Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Malware Crypto-Stealing ‘OpcJacker’ Menargetkan Pengguna dengan Layanan VPN Palsu

by

Malware pencuri informasi baru ‘OpcJacker’ telah terlihat sejak paruh kedua tahun 2022 sebagai bagian dari kampanye malvertising.

Peneliti Trend Micro, Jaromir Horejsi dan Joseph C. Chen, mengatakan bahwa fungsi utama OpcJacker meliputi keylogging, mengambil screenshot, mencuri data sensitif dari browser, memuat modul tambahan, dan mengganti alamat cryptocurrency di clipboard untuk tujuan pembajakan.

OpcJacker disembunyikan menggunakan crypter ‘Babadeda’ dan menggunakan file konfigurasi untuk mengaktifkan fungsi pengambilan datanya.

File penginstal bertindak sebagai saluran untuk menyebarkan OpcJacker, yang juga mampu mengirimkan muatan tahap selanjutnya seperti NetSupport RAT dan varian komputasi jaringan virtual tersembunyi (hVNC) untuk akses jarak jauh.
File penginstal bertindak sebagai saluran untuk menyebarkan OpcJacker, yang juga mampu mengirimkan muatan tahap selanjutnya seperti NetSupport RAT dan varian komputasi jaringan virtual tersembunyi (hVNC) untuk akses jarak jauh.

File penginstal bertindak sebagai saluran untuk menyebarkan OpcJacker, mampu mengirimkan muatan tahap selanjutnya.

Vektor awal kampanye melibatkan jaringan situs web palsu yang mengiklankan perangkat lunak yang tampak aman dan aplikasi terkait cryptocurrency. Kampanye Februari 2023 secara khusus memilih pengguna di Iran dengan dalih menawarkan layanan VPN.

Temuan itu muncul ketika Securonix mengungkapkan rincian kampanye serangan yang sedang berlangsung ‘TACTICAL#OCTOPUS’, menargetkan entitas AS dengan bujukan bertema pajak untuk menginfeksi mereka dengan backdoor.

Dalam perkembangan terkait, pengguna Italia dan Prancis yang mencari versi retak dari perangkat lunak pemeliharaan PC di YouTube dialihkan ke halaman Blogger yang mendistribusikan dropper NullMixer. NullMixer juga menonjol karena secara bersamaan menjatuhkan berbagai macam malware siap pakai.

Selengkapnya: The Hacker News

Mengapa Mata-mata Siber AS Mendesak: Bersikaplah Religius tentang Cadangan

by

Tidak semua teknologi pertahanan adalah alat perang siber yang canggih. Terkadang pertahanan terbaik sama membosankannya dengan cadangan.

Rob Joyce, direktur badan keamanan siber Badan Keamanan Nasional AS, berbicara pada KTT Akselerator Kebijakan Silverado, mengatakan bahwa seluruh dunia harus mengambil pelajaran dari perang Rusia-Ukraina ini ke dalam hati.

“Ukraina telah berada di bawah tekanan siber yang luar biasa selama bertahun-tahun, jauh sebelum invasi,” kata Joyce.

“Jadi mereka, karena kebutuhan, harus belajar dari itu. Mereka menjadi religius tentang cadangan; mereka sampai pada titik di mana sysadmin mereka mengerti bagaimana menanggapi pelanggaran, membersihkan, dan melanjutkan. Mereka dipraktikkan.”

Dalam perang siber yang nyata, mereka menjaga komunikasi Ukraina, pemerintah, dan infrastruktur penting tetap online meskipun selama setahun terjadi lusinan penghapus data dan jenis serangan lainnya.

Joyce menambahkan, selain memiliki cadangan sejak awal, perlu juga memikirkan tentang langkah praktis untuk memeriksa cadangan agar sewaktu-waktu dapat memulihkan aspek kunci bisnis apabila terjadi suatu insiden.

Perusahaan perlu memiliki pedoman yang menguraikan bagaimana mereka akan merespons dan siapa yang akan terlibat untuk berbagai jenis ancaman siber.

Sementara itu, Sandra Joyce mengatakan bahwa Mandiant milik Google merespons lebih dari 1.000 pelanggaran setiap tahun. Sebagian besar, ini merupakan insiden yang bisa bertahan.

Menurutnya juga, perusahaan yang paling siap menghadapi pelanggaran sudah menerapkan dasar-dasar keamanan termasuk otentikasi dua faktor dan pemindaian kerentanan. Disarankan juga untuk menjalankan suatu proses jika terjadi kesalahan.

Selengkapnya: The Register

GoatRAT Menyerang Sistem Pembayaran Otomatis

by

Baru-baru ini, para peneliti dari K7Security Labs menemukan deteksi dalam laporan telemetri “com.goatmw” yang menarik perhatian mereka, dan memutuskan untuk menyelidiki lebih lanjut. Malware tersebut ditemukan sebagai trojan perbankan.

Trojan perbankan GoatRAT adalah Alat Administrasi Jarak Jauh Android untuk mendapatkan akses dan mengontrol perangkat yang ditargetkan yang melakukan transaksi uang palsu menggunakan kunci PIX. Domain goatrat[.]com berfungsi sebagai panel admin dan berisi id telegram di kontaknya.

RAT kemudian meminta pengguna untuk memberikan izin aksesibilitas dan overlay, memungkinkan untuk menampilkan layar overlay pada aplikasi perbankan yang ditargetkan, membuatnya terlihat seperti layar aplikasi yang sah sehingga pengguna memasukkan kredensial yang valid tanpa curiga, untuk melakukan transfer uang penipuan.

Saat aplikasi yang ditargetkan dibuka, malware menampilkan jendela overlay yang muncul di atas aplikasi perbankan yang sah. Layar overlay akan mendapatkan semua kredensial valid, mengirimkannya ke C2, dan memulai transfer uang berdasarkan saldo bank yang tersedia di akun pengguna.

Trojan Perbankan Android meningkat pesat. Pembuat malware menemukan teknik baru untuk mencuri uang dari pengguna. Salah satu teknik tersebut terlihat mengeksploitasi platform pembayaran instan PIX yang menargetkan bank Brasil.

GoatRAT menggunakan kerangka Sistem Transfer Otomatis (ATS) untuk melakukan transaksi uang palsu. ATS adalah teknik baru yang digunakan oleh malware perbankan di mana setelah pengguna masuk ke aplikasi perbankan dan memasukkan kredensial mereka, malware akan mengambil kendali dan secara otomatis memasukkan jumlah dan memulai transaksi tanpa sepengetahuan pengguna.

Pengguna diminta untuk menginstal produk keamanan terkemuka seperti “K7 Mobile Security” dan terus memperbaruinya agar tetap aman dari ancaman tersebut.

Selengkapnya: K7 Security Labs

Microsoft akhirnya menindak salah satu risiko keamanan Windows terbesarnya

by

Microsoft telah membagikan lebih banyak detail tentang pembaruan keamanan penting untuk OneNote, yang diharapkan dapat mengatasi masalah yang berkembang dari programnya yang semakin sering digunakan untuk mendorong ransomware dan jenis malware lainnya.

Dalam dokumen dukungan Microsoft 365 baru (terbuka di tab baru), perusahaan mencantumkan total 120 ekstensi file yang akan segera diblokir di OneNote. Di antara jenis file yang menonjol adalah .XLL, .ISO, .BAT, dan .JS.

Ekstensi ini juga akan diblokir di program Office 365 (terbuka di tab baru) lainnya seperti Outlook, Word, Excel, atau PowerPoint.

Sebelumnya, mencoba membuka file OneNote dengan lampiran yang mencurigakan akan memunculkan pemberitahuan peringatan, pembaruan baru akan mencegah file dibuka – sama sekali.

Sebagai gantinya, pengguna akan bertemu dengan dialog peringatan yang mengatakan “Administrator Anda telah memblokir kemampuan Anda untuk membuka jenis file ini di OneNote”.

Perubahan akan diluncurkan dalam Versi 2304 di Saluran Saat Ini (Pratinjau) ke OneNote untuk Microsoft 365, pada perangkat yang diberdayakan Windows, baik pada bulan April, atau Mei, tahun ini, katanya.

Versi retail Office 2021, Office 2019, dan Office 2016 (Current Channel) juga akan diperbarui untuk mencerminkan perubahan ini, namun, versi Office dengan lisensi volume (Office Standard 2019, atau OFfice LTSC Professional Plus 2021) tidak akan mendapatkan pembaruan.

Sejak Microsoft memblokir aplikasi produktivitasnya dari menjalankan makro, peretas telah mencari alternatif yang layak untuk mengirimkan malware. Di antara metode yang berbeda, ada yang menonjol – file OneNote dengan lampiran berbahaya. Praktik ini menjadi sangat populer, begitu cepat, sehingga memaksa Microsoft dan memicu pembaruan yang akan datang.

Selengkapnya: Tech Radar

Bagaimana FBI menangkap admin BreachForums

by

FBI mengumpulkan beberapa bukti untuk menangkap Pompompurin. Pertama, mereka mendapatkan alamat IP yang digunakan Pompompurin untuk mengakses RaidForums, pendahulu BreachForums, yang disita oleh FBI pada April 2022. Sembilan dari alamat IP tersebut dikaitkan dengan Fitzpatrick, menurut penyedia layanan internetnya Verizon, sebagai Agen Khusus FBI tulis John Longmire dalam affidavit tertanggal 15 Maret, dua hari sebelum penangkapan Fitzpatrick.

Meskipun Pompompurin kemudian berkata “(Saya tidak ingin membagikan email saya yang sebenarnya karena alasan yang jelas, tetapi email ini tampaknya memiliki kasus yang sama dengan saya): conorfitzpatrick02@gmail.com,” tulis agen tersebut dalam pernyataan tertulis bahwa email itu alamat memang Pompompurin karena FBI memperoleh catatan dari Google yang menunjukkan bahwa Fitzpatrick mendaftarkan alamat itu beberapa bulan sebelum obrolan itu. Peretas yang diduga juga memiliki akun Google Pay yang ditautkan ke alamat email itu dan juga yang lebih baru, “conorfitzpatrick2002@gmail.com,” keduanya ditautkan ke nomor yang dimiliki oleh Fitzpatrick, menurut affidavit.

Selain itu, agen tersebut menulis bahwa dia memperoleh lebih banyak catatan dari Google, yang menunjukkan conorfitzpatrick2002@gmail.com memiliki alamat email pemulihan funmc59tm@gmail.com yang ditautkan ke alamat IP yang terdaftar untuk seseorang dengan nama belakang Fitzpatrick dan nomor telepon yang berbeda, yang mana agen itu mengatakan dia yakin itu milik ayah Fitzpatrick.

Kemudian, menurut affidavit, Pompompurin menggunakan beberapa VPN untuk terhubung ke akun Gmailnya, beberapa di antaranya tumpang tindih dengan aktivitasnya di tempat lain di internet.

Agen tersebut juga mengatakan bahwa FBI memperoleh catatan dari pertukaran cryptocurrency Purse.io. Catatan perusahaan mengungkapkan bahwa empat alamat IP yang digunakan untuk terhubung ke bursa juga digunakan untuk terhubung ke akun Gmail conorfitzpatrick2002@gmail.com dan akun RaidForum Pompompurin. Selain itu, akun Purse.io itu terdaftar dengan nama Conor Fitzpatrick dan alamat email “conorfitzpatrick2002@gmail.com,” kata affidavit.

Selengkapnya: TechCrunch

Trik YouTuber ChatGPT Untuk Menghasilkan Tombol Windows 95

by

Seorang YouTuber telah menerbitkan video di mana dia mengelabui ChatGPT untuk menghasilkan kunci aktivasi Windows 95 yang dapat digunakan. Setelah meminta chatbot Open AI secara langsung untuk kunci Windows 95, dia menerima penolakan beralasan yang diharapkan. YouTuber Enderman kemudian menanyakan hal yang sama namun dari sudut yang berbeda. Hasilnya adalah kesuksesan yang agak dibatasi oleh kemampuan ChatGPT untuk memproses permintaan bahasa alami menjadi formula.

Dalam penolakan awalnya untuk menghasilkan kunci Windows 95, ChatGPT menjelaskan bahwa ia tidak dapat melakukan tugas itu dan menyarankan agar inkuisitornya mempertimbangkan versi Windows yang lebih baru dan didukung.

Sudah lama diketahui bahwa kunci Windows 95 yang berfungsi relatif mudah dibuat, jadi latihan ChatGPT ini pasti hanya untuk bersenang-senang. Format kunci OEM Windows 95 diuraikan di atas, dan kunci ritel Windows 95 bahkan lebih pendek dan lebih lugas.

Jadi, untuk melewati penolakan prinsip ChatGPT untuk menghasilkan kunci perangkat lunak, Enderman memasukkan rumusnya ke dalam kata-kata. Upaya pertama tidak berhasil dan menyebabkan kesalahan. Namun, beberapa penyesuaian pada struktur kueri tampaknya berhasil.

Beberapa hasil pengujian diperiksa dengan mencoba mengaktifkan penginstalan Windows 95 baru di mesin virtual. Meskipun kunci melewati pemeriksaan biasa, ternyata hanya sekitar 1 dari 30 kunci yang berfungsi seperti yang diharapkan.

Jadi apa masalahnya dengan kunci-kunci ini? Enderman mengeluh bahwa “satu-satunya masalah yang membuat ChatGPT tidak berhasil menghasilkan kunci Windows 95 yang valid hampir di setiap upaya adalah kenyataan bahwa ia tidak dapat menghitung jumlah digit dan tidak mengetahui pembagian.” Dalam string lima digit yang dapat dibagi tujuh bagian, AI tampaknya memberikan aliran angka acak yang tidak lulus tes matematika sederhana ini.

Selengkapnya: tom’s HARDWARE

Bug Windows berusia 10 tahun dengan perbaikan ‘keikutsertaan’ dieksploitasi dalam serangan 3CX

by

Kerentanan Windows berusia 10 tahun masih dieksploitasi dalam serangan untuk membuatnya tampak bahwa file yang dapat dieksekusi ditandatangani secara sah, dengan perbaikan dari Microsoft masih “ikut serta” setelah bertahun-tahun. Lebih buruk lagi, perbaikan dihapus setelah memutakhirkan ke Windows 11.

Pada Rabu malam, tersiar kabar bahwa perusahaan komunikasi VoIP 3CX dikompromikan untuk mendistribusikan versi trojan dari aplikasi desktop Windows-nya dalam serangan rantai pasokan skala besar.

Sebagai bagian dari serangan rantai pasokan ini, dua DLL yang digunakan oleh aplikasi desktop Windows diganti dengan versi jahat yang mengunduh malware tambahan ke komputer, seperti trojan pencuri informasi.

Salah satu DLL jahat yang digunakan dalam serangan biasanya adalah DLL resmi yang ditandatangani oleh Microsoft bernama d3dcompiler_47.dll. Namun, pelaku ancaman memodifikasi DLL untuk menyertakan muatan jahat terenkripsi di akhir file.

Seperti yang pertama kali disebutkan kemarin, meskipun file telah dimodifikasi, Windows masih menunjukkannya sebagai ditandatangani dengan benar oleh Microsoft.

Penandatanganan kode untuk file yang dapat dieksekusi, seperti file DLL atau EXE, dimaksudkan untuk meyakinkan pengguna Windows bahwa file tersebut asli dan belum dimodifikasi untuk menyertakan kode berbahaya.

Saat ditandatangani dieksekusi dimodifikasi, Windows akan menampilkan pesan yang menyatakan bahwa “tanda tangan digital dari objek tidak memverifikasi.” Namun, meskipun kita tahu bahwa DLL d3dcompiler_47.dll telah dimodifikasi, itu tetap ditampilkan sebagai masuk Windows.

Setelah menghubungi Will Dormann, analis kerentanan senior di ANALYGENCE, tentang perilaku ini dan berbagi DLL, kami diberi tahu bahwa DLL mengeksploitasi cacat CVE-2013-3900, “Kerentanan Validasi Tanda Tangan WinVerifyTrust.”

Microsoft pertama kali mengungkapkan kerentanan ini pada 10 Desember 2013, dan menjelaskan bahwa menambahkan konten ke bagian tanda tangan kode autentikasi EXE (struktur WIN_CERTIFICATE) dalam tanda tangan yang dapat dieksekusi dapat dilakukan tanpa membatalkan tanda tangan.

Selegkapnya: Bleeping Computer

Analysis of Twitter algorithm code reveals social medium down-ranks tweets about Ukraine

by

Setelah Twitter membuat kode untuk algoritme open source pada tengah hari Waktu Pasifik pada tanggal 31 Maret, pengguna mulai mempelajarinya, dan menemukan bahwa tweet yang dianggap tentang Ukraina diturunkan peringkatnya – artinya pengguna cenderung tidak melihatnya di feed mereka .

Pengguna Twitter Aakash Gupta (@aakashg0) berkumpul dengan sekelompok orang lain untuk mengubah kode algoritme dan menemukan rahasia untuk meningkatkan jumlah pengikut Anda di situs – serta fakta bahwa topik seperti dinilai sebagai “misinformasi, ” Topik tentang Ukraina sangat diturunkan peringkatnya.

Secara anekdot, pengguna Twitter yang sering memposting tentang topik Ukraina melihat lebih sedikit keterlibatan dengan akun mereka sejak Musk mengambil alih platform pada Oktober tahun lalu. Posisi Musk sendiri dalam mendukung Ukraina tidak jelas.

Sementara Musk telah membantu Ukraina dengan menyediakan terminal Internet satelit Starlink, yang digunakan negara itu untuk menjaga komunikasi tetap berjalan baik untuk militer maupun warga sipil selama invasi skala penuh Rusia, beberapa posisi publiknya yang lain mengenai perang telah masuk untuk kritik – bahkan dari Presiden Ukraina Volodymyr Zelenskyy.

Musk pada awal Oktober tahun lalu men-tweet “rencana perdamaian” untuk Ukraina yang sangat mendukung posisi Rusia, dan jajak pendapat pengguna menanyakan apakah “kehendak rakyat” harus memutuskan apakah wilayah yang diduduki tetap menjadi bagian dari Ukraina atau menjadi bagian dari Rusia.

Zelenskyy sendiri membalas dengan jajak pendapat twitter yang menanyakan “Elon Musk mana yang lebih Anda sukai?”: “Orang yang mendukung Ukraina” atau “Orang yang mendukung Rusia.”

Selengkapnya: Yahoo