Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Lazarus APT Korea Utara Menargetkan Chip M1 Apple

by

Advanced Persistent Threat (APT) Korea Utara Lazarus menyebarkan jaring yang lebih luas dengan kampanye Operation In(ter)ception yang sedang berlangsung, menargetkan Mac dengan chip M1 Apple.

Kelompok yang disponsori negara ini melanjutkan pendekatan yang disukai untuk meluncurkan serangan phishing dengan kedok peluang kerja palsu. Peneliti ancaman di penyedia deteksi titik akhir ESET memperingatkan minggu ini bahwa mereka menemukan Mac yang dapat dieksekusi yang disamarkan sebagai deskripsi pekerjaan untuk posisi manajer teknik di operator pertukaran cryptocurrency populer Coinbase.

Menurut peringatan ESET di Twitter, Lazarus mengunggah tawaran pekerjaan palsu ke VirusTotal dari Brasil. Lazarus merancang iterasi terbaru dari malware, Interception.dll, untuk dijalankan di Mac dengan memuat tiga file: dokumen PDF dengan posting pekerjaan Coinbase palsu dan dua executable, FinderFontsUpdater.app dan safarifontsagent, menurut peringatan tersebut. Biner dapat membahayakan Mac yang didukung baik dengan prosesor Intel dan dengan chipset M1 baru Apple.

Peneliti ESET mulai menyelidiki Operation In(ter)ception hampir tiga tahun lalu ketika para penelitinya menemukan serangan terhadap perusahaan kedirgantaraan dan militer. Mereka menentukan bahwa tujuan utama kampanye adalah spionase, meskipun juga menemukan contoh penyerang menggunakan akun email korban melalui kompromi email bisnis (BEC) untuk menyelesaikan operasi.

Malware Interception.dll memberikan tawaran pekerjaan yang menarik tetapi palsu untuk memikat korban yang tidak curiga, sering kali menggunakan LinkedIn.

Serangan Mac adalah yang terbaru dari rentetan upaya Lazarus untuk mempercepat Operasi In(ter)ception, yang telah meningkat dalam beberapa bulan terakhir. ESET menerbitkan buku putih terperinci tentang taktik oleh Lazarus dua tahun lalu.

Ironisnya, lowongan pekerjaan Coinbase yang menarik menargetkan orang-orang yang berorientasi teknis.

Apple mencabut sertifikat yang memungkinkan malware untuk dieksekusi akhir pekan lalu setelah ESET memperingatkan perusahaan tentang kampanye tersebut. Jadi sekarang, komputer dengan macOS Catalina v10.15 atau lebih baru dilindungi, dengan asumsi pengguna memiliki kesadaran keamanan dasar, catatan Kalnai.

Kampanye yang sedang berlangsung dan lainnya dari Korea Utara tetap membuat frustrasi pejabat pemerintah. FBI menyalahkan Lazarus karena mencuri $625 juta dalam cryptocurrency dari Ronin Network, yang mengoperasikan platform blockchain untuk game NFT populer Axie Infinity.

Andrew Grotto, yang menjabat sebagai direktur senior untuk kebijakan keamanan siber di Gedung Putih pada pemerintahan Obama dan Trump, mengatakan Korea Utara telah bangkit dari calon antagonis menjadi salah satu aktor ancaman paling agresif di dunia.

Sumber: Dark Reading

Situs WordPress diretas dengan peringatan Cloudflare DDoS palsu yang mendorong malware

by

Situs WordPress diretas untuk menampilkan halaman perlindungan Cloudflare DDoS palsu untuk mendistribusikan malware yang menginstal NetSupport RAT dan Trojan pencuri kata sandi RaccoonStealer.

Seperti yang dirinci dalam laporan oleh Sucuri, aktor ancaman meretas situs WordPress yang tidak terlindungi dengan baik untuk menambahkan muatan JavaScript yang sangat dikaburkan yang menampilkan layar DDoS perlindungan Cloudflare palsu.

Layar ini, yang ditunjukkan di bawah, meminta pengunjung mengklik tombol untuk melewati layar perlindungan DDoS. Namun, mengklik tombol akan mengunduh file ‘security_install.iso’ ke komputer, yang berpura-pura menjadi alat yang diperlukan untuk melewati verifikasi DDoS.

Korban kemudian disuruh membuka security_install.iso, yang mereka anggap sebagai aplikasi bernama DDOS GUARD, dan memasukkan kode yang ditampilkan.

Prompt kode verifikasi (atas) dan generator (bawah) (Sucuri)

Ketika pengguna membuka security_install.iso, mereka akan melihat file bernama security_install.exe, yang sebenarnya adalah pintasan Windows yang menjalankan perintah PowerShell dari file debug.txt.

Isi file security_install.iso
Sumber: BleepingComputer

Pada akhirnya, ini menyebabkan serangkaian skrip berjalan yang menampilkan kode DDoS palsu yang diperlukan untuk melihat situs, serta menginstal NetSupport RAT, trojan akses jarak jauh yang digunakan secara ekstensif dalam kampanye jahat saat ini.

Selain itu, skrip akan mengunduh trojan pencuri kata sandi Raccoon Stealer dan meluncurkannya di perangkat.

Rantai serangan perlindungan Cloudflare DDoS (Sucuri) palsu

Raccoon 2.0 menargetkan kata sandi, cookie, data pengisian otomatis, dan kartu kredit yang disimpan di browser web, berbagai dompet cryptocurrency, dan juga mampu melakukan eksfiltrasi file dan mengambil tangkapan layar dari desktop korban.

Admin harus memeriksa file tema situs WordPress mereka, karena menurut Sucuri, ini adalah titik infeksi paling umum dalam kampanye ini.

Kode berbahaya ditemukan di jquery.min.js (Sucuri)

Selain itu, disarankan untuk menggunakan sistem pemantauan integritas file untuk menangkap injeksi JS tersebut saat terjadi dan mencegah situs Anda menjadi titik distribusi RAT.

Pengguna internet dapat melindungi diri dari ancaman semacam itu dengan mengaktifkan pengaturan pemblokiran skrip yang ketat di browser mereka, meskipun itu akan merusak fungsionalitas hampir semua situs.

Sumber: Bleeping Computer

File ZIP terenkripsi dapat memiliki dua kata sandi yang benar

by

Arseniy Sharoglazov, seorang peneliti keamanan siber di Positive Technologies selama akhir pekan berbagi eksperimen sederhana di mana ia menghasilkan file ZIP yang dilindungi kata sandi yang disebut x.zip.

Kata sandi yang dipilih Sharoglazov untuk mengenkripsi ZIP-nya adalah plesetan dari hit 1987 yang menjadi meme teknologi populer:

Nev1r-G0nna-G2ve-Y8u-Up-N5v1r-G1nna-Let-Y4u-D1wn-N8v4r-G5nna-D0sert-You
Tetapi peneliti menunjukkan bahwa ketika mengekstrak x.zip menggunakan kata sandi yang sama sekali berbeda, dia tidak menerima pesan kesalahan.

Faktanya, menggunakan kata sandi yang berbeda menghasilkan ekstraksi ZIP yang berhasil, dengan konten asli yang utuh:

pkH8a0AqNbHcdw8GrmSp

Dua kata sandi berbeda untuk file ZIP yang sama menghasilkan ekstraksi yang berhasil (Sharoglazov)

BleepingComputer berhasil mereproduksi percobaan menggunakan program ZIP yang berbeda. Kami menggunakan p7zip (setara 7-Zip untuk macOS) dan utilitas ZIP lain yang disebut Keka.

Seperti arsip ZIP peneliti, arsip kami dibuat dengan kata sandi yang lebih panjang yang disebutkan di atas, dan dengan mode enkripsi AES-256 diaktifkan.

Sementara ZIP dienkripsi dengan kata sandi yang lebih panjang, menggunakan salah satu kata sandi berhasil mengekstrak arsip.

Saat membuat arsip ZIP yang dilindungi kata sandi dengan mode AES-256 diaktifkan, format ZIP menggunakan algoritme PBKDF2 dan meng-hash kata sandi yang diberikan oleh pengguna, jika kata sandi terlalu panjang. Terlalu panjang, yang kami maksud lebih dari 64 byte (karakter), jelas peneliti.

Alih-alih kata sandi yang dipilih pengguna (dalam hal ini “Nev1r-G0nna-G2ve-…”) hash yang baru dihitung ini menjadi kata sandi sebenarnya untuk file tersebut.

Saat pengguna mencoba mengekstrak file, dan memasukkan kata sandi yang lebih panjang dari 64 byte (“Nev1r-G0nna-G2ve-… “), input pengguna akan sekali lagi di-hash oleh aplikasi ZIP dan dibandingkan dengan yang benar kata sandi (yang sekarang menjadi hash). Kecocokan akan menghasilkan ekstraksi file yang sukses.

Kata sandi alternatif yang digunakan dalam contoh ini (“pkH8a0AqNbHcdw8GrmSp”) sebenarnya adalah representasi ASCII dari hash SHA-1 kata sandi yang lebih panjang.

SHA-1 checksum dari “Nev1r-G0nna-G2ve-…” = 706b4838613041714e62486364773847726d5370.

Checksum ini ketika dikonversi ke ASCII menghasilkan: pkH8a0AqNbHcdw8GrmSp

Namun, perhatikan bahwa saat mengenkripsi atau mendekripsi file, proses hashing hanya terjadi jika panjang kata sandi lebih dari 64 karakter.

Dengan kata lain, kata sandi yang lebih pendek tidak akan di-hash pada tahap kompresi atau dekompresi ZIP.

Inilah sebabnya mengapa ketika memilih string panjang “Nev1r-G0nna-G2ve-… ” sebagai kata sandi pada tahap enkripsi, kata sandi sebenarnya yang ditetapkan oleh program ZIP secara efektif adalah hash (SHA1) dari string ini.

Pada tahap dekripsi, jika Anda memasukkan “Nev1r-G0nna-G2ve-…,” itu akan di-hash dan dibandingkan dengan kata sandi yang disimpan sebelumnya (yang merupakan hash SHA1). Namun, memasukkan kata sandi “pkH8a0AqNbHcdw8GrmSp” yang lebih pendek pada tahap dekripsi akan membuat aplikasi secara langsung membandingkan nilai ini dengan kata sandi yang disimpan (yaitu, sekali lagi hash SHA1).

Subbagian Tabrakan HMAC dari PBKDF2 di Wikipedia memberikan lebih banyak wawasan teknis kepada pembaca yang tertarik.

Namun, fakta bahwa sekarang ada dua kemungkinan kata sandi untuk ZIP yang sama tidak menunjukkan kerentanan keamanan, “karena seseorang masih harus mengetahui kata sandi asli untuk menghasilkan hash kata sandi,” entri tersebut menjelaskan lebih lanjut.

Aspek kunci yang menarik untuk diperhatikan di sini adalah, representasi ASCII dari setiap hash SHA-1 tidak harus berupa alfanumerik.

Dengan kata lain, mari kita asumsikan kita telah memilih kata sandi berikut untuk file ZIP kita selama percobaan ini. Kata sandi lebih panjang dari 64 byte:

Bl33pingC0mputer-Sh0w-M3-H0W-t0-pR0Duc3-an-eNcRyPT3D-ZIP-File-dengan cara paling sederhana
Checksum SHA-1 yang keluar menjadi: bd0b8c7ab2bf5934574474fb403e3c0a7e789b61

Dan representasi ASCII dari checksum ini terlihat seperti sekumpulan byte yang tidak masuk akal—hampir tidak elegan seperti kata sandi alternatif yang dibuat oleh peneliti untuk eksperimennya:

Representasi ASCII dari hash SHA-1 dari Bl33pingC0mputer… kata sandi

BleepingComputer bertanya kepada Sharoglazov bagaimana dia bisa memilih kata sandi yang checksum SHA-1-nya sedemikian rupa sehingga representasi ASCII-nya menghasilkan string alfanumerik yang bersih.

Dengan menggunakan versi yang sedikit dimodifikasi dari alat pemulihan kata sandi sumber terbuka, hashcat, peneliti membuat variasi dari string “Never Gonna Give You Up…” menggunakan karakter alfanumerik hingga dia mendapatkan kata sandi yang sempurna.

Dan, begitulah cara Sharoglazov sampai pada kata sandi yang kira-kira berbunyi seperti “Never Gonna Give You Up…,” tetapi representasi ASCII dari checksum SHA-1-nya adalah satu string alfanumerik yang rapi.

Bagi sebagian besar pengguna, membuat file ZIP yang dilindungi kata sandi dengan pilihan kata sandi mereka sudah cukup dan hanya itu yang perlu mereka ketahui.

Tetapi jika Anda memutuskan untuk bertualang, eksperimen ini memberikan gambaran tentang salah satu dari banyak misteri seputar ZIP terenkripsi, seperti memiliki dua kata sandi untuk rahasia Anda yang dijaga.

Sumber: Bleeping Computer

Peretas Mencuri Crypto dari ATM Bitcoin dengan Mengeksploitasi Bug Zero-day

by

Peretas telah mengeksploitasi kerentanan zero-day di server ATM General Bytes Bitcoin untuk mencuri cryptocurrency dari pelanggan.

Ketika pelanggan akan menyetor atau membeli cryptocurrency melalui ATM, dana tersebut malah akan disedot oleh peretas

General Bytes adalah produsen ATM Bitcoin yang, bergantung pada produknya, memungkinkan orang untuk membeli atau menjual lebih dari 40 mata uang kripto yang berbeda.

ATM Bitcoin dikendalikan oleh Server Aplikasi Kripto (CAS) jarak jauh, yang mengelola operasi ATM, mata uang kripto apa yang didukung, dan melakukan pembelian dan penjualan mata uang kripto di bursa.

Peretas mengeksploitasi CAS zero-day

Kemarin, BleepingComputer dihubungi oleh pelanggan General Bytes yang memberi tahu kami bahwa peretas mencuri bitcoin dari ATM mereka.

“Kerentanan ini telah hadir dalam perangkat lunak CAS sejak versi 20201208.”

General Bytes percaya bahwa pelaku ancaman memindai internet untuk server terbuka yang berjalan pada port TCP 7777 atau 443, termasuk server yang dihosting di Digital Ocean dan layanan cloud General Bytes sendiri.

Pelaku ancaman kemudian mengeksploitasi bug untuk menambahkan pengguna admin default bernama ‘gb’ ke CAS dan memodifikasi pengaturan crypto ‘beli’ dan ‘jual’ dan ‘alamat pembayaran tidak valid’ untuk menggunakan dompet cryptocurrency di bawah kendali peretas.

Setelah tindakan ancaman mengubah pengaturan ini, setiap cryptocurrency yang diterima oleh CAS diteruskan ke peretas sebagai gantinya.

“ATM dua arah mulai meneruskan koin ke dompet penyerang ketika pelanggan mengirim koin ke ATM,” jelas penasihat keamanan.

General Bytes memperingatkan pelanggan untuk tidak mengoperasikan ATM Bitcoin mereka sampai mereka menerapkan dua rilis patch server, 20220531.38 dan 20220725.22, di server mereka.

Mereka juga menyediakan daftar periksa langkah-langkah yang harus dilakukan pada perangkat sebelum digunakan kembali.

Penting untuk diingat bahwa pelaku ancaman tidak akan dapat melakukan serangan ini jika server di-firewall hanya untuk mengizinkan koneksi dari alamat IP tepercaya.

Oleh karena itu, sangat penting untuk mengonfigurasi firewall hanya untuk mengizinkan akses ke Server Aplikasi Kripto dari alamat IP tepercaya, seperti dari lokasi ATM atau kantor pelanggan.

Menurut informasi yang diberikan oleh BinaryEdge, saat ini ada delapan belas Server Aplikasi Crypto Bytes Umum yang masih terhubung ke Internet, dengan mayoritas berlokasi di Kanada.

Tidak jelas berapa banyak server yang dilanggar menggunakan kerentanan ini dan berapa banyak cryptocurrency yang dicuri.

BleepingComputer menghubungi General Bytes kemarin dengan pertanyaan lebih lanjut tentang serangan itu tetapi tidak menerima tanggapan.

Sumber: BleepingComputer

VPN untuk iOS Rusak dan Apple Mengetahuinya, Kata Peneliti Keamanan

by

VPN pihak ketiga yang dibuat untuk iPhone dan iPad secara rutin gagal merutekan semua lalu lintas jaringan melalui terowongan aman setelah diaktifkan, sesuatu yang telah diketahui Apple selama bertahun-tahun, klaim peneliti keamanan lama (melalui ArsTechnica).

Menulis di posting blog yang terus diperbarui, Michael Horowitz mengatakan bahwa setelah menguji beberapa jenis perangkat lunak jaringan pribadi virtual (VPN) pada perangkat iOS, sebagian besar tampaknya berfungsi dengan baik pada awalnya, mengeluarkan perangkat alamat IP publik baru dan server DNS baru, dan mengirim data ke server VPN. Namun, seiring waktu terowongan VPN membocorkan data.

Biasanya, ketika pengguna terhubung ke VPN, sistem operasi menutup semua koneksi internet yang ada dan kemudian membangunnya kembali melalui terowongan VPN. Bukan itu yang diamati Horowitz dalam logging router canggihnya. Sebagai gantinya, sesi dan koneksi yang dibuat sebelum VPN dihidupkan tidak dihentikan seperti yang diharapkan, dan masih dapat mengirim data di luar terowongan VPN saat sedang aktif, sehingga berpotensi tidak terenkripsi dan terpapar ke ISP dan pihak lain.
“Data meninggalkan perangkat iOS di luar terowongan VPN,” tulis Horowitz. “Ini bukan kebocoran DNS klasik/lawas, ini kebocoran data. Saya mengonfirmasi ini menggunakan beberapa jenis VPN dan perangkat lunak dari beberapa penyedia VPN. Versi iOS terbaru yang saya uji adalah 15.6.”

Horowitz mengklaim bahwa temuannya didukung oleh laporan serupa yang dikeluarkan pada Maret 2020 oleh perusahaan privasi Proton, yang mengatakan kerentanan bypass VPN iOS telah diidentifikasi di iOS 13.3.1 yang bertahan melalui tiga pembaruan berikutnya ke iOS 13.

Menurut Proton, Apple mengindikasikan akan menambahkan fungsionalitas Kill Switch ke pembaruan perangkat lunak di masa mendatang yang memungkinkan pengembang memblokir semua koneksi yang ada jika terowongan VPN hilang.

Namun, fungsionalitas tambahan tampaknya tidak memengaruhi hasil pengujian Horowitz, yang dilakukan pada Mei 2022 di iPadOS 15.4.1 menggunakan klien VPN Proton, dan peneliti mengatakan saran apa pun yang akan mencegah kebocoran data “tidak aktif. basis.”

Horowitz baru-baru ini melanjutkan pengujiannya dengan iOS 15.6 terinstal dan OpenVPN menjalankan protokol WireGuard, tetapi iPad-nya terus membuat permintaan di luar terowongan terenkripsi ke layanan Apple dan Amazon Web Services.

Seperti dicatat oleh ArsTechnica, Proton menyarankan solusi untuk masalah yang melibatkan pengaktifan VPN dan kemudian menghidupkan dan mematikan mode Pesawat untuk memaksa semua lalu lintas jaringan dibangun kembali melalui terowongan VPN.

Namun, Proton mengakui bahwa ini tidak dijamin berhasil, sementara Horowitz mengklaim mode Pesawat tidak dapat diandalkan, dan tidak boleh diandalkan sebagai solusi untuk masalah tersebut. Kami telah menghubungi Apple untuk mengomentari penelitian dan akan memperbarui posting ini jika kami mendengarnya kembali.

Sumber: MacRumors

Browser Dalam Aplikasi TikTok Termasuk Kode yang Dapat Memantau Keystroke Anda, Kata Peneliti

by

Ketika pengguna TikTok memasuki situs web melalui tautan di aplikasi, TikTok menyisipkan kode yang dapat memantau sebagian besar aktivitas mereka di situs web luar tersebut, termasuk penekanan tombol dan apa pun yang mereka ketuk di halaman, menurut penelitian baru yang dibagikan dengan Forbes. Pelacakan akan memungkinkan TikTok untuk menangkap informasi kartu kredit atau kata sandi pengguna.

TikTok memiliki kemampuan untuk memantau aktivitas itu karena modifikasi yang dibuatnya pada situs web menggunakan browser dalam aplikasi perusahaan, yang merupakan bagian dari aplikasi itu sendiri. Saat orang mengetuk iklan TikTok atau mengunjungi tautan di profil pembuat konten, aplikasi tidak membuka halaman dengan peramban biasa seperti Safari atau Chrome. Alih-alih, ini default ke browser dalam aplikasi buatan TikTok yang dapat menulis ulang bagian halaman web.

TikTok dapat melacak aktivitas ini dengan menyuntikkan baris bahasa pemrograman JavaScript ke situs web yang dikunjungi dalam aplikasi, membuat perintah baru yang mengingatkan TikTok tentang apa yang dilakukan orang di situs web tersebut.

“Ini adalah pilihan aktif yang dibuat perusahaan,” kata Felix Krause, seorang peneliti perangkat lunak yang berbasis di Wina, yang menerbitkan laporan tentang temuannya pada hari Kamis. “Ini adalah tugas rekayasa non-sepele. Ini tidak terjadi secara tidak sengaja atau acak.” Krause adalah pendiri Fastlane, layanan untuk menguji dan menerapkan aplikasi, yang diakuisisi Google lima tahun lalu.

Tiktok sangat menolak gagasan bahwa itu melacak pengguna di browser dalam aplikasinya. Perusahaan mengkonfirmasi fitur-fitur itu ada dalam kode, tetapi mengatakan TikTok tidak menggunakannya.

“Seperti platform lain, kami menggunakan browser dalam aplikasi untuk memberikan pengalaman pengguna yang optimal, tetapi kode Javascript yang dimaksud hanya digunakan untuk debugging, pemecahan masalah, dan pemantauan kinerja dari pengalaman itu — seperti memeriksa seberapa cepat halaman dimuat atau apakah itu mogok. ,” kata juru bicara Maureen Shanahan dalam sebuah pernyataan.

Perusahaan mengatakan kode JavaScript adalah bagian dari kit pengembangan perangkat lunak pihak ketiga, atau SDK, seperangkat alat yang digunakan untuk membangun atau memelihara aplikasi. SDK menyertakan fitur yang tidak digunakan aplikasi, kata perusahaan itu. TikTok tidak menjawab pertanyaan tentang SDK, atau pihak ketiga apa yang membuatnya.

Sementara penelitian Krause mengungkapkan perusahaan kode termasuk TikTok dan induk Facebook, Meta, menyuntikkan ke situs web dari browser dalam aplikasi mereka, penelitian tidak menunjukkan bahwa perusahaan-perusahaan ini benar-benar menggunakan kode itu untuk mengumpulkan data, mengirimkannya ke server mereka atau membagikannya dengan Pihak ketiga. Alat juga tidak mengungkapkan jika ada aktivitas yang terkait dengan identitas atau profil pengguna. Meskipun Krause dapat mengidentifikasi beberapa contoh spesifik tentang apa yang dapat dilacak oleh aplikasi (seperti kemampuan TikTok untuk memantau penekanan tombol), dia mengatakan daftarnya tidak lengkap dan perusahaan dapat memantau lebih banyak.

Penelitian baru ini mengikuti laporan minggu lalu oleh Krause tentang browser dalam aplikasi, yang berfokus secara khusus pada aplikasi milik Meta Facebook, Instagram dan Facebook Messenger. WhatsApp, yang juga dimiliki perusahaan, tampaknya jelas karena tidak menggunakan browser dalam aplikasi.

Krause pada hari Kamis juga merilis alat yang memungkinkan orang memeriksa apakah browser yang mereka gunakan menyuntikkan kode baru ke situs web, dan aktivitas apa yang mungkin dipantau perusahaan. Untuk menggunakan alat untuk memeriksa browser Instagram, misalnya, kirim tautan InAppBrowser.com ke teman dalam pesan langsung (atau minta teman DM tautannya). Jika Anda mengeklik tautan di DM, alat ini akan memberi Anda ikhtisar tentang apa yang berpotensi dilacak oleh aplikasi — meskipun alat tersebut menggunakan beberapa istilah pengembang dan mungkin sulit diuraikan untuk non-coder.

Untuk penelitian barunya, Krause menguji tujuh aplikasi iPhone yang menggunakan browser dalam aplikasi: TikTok, Facebook, Facebook Messenger, Instagram, Snapchat, Amazon, dan Robinhood. (Dia tidak menguji versi untuk Android, sistem operasi seluler Google.)

Dari tujuh aplikasi yang diuji Krause, TikTok adalah satu-satunya yang tampaknya memantau penekanan tombol, katanya, dan tampaknya memantau lebih banyak aktivitas daripada yang lain. Seperti TikTok, Instagram, dan Facebook, keduanya melacak setiap ketukan di situs web. Kedua aplikasi tersebut juga memantau saat orang menyorot teks di situs web.

Meta tidak menjawab pertanyaan spesifik terkait pelacakan, tetapi mengatakan browser dalam aplikasi “umum di seluruh industri.” Juru bicara Alisha Swinteck mengatakan browser perusahaan mengaktifkan fitur-fitur tertentu, seperti memungkinkan pengisian otomatis terisi dengan benar dan mencegah orang dialihkan ke situs jahat. (Namun, browser termasuk Safari dan Chrome juga memiliki fitur tersebut.)

“Menambahkan salah satu fitur semacam ini memerlukan kode tambahan,” kata Swinteck dalam sebuah pernyataan. “Kami telah merancang pengalaman ini dengan hati-hati untuk menghormati pilihan privasi pengguna, termasuk bagaimana data dapat digunakan untuk iklan.”

Meta juga mengatakan bahwa nama skrip yang ditampilkan dalam alat dapat menyesatkan karena itu adalah istilah teknis Javascript yang mungkin disalahpahami orang. Misalnya, “pesan” dalam konteks ini mengacu pada komponen kode yang berkomunikasi satu sama lain, bukan pesan teks pribadi.

Snapchat tampaknya paling tidak haus data. Peramban dalam aplikasinya tampaknya tidak menyuntikkan kode baru apa pun ke halaman web. Namun, aplikasi memiliki kemampuan untuk menyembunyikan aktivitas JavaScript mereka dari situs web (seperti alat Krause) karena pembaruan sistem operasi yang dibuat Apple pada tahun 2020. Jadi mungkin saja beberapa aplikasi menjalankan perintah tanpa terdeteksi. Snapchat tidak menanggapi permintaan komentar tentang aktivitas apa, jika ada, yang dipantau di browser dalam aplikasinya.

Peramban dalam aplikasi hampir tidak lazim di TikTok seperti di Instagram. TikTok tidak mengizinkan pengguna untuk mengklik tautan di DM, jadi browser dalam aplikasi biasanya muncul ketika orang mengklik iklan atau tautan di profil pembuat atau merek.

Penelitian pelacakan browser ini dilakukan ketika TikTok, yang dimiliki oleh perusahaan induk China ByteDance, menghadapi pengawasan ketat atas batas-batas pengawasan potensialnya, dan pertanyaan tentang hubungannya dengan pemerintah China. Pada bulan Juni, BuzzFeed News melaporkan bahwa data pengguna AS telah berulang kali diakses dari China. Perusahaan juga telah bekerja untuk memindahkan beberapa informasi pengguna A.S. ke Amerika Serikat, untuk disimpan di pusat data yang dikelola oleh Oracle, dalam upaya yang secara internal dikenal sebagai Project Texas.

Tetapi pelacakan potensial juga dapat membahayakan privasi yang terkait dengan pemilihan. TikTok pada hari Rabu mengumumkan upayanya dalam integritas pemilihan, menjelang ujian tengah semester AS. Inisiatif ini mencakup Pusat Pemilihan baru, yang menghubungkan orang-orang dengan informasi otoritatif dari sumber terpercaya termasuk Asosiasi Nasional Sekretaris Negara dan Ballotpedia.

TikTok secara eksplisit menjanjikan privasi sebagai bagian dari inisiatif tersebut. “Untuk tindakan apa pun yang mengharuskan pengguna untuk berbagi informasi, seperti mendaftar untuk memilih, pengguna akan diarahkan dari TikTok ke situs web negara atau nirlaba terkait untuk melakukan proses itu,” kata perusahaan itu dalam sebuah pernyataan. posting blog “TikTok tidak akan memiliki akses ke data atau aktivitas di luar platform itu.”

TikTok kemungkinan akan menggunakan browser dalam aplikasinya untuk membuka situs web tersebut. Alat Krause menunjukkan TikTok dapat memiliki akses ke informasi itu, berpotensi membiarkan perusahaan melacak alamat, usia, dan partai politik seseorang. TikTok juga menentang skenario itu, sekali lagi menekankan bahwa sementara fitur pelacakan tersebut ada dalam kode, perusahaan tidak menggunakannya.

Dalam beberapa tahun terakhir, model bisnis di balik teknologi besar — ​​di mana perusahaan seperti Facebook dan Google mengumpulkan data pengguna untuk menopang mesin iklan yang ditargetkan — telah dikenal luas, sehingga beberapa orang mungkin tidak terkejut dengan pelacakan di browser dalam aplikasi. . Namun, baik Meta maupun TikTok tidak memiliki bagian khusus dalam kebijakan privasi mereka di browser dalam aplikasi yang mengungkapkan praktik pemantauan tersebut kepada pengguna.

Beberapa pakar privasi juga menolak jenis pemantauan keystroke yang tampaknya mampu dilakukan TikTok. “Ini sangat licik,” kata Jennifer King, rekan kebijakan privasi dan data di Stanford University Institute for Human-Centered Artificial Intelligence. “Asumsi bahwa data Anda sedang dibaca sebelumnya bahkan sebelum Anda mengirimkannya, saya pikir itu melewati batas.”

Krause mengatakan dia ingin melihat industri beralih dari browser dalam aplikasi, alih-alih menggunakan browser seperti Safari atau Chrome, yang biasanya telah ditetapkan orang sebagai browser default di ponsel mereka. Apple tidak menanggapi permintaan komentar yang menanyakan apakah perusahaan akan menindak browser dalam aplikasi, mengharuskan aplikasi untuk menggunakan browser default perangkat.

Baik TikTok dan Meta menawarkan opsi bagi Anda untuk membuka tautan di Safari atau browser default ponsel Anda, tetapi hanya setelah aplikasi membawa Anda ke browser dalam aplikasi masing-masing terlebih dahulu. Opsi default juga ada di belakang layar menu di TikTok dan Instagram — sudah terlalu jauh bagi banyak pengguna yang bahkan tidak tahu opsi itu ada.

Sumber: Forbes

Peretas APT41 yang Didukung China Menargetkan 13 Organisasi di Seluruh Dunia Tahun Lalu

by

Aktor ancaman persisten lanjutan (APT) China yang dilacak sebagai Winnti telah menargetkan setidaknya 13 organisasi yang secara geografis tersebar di AS, Taiwan, India, Vietnam, dan China dengan latar belakang empat kampanye berbeda pada tahun 2021.

“Industri yang ditargetkan termasuk sektor publik, manufaktur, perawatan kesehatan, logistik, perhotelan, pendidikan, serta media dan penerbangan,” kata perusahaan keamanan siber Group-IB dalam sebuah laporan yang dibagikan kepada The Hacker News.

Ini juga termasuk serangan terhadap Air India yang terungkap pada Juni 2021 sebagai bagian dari kampanye dengan nama kode ColunmTK. Tiga kampanye lainnya telah diberi moniker DelayLinkTK, Mute-Pond, dan Gentle-Voice berdasarkan nama domain yang digunakan dalam serangan.

APT41, juga dikenal sebagai Barium, Bronze Atlas, Double Dragon, Wicked Panda, atau Winnti, adalah kelompok ancaman dunia maya Tiongkok yang dikenal melakukan aktivitas spionase yang disponsori negara secara paralel dengan operasi bermotivasi finansial setidaknya sejak 2007.

Menggambarkan tahun 2021 sebagai “tahun yang intens untuk APT41,” serangan yang dilakukan oleh musuh terutama melibatkan penggunaan injeksi SQL pada domain yang ditargetkan sebagai vektor akses awal untuk menyusup ke jaringan korban, diikuti dengan mengirimkan suar Cobalt Strike kustom ke titik akhir.

Namun dalam pendekatan yang agak tidak biasa, Cobalt Strike Beacon diunggah dalam potongan yang lebih kecil dari string yang dikodekan Base64 sebagai taktik kebingungan untuk terbang di bawah radar, sebelum menuliskan seluruh muatan ke file di host yang terinfeksi.

“Anggota APT41 biasanya menggunakan phishing, mengeksploitasi berbagai kerentanan (termasuk Proxylogon), dan melakukan serangan lubang air atau rantai pasokan untuk awalnya membahayakan korban mereka,” kata para peneliti.

Tindakan lain yang dilakukan pasca-eksploitasi berkisar dari membangun kegigihan hingga pencurian kredensial dan melakukan pengintaian melalui teknik living-off-the-land (LotL) untuk mengumpulkan informasi tentang lingkungan yang dikompromikan dan bergerak secara lateral melintasi jaringan.

Perusahaan yang bermarkas di Singapura itu mengatakan telah mengidentifikasi 106 server Cobalt Strike unik yang secara eksklusif digunakan oleh APT41 antara awal 2020 dan akhir 2021 untuk perintah-dan-kontrol. Sebagian besar server tidak lagi aktif.

Temuan ini menandai penyalahgunaan berkelanjutan dari kerangka simulasi musuh yang sah oleh aktor ancaman yang berbeda untuk aktivitas berbahaya pasca-intrusi.

“Di masa lalu, alat ini dihargai oleh geng penjahat dunia maya yang menargetkan bank, sementara hari ini populer di antara berbagai pelaku ancaman terlepas dari motivasi mereka, termasuk operator ransomware yang terkenal,” Analis Ancaman Grup-IB, Nikita Rostovtsev, mengatakan.

Sumber: The Hacker News

Peretas Korea Utara Menggunakan Malware macOS yang Ditandatangani untuk Menargetkan Pencari Kerja TI

by

Peretas Korea Utara dari grup Lazarus telah menggunakan executable berbahaya yang ditandatangani untuk macOS untuk meniru Coinbase dan memikat karyawan di sektor teknologi keuangan.

Meskipun tidak mengherankan bahwa mereka menargetkan pekerja di perusahaan Web3, detail tentang kampanye rekayasa sosial khusus ini sejauh ini terbatas pada malware untuk platform Windows.

Peretas Lazarus telah menggunakan tawaran pekerjaan palsu di masa lalu dan dalam operasi baru-baru ini mereka menggunakan malware yang disamarkan sebagai file PDF dengan detail tentang posisi di Coinbase.

Nama dokumen palsu itu adalah “Coinbase_online_careers_2022_07.” Saat diluncurkan, ini menampilkan PDF umpan di atas dan memuat DLL berbahaya yang pada akhirnya memungkinkan pelaku ancaman untuk mengirim perintah ke perangkat yang terinfeksi.

Peneliti keamanan di perusahaan keamanan siber ESET menemukan bahwa para peretas juga memiliki malware yang siap untuk sistem macOS. Mereka mengatakan bahwa file berbahaya dikompilasi untuk Mac dengan silikon Intel dan Apple, yang berarti bahwa pengguna model lama dan baru menjadi sasaran.

Di utas di Twitter, mereka mencatat bahwa malware menjatuhkan tiga file:
bundel FinderFontsUpdater.app
pengunduh safarifontagen
PDF umpan yang disebut PDF “Coinbase_online_careers_2022_07” (sama seperti malware Windows)
Kampanye serupa yang menargetkan pengguna macOS dan dikaitkan dengan Lazarus telah diidentifikasi tahun lalu. Pelaku ancaman mengandalkan taktik rekayasa sosial tawaran pekerjaan palsu yang sama tetapi menggunakan PDF yang berbeda.

ESET menautkan malware macOS baru-baru ini ke Operation In(ter)ception, kampanye Lazarus yang menargetkan organisasi kedirgantaraan dan militer profil tinggi dengan cara yang sama.

Melihat malware macOS, para peneliti memperhatikan bahwa itu ditandatangani pada 21 Juli (sesuai dengan nilai stempel waktu) dengan sertifikat yang dikeluarkan pada bulan Februari untuk pengembang menggunakan nama Shankey Nohria dan pengenal tim 264HFWQH63.

Pada 12 Agustus, sertifikat itu belum dicabut oleh Apple. Namun, aplikasi berbahaya tidak disahkan – proses otomatis yang digunakan Apple untuk memeriksa perangkat lunak untuk komponen berbahaya.

Dibandingkan dengan malware macOS sebelumnya yang dikaitkan dengan kelompok peretas Lazarus, peneliti ESET mengamati bahwa komponen pengunduh terhubung ke server perintah dan kontrol (C2) yang berbeda, yang tidak lagi merespons pada saat analisis.

Kelompok peretas Korea Utara telah lama dikaitkan dengan peretasan cryptocurrency serta menggunakan tawaran pekerjaan palsu dalam kampanye phishing yang bertujuan untuk menginfeksi target yang diminati.