News 371 - Naga Cyber Defense

Mulai tahun depan, ekstensi Chrome akan menampilkan data apa yang mereka kumpulkan dari pengguna

November 19, 2020 by Mally

Google mengatakan hari ini pihaknya berencana untuk menambahkan bagian baru di Web Store Chrome di mana pengembang ekstensi akan dapat mengungkapkan data pengguna apa yang mereka kumpulkan dari pengguna dan apa yang akan mereka lakukan dengan informasi tersebut.

Bagian baru ini akan mulai berlaku pada 18 Januari 2021, dan akan muncul sebagai tombol “Praktik privasi” di setiap cantuman Web Store ekstensi. Untuk membantu proses tersebut, Google telah menambahkan bagian baru hari ini di dasbor Web Store di mana pengembang ekstensi akan dapat mengungkapkan data apa yang mereka kumpulkan dari pengguna mereka dan untuk tujuan apa.

sumber : ZDNET

Worm Lama Tapi Teknik Obfuscation Baru

November 19, 2020 by Mally

Kemarin saya menemukan skrip JavaSvript yang menarik yang dikirim melalui kampanye phishing biasa (SHA256: 70c0b9d1c88f082bad6ae01fef653da6266d0693b24e08dcb04156a629dd6f81) dan memiliki skor VT 17/61.

Penyamaran skrip sederhana namun efektif: kode berbahaya didekodekan dan diteruskan ke fungsi eval () untuk dieksekusi. Payload adalah string karakter Unicode yang diubah satu per satu melalui fungsi wrwrwrwererw (). Karakter pertama adalah ‘huruf kapital cyrillic ef’ yang memiliki kode desimal 1060. Karakter yang dikembalikan akan menjadi ‘/’ (kode ASCII 47). Anda tidak perlu mendekode ini secara manual, cukup ganti eval () dengan echo () dan Anda akan mendapatkan skrip yang didekodekan. Mari kita lihat. Skrip baru juga dikaburkan tetapi tetap mudah dibaca.
Worm ini telah digunakan berkali-kali dalam berbagai kampanye dan tampaknya masih aktif sampai sekarang. Server C2 adalah hxxp: // dhanaolaipallets [.] Com: 7974 /.

sumber : SANS.EDU

Firefox: Bagaimana situs web dapat mencuri semua cookie Anda

November 19, 2020 by Mally

Ini adalah tulisan untuk CVE-2020–15647, menjelaskan bagaimana halaman web mampu mencuri file dari perangkat Android Anda, termasuk namun tidak terbatas pada cookie dari situs web yang dikunjungi.

Pada pertengahan tahun 2020, saya mulai memeriksa peramban Android untuk mencari berbagai jenis kerentanan; saat meninjau v68.9.0 dari Firefox untuk Android, saya melihat itu menampilkan perilaku aneh saat menjelajahi konten: // URI. Untuk konteksnya, URI Konten di Android mengidentifikasi data di penyedia konten; mereka dapat mewakili berbagai bentuk informasi, seperti file atau informasi database. Sebagian besar browser mendukung penguraian dan pemrosesan skema URI file: // dan content: //. Jika Anda mencoba membuka file HTML lokal di browser Anda, kemungkinan besar file tersebut akan menggunakan konten: // URI yang dibuat oleh browser file yang Anda gunakan saat membuka file.

sumber : Medium

Malware Chaes menyerang pelanggan platform e-commerce terbesar di Amerika Latin

November 19, 2020 by Mally

Malware yang sebelumnya tidak dikenal telah terdeteksi dalam serangan yang meluas terhadap pelanggan e-commerce di Amerika Latin.

Malware, yang dijuluki Chaes oleh para peneliti Cybereason Nocturnus, digunakan oleh pelaku ancaman di seluruh wilayah LATAM (Latin America) untuk mencuri informasi keuangan.

Dalam sebuah posting blog, tim keamanan siber mengatakan pelanggan Brasil dari perusahaan e-commerce terbesar di kawasan itu, MercadoLivre, adalah fokus dari malware infostealing tersebut.

Pertama kali terdeteksi pada akhir tahun 2020 oleh Cybereason, Chaes disebarkan melalui kampanye phishing, di mana email mengklaim bahwa pembelian di platform MercadoLivre telah berhasil. Untuk mencoba dan meningkatkan tampilan email agar terlihat sah, pelaku ancaman juga menambahkan “dipindai oleh Avast” pada footer.

Pesan tersebut berisi lampiran file .docx berbahaya. Assaf Dahan, Kepala Peneliti di Cybereason, mengatakan kepada ZDNet bahwa lampiran tersebut memanfaatkan “teknik injeksi template, menggunakan fitur bawaan Microsoft Word untuk mengambil muatan dari server jarak jauh.”

Jika korban mengklik file tersebut, kerentanan digunakan untuk membuat sambungan dengan server command-and-control (C2) penyerang, serta mendownload muatan berbahaya pertama, file .msi.

File ini kemudian menyebarkan file .vbs yang digunakan untuk menjalankan proses lain, serta uninstall.dll dan engine.bin, yang keduanya bertindak sebagai “engine” malware. Trio file yang lain – hhc.exe, hha.dll dan chaes1.bin – diinstal yang menyatukan komponen utama Chaes. Modul penambangan cryptocurrency juga dicatat.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Tidak Dapat Membuka Aplikasi di MacOS : Bencana OCSP Menunggu Terjadi

November 19, 2020 by Mally

Dua hari lalu, pengguna macOS mengalami kekhawatiran macet saat membuka aplikasi yang tidak diunduh dari Mac App Store. Banyak pengguna mencurigai masalah perangkat keras dengan perangkat mereka, tetapi saat mereka beralih ke media sosial, mereka menemukan bahwa itu adalah masalah yang tersebar luas. Dan bukan kebetulan bahwa itu terjadi begitu cepat setelah peluncuran macOS “Big Sur”.

Akhirnya, tweet oleh Jeff Johnson menunjukkan masalah yang mendasarinya. Layanan “OCSP Responder” Apple kelebihan beban, oleh karena itu macOS tidak dapat memverifikasi sertifikat kriptografi pengembang aplikasi.

Jika pemeriksaan OCSP Apple dibuat untuk kegagalan kecil, lalu mengapa aplikasi macet saat OCSP Responder turun? Mungkin karena ini sebenarnya kasus kegagalan yang berbeda: OCSP Responder tidak sepenuhnya mati, kinerjanya buruk. Karena beban yang ditambahkan oleh jutaan pengguna di seluruh dunia yang meningkatkan ke macOS “Big Sur”, server Apple melambat hingga merangkak, dan meskipun mereka tidak menjawab pertanyaan OCSP dengan benar, mereka bekerja cukup sehingga soft-fail tidak memicu.

sumber : blog.cryptohack.org

Apple mengizinkan beberapa lalu lintas jaringan Big Sur melewati firewall

November 18, 2020 by Mally

Firewall tidak hanya untuk jaringan perusahaan. Sejumlah besar orang yang sadar keamanan atau privasi juga menggunakannya untuk memfilter atau mengarahkan lalu lintas yang mengalir masuk dan keluar dari komputer mereka. Apple baru-baru ini membuat perubahan besar pada macOS yang menggagalkan upaya ini.

Dimulai dengan macOS Catalina yang dirilis tahun lalu, Apple menambahkan daftar 50 aplikasi dan proses khusus Apple yang dibebaskan dari firewall seperti Little Snitch dan Lulu. Pengecualian tidak berdokumen, yang tidak berlaku sampai firewall ditulis ulang untuk menerapkan perubahan di Big Sur, pertama kali terungkap pada bulan Oktober. Patrick Wardle, seorang peneliti keamanan di Mac dan pengembang perusahaan iOS Jamf, mendokumentasikan lebih lanjut perilaku baru tersebut selama akhir pekan.

Untuk mendemonstrasikan risiko yang menyertai langkah ini, Wardle — mantan peretas untuk NSA — mendemonstrasikan bagaimana pengembang malware dapat mengeksploitasi perubahan tersebut untuk menghentikan langkah keamanan yang sudah terbukti dan benar. Dia mengatur Lulu dan Little Snitch untuk memblokir semua lalu lintas keluar di Mac yang menjalankan Big Sur dan kemudian menjalankan skrip pemrograman kecil yang mengeksploitasi kode berinteraksi dengan salah satu aplikasi yang dikecualikan Apple. Skrip python tidak mengalami kesulitan menjangkau server perintah dan kontrol yang dia siapkan untuk mensimulasikan yang biasa digunakan oleh malware untuk mengekstrak data sensitif.

Baca berita selengkapnya pada tautan berikut:
Sumber: Ars Technica

Peretas dapat menginstal firmware berbahaya pada PC menggunakan bug Intel yang baru saja diperbaiki

November 18, 2020 by Mally

Awal pekan ini, Intel memperbaiki serangkaian bug yang memungkinkan penyerang menginstal firmware berbahaya di jutaan komputer yang menggunakan CPU-nya.

Kerentanan tersebut memungkinkan peretas dengan akses fisik untuk mengganti perlindungan yang dibangun Intel ke dalam CPU modern yang mencegah firmware tidak resmi berjalan selama proses boot. Dikenal sebagai Boot Guard, ukuran ini dirancang untuk menghubungkan rantai kepercayaan langsung ke silikon untuk memastikan bahwa semua firmware yang dimuat ditandatangani secara digital oleh produsen komputer. Boot Guard melindungi dari kemungkinan seseorang merusak chip flash yang tersambung ke SPI yang menyimpan UEFI, yang merupakan bagian rumit dari firmware yang menjembatani firmware perangkat PC dengan sistem operasinya.

Jenis peretasan ini biasanya terjadi ketika penyerang memasang perangkat keras ke bagian dalam komputer dan menggunakan Dediprog atau alat pemrograman chip serupa untuk mengganti firmware resmi dengan firmware berbahaya.

Penyerang yang dapat melewati Boot Guard dapat melakukan sejumlah aktivitas berbahaya. salah satunya mendapatkan kunci yang digunakan untuk mengenkripsi hard drive. Dengan itu, penyerang bisa mendapatkan versi yang didekripsi dari semua data yang disimpan di komputer tanpa memerlukan kata sandi pengguna.

Penyerang juga dapat menginfeksi komputer dengan rootkit, kode berbahaya yang sulit dideteksi — yang akan berjalan dalam mode pengelolaan sistem hingga boot ulang berikutnya. Implan SMM semacam itu adalah jenis yang dilaporkan dimiliki oleh NSA.

Intel tidak mengatakan bagaimana cara memperbaiki kerentanan yang berasal dari pengaturan sekering yang tidak dapat diatur ulang. Hudson mencurigai bahwa Intel melakukan perubahan menggunakan firmware yang berjalan di Intel Management Engine, koprosesor keamanan dan manajemen di dalam chipset CPU yang menangani akses ke sekering OTP.

Source : arstechnica

Peretas yang disponsori oleh Rusia dan Korea Utara menargetkan peneliti COVID-19

November 18, 2020 by Mally

Peretas yang disponsori oleh pemerintah Rusia dan Korea Utara telah menargetkan perusahaan yang terlibat langsung dalam penelitian vaksin dan perawatan untuk COVID-19, dan dalam beberapa kasus, serangan telah berhasil, kata Microsoft pada hari Jumat.

Secara keseluruhan, ada tujuh perusahaan terkemuka yang menjadi target, kata Wakil Presiden Perusahaan Microsoft untuk Keamanan & Kepercayaan Pelanggan Tom Burt. 7 perusahaan tersebut termasuk pembuat vaksin dengan vaksin COVID-19 dalam berbagai tahap uji klinis, organisasi penelitian klinis yang terlibat dalam uji coba, dan pengembang uji COVID-19.

Yang juga menjadi sasaran adalah organisasi dengan kontrak atau investasi dari lembaga pemerintah di seluruh dunia untuk pekerjaan terkait COVID-19. Sasarannya berada di AS, Kanada, Prancis, India, dan Korea Selatan.

Salah satu kelompok penyerang yang terlibat adalah Strontium, sebutan Microsoft untuk peretas yang disponsori oleh pemerintah Rusia. Mereka menggunakan password spraying dan serangan login brute force yang membombardir server dengan sejumlah besar kredensial dengan harapan dapat menebak yang benar.

Dua kelompok lain — dijuluki Zinc dan Cerium — bekerja atas nama pemerintah Korea Utara. Keduanya menggunakan email spear phishing, dengan email dari perekrut pekerjaan fabrikasi Zinc dan email dari Cerium yang menyamar sebagai perwakilan dari Organisasi Kesehatan Dunia (WHO).

Serangan lain, kata Burt, menargetkan rumah sakit di Republik Ceko, Prancis, Spanyol, Thailand, dan AS. Pada bulan September, seorang pasien meninggal setelah serangan ransomware mengalihkannya ke rumah sakit terpencil di Jerman.

Baca berita selengkapnya pada tautan berikut:
Sumber: Ars Technica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings