Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Trojan

Trojan

Malware Gootkit hidup kembali bersama REvil ransomware

by

Setelah tidak muncul selama 1 tahun, Trojan pencuri informasi Gootkit telah hidup kembali bersama REvil Ransomware dalam kampanye baru yang menargetkan Jerman.

Trojan Gootkit adalah malware berbasis Javascript yang melakukan berbagai aktivitas berbahaya, termasuk akses jarak jauh, pengambilan keystroke, perekaman video, pencurian email, pencurian kata sandi, dan kemampuan untuk menyuntikkan skrip berbahaya untuk mencuri kredensial perbankan online.

Tahun lalu, pelaku ancaman Gootkit mengalami kebocoran data setelah membiarkan database MongoDB terbuka di Internet. Setelah pelanggaran ini, diyakini bahwa para aktor Gootkit telah menghentikan operasinya sampai mereka tiba-tiba hidup kembali awal bulan ini.

Minggu lalu, seorang peneliti keamanan yang dikenal sebagai The Analyst mengatakan kepada BleepingComputer bahwa malware Gootkit telah muncul lagi dalam serangan yang menargetkan Jerman.

Dalam kampanye baru ini, pelaku ancaman meretas situs WordPress dan memanfaatkan SEO poisoning untuk menampilkan posting forum palsu kepada pengunjung. Posting ini berpura-pura menjadi pertanyaan dan jawaban dengan tautan ke formulir atau unduhan palsu.

Saat pengguna mengklik link tersebut, mereka akan mendownload file ZIP yang berisi file JS yang dikaburkan yang akan menginstal malware Gootkit atau REvil ransomware.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Bleeping Computer

Trojan berusia 13 tahun digunakan dalam kampanye yang menargetkan beberapa negara, termasuk Indonesia.

by

Check Point Research baru-baru ini mengamati kampanye baru yang menggunakan jenis Trojan backdoor berusia 13 tahun bernama Bandook dan menargetkan beberapa sektor di seluruh dunia.

Bandook, yang hampir menghilang dari lanskap ancaman, muncul dalam kampanye 2015 dan 2017, masing-masing diberi nama “Operation Manul” dan “Dark Caracal”.

Dalam gelombang serangan terbaru, peneliti sekali lagi mengidentifikasi berbagai macam sektor dan lokasi yang menjadi target.

Hal ini semakin memperkuat hipotesis sebelumnya bahwa malware tidak dikembangkan sendiri dan digunakan oleh satu entitas, tetapi merupakan bagian dari infrastruktur ofensif yang dijual oleh pihak ketiga kepada pemerintah dan pelaku ancaman di seluruh dunia, untuk memfasilitasi operasi cyber ofensif.

Infection chain lengkap serangan dapat dipecah menjadi tiga tahap utama. Tahap pertama dimulai, seperti di banyak rantai infeksi lainnya, dengan dokumen Microsoft Word yang berbahaya dikirim di dalam file ZIP.

Setelah dokumen dibuka, makro berbahaya diunduh menggunakan fitur external template. Kode makro lalu menjatuhkan dan menjalankan serangan tahap kedua, skrip PowerShell yang dienkripsi di dalam dokumen Word asli. Terakhir, skrip PowerShell mengunduh dan menjalankan tahap terakhir infeksi: backdoor Bandook.

Sumber: checkpoint research

Berbagai sektor yang ditargetkan adalah Pemerintahan, keuangan, energi, industri makanan, perawatan kesehatan, pendidikan, TI, dan lembaga hukum di Singapura, Siprus, Chili, Italia, AS, Turki, Swiss, Indonesia, dan Jerman.

Laporan selengkapnya dapat dibaca pada tautan berikut;
Sumber: Check Point Research

Jupyter trojan: Malware yang baru ditemukan secara diam-diam mencuri nama pengguna dan kata sandi

by

Kampanye malware trojan yang baru ditemukan menargetkan bisnis dan lembaga pendidikan tinggi dalam upaya untuk mencuri nama pengguna, kata sandi, dan informasi pribadi lainnya serta membuat backdoor yang persisten ke sistem yang disusupi.

Penyalahgunaan Jupyter telah dirinci oleh perusahaan keamanan siber Morphisec yang menemukannya di jaringan lembaga pendidikan tinggi yang tidak disebutkan namanya di AS. Trojan tersebut diperkirakan telah aktif sejak Mei tahun ini.

Serangan tersebut terutama menargetkan data browser Chromium, Firefox, dan Chrome, tetapi juga memiliki kemampuan tambahan untuk membuka backdoor pada sistem yang disusupi, memungkinkan penyerang untuk menjalankan skrip dan perintah PowerShell, serta kemampuan untuk mengunduh dan menjalankan malware tambahan.

Installer Jupyter disamarkan dalam file zip, sering kali menggunakan ikon Microsoft Word dan nama file yang sepertinya harus segera dibuka, berkaitan dengan dokumen penting, detail perjalanan, atau kenaikan gaji.

Jika installer dijalankan, ia akan menginstal alat yang sah dalam upaya untuk menyembunyikan tujuan sebenarnya dari instalasi – mengunduh dan menjalankan installer jahat ke dalam folder temporary di latar belakang.

Setelah terinstal sepenuhnya pada sistem, Jupyter mencuri informasi termasuk nama pengguna, kata sandi, autocompletes, riwayat penjelajahan & cookie dan mengirimkannya ke server perintah dan kontrol.

Analisis malware menunjukkan bahwa siapa pun yang membuatnya terus-menerus mengubah kode untuk mengumpulkan lebih banyak informasi sekaligus mempersulit korban untuk mendeteksi.

Para peneliti percaya bahwa Jupyter berasal dari Rusia. Analisis malware tidak hanya mengungkapkan bahwa itu terkait dengan server perintah dan kontrol di Rusia, tetapi reverse image searching yang dilakukan mengungkapkan gambar planet Jupiter di panel admin infostealer yang asli berasal dari forum berbahasa Rusia.

Berita selengkapnya:
Sumber: ZDNet

Ticketmaster Mendapat Denda Besar Selama Pelanggaran Data 2018

by

Raksasa acara menghadapi hukuman terkait GDPR di Inggris, dan lebih banyak lagi bisa mengikuti. Divisi Ticketmaster Inggris telah didenda $ 1,65 juta oleh Kantor Komisaris Informasi (ICO) di Inggris, atas pelanggaran data 2018 yang berdampak pada 9,4 juta pelanggan.

Denda (£ 1,25 juta) telah dikenakan setelah ICO menemukan bahwa perusahaan “gagal menerapkan langkah-langkah keamanan yang sesuai untuk mencegah serangan cyber pada bot-chat yang dipasang di halaman pembayaran online-nya” – kegagalan yang melanggar Peraturan Perlindungan Data Umum (GDPR) UE.

Pada Juni 2018, raksasa penjualan tiket itu mengatakan bahwa mereka menemukan malware dalam fungsi obrolan pelanggan untuk situs webnya, yang dihosting oleh Inbenta Technologies. Yang mengkhawatirkan, kode berbahaya tersebut ditemukan mengakses berbagai informasi, termasuk nama, alamat, alamat email, nomor telepon, detail pembayaran, dan detail login Ticketmaster. Belakangan diketahui bahwa serangan itu adalah pekerjaan geng Magecart, yang dikenal karena menyuntikkan skimmer pembayaran ke komponen situs web yang rentan.

sumber : ThreatPost

Malware ‘Ghimob’ baru dapat memata-matai 153 aplikasi seluler Android

by

Peneliti keamanan telah menemukan trojan perbankan Android baru yang dapat memata-matai dan mencuri data dari 153 aplikasi Android.

Dinamakan Ghimob, trojan tersebut diyakini telah dikembangkan oleh kelompok yang sama di belakang malware Windows Astaroth (Guildma), menurut sebuah laporan yang diterbitkan pada hari Senin oleh perusahaan keamanan Kaspersky.

Kaspersky mengatakan trojan Android baru tersebut telah dipromosikan dengan dikemas ulang di dalam aplikasi Android berbahaya di situs dan server yang sebelumnya digunakan oleh operasi Astaroth (Guildama).

Distribusi tidak pernah dilakukan melalui Play Store resmi. Sebaliknya, grup Ghimob menggunakan email atau situs jahat untuk mengarahkan pengguna ke situs web yang mempromosikan aplikasi Android.

Aplikasi ini meniru aplikasi dan merek resmi, dengan nama seperti Google Defender, Google Docs, WhatsApp Updater, atau Flash Update.

Setelah diunduh, jika akses ke Aksesibilitas diberikan, aplikasi akan mencari di ponsel yang terinfeksi untuk daftar 153 aplikasi yang nantinya akan menampilkan halaman login palsu dalam upaya untuk mencuri kredensial pengguna.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Malware ‘Alien’ baru dapat mencuri kata sandi dari 226 aplikasi Android

by

Peneliti keamanan telah menemukan dan menganalisis jenis baru malware Android yang hadir dengan beragam fitur yang memungkinkannya mencuri kredensial dari 226 aplikasi.

Dinamakan Alien, trojan baru ini telah aktif sejak awal tahun dan telah ditawarkan sebagai Malware-as-a-Service (MaaS) di forum peretasan bawah tanah.

Menurut peneliti ThreatFabric, Alien bukanlah benar-benar potongan kode baru tetapi sebenarnya didasarkan pada kode sumber dari geng malwar bernama Cerberus.

Alien tidak hanya dapat menampilkan layar login palsu dan mengumpulkan kata sandi untuk berbagai aplikasi dan layanan, tetapi juga dapat memberikan akses peretas ke perangkat untuk menggunakan kredensial tersebut atau bahkan melakukan tindakan lain.

Malware ini dilengkapi dengan kemampuan untuk memberikan akses jarak jauh ke perangkat setelah menginstal TeamViewer, memanen, mengirim, atau meneruskan pesan SMS, mencuri kontak, mengumpulkan detail perangkat dan daftar aplikasi, mengumpulkan data geo-lokasi, memasang dan memulai aplikasi lain dan masih banyak lagi.

Sebagian besar dari halaman login palsu yang dibuat ditujukan untuk mencegat kredensial untuk aplikasi e-banking, jelas ini adalah target utama mereka.

“Metode lain yang diamati untuk digunakan adalah SMS, setelah mereka menginfeksi perangkat mereka mengumpulkan daftar kontak yang kemudian mereka gunakan kembali untuk menyebarkan kampanye malware mereka ke lebih banyak korban,” kata peneliti.

Para peneliti memperkirakan lebih banyak keluarga malware baru, berdasarkan kode Cerberus, akan muncul pada kuartal terakhir tahun 2020.

Kami menyarankan kepada pengguna ponsel pintar untuk tidak mengunduh aplikasi dari sumber pihak ketiga dan tidak memberikan akses admin kepada aplikasi tersebut.

Source: ZDNet

Trojan IcedID Diperbarui dengan Dengan Taktik Baru Untuk Menghindari Deteksi Software Keamanan

by

Aktor siber telah meningkatkan trojan perbankan yang telah banyak digunakan selama pandemi COVID-19 dengan fitur baru untuk membantunya menghindari deteksi dari perlindungan keamanan standar.

Menurut laporan baru oleh peneliti keamanan Juniper Networks, Paul Kimayong, penyerang telah menerapkan beberapa fitur baru – termasuk lampiran yang dilindungi katasandi, kebingungan kata kunci, dan kode makro minimalis – dalam kampanye phishing baru-baru ini menggunakan dokumen yang di-trojankan oleh trojan perbankan IcedID yang banyak digunakan.

Kampanye ini, yang ditemukan para peneliti pada bulan Juli, juga menggunakan dynamic link library (DLL) – library Microsoft yang berisi kode dan data yang dapat digunakan oleh lebih dari satu program pada waktu yang bersamaan – sebagai pengunduh tahap kedua. Ini “menunjukkan” tingkat kedewasaan baru dari pelaku ancaman ini.

Versi terbaru IcedID yang diidentifikasi oleh tim Juniper sedang didistribusikan menggunakan akun bisnis yang disusupi dengan si penerimanya adalah pelanggan dari bisnis yang sama. Ini meningkatkan kemungkinan keberhasilan kampanye, karena pengirim dan penerima sudah memiliki hubungan bisnis yang mapan, kata Kimayong.

Berita selengkpanya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Malware Android BlackRock Dapat Mencuri Kata Sandi Dan Data Kartu Dari 337 Aplikasi

by

Dilansir dari ZDNet, sebuah jenis baru malware Android telah ditemukan yang dilengkapi dengan berbagai kemampuan pencurian data yang memungkinkannya menargetkan 337 aplikasi Android.

Dinamai BlackRock, ancaman baru ini muncul pada Mei tahun ini dan ditemukan oleh perusahaan keamanan seluler ThreatFabric.

Para peneliti mengatakan bahwa malware ini didasarkan pada kode sumber yang bocor dari strain malware lain (Xerxes, yang juga bersumber dari malware strain lain) tetapi ditingkatkan dengan fitur tambahan, terutama pada sisi yang berkaitan dengan pencurian kata sandi pengguna dan informasi kartu kredit.

BlackRock masih berfungsi seperti kebanyakan trojan perbankan Android, kecuali, ia menargetkan lebih banyak aplikasi daripada sebagian besar pendahulunya.

Trojan ini akan mencuri kredensial login (nama pengguna dan kata sandi), jika tersedia, tetapi juga meminta korban untuk memasukkan detail kartu pembayaran jika aplikasi mendukung transaksi keuangan.

Menurut ThreatFabric, pengumpulan data dilakukan melalui teknik yang disebut “overlay,” yaitu teknik yang terdiri dari pendeteksian saat pengguna mencoba berinteraksi dengan aplikasi yang sah dan memperlihatkan jendela palsu di atasnya yang dapat mengumpulkan detail login korban dan data kartu sebelum mengizinkan pengguna untuk memasuki aplikasi yang sah.

Daftar lengkap aplikasi yang ditargetkan dirinci dalam laporan BlackRock.

Setelah diinstal pada perangkat, aplikasi jahat yang tercemar dengan trojan BlackRock meminta pengguna untuk memberikannya akses ke fitur Aksesibilitas telepon.

Fitur Aksesibilitas Android adalah salah satu fitur sistem operasi yang paling kuat, karena dapat digunakan untuk mengotomatiskan tugas dan bahkan melakukan taps (klik) atas nama pengguna.

BlackRock menggunakan fitur Aksesibilitas untuk memberikan dirinya akses ke izin Android lainnya dan kemudian menggunakan DPC Android (pengontrol kebijakan perangkat, alias work profile) untuk memberikan sendiri akses admin ke perangkat.

Kemudian menggunakan akses ini untuk menampilkan overlay berbahaya, tetapi ThreatFabric mengatakan trojan juga dapat melakukan operasi mengganggu lainnya, seperti:

  • Menyadap pesan SMS
  • Melakukan SMS Floods
  • Melakukan Spam Kontak dengan SMS yang telah ditentukan
  • Memulai aplikasi tertentu
  • Menyimpan log key taps(fungsionalitas keylogger)
  • Menampilkan push notification yang telah dicustom
  • Menyabotase aplikasi antivirus seluler, dan banyak lagi

Saat ini, BlackRock didistribusikan dengan menyamar sebagai paket pembaruan Google palsu yang ditawarkan di situs pihak ketiga, dan trojan tersebut belum terlihat di Play Store resmi.

Sangat disarankan kepada seluruh pengguna Android untuk tidak mengunduh aplikasi Android di luar Google PlayStore dan tetap waspada sebelum mengunduh sesuatu, baik itu dari toko resmi Google atau tidak.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet