Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Pembaruan antivirus palsu yang digunakan untuk menyebarkan Cobalt Strike di Ukraina

by

Tim Tanggap Darurat Komputer Ukraina memperingatkan bahwa pelaku ancaman menyebarkan pembaruan antivirus Windows palsu yang menginstal Cobalt Strike dan malware lainnya.

Email phishing tersebut meniru agen pemerintah Ukraina yang menawarkan cara untuk meningkatkan keamanan jaringan dan menyarankan penerima untuk mengunduh “pembaruan keamanan penting,” yang datang dalam bentuk file 60 MB bernama “BitdefenderWindowsUpdatePackage.exe.”

Email phishing yang mendesak pengunduhan AV updater palsu (CERT-UA)

Email ini berisi tautan ke situs web Prancis (sekarang offline) yang menawarkan tombol unduh untuk dugaan pembaruan perangkat lunak AV. Situs web lain, nirsoft[.]me, juga ditemukan oleh MalwareHunterTeam sebagai server perintah dan kontrol untuk kampanye ini.

Situs web pengirim malware
Sumber:​​CERT-UA

Ketika seorang korban mengunduh dan menjalankan pembaruan BitDefender Windows palsu ini [VirusTotal], layar di bawah ini akan ditampilkan yang meminta pengguna untuk menginstal ‘Paket Pembaruan Windows’.

Paket Pembaruan Windows Bitdefender
Sumber: MalwareHunterTeam

Namun, ‘pembaruan’ ini sebenarnya mengunduh dan menginstal file one.exe [VirusTotal] dari CDN Discord, yang merupakan suar Cobalt Strike.

Proses yang sama mengambil pengunduh Go (dropper.exe) yang mendekode dan mengeksekusi file dengan enkode base-64 (java-sdk.exe).

File ini menambahkan kunci registri Windows baru untuk kegigihan dan juga mengunduh dua muatan lagi, pintu belakang GraphSteel (microsoft-cortana.exe) dan pintu belakang GrimPlant (oracle-java.exe).

Rantai infeksi kampanye yang tidak terungkap (CERT-UA)

Semua executable dalam kampanye dikemas pada alat Themida, yang melindungi mereka dari rekayasa balik, deteksi, dan analisis.

Baik GraphSteel dan GrimPlant adalah malware yang ditulis dalam Go, bahasa pemrograman serbaguna dan lintas platform dengan footprint minimal dan tingkat deteksi AV yang rendah.

Kemampuan kedua alat tersebut mencakup pengintaian jaringan, eksekusi perintah, dan operasi file, sehingga fakta bahwa keduanya digunakan dalam sistem yang sama kemungkinan dilakukan untuk redundansi.

Tim Tanggap Darurat Komputer Ukraina mengaitkan aktivitas yang terdeteksi dengan grup UAC-0056 dengan tingkat kepercayaan sedang. UAC-0056, juga dikenal sebagai “Lorec53”, adalah APT berbahasa Rusia canggih yang menggunakan kombinasi email phishing dan pintu belakang khusus untuk mengumpulkan informasi dari organisasi Ukraina.

UAC-0056 terlihat meningkatkan distribusi phishing dan upaya kompromi jaringan di Ukraina sejak Desember 2021.

Aktor yang sama terlihat menargetkan lembaga pemerintah Georgia dengan umpan phishing di masa lalu, jadi ada tingkat koordinasi dan keselarasan yang tinggi dengan kepentingan negara Rusia.

Sumber : Bleeping Computer

Keamanan seluler 2021: Android lebih banyak kerentanan, iOS lebih banyak zero-days

by

Perusahaan keamanan seluler Zimperium telah merilis laporan ancaman seluler tahunannya di mana tren dan penemuan keamanan di tahun yang berlalu meletakkan dasar untuk memprediksi apa yang akan terjadi pada tahun 2022.

Secara umum, fokus pelaku kejahatan di platform seluler telah meningkat dibandingkan tahun-tahun sebelumnya, Fokus ini diwujudkan dalam volume distribusi malware yang lebih signifikan, serangan phishing dan smishing, dan lebih banyak upaya untuk menemukan dan memanfaatkan eksploitasi zero-day.

Volume situs phishing yang menargetkan pengguna seluler (Zimperium)

Kerentanan zero-day diungkapkan secara publik atau bug yang dieksploitasi secara aktif tanpa perbaikan yang tersedia dari vendor atau pengembang. Karena sangat penting untuk memperbaiki bug zero-day, vendor biasanya terburu-buru untuk merilis pembaruan keamanan setelah mereka diungkapkan.

Namun, menurut statistik klien Zimperium dan survei yang dilakukan untuk laporan tersebut, hanya sekitar 42% orang yang bekerja di lingkungan BYOD (bawa perangkat Anda sendiri) yang menerapkan perbaikan prioritas tinggi dalam waktu dua hari sejak dirilis.

Kira-kira sepertiga diperlukan hingga satu minggu, sementara 20% yang signifikan belum menambal perangkat seluler mereka sebelum mencapai tanda dua minggu.

Pada tahun 2021, para aktor lebih fokus pada tenaga kerja jarak jauh atau perangkat seluler di lokasi, yang mengarah pada peningkatan pemindaian jaringan berbahaya dan serangan man-in-the-middle (MiTM). Serangan ini ditujukan untuk mencuri informasi sensitif yang memainkan peran penting dalam serangan yang lebih signifikan terhadap jaringan perusahaan.

Secara global, malware seluler merupakan masalah yang dihadapi di 23% dari semua titik akhir yang dilindungi oleh Zimperium pada tahun 2021, diikuti oleh MiTM (13%), situs web berbahaya (12%), dan pemindaian (12%).

Jenis ancaman seluler yang dicatat secara global pada tahun 2021 (Zimperium)(Zimperium)

Android vs. iOS
Dilihat berdasarkan volume, Android memiliki 574 kerentanan yang ditemukan pada tahun 2021, penurunan yang mencolok dari 859 pada tahun 2020, sementara 79% di antaranya ditandai dengan kompleksitas serangan yang rendah. Kategorisasi ini menunjukkan kelemahan yang mudah dieksploitasi.

Dari 574 kelemahan Android, 135 (23%) memiliki skor CVSS lebih tinggi dari 7,2, sementara 18 dinilai kritis.

Di iOS, peneliti keamanan menemukan 357 kerentanan baru di tahun yang telah berlalu, tetapi hanya 24% di antaranya yang dianggap sebagai bug dengan kompleksitas rendah.

Selain itu, hanya 63 (17%) yang memiliki peringkat keparahan CVSS lebih tinggi dari 7,2, tetapi 45 kelemahannya kritis, yang berarti memanfaatkannya dapat mengakibatkan kompromi yang signifikan pada perangkat.

Hal ini membuat iOS menjadi target yang lebih menantang tetapi menguntungkan karena kelemahannya sulit untuk diterapkan, tetapi hasilnya lebih besar.

Hipotesis ini dikonfirmasi oleh statistik zero-day untuk tahun 2021, dengan kerentanan iOS menyumbang 64% dari semua 17 serangan zero-day yang dieksploitasi yang menargetkan perangkat seluler pada tahun 2021.

OS seluler zero-days dieksploitasi di alam liar (Zimperium)

Zimperium juga menganalisis aplikasi paling populer dalam kategori keuangan, perawatan kesehatan, ritel, dan gaya hidup di Google Play Store dan Apple App Store. Kesimpulannya adalah bahwa aplikasi adalah titik tanggung jawab keamanan yang signifikan untuk perangkat seluler.

Evaluasi keamanan aplikasi massal Zimperium

Terutama, 80% aplikasi keuangan untuk Android menggunakan enkripsi yang rentan, sementara 82% aplikasi retail di iOS tidak memiliki perlindungan kode apa pun.

2022 Outlook
Survei Zimperium mengungkapkan bahwa 84% profesional keamanan saat ini telah mengaktifkan Microsoft Office 365 di perangkat seluler, dengan 38% di antaranya sedang dalam proses mengamankan penerapan ini pada fase kedua.

Statistik ini secara sempurna mencerminkan berapa banyak organisasi yang mengorbankan kontrol keamanan yang ketat untuk mendukung produktivitas dan kelangsungan bisnis selama masa perubahan dramatis.

Dibandingkan tahun-tahun sebelumnya, baik Google (Android) dan Apple (iOS) telah melangkah jauh dalam hal keamanan, dan sistem seluler mereka cukup kuat untuk mengesampingkan eksploitasi yang mudah.

Saat ini, pelaku ancaman dipaksa untuk menemukan dan mengaitkan berbagai kerentanan untuk mencapai tujuan yang berarti, sehingga serangan ini semakin sulit dilakukan.

Oleh karena itu, kunci untuk menjaga keamanan perangkat Anda adalah dengan mengurangi jumlah aplikasi yang diinstal seminimal mungkin. Sayangnya, semakin banyak aplikasi yang Anda gunakan, semakin besar risiko data Anda.

Terakhir, perbarui OS seluler Anda dengan menerapkan pembaruan keamanan yang tersedia, dan untuk Android, gunakan alat AV, aktifkan Play Protect, dan tinjau izin aplikasi secara teratur.

Sumber : Bleeping Computer

Data CaddyWiper baru yang menghapus malware menyerang jaringan Ukraina

by

Malware penghancur data yang baru ditemukan telah diamati sebelumnya hari ini dalam serangan yang menargetkan organisasi Ukraina dan menghapus data di seluruh sistem pada jaringan yang disusupi.

“Malware baru ini menghapus data pengguna dan informasi partisi dari drive yang terpasang,” jelas ESET Research Labs.

Meskipun dirancang untuk menghapus data di seluruh domain Windows yang digunakan, CaddyWiper akan menggunakan fungsi DsRoleGetPrimaryDomainInformation() untuk memeriksa apakah perangkat adalah pengontrol domain. Jika demikian, data pada kontroler domain tidak akan dihapus.

Ini kemungkinan taktik yang digunakan oleh penyerang untuk mempertahankan akses di dalam jaringan organisasi yang disusupi yang mereka pukul sementara masih sangat mengganggu operasi dengan menghapus perangkat penting lainnya.

Saat menganalisis header PE dari sampel malware yang ditemukan di jaringan organisasi Ukraina yang dirahasiakan, juga ditemukan bahwa malware tersebut disebarkan dalam serangan pada hari yang sama saat kompilasi.

“CaddyWiper tidak memiliki kesamaan kode yang signifikan dengan HermeticWiper, IsaacWiper, atau malware lain yang kami ketahui. Sampel yang kami analisis tidak ditandatangani secara digital,” tambah ESET.

“Serupa dengan penyebaran HermeticWiper, kami mengamati CaddyWiper disebarkan melalui GPO, menunjukkan penyerang memiliki kendali sebelumnya atas jaringan target sebelumnya.”


Tanggal kompilasi CadddyWiper (ESET)

CaddyWiper adalah malware penghapus data keempat yang digunakan dalam serangan di Ukraina sejak awal 2022, dengan analis ESET Research Labs sebelumnya menemukan dua lainnya dan Microsoft yang ketiga.

Satu hari sebelum invasi Rusia ke Ukraina dimulai, pada 23 Februari, peneliti ESET melihat malware penghapus data yang sekarang dikenal sebagai HermeticWiper, yang digunakan untuk menargetkan Ukraina bersama dengan umpan ransomware.

Mereka juga menemukan penghapus data yang mereka beri nama IsaacWiper dan worm baru bernama HermeticWizard yang digunakan penyerang untuk menjatuhkan muatan penghapus HermeticWiper, yang dikerahkan pada hari Rusia menginvasi Ukraina.

Microsoft juga menemukan penghapus yang sekarang dilacak sebagai WhisperGate, yang digunakan dalam serangan penghapusan data terhadap Ukraina pada pertengahan Januari, yang disamarkan sebagai ransomware.

Seperti yang dikatakan Presiden dan Wakil Ketua Microsoft Brad Smith, serangan berkelanjutan dengan malware destruktif terhadap organisasi Ukraina “telah tepat sasaran.”

Ini kontras dengan serangan malware NotPetya di seluruh dunia yang menyerang Ukraina dan negara lain pada tahun 2017, serangan yang kemudian dikaitkan dengan Sandworm, grup peretasan Direktorat Intelijen Utama GRU Rusia.

Serangan destruktif semacam itu adalah bagian dari “gelombang besar perang hibrida”, seperti yang dijelaskan oleh Dinas Keamanan Ukraina (SSU) tepat sebelum perang dimulai.

Sumber : Bleeping Computer

Raksasa otomotif DENSO terkena geng ransomware Pandora baru

by

Produsen suku cadang otomotif DENSO telah mengkonfirmasi bahwa mereka mengalami serangan siber pada 10 Maret setelah operasi ransomware Pandora baru mulai membocorkan data yang diduga dicuri selama serangan tersebut.

DENSO adalah salah satu produsen komponen otomotif terbesar di dunia, memasok merek seperti Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat, dan General Motors dengan berbagai macam kelistrikan, elektronik, kontrol powertrain, dan berbagai suku cadang khusus lainnya.

DENSO mengkonfirmasi akhir pekan ini bahwa jaringan perusahaan mereka di Jerman dibobol pada 10 Maret 2022. Perusahaan mengklaim telah mendeteksi akses ilegal dan segera merespon untuk memutuskan penyusup dari perangkat jaringan lainnya, membatasi dampaknya hanya pada divisi Jerman.

Gangguan dalam rantai pasokan DENSO akan menyebabkan efek domino dalam produksi mobil di berbagai fasilitas secara global, memukul industri yang sudah berjuang karena kekurangan chip dan penutupan pabrik yang berbasis di Ukraina.

Sementara DENSO menyatakan bahwa serangan siber tidak berdampak pada operasi mereka, geng ransomware Pandora baru mulai membocorkan 1,4 TB file yang diduga dicuri selama pelanggaran jaringan.

Pengumuman DENSO di portal kebocoran Pandora

Pandora ransomware adalah operasi baru yang diluncurkan pada Maret 2022 yang menargetkan jaringan perusahaan dan mencuri data untuk serangan pemerasan ganda.

Begitu mereka mendapatkan akses ke jaringan, pelaku ancaman akan menyebar secara lateral melalui jaringan sambil mencuri file tidak terenkripsi untuk digunakan dalam tuntutan pemerasan.

Saat mengenkripsi perangkat, ransomware akan menambahkan ekstensi .pandora ke nama file terenkripsi, seperti yang ditunjukkan di bawah ini.

File yang dienkripsi oleh ransomware Pandora
Sumber: BleepingComputer

Saat ransomware mengenkripsi file, Pandora akan membuat catatan tebusan di setiap folder bernama ‘Restore_My_Files.txt’. Catatan tebusan ini menjelaskan apa yang terjadi pada perangkat dan menyertakan alamat email yang dapat dihubungi korban untuk melakukan negosiasi tebusan.

Pandora ransom note example
Source: BleepingComputer

Catatan tebusan juga menyertakan tautan ke situs kebocoran data yang digunakan oleh geng ransomware untuk melakukan kampanye pemerasan ganda mereka.

Peneliti keamanan pancak3 percaya bahwa Pandora adalah rebrand dari ransomware Rook karena kesamaan kode dan paket yang digunakan oleh operasi tersebut.

Contoh ransomware Pandora terdeteksi di VirusTotal oleh Intezer sebagai Rook, yang menunjukkan kesamaan kode.

Lebih lanjut, peneliti keamanan Arkbird menemukan bahwa Pandora menggunakan paket yang dapat dieksekusi yang sama dengan ‘NightSky,’ yang merupakan rebranding sebelumnya dari operasi ransomware LockFile/AtomSilo.

Anehnya, Rook juga telah menerbitkan data pada Desember 2021 yang diduga milik DENSO, jadi tidak jelas apakah perusahaan tersebut terkena dua kali oleh operasi ransomware yang sama.

Operasi Ransomware biasanya mengganti nama diri mereka sendiri dengan apa yang oleh komunitas keamanan disebut sebagai ‘rebrand’ dengan harapan hal itu akan membantu mereka menghindari penegakan hukum dan kemungkinan sanksi dari pemerintah.

Namun, kecuali jika pelaku ancaman benar-benar mengubah kode, alat, dan taktik malware mereka, akan selalu ada cara untuk mendeteksi saat geng mengubah citra, membuatnya lebih mudah untuk menautkan ke operasi ransomware sebelumnya.

Jika Pandora adalah rebrand dari Rook, kita mungkin akan melihat operasi berjalan di bawah nama ini untuk beberapa waktu sebelum sekali lagi berganti nama menjadi nama lain, seperti yang telah kita lihat sebelumnya dengan versi lain dari keluarga ransomware ini.

Sumber : Bleeping Computer

Cheat Valorant Palsu di YouTube menginfeksi Anda dengan pencuri RedLine

by

Analis keamanan Korea telah melihat kampanye distribusi malware yang menggunakan umpan cheat Valorant di YouTube untuk mengelabui pemain agar mengunduh RedLine, pencuri informasi yang kuat.

Kampanye yang ditemukan oleh ASEC menargetkan komunitas game Valorant, penembak orang pertama gratis untuk Windows, menawarkan tautan untuk mengunduh bot yang bertujuan otomatis pada deskripsi video.

Video yang mempromosikan bot tujuan otomatis palsu (ASEC)

Cheat ini diduga merupakan add-on yang dipasang di game untuk membantu para pemain membidik musuh dengan kecepatan dan presisi, memenangkan headshots tanpa menunjukkan keterampilan apa pun.

Bot yang bertujuan otomatis sangat dicari untuk game multipemain populer seperti Valorant karena memungkinkan peningkatan peringkat yang mudah.

Pengguna yang mencoba mengunduh file dalam deskripsi video akan dibawa ke halaman anonfiles dari mana mereka akan mendapatkan arsip RAR yang berisi executable bernama “Cheat installer.exe”.

File ini, pada kenyataannya, adalah salinan pencuri RedLine, salah satu infeksi malware pencuri kata sandi yang paling banyak digunakan yang mengambil data berikut dari sistem yang terinfeksi:

  • Informasi dasar: Nama komputer, nama pengguna, alamat IP, versi Windows, informasi sistem (CPU, GPU, RAM, dll.), dan daftar proses
    Browser web: Kata sandi, nomor kartu kredit, formulir IsiOtomatis, bookmark, dan cookie, dari Chrome, browser berbasis Chrome, dan Firefox
    Dompet Cryptocurrency: Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, dan Jaxx
  • Klien VPN: ProtonVPN, OpenVPN, dan NordVPN
  • Lainnya: FileZilla (alamat host, nomor port, nama pengguna, dan kata sandi), Minecraft (kredensial akun, level, peringkat), Steam (sesi klien), Discord (informasi token)
    Setelah mengumpulkan informasi ini, RedLine dengan rapi mengemasnya dalam arsip ZIP bernama “().zip” dan mengekstrak file melalui permintaan POST API WebHook ke server Discord.
Mengeksfiltrasi informasi yang dicuri melalui Discord WebHook (ASEC)

Tak satu pun dari alat cheat ini dibuat oleh entitas yang dapat dipercaya, tidak ada yang ditandatangani secara digital (jadi peringatan AV pasti akan diabaikan), dan banyak yang memang malware.

Laporan ASEC berisi contoh terbaru, tetapi itu hanya setetes tautan unduhan berbahaya di bawah video YouTube yang mempromosikan berbagai jenis perangkat lunak gratis.

Video yang mempromosikan alat ini sering dicuri dari tempat lain dan diposting ulang dari pengguna jahat di saluran yang baru dibuat untuk bertindak sebagai umpan.

Sumber : Bleeping Computer

Malware Android Escobar mencuri kode MFA Google Authenticator Anda

by

Trojan perbankan Android Aberebot telah kembali dengan nama ‘Escobar’ dengan fitur-fitur baru, termasuk mencuri kode otentikasi multi-faktor Google Authenticator.

Fitur-fitur baru dalam versi Aberebot terbaru juga termasuk mengendalikan perangkat Android yang terinfeksi menggunakan VNC, merekam audio, dan mengambil foto, sementara juga memperluas kumpulan aplikasi yang ditargetkan untuk pencurian kredensial.

Tujuan utama dari trojan adalah untuk mencuri informasi yang cukup untuk memungkinkan pelaku ancaman untuk mengambil alih rekening bank korban, menyedot saldo yang tersedia, dan melakukan transaksi yang tidak sah.

Menggunakan platform DARKBEAST intelijen siber KELA, menemukan posting forum di forum peretasan berbahasa Rusia dari Februari 2022 di mana pengembang Aberebot mempromosikan versi baru mereka dengan nama ‘Escobar Bot Android Banking Trojan.’

Posting penjual di forum darknet (KELA)

MalwareHunterTeam pertama kali melihat APK yang mencurigakan pada tanggal 3 Maret 2022, menyamar sebagai aplikasi McAfee, dan memperingatkan tentang sifat tersembunyinya terhadap sebagian besar mesin anti-virus.

Seperti kebanyakan trojan perbankan, Escobar menampilkan formulir login overlay untuk membajak interaksi pengguna dengan aplikasi dan situs web e-banking dan mencuri kredensial dari korban.

Malware ini juga mengemas beberapa fitur lain yang membuatnya kuat terhadap versi Android apa pun, bahkan jika injeksi overlay diblokir dengan cara tertentu.

Malware meminta 25 izin, 15 di antaranya disalahgunakan untuk tujuan jahat. Contohnya termasuk aksesibilitas, rekaman audio, membaca SMS, penyimpanan baca/tulis, dapatkan daftar akun, menonaktifkan kunci tombol, melakukan panggilan, dan mengakses lokasi perangkat yang tepat.

Semua yang dikumpulkan malware diunggah ke server C2, termasuk log panggilan SMS, log kunci, notifikasi, dan kode Google Authenticator.

Kode untuk merebut kode Google Authenticator (Cyble)

Hal di atas sudah cukup untuk membantu para penjahat mengatasi hambatan otentikasi dua faktor ketika mengambil kendali atas rekening e-banking.

Kode 2FA tiba melalui SMS atau disimpan dan diputar di alat berbasis perangkat lunak HMAC seperti Google’s Authenticator. Selain itu, penambahan VNC Viewer, utilitas berbagi layar lintas platform dengan fitur kendali jarak jauh, memberi pelaku ancaman senjata ampuh baru untuk melakukan apa pun yang mereka inginkan saat perangkat tidak dijaga.

Kode Penampil VNC di Aberebot (Cyble)

Aberebot juga dapat merekam klip audio atau mengambil tangkapan layar dan mengekstrak keduanya ke C2 yang dikendalikan aktor, dengan daftar lengkap perintah yang didukung tercantum di bawah ini.

Tabel perintah yang diterima oleh Aberebot (Cyble)

Secara umum, Anda dapat meminimalkan kemungkinan terinfeksi trojan Android dengan menghindari pemasangan APK di luar Google Play, menggunakan alat keamanan seluler, dan memastikan bahwa Google Play Protect diaktifkan di perangkat Anda.

Selain itu, saat memasang aplikasi baru dari sumber mana pun, perhatikan permintaan izin yang tidak biasa dan pantau baterai aplikasi dan statistik konsumsi jaringan selama beberapa hari pertama untuk mengidentifikasi pola yang mencurigakan.

sumber : Bleeping Computer

Formulir kontak situs web perusahaan digunakan untuk menyebarkan malware BazarBackdoor

by

Malware BazarBackdoor yang tersembunyi sekarang menyebar melalui formulir kontak situs web daripada email phishing biasa untuk menghindari deteksi oleh perangkat lunak keamanan.

BazarBackdoor adalah malware backdoor tersembunyi yang dibuat oleh grup TrickBot dan sekarang sedang dikembangkan oleh operasi ransomware Conti. Malware ini memberikan akses jarak jauh kepada pelaku ancaman ke perangkat internal yang dapat digunakan sebagai landasan peluncuran untuk pergerakan lateral lebih lanjut dalam jaringan.

Malware BazarBackdoor biasanya menyebar melalui email phishing yang menyertakan dokumen berbahaya yang mengunduh dan menginstal malware.

Namun, karena secure email gateways menjadi lebih baik dalam mendeteksi malware droppers ini, distributor beralih ke cara baru untuk menyebarkan malware.

Dalam laporan baru oleh Abnormal Security, analis menjelaskan bahwa kampanye distribusi baru yang dimulai pada Desember 2021 menargetkan korban perusahaan dengan BazarBackdoor, dengan kemungkinan tujuan menyebarkan Cobalt Strike atau muatan ransomware.

Alih-alih mengirim email phishing ke target, pelaku ancaman pertama-tama menggunakan formulir kontak perusahaan untuk memulai komunikasi.

Misalnya, dalam salah satu kasus yang dilihat oleh analis Abnormal, pelaku ancaman menyamar sebagai karyawan di perusahaan konstruksi Kanada yang mengajukan permintaan penawaran penawaran produk melalui formulis kontak yang ada di website perusahaan.

Setelah karyawan menanggapi email phishing, penyerang mengirim kembali file ISO berbahaya yang dianggap relevan dengan negosiasi.

Karena mengirim file ini secara langsung tidak mungkin atau akan memicu peringatan keamanan, pelaku ancaman menggunakan layanan berbagi file seperti TransferNow dan WeTransfer.

Lampiran arsip ISO berisi file .lnk dan file .log. Idenya di sini adalah untuk menghindari deteksi AV dengan mengemas muatan dalam arsip dan meminta pengguna mengekstraknya secara manual setelah mengunduh.

File .lnk berisi instruksi perintah yang membuka jendela terminal menggunakan binari Windows yang ada dan memuat file .log, yang pada kenyataannya adalah DLL BazarBackdoor.

Selengkapnya: Bleeping Computer

Malware yang menyamar sebagai alat keamanan menargetkan Tentara TI Ukraina

by

Kampanye malware baru memanfaatkan kesediaan orang untuk mendukung perang cyber Ukraina melawan Rusia untuk menginfeksi mereka dengan Trojan pencuri kata sandi.

Bulan lalu, pemerintah Ukraina mengumumkan Angkatan Darat TI baru yang terdiri dari sukarelawan di seluruh dunia yang melakukan serangan siber dan serangan DDoS terhadap entitas Rusia.

Inisiatif ini telah menghasilkan curahan dukungan oleh banyak orang di seluruh dunia yang telah membantu menargetkan organisasi dan situs Rusia, bahkan jika aktivitas itu dianggap ilegal.

Seperti biasa dengan distributor malware, pelaku ancaman mengambil keuntungan dari Angkatan Darat TI dengan mempromosikan alat DDoS palsu di Telegram yang memasang kata sandi dan trojan pencuri informasi.

Dalam sebuah laporan baru oleh Cisco Talos, para peneliti memperingatkan bahwa pelaku ancaman meniru alat DDoS yang disebut “Liberator”, yang merupakan website bomber untuk digunakan melawan outlet propaganda Rusia.

Sementara versi yang diunduh dari situs sebenarnya “bersih”, dan kemungkinan ilegal untuk digunakan, yang beredar di Telegram ternyata menyembunyikan muatan malware, dan tidak ada cara untuk membedakannya sebelum menjalankannya karena keduanya tidak ditandatangani secara digital.

Malware yang dijatuhkan pada sistem korban melakukan pemeriksaan anti-debug sebelum dijalankan dan kemudian mengikuti langkah injeksi proses untuk memuat pencuri informasi Phoenix ke dalam memori.

Pencuri info tersebut dapat mengumpulkan data dari browser web, alat VPN, Discord, lokasi sistem file, dan dompet cryptocurrency, dan mengirimkannya ke alamat jarak jauh, dalam kasus ini, IP Rusia.

Peneliti Talos menemukan bahwa IP khusus ini telah mendistribusikan Phoenix sejak November 2021. Oleh karena itu, perubahan tema baru-baru ini menunjukkan bahwa kampanye ini hanyalah upaya oportunistik untuk mengeksploitasi perang di Ukraina demi keuntungan finansial.

Selengkapnya: Bleeping Computer