News 216 - Naga Cyber Defense

Numando: Trojan Perbankan yang Dapat Mengatur Secara Jarak Jauh

September 20, 2021 by Mally

Trojan perbankan telah terdeteksi menyalahgunakan YouTube, Pastebin, dan platform publik lainnya untuk menyebarkan dan mengontrol mesin yang compromised.

Jumat(17/9/2021), ESET menyelesaikan serangkaian Trojan perbankan yang ada di Amerika Latin — termasuk Janeleiro, sampel malware baru yang mirip dengan Casbaneiro, Grandoreiro, dan Mekotio — tetapi yang ini tidak hanya terjadi di wilayah itu; sebagai gantinya, kampanye telah terdeteksi di seluruh Brasil, Meksiko, dan Spanyol.

Dalam sebuah posting blog, para peneliti cybersecurity mengatakan bahwa Trojan bernama Numando telah aktif sejak 2018. Ditulis dalam Delphi, malware keuangan ini menampilkan jendela overlay palsu untuk menipu korban agar mengirimkan data sensitif, seperti kredensial yang digunakan untuk mengakses layanan keuangan. .

Numando tersebar hampir “eksklusif” melalui kampanye spam dan phishing.

Dalam kampanye baru-baru ini, spam yang dikirim untuk mendistribusikan Numando terdiri dari pesan phishing dan lampiran .ZIP yang disertakan dengan email.

File .ZIP umpan diunduh, bersama dengan file .ZIP aktual yang berisi arsip .CAB — dibundel dengan aplikasi perangkat lunak yang sah — injektor, dan Trojan. Malware disembunyikan dalam file gambar .BMP besar.

Jika aplikasi perangkat lunak dijalankan, injektor dimuat di samping dan malware kemudian didekripsi menggunakan algoritme XOR dan sebuah kunci.

Setelah diinstal pada mesin target, Numando akan membuat jendela overlay palsu saat korban mengunjungi layanan keuangan. Jika pengguna mengirimkan kredensial mereka, maka akan dicuri dan dikirim ke server command-and-control (C2) malware.

Numando juga menyalahgunakan layanan publik termasuk Pastebin dan YouTube untuk mengelola pengaturan konfigurasi jarak jauhnya.

“Formatnya sederhana — tiga entri dibatasi oleh “:” di antara penanda DATA:{ dan },” jelas ESET. “Setiap entri dienkripsi secara terpisah dengan cara yang sama seperti string lain di Numando — dengan kunci yang di-hardcode dalam biner. Hal ini membuat sulit untuk mendekripsi konfigurasi tanpa memiliki biner yang sesuai, namun Numando tidak terlalu sering mengubah kunci dekripsi, membuat dekripsi menjadi mungkin.”

Google sudah diberitahu dan video yang terdeteksi telah dihapus.

Numando mampu mensimulasikan klik mouse dan keyboard, membajak fungsi shutdown dan restart PC, mengambil screenshot, dan mematikan proses browser.

“Tidak seperti kebanyakan trojan perbankan Amerika Latin lainnya yang tercakup dalam seri ini, Numando tidak menunjukkan tanda-tanda perkembangan berkelanjutan,” kata ESET. “Ada beberapa perubahan kecil dari waktu ke waktu, tetapi secara keseluruhan binari tidak cenderung banyak berubah.”

sumber: ZDNET

Kerentanan CPU AMD Ditemukan, Membocorkan Kata Sandi Sebagai Pengguna Non-Administratif

September 20, 2021 by Mally

AMD merilis informasi tentang kerentanan driver yang mempengaruhi CPU mereka, memungkinkan setiap pengguna untuk tidak hanya mendapatkan akses ke informasi tetapi juga mengunduh informasi melalui halaman memori Windows tertentu. Penyerang mampu mendapatkan akses ke kata sandi, serta meluncurkan serangan yang berbeda, seperti mengganggu mitigasi eksploitasi KASLR, juga dikenal sebagai Spectre dan Meltdown.

Informasi ini terungkap setelah peneliti keamanan dan salah satu pendiri ZeroPeril, Kyriakos Economou, menemukan eksploitasi dan menghubungi AMD. Melalui pekerjaan mereka, AMD mampu mengeluarkan mitigasi yang saat ini menjadi bagian dari driver CPU terbaru. Anda juga dapat memanfaatkan Pembaruan Windows untuk menerima driver AMD PSP terbaru.

Pembaruan driver AMD saat ini telah aktif selama beberapa minggu, tetapi ini adalah yang pertama bagi AMD untuk menjelaskan detail pembaruan driver saat ini.

Economou menjelaskan prosesnya dalam laporan yang diungkapkan baru-baru ini dirilis. Dalam dokumen, itu menunjukkan kerentanan panjangnya.

Economou awalnya menemukan exploit menggunakan AMD Ryzen 2000 dan 3000 series. AMD awalnya hanya mencantumkan seri Ryzen 1000 dan CPU generasi yang lebih lama dalam advisory internalnya. Situs web Tom’s Hardware menghubungi AMD setelah membaca dokumen dari Economou untuk menemukan daftar chipset yang terpengaruh.

AMD menginstruksikan pengguna untuk mengunduh driver AMD PSP melalui Pembaruan Windows (driver AMD PSP 5.17.0.0) atau driver CPU AMD dari halaman dukungan mereka (AMD Chipset Driver 3.08.17.735).

Selengkapnya: Wccftech

Departemen Keuangan akan mengeluarkan sanksi cryptocurrency baru setelah serangan ransomware

September 20, 2021 by Mally

Pemerintahan Biden sedang bersiap untuk mengeluarkan serangkaian tindakan, termasuk sanksi, untuk mempersulit peretas mendapatkan keuntungan dari serangan ransomware melalui penggunaan mata uang digital, seperti yang pertama kali dilaporkan oleh Wall Street Journal pada hari Jumat.

Menurut Journal, Departemen Keuangan berencana untuk menjatuhkan sanksi baru ini paling cepat minggu depan. Sanksi tersebut dilaporkan akan menargetkan pedagang tertentu dan pertukaran mata uang kripto, dengan harapan mencegah pertukaran untuk memproses transaksi ini saat dibuat. Departemen juga akan mengeluarkan panduan baru untuk bisnis mengenai risiko yang mereka ambil dengan mematuhi permintaan pembayaran ransomware. Departemen Keuangan menolak berkomentar.

Langkah-langkah yang diusulkan ini akan menjadi langkah paling signifikan pemerintahan Biden untuk mengatasi gelombang serangan ransomware yang hanya tumbuh dalam skala dan frekuensi selama setahun terakhir.

Pada bulan Mei, salah satu saluran pipa terbesar AS, Colonial Pipeline, dimatikan setelah terkena serangan ransomware. Perusahaan membayar lebih dari $ 4 juta uang tebusan kepada para penyerang untuk membawa pipa kembali online. Awal bulan ini, Universitas Howard ditutup setelah serangan ransomware mengganggu layanan komputer dan teknologi sekolah.

Pada bulan Mei, Presiden Biden menandatangani perintah eksekutif yang memudahkan bisnis pemerintah dan sektor swasta untuk berbagi informasi setelah serangan siber. Perintah itu juga mengharuskan lembaga pemerintah untuk menyebarkan layanan otentikasi multi-faktor dalam sistem mereka.

Selengkapnya: The Verge

Penglihatan komputer dapat membantu menemukan ancaman dunia maya dengan akurasi yang mengejutkan

September 20, 2021 by Mally

Pada tahun 2019, sekelompok peneliti keamanan siber bertanya-tanya apakah mereka dapat memperlakukan deteksi ancaman keamanan sebagai masalah klasifikasi gambar. Intuisi mereka terbukti ditempatkan dengan baik, dan mereka mampu membuat model pembelajaran mesin yang dapat mendeteksi malware berdasarkan gambar yang dibuat dari konten file aplikasi. Setahun kemudian, teknik yang sama digunakan untuk mengembangkan sistem pembelajaran mesin yang mendeteksi situs web phishing.

Kombinasi visualisasi binary dan pembelajaran mesin adalah teknik yang kuat yang dapat memberikan solusi baru untuk masalah lama. Ini menunjukkan janji dalam keamanan siber, tetapi juga bisa diterapkan ke domain lain.

Cara tradisional untuk mendeteksi malware adalah dengan mencari file untuk signature yang diketahui dari muatan berbahaya. Detektor malware memelihara database definisi virus yang mencakup urutan opcode atau potongan kode, dan mereka mencari file baru untuk keberadaan signature ini. Sayangnya, pengembang malware dapat dengan mudah menghindari metode deteksi tersebut menggunakan teknik yang berbeda seperti mengaburkan kode mereka atau menggunakan teknik polimorfisme untuk mengubah kode mereka saat runtime.

Dynamic analysis tools mencoba mendeteksi perilaku berbahaya selama waktu proses, tetapi alat ini lambat dan memerlukan penyiapan lingkungan sandbox untuk menguji program yang mencurigakan.

Dalam beberapa tahun terakhir, para peneliti juga telah mencoba berbagai teknik pembelajaran mesin untuk mendeteksi malware. Model ML ini telah berhasil membuat kemajuan dalam beberapa tantangan deteksi malware, termasuk code obfuscation.

Visualisasi binary dapat mendefinisikan kembali deteksi malware dengan mengubahnya menjadi masalah penglihatan komputer. Dalam metodologi ini, file dijalankan melalui algoritma yang mengubah nilai binary dan ASCII menjadi kode warna.

Dalam sebuah makalah yang diterbitkan pada tahun 2019, para peneliti di University of Plymouth dan University of Peloponnese menunjukkan bahwa ketika file jinak dan berbahaya divisualisasikan menggunakan metode ini, pola baru muncul yang memisahkan file berbahaya dan aman. Perbedaan ini akan luput dari perhatian menggunakan metode deteksi malware klasik.

Menurut makalah itu, “File berbahaya memiliki kecenderungan untuk sering memasukkan karakter ASCII dari berbagai kategori, menghadirkan gambar berwarna, sementara file jinak memiliki gambar dan distribusi nilai yang lebih bersih.”

Selengkanya: The Next Web

Atasan beralih ke ‘tattleware’ untuk mengawasi karyawan yang bekerja dari rumah

September 20, 2021 by Mally

David, 23 tahun, mengakui bahwa dia merasa sedikit lega ketika gelombang pertama Covid-19 menutup kantornya di Arlington, Virginia. Seorang lulusan perguruan tinggi baru-baru ini, dia baru dalam pekerjaan itu dan berjuang untuk bekerja sama dengan rekan satu timnya. Mungkin, pikirnya, ini akan menjadi jeda yang menyenangkan dari “hal-hal tatap muka”: politik kantor dan obrolan ringan. (Nama telah disamarkan)

Itu karena, dalam minggu pertama kerja jarak jauh mereka, David dan timnya diperkenalkan ke platform pengawasan digital yang disebut Sneek.

Setiap menit atau lebih, program akan mengambil foto langsung David dan rekan kerjanya melalui webcam laptop perusahaan mereka. Gambar kepala yang selalu berubah dipajang di dinding ruang tunggu konferensi digital yang bisa dilihat semua orang di tim. Mengeklik wajah rekan kerja akan secara sepihak menarik mereka ke dalam panggilan video. Jika Anda cukup beruntung untuk menangkap seseorang bermain-main atau mengupil, Anda dapat meneruskan gambar yang menyinggung ke obrolan tim melalui integrasi Sneek dengan platform perpesanan Slack.

Menurut salah satu pendiri Sneek Del Currie, perangkat lunak ini dimaksudkan untuk mereplikasi kantor. “Kami tahu banyak orang akan menganggapnya sebagai pelanggaran privasi, kami 100% mengerti, dan itu bukan solusi untuk orang-orang tersebut,” kata Currie. “Tetapi ada juga banyak tim di luar sana yang berteman baik dan ingin tetap terhubung saat mereka bekerja sama.”

Namun, bagi David, Sneek adalah pelanggar kesepakatan. Dia berhenti setelah kurang dari tiga minggu bekerja. “Saya mendaftar untuk mengelola pemasaran digital mereka, bukan untuk menyiarkan langsung ruang tamu saya.”

Dia tidak menyadari bahwa pengalamannya adalah bagian dari ledakan skala besar dalam pengawasan pekerja– dan yang siap menjadi fitur standar kehidupan di tempat kerja.

Perangkat lunak pengawasan jarak jauh seperti Sneek, juga dikenal sebagai “tattleware” atau “bossware”. Pada bulan April tahun lalu, kueri Google untuk “pemantauan jarak jauh” naik 212% dari tahun-ke-tahun; pada bulan April tahun ini, mereka terus melonjak 243%.

Selengkapnya: The Guardian

Serangan Malware di Sektor Penerbangan Terungkap Setelah Tidak Diketahui Selama 2 Tahun

September 20, 2021 by Mally

Kampanye phishing yang ditargetkan yang ditujukan untuk industri penerbangan selama dua tahun mungkin dipelopori oleh aktor ancaman yang beroperasi di luar Nigeria, menyoroti bagaimana penyerang dapat melakukan serangan dunia maya skala kecil untuk waktu yang lama sambil tetap berada di bawah radar.

Cisco Talos menjuluki serangan malware sebagai “Operation Layover,” berdasarkan penelitian sebelumnya dari tim Intelijen Keamanan Microsoft pada Mei 2021 yang menyelidiki “kampanye dinamis yang menargetkan sektor kedirgantaraan dan perjalanan dengan email spear-phishing yang mendistribusikan loader yang dikembangkan secara aktif, yang kemudian mengirimkan RevengeRAT atau AsyncRAT.”

Pelaku ancaman diyakini telah aktif setidaknya sejak 2013. Serangan tersebut melibatkan email yang berisi dokumen umpan khusus yang berpusat di sekitar industri penerbangan atau kargo yang dimaksudkan sebagai file PDF tetapi tertaut ke file VBScript yang dihosting di Google Drive, yang pada akhirnya mengarah pada pengiriman trojan akses jarak jauh (RAT) seperti AsyncRAT dan njRAT, membuat organisasi rentan terhadap berbagai risiko keamanan. Cisco Talos mengatakan telah menemukan 31 umpan bertema penerbangan yang berbeda sejak Agustus 2018.

Analisis lebih lanjut dari aktivitas yang terkait dengan domain berbeda yang digunakan dalam serangan menunjukkan bahwa aktor menjalin beberapa RAT ke dalam kampanye mereka, dengan infrastruktur yang digunakan sebagai server perintah-dan-kontrol (C2) untuk Cybergate RAT, AsyncRAT, dan file batch yang digunakan sebagai bagian dari rantai malware untuk mengunduh dan menjalankan malware lain.

Selengkapnya: The Hacker News

Telegram muncul sebagai Dark Web baru untuk penjahat siber

September 20, 2021 by Mally

Sebuah penelitian baru menunjukkan bahwa Telegram telah meledak sebagai pusat bagi penjahat dunia maya yang ingin membeli, menjual, dan berbagi data curian dan alat peretasan, ketika aplikasi perpesanan muncul sebagai alternatif dari dark web.

Investigasi oleh kelompok intelijen siber Cyberint, bersama dengan Financial Times, menemukan jaringan besar peretas yang berbagi kebocoran data di platform perpesanan populer, terkadang di channel dengan puluhan ribu pelanggan.

Dalam banyak kasus, kontennya mirip dengan pasar yang ditemukan di dark web, sekelompok situs web tersembunyi yang populer di kalangan peretas dan diakses menggunakan software anonim tertentu.

“Kami baru-baru ini menyaksikan peningkatan 100 persen lebih dalam penggunaan Telegram oleh penjahat siber,” kata Tal Samra, analis ancaman siber di Cyberint.

“Layanan pesan terenkripsinya semakin populer di kalangan pelaku ancaman yang melakukan aktivitas penipuan dan menjual data curian . . . karena lebih nyaman digunakan daripada dark web.”

Meningkatnya aktivitas jahat datang ketika pengguna berbondong-bondong menggunakan aplikasi obrolan terenkripsi awal tahun ini setelah perubahan kebijakan privasi saingan milik Facebook, WhatsApp, mendorong banyak orang untuk mencari alternatif lain.

Menurut Cyberint, jumlah penyebutan di Telegram tentang “Email: pass” dan “Combo” – bahasa peretas yang digunakan untuk menunjukkan bahwa daftar email dan kata sandi curian dibagikan – naik empat kali lipat selama setahun terakhir menjadi hampir 3.400.

Dalam satu channel Telegram publik yang disebut “combolist”, yang memiliki lebih dari 47.000 pelanggan, peretas menjual atau hanya mengedarkan dump data besar dari ratusan ribu nama pengguna dan kata sandi yang bocor.

Jenis data lain yang diperdagangkan termasuk data keuangan seperti informasi kartu kredit, salinan paspor dan kredensial untuk rekening bank dan situs seperti Netflix, menurut penelitian tersebut. Penjahat online juga membagikan perangkat lunak berbahaya, eksploitasi, dan panduan peretasan melalui aplikasi, kata Cyberint.

Selengkapnya: Financial Times

Malware baru menggunakan Subsistem Windows untuk Linux untuk serangan tersembunyi

September 17, 2021 by Mally

Peneliti keamanan telah menemukan binari Linux berbahaya yang dibuat untuk Windows Subsystem for Linux (WSL), menunjukkan bahwa peretas mencoba metode baru untuk menyusup ke mesin Windows.

Temuan ini menggarisbawahi bahwa aktor ancaman sedang mengeksplorasi metode serangan baru dan memfokuskan perhatian mereka pada WSL untuk menghindari deteksi.

Sampel pertama yang menargetkan lingkungan WSL ditemukan pada awal Mei dan terus muncul setiap dua hingga tiga minggu hingga 22 Agustus. Sampel tersebut bertindak sebagai loader untuk lingkungan WSL dan menikmati deteksi yang sangat rendah pada layanan pemindaian file publik.

Dalam sebuah laporan, peneliti keamanan di Lumen’s Black Lotus Labs mengatakan bahwa file berbahaya memiliki muatan yang disematkan atau mengambilnya dari server jarak jauh.

Langkah selanjutnya adalah menyuntikkan malware ke dalam proses yang berjalan menggunakan panggilan Windows API, sebuah teknik yang tidak baru atau canggih lagi.

Dari sejumlah kecil sampel yang diidentifikasi, hanya satu yang datang dengan alamat IP yang dapat dirutekan secara publik, mengisyaratkan bahwa pelaku ancaman sedang menguji penggunaan WSL untuk menginstal malware di Windows.

File berbahaya terutama mengandalkan Python 3 untuk menjalankan tugasnya dan dikemas sebagai executable ELF untuk Debian menggunakan PyInstaller.

Laporan dari Lumen’s Black Lotus Labs memberikan indicators of compromise (IoC) yang terkait dengan kampanye yang terdeteksi untuk membantu para defenders membuat aturan deteksi. Untuk hash file dan data tentang aktivitas aktor ini, para peneliti merujuk ke halaman GitHub perusahaan.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings