Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Mod WhatsApp berbahaya menginfeksi perangkat Android dengan malware

by

Versi jahat dari mod FMWhatsappWhatsApp memberikan muatan Triadatrojan, kejutan buruk yang menginfeksi perangkat mereka dengan malware tambahan, termasuk trojan xHelper yang sangat sulit dihapus.

FMWhatsApp berjanji untuk meningkatkan pengalaman pengguna WhatsApp dengan fitur tambahan seperti privasi yang lebih baik, tema obrolan khusus, akses ke paket emoji jejaring sosial lain, dan penguncian aplikasi menggunakan PIN, kata sandi, atau touch ID.

Namun, seperti yang ditemukan oleh peneliti Kaspersky, versi FMWhatsapp 16.80.0 juga akan menginstall trojan Triada di perangkat pengguna dengan bantuan SDK iklan.

“Aplikasi ini tersedia di beberapa situs distribusi mod WhatsApp populer. Kami tidak dapat membagikan tautan ke sana,” kata pakar keamanan Kaspersky Igor Golovin kepada BleepingComputer.

“Untuk [kloning FMWhatsApp] di Google Play – aplikasi ini biasanya hanya berisi berbagai iklan dan menginstruksikan pengguna tentang cara mengunduh dan menginstal mod, sementara sebenarnya tidak mengandung mod jahat itu sendiri.”

Setelah diinstal, Triada mulai mengumpulkan informasi perangkat dan mengirimkannya ke server perintah-dan-kontrolnya, yang membalas dengan tautan ke muatan tambahan yang akan diunduh dan diluncurkan trojan pada perangkat Android yang disusupi.

Malware yang dijatuhkan oleh Triada di perangkat Android pengguna FMWhatsApp dapat dengan mudah mendaftarkan mereka ke langganan premium mengingat aplikasi tersebut meminta akses ke pesan teks korban saat diinstal.

Di antara malware yang dikirimkan oleh Triada, xHelper sangat menonjol melalui kemampuannya yang luar biasa untuk menginfeksi ulang perangkat Android beberapa jam setelah dihapus atau setelah perangkat yang terinfeksi direset ke pengaturan pabrik.

Selengkapnya: Bleeping Computer

Microsoft: Bug ProxyShell “mungkin dieksploitasi”, tambal server Anda sekarang!

by

Microsoft akhirnya menerbitkan panduan hari ini untuk kerentanan ProxyShell yang dieksploitasi secara aktif yang berdampak pada beberapa versi Microsoft Exchange lokal.

ProxyShell adalah kumpulan dari tiga kelemahan keamanan (ditambal pada bulan April dan Mei) yang ditemukan oleh peneliti keamanan Devcore Orange Tsai, yang mengeksploitasinya untuk menyusup ke server Microsoft Exchange selama kontes peretasan Pwn2Own 2021:

  • CVE-2021-34473 – Pre-auth path confusion leads to ACL Bypass (Patched in April by KB5001779)
  • CVE-2021-34523 – Elevation of privilege on Exchange PowerShell backend (Patched in April by KB5001779)
  • CVE-2021-31207 – Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

Meskipun Microsoft sepenuhnya menambal bug ProxyShell pada Mei 2021, mereka tidak menetapkan ID CVE untuk kerentanan hingga Juli, mencegah beberapa organisasi dengan server yang belum ditambal mengetahui bahwa mereka memiliki sistem yang rentan di jaringan mereka.

Microsoft mengatakan bahwa pelanggan harus menginstal SETIDAKNYA SATU dari pembaruan kumulatif terbaru yang didukung dan SEMUA pembaruan keamanan yang berlaku untuk memblokir serangan ProxyShell.

Per Microsoft, server Exchange rentan jika salah satu dari kondisi berikut ini benar:

  • Server menjalankan CU yang lebih lama dan tidak didukung;
  • Server menjalankan pembaruan keamanan untuk versi Exchange yang lebih lama dan tidak didukung yang dirilis pada Maret 2021; atau
  • Server menjalankan CU yang lebih lama dan tidak didukung, dengan penerapan mitigasi EOMT Maret 2021.

Selengkapnya: Bleeping Computer

Serangan zero-click NSO baru menghindari perlindungan keamanan iPhone Apple, kata Citizen Lab

by

IPhone seorang aktivis hak asasi manusia Bahrain diretas secara diam-diam awal tahun ini oleh spyware kuat yang dijual ke negara-bangsa, mengalahkan perlindungan keamanan baru yang dirancang Apple untuk menahan kompromi rahasia, kata para peneliti di Citizen Lab.

Aktivis, yang tetap berada di Bahrain dan meminta untuk tidak disebutkan namanya, adalah anggota Pusat Hak Asasi Manusia Bahrain, sebuah organisasi nirlaba pemenang penghargaan yang mempromosikan hak asasi manusia di negara Teluk. Kelompok itu terus beroperasi meskipun ada larangan yang diberlakukan oleh kerajaan pada tahun 2004 menyusul penangkapan direkturnya karena mengkritik perdana menteri negara itu.

Citizen Lab, pengawas internet yang berbasis di University of Toronto, menganalisis iPhone 12 Pro aktivis dan menemukan bukti bahwa itu diretas mulai Februari menggunakan apa yang disebut serangan “zero-click”, karena tidak memerlukan interaksi pengguna untuk menginfeksi perangkat korban.

Serangan zero-click memanfaatkan kerentanan keamanan yang sebelumnya tidak diketahui di iMessage Apple, yang dieksploitasi untuk mendorong spyware Pegasus, yang dikembangkan oleh perusahaan Israel NSO Group, ke telepon aktivis.

Peretasan itu signifikan, paling tidak karena peneliti Citizen Lab mengatakan menemukan bukti bahwa serangan zero-click berhasil mengeksploitasi perangkat lunak iPhone terbaru pada saat itu, baik iOS 14.4 dan iOS 14.6 yang lebih baru, yang dirilis Apple pada bulan Mei.

Tetapi peretasan juga menghindari fitur keamanan perangkat lunak baru yang ada di semua versi iOS 14, dijuluki BlastDoor, yang seharusnya mencegah peretasan perangkat semacam ini dengan memfilter data berbahaya yang dikirim melalui iMessage.

Karena kemampuannya untuk menghindari BlastDoor, para peneliti menyebut eksploitasi terbaru ini ForcedEntry.

Bill Marczak dari Citizen Lab mengatakan kepada TechCrunch bahwa para peneliti membuat Apple mengetahui upaya untuk menargetkan dan mengeksploitasi iPhone terbaru. Ketika dihubungi oleh TechCrunch, Apple tidak secara eksplisit mengatakan jika telah menemukan dan memperbaiki kerentanan yang dieksploitasi NSO.

Selengkapnya: Tech Crunch

Gartner merilis siklus hype teknologi yang muncul pada 2021: Inilah yang masuk dan keluar

by

Token nonfungible (NFT) memiliki waktu 2 hingga 5 tahun sebelum stabil setelah mencapai “palung kekecewaan” dan manajemen metadata aktif, aplikasi yang dapat dikomposisi, dan AI generatif berada di kamp yang sama, menurut Hype Cycle 2021 Gartner untuk Emerging Technologies.

Sekarang laporan siklus hype dari Gartner selalu bagus untuk diperdebatkan. Tetapi siklus hype bahkan lebih baik bagi pembeli teknologi yang perlu tahu bingo kata kunci apa yang akan mereka terima dari vendor.

Siklus sensasi teknologi Gartner yang muncul menyaring lebih dari 1.500 teknologi ke dalam daftar alat yang harus diketahui.

Tanpa basa-basi lagi, inilah bagan siklus hype.

Sumber: ZDNet

Beberapa takeaways yang patut direnungkan:

  • Dampak kecerdasan buatan dalam menghasilkan kode, menambah desain, dan inovasi hanya 5 hingga 10 tahun lagi.
  • Composable akan menjadi kata kunci untuk aplikasi dan jaringan.
  • Industri cloud baru saja memulai siklus hype dengan dataran tinggi yang dicapai dalam 5 hingga 10 tahun. Ini menarik mengingat cloud industri ada di mana-mana dari banyak vendor.
  • Manusia digital sedang dibicarakan sedikit, tetapi Gartner menganggap teknologi itu lebih dari 10 tahun lagi dari peningkatan produktivitas. Pembelajaran mesin berbasis kuantum juga lebih dari 10 tahun.

Selengkapnya: ZDNet

Firefox mengikuti Chrome dan bersiap untuk memblokir unduhan yang tidak aman

by

Pengembang Mozilla memberikan sentuhan akhir pada fitur baru yang akan memblokir unduhan file yang tidak aman di Firefox.

Disebut pemblokiran unduhan konten campuran, fitur ini bekerja dengan memblokir unduhan file yang dimulai dari halaman HTTPS terenkripsi tetapi yang sebenarnya terjadi melalui saluran HTTP yang tidak terenkripsi.

Gagasan di balik fitur ini adalah untuk mencegah pengguna Firefox agar tidak disesatkan oleh bilah URL dan mengira mereka mengunduh file dengan aman melalui HTTPS ketika, pada kenyataannya, file tersebut dapat dirusak oleh pihak ketiga saat dalam perjalanan.

Feature specifics:

  • Semua file HTTP yang diunduh dari halaman HTTPS akan diblokir dengan pesan di Pusat Unduhan Firefox (CTRL+J).
  • Sebuah opsi akan tersedia untuk memungkinkan pengguna mengizinkan unduhan jika mereka mau.
  • Unduhan file HTTP dari halaman HTTP tidak akan diblokir.
  • Tautan unduhan HTTP yang diakses langsung (disalin di bilah alamat Firefox) tidak akan diblokir.
  • Fitur ini sudah aktif dan diaktifkan di Firefox edisi Beta, Developer, dan Nightly.
  • Berdasarkan entri pelacak bug Firefox saat ini, fitur ini diharapkan akan diaktifkan untuk semua pengguna Firefox di v92, dijadwalkan untuk rilis resmi pada awal September 2021.

Fitur serupa sudah ada di Chrome dan sebagian besar browser berbasis Chromium sejak akhir 2020, telah diluncurkan dalam beberapa tahap dari Chrome v81 hingga v88.

Pengguna Firefox Stable yang ingin mengujinya sekarang dapat membuka halaman pengaturan about:config dan mengaktifkan opsi berikut:

dom.block_download_insecure — set to true

Sumber: The Record

AS mengumumkan kesepakatan dunia maya dengan Singapura saat Washington berupaya melawan Beijing

by

Pemerintahan Biden pada hari Senin meluncurkan serangkaian perjanjian dengan Singapura, termasuk tiga yang dimaksudkan untuk meningkatkan hubungan keamanan siber dan memerangi ancaman digital.

Pengumuman dari Gedung Putih bertepatan dengan perjalanan Wakil Presiden Kamala Harris ke wilayah tersebut, yang merupakan bagian dari upaya pemerintah untuk melawan pengaruh China yang berkembang di sana. Kesepakatan itu terjadi setelah Harris bertemu dengan Presiden Singapura Halimah Yacob dan Perdana Menteri Lee Hsien Loong.

Badan Keamanan Siber dan Infrastruktur dan Departemen Pertahanan dan Keuangan masing-masing menandatangani nota kesepahaman dengan rekan-rekan mereka di Singapura untuk memperluas berbagi informasi.

Kesepakatan final antara CISA dan Badan Keamanan Siber Singapura “akan meningkatkan pertukaran informasi tentang ancaman siber dan langkah-langkah defensif, meningkatkan koordinasi untuk respons insiden siber, dan memungkinkan pembangunan kapasitas keamanan siber di seluruh Asia Tenggara,” menurut Gedung Putih.

Sementara itu, kesepakatan yang ditandatangani antara Departemen Keuangan dan Otoritas Moneter Singapura “akan membantu kedua sektor keuangan kita lebih siap dan tahan terhadap ancaman dunia maya, sementara juga memfasilitasi berbagi informasi bilateral tentang ancaman dunia maya ke pasar keuangan.”

Hubungan antara Washington dan Beijing telah mengalami penurunan yang stabil selama bertahun-tahun dan semakin memburuk sejak bulan lalu ketika AS dan sekutunya menuduh China melakukan kampanye spionase digital global.

Selengkapnya: The Record

FBI mengirimkan peringatan pertamanya tentang ‘afiliasi ransomware’

by

Biro Investigasi Federal AS hari ini telah menerbitkan nasihat publik pertamanya yang merinci modus operandi “afiliasi ransomware.”

Istilah yang relatif baru, afiliasi ransomware mengacu pada orang atau kelompok yang menyewa akses ke platform Ransomware-as-a-Service (RaaS), mengatur intrusi ke dalam jaringan perusahaan, mengenkripsi file dengan “ransomware sewaan”, dan kemudian mendapatkan komisi dari pemerasan yang berhasil.

Dengan nama OnePercent Group, FBI mengatakan hari ini aktor ancaman ini telah aktif setidaknya sejak November 2020.

Menurut laporan FBI, secara historis, kelompok tersebut terutama mengandalkan taktik berikut untuk serangannya:

  • Menggunakan kampanye email phishing untuk menginfeksi korban dengan trojan IcedID.
  • Menggunakan trojan IcedID untuk menyebarkan muatan tambahan pada jaringan yang terinfeksi.
  • Menggunakan penetration testing framework Cobalt Strike untuk bergerak secara lateral melintasi jaringan korban.
  • Menggunakan RClone untuk mengekstrak data sensitif dari server korban.
  • Data terenkripsi dan meminta tebusan.
  • Menelepon atau mengirim email kepada korban untuk mengancam akan menjual data curian mereka di web gelap jika mereka tidak membayar tepat waktu.

Meskipun FBI tidak secara spesifik menyebut grup tersebut sebagai afiliasi ransomware, sumber di industri keamanan siber mengatakan kepada The Record bahwa OnePercent telah lama berkolaborasi dengan pencipta dan operator ransomware REvil (Sodinokibi) dan juga bekerja dengan operasi Maze dan Egregor.

Selengkapnya: The Record

Pelaku Ancaman Nigeria Meminta Karyawan untuk Menyebarkan Ransomware Dan Menawarkan Hadiah Besar

by

Para peneliti telah menemukan aktor ancaman Nigeria yang mencoba mengubah karyawan sebuah organisasi menjadi Insider Threat dengan meminta mereka untuk menyebarkan ransomware untuk mendapatkan potongan dari keuntungan uang tebusan.

Para peneliti di Abnormal Security mengidentifikasi dan memblokir sejumlah email yang dikirim awal bulan ini kepada beberapa pelanggannya yang menawarkan kepada orang-orang $1 juta dalam bentuk bitcoin untuk menginstal ransomware DemonWare. Para calon penyerang mengatakan mereka memiliki hubungan dengan kelompok ransomware DemonWare, juga dikenal sebagai Black Kingdom atau DEMON, kata mereka.

“Dalam kampanye terbaru ini, pengirim memberi tahu karyawan bahwa jika mereka dapat menyebarkan ransomware di komputer perusahaan atau server Windows, maka mereka akan dibayar $1 juta dalam bentuk bitcoin, atau 40% dari uang tebusan yang diperkirakan $2,5 juta,” tulis para peneliti dalam laporan yang diterbitkan Kamis tentang kampanye tersebut. “Karyawan tersebut diberitahu bahwa mereka dapat meluncurkan ransomware secara fisik atau jarak jauh.”

Kampanye dimulai dengan email awal yang meminta bantuan dari seorang karyawan untuk menginstal ransomware sambil menggantungkan tawaran pembayaran jika orang tersebut mengikutinya. Ini juga memberi penerima cara untuk menghubungi pengirim email.

Setelah dihubungi, pelaku ancaman mengirimi peneliti dua tautan untuk file executable yang dapat diunduh di situs berbagi file WeTransfer atau Mega.nz.

Melalui temuan awal dari penelitian yang dilakukan sebelum mereka membuka mata rantai komunikasi, mereka mengatakan bahwa aktor kemungkinan adalah orang Nigeria.

Kampanye ini juga menyoroti bagaimana penyerang memanfaatkan gagasan orang dalam yang tidak puas untuk mencoba membuat mereka melakukan pekerjaan kotor untuk mereka—sebuah konsep yang juga bukan hal baru, tetapi dapat memberikan wawasan penting tentang cara lain ransomware dapat menemukan jalannya ke jaringan organisasi, catat profesional keamanan lainnya.

Selengkapnya: The Threat Post