dan deploy.

Palo Alto mengatakan arsitektur perintah berbasis Pastebin masih aktif dan banyak digunakan oleh RAT untuk mengirimkan muatan sekunder.

Sumber: ZDNet

Lebih dari 20 juta ponsel Gionee diam-diam ditanami Trojan Horse untuk menghasilkan uang

December 7, 2020 by Winnie the Pooh

Baru-baru ini, Jaringan Dokumen Penghakiman China menerbitkan putusan tentang kontrol ilegal sistem informasi komputer yang ditemukan telah dieksekusi pada telepon Gionee.

Menurut rincian pengadilan, lebih dari 20 juta ponsel Gionee sengaja ditanami malware Trojan Horse melalui aplikasi antara Desember 2018 dan Oktober 2019. Aplikasi tersebut menjadi alat untuk mendapatkan keuntungan dari pengguna melalui iklan yang tidak diminta dan cara tidak sah lainnya.

Pengadilan memutuskan bahwa Beijing Baice Technology Co., Ltd. bersekongkol dengan tergugat Shenzhen Zhipu Technology Co., Ltd. (anak perusahaan Gionee) untuk menanamkan program Trojan Horse ke dalam ponsel Gionee melalui pembaruan aplikasi “Story Lock Screen”. Perangkat lunak ini secara otomatis diperbarui pada ponsel Gionee yang terpengaruh tanpa sepengetahuan pengguna menggunakan metode “Pull”.

Rincian pengadilan mengungkapkan bahwa dari Desember 2018 hingga Oktober 2019, Beijing Baice Company dan Shenzhen Zhipu Company berhasil melaksanakan “aktivitas pull” sebanyak 2,88 miliar kali.

Dalam hal pendapatan, perusahaan diperkirakan telah memperoleh RMB 27,85 juta dari bisnis “pull” Beijing Baice Company, sementara perkiraan biaya mereka berada pada 8,425 juta yuan.

Praktik ini umum terjadi di ponsel Cina murah menurut laporan yang diterbitkan pada bulan Agustus tahun ini yang mendeteksi malware di ponsel Infinix dan Tecno yang dapat mencuri uang pengguna.

Sumber: Gizmo China

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Trojan

Cookies Settings