Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Malware Android baru menargetkan pengguna Netflix, Instagram, dan Twitter

by

Malware Android baru yang dikenal sebagai MasterFred menggunakan overlay login palsu untuk mencuri informasi kartu kredit pengguna Netflix, Instagram, dan Twitter.

Trojan perbankan Android ini juga menargetkan pelanggan bank dengan overlay login palsu khusus dalam berbagai bahasa.

Sampel MasterFred pertama kali dikirimkan ke VirusTotal pada Juni 2021 dan pertama kali terlihat pada Juni. Analis malware Alberto Segura juga membagikan sampel kedua secara online satu minggu lalu yang menunjukkan bahwa itu digunakan oleh pengguna Android dari Polandia dan Turki.

“Dengan memanfaatkan toolkit Aksesibilitas Aplikasi yang diinstal di Android secara default, penyerang dapat menggunakan aplikasi untuk menerapkan serangan Overlay untuk mengelabui pengguna agar memasukkan informasi kartu kredit untuk pembobolan akun palsu di Netflix dan Twitter,” kata Avast.

Penggunaan jahat dari layanan Aksesibilitas bukanlah sesuatu yang baru karena pembuat malware telah menggunakannya untuk mensimulasikan ketukan dan menavigasi UI Android menginstal muatan mereka, mengunduh dan menginstal malware lain, dan menjalankan berbagai operasi di latar belakang.

Namun, ada beberapa hal yang membuat MasterFred menonjol. Salah satunya adalah aplikasi jahat yang digunakan untuk menyebarkan malware di perangkat Android juga menggabungkan lapisan HTML yang digunakan untuk menampilkan formulir login palsu dan mengambil informasi keuangan korban.

Malware ini juga menggunakan gerbang web gelap Onion.ws (alias proxy Tor2Web) untuk mengirimkan informasi yang dicuri ke server jaringan Tor di bawah kendali operatornya.

Karena setidaknya salah satu aplikasi berbahaya yang menggabungkan bankir MasterFred baru-baru ini tersedia di Google Play Store, aman untuk mengatakan bahwa operator MasterFred juga kemungkinan menggunakan toko pihak ketiga sebagai saluran pengiriman untuk malware baru ini.

Selengkapnya : Bleeping Computer

Peretas TeamTNT Menargetkan Server Docker Yang Tidak Dikonfigurasi Dengan Baik

by

Server Docker yang dikonfigurasi dengan buruk sedang aktif ditargetkan oleh grup peretasan TeamTNT dalam kampanye yang sedang berlangsung dimulai dari bulan lalu.

Menurut sebuah laporan oleh para peneliti di TrendMicro, para aktor memiliki tiga tujuan berbeda: untuk menginstal cryptominers Monero, memindai instance Docker yang rentan terhadap Internet, dan melakukan pelarian container-to-host untuk mengakses jaringan utama.

Seperti yang diilustrasikan dalam alur kerja serangan, serangan dimulai dengan membuat wadah pada host yang rentan menggunakan Docker REST API yang terbuka.

Alamat IP yang digunakan untuk infrastruktur TeamTNT saat ini (45[.]9[.]148[.]182) telah dikaitkan dengan beberapa domain yang melayani malware di masa lalu.

TrendMicro melaporkan bahwa kampanye ini juga menggunakan akun Docker Hub yang disusupi yang dikendalikan oleh TeamTNT untuk menghapus gambar Docker yang berbahaya.

Menggunakan akun Docker Hub yang disusupi membuat titik distribusi lebih andal bagi para aktor, karena lebih sulit untuk dipetakan, dilaporkan, dan dihapus.

TeamTNT adalah aktor canggih yang terus-menerus mengembangkan tekniknya, mengubah fokus penargetan jangka pendek tetapi tetap menjadi ancaman konstan bagi sistem Docker yang rentan.

Mereka pertama kali membuat worm untuk mengeksploitasi Docker dan Kubernetes secara massal pada Agustus 2020.

Selengkapnya: Bleeping Computer

MediaMarkt terkena ransomware Hive, tebusan awal $240 juta

by

Raksasa ritel elektronik MediaMarkt telah menderita ransomware Hive dengan permintaan tebusan awal sebesar $240 juta, menyebabkan sistem TI ditutup dan operasi toko terganggu di Belanda dan Jerman.

MediaMarkt adalah pengecer elektronik konsumen terbesar di Eropa, dengan lebih dari 1.000 toko di 13 negara. MediaMarkt mempekerjakan sekitar 53.000 karyawan dan memiliki total penjualan €20,8 miliar.

MediaMarkt mengalami serangan ransomware Minggu malam hingga Senin pagi yang mengenkripsi server dan workstation dan menyebabkan penutupan sistem TI untuk mencegah penyebaran serangan.

Sementara penjualan online terus berfungsi seperti yang diharapkan, mesin kasir tidak dapat menerima kartu kredit atau mencetak tanda terima di toko yang terkena dampak. Pemadaman sistem juga mencegah pengembalian barang karena ketidakmampuan untuk mencari pembelian sebelumnya.

Media lokal melaporkan bahwa komunikasi internal MediaMarkt memberi tahu karyawan untuk menghindari sistem terenkripsi dan memutuskan mesin kasir dari jaringan.

BleepingComputer telah mengkonfirmasi bahwa operasi Hive Ransomware berada di balik serangan itu dan awalnya menuntut jumlah uang tebusan yang sangat besar, tetapi tidak realistis, $ 240 juta untuk menerima decryptor untuk file terenkripsi.

Meskipun tidak jelas apakah data yang tidak terenkripsi telah dicuri sebagai bagian dari serangan, ransomware Hive diketahui mencuri file dan mempublikasikannya di situs kebocoran data ‘HiveLeaks’ jika uang tebusan tidak dibayarkan.

Selengkapnya: Bleeping Computer

Ini Alasan Mengapa Anda Harus Menghapus Google Chrome di Ponsel Android Anda

by

Peringatan baru untuk pengguna Google Chrome, karena browser tersebut ditemukan memanen data ponsel sensitif tanpa disadari pengguna.

Bulan lalu, aplikasi Facebook terungkap melacak pergerakan pengguna iPhone, mengakses akselerometer perangkat setiap saat.

Facebook adalah pemanen data paling rakus di dunia, dan informasi sensitif ini dapat digunakan untuk memantau perilaku, menghubungkan nya dengan jumlah data yang luar biasa besar yang dikumpulkannya.

Tetapi Facebook bukanlah pemanen data paling sukses di dunia—hadiah itu diberikan kepada Google. Tidak seperti Facebook, yang telah terpukul keras oleh langkah-langkah privasi terbaru Apple, pendapatan iklan digital Google terus melonjak.

Sementara Facebook mengumpulkan informasi ini untuk dirinya sendiri, Chrome dengan senang hati mengumpulkannya untuk orang lain—pada dasarnya memungkinkan informasi yang sangat sensitif tentang setiap aktivitas Anda, setiap perilaku Anda.

Peneliti Tommy Mysk memperingatkan bahwa “sensor gerak dapat diakses oleh semua situs web di Android/Chrome secara default, [sedangkan] Safari/iOS melindungi akses dengan izin.” Namun, yang jauh lebih buruk adalah Chrome melakukan ini bahkan saat disetel ke mode penjelajahan pribadi atau “penyamaran/incognito”.

Anda dapat menonaktifkan akses ke sensor gerak ponsel Anda di Chrome pada Android di Pengaturan Situs—tetapi Anda akan melihat bahwa Google merekomendasikan untuk membiarkannya menyala.

Cara Disable Motion Access

Selengkapnya: Forbes

Perusahaan perangkat lunak medis mendesak pengaturan ulang kata sandi setelah serangan ransomware

by

Medatixx, vendor perangkat lunak medis Jerman yang produknya digunakan di lebih dari 21.000 institusi kesehatan, mendesak pelanggan untuk mengubah kata sandi aplikasi mereka setelah serangan ransomware yang telah sangat mengganggu seluruh operasinya.

Perusahaan mengklarifikasi bahwa dampaknya belum mencapai klien dan terbatas pada sistem TI internal mereka dan tidak boleh memengaruhi PVS (sistem manajemen praktik) mereka.

Namun, karena tidak diketahui data apa yang dicuri selama serangan, pelaku ancaman mungkin telah memperoleh kata sandi pelanggan Medatixx.

Oleh karena itu, Medatixx merekomendasikan agar pelanggan melakukan langkah-langkah berikut untuk memastikan perangkat lunak manajemen praktik mereka tetap aman:

  • Ubah kata sandi pengguna pada perangkat lunak praktik (petunjuk).
  • Ubah kata sandi masuk Windows di semua workstation dan server (petunjuk).
  • Ubah kata sandi konektor TI (petunjuk).

Perusahaan menjelaskan bahwa langkah di atas adalah tindakan pencegahan, tetapi mereka harus diterapkan sesegera mungkin.

Serangan ransomware pada Mediatixx terjadi minggu lalu, dan perusahaan masih dalam pemulihan, sejauh ini hanya berhasil memulihkan sistem email dan telepon pusat.

Belum ada perkiraan kapan perusahaan akan kembali beroperasi normal.

Belum diketahui apakah pelaku berhasil melakukan eksfiltrasi data klien, dokter, atau pasien. Namun, perusahaan menyatakan bahwa mereka memberi tahu otoritas perlindungan data Jerman tentang insiden tersebut dan akan mengeluarkan pembaruan setelah penyelidikan selesai.

Selengkapnya: Bleeping Computer

Robinhood mengungkapkan pelanggaran data yang berdampak pada 7 juta pelanggan

by

Platform perdagangan saham Robinhood telah mengungkapkan pelanggaran data setelah sistem mereka diretas dan aktor ancaman memperoleh akses ke informasi pribadi sekitar 7 juta pelanggan.

Serangan itu terjadi pada 3 November setelah seorang pelaku ancaman menelepon seorang karyawan dukungan pelanggan dan menggunakan rekayasa sosial untuk mendapatkan akses ke sistem dukungan pelanggan.

Setelah mengakses sistem pendukung, pelaku ancaman dapat mengakses informasi pelanggan, termasuk nama lengkap, alamat email, dan untuk sejumlah orang, data kelahiran, dan kode pos.

Singkatnya, pelanggaran data mengungkapkan:

  • Alamat email untuk 5 juta pelanggan.
  • Nama lengkap untuk 2 juta.
  • Nama, tanggal lahir, dan kode pos untuk 300 orang.
  • Informasi akun yang lebih detail untuk 10 orang.

Perusahaan menyatakan bahwa mereka tidak percaya ada nomor Jaminan Sosial, nomor rekening bank, atau nomor kartu debit yang terpapar dalam serangan itu.

Setelah mengetahui serangan itu dan mengamankan sistem mereka, RobinHood juga menerima permintaan pemerasan. Sementara Robinhood belum memberikan perincian apa pun mengenai permintaan pemerasan, kemungkinan ada ancaman bahwa data yang dicuri akan bocor jika tebusan Bitcoin tidak dibayarkan.

RobinHood mengatakan mereka terus menyelidiki insiden tersebut dengan bantuan Mandiant, sebuah perusahaan keamanan siber terkenal yang biasa digunakan untuk melakukan respons insiden setelah serangan.

Selengkapnya: Bleeping Computer

Ini bisa menjadi waktu yang tepat untuk menambal kernel Linux Anda

by

Peneliti keamanan siber telah membantu memperbaiki kerentanan keamanan heap-overflow kritis di kernel Linux yang dapat dieksploitasi baik secara lokal atau melalui eksekusi kode jarak jauh (RCE) untuk membahayakan komputer Linux yang rentan.

Ditemukan oleh peneliti SentinelLabs Max Van Amerongen, kerentanan yang dilacak sebagai CVE-2021-43267 ada dalam modul Transparan Inter Process Communication (TIPC) kernel, khususnya dalam jenis pesan yang memungkinkan node untuk saling mengirim kunci kriptografi.

“Kerentanan ini dapat dieksploitasi baik secara lokal maupun jarak jauh. Sementara eksploitasi lokal lebih mudah karena kontrol yang lebih besar atas objek yang dialokasikan di tumpukan kernel, eksploitasi jarak jauh dapat dicapai berkat struktur yang didukung TIPC,” catat Amerongen.

Karena jenis pesan yang terpengaruh relatif baru, bug hanya ada di rilis kernel antara v5.10 dan v5.15.

Peneliti menjelaskan bahwa jenis pesan yang rentan, yang disebut MSG_CRYPTO, diperkenalkan pada September 2020, untuk bertukar kunci kriptografi.

Namun, Amerongen menemukan bahwa meskipun jenis pesan membuat berbagai alokasi untuk mentransfer kunci, ia gagal untuk memeriksa dan memvalidasi beberapa di antaranya.

Patch telah dirilis yang menambahkan pemeriksaan verifikasi ukuran yang sesuai ke proses, yang telah ditambahkan ke rilis utama Linux 5.15 Long Term Support (LTS).

Sumber: Tech Radar

Scammer Meyakinkan Instagram Bahwa Kepala Eksekutifnya Telah Meninggal

by Leave a Comment

Seorang scammer berhasil mengunci sementara akun Instagram Adam Mosseri, kepala Instagram, dengan berpura-pura bahwa eksekutif itu sudah mati.

Akun Instagram Mosseri terkunci karena fitur memorialization Instagram, di mana pengguna dapat melaporkan kepada perusahaan bahwa pemilik akun Instagram telah meninggal. Sebagai tanggapan, Instagram akan memblokir siapa pun untuk masuk ke akun, dan menghentikan kemampuan untuk membuat perubahan apa pun pada konten yang sudah diunggah.

“Saya merasa konyol bagaimana Instagram membiarkan hal seperti itu terjadi di platform mereka sejak awal,” scammer yang mengaku bertanggung jawab atas penguncian akun Mosseri, dan yang menggunakan pegangan Syenrai, mengatakan kepada Motherboard dalam obrolan online. “Seluruh komunitas pelarangan perlu ditemukan dan dilaporkan ke Instagram sehingga mereka dapat mengakhiri ini—pada dasarnya ini adalah sisi gelap Instagram.”

Source: Motherboard

Seorang juru bicara Instagram mengatakan kepada Motherboard melalui email bahwa “Seperti layanan internet lainnya, Instagram memiliki formulir online untuk membantu orang melaporkan aktivitas yang mencurigakan atau memberi tahu kami bahwa seorang teman atau anggota keluarga telah meninggal. Sayangnya, beberapa orang menyalahgunakan formulir ini, jadi kami mempekerjakan penyelidik dan spesialis keamanan siber untuk mendeteksi taktik scammer sehingga kami dapat meningkatkan dan mempersulit mereka.”

Instagram mengatakan bahwa tim yang meninjau permintaan memorialisasi melihat hal-hal seperti mencocokkan gambar, nama, dan tanggal lahir dalam obituari yang dikirimkan dengan akun masing-masing.

Instagram menawarkan formulir kepada orang-orang yang percaya bahwa akun mereka telah diabadikan secara tidak benar ketika mereka membuka aplikasi. “Kami hanya dapat memberi Anda akses ke akun ini jika kami dapat memverifikasi bahwa Anda adalah pemilik akun tersebut,” bunyi formulir tersebut.

“Sangat penting untuk memiliki tanggal lahir yang benar, dan setidaknya satu foto diri Anda diarsipkan, ini membantu membuktikan bahwa Anda adalah pemilik akun baik saat dihafal atau dicekal oleh seseorang,” kata Syenrai.

Sumber: Vice