Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Awas! Malware Android Baru Meretas Ribuan Akun Facebook

by

Sebuah trojan Android baru telah ditemukan menyusupi akun Facebook lebih dari 10.000 pengguna di setidaknya 144 negara sejak Maret 2021 melalui aplikasi penipuan yang didistribusikan melalui Google Play Store dan pasar aplikasi pihak ketiga lainnya.

Dijuluki “FlyTrap,” malware yang sebelumnya tidak terdokumentasi ini diyakini sebagai bagian dari keluarga trojan yang menggunakan trik rekayasa sosial untuk membobol akun Facebook sebagai bagian dari kampanye pembajakan sesi yang diatur oleh aktor jahat yang beroperasi di luar Vietnam, menurut sebuah laporan yang diterbitkan oleh zLabs Zimperium dan dibagikan dengan The Hacker News.

Meskipun sembilan aplikasi yang melanggar telah ditarik dari Google Play, mereka terus tersedia di toko aplikasi pihak ketiga, “menyoroti risiko aplikasi sideloaded untuk endpoint seluler dan data pengguna,” kata peneliti malware Zimperium Aazim Yaswant. Daftar aplikasi adalah sebagai berikut:

  • GG Voucher (com.luxcarad.cardid)
  • Vote European Football (com.gardenguides.plantingfree)
  • GG Coupon Ads (com.free_coupon.gg_free_coupon)
  • GG Voucher Ads (com.m_application.app_moi_6)
  • GG Voucher (com.free.voucher)
  • Chatfuel (com.ynsuper.chatfuel)
  • Net Coupon (com.free_coupon.net_coupon)
  • Net Coupon (com.movie.net_coupon)
  • EURO 2021 Official (com.euro2021)

Aplikasi jahat mengklaim menawarkan kode kupon Netflix dan Google AdWords dan memungkinkan pengguna memilih tim dan pemain favorit mereka di UEFA EURO 2020, yang berlangsung antara 11 Juni dan 11 Juli 2021, hanya dengan syarat mereka masuk dengan akun Facebook mereka untuk memberikan suara mereka, atau mengumpulkan kode kupon atau kredit.

Setelah pengguna masuk ke akun, malware dilengkapi untuk mencuri ID Facebook, lokasi, alamat email, alamat IP, dan cookie serta token yang terkait dengan akun Facebook korban, sehingga memungkinkan pelaku ancaman untuk melakukan kampanye disinformasi menggunakan detail geolokasi korban atau menyebarkan malware lebih lanjut melalui teknik rekayasa sosial dengan mengirimkan pesan pribadi yang berisi tautan ke trojan.

Selengkapnya: The Hacker News

Peretas dilaporkan mengancam akan membocorkan data dari serangan ransomware Gigabyte

by

Gigabyte telah menjadi korban serangan siber, yang dilaporkan merupakan hasil kerja perusahaan ransomware bernama RansomEXX.

Saat ini, beberapa bagian situs web Gigabyte, termasuk bagian dukungannya, sedang tidak aktif, memberikan masalah kepada pelanggan saat mencoba mengakses informasi dan pembaruan perbaikan garansi. Para peretas yang mengklaim telah melakukan serangan itu dilaporkan mengancam akan merilis data dari perusahaan, termasuk dokumen rahasia dari Intel, AMD, dan American Megatrends.

Menurut catatan tebusan dan halaman web darkweb, dilihat oleh Bleeping Computer dan The Record, RansomEXX mengancam untuk mempublikasikan 112GB data yang didapatnya dari Gigabyte dan repo Git Megatrends Amerika.

Bleeping Computer melaporkan bahwa para peretas juga menyertakan tangkapan layar dokumen dari Intel, AMD, dan American Megatrends yang berada di bawah NDA. American Megatrends membuat firmware untuk produsen motherboard dan komputer serta untuk produsen Chromebook tertentu.

Gigabyte tidak menanggapi permintaan komentar, tetapi mengatakan kepada The Record bahwa perusahaan telah mengisolasi server yang terpengaruh, memberi tahu penegak hukum, dan memulai penyelidikan. Gigabyte belum secara terbuka menyebut RansomEXX sebagai pihak yang bertanggung jawab.

Selengkapnya: The Verge

Kerentanan CSRF dan Cara Menghindarinya

by

Cross-site request forgery (CSRF) adalah kerentanan keamanan berbasis web yang sangat populer. Melalui serangan CSRF, penyerang menipu pengguna untuk mengeksekusi atau melakukan aktivitas yang mengubah status, seperti memperbarui, menghapus, atau membuat permintaan tanpa disadari.

Serangan CSRF umumnya dimulai dengan teknik rekayasa sosial berbahaya, di mana penyerang mengirim atau menyematkan tautan permintaan berbahaya melalui obrolan, file HTML, dll., dan menunggu korban mengkliknya.

Sebagaimana dinyatakan dalam dokumentasi resmi OWASP, serangan CSRF dikenal dengan banyak nama, seperti XSRF, “Sea Surf”, Session Riding, dan hostile linking.

Apa Dampak Nyata Yang Diakibatkan?

Dampak serangan CSRF tergantung langsung pada sifat aplikasi target dan fitur/fungsi yang rentan.

Misalnya, jika aplikasi perbankan rentan terhadap CSRF, peretas dapat melakukan serangan CSRF untuk memperbarui/menghapus detail pengguna, meminta transfer dana, atau mengubah kata sandi tanpa sepengetahuan pengguna. Hal ini dapat mengakibatkan kerugian finansial bagi korban atau akun mereka diambil alih.

Oleh karena itu, dampak serangan ini dapat berkisar dari pembaruan detail sederhana hingga transfer dana, tergantung pada aplikasinya.

Kondisi untuk Serangan CSRF

Pertama, mari kita bahas dua kondisi penting yang dibutuhkan penyerang untuk melakukan serangan CSRF dengan sukses.

  1. Penanganan sesi berbasis cookie: Aplikasi memvalidasi session cookies yang dilampirkan pada permintaan untuk memvalidasi permintaan pengguna yang otentik. Artinya, penyerang hanya perlu memalsukan bagian yang tersisa dari permintaan HTTP. Membuka payload CSRF di browser terotentikasi yang sama akan secara otomatis menambahkan session cookies ke dalamnya, membuat permintaan pengguna yang sah dan lengkap.
  2. Tidak ada parameter permintaan pengguna yang tidak dapat ditebak: Tidak adanya parameter acak yang tidak dapat ditebak dalam permintaan HTTP membuat permintaan HTTP rentan terhadap pemalsuan dan CSRF. Hal ini memungkinkan penyerang berhasil memalsukan permintaan HTTP target dengan merujuk ke contoh permintaan HTTP yang sah.

Mengurangi Risiko Serangan CSRF

1. Gunakan Implementasi CSRF Bawaan atau yang Ada untuk Perlindungan CSRF

Kerangka kerja pengembangan populer seperti .Net, Java Spring, Django Python, dan Flask memiliki dukungan bawaan sebagai properti yang dapat dikonfigurasi.

Banyak dari kerangka pengembangan populer ini mendukung pertahanan pola token Synchronizer untuk CSRF. Selalu disarankan untuk meneliti dukungan bawaan yang ada untuk pertahanan CSRF dalam kerangka kerja ini sebelum menerapkan implementasi kustom apa pun untuk hal yang sama.

2. Mitigasi Berbasis Token

Token CSRF yang unik/tidak dapat diprediksi harus dibuat di sisi server per sesi. Saat klien memicu permintaan, server harus memverifikasi keberadaan dan validitas token CSRF dalam permintaan dengan membandingkannya dengan token yang ditemukan di sesi pengguna.

3. Pengiriman Cookie Ganda Berpola

Ini adalah solusi stateless untuk perlindungan CSRF. Dalam metode pengiriman cookie ganda, nilai acak dikirim dalam cookie dan parameter permintaan. Server memvalidasi keaslian permintaan dengan mengonfirmasi bahwa kedua nilai tersebut sama. Untuk mencapai ini, token CSRF acak yang aman dibuat dan disimpan sebagai cookie ketika pengguna masuk ke aplikasi.

Setiap kali pengguna mengirimkan permintaan server, token CSRF ini dikirim sebagai cookie dan juga ditambahkan sebagai bidang input tersembunyi ke dalam HTML. Jika keduanya cocok, maka server mengautentikasi permintaan, jika tidak maka akan ditolak.

Selengkapnya: Medium Faun.pub

Bagaimana jaringan palsu mendorong propaganda pro-China

by

Jaringan luas lebih dari 350 profil media sosial palsu mendorong narasi pro-China dan berusaha mendiskreditkan mereka yang dianggap sebagai penentang pemerintah China, menurut sebuah studi baru.

Tujuannya adalah untuk mendelegitimasi Barat dan meningkatkan pengaruh dan citra China di luar negeri, menurut laporan dari Center for Information Resilience (CIR).

Studi tersebut, yang dibagikan kepada BBC, menemukan bahwa jaringan profil palsu mengedarkan kartun norak yang menggambarkan, antara lain, taipan China yang diasingkan Guo Wengui, seorang kritikus vokal China.

Tokoh kontroversial lainnya yang ditampilkan dalam kartun tersebut termasuk ilmuwan “pelapor” Li-Meng Yan, dan Steve Bannon, mantan ahli strategi politik untuk Donald Trump.

Masing-masing individu ini dituduh menyebarkan disinformasi, termasuk informasi palsu tentang Covid-19.

Tidak ada bukti nyata bahwa jaringan tersebut terkait dengan pemerintah China, tetapi menurut CIR, sebuah kelompok nirlaba yang bekerja untuk melawan disinformasi, jaringan tersebut menyerupai jaringan pro-China yang sebelumnya dihapus oleh Twitter dan Facebook.

Jaringan ini memperkuat narasi pro-China yang serupa dengan yang dipromosikan oleh perwakilan pemerintah China dan media pemerintah.

Selama dekade terakhir, miliaran dolar telah digunakan untuk mendanai pertumbuhan kehadiran China di platform internasional.

Tetapi dengan Facebook, Twitter, dan YouTube diblokir di daratan China, dan hanya dapat diakses melalui VPN, negara tersebut telah berjuang untuk membuat platform semacam itu diakui sebagai pesaing yang layak bagi raksasa Barat. Dibutuhkan tidak hanya suara Cina, tetapi suara asing, untuk menunjukkan bahwa negara itu telah “tiba”.

Dengan lebih dari satu miliar pengguna internet, China tentu memiliki kemampuan untuk mengatur kampanye media sosial skala besar, dan menargetkan apa yang dilihatnya sebagai suara anti-China dengan banyak pendapat yang bertentangan.

Selengkapnya: BBC

Kesalahan Implementasi HTTP/2 Mengekspos Situs Web ke Risiko Serius

by

BLACK HAT USA 2021 – Kelemahan implementasi dan ketidaksempurnaan dalam spesifikasi teknis seputar HTTP/2 membuat situs web yang menggunakan protokol jaringan menghadapi serangkaian risiko baru, seorang peneliti keamanan memperingatkan dalam presentasi di Black Hat USA, Kamis.

James Kettle — direktur penelitian di PortSwigger yang di Black Hat dua tahun mendemonstrasikan apa yang disebut dengan serangan Desync terhadap situs web yang menggunakan protokol HTTP — minggu ini menunjukkan bagaimana serangan serupa dapat dilakukan dengan potensi konsekuensi yang parah terhadap situs web yang menggunakan HTTP/2 standar.

Sebagai bukti konsep, Kettle menjelaskan serangan yang dapat dia lakukan menggunakan tekniknya terhadap situs web milik organisasi seperti Netflix, yang didukung oleh penyeimbang load balancer Amazon, dan situs web yang menggunakan firewall aplikasi Web cloud Imperva. Dalam banyak kasus, dia dapat mengarahkan permintaan dari server yang menghadap ke Web di situs ini ke servernya sendiri.

Hampir 50% dari semua situs web saat ini menggunakan protokol HTTP/2 (H2), yang diperkenalkan pada tahun 2015 sebagai alternatif yang lebih cepat dan sederhana untuk HTTP/1.1. Seperti yang dijelaskan Google, “semua konsep inti, seperti metode HTTP, kode status, URI, dan bidang header, tetap di tempatnya,” dengan protokol baru. “Sebaliknya, HTTP/2 memodifikasi bagaimana data diformat (dibingkai) dan diangkut antara klien dan server, keduanya mengelola seluruh proses, dan menyembunyikan semua kerumitan dari aplikasi kami di dalam lapisan pembingkaian baru.”

Selengkapnya: Dark Reading

Bug Cisco Kritis di Router VPN Memungkinkan Pengambilalihan Mesin Secara Jarak Jauh

by

Kerentanan keamanan kritis dalam subset router VPN bisnis kecil Cisco Systems dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengambil alih perangkat – dan para peneliti mengatakan setidaknya ada 8.800 sistem rentan yang terbuka untuk dikompromikan.

Cisco mengatasi bug (CVE-2021-1609) sebagai bagian dari banyak tambalan yang diluncurkan minggu ini. Secara total, perbaikan dan produk yang terpengaruh adalah sebagai berikut:

  • Kerentanan Manajemen Web pada Cisco RV340, RV340W, RV345, dan RV345P Dual WAN Gigabit VPN Router(Advisory)
  • Kerentanan Eksekusi Perintah Jarak Jauh pada Cisco Small Business RV160 dan RV260 Series VPN Router(Advisory)
  • Cisco Packet Tracer untuk Kerentanan Injeksi DLL Windows (Advisory)
  • Kerentanan Eskalasi Hak Istimewa Server pada Cisco Network Services Orchestrator CLI Secure Shell (Advisory)
  • Kerentanan Eskalasi Hak Istimewa ConfD CLI Secure Shell Server (Advisory)

Bug kritis mempengaruhi router Dual WAN Gigabit VPN vendor. Menurut penasihat, CVE-2021-1609 ada di antarmuka manajemen web untuk perangkat, dan membawa skor kerentanan-keparahan CVSSv3 9,8. Itu muncul karena validasi permintaan HTTP yang tidak tepat.

Menurut analisis hari Kamis dari Tenable, penyerang jarak jauh yang tidak diautentikasi dapat mengeksploitasi kerentanan dengan mengirimkan permintaan HTTP yang dibuat khusus ke perangkat yang rentan, “menghasilkan eksekusi kode arbitrer serta kemampuan untuk memuat ulang perangkat, menghasilkan penolakan layanan (DoS).

Selengkapnya: Threat Post

Apakah iPhone atau iPad Anda memiliki spyware Pegasus? Cari tahu secara gratis

by

Setiap kali ada laporan tentang eksploitasi iPhone atau iPad yang didistribusikan dan digunakan secara aktif, itu mengerikan. Pada bulan Juli, terungkap bahwa peneliti keamanan menemukan bukti spyware Pegasus digunakan pada telepon wartawan, politisi dan aktivis.

Spyware dapat diinstal dari jarak jauh di iPhone atau iPad target tanpa pemilik mengambil tindakan apa pun, memberikan orang atau organisasi yang menginstalnya akses penuh ke perangkat dan semua data yang disimpannya. Itu termasuk pesan teks, email, dan bahkan merekam panggilan telepon. Pegasus awalnya dirancang dan dipasarkan oleh penciptanya, NSO Group, untuk memantau penjahat dan teroris.

Untuk lebih jelasnya, kemungkinan iPhone atau iPad Anda terinfeksi oleh Pegasus Spyware rendah, dan berbagai laporan mengklaim bahwa pembaruan terbaru, iOS 14.7.1, memperbaiki eksploitasi yang digunakan Pegasus, tetapi itu belum dikonfirmasi oleh Apple.

Karena itu, jika Anda menginginkan ketenangan pikiran — untuk berjaga-jaga — dengan mengetahui bahwa perangkat Anda bebas dari siapa pun yang memata-matai Anda, inilah yang perlu Anda lakukan.

Unduh dan instal aplikasi iMazing di Mac atau PC

iMazing baru-baru ini memperbarui aplikasi Mac dan PC-nya untuk menyertakan Perangkat Verifikasi Seluler (MVT) Amnesty International yang dibuat untuk mendeteksi tanda-tanda Pegasus pada perangkat dan tidak membebankan biaya kepada pengguna untuk mengakses fitur tersebut.

Unduh iMazing untuk komputer Anda masing-masing dari situs web perusahaan. Jangan khawatir tentang membeli aplikasi, kami dapat menjalankan tes spyware lengkap menggunakan uji coba gratis.

Dengan iMazing terinstal dan berjalan, sambungkan iPhone atau iPad Anda ke komputer menggunakan kabel yang sesuai. Selanjutnya, gulir ke bawah melalui opsi tindakan di sisi kanan iMazing hingga Anda menemukan Detect Spyware; kemudian klik.

Jendela baru akan terbuka, memandu Anda melalui prosesnya. iMazing menyarankan untuk meninggalkan semua pengaturan default saat Anda mengklik setiap layar. Setelah melalui konfigurasi dasar, Anda harus menerima lisensi untuk alat tersebut dan kemudian klik tombol Mulai Analisis.

Setelah iMazing mulai menganalisis cadangan perangkat Anda, itu akan menunjukkan prosesnya dengan menampilkan setiap aplikasi yang diperiksanya, dimulai dengan iMessage. Aplikasi ini menggunakan database “alamat email berbahaya, tautan, nama proses, dan nama file” yang diketahui.

Saat iMazing selesai, Anda akan melihat peringatan dengan hasilnya. Lansiran juga mencakup dua tombol untuk membuka atau mengungkapkan laporan.

Selengkapnya: CNET

Semua DNS Anda adalah milik kami: AWS dan Google Cloud mematikan kerentanan mata-mata

by

Hingga Februari tahun ini, layanan DNS Amazon Route53 menawarkan kemampuan penyadapan jaringan yang sebagian besar tidak dihargai. Dan opsi mata-mata yang tidak berdokumen ini juga tersedia di Google Cloud DNS dan setidaknya satu penyedia DNS-as-a-service lainnya.

Dalam presentasi awal pekan ini di konferensi keamanan Black Hat USA 2021 di Las Vegas, Nevada, Shir Tamari dan Ami Luttwak dari perusahaan keamanan Wiz, menjelaskan bagaimana mereka menemukan kelemahan pembajakan server nama DNS yang memungkinkan mereka untuk memata-matai lalu lintas DNS dinamis pelanggan lain.

“Kami menemukan celah sederhana yang memungkinkan kami untuk mencegat sebagian lalu lintas DNS dinamis di seluruh dunia melalui penyedia DNS terkelola seperti Amazon dan Google,” jelas Tamari dalam sebuah posting blog. “Pada dasarnya, kami ‘menyadap’ lalu lintas jaringan internal dari 15.000 organisasi (termasuk perusahaan Fortune 500 dan lembaga pemerintah) dan jutaan perangkat.”

Tamari dan Luttwak menemukan berbagai data sensitif selama percobaan mereka, termasuk nama komputer, nama karyawan, lokasi kantor, dan informasi tentang sumber daya web organisasi yang terbuka. Misalnya, mereka mengklaim telah mengidentifikasi perusahaan yang tampaknya melanggar sanksi perdagangan AS. Musuh jahat dapat menggunakan data ini untuk membantu meluncurkan serangan jaringan.

Menurut Tamari, Amazon dan Google telah memperbaiki masalah ini di layanan DNS masing-masing, tetapi penyedia layanan DNS lainnya mungkin masih rentan. Para peneliti mengatakan tiga dari enam penyedia DNS-as-a-service yang mereka temukan rentan.

Selengkapnya: The Register