Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Malware Linux Baru Bersembunyi di Cron Jobs Dengan Tanggal yang Tidak Valid

by

Peneliti keamanan telah menemukan trojan akses jarak jauh (RAT) baru untuk Linux yang membuat profil hampir tidak terlihat dengan bersembunyi di tugas yang dijadwalkan untuk dieksekusi pada hari yang tidak ada, 31 Februari.

Dijuluki CronRAT, malware saat ini menargetkan toko web dan memungkinkan penyerang mencuri data kartu kredit dengan menggunakan skimmer pembayaran online di server Linux.

Dicirikan oleh kecerdikan dan kecanggihan, sejauh menyangkut malware untuk toko online, CronRAT tidak terdeteksi oleh banyak mesin antivirus.

CronRAT menyalahgunakan sistem penjadwalan tugas Linux, cron, yang memungkinkan penjadwalan tugas berjalan pada hari yang tidak ada dalam kalender, seperti 31 Februari.

Sistem cron Linux menerima spesifikasi tanggal selama mereka memiliki format yang valid, meskipun hari tidak ada di kalender – yang berarti bahwa tugas yang dijadwalkan tidak akan dijalankan.

Inilah yang diandalkan CronRAT untuk mencapai silumannya. Sebuah laporan hari ini dari perusahaan keamanan siber Belanda Sansec menjelaskan bahwa mereka menyembunyikan “program Bash yang canggih” dalam nama tugas yang dijadwalkan.

“CronRAT menambahkan sejumlah tugas ke crontab dengan spesifikasi tanggal yang aneh: 52 23 31 2 3. Baris-baris ini valid secara sintaksis, tetapi akan menghasilkan kesalahan waktu proses saat dijalankan. Namun, hal ini tidak akan pernah terjadi karena mereka dijadwalkan untuk berjalan pada tanggal 31 Februari,” jelas Peneliti Sansec.

Payload dikaburkan melalui beberapa lapisan kompresi dan pengkodean Base64. Dibersihkan, kode tersebut mencakup perintah untuk penghancuran diri, modulasi waktu, dan protokol khusus yang memungkinkan komunikasi dengan server jarak jauh.

Sansec mencatat bahwa teknik eksekusi baru CronRAT juga melewati algoritma pendeteksiannya, eComscan, dan para peneliti harus menulis ulang untuk menangkap ancaman baru.

Selengkapnya: Bleeping Computer

Sistem E-Mail IKEA Terkena Serangan Siber Yang Sedang Berlangsung

by

Dalam email internal yang dilihat oleh BleepingComputer, IKEA memperingatkan karyawan tentang serangan cyber phishing reply-chain yang sedang berlangsung yang menargetkan kotak surat internal. Email ini juga dikirim dari organisasi dan mitra bisnis IKEA lainnya yang disusupi.

“Ada serangan cyber yang sedang berlangsung yang menargetkan kotak surat Inter IKEA. Organisasi, pemasok, dan mitra bisnis IKEA lainnya dikompromikan oleh serangan yang sama dan selanjutnya menyebarkan email jahat ke orang-orang di Inter IKEA,” jelas email internal yang dikirim ke IKEA karyawan dan dilihat oleh BleepingComputer.

“Ini berarti bahwa serangan itu dapat datang melalui email dari seseorang yang bekerja dengan Anda, dari organisasi eksternal mana pun, dan sebagai balasan atas percakapan yang sudah berlangsung. Oleh karena itu, sulit untuk dideteksi, dan kami meminta Anda untuk ekstra hati-hati.”

Tim TI IKEA memperingatkan karyawan bahwa email reply-chain berisi tautan dengan tujuh digit di bagian akhir dan berbagi contoh email, seperti yang ditunjukkan di bawah ini. Selain itu, karyawan diminta untuk tidak membuka email, terlepas dari siapa yang mengirimnya, dan segera melaporkannya ke departemen TI.

Pelaku ancaman baru-baru ini mulai mengkompromikan server Microsoft Exchange internal menggunakan kerentanan ProxyShell dan ProxyLogin untuk melakukan serangan phishing.

Begitu mereka mendapatkan akses ke server, mereka menggunakan server Microsoft Exchange internal untuk melakukan serangan berantai balasan terhadap karyawan menggunakan email perusahaan yang dicuri.

Karena email dikirim dari server internal yang disusupi dan rantai email yang ada, ada tingkat kepercayaan yang lebih tinggi bahwa email tersebut tidak berbahaya.

Selengkapnya: Bleeping Computer

Kampanye malware Discord menargetkan komunitas crypto dan NFT

by

Kampanye malware baru di Discord menggunakan crypter Babadeda untuk menyembunyikan malware yang menargetkan komunitas crypto, NFT, dan DeFi.

Babadeda adalah crypter yang digunakan untuk mengenkripsi dan mengaburkan muatan berbahaya dalam installer atau program aplikasi yang tidak berbahaya.

Mulai Mei 2021, aktor ancaman telah mendistribusikan trojan akses jarak jauh yang dikaburkan oleh Babadeda sebagai aplikasi yang sah di channel Discord bertema kripto.

Karena obfuscation yang kompleks, ia memiliki tingkat deteksi AV yang sangat rendah, dan menurut para peneliti di Morphisec, tingkat infeksinya meningkat pesat.

Rantai pengiriman dimulai di channel Discord publik yang memiliki audiens yang berfokus pada kripto, seperti penurunan NFT baru atau diskusi mata uang kripto.

Pelaku ancaman memposting di channel ini atau mengirim pesan pribadi ke calon korban, mengundang mereka untuk mengunduh game atau aplikasi.

Dalam beberapa kasus, para aktor meniru proyek perangkat lunak blockchain yang ada seperti game “Tambang Dalarna”.

Jika pengguna tertipu dan mengklik URL yang disediakan, mereka akan berakhir di situs umpan yang menggunakan domain cybersquatted yang mudah dilewati sebagai domain asli.

Domain ini menggunakan sertifikat LetsEncrypt yang valid dan mendukung koneksi HTTPS, sehingga semakin sulit bagi pengguna yang ceroboh untuk menyadari bahwa ini adalah penipuan.

Malware diunduh setelah mengklik tombol “Mainkan Sekarang” atau “Unduh aplikasi” di situs yang sudah dibuat oleh penyerang, bersembunyi dalam bentuk file DLL dan EXE di dalam arsip yang sekilas tampak seperti folder aplikasi biasa.

Jika pengguna mencoba untuk menjalankan installer, mereka akan menerima pesan kesalahan palsu untuk menipu korban agar berpikir bahwa tidak ada yang terjadi.

Namun, di latar belakang, eksekusi malware berlanjut, membaca langkah-langkah dari file XML untuk mengeksekusi utas baru dan memuat DLL yang akan menerapkan persistence.

Selengkapnya: Bleeping Computer

Microsoft Defender untuk Endpoint gagal berjalan di Windows Server

by

Microsoft telah mengkonfirmasi masalah baru yang memengaruhi perangkat Windows Server yang mencegah solusi keamanan Microsoft Defender for Endpoint berjalan di beberapa sistem.

Platform keamanan endpoint Microsoft (sebelumnya dikenal sebagai Microsoft Defender Advanced Threat Protection atau Defender ATP) gagal untuk berjalan di perangkat dengan penginstalan Windows Server Core.

Masalah yang diketahui hanya memengaruhi perangkat di mana pelanggan telah menginstal pembaruan KB5007206 atau yang lebih baru di Windows Server 2019 dan KB5007205 atau pembaruan yang lebih baru di Windows Server 2022.

Seperti yang diungkapkan Microsoft lebih lanjut, masalah yang baru dikonfirmasi ini tidak memengaruhi Microsoft Defender untuk Endpoint yang berjalan di perangkat Windows 10. Mereka saat ini sedang mengerjakan solusi untuk mengatasi bug ini dan akan memberikan perbaikan dalam pembaruan yang akan datang.

BleepingComputer juga mengetahui laporan bahwa Microsoft Defender Antivirus lumpuh dengan pemberitahuan EventID 3002 (MALWAREPROTECTION_RTP_FEATURE_FAILURE) dan kode kesalahan “Real-time protection encountered an error and failed”.

Masalah ini terjadi hanya setelah menginstal pembaruan intelijen keamanan antara versi 1.353.1477.0 dan 1.353.1486.0.

Microsoft tampaknya telah memperbaiki bug ini dengan versi 1.353.1502.0 tetapi, menurut pakar keamanan Belanda SecGuru_OTX, perangkat Anda mungkin memerlukan hard reboot untuk mengaktifkan kembali fitur-fitur seperti behavior monitoring.

Selengkapnya:
Bleeping Computer

Varian Baru Spyware Android Menargetkan Pengguna Di Timur Tengah

by

Perusahaan perangkat lunak dan perangkat keras keamanan Inggris Sophos baru-baru ini mengungkapkan bahwa varian baru spyware Android yang digunakan oleh grup C-23 secara aktif menargetkan pengguna di Timur Tengah.

C-23, juga dikenal sebagai GnatSpy, FrozenCell, atau VAMP, adalah apa yang oleh para profesional keamanan siber disebut sebagai musuh ancaman persisten tingkat lanjut (advanced persistent threat/APT). Musuh semacam itu biasanya didanai dengan baik dan terorganisir dengan baik, yang memungkinkan mereka untuk dengan cepat mengembangkan taktik mereka untuk mengatasi pertahanan keamanan siber yang paling canggih sekalipun.

Grup C-23 telah dikenal karena menargetkan individu di Timur Tengah setidaknya sejak 2017, dengan fokus khusus pada wilayah Palestina.

Varian terbaru dari spyware Android-nya kemungkinan besar didistribusikan melalui tautan unduhan yang dikirim ke korban sebagai pesan teks. Tautan mengarah ke aplikasi jahat yang berpura-pura memasang pembaruan yang sah di perangkat seluler korban.

Saat aplikasi diluncurkan untuk pertama kalinya, ia meminta sejumlah izin yang memungkinkannya memata-matai korban. Kemudian menyamarkan dirinya untuk membuat penghapusan lebih sulit.

Informasi yang dapat dicuri spyware baru mencakup semuanya, mulai dari pesan teks hingga nama aplikasi yang diinstal hingga kontak dari semua jenis aplikasi, termasuk Facebook dan WhatsApp. Spyware bahkan dapat mengabaikan pemberitahuan dan mengaktifkan pengaturan “Jangan Ganggu”.

Sophos merekomendasikan pengguna Android untuk tidak pernah menginstal aplikasi dari sumber yang tidak tepercaya dan menghindari untuk mengabaikan pembaruan OS dan aplikasi yang tersedia.

Selengkapnya: Tech Magazine

Lebih dari 9 Juta Ponsel Android Menjalankan Aplikasi Malware dari AppGallery Huawei

by

Setidaknya 9,3 juta perangkat Android telah terinfeksi oleh malware kelas baru yang menyamar sebagai lusinan game arcade, penembak, dan strategi di pasar AppGallery Huawei untuk mencuri informasi perangkat dan nomor ponsel korban.

Kampanye seluler diungkapkan oleh peneliti dari Doctor Web, yang mengklasifikasikan trojan sebagai “Android.Cynos.7.origin,” karena fakta bahwa malware tersebut adalah versi modifikasi dari malware Cynos. Dari total 190 game berbahaya yang diidentifikasi, beberapa dirancang untuk menargetkan pengguna berbahasa Rusia, sementara yang lain ditujukan untuk audiens Cina atau internasional.

Setelah diinstal, aplikasi meminta izin kepada korban untuk melakukan dan mengelola panggilan telepon, menggunakan akses untuk mengumpulkan nomor telepon mereka bersama dengan informasi perangkat lain seperti geolokasi, parameter jaringan seluler, dan metadata sistem.

Sumber: TheHackerNews

Sementara aplikasi yang mengandung malware telah dihapus dari toko aplikasi, pengguna yang telah menginstal aplikasi di perangkat mereka harus menghapusnya secara manual untuk mencegah eksploitasi lebih lanjut.

Selengkapnya: The Hacker News

Trik rahasia Apple memungkinkan teman Anda membuka iPhone Anda yang terkunci dalam hitungan detik

by

Jika Anda terkunci dari Apple ID dan iPhone, seorang teman dapat membantu Anda masuk kembali.

Ada fitur khusus yang disebut Kontak Pemulihan yang memungkinkan Anda menominasikan orang untuk memulihkan akun Anda.

Jika Anda telah diretas atau Anda tidak dapat masuk ke akun Anda, ini adalah solusi yang tepat.

Ini adalah fitur baru yang ada di iOS 15 – pembaruan perangkat lunak terbaru untuk iPhone Anda.

Anda harus memilih orang tepercaya: pasangan, anggota keluarga dekat, atau sahabat. Orang ini dapat membantu Anda mendapatkan kembali kendali atas akun dan perangkat Anda dalam hitungan detik. Tapi hati-hati: hanya pilih Kontak Pemulihan yang benar-benar Anda percayai.

Bagaimana memilih Kontak Pemulihan

Pertama, pastikan Anda menggunakan iOS 15.

Buka Settings > General > Software Update dan pastikan versinya versi 15 atau lebih tinggi. Jika Anda memiliki pembaruan yang tertunda, instal segera.

Anda juga harus memastikan bahwa Kontak Pemulihan Anda juga memiliki perangkat iOS atau iPadOS di iOS 15 atau iPadOS 15 atau lebih baru.

Orang ini juga perlu menggunakan otentikasi dua faktor, dan berusia minimal 13 tahun.

Lalu buka Settings di perangkat Anda, dan pilih Apple ID di bagian atas di bawah nama Anda.

Masuk ke Password & Security lalu pilih Account Recovery.

Dari sana Anda dapat memilih Add Recovery Contact untuk memilih seseorang. Anda kemudian dapat mengirim pesan kepada orang itu (yang dapat diedit), memberi tahu mereka bahwa mereka adalah Kontak Pemulihan Anda.

Kirim dan selesai.

Sumber: New York Post

Peretas mengeksploitasi bug Microsoft MSHTML untuk mencuri kredensial Google, Instagram

by

Seorang aktor ancaman Iran yang baru ditemukan mencuri kredensial Google dan Instagram milik target berbahasa Farsi di seluruh dunia menggunakan stealer berbasis PowerShell baru yang dijuluki PowerShortShell oleh peneliti keamanan di SafeBreach Labs.

Info stealer juga digunakan untuk pengawasan Telegram dan mengumpulkan informasi sistem dari perangkat yang disusupi yang dikirim ke server yang dikendalikan penyerang bersama dengan kredensial yang dicuri.

Seperti yang ditemukan oleh SafeBreach Labs, serangan (dilaporkan secara publik pada bulan September di Twitter oleh Shadow Chaser Group) dimulai pada bulan Juli sebagai email spear-phishing.

Mereka menargetkan pengguna Windows dengan lampiran Winword berbahaya yang mengeksploitasi bug eksekusi kode jarak jauh (RCE) Microsoft MSHTML yang dilacak sebagai CVE-2021-40444.

Payload stealer PowerShortShell dijalankan oleh DLL yang diunduh pada sistem yang disusupi. Setelah diluncurkan, skrip PowerShell mulai mengumpulkan data dan cuplikan layar, memindahkannya ke server perintah-dan-kontrol penyerang.

“Hampir setengah dari korban berada di Amerika Serikat. Berdasarkan konten dokumen Microsoft Word – yang menyalahkan pemimpin Iran atas ‘pembantaian Corona’ dan sifat data yang dikumpulkan, kami berasumsi bahwa para korban mungkin adalah orang Iran yang tinggal di luar negeri. dan mungkin dilihat sebagai ancaman bagi rezim Islam Iran,” kata Tomer Bar, Direktur Riset Keamanan di SafeBreach Labs.

Sumber: BleepingComputer

Selengkapnya: Bleeping Computer