Windows

Pembaruan Windows 11 tidak resmi menginstal malware pencuri info

April 19, 2022 by Eevee

Peretas memikat pengguna yang tidak curiga dengan pemutakhiran Windows 11 palsu yang dilengkapi dengan malware yang mencuri data browser dan dompet cryptocurrency.

Kampanye saat ini aktif dan bergantung pada hasil pencarian yang meracuni untuk mendorong situs web yang meniru halaman promosi Microsoft untuk Windows 11, untuk menawarkan pencuri informasi.

Microsoft menawarkan alat pemutakhiran bagi pengguna untuk memeriksa apakah mesin mereka mendukung sistem operasi (OS) terbaru dari perusahaan. Salah satu persyaratannya adalah dukungan untuk Trusted Platform Module (TPM) versi 2.0, yang hadir pada mesin yang tidak lebih dari empat tahun.

Peretas memangsa pengguna yang langsung menginstal Windows 11 tanpa menghabiskan waktu untuk mengetahui bahwa OS harus memenuhi spesifikasi tertentu.

Situs web berbahaya yang digunakan dalam kampanye (windows11-upgrade11[.]com)

Jika pengunjung memuat situs web berbahaya melalui koneksi langsung – unduhan tidak tersedia melalui TOR atau VPN, mereka akan mendapatkan file ISO yang melindungi file yang dapat dieksekusi untuk malware pencuri info baru.

Menurut CloudSEK, pelaku ancaman di balik kampanye ini menggunakan malware baru yang peneliti beri nama “Inno Stealer” karena penggunaan penginstal Windows Setup Inno.

Para peneliti mengatakan bahwa Inno Stealer tidak memiliki kesamaan kode dengan pencuri info komoditas lain yang saat ini beredar dan mereka belum menemukan bukti malware yang diunggah ke platform pemindaian Virus Total.

File loader (berbasis Delphi) adalah “pengaturan Windows 11” yang dapat dieksekusi yang terkandung dalam ISO, yang, ketika diluncurkan, membuang file sementara bernama is-PN131.tmp dan membuat file .TMP lain di mana loader menulis 3.078KB data .

CloudSEK menjelaskan bahwa pemuat memunculkan proses baru menggunakan CreateProcess Windows API yang membantu menelurkan proses baru, membangun kegigihan, dan menanam empat file.

Kegigihan dicapai dengan menambahkan file .LNK (pintasan) di direktori Startup dan menggunakan icacls.exe untuk mengatur izin aksesnya agar tersembunyi.

Membuat proses untuk membangun persistensi (CloudSEK)

Dua dari empat file yang dijatuhkan adalah Windows Command Scripts untuk menonaktifkan keamanan Registry, menambahkan pengecualian Defender, menghapus produk keamanan, dan menghapus volume bayangan.

Menurut para peneliti, malware juga menghapus solusi keamanan dari Emsisoft dan ESET, kemungkinan karena produk ini mendeteksinya sebagai berbahaya.

File ketiga adalah utilitas eksekusi perintah yang berjalan dengan hak sistem tertinggi; dan yang keempat adalah script VBA yang dibutuhkan untuk menjalankan dfl.cmd.

Pada tahap kedua infeksi, file dengan ekstensi .SCR dijatuhkan ke direktori C:\Users\\AppData\Roaming\Windows11InstallationAssistant dari sistem yang disusupi.

File itu adalah agen yang membongkar muatan info-stealer dan mengeksekusinya dengan memunculkan proses baru yang disebut “Windows11InstallationAssistant.scr”, sama seperti dirinya sendiri.

Kemampuan Inno Stealer khas untuk jenis malware ini, termasuk mengumpulkan cookie browser web dan kredensial yang disimpan, data dalam dompet cryptocurrency, dan data dari sistem file.

Kumpulan browser dan dompet kripto yang ditargetkan sangat luas, termasuk Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser, dan Comodo.

Browser web yang ditargetkan oleh Inno Stealer (CloudSEK)

Dompet Crypto yang ditargetkan oleh Inno Stealer (CloudSEK)

Karakteristik menarik dari Inno Stealer adalah bahwa manajemen jaringan dan fungsi pencurian data bersifat multi-thread.

Semua data yang dicuri disalin melalui perintah PowerShell ke direktori temporay pengguna, dienkripsi, dan kemudian dikirim ke server perintah dan kontrol operator (“windows-server031.com”)

Muatan Delphi tambahan ini, yang berbentuk file TXT, menggunakan pemuat berbasis Inno yang sama yang mengutak-atik alat keamanan host dan menggunakan mekanisme pembentukan kegigihan yang sama.

Kemampuan ekstra mereka termasuk mencuri informasi clipboard dan mengekstrak data enumerasi direktori.

untuk itu disarankan menghindari mengunduh file ISO dari sumber yang tidak jelas dan hanya melakukan peningkatan OS utama dari dalam panel kontrol Windows 10 Anda atau mendapatkan file instalasi langsung dari sumbernya.

Sumber : Bleeping Computer

Microsoft: Malware baru menggunakan bug Windows untuk menyembunyikan tugas terjadwal

April 17, 2022 by Søren

Microsoft telah menemukan malware baru yang digunakan oleh kelompok peretas Hafnium yang didukung China untuk mempertahankan kegigihan pada sistem Windows yang disusupi dengan membuat dan menyembunyikan tugas terjadwal.

Kelompok ancaman Hafnium sebelumnya menargetkan perusahaan pertahanan, think tank, dan peneliti AS dalam serangan spionase siber.

Ini juga merupakan salah satu grup yang disponsori negara yang dihubungkan oleh Microsoft dengan eksploitasi skala global tahun lalu dari kelemahan zero-day ProxyLogon yang berdampak pada semua versi Microsoft Exchange yang didukung.

“Ketika Microsoft terus melacak aktor ancaman yang disponsori negara dengan prioritas tinggi HAFNIUM, aktivitas baru telah ditemukan yang memanfaatkan kerentanan zero-day yang belum ditambal sebagai vektor awal,” kata Microsoft Detection and Response Team (DART).

Penyelidikan lebih lanjut mengungkapkan artefak forensik dari penggunaan alat Impacket untuk gerakan lateral dan eksekusi dan penemuan malware penghindaran pertahanan yang disebut Tarrask yang menciptakan tugas terjadwal ‘tersembunyi’, dan tindakan selanjutnya untuk menghapus atribut tugas, untuk menyembunyikan tugas terjadwal dari alat identifikasi tradisional.”

Alat peretasan ini, dijuluki Tarrask, menggunakan bug Windows yang sebelumnya tidak dikenal untuk menyembunyikannya dari “schtasks/query” dan Penjadwal Tugas dengan menghapus nilai registri Security Descriptor yang terkait.

Grup ancaman menggunakan tugas terjadwal “tersembunyi” ini untuk mempertahankan akses ke perangkat yang diretas bahkan setelah reboot dengan membuat kembali koneksi yang terputus ke infrastruktur command-and-control (C2).

Sementara operator Hafnium dapat menghapus semua artefak di disk, termasuk semua kunci registri dan file XML yang ditambahkan ke folder sistem untuk menghapus semua jejak aktivitas jahat mereka, itu akan menghapus persistensi saat dimulai ulang.

Selengapnya: Bleeping Computer

CISA memperingatkan organisasi untuk menambal bug Windows LPE yang dieksploitasi secara aktif

April 14, 2022 by Eevee

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan sepuluh bug keamanan baru ke daftar kerentanan yang dieksploitasi secara aktif, termasuk bug eskalasi hak istimewa lokal dengan tingkat keparahan tinggi di Windows Common Log File System Driver.

Cacat keamanan tingkat tinggi ini (dilacak sebagai CVE-2022-24521) dilaporkan oleh CrowdStrike dan Badan Keamanan Nasional AS (NSA), dan ditambal oleh Microsoft selama Patch Selasa bulan ini.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan pada bulan November, semua lembaga Federal Civilian Executive Branch Agencies (FCEB) harus mengamankan sistem mereka dari kelemahan keamanan ini setelah ditambahkan ke katalog CISA tentang Kerentanan yang Diketahui Tereksploitasi (KEV).

CISA memberi mereka waktu tiga minggu, hingga 2 Mei, untuk menambal kelemahan kerentanan CVE-2022-24521 dan memblokir upaya eksploitasi yang sedang berlangsung.

Meskipun arahan BOD 22-01 hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi AS untuk menambal bug keamanan yang dieksploitasi secara aktif ini untuk memblokir upaya untuk meningkatkan hak istimewa pada sistem Windows mereka.

Badan keamanan siber AS menambahkan sembilan kerentanan lagi ke katalognya hari ini, disalahgunakan dalam serangan yang sedang berlangsung. selengkapnya

Hari ini, CISA juga mendorong admin untuk menginstal pembaruan keamanan yang mengatasi kerentanan eksekusi kode jarak jauh pra-autentikasi kritis (dengan peringkat keparahan 9,8/10) di Perpustakaan Runtime Microsoft Remote Procedure Call (RPC), juga ditambal minggu ini sebagai bagian dari April 2022 Patch Selasa.

Pada hari Senin, CISA juga memerintahkan badan-badan sipil federal untuk menambal bug keamanan yang dieksploitasi secara aktif (CVE-2022-23176) di perangkat firewall WatchGuard Firebox dan XTM.

Grup peretasan Sandworm yang didukung Rusia sebelumnya menyalahgunakan bug ini untuk membangun botnet yang dijuluki Cyclops Blink dari perangkat jaringan WatchGuard Small Office/Home Office (SOHO) yang disusupi.

Pada hari Rabu, pemerintah AS mengganggu botnet Cyclops Blink dengan menghapus malware dari server perintah-dan-kontrol sebelum dijadikan senjata dan digunakan dalam serangan.

Setelah mengeluarkan BOD 22-01 binding directive, CISA telah menambahkan ratusan kerentanan keamanan ke dalam daftar kelemahan yang dieksploitasi secara aktif, memerintahkan agen federal AS untuk menambalnya sesegera mungkin untuk memblokir pelanggaran keamanan.

Sumber :Bleeping Computer

Microsoft: Malware baru menggunakan bug Windows untuk menyembunyikan tugas terjadwal

April 13, 2022 by Eevee

Kelompok ancaman Hafnium sebelumnya menargetkan perusahaan pertahanan, think tank, dan peneliti AS dalam serangan spionase siber.

“Investigasi lebih lanjut mengungkapkan artefak forensik dari penggunaan alat Impacket untuk gerakan lateral dan eksekusi dan penemuan malware penghindaran pertahanan yang disebut Tarrask yang menciptakan tugas terjadwal ‘tersembunyi’, dan tindakan selanjutnya untuk menghapus atribut tugas, untuk menyembunyikan tugas terjadwal dari alat identifikasi tradisional.”

Menghapus Security Descriptor untuk menyembunyikan tugas terjadwal (Microsoft)

Tugas “tersembunyi” hanya dapat ditemukan setelah pemeriksaan manual Windows Registry yang lebih dekat jika Anda mencari tugas terjadwal tanpa Nilai SD (deskriptor keamanan) di dalam Kunci Tugasnya.

Admin juga dapat mengaktifkan log Security.evtx dan Microsoft-Windows-TaskScheduler/Operational.evtx untuk memeriksa peristiwa penting yang terkait dengan tugas “tersembunyi” menggunakan malware Tarrask.

Microsoft juga merekomendasikan untuk mengaktifkan logging untuk ‘TaskOperational’ dalam log Microsoft-Windows-TaskScheduler/Operational Task Scheduler dan memantau koneksi keluar dari aset Tingkat 0 dan Tingkat 1 yang penting.

Sumber : Bleeping Computer

Malware Qbot beralih ke vektor infeksi Pemasang Windows baru

April 12, 2022 by Eevee

Botnet Qbot sekarang mendorong muatan malware melalui email phishing dengan lampiran arsip ZIP yang dilindungi kata sandi yang berisi paket Penginstal Windows MSI yang berbahaya.

Ini adalah pertama kalinya operator Qbot menggunakan taktik ini, beralih dari cara standar mereka mengirimkan malware melalui email phishing yang menjatuhkan dokumen Microsoft Office dengan makro berbahaya pada perangkat target.

Peneliti keamanan menduga langkah ini mungkin merupakan reaksi langsung terhadap Microsoft yang mengumumkan rencana untuk membunuh pengiriman malware melalui makro VBA Office pada bulan Februari setelah menonaktifkan makro Excel 4.0 (XLM) secara default pada bulan Januari.

Microsoft telah mulai meluncurkan fitur blokir otomatis makro VBA ke pengguna Office untuk Windows pada awal April 2022, dimulai dengan Versi 2203 di Saluran Saat Ini (Pratinjau) dan ke saluran rilis lain dan versi yang lebih lama nanti.

“Perlu dicatat bahwa sementara ancaman menggunakan makro Excel 4.0 sebagai upaya untuk menghindari deteksi, fitur ini sekarang dinonaktifkan secara default dan dengan demikian mengharuskan pengguna untuk mengaktifkannya secara manual agar ancaman tersebut dapat dieksekusi dengan benar.”

Ini adalah peningkatan keamanan yang signifikan untuk melindungi pelanggan Office karena menggunakan makro VBA berbahaya yang disematkan dalam dokumen Office adalah metode umum untuk mendorong berbagai jenis malware dalam serangan phishing, termasuk Qbot, Emotet, TrickBot, dan Dridex.

Qbot (juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows modular dengan fitur worm yang digunakan setidaknya sejak 2007 untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan, serta untuk menjatuhkan backdoors pada komputer yang disusupi dan menyebarkan Cobalt Suar pemogokan.

Malware ini juga dikenal menginfeksi perangkat lain di jaringan yang disusupi menggunakan eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif yang menargetkan akun admin Active Directory.

Meskipun aktif selama lebih dari satu dekade, malware Qbot terutama digunakan dalam serangan yang sangat ditargetkan terhadap entitas perusahaan karena mereka memberikan pengembalian investasi yang lebih tinggi.

Beberapa geng ransomware, termasuk REvil, Egregor, ProLock, PwndLocker, dan MegaCortex, juga telah menggunakan Qbot untuk menembus jaringan perusahaan.

Karena infeksi Qbot dapat menyebabkan infeksi berbahaya dan serangan yang sangat mengganggu, admin TI dan profesional keamanan harus terbiasa dengan malware ini, taktik yang digunakan untuk menyebar ke seluruh jaringan, dan yang digunakan oleh operator botnet untuk mengirimkannya ke target baru.

Sumber : Bleeping Computer

Microsoft tidak akan memberikan pembaruan keamanan lagi jika Anda tidak memutakhirkan Windows 10 versi 20H2 di bulan berikutnya

April 11, 2022 by Eevee

Microsoft menekan siapa saja yang bergantung dengan Windows versi lama.

Perusahaan ini mengakhiri dukungan untuk Windows 10 versi 20H2 hanya dalam beberapa minggu, yang berarti bahwa siapa pun yang gagal memutakhirkan tidak akan lagi menerima pembaruan keamanan. Microsoft, tentu saja, ingin pengguna meningkatkan ke Windows 11, tetapi ini bukan satu-satunya pilihan.

Secara keseluruhan, ada empat edisi Windows 10 yang mencapai akhir dukungan secara bersamaan. Rilis Home, Pro, Education, dan Pro for Workstation Windows 10 versi 20H2 semuanya mencapai akhir layanan pada 10 Mei 2022, hanya satu bulan dari sekarang.

Dalam artikel dukungan, Microsoft menyarankan pengguna:

Windows 10, versi 20H2 akan mencapai akhir layanan pada 10 Mei 2022. Ini berlaku untuk edisi* Windows 10 berikut yang dirilis pada Oktober 2020:

– Windows 10 Home, versi 20H2

– Windows 10 Pro, versi 20H2

– Windows 10 Pro Education, versi 20H2

– Windows 10 Pro untuk Workstation, versi 20H2

Edisi ini tidak akan lagi menerima pembaruan keamanan setelah 10 Mei 2022.

Perusahaan menunjukkan bahwa: “Pelanggan yang menghubungi Dukungan Microsoft setelah tanggal ini akan diarahkan untuk memperbarui perangkat mereka ke versi terbaru Windows 10 agar tetap didukung”.

Dengan Microsoft yang secara paksa menginstal Windows 10 versi 21H2 di komputer sejak awal tahun, dan sistem ini akan didukung untuk beberapa waktu ke depan. Namun, untuk waktu dukungan terlama, peningkatan ke Windows 11 diperlukan, meskipun persyaratan perangkat keras berarti bahwa ini tidak akan menjadi pilihan untuk semua orang.

Sumber : Beta News

Cacat Windows zero-day yang memberikan hak admin mendapat tambalan tidak resmi, lagi

March 22, 2022 by Eevee

Kerentanan zero-day eskalasi hak istimewa lokal Windows yang gagal ditangani sepenuhnya oleh Microsoft selama beberapa bulan sekarang, memungkinkan pengguna untuk mendapatkan hak administratif di Windows 10, Windows 11, dan Windows Server.

Kerentanan yang dieksploitasi secara lokal di Layanan Profil Pengguna Windows dilacak sebagai CVE-2021-34484 dan diberi skor CVSS v3 7,8. Sementara eksploitasi telah diungkapkan kepada publik di masa lalu, mereka diyakini tidak dieksploitasi secara aktif di alam liar.

Menurut tim 0patch, yang secara tidak resmi menyediakan perbaikan untuk versi Windows yang dihentikan dan beberapa kerentanan yang tidak akan ditangani oleh Microsoft, kelemahannya masih nol hari. Faktanya, tambalan Microsoft gagal memperbaiki bug dan memecahkan tambalan tidak resmi 0patch sebelumnya.

Naceri memperhatikan bahwa patch Microsoft tidak lengkap dan menyajikan bukti konsep (PoC) yang melewatinya di semua versi Windows.

CVE-2021-34484 Eksploitasi meluncurkan prompt perintah yang ditinggikan dengan hak istimewa SISTEM
Sumber: BleepingComputer

Tim 0patch merilis pembaruan keamanan tidak resmi untuk semua versi Windows dan membuatnya gratis untuk diunduh untuk semua pengguna terdaftar.

Microsoft juga menanggapi pintasan ini dengan pembaruan keamanan kedua yang dirilis dengan Patch Selasa Selasa 2022 Januari, memberikan pintasan ID pelacakan baru sebagai CVE-2022-21919 dan menandainya sebagai diperbaiki. Namun, Naceri menemukan cara untuk melewati perbaikan itu sambil berkomentar bahwa upaya ini lebih buruk daripada yang pertama.

Saat menguji patch mereka terhadap bypass kedua peneliti, 0patch menemukan bahwa patch mereka ke “profext.dll” DLL masih melindungi pengguna dari metode eksploitasi baru, yang memungkinkan sistem tersebut tetap aman.

Namun, upaya perbaikan kedua Microsoft menggantikan file “profext.dll”, yang mengarah pada penghapusan perbaikan tidak resmi dari semua orang yang telah menerapkan pembaruan Windows pada Januari 2022.

0patch sekarang telah mem-porting perbaikan untuk bekerja dengan pembaruan Patch Tuesday Maret 2022 dan membuatnya tersedia secara gratis untuk semua pengguna terdaftar.

Versi Windows yang dapat memanfaatkan patch mikro baru adalah sebagai berikut:

Windows 10 v21H1 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
Windows 10 v20H2 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
Windows 10 v1909 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
Windows Server 2019 64 bit diperbarui dengan Pembaruan Maret 2022

Perlu dicatat bahwa Windows 10 1803, Windows 10 1809, dan Windows 10 2004 masih dilindungi oleh patch asli 0patch, karena perangkat tersebut telah mencapai akhir dukungan dan tidak menerima pembaruan Microsoft yang menggantikan DLL.

Patch mikro akan tetap tersedia sebagai unduhan gratis untuk pengguna versi Windows di atas selama Microsoft belum merilis perbaikan lengkap untuk masalah LPE tertentu dan semua pintasannya.

Link untuk mengunduh : 0patch

Sumber : Bleeping Computer

Emotet Tumbuh Perlahan Tapi Pasti Sejak Kebangkitannya Di Bulan November

March 10, 2022 by Winnie the Pooh

Botnet Emotet yang terkenal masih terus didistribusikan di alam liar, dan sekarang telah menginfeksi 130.000 sistem di 179 negara.

Aktivitas emotet berhenti pada 2019 saat versi utama keduanya beredar, dan malware baru kembali pada November 2021, dengan bantuan Trickbot.

Analis ancaman di lab Black Lotus telah memutuskan untuk mendalami “Epoch 3” Emotet untuk mengidentifikasi fitur baru dan memetakan pola distribusinya saat ini.

Seperti yang Anda bisa lihat di bawah, botnet Emotet mulai perlahan-lahan membuat ulang dirinya sendiri pada bulan November, melihat distribusi yang jauh lebih besar melalui kampanye phishing yang dimulai pada Januari 2022.

Kampanye Emotet baru juga menyertakan fitur seperti skema kriptografi kurva eliptik (ECC) baru yang menggantikan enkripsi RSA yang digunakan untuk perlindungan dan validasi lalu lintas jaringan.

Selain itu, pembuat malware kini telah menambahkan lebih banyak kemampuan pengumpulan info untuk profil sistem yang lebih baik, sedangkan sebelumnya, Emotet hanya akan mengirim kembali daftar proses yang berjalan.

Black Lotus melaporkan bahwa saat ini ada 200 C2 unik yang mendukung kebangkitan Emotet, dengan jumlah yang tumbuh perlahan tapi pasti. Jumlah hari aktivitas rata-rata untuk C2 saat ini adalah 29.

Seperti sebelumnya, sebagian besar infrastruktur C2 Emotet terletak di Amerika Serikat dan Jerman, diikuti oleh Prancis, Brasil, Thailand, Singapura, Indonesia, Kanada, Inggris, dan India.

Dalam hal distribusi bot, fokusnya adalah di Jepang, India, Indonesia, Thailand, Afrika Selatan, Meksiko, Amerika Serikat, China, Brasil, dan Italia.

Analis ancaman percaya bahwa alasan untuk tiga negara pertama yang menempati urutan teratas daftar ini adalah jumlah mesin Windows yang ketinggalan jaman dan dengan demikian rentan di wilayah tersebut.

Salinan Windows bajakan yang dengan sengaja memutuskan konektivitasnya ke server pembaruan Microsoft tetap rentan terhadap serangan malware seperti milik Emotet.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Windows

Cookies Settings