Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

105 Juta Pengguna Android Ditargetkan oleh Kampanye Penipuan Berlangganan

by

Penipuan berlangganan layanan premium untuk Android telah beroperasi selama hampir dua tahun. Disebut ‘Dark Herring’, operasi ini menggunakan 470 aplikasi Google Play Store dan mempengaruhi lebih dari 100 juta pengguna di seluruh dunia, berpotensi menyebabkan ratusan juta USD dalam total kerugian.

‘Dark Herring’ hadir di 470 aplikasi di Google Play Store, sumber aplikasi resmi dan paling dapat dipercaya Android, dengan pengiriman paling awal berasal dari Maret 2020.

Secara total, aplikasi penipuan diinstal oleh 105 juta pengguna di 70 negara, berlangganan mereka ke layanan premium yang mengenakan biaya $ 15 per bulan melalui Direct Carrier Billing (DCB).

Bagaimana malware bekerja

Keberhasilan jangka panjang Dark Herring mengandalkan kemampuan anti-deteksi AV, propagasi melalui sejumlah besar aplikasi, kebingungan kode, dan penggunaan proxy sebagai URL tahap pertama.

Meskipun tidak ada hal di atas yang baru atau inovatif, melihat mereka digabungkan menjadi satu bagian dari perangkat lunak jarang terjadi untuk penipuan Android.

Selain itu, para aktor menggunakan infrastruktur canggih yang menerima komunikasi dari semua pengguna dari 470 aplikasi tetapi ditangani masing-masing secara terpisah berdasarkan pengenal unik.

Aplikasi yang diinstal tidak berisi kode berbahaya tetapi memiliki string terenkripsi berkode keras yang menunjuk ke URL tahap pertama yang dihosting di Amazon CloudFront.

Respons dari server berisi tautan ke file JavaScript tambahan yang dihosting pada instans AWS, yang diunduh ke perangkat yang terinfeksi.

Skrip ini mempersiapkan aplikasi untuk memperoleh konfigurasinya sehubungan dengan korban, menghasilkan pengidentifikasi unik, mengambil detail bahasa dan negara dan menentukan platform DCB mana yang berlaku dalam setiap kasus.

Akhirnya, aplikasi ini menyajikan halaman WebView yang disesuaikan yang meminta korban untuk memasukkan nomor telepon mereka, yang diduga menerima kode OTP (kode sandi satu kali) sementara untuk mengaktifkan akun pada aplikasi.

Aplikasi dan target

Dengan 470 aplikasi untuk mendistribusikan malware, demografi yang ditargetkan cukup beragam. Sebagian besar aplikasi ini termasuk dalam kategori “Hiburan” yang lebih luas dan lebih populer.

Aplikasi Dark Herring lainnya yang lazim adalah alat fotografi, game kasual, utilitas, dan aplikasi produktivitas.

Salah satu faktor kunci dalam konsekuensi dari operasi Dark Herring adalah tidak adanya undang-undang perlindungan konsumen DCB, sehingga beberapa negara menjadi sasaran lebih mantap daripada yang lain.

Mereka yang berisiko lebih besar adalah India, Pakistan, Arab Saudi, Mesir, Yunani, Finlandia, Swedia, Norwegia, Bulgaria, Irak, dan Tunisia.

Bahkan di negara-negara di mana aturan perlindungan DCB yang ketat berlaku, jika para korban terlambat menyadari penipuan, mengembalikan transaksi mungkin tidak mungkin.

Untuk mengakses seluruh daftar semua 470 aplikasi Android berbahaya, lihat halaman GitHub ini.

Sumber: Bleepingcomputer

macOS 12.3 Akan Merusak Fitur Penyimpanan Cloud Yang Digunakan Oleh Dropbox Dan OneDrive

by

Jika Anda menggunakan Dropbox atau Microsoft OneDrive untuk menyinkronkan file di Mac, Anda harus memperhatikan catatan rilis untuk macOS 12.3 beta hari ini: pembaruan tidak lagi menggunakan extension kernel yang digunakan oleh kedua aplikasi untuk mengunduh file sesuai permintaan.

Extension ini berarti bahwa file tersedia saat Anda membutuhkannya tetapi tidak menghabiskan ruang di disk Anda saat tidak diperlukan. Apple mengatakan bahwa “kedua penyedia layanan memiliki pengganti untuk fungsi ini saat ini dalam versi beta.”

Baik Microsoft dan Dropbox mulai memperingatkan pengguna tentang perubahan ini bahkan sebelum macOS beta rilis. Dropbox memberi tahu pengguna bahwa fungsionalitas file online-only Dropbox akan rusak di macOS 12.3 dan bahwa versi beta dari klien Dropbox dengan perbaikan akan dirilis pada bulan Maret.

Dokumentasi Microsoft untuk fitur Files On-Demand OneDrive lebih detail. Ini menjelaskan bahwa Microsoft akan menggunakan extension Penyedia File Apple untuk versi OneDrive mendatang, bahwa fitur Files On-Demand yang baru akan diaktifkan secara default, dan bahwa Files On-Demand akan didukung di macOS 12.1 dan yang lebih baru.

Ini bukan kali pertama Dropbox dan OneDrive berada di belakang kurva dalam mendukung fitur macOS baru. Kedua perusahaan baru merilis versi Apple Silicon dari klien mereka dalam beberapa bulan terakhir.

Selengkapnya: Ars Technica

White House memberi tahu agensi untuk mengadopsi model keamanan ‘Zero Trust’

by

White House ingin pemerintah mengadopsi model keamanan yang disebut Zero Trust dalam dua tahun ke depan. Office of Management and Budget (OMB) merilis strategi federal final yang menjabarkan detail awal dari perubahan tersebut.

Dokumen tersebut memberi tahu agensi untuk masing-masing menunjuk pemimpin implementasi strategi dalam waktu 30 hari. Agensi diberi waktu 60 hari untuk menyerahkan rencana implementasi ke OMB dan Cybersecurity and Infrastructure Security Agency (CISA).

Pendekatan Zero Trust didasarkan pada gagasan bahwa perangkat dan koneksi lokal tidak dapat sepenuhnya dipercaya. Pengguna perlu diotorisasi, diautentikasi, dan terus divalidasi. Organisasi biasanya memiliki kendali atas Zero Trust setup, dan pengguna serta perangkat sering kali hanya diberikan akses ke data, aplikasi, dan layanan penting.

Di bawah pendekatan ini, aplikasi perusahaan akan diuji secara internal dan eksternal sebelum staf dapat mengaksesnya melalui cloud. OMB juga mengatakan tim keamanan federal dan tim data akan bekerja sama “untuk mengembangkan kategori data dan aturan keamanan untuk secara otomatis mendeteksi dan akhirnya memblokir akses tidak sah ke informasi sensitif.”

Strategi tersebut mengarahkan agensi untuk memanfaatkan autentikasi multi-faktor yang kuat dan tahan terhadap phishing, mungkin menggunakan metode fisik seperti kartu Verifikasi Identitas Pribadi. OMB juga memberi tahu agensi untuk memiliki inventaris lengkap perangkat yang diotorisasi dan digunakan untuk bisnis resmi dan untuk memastikan mereka memenuhi standar CISA.

Selengkapnya: Endgadget

Microsoft memperingatkan kampanye phishing multi-tahap yang memanfaatkan Azure AD

by

Analis ancaman Microsoft telah menemukan kampanye phishing multi-fase skala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat ke jaringan target dan menggunakannya untuk mendistribusikan email phishing.

Serangan tersebut hanya terwujud melalui akun yang tidak memiliki perlindungan otentikasi multi-faktor (MFA), yang membuatnya lebih mudah untuk dibajak.

Pelaku ancaman menyebarkan serangan dalam dua tahap, yang pertama dirancang untuk mencuri kredensial email penerima, memikat mereka dengan email bertema DocuSign yang mendesak untuk meninjau dan menandatangani dokumen.

Umpan DocuSign dikirim dalam gelombang pertama serangan
Sumber: Microsoft

Tautan yang disematkan membawa korban ke URL phishing yang meniru halaman masuk Office 365 dan mengisi nama pengguna korban untuk meningkatkan kredibilitas.

Data telemetri Microsoft menunjukkan bahwa fase pertama serangan difokuskan terutama pada perusahaan yang berlokasi di Australia, Singapura, Indonesia, dan Thailand.

Para aktor berusaha untuk berkompromi dengan karyawan yang bekerja jarak jauh, titik layanan terkelola yang tidak terlindungi dengan baik, dan infrastruktur lain yang mungkin beroperasi di luar kebijakan keamanan yang ketat.

Penyelidikan selanjutnya mengungkapkan bahwa lebih dari seratus kotak surat di beberapa organisasi telah disusupi dengan aturan kotak surat berbahaya bernama “Filter Spam”.

Dengan kredensial di tangan, penyerang menginstal Outlook di mesin mereka sendiri (Windows 10) dan masuk ke akun email pengguna. Tindakan ini menyebabkan perangkat penyerang terhubung secara otomatis ke perusahaan Azure Active Directory dan mendaftarkannya.

Setelah perangkat penyerang ditambahkan ke jaringan organisasi, pelaku ancaman melanjutkan ke tahap kedua, mengirim email ke karyawan perusahaan yang ditargetkan dan target eksternal seperti kontraktor, pemasok, atau mitra.

Rantai serangan phishing
Sumber: Microsoft

Karena pesan ini berasal dari ruang kerja tepercaya, pesan tersebut tidak ditandai oleh solusi keamanan dan membawa elemen legitimasi intrinsik yang meningkatkan peluang keberhasilan aktor.

Azure AD memicu stempel waktu aktivitas saat perangkat mencoba mengautentikasi, yang merupakan kesempatan kedua bagi pembela HAM untuk menemukan pendaftaran yang mencurigakan.

Acara pendaftaran yang mencurigakan
Sumber: Microsoft

Jika pendaftaran tidak diketahui, aktor diizinkan untuk mengirim pesan dari bagian domain yang dikenali dan tepercaya menggunakan kredensial valid yang dicuri di Outlook.

Kampanye phishing ini licik dan cukup berhasil, tetapi tidak akan seefektif jika perusahaan yang ditargetkan mengikuti salah satu praktik berikut:

  • Semua karyawan telah mengaktifkan MFA di akun Office 365 mereka.
  • Terapkan solusi perlindungan titik akhir yang dapat mendeteksi pembuatan aturan kotak masuk.
  • Pendaftaran perangkat Azure AD dipantau secara ketat.
  • Pendaftaran Azure AD memerlukan MFA.
  • Kebijakan tanpa kepercayaan diterapkan di semua bagian jaringan organisasi.

Sumber : Bleeping Computer

Jutaan Router Serta Perangkat IoT Beresiko Saat Kode Sumber Malware Muncul di GitHub

by

Penulis sampel malware berbahaya yang menargetkan jutaan router dan perangkat Internet of Things (IoT) telah mengunggah kode sumbernya ke GitHub, artinya penjahat lain sekarang dapat menggunakannya atau dengan cepat membuat varian baru dari alat tersebut, dalam kampanye serangan mereka sendiri.

Para peneliti di AT&T Alien Labs pertama kali melihat malware tersebut November lalu dan menamakannya “BotenaGo”. Malware ini dikemas dengan eksploitasi untuk lebih dari 30 kerentanan yang berbeda dalam produk dari beberapa vendor, termasuk Linksys, D-Link, Netgear, dan ZTE.

BotenaGo dirancang untuk mengeksekusi perintah shell jarak jauh pada sistem yang terpengaruh. Vendor keamanan juga menemukan bahwa tautan muatan BotenaGo mirip dengan yang digunakan oleh operator malware botnet Mirai yang terkenal.

Untuk alasan yang tidak jelas, pembuat malware yang tidak dikenal baru-baru ini membuat kode sumber BotenaGo tersedia untuk umum melalui GitHub.

Langkah ini berpotensi menghasilkan peningkatan yang signifikan dalam varian BotenaGo karena pembuat malware lain dapat menggunakan dan mengadaptasi kode sumber untuk tujuan khusus pada kampanye serangan mereka, kata Alien Labs dalam sebuah blog minggu ini.

Malware BotenaGo hanya terdiri dari 2.891 baris kode, menjadikannya titik awal yang berpotensi baik untuk beberapa varian baru. Fakta bahwa ia hadir dengan eksploitasi untuk lebih dari 30 kerentanan di beberapa router dan perangkat IoT adalah faktor lain yang mungkin dianggap menarik oleh pembuat malware.

Selengkapnya: Dark Reading

Peretas Lazarus menggunakan Pembaruan Windows untuk menyebarkan malware

by

Grup peretasan yang didukung Korea Utara, Lazarus, menambahkan klien Pembaruan Windows ke daftar binari yang hidup di luar negeri (LoLBins) dan sekarang secara aktif menggunakannya untuk mengeksekusi kode berbahaya pada sistem Windows.

Metode penyebaran malware baru ditemukan oleh tim Malwarebytes Threat Intelligence saat menganalisis kampanye spearphishing Januari yang meniru perusahaan keamanan dan kedirgantaraan Amerika Lockheed Martin.

Setelah korban membuka lampiran berbahaya dan mengaktifkan eksekusi makro, makro yang disematkan menjatuhkan file WindowsUpdateConf.lnk di folder startup dan file DLL (wuaueng.dll) di folder Windows/System32 yang tersembunyi.

Kemudian file LNK digunakan untuk meluncurkan klien WSUS / Pembaruan Windows (wuauclt.exe) untuk menjalankan perintah yang memuat DLL berbahaya penyerang.

Para peneliti menghubungkan serangan ini dengan Lazarus berdasarkan beberapa bukti, termasuk infrastruktur yang tumpang tindih, metadata dokumen, dan penargetan yang serupa dengan kampanye sebelumnya.

Aliran serangan (Malwarebytes)

Taktik ini ditemukan oleh peneliti MDSec David Middlehurst, yang menemukan bahwa penyerang dapat menggunakan klien Pembaruan Windows untuk mengeksekusi kode berbahaya pada sistem Windows 10.

Ini dapat dilakukan dengan memuat DLL yang dibuat secara khusus menggunakan opsi baris perintah berikut (perintah yang digunakan Lazarus untuk memuat muatan berbahayanya):

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

MITER ATT&CK mengklasifikasikan jenis strategi penghindaran pertahanan ini sebagai Signed Binary Proxy Execution, dan memungkinkan penyerang untuk melewati perangkat lunak keamanan, kontrol aplikasi, dan perlindungan validasi sertifikat digital.

Pelaku ancaman mengeksekusi kode berbahaya dari DLL berbahaya yang dijatuhkan sebelumnya, dimuat menggunakan biner bertanda tangan klien Pembaruan Windows.

Grup Lazarus (juga dilacak sebagai HIDDEN COBRA oleh agen intel AS) adalah grup peretas militer Korea Utara yang aktif selama lebih dari satu dekade, setidaknya sejak 2009.

Operatornya mengoordinasikan kampanye ransomware WannaCry global 2017 dan berada di balik serangan terhadap perusahaan terkenal seperti Sony Films dan beberapa bank di seluruh dunia.

Mereka juga diamati menggunakan pintu belakang ThreatNeedle yang sebelumnya tidak terdokumentasi dalam kampanye spionase dunia maya skala besar terhadap industri pertahanan lebih dari selusin negara.

Departemen Keuangan AS memberikan sanksi kepada tiga kelompok peretas yang disponsori DPRK (Lazarus, Bluenoroff, dan Andariel) pada September 2019, dan pemerintah AS menawarkan hadiah hingga $5 juta untuk info tentang aktivitas Lazarus.

Sumber : Bleeping Computer

Kontraktor Apple dan Tesla Taiwan terkena ransomware Conti

by

Delta Electronics, perusahaan elektronik Taiwan dan penyedia Apple, Tesla, HP, dan Dell, mengungkapkan bahwa mereka adalah korban serangan siber yang ditemukan pada Jumat pagi.

Pada 22 Januari 2022, perusahaan mengatakan insiden itu hanya berdampak pada sistem yang tidak kritis, yang tidak berdampak signifikan pada operasinya. Platform AdvIntel “Andariel” mendeteksi serangan pada 18 Januari.

Saat ini Delta bekerja untuk memulihkan sistem yang rusak selama serangan dan mengatakan telah menyewa jasa pakar keamanan pihak ketiga untuk membantu penyelidikan dan proses pemulihan.

Sementara pernyataan Delta tidak mengatakan siapa yang berada di balik serangan itu, sebuah perusahaan keamanan informasi yang dirahasiakan menemukan sampel ransomware Conti yang disebarkan di jaringan perusahaan, seperti yang dilaporkan pertama kali oleh CTWANT.

Catatan tebusan Delta Electronics Conti (BleepingComputer)

Menurut negosiasi antara Conti dan Delta, operator Conti mengklaim telah mengenkripsi 1.500 server dan 12.000 komputer dari sekitar 65.000 perangkat di jaringan Delta.

Geng ransomware Conti meminta Delta untuk membayar tebusan $15 juta untuk decryptor dan berhenti membocorkan file yang dicuri dari jaringannya. Juga dijanjikan diskon jika perusahaan mau membayar dengan cepat.

Sementara Delta dilaporkan masih bekerja dengan Trend dan tim keamanan Microsoft untuk menyelidiki insiden tersebut dan mengklaim bahwa produksinya tidak terpengaruh, situs webnya masih tidak aktif satu minggu setelah serangan tersebut.

Pelanggan Delta dapat menggunakan domain alternatif ini saat perusahaan menghidupkan kembali situs web utamanya, yang masih down setelah serangan ransomware, seperti yang ditemukan The Record.

“Grup Conti ransomware mengungkapkan bagian pola tertentu dari serangan Delta yang memanfaatkan Cobalt Strike dengan Atera untuk kegigihan seperti yang diungkapkan oleh visibilitas permusuhan platform kami. Tentu saja, serangan ini mengingatkan pada REvil Quanta yang memengaruhi salah satu pemasok Apple,” Vitali Kremez , CEO AdvIntel, mengatakan kepada BleepingComputer.

Conti adalah operasi Ransomware-as-a-Service (RaaS) yang terkait dengan kelompok kejahatan dunia maya Wizard Spider yang berbahasa Rusia.

Sumber : Bleeping Computer

Trojan Perbankan Chaes Membajak Chrome dengan Ekstensi Berbahaya

by

Kampanye berskala besar yang melibatkan lebih dari 800 situs wordpress yang dikompromikan menyebarkan trojan perbankan yang menargetkan kredensial pengguna e-banking Brasil.

Trojan yang digunakan dalam kampanye ini disebut ‘Chaes,’ dan menurut para peneliti dari Avast, telah aktif menyebar sejak akhir 2021.

Meskipun perusahaan keamanan memberi tahu CERT Brasil, kampanye sedang berlangsung dengan ratusan situs web masih dikompromikan dengan skrip berbahaya yang mendorong malware.

Rantai serangan

Ketika korban mengunjungi salah satu situs web yang dikompromikan, mereka disajikan dengan pop-up yang meminta mereka untuk menginstal aplikasi Java Runtime palsu.

Penginstal MSI berisi tiga file JavaScript berbahaya (install.js, sched.js, sucesso.js) yang mempersiapkan lingkungan Python untuk loader tahap berikutnya.

Skrip sched.js menambahkan kegigihan dengan membuat Tugas Terjadwal dan tautan Startup, dan sucesso.js bertanggung jawab untuk melaporkan status ke C2.

Sementara itu, skrip .js instalasi melakukan tugas-tugas berikut:

  • Periksa koneksi internet (menggunakan google.com)
  • Membuat folder %APPDATA%extensions
  • Unduh arsip yang dilindungi kata sandi seperti python32.rar/python64.rar dan unrar.exe ke folder ekstensi tersebut
  • Tulis jalur folder ekstensi yang baru dibuat ke HKEY_CURRENT_USERSoftwarePythonConfigPath
  • Melakukan beberapa profil sistem dasar
  • Jalankan perintah unrar.exe dengan kata sandi yang ditentukan sebagai argumen untuk membongkar python32.rar/python64.rar
  • Terhubung ke C2 dan unduh skrip __init__.py 32bit dan 64bit bersama dengan dua muatan terenkripsi. Setiap payload memiliki nama pseudo-random.

Rantai loader Python terbentang dalam memori dan melibatkan pemuatan beberapa skrip, shellcode, dan Delphi DLL sampai semuanya ada untuk mengeksekusi muatan akhir dalam proses Python.

Tahap akhir dilakukan dengan instruksi.js, yang mengambil ekstensi Chrome dan menginstalnya pada sistem korban. Akhirnya, semua ekstensi diluncurkan dengan argumen yang tepat.

Ekstensi Chrome

Avast mengatakan mereka telah melihat lima ekstensi browser Chrome berbahaya yang berbeda diinstal pada perangkat korban, termasuk:

  • Online – Sidik jari korban dan menulis kunci registri.
  • Mtps4 – Terhubung ke C2 dan menunggu PascalScripts yang masuk. Juga mampu menangkap tangkapan layar dan menampilkannya di layar penuh untuk menyembunyikan tugas-tugas berbahaya yang berjalan di latar belakang.
  • Chrolog – Mencuri kata sandi dari Google Chrome dengan exfiltrating database ke C2 melalui HTTP.
  • Chronodx – Trojan perbankan loader dan JS yang berjalan diam-diam di latar belakang dan menunggu peluncuran Chrome. Jika browser dibuka, ia akan segera menutupnya dan membuka kembali instance Chrome sendiri yang memungkinkan pengumpulan info perbankan.
  • Chremows – Target kredensial pasar online Mercado Libre.

Pada saat ini, kampanye Chaes masih berlangsung, dan mereka yang telah dikompromikan akan tetap berisiko bahkan jika situs web dibersihkan.

Avast mengklaim bahwa beberapa situs web yang dikompromikan disalahgunakan karena menjatuhkan muatan sangat populer di Brasil, sehingga jumlah sistem yang terinfeksi kemungkinan besar.

Sumber: Bleepingcomputer