Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Tool Windows 11 Untuk Menambahkan Google Play Store Ternyata Menginstal Malware Secara Diam-Diam

by

Skrip ToolBox Windows 11 populer yang digunakan untuk menambahkan Google Play Store ke Subsistem Android telah secara diam-diam menginfeksi pengguna dengan skrip berbahaya, ekstensi Chrome, dan kemungkinan malware lainnya.

Ketika Windows 11 dirilis pada bulan Oktober, Microsoft mengumumkan bahwa itu akan memungkinkan pengguna untuk menjalankan aplikasi Android asli langsung dari dalam Windows.

Fitur ini menarik bagi banyak pengguna, tetapi ketika pratinjau Android untuk Windows 11 dirilis pada bulan Februari, banyak yang kecewa karena mereka tidak dapat menggunakannya dengan Google Play dan terjebak dengan aplikasi dari Amazon App Store.

Meskipun ada cara untuk menggunakan ADB untuk melakukan sideload aplikasi Android, pengguna mulai mencari metode yang memungkinkan mereka menambahkan Google Play Store ke Windows 11.

Sekitar waktu itu, seseorang merilis alat baru bernama Windows Toolbox di GitHub dengan sejumlah fitur, termasuk kemampuan untuk mendebloat Windows 11, mengaktifkan Microsoft Office dan Windows, dan menginstal Google Play Store untuk subsistem Android.

Namun, tanpa sepengetahuan semua orang hingga minggu ini, Windows Toolbox sebenarnya adalah Trojan yang mengeksekusi serangkaian skrip PowerShell berbahaya yang dikaburkan untuk menginstal trojan clicker dan kemungkinan malware lain di perangkat.

Untuk menjalankan Windows Toolbox, pengembang memberi tahu pengguna untuk menjalankan perintah berikut, yang memuat skrip PowerShell dari Cloudflare worker yang dihosting di http://ps.microsoft-toolbox.workers.dev/.

Yang kami ketahui adalah bahwa skrip berbahaya hanya menargetkan pengguna di AS dan membuat banyak Tugas Terjadwal dengan nama berikut:
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup

Trojan juga membuat folder c:\systemfile tersembunyi dan menyalin profil default untuk Chrome, Edge, dan Brave ke dalam folder.

Selengkapnya: Bleeping Computer

Infostealer ZingoStealer baru menjatuhkan lebih banyak malware, cryptominers

by

Malware pencuri informasi baru yang disebut ZingoStealer telah ditemukan dengan fitur pencurian data yang kuat dan kemampuan untuk memuat payload tambahan atau menambang Monero.

Malware baru ini dibuat dan dirilis secara gratis oleh sekelompok pelaku ancaman bernama “Haskers Gang,” yang baru-baru ini berusaha menjual kode sumbernya seharga $500.

Segera setelah para peneliti di Cisco Talos melihat penawaran itu, ZingoStealer berpindah tangan dan dipindahkan ke aktor ancaman baru yang akan melakukan upaya pengembangan.

ZingoStealer pertama kali muncul di komunitas kejahatan dunia maya pada Maret 2022, dipromosikan di saluran berbahasa Rusia sebagai pencuri info yang “siap pakai,” yang kuat dalam bentuk .NET yang dapat dieksekusi.

Hanya dengan 300 rubel, bernilai sekitar $3,64, pengguna juga dapat membeli opsi bawaan yang menampilkan crypter obfuscation (melalui ExoCrypt) untuk meningkatkan ketahanan terhadap deteksi AV.

Sejauh ini, ZingoStealer telah terlihat menginfeksi komputer melalui celah perangkat lunak, dan cheat video game yang dipromosikan di YouTube, tetapi vektor infeksi dapat bervariasi setiap saat.

Semua info yang dicuri disimpan di folder “C:\Users\AppData\Local\GinzoFolder”, di-zip, dan dieksfiltrasi ke server operator.

ZingoStealer juga memiliki malware penambangan cryptocurrency XMRig untuk menggunakan komputer korban untuk keuntungan finansial langsung.

Fitur ini ditambahkan dalam rilis terbaru, dan menggunakan PowerShell untuk menambahkan pengecualian yang diperlukan pada Windows Defender dan menjalankan penambang.

Selengkapnya: Bleeping Computer

Geng ransomware OldGremlin menargetkan Rusia dengan malware baru

by

OldGremlin telah membuat comeback bulan lalu setelah diam lebih dari satu tahun.

Grup ini membedakan dirinya dari operasi ransomware lainnya melalui sejumlah kecil kampanye – kurang dari lima sejak awal 2021 – yang hanya menargetkan bisnis di Rusia dan penggunaan pintu belakang khusus yang dibuat sendiri.

Meskipun kurang aktif, yang mungkin menunjukkan bahwa bisnis ransomware lebih dekat ke bisnis sampingan, OldGremlin telah menuntut uang tebusan setinggi $3 juta dari salah satu korbannya.

Peneliti keamanan di perusahaan keamanan siber Group-IB yang berbasis di Singapura mengatakan bahwa kali ini OldGremlin menyamar sebagai akuntan senior di organisasi keuangan Rusia yang memperingatkan bahwa sanksi baru-baru ini yang dijatuhkan pada Rusia akan menangguhkan operasi sistem pemrosesan pembayaran Visa dan Mastercard.

Email tersebut mengarahkan penerima ke dokumen berbahaya yang disimpan di Dropbox yang mengunduh pintu belakang bernama TinyFluff, yang meluncurkan interpreter Node.js dan memberi penyerang akses jarak jauh ke sistem target.

TinyFluff adalah varian baru dari backdoor lama, TinyNode, yang digunakan dalam serangan sebelumnya.

Kedua varian backdoor tersebut saat ini terdeteksi oleh lebih dari 20 mesin antivirus di platform pemindaian Virus Total.

Dalam laporan yang dibagikan dengan BleepingComputer, Group-IB memberikan indicators of compromise (IoC) dan analisis teknis terperinci dari alat yang digunakan OldGremlin dalam dua kampanye phishing yang digunakan bulan lalu.

Selengkapnya: Bleeping Computer

Cacat kritis pada plugin Elementor WordPress dapat memengaruhi 500 ribu situs

by

Penulis plugin Elementor Website Builder untuk WordPress baru saja merilis versi 3.6.3 untuk mengatasi kelemahan eksekusi kode jarak jauh yang kritis yang dapat berdampak pada sebanyak 500.000 situs web.

Meskipun mengeksploitasi kelemahan memerlukan otentikasi, tingkat keparahan kritis diberikan oleh fakta bahwa siapa pun yang masuk ke situs web yang rentan dapat mengeksploitasinya, termasuk pelanggan reguler.

Pelaku ancaman yang membuat akun pengguna normal di situs web yang terpengaruh dapat mengubah nama dan tema situs yang terpengaruh sehingga terlihat sangat berbeda.

Dalam laporan yang dirilis minggu ini oleh para peneliti di layanan keamanan WordPress Plugin Vulnerabilities, yang menemukan kerentanan, menjelaskan detail teknis di balik masalah di Elementor.

Masalahnya terletak pada tidak adanya pemeriksaan akses penting pada salah satu file plugin, “module.php”, yang dimuat pada setiap permintaan selama tindakan admin_init, bahkan untuk pengguna yang tidak masuk, para peneliti menjelaskan.

Salah satu fungsi yang dipicu oleh tindakan admin_init memungkinkan pengunggahan file dalam bentuk plugin WordPress. Aktor ancaman dapat menempatkan file berbahaya di sana untuk mencapai eksekusi kode jarak jauh.

Fungsi unggah file (Kerentanan Plugin)
Aktivasi plugin berbahaya yang disuntikkan (PV)

Para peneliti mengatakan bahwa satu-satunya batasan yang berlaku adalah akses ke nonce yang valid. Namun, mereka menemukan bahwa nonce yang relevan hadir dalam “kode sumber halaman admin WordPress yang memulai ‘elementorCommonConfig’, yang disertakan saat masuk sebagai pengguna dengan peran Pelanggan.”

Menurut Kerentanan Plugin, masalah ini diperkenalkan dengan Elementor 3.6.0, dirilis pada 22 Maret 2022.

Statistik WordPress melaporkan bahwa sekitar 30,7% pengguna Elementor telah meningkatkan ke versi 3.6.x, yang menunjukkan bahwa jumlah maksimum situs yang berpotensi terpengaruh adalah sekitar 1.500.000.

Plugin ini telah diunduh lebih dari satu juta kali hari ini. Dengan asumsi bahwa semuanya untuk 3.6.3, pasti masih ada sekitar 500.000 situs web yang rentan di luar sana.

Versi terbaru menyertakan komit yang menerapkan pemeriksaan tambahan pada akses nonce, menggunakan fungsi WordPress “current_user_can”.

Berkomitmen di Elementor mengatasi kelemahan keamanan (WordPress)

Kerentanan Plugin juga telah menerbitkan bukti konsep (PoC) untuk membuktikan eksploitabilitas, meningkatkan risiko situs web yang rentan untuk disusupi.

Admin disarankan untuk menerapkan pembaruan terbaru yang tersedia untuk plugin Elementor WordPress atau menghapus plugin dari situs web Anda sama sekali.

Sumber : Bleeping Computer

Botnet EnemyBot DDoS baru merekrut router dan IoT ke dalam pasukannya

by

Malware botnet baru berbasis Mirai bernama Enemybot telah diamati mengembangkan pasukannya dari perangkat yang terinfeksi melalui kerentanan di modem, router, dan perangkat IoT, dengan aktor ancaman yang mengoperasikannya dikenal sebagai Keksec.

Kelompok ancaman khusus berspesialisasi dalam penambangan kripto dan DDoS; keduanya didukung oleh malware botnet yang dapat bersarang di perangkat IoT dan membajak sumber daya komputasinya.

Enemybot menampilkan string obfuscation sementara server C2-nya bersembunyi di balik node Tor, jadi memetakannya dan menghapusnya cukup menantang saat ini.

Saat perangkat terinfeksi, Enemybot memulai dengan menghubungkan ke C2 dan menunggu perintah untuk dieksekusi. Sebagian besar perintah terkait dengan serangan DDoS (distributed denial of service), tetapi malware tidak terbatas pada itu.

Lebih khusus lagi, Fortinet menyajikan serangkaian perintah yang didukung berikut ini:

ADNS – Lakukan serangan amplifikasi DNS
ARK – Lakukan serangan pada server game “ARK: Survival Evolved”
BLACKNURSE – Membanjiri target dengan pesan ICMP Destination Port Unreachable
Selengkapnya

Kode pemindai Enemybot dan Mirai dibandingkan (Fortinet)

Perintah yang menargetkan game ARK dan server OVH yang mungkin mengindikasikan kampanye pemerasan yang menargetkan perusahaan-perusahaan ini.

Selain itu, perintah LDSERVER memungkinkan pelaku ancaman mendorong URL baru untuk muatan guna mengatasi masalah apa pun di server unduhan. Itu penting karena sebagian besar botnet berbasis Mirai memiliki URL unduhan tetap dan hard-coded.

Enemybot menargetkan beberapa arsitektur, dari x86, x64, i686, darwin, bsd, arm, dan arm64 yang umum, hingga jenis sistem yang lebih langka dan usang seperti ppc, m68k, dan spc.

Binari terlihat di server unduhan yang terbuka
(Fortinet)

Dalam hal kerentanan yang ditargetkan, Fortinet telah melihat beberapa perbedaan dalam set antara varian sampel, tetapi tiga yang ada di mana-mana adalah:

CVE-2020-17456: Cacat eksekusi kode jarak jauh (RCE) kritis (CVSS 9.8) di router Seowon Intech SLC-130 dan SLR-120S.
CVE-2018-10823: Keparahan tinggi (CVSS 8.8) Cacat RCE mempengaruhi beberapa router D-Link DWR.
CVE-2022-27226: Tingkat keparahan tinggi (CVSS 8.8) injeksi cronjob sewenang-wenang yang memengaruhi router seluler iRZ.

Memodifikasi crontab pada perangkat target (Fortinet)

Kelemahan lain yang mungkin atau mungkin tidak ada di Enemybot tergantung pada variannya adalah:

CVE-2022-25075 hingga 25084: Serangkaian kelemahan yang menargetkan router TOTOLINK. Set yang sama juga dieksploitasi oleh botnet Beastmode.
CVE-2021-44228/2021-45046: Log4Shell dan kerentanan kritis berikutnya yang menargetkan Apache Log4j.
CVE-2021-41773/CVE-2021-42013: Menargetkan server HTTP Apache
CVE-2018-20062: Menargetkan ThinkPHP CMS
CVE-2017-18368: Menargetkan router Zyxel P660HN
CVE-2016-6277: Menargetkan router NETGEAR
CVE-2015-2051: Menargetkan router D-Link
CVE-2014-9118: Menargetkan router Zhone
Eksploitasi NETGEAR DGN1000 (Tidak ada CVE yang ditetapkan): Menargetkan router NETGEAR

Untuk mencegah Enemybot atau botnet selalu terapkan pembaruan perangkat lunak dan firmware terbaru yang tersedia untuk produk Anda.

Jika router Anda menjadi tidak responsif, kecepatan internet turun, dan memanas lebih dari biasanya, Anda mungkin terinfeksi malware botnet.

Dalam hal ini, lakukan hard reset manual pada perangkat, masuk ke panel manajemen untuk mengubah kata sandi admin, dan terakhir instal pembaruan terbaru yang tersedia langsung dari situs web vendor.

Selengkapnya : Bleeping Computer

Microsoft mengganggu malware Zloader dalam operasi global

by

Operasi global selama berbulan-bulan yang dipimpin oleh Unit Kejahatan Digital (DCU) Microsoft telah menghapus lusinan domain yang digunakan sebagai server perintah-dan-kontrol (C2) oleh botnet ZLoader yang terkenal kejam.

Perintah pengadilan yang diperoleh Microsoft mengizinkannya untuk menenggelamkan 65 domain hardcode yang digunakan oleh geng kejahatan dunia maya ZLoader untuk mengontrol botnet dan 319 domain lainnya yang terdaftar menggunakan algoritme pembuatan domain yang digunakan untuk membuat saluran komunikasi cadangan dan cadangan.

“Selama penyelidikan kami, kami mengidentifikasi salah satu pelaku di balik pembuatan komponen yang digunakan dalam botnet ZLoader untuk mendistribusikan ransomware sebagai Denis Malikov, yang tinggal di kota Simferopol di Semenanjung Krimea,” jelas Amy Hogan-Burney, DCU Manajer umum.

Beberapa penyedia telekomunikasi dan perusahaan keamanan siber di seluruh dunia bermitra dengan intel ancaman dan peneliti keamanan Microsoft selama upaya investigasi, termasuk ESET, Black Lotus Labs (lengan intelijen ancaman Lumen), Unit 42 Jaringan Palo Alto, dan Avast.

Pusat Berbagi dan Analisis Informasi Layanan Keuangan (FS-ISAC) dan Pusat Berbagi dan Analisis Informasi Kesehatan (H-ISAC) juga menyumbangkan data dan wawasan untuk membantu memperkuat kasus hukum.

ZLoader menyerang peta panas (Microsoft)

Zloader (alias Terdot dan DELoader) adalah trojan perbankan terkenal yang pertama kali terlihat pada Agustus 2015 ketika digunakan dalam serangan terhadap beberapa pelanggan perusahaan keuangan Inggris.

“Kemampuannya termasuk menangkap tangkapan layar, mengumpulkan cookie, mencuri kredensial dan data perbankan, melakukan pengintaian, meluncurkan mekanisme persistensi, menyalahgunakan alat keamanan yang sah, dan menyediakan akses jarak jauh ke penyerang,” kata Tim Intelijen Ancaman Pembela Microsoft 365 hari ini.

Seperti Zeus Panda dan Floki Bot, malware ini hampir seluruhnya didasarkan pada kode sumber trojan Zeus v2 yang bocor secara online lebih dari satu dekade lalu.

Malware telah digunakan untuk menargetkan bank di seluruh dunia, dari Australia dan Brasil hingga Amerika Utara, dengan tujuan akhir mengumpulkan data keuangan melalui injeksi web yang menggunakan rekayasa sosial untuk mengelabui pelanggan bank yang terinfeksi agar membagikan kode otentikasi dan kredensial.

Zloader juga memiliki fitur pintu belakang dan kemampuan akses jarak jauh, dan dapat digunakan sebagai pemuat malware untuk menjatuhkan muatan tambahan pada perangkat yang terinfeksi.

Baru-baru ini, operator dari beberapa geng ransomware juga telah menggunakannya untuk menyebarkan muatan berbahaya seperti Ryuk dan Egregor, serta DarkSide dan BlackMatter per Microsoft.

Sumber : Bleeping Computer

Peretas mengeksploitasi bug penting VMware CVE-2022-22954, tambal sekarang

by

Eksploitasi proof-of-concept telah dirilis secara online untuk kerentanan eksekusi kode jarak jauh VMware CVE-2022-22954, yang telah digunakan dalam serangan aktif yang menginfeksi server dengan penambang koin.

Kerentanan adalah kritis (CVSS: 9.8) eksekusi kode jarak jauh (RCE) yang berdampak pada VMware Workspace ONE Access dan VMware Identity Manager, dua produk perangkat lunak yang banyak digunakan.

Vendor perangkat lunak merilis penasehat keamanan untuk kerentanan pada tanggal 6 April 2022, memperingatkan tentang kemungkinan aktor ancaman dengan akses jaringan memicu injeksi template sisi server yang menghasilkan RCE.

VMware telah merilis pembaruan keamanan untuk produk yang terpengaruh dan petunjuk penyelesaian untuk membantu mengatasi risiko penerapan yang tidak dapat segera diperbarui oleh admin.

Pada saat yang sama, ini menggarisbawahi pentingnya mengatasi kerentanan tertentu: “Kerentanan kritis ini harus segera ditambal atau dikurangi sesuai instruksi di VMSA-2021-0011. Konsekuensi dari kerentanan ini serius.”

Meskipun merilis eksploitasi publik meningkatkan risiko bahwa aktor ancaman akan mengeksploitasi mereka dalam serangan, mereka juga dimaksudkan untuk membantu mengamankan sistem melalui pengujian dan berfungsi sebagai validator perbaikan/tambalan yang ada.

Saat ini, pelaku ancaman secara aktif memindai host yang rentan, dengan firma intelijen keamanan siber Bad Packets memberi tahu bahwa mereka mendeteksi upaya untuk mengeksploitasi kerentanan di alam liar.

Alamat IP, 106.246.224.219, yang digunakan dalam payload, baru-baru ini terlihat menjatuhkan pintu belakang Tsunami Linux dalam serangan lain. Namun, tidak jelas apa ‘satu’ yang dapat dieksekusi, karena tidak lagi dapat diakses.

Peneliti keamanan Daniel Card juga berbagi di Twitter bahwa kerentanan sedang dieksploitasi untuk menjatuhkan muatan coinminer, umumnya serangan pertama yang kita lihat ketika pelaku ancaman menargetkan kerentanan baru.

Beberapa pelaku ancaman ini kemudian menutup kerentanan setelah mereka menguasai server.

Karena eksploitasi aktifnya, jika Anda belum menerapkan pembaruan atau mitigasi keamanan VMware, sangat disarankan untuk melakukannya sesegera mungkin.

Untuk pengguna produk VMware, perlu diperhatikan bahwa saran vendor mencantumkan beberapa kelemahan tingkat tinggi selain dari RCE yang disebutkan di atas, yang memengaruhi produk tambahan selain Workspace One Access dan Identity Manager, jadi pastikan Anda menggunakan versi terbaru yang tersedia.

Sumber : Bleeping Computer

Botnet Fodcha DDoS baru menargetkan lebih dari 100 korban setiap hari

by

Botnet yang berkembang pesat menjerat router, DVR, dan server di seluruh Internet untuk menargetkan lebih dari 100 korban setiap hari dalam serangan penolakan layanan (DDoS) terdistribusi.

Malware yang baru ditemukan ini, dinamai Fodcha oleh para peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), telah menyebar ke lebih dari 62.000 perangkat antara 29 Maret dan 10 April.

Jumlah alamat IP unik yang ditautkan ke botnet juga berosilasi, dengan 360 Netlab mengatakan bahwa mereka melacak 10.000 pasukan bot Fodcha menggunakan alamat IP China setiap hari, kebanyakan dari mereka menggunakan layanan China Unicom (59,9%) dan China Telecom (39,4%).

Bot langsung harian dengan alamat IP Cina (Netlab)

Fodcha menginfeksi perangkat baru menggunakan eksploitasi yang dirancang untuk menyalahgunakan kerentanan n-hari di beberapa perangkat dan alat cracking brute force yang dijuluki Crazyfia.

Daftar perangkat dan layanan yang ditargetkan oleh botnet Fodcha termasuk tetapi tidak terbatas pada:

  • Android: Android ADB Debug Server RCE
  • GitLab: CVE-2021-22205
  • SDK Hutan Realtek: CVE-2021-35394
  • MVPower DVR: JAWS Webserver eksekusi perintah shell yang tidak diautentikasi
  • LILIN DVR: LILIN DVR RCE
  • Router TOTOLINK: Router TOTOLINK Pintu Belakang
  • Router ZHONE: Router Web RCE ZHONE

Operator Fodcha menggunakan hasil pemindaian Crazyfia untuk menyebarkan muatan malware setelah berhasil mendapatkan akses ke sampel perangkat yang rentan terkena Internet di perangkat yang rentan.

Saat 360 Netlab ditemukan lebih lanjut, sampel botnet menargetkan MIPS, MPSL, ARM, x86, dan arsitektur CPU lainnya.

Sejak Januari 2022, botnet telah menggunakan domain fold[.]in command-and-control (C2) hingga 19 Maret saat beralih ke refrigeratorxperts[.]cc setelah vendor cloud menghapus domain C2 awal.

Sakelar domain Fodcha C2 (Netlab)

“Pergeseran dari v1 ke v2 adalah karena fakta bahwa server C2 yang sesuai dengan versi v1 dimatikan oleh vendor cloud mereka, jadi operator Fodcha tidak punya pilihan selain meluncurkan kembali v2 dan memperbarui C2,” para peneliti menyimpulkan.

“C2 baru dipetakan ke lebih dari selusin IP dan didistribusikan di beberapa negara termasuk AS, Korea, Jepang, dan India, melibatkan lebih banyak penyedia cloud seperti Amazon, DediPath, DigitalOcean, Linode, dan banyak lainnya.”

Selengkapnya : Bleeping Computer