Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Emotet Sekarang Menggunakan Format Alamat IP Yang Tidak Konvensional untuk Menghindari Deteksi

by

Kampanye rekayasa sosial yang melibatkan penyebaran botnet malware Emotet telah diamati menggunakan format alamat IP “tidak konvensional” untuk pertama kalinya dalam upaya untuk menghindari deteksi oleh solusi keamanan.

Ini melibatkan penggunaan representasi heksadesimal dan oktal dari alamat IP yang, ketika diproses oleh sistem operasi yang mendasarinya, secara otomatis dikonversi “ke representasi quad desimal putus-putus untuk memulai permintaan dari server jarak jauh,” Analis Ancaman Trend Micro, Ian Kenefick, mengatakan dalam sebuah laporan Jumat.

Rantai infeksi, seperti serangan terkait Emotet sebelumnya, bertujuan untuk mengelabui pengguna agar mengaktifkan makro dokumen dan mengotomatisasi eksekusi malware. Dokumen ini menggunakan Excel 4.0 Macros, fitur yang telah berulang kali disalahgunakan oleh aktor jahat untuk mengirimkan malware.

Setelah diaktifkan, makro memanggil URL yang dikaburkan dengan carets, dengan host menggabungkan representasi heksadesimal dari alamat IP – “h ^ tt ^ p ^ : / ^ / 0xc12a24f5/cc.html” – untuk mengeksekusi kode aplikasi HTML (HTA) dari host jarak jauh.

Varian kedua dari serangan phishing mengikuti modus operandi yang sama, satu-satunya perbedaan adalah bahwa alamat IP sekarang dikodekan dalam format oktal – “h ^ tt ^ p ^:/^/0056.0151.0121.0114/c.html”.

“Penggunaan alamat IP heksadesimal dan oktal yang tidak konvensional dapat mengakibatkan menghindari solusi saat ini yang bergantung pada pencocokan pola,” kata Kenefick. “Teknik penghindaran seperti ini dapat dianggap sebagai bukti penyerang terus berinovasi untuk menggagalkan solusi deteksi berbasis pola.”

Perkembangan ini terjadi di tengah aktivitas Emotet yang diperbarui akhir tahun lalu setelah absen selama 10 bulan setelah operasi penegakan hukum yang terkoordinasi. Pada bulan Desember 2021, para peneliti menemukan bukti malware yang mengembangkan taktiknya untuk menjatuhkan Cobalt Strike Beacons langsung ke sistem yang dikompromikan.

Temuan ini juga muncul ketika Microsoft mengungkapkan rencana untuk menonaktifkan Makro Excel 4.0 (XLM) secara default untuk melindungi pelanggan dari ancaman keamanan. “Pengaturan ini sekarang default ke makro Excel 4.0 (XLM) dinonaktifkan di Excel (Build 16.0.14427.10000),” perusahaan mengumumkan pekan lalu.

Sumber: The Hacker News

Server Dark Souls Diturunkan untuk Mencegah Peretasan Menggunakan Bug Kritis

by

Bandai Namco telah menonaktifkan mode PvP online untuk game role-playing Dark Souls, mengambil servernya secara offline untuk menyelidiki laporan tentang masalah keamanan parah yang dapat menimbulkan risiko bagi pemain.

Menurut laporan masyarakat di Reddit, kerentanan adalah eksekusi kode jarak jauh (RCE) yang dapat memungkinkan penyerang untuk mengendalikan sistem, memberi mereka akses ke informasi sensitif, membiarkan mereka menanam malware, atau menggunakan sumber daya untuk penambangan cryptocurrency.

Laporan yang sama mengklaim bahwa eksploitasi secara aktif beredar dan juga dapat bekerja melawan Elden Ring, judul bandai Namco yang akan datang.

Masalah ini menjadi dikenal luas pada hari Sabtu dalam sebuah posting di Discord mengklarifikasi bahwa pengembang game menerima rincian tentang kerentanan RCE dalam laporan pengungkapan yang bertanggung jawab langsung dari orang yang menemukannya.

Bandai Namco diduga mengabaikan laporan itu tetapi mengingat beratnya cacat, reporter memutuskan untuk menunjukkannya pada streamer populer untuk meningkatkan kesadaran dan menunjukkan betapa pentingnya hal itu.

Memang, setidaknya ada satu aliran di Twitch yang menampilkan eksploitasi, bahkan jika tanpa sadar, berakhir dengan kecelakaan setelah eksekusi Microsoft PowerShell dan skrip text-to-speech.

Setelah laporan eksploitasi aktif menyebar, Dark Souls mengumumkan di Twitter bahwa server PvP untuk semua judul seri akan diambil secara offline untuk memungkinkan tim menyelidiki tuduhan tersebut.

Ini hanya mempengaruhi platform PC, dan pengalaman PvP di konsol Xbox dan PS tetap tidak terpengaruh.

Blue Sentinel, alat anti-cheat yang banyak digunakan untuk game Dark Souls, dilaporkan sedang mengerjakan patch untuk mencegah mengeksploitasi cacat tersebut. Namun, kemungkinan mitigasi melalui alat ini tidak dijamin.

Bleeping Computer telah menghubungi Bandai Namco untuk meminta rincian lebih lanjut tentang eksploitasi RCE dan perkiraan waktu untuk remediasi, tetapi kami belum menerima tanggapan.

Sumber: Bleepingcomputer

Malware Android BRATA menghapus perangkat Anda setelah mencuri data

by

Malware Android BRATA telah menambahkan fitur baru dan berbahaya ke versi terbarunya, termasuk pelacakan GPS, kapasitas untuk menggunakan beberapa saluran komunikasi, dan fungsi yang melakukan reset pabrik pada perangkat untuk menghapus semua jejak aktivitas berbahaya.

BRATA pertama kali ditemukan oleh Kaspersky pada tahun 2019 sebagai RAT Android (alat akses jarak jauh) yang terutama menargetkan pengguna Brasil.

Pada bulan Desember 2021 Cleafy menggarisbawahi munculnya malware di Eropa, di mana terlihat menargetkan pengguna e-banking dan mencuri kredensial mereka dengan keterlibatan penipu yang menyamar sebagai agen dukungan pelanggan bank.

Versi terbaru dari malware BRATA sekarang menargetkan pengguna e-banking di Inggris, Polandia, Italia, Spanyol, Cina, dan Amerika Latin.

Setiap varian berfokus pada bank yang berbeda dengan set overlay khusus, bahasa, dan bahkan aplikasi yang berbeda untuk menargetkan audiens tertentu.

Varian BRATA beredar di berbagai negara
Sumber: Cleafy

Penulis menggunakan teknik kebingungan serupa di semua versi, seperti membungkus file APK ke dalam paket JAR atau DEX terenkripsi.

Kebingungan ini berhasil melewati deteksi antivirus, seperti yang diilustrasikan oleh pemindaian VirusTotal di bawah ini.

Tingkat deteksi sampel terbaru
Sumber: Cleafy

BRATA sekarang secara aktif mencari tanda-tanda keberadaan AV pada perangkat dan mencoba untuk menghapus alat keamanan yang terdeteksi sebelum melanjutkan ke langkah eksfiltrasi data.

Alat AV dihapus oleh BRATA
Sumber: Cleafy

Fitur-fitur baru yang ditemukan oleh peneliti Cleafy dalam versi BRATA terbaru termasuk fungsi keylogging, yang melengkapi fungsi screen capture yang ada.

Meskipun tujuan pastinya tetap menjadi misteri bagi para analis, semua varian baru juga memiliki pelacakan GPS.

Fungsi reset pabrik
Sumber: Cleafy

Terakhir, BRATA telah menambahkan saluran komunikasi baru untuk bertukar data dengan server C2 dan sekarang mendukung HTTP dan WebSockets.

Komunikasi dengan C2 di BRATA baru
Sumber: Cleafy

Opsi WebSockets memberi aktor saluran langsung dan latensi rendah yang ideal untuk komunikasi waktu nyata dan eksploitasi manual langsung.

Selain itu, karena WebSockets tidak perlu mengirim header dengan setiap koneksi, volume lalu lintas jaringan yang mencurigakan berkurang, dan dengan perluasan, kemungkinan terdeteksi diminimalkan.

Cara terbaik untuk menghindari terinfeksi oleh malware Android adalah menginstal aplikasi dari Google Play Store, menghindari APK dari situs web yang teduh, dan selalu memindainya dengan alat AV sebelum dibuka.

Selama penginstalan, perhatikan baik-baik izin yang diminta dan hindari memberikan izin apa pun yang tampaknya tidak perlu untuk fungsionalitas inti aplikasi.

Terakhir, pantau konsumsi baterai dan volume lalu lintas jaringan untuk mengidentifikasi lonjakan yang tidak dapat dijelaskan yang mungkin dikaitkan dengan proses berbahaya yang berjalan di latar belakang.

Sumber : Bleeping Computer

File PowerPoint Berbahaya Digunakan untuk Mendorong Trojan Akses Jarak Jauh

by

Sejak Desember 2021, tren yang berkembang dalam kampanye phishing telah muncul yang menggunakan dokumen PowerPoint berbahaya untuk mendistribusikan berbagai jenis malware, termasuk akses jarak jauh dan trojan pencuri informasi.

Menurut sebuah laporan oleh Netskope’s Threat Labs yang dibagikan dengan Bleeping Computer sebelum dipublikasikan, para aktor menggunakan file PowerPoint yang dikombinasikan dengan layanan cloud yang sah yang meng-host muatan malware.

Keluarga yang dikerahkan dalam kampanye yang dilacak adalah Warzone (alias AveMaria) dan AgentTesla, dua RAT yang kuat dan pencuri info yang menargetkan banyak aplikasi, sementara para peneliti juga melihat jatuhnya pencuri cryptocurrency.

Geser malware ke perangkat Windows

Lampiran phishing PowerPoint yang berbahaya berisi makro yang dikaburkan yang dieksekusi melalui kombinasi PowerShell dan MSHTA, keduanya alat Windows bawaan.

Skrip VBS kemudian didefuscated dan menambahkan entri registri Windows baru untuk ketekunan, yang mengarah ke eksekusi dua skrip. Yang pertama mengambil AgentTesla dari URL eksternal, dan yang kedua menonaktifkan Windows Defender.

Selain itu, VBS menciptakan tugas terjadwal yang mengeksekusi skrip setiap jam, yang mengambil pencuri cryptocurrency PowerShell dari URL Blogger.

Muatan kedua yang disampaikan dalam kampanye ini adalah Warzone, juga RAT, tetapi Netskope tidak memberikan banyak rincian tentang hal itu dalam laporan.

Pencuri cryptocurrency adalah muatan ketiga dari kampanye ini, yang memeriksa data clipboard dengan regex yang sesuai dengan pola dompet cryptocurrency. Jika ditemukan, itu menggantikan alamat penerima dengan satu di bawah kendali aktor.

Pencuri mendukung Bitcoin, Ethereum, XMR, DOGE, dan banyak lagi. Netskope telah menerbitkan daftar lengkap IoCs (indikator kompromi) untuk kampanye ini, termasuk semua dompet yang digunakan oleh para aktor di halaman GitHub ini.

Selengkapnya: Bleepingcomputer

Geng Ransomware meningkatkan upaya untuk meminta orang dalam untuk menyerang

by

Sebuah survei terhadap 100 perusahaan IT Amerika Utara besar (lebih dari 5.000 karyawan) menunjukkan bahwa pelaku ransomware melakukan upaya yang lebih besar untuk merekrut orang dalam di perusahaan yang ditargetkan untuk membantu dalam serangan.

Dibandingkan dengan survei sebelumnya, terdapat peningkatan 17% dalam jumlah karyawan yang menawarkan uang untuk membantu serangan ransomware terhadap majikan mereka.

Persentase perusahaan yang didekati oleh pelaku ransomware
Sumber: Hitachi ID

Pelaku ancaman biasanya menggunakan email dan media sosial untuk menghubungi karyawan, tetapi 27% dari upaya pendekatan mereka dilakukan melalui panggilan telepon, cara kontak langsung dan berani.

Adapun uang yang ditawarkan kepada karyawan, sebagian besar menerima tawaran di bawah $500.000, tetapi beberapa proposal berada di utara satu juta USD.

Jumlah yang ditawarkan kepada karyawan nakal
Sumber: Hitachi ID

Sebagaimana tercermin dalam temuan survei Hitachi ID, ancaman orang dalam umumnya diabaikan, diremehkan, dan tidak diperhitungkan saat mengembangkan rencana keamanan siber.

Ketika eksekutif TI ditanyai tentang seberapa khawatir mereka tentang ancaman internal, 36% menjawab dengan lebih khawatir tentang ancaman eksternal, dengan 3% tidak khawatir tentang ancaman sama sekali.

Apa yang eksekutif TI pikirkan tentang ancaman orang dalam
Sumber: Hitachi ID

CISA merilis alat yang dapat membantu perusahaan menilai sikap mereka terhadap ancaman orang dalam pada September 2021, memperingatkan bahwa tren tertentu sedang meningkat.

Entitas yang memutuskan untuk meningkatkan pelatihan karyawan dan mengirim email palsu kepada karyawan di area kritis dengan laporan karyawan yang tidak puas atau indikator kinerja rendah. Namun, sebagian besar belum menerapkan langkah-langkah keamanan khusus untuk mengatasi masalah tersebut.

Fakta bahwa Amerika Serikat sedang mengalami lonjakan berhenti dari pekerjaan yang disebut “Pengunduran Diri Hebat” meningkatkan peluang keberhasilan bagi aktor ransomware dalam negosiasi yang aneh ini.

Banyak orang yang merasa stres berlebihan, dibayar rendah, dieksploitasi, kelelahan, atau merasa bahwa pekerjaan tidak lagi sepadan dengan waktu dan energi mereka.

Orang-orang ini terlihat sebagai kandidat ideal untuk geng ransomware yang membujuk mereka dengan bayaran besar untuk menjadi kaki tangan jangka pendek.

Sumber : Bleeping Computer

Singapura mendorong untuk memperkenalkan langkah-langkah keamanan di tengah penipuan perbankan online

by

Bank dan lembaga keuangan di Singapura menerapkan langkah-langkah keamanan baru yang telah diamanatkan menyusul serangkaian penipuan SMS phishing yang menghapus beberapa korban dari tabungan hidup mereka. Langkah-langkah ini termasuk penghapusan hyperlink dari email atau pesan SMS yang dikirim ke konsumen dan penundaan 12 jam dalam mengaktifkan token perangkat lunak seluler.

Otoritas Moneter Singapura (MAS) dan Asosiasi Bank di Singapura (ABS) mengatakan bahwa langkah-langkah tambahan bertujuan untuk memperkuat keamanan perbankan digital, mengingat penipuan baru-baru ini yang menargetkan pelanggan bank.

Penipuan SMS-phishing melibatkan setidaknya 469 pelanggan OCBC Bank dan mengakibatkan kerugian lebih dari SG$8,5 juta, dengan kerugian S$2,7 juta saja selama tiga hari akhir pekan Natal. Beberapa korban dilaporkan kehilangan tabungan hidup mereka, termasuk seorang pria berusia 43 tahun yang rekeningnya dihapus sebesar S$500.000, seorang insinyur perangkat lunak berusia 38 tahun yang kehilangan S$250.000, dan eksekutif keuangan berusia 33 tahun yang memilikinya. akun dikosongkan sebesar S$68.000.

Scammers memanipulasi detail ID Pengirim SMS yang tampaknya berasal dari OCBC. Pesan SMS ini mendorong para korban untuk menyelesaikan masalah dengan akun mereka, mengarahkan mereka ke situs web phishing dan menginstruksikan mereka untuk memasukkan detail login bank mereka, termasuk nama pengguna, PIN, dan One-Time Password (OTP).

Karena ID Pengirim OCBC yang sah berhasil dikloning, dan dipalsukan, pesan-pesan ini muncul di utas yang sama dengan peringatan atau pemberitahuan sebelumnya dari bank, membuat para korban percaya bahwa itu sah.

Pelanggan OCBC yang terkena dampak juga menyatakan frustrasi atas bagaimana mereka ditahan dalam upaya mereka untuk menghubungi hotline bank dan akun mereka dikunci, setelah mereka menerima pemberitahuan transfer pembayaran dan permintaan untuk meningkatkan batas transaksi mereka yang tidak pernah mereka lakukan.

Bank-bank lokal dengan berkonsultasi dengan MAS, akan berupaya menerapkan langkah-langkah yang lebih ketat dalam dua minggu ke depan. Ini akan mencakup pengaturan ambang default pemberitahuan transaksi transfer dana pada S$100 atau lebih rendah dan memicu pemberitahuan ke nomor ponsel atau email yang ada yang terdaftar di bank, setiap kali ada permintaan untuk mengubah nomor ponsel atau alamat email pelanggan.

Bank juga harus membentuk tim bantuan pelanggan yang berdedikasi dan “bersumber daya baik” untuk menangani umpan balik pelanggan tentang kasus penipuan potensial, kata MAS. Regulator menambahkan bahwa perlindungan lebih lanjut, seperti memberlakukan periode pendinginan sebelum permintaan untuk perubahan akun utama, termasuk detail kontak pelanggan, harus diterapkan.

Selain itu, bank akan bekerja sama dengan MAS, penegak hukum setempat, dan Otoritas Pengembangan Media Infokom (IMDA) untuk menangani “momok penipuan” saat ini. Ini akan termasuk bekerja pada langkah-langkah yang lebih permanen untuk memerangi spoofing SMS, termasuk adopsi registri ID Pengirim SMS oleh semua pemangku kepentingan terkait, kata MAS.

OCBC mengatakan semua pelanggan yang terkena penipuan SMS phishing akan menerima “pembayaran niat baik penuh” yang terdiri dari jumlah yang hilang. Ini terjadi setelah pernyataan bahwa mereka mulai melakukan “pembayaran niat baik” sejak 8 Januari, tetapi tidak menentukan apakah ini mencakup seluruh jumlah pelanggan yang hilang.

Sumber : ZDnet dan MAS

Google Mendeskripsikan Dua Bug Zero-Day yang Dilaporkan di Klien Zoom dan Server MMR

by

Eksplorasi permukaan serangan nol klik untuk solusi konferensi video populer Zoom telah menghasilkan dua kerentanan keamanan yang sebelumnya tidak diungkapkan yang dapat dieksploitasi untuk merusak layanan, mengeksekusi kode berbahaya, dan bahkan membocorkan area sewenang-wenang dari memorinya.

Natalie Silvanovich dari Google Project Zero, yang menemukan dan melaporkan dua kekurangan tahun lalu, mengatakan masalah tersebut berdampak pada klien Zoom dan server Multimedia Router (MMR), yang mengirimkan konten audio dan video antara klien dalam penyebaran di tempat.

Kelemahan sejak itu telah ditangani oleh Zoom sebagai bagian dari pembaruan yang dikirim pada 24 November 2021.

Tujuan dari serangan nol-klik adalah untuk diam-diam mendapatkan kontrol atas perangkat korban tanpa memerlukan interaksi apa pun dari pengguna, seperti mengklik tautan.

Sementara spesifik dari eksploitasi akan bervariasi tergantung pada sifat kerentanan yang dieksploitasi, sifat kunci dari hacks nol-klik adalah kemampuan mereka untuk tidak meninggalkan jejak aktivitas berbahaya, membuat mereka sangat sulit untuk dideteksi.

Dua kelemahan yang diidentifikasi oleh Project Zero adalah sebagai berikut –

  • CVE-2021-34423 (skor CVSS: 9.8) – Kerentanan buffer overflow yang dapat dimanfaatkan untuk merusak layanan atau aplikasi, atau mengeksekusi kode sewenang-wenang.
  • CVE-2021-34424 (skor CVSS: 7.5) – Cacat paparan memori proses yang dapat digunakan untuk berpotensi mendapatkan wawasan tentang area sewenang-wenang dari memori produk.

Dengan menganalisis lalu lintas RTP (Real-time Transport Protocol) yang digunakan untuk mengirimkan audio dan video melalui jaringan IP, Silvanovich menemukan bahwa adalah mungkin untuk memanipulasi isi buffer yang mendukung membaca berbagai jenis data dengan mengirim pesan obrolan yang cacat, menyebabkan klien dan server MMR macet.

Selain itu, kurangnya pemeriksaan NULL – yang digunakan untuk menentukan akhir string – memungkinkan untuk membocorkan data dari memori saat bergabung dengan rapat Zoom melalui browser web.

Peneliti juga mengaitkan cacat korupsi memori dengan fakta bahwa Zoom gagal mengaktifkan ASLR, alias pengacakan tata letak ruang alamat, mekanisme keamanan yang dirancang untuk meningkatkan kesulitan melakukan serangan buffer overflow.

“Kurangnya ASLR dalam proses Zoom MMR sangat meningkatkan risiko bahwa penyerang dapat membahayakannya,” kata Silvanovich. “ASLR bisa dibilang mitigasi yang paling penting dalam mencegah eksploitasi korupsi memori, dan sebagian besar mitigasi lainnya bergantung padanya pada tingkat tertentu agar efektif. Tidak ada alasan yang baik untuk itu untuk dinonaktifkan di sebagian besar perangkat lunak. ”

Sementara sebagian besar sistem konferensi video menggunakan perpustakaan open-source seperti WebRTC atau PJSIP untuk menerapkan komunikasi multimedia, Project Zero menyebut penggunaan format dan protokol berpemilik Zoom serta biaya lisensinya yang tinggi (hampir $ 1.500) sebagai hambatan untuk penelitian keamanan.

“Perangkat lunak sumber tertutup menghadirkan tantangan keamanan yang unik, dan Zoom dapat berbuat lebih banyak untuk membuat platform mereka dapat diakses oleh peneliti keamanan dan orang lain yang ingin mengevaluasinya,” kata Silvanovich. “Sementara Tim Keamanan Zoom membantu saya mengakses dan mengkonfigurasi perangkat lunak server, tidak jelas bahwa dukungan tersedia untuk peneliti lain, dan lisensi perangkat lunak itu masih mahal.”

Sumber: The Hacker News

Lebih dari 90 Tema WordPress, Plugin Backdoored dalam Serangan Rantai Pasokan

by

Serangan rantai pasokan besar-besaran membahayakan 93 tema dan plugin WordPress berisi backdoor, memberikan aktor ancaman akses penuh ke situs web.

Secara total, aktor ancaman mengkompromikan 40 tema dan 53 plugin milik AccessPress, pengembang add-on WordPress yang digunakan di lebih dari 360.000 situs web aktif.

Serangan itu ditemukan oleh para peneliti di Jetpack, pencipta alat keamanan dan pengoptimalan untuk situs WordPress, yang menemukan bahwa backdoor PHP telah ditambahkan ke tema dan plugin.

Jetpack percaya bahwa aktor ancaman eksternal melanggar situs web AccessPress untuk mengkompromikan perangkat lunak dan menginfeksi situs WordPress lebih lanjut.

Backdoor untuk memberikan kontrol penuh

Segera setelah admin menginstal produk AccessPress yang dikompromikan di situs mereka, para aktor menambahkan file “awal.php” baru ke dalam direktori tema utama dan memasukkannya ke dalam file “fungsi.php” utama.

File ini berisi muatan yang dikodekan base64 yang menulis webshell ke dalam file “./wp-includes/vars.php”.

Kode berbahaya menyelesaikan instalasi backdoor dengan decoding payload dan menyuntikkannya ke dalam file “vars.php”, pada dasarnya memberikan aktor ancaman remote control atas situs yang terinfeksi.

Satu-satunya cara untuk mendeteksi ancaman ini adalah dengan menggunakan solusi pemantauan integritas file inti, karena malware menghapus pipet file “awal.php” untuk menutupi jejaknya.

Menurut peneliti Sucuri yang menyelidiki kasus ini untuk mengetahui tujuan para aktor, aktor ancaman menggunakan backdoor untuk mengarahkan pengunjung ke situs malware-dropping dan scam. Oleh karena itu, kampanye tidak terlalu canggih.

Ada juga kemungkinan bahwa aktor menggunakan malware ini untuk menjual akses ke situs web backdoored di web gelap, yang akan menjadi cara yang efektif untuk memonetisasi infeksi skala besar seperti itu.

Apakah saya terpengaruh?

Jika Anda telah menginstal salah satu plugin atau tema yang dikompromikan di situs Anda, menghapus / mengganti / memperbaruinya tidak akan mencabut webshells apa pun yang mungkin telah ditanam melaluinya.

Dengan demikian, administrator situs web disarankan untuk memindai situs mereka untuk tanda-tanda kompromi dengan melakukan hal berikut:

  • Periksa file wp-includes/vars.php Anda di sekitar baris 146-158. Jika Anda melihat fungsi “wp_is_mobile_fix” di sana dengan beberapa kode yang dikaburkan, Anda telah dikompromikan.
  • Kueri sistem file Anda untuk “wp_is_mobile_fix” atau “wp-theme-connect” untuk melihat apakah ada file yang terpengaruh.
  • Ganti file WordPress inti Anda dengan salinan baru.
  • Upgrade plugin yang terpengaruh dan beralih ke tema yang berbeda.
  • Ubah kata sandi wp-admin dan database.

Jetpack telah menyediakan aturan YARA berikut yang dapat digunakan untuk memeriksa apakah sebuah situs telah terinfeksi dan mendeteksi dropper dan webshell yang diinstal.

rule accesspress_backdoor_infection
{
strings:

// IoC’s for the dropper
$inject0 = “$fc = str_replace(‘function wp_is_mobile()’,”
$inject1 = “$b64($b) . ‘function wp_is_mobile()’,”
$inject2 = “$fc);”
$inject3 = “@file_put_contents($f, $fc);”

// IoC’s for the dumped payload
$payload0 = “function wp_is_mobile_fix()”
$payload1 = “$is_wp_mobile = ($_SERVER[‘HTTP_USER_AGENT’] == ‘wp_is_mobile’);”
$payload2 = “$g = $_COOKIE;”
$payload3 = “(count($g) == 8 && $is_wp_mobile) ?”

$url0 = /https?:\/\/(www\.)?wp\-theme\-connect\.com(\/images\/wp\-theme\.jpg)?/

condition:

all of ( $inject* )
or all of ( $payload* )
or $url0
}

Jetpack pertama kali mendeteksi backdoor pada September 2021, dan segera setelah itu, para peneliti menemukan bahwa aktor ancaman telah mengkompromikan semua plugin dan tema gratis milik vendor.

Sebagian besar produk kemungkinan telah dikompromikan pada awal September.

Sumber: Bleepingcomputer