Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

KMSPico Windows Activator Berbahaya Mencuri Dompet Cryptocurrency Pengguna

by

Pengguna yang ingin mengaktifkan Windows tanpa menggunakan lisensi digital atau product key sedang ditargetkan oleh installer berbahaya untuk menyebarkan malware yang dirancang untuk mencuri kredensial dan informasi lainnya di dompet cryptocurrency.

Malware, yang dijuluki sebagai “CryptBot,” adalah pencuri informasi yang mampu memperoleh kredensial untuk browser, dompet cryptocurrency, cookie browser, kartu kredit, dan menangkap tangkapan layar dari sistem yang terinfeksi. Disebarkan melalui software bajakan, serangan terbaru melibatkan malware yang menyamar sebagai KMSPico.

KMSPico adalah alat tidak resmi yang digunakan untuk mengaktifkan fitur lengkap salinan perangkat lunak bajakan seperti Microsoft Windows dan Office suite tanpa benar-benar memiliki kunci lisensi.

“Pengguna terinfeksi dengan mengklik salah satu tautan berbahaya dan mengunduh KMSPico, Cryptbot, atau malware lain tanpa KMSPico,” kata peneliti Red Canary Tony Lambert dalam laporan yang diterbitkan minggu lalu. “Penyerang akan menginstal KMSPico juga, karena itulah yang diharapkan korban terjadi, sambil secara bersamaan menyebarkan Cryptbot di belakang layar.”

Perusahaan keamanan siber Amerika mengatakan juga mengamati beberapa departemen TI menggunakan perangkat lunak tidak sah alih-alih lisensi Microsoft yang valid untuk mengaktifkan sistem, ditambah installer KMSpico yang diubah didistribusikan melalui sejumlah situs web yang mengklaim menawarkan versi “resmi” dari aktivator.

Selengkapnya: The Hacker News

Peringatan: Produk Zoho ManageEngine Lain Ditemukan Sedang Aktif Diserang

by

Penyedia perangkat lunak perusahaan Zoho telah memperingatkan bahwa cacat kritis yang baru ditambal di Desktop Central dan Desktop Central MSP-nya sedang dieksploitasi secara aktif oleh aktor jahat, menandai kerentanan keamanan ketiga dalam produknya yang disalahgunakan di alam liar dalam rentang empat bulan.

Kerentanan, yang dilacak sebagai CVE-2021-44515, adalah kerentanan bypass otentikasi yang dapat mengizinkan musuh untuk menghindari perlindungan otentikasi dan mengeksekusi kode berbahaya di server MSP Pusat Desktop.

“Jika dieksploitasi, penyerang dapat memperoleh akses tidak sah ke produk dengan mengirimkan permintaan yang dibuat khusus yang mengarah ke eksekusi kode jarak jauh,” Zoho memperingatkan dalam sebuah nasihat. “Karena kami melihat indikasi eksploitasi kerentanan ini, kami sangat menyarankan pelanggan untuk memperbarui instalasi mereka ke versi terbaru sesegera mungkin.”

Perusahaan juga telah menyediakan Alat Deteksi Eksploitasi yang akan membantu pelanggan mengidentifikasi tanda-tanda eksploitasi dalam instalasi mereka.

Dengan perkembangan ini, CVE-2021-44515 bergabung dengan dua kerentanan lain CVE-2021-44077 dan CVE-2021-40539 yang telah dipersenjatai untuk membahayakan jaringan organisasi infrastruktur penting di seluruh dunia.

Selengkapnya: The Hacker News

Grafana memperbaiki kerentanan zero-day setelah eksploitasi tersebar di Twitter

by

Solusi analitik sumber terbuka dan visualisasi interaktif Grafana menerima pembaruan darurat hari ini untuk memperbaiki kerentanan zero-day yang memungkinkan akses jarak jauh ke file lokal.

Masalah ini mulai dipublikasikan awal minggu ini, sebelum Grafana Labs meluncurkan pembaruan untuk versi 8.0.0-beta1 yang terpengaruh hingga 8.3.0.

Sebelumnya, Grafana 8.3.1, 8.2.7, 8.1.8, dan 8.0.7 dirilis untuk memperbaiki kerentanan jalur traversal yang dapat memungkinkan penyerang untuk menavigasi di luar folder Grafana dan mengakses lokasi terbatas di server dari jarak jauh, seperti /etc/sandi/.

Grafana Labs menjelaskan bahwa masalahnya ada pada URL untuk plug-in yang diinstal, yang rentan terhadap serangan path traversal.

Karena semua instalasi Grafana memiliki satu set plugin yang diinstal secara default, jalur URL yang rentan ada di setiap instance aplikasi.

Namun laporan kedua menunjukkan bahwa informasi tentang masalah ini mulai menyebar, konfirmasi datang ketika berita tentang bug muncul di ruang publik.

Tidak butuh waktu lama untuk detail teknis bersama dengan proof-of-concepts (PoC) untuk mengeksploitasi bug agar tersedia di Twitter dan GitHub.

Sumber : Martin HSU

Karena bug yang dilaporkan secara pribadi telah menjadi zero-day yang bocor, Grafana Labs terpaksa menerbitkan perbaikannya:

  • 2021-12-06: Laporan kedua tentang kerentanan diterima
  • 2021-12-07: Kami menerima informasi bahwa kerentanan telah bocor ke publik, mengubahnya menjadi 0day
  • 2021-12-07: Keputusan dibuat untuk rilis secepat mungkin
  • 2021-12-07: Rilis pribadi dengan masa tenggang 2 jam yang dikurangi, bukan jangka waktu 1 minggu yang biasa
  • 2021-12-07: Rilis publik

Dilacak sebagai CVE-2021-43798, cacat tersebut menerima skor keparahan 7,5 dan masih dapat dieksploitasi di server lokal yang belum diperbarui.

Instance Grafana Cloud belum terpengaruh, kata pengembang hari ini.

Menurut laporan publik, ada ribuan server Grafana yang terekspos di internet publik. Jika memperbarui instance yang rentan tidak mungkin dilakukan secara tepat waktu, disarankan untuk membuat server tidak dapat diakses dari web publik.

Sumber : Bleeping Computer

Seseorang Menjalankan Ratusan Server Berbahaya di Jaringan Tor

by

Penelitian baru menunjukkan bahwa seseorang telah menjalankan ratusan server jahat di jaringan Tor, berpotensi dalam upaya untuk de-anonymize pengguna dan membuka kedok aktivitas web mereka.

Seperti yang pertama kali dilaporkan oleh The Record, aktivitas tersebut tampaknya berasal dari satu pengguna yang canggih dan gigih, yang entah bagaimana memiliki sumber daya untuk menjalankan banyak server bandwidth tinggi selama bertahun-tahun.

Juga disebut sebagai “Onion router,”, Tor mungkin adalah platform privasi online paling terkenal di dunia, dan perangkat lunak serta jaringan terkaitnya seharusnya melindungi aktivitas penjelajahan web Anda dari pengawasan dengan menyembunyikan alamat IP Anda dan mengenkripsi lalu lintas Anda.

Server jahat awalnya ditemukan oleh peneliti keamanan yang menggunakan nama samaran “nusenu” dan yang mengoperasikan node mereka sendiri di jaringan Tor.

Di Medium nya, nusenu menulis bahwa mereka pertama kali menemukan bukti pelaku ancaman—yang mereka juluki “KAX17”—pada tahun 2019. Setelah melakukan penelitian lebih lanjut ke KAX17, mereka menemukan bahwa KAX17 telah aktif di jaringan tersebut sejak 2017 .

Intinya, KAX tampaknya menjalankan segmen besar jaringan Tor — berpotensi dengan harapan dapat melacak jalur pengguna web tertentu dan membuka kedoknya.

Tor menganonimkan aktivitas web pengguna dengan mengenkripsi lalu lintas mereka dan kemudian merutekannya melalui serangkaian node yang berbeda—juga disebut “relay”—sebelum mencapai tujuan akhirnya dan tidak dienkripsi.

Penyedia node tidak seharusnya dapat melihat lalu lintas Anda, karena Tor menyediakan enkripsi dan mereka hanya membantu dengan salah satu dari beberapa bagian perjalanan lalu lintas Anda (juga disebut “circuit”).

Namun, dalam kasus KAX17, aktor ancaman tampaknya memiliki sumber daya yang jauh lebih baik daripada konten web gelap rata-rata Anda: mereka telah menjalankan ratusan server jahat di seluruh dunia—aktivitas yang setara dengan “menjalankan sebagian besar jaringan tor,” tulis nusenu. Dengan jumlah aktivitas itu, kemungkinan sirkuit pengguna Tor dapat dilacak oleh KAX relatif tinggi, menurut peneliti.

Menurut penelitian nusenu, KAX pada satu titik memiliki begitu banyak server — sekitar 900 — sehingga Anda memiliki kemungkinan 16 persen untuk menggunakan relay mereka sebagai “hop” pertama (yaitu, node di circuit Anda) ketika Anda masuk ke Tor. Anda memiliki peluang 35 persen untuk menggunakan salah satu relay mereka selama “hop” ke-2 Anda, dan peluang 5 persen untuk menggunakannya sebagai exit relay, tulis nusenu.

Selengkapnya: Gizmodo

Bot Twitter Berpose Sebagai Staf Pendukung untuk Mencuri Cryptocurrency Anda

by

Scammers memantau setiap tweet yang berisi permintaan dukungan pada MetaMask, TrustWallet, dan dompet crypto populer lainnya, dan menanggapinya dengan tautan penipuan hanya dalam hitungan detik.

Untuk melakukan serangan phishing yang ditargetkan ini, scammers menyalahgunakan API Twitter yang memungkinkan mereka memantau semua tweet publik untuk kata kunci atau frasa tertentu.

Jika frasa tersebut hadir, program yang sama ini akan mengarahkan bot Twitter di bawah kendali scammer untuk secara otomatis membalas tweet sebagai agen dukungan palsu dengan tautan ke penipuan yang mencuri dompet cryptocurrency.

Saya butuh kepercayaan CS dompet metamask phantom yoroi!
Saya kehilangan semua frase pemulihan crypto dan password saya.
Ayo maju semua bot Anda!
— @LawrencAbrams

Serangan ini bukan hal baru, dan kami melaporkannya pada bulan Mei. Namun, serangan ini telah berkembang ke cryptocurrency lainnya, dan penipuan terus merajalela.

Oleh karena itu, kami merasa sangat penting bagi pembaca kami untuk meninjau kembali serangan ini dan menggambarkan cara kerjanya, sehingga Anda tidak secara tidak sengaja menjadi korban.
Anatomi penipuan crypto Twitter

Tes pertama kami dari bot penipuan cryptocurrency ini adalah mengemas tweet dengan banyak kata kunci dan melihat apa yang akan terjadi.

Dalam tes yang dilakukan oleh BleepingComputer, tweet yang berisi kata-kata ‘dukungan,’ ‘bantuan,’ atau ‘bantuan’ bersama dengan kata kunci seperti ‘MetaMask,’ ‘Phantom,’ ‘Yoroi,’ dan ‘Trust Wallet’ akan menghasilkan balasan yang hampir seketika dari bot Twitter dengan formulir atau akun dukungan palsu.

Kata kunci lain memiliki hasil yang beragam, seperti nama dompet dan kata ‘dicuri.’
————————————————————–

Kami kemudian melakukan tes lebih lanjut untuk mencoba dan mempersempit kata kunci apa yang akan memicu balasan bot.

Dalam beberapa detik setelah memposting tes kami, kami menerima balasan dari banyak akun penipuan yang berpura-pura menjadi akun dukungan MetaMask dan TrustWallet, “korban sebelumnya,” atau pengguna yang membantu.

Semua balasan scammer berbagi tujuan yang sama – untuk mencuri frasa pemulihan untuk dompet korban, yang kemudian dapat digunakan penyerang untuk mengimpor dompet ke perangkat mereka sendiri.

Ketika memandu untuk mengisi frase pemulihan, mereka memakai bahasa konyol kalau itu sedang diproses oleh mereka “bot cloud terenkripsi,” mencoba meyakinkan pengguna untuk memposting informasi sensitif.

Setelah frase pemulihan dikirim ke penyerang, pupus sudah harapan. Mereka sekarang memiliki akses penuh ke cryptocurrency dalam dompet Anda dan dapat mentransfernya ke dompet lain di bawah kendali mereka.

Sebelum Anda mengatakan bahwa tidak ada yang “kena” penipuan ini, sayangnya, itu tidak benar. Sudah banyak pengguna Twitter yang dompet, cryptocurrency, dan NFT-nya dicuri.

@merchant_token saya tidak dapat mengubah alamat penarikan saya dari Binance ke metamask, jadi saya menghubungi dan telah tertipu oleh dukungan metamask palsu @MetaMasko yang mencuri token saya dari Dompet Metamask saya.
— @fc_sebastien

Terima kasih Kenzie. Saya mendapatkan apa yang saya pikir adalah dukungan pelanggan untuk dana yang hilang sejak minggu lalu. Dukungan pelanggan palsu berbagi tautan, dan melalui itu mereka mengekstrak Metamask saya. Saya sudah sepanjang hari mencoba untuk setidaknya memulihkan seni yang tidak dijual.
— @NightversionHQ

————————————————————–

Twitter mengatakan kepada BleepingComputer bahwa menggunakan API Twitter untuk spam bertentangan dengan aturan dan bahwa mereka secara aktif bekerja pada metode baru untuk mencegah serangan ini.

“Ini melanggar aturan kami untuk menggunakan taktik penipuan di Twitter untuk mendapatkan uang atau informasi keuangan pribadi, termasuk melalui aktivitas otomatis. Kebijakan Pengembang kami juga secara ketat melarang penggunaan API Twitter dan produk pengembang untuk mengirim spam kepada orang-orang,” jelas juru bicara Twitter.

“Ketika kami mengidentifikasi aplikasi atau akun yang melanggar kebijakan ini, kami mengambil tindakan penegakan hukum yang tepat. Kami terus beradaptasi dengan metode yang berkembang dari aktor jahat dan kami akan terus bergerak cepat untuk mengatasi penipuan cryptocurrency di platform saat mereka berevolusi.”

Jangan pernah berbagi frasa pemulihan!

Sebagai aturan umum, Anda tidak boleh membagikan frasa pemulihan dompet Anda dengan siapa pun. Frasa pemulihan hanya untuk Anda, dan tidak ada orang pendukung yang sah dari MetaMask, TrustWallet, atau di tempat lain yang akan memintanya.

Penting juga untuk diingat untuk tidak membagikan layar Anda dengan pengguna yang tidak tepercaya yang kemudian meminta Anda menampilkan frasa pemulihan Anda. Pada saat itu, mereka dapat dengan mudah mengambil tangkapan layar dan menuliskannya secara manual.

Pada akhirnya, serangan ini akan berlanjut kecuali Twitter mencari cara untuk mencegah bot ini merajalela, membatasi penggunaan kata kunci tertentu, atau menempatkan kontrol yang lebih ketat pada siapa yang dapat bergabung dengan platform pengembang mereka.

Pembaruan 12/7/21: Menambahkan pernyataan dari Twitter.

Sumber: Bleepingcomputer

Ransomware Cerber baru menargetkan server Confluence dan GitLab

by

Cerber ransomware kembali, karena keluarga ransomware baru mengadopsi nama lama dan menargetkan server Atlassian Confluence dan GitLab menggunakan kerentanan eksekusi kode jarak jauh.

Ketika ransomware mulai meningkat pada tahun 2016, operasi ransomware Cerber baru muncul dan dengan cepat menjadi salah satu geng paling produktif pada saat itu. Namun, aktivitasnya perlahan mereda hingga menghilang pada akhir tahun 2019.

Mulai bulan lalu, sebuah ransomware bernama Cerber sekali lagi muncul, karena mulai menginfeksi korban di seluruh dunia dengan encryptor Windows dan Linux.

Versi baru Cerber membuat catatan tebusan bernama __$$RECOVERY_README$$__.html dan menambahkan ekstensi .locked ke file terenkripsi.

Cerber Tor payment site
Source: BleepingComputer

CTO Emsisoft dan ahli ransomware Fabian Wosar memeriksa varian baru dan mengatakan itu tidak cocok dengan kode keluarga yang lebih lama. Versi baru menggunakan pustaka Crypto+++, sedangkan varian yang lebih lama menggunakan pustaka Windows CryptoAPI.

Perbedaan kode ini dan fakta bahwa Cerber asli tidak memiliki varian Linux membuktikan bahwa aktor ancaman baru telah mengadopsi nama, catatan tebusan, dan situs pembayaran Tor, dan bukan operasi asli.

Para peneliti dan vendor keamanan telah melihat server peretasan operasi ransomware Cerber yang baru menggunakan kerentanan eksekusi kode jarak jauh di Atlassian Confluence dan GitLab.

Peneliti keamanan BoanBird juga membagikan sampel ransomware Cerber baru yang menunjukkan strain baru ini secara khusus menargetkan folder Atlassian Confluence yang tercantum di bawah ini.

C:\Program Files\Atlassian\Application Data
C:\Program Files\Atlassian\Application Data\Confluence
C:\Program Files\Atlassian\Application Data\Confluence\backups

BoanBird juga membagikan tautan ke forum GitLab di mana admin mengungkapkan bahwa Cerber mengeksploitasi kerentanan yang baru-baru ini diungkapkan dalam komponen ExifTool GitLab.

Kerentanan ini dilacak sebagai CVE-2021-26084 (Confluence) dan CVE-2021-22205 (GitLab) dan dapat dieksploitasi dari jarak jauh tanpa otentikasi. Selain itu, kedua kerentanan telah secara terbuka mengungkapkan eksploitasi proof-of-concept (PoC), memungkinkan penyerang untuk menembus server dengan mudah.

Para peneliti di Tencent menunjukkan bahwa serangan yang menyebarkan ransomware Cerber baru sebagian besar menargetkan Amerika Serikat, Jerman, dan China.

Meskipun versi Cerber sebelumnya mengecualikan target di CIS (Commonwealth of Independent States), data telemetri Tencent dari serangan baru-baru ini menunjukkan sebaliknya.

Saat ini, pendekatan terbaik untuk melindungi dari Cerber adalah dengan menerapkan pembaruan keamanan yang tersedia untuk Atlassian Confluence dan GitLab.

Selengkapnya : Bleeping Computer

Emotet sekarang menjatuhkan Cobalt Strike, mempercepat serangan ransomware

by

Dalam perkembangan yang mengkhawatirkan, malware Emotet yang terkenal sekarang menginstal beacon Cobalt Strike secara langsung, memberikan akses jaringan langsung ke pelaku ancaman dan membuat serangan ransomware segera diluncurkan. Temuan ini ditemukan oleh Kelompok riset Emotet Cryptolaemus.

Emotet adalah infeksi malware yang menyebar melalui email spam yang berisi dokumen Word atau Excel berbahaya. Dokumen-dokumen ini menggunakan makro untuk mengunduh dan menginstal Trojan Emotet di komputer korban, yang kemudian digunakan untuk mencuri email dan menyebarkan malware lebih lanjut ke perangkat.

Secara historis, Emotet akan menginstal trojan TrickBot atau Qbot pada perangkat yang terinfeksi. Trojan ini pada akhirnya akan menyebarkan Cobalt Strike pada perangkat yang terinfeksi atau melakukan perilaku jahat lainnya.

Sekarang setelah muatan malware awal ini dilewati, pelaku ancaman akan memiliki akses langsung ke jaringan untuk menyebar secara lateral, mencuri data, dan menyebarkan ransomware dengan cepat.

Penyebaran cepat Cobalt Strike ini kemungkinan akan mempercepat penyebaran ransomware di jaringan yang disusupi. Hal ini terutama berlaku untuk geng ransomware Conti yang meyakinkan operator Emotet untuk kembali setelah mereka ditutup oleh penegak hukum pada bulan Januari.

Selengkapnya: Bleeping Computer

WhatsApp Menambahkan Pesan Menghilang Default untuk Obrolan Baru

by

WhatsApp mengumumkan hari ini bahwa mereka telah memperluas fitur kontrol privasi dengan penambahan pesan menghilang default untuk semua obrolan yang baru dimulai.

“Ketika diaktifkan, semua obrolan satu lawan satu baru yang Anda atau orang lain mulai akan diatur untuk menghilang pada durasi yang Anda pilih, dan kami telah menambahkan opsi baru saat membuat obrolan grup yang memungkinkan Anda mengaktifkannya untuk grup yang Anda buat,” kata WhatsApp. Fitur baru ini opsional dan tidak mengubah atau menghapus obrolan anda yang ada.

Hari ini, dengan peluncuran pesan menghilang default, perusahaan juga menambahkan dua durasi baru yang memungkinkan pengaturan pesan menghilang setelah 24 jam atau 90 hari.

Anda dapat mengaktifkan pesan yang menghilang secara default untuk semua obrolan satu-ke-satu baru di perangkat iOS dan Android dengan pergi ke Pengaturan WhatsApp, mengetuk Akun > Privasi > Timer pesan default, dan memilih durasi.

Namun, jika Anda ingin secara permanen memiliki akses ke salah satu obrolan lama di masa depan, Anda juga memiliki pilihan untuk beralih kembali ke obrolan standar di mana pesan yang menghilang tidak diaktifkan.

“Bagi orang-orang yang memilih untuk mengaktifkan pesan menghilang default, kami akan menampilkan pesan dalam obrolan Anda yang memberi tahu orang-orang bahwa ini adalah default yang Anda pilih,” tambah perusahaan itu.

“Ini memperjelas bahwa itu bukan masalah pribadi – ini adalah pilihan yang Anda buat tentang bagaimana Anda ingin berkomunikasi dengan semua orang di WhatsApp ke depannya.”

Perusahaan, bagaimanapun, memperingatkan bahwa memungkinkan pesan yang menghilang tidak akan melindungi mereka dari diteruskan ke orang lain oleh individu yang tidak dipercaya karena mereka masih dapat disimpan (screenshot atau disalin) sebelum mereka dihapus dari obrolan.

Pada bulan Agustus, Facebook juga menambahkan opsi untuk mengatur foto dan video untuk segera menghilang setelah dilihat sekali untuk kontrol tambahan atas privasi seseorang.

Terakhir, pada bulan Oktober, WhatsApp juga meluncurkan cadangan obrolan terenkripsi end-to-end di iOS dan Android untuk memblokir siapa pun dari mengakses obrolan, di mana pun mereka disimpan.

Perubahan ini terjadi setelah WhatsApp berubah pikiran pada keputusan sebelumnya untuk membatasi fitur atau menghapus akun pengguna yang tidak setuju dengan kebijakan privasi baru yang mengharuskan mereka untuk berbagi data mereka dengan perusahaan Facebook lainnya.

“Kami percaya pesan yang menghilang bersama dengan enkripsi end-to-end adalah dua fitur penting yang menentukan apa artinya menjadi layanan pesan pribadi hari ini, dan membawa kami selangkah lebih dekat ke perasaan percakapan pribadi,” WhatsApp menyimpulkan hari ini.

Sumber: Bleepingcomputer