News 394 - Naga Cyber Defense

Tema dan plugin bajakan adalah ancaman paling luas bagi situs WordPress

January 29, 2021 by Winnie the Pooh

Tema dan plugin bajakan (alias nulled) adalah sumber infeksi malware paling umum di situs WordPress pada tahun 2020, menurut Wordfence, penyedia solusi firewall aplikasi situs web (WAF) untuk situs WordPress.

Perusahaan keamanan tersebut mengatakan pemindai malware-nya mendeteksi lebih dari 70 juta file berbahaya di lebih dari 1,2 juta situs WordPress pada tahun 2020.

Dari 206.000 situs ini, 154.928 terinfeksi dengan versi malware WP-VCD, jenis malware WordPress yang dikenal karena penggunaan tema bajakan / nulled untuk distribusi.

Wordfence mengatakan operasi malware khusus ini sangat sukses tahun lalu sehingga menyumbang 13% dari semua situs yang terinfeksi pada tahun 2020.

Situs yang sah juga diserang dan terinfeksi. Metode lain di mana situs-situs ini diretas termasuk serangan brute force terhadap formulir login dan penggunaan kode eksploitasi yang memanfaatkan kerentanan yang belum ditambal.

Serangan ini berasal dari 57 juta alamat IP yang berbeda — kemungkinan besar bagian dari botnet serangan dan jaringan proxy — dan berjumlah 2.800 upaya login berbahaya per detik terhadap pelanggan Wordfence.

Untuk mengurangi serangan ini, Wordfence merekomendasikan agar pemilik situs memasang WAF atau mengaktifkan solusi autentikasi dua faktor untuk akun mereka.

Upaya eksploitasi lain juga mengandalkan injeksi SQL, bug eksekusi kode jarak jauh, masalah skrip lintas situs, atau bypass autentikasi, kata Wordfence.

Sumber: ZDNet

Badan Kejahatan Nasional memperingatkan pedagang pemula dan veteran sama-sama meningkat dalam penipuan perusahaan klon

January 29, 2021 by Winnie the Pooh

Pada hari Rabu, Badan Kejahatan Nasional (NCA) Inggris dan Otoritas Perilaku Keuangan (FCA) mengeluarkan peringatan kepada publik tentang penipuan “perusahaan kloning” yang tampaknya tidak hanya mengklaim investor pemula tetapi juga pemain veteran di pasar.

FCA mengatakan bahwa bentuk penipuan ini sedang meningkat, dengan peningkatan tingkat yang dilaporkan sejak Inggris melakukan lockdown pertama selama Maret 2020.

Secara total, investor telah kehilangan lebih dari £78 juta ($107 juta), angka yang kemungkinan akan terus meningkat. Kerugian rata-rata dilaporkan sebagai £45.242 per korban, menurut penelitian Action Fraud.

Penipuan investasi perusahaan klon melampaui email phishing biasa atau tautan media sosial yang meragukan yang menjanjikan pengembalian langsung atas uang Anda. Penipu menggunakan nama, alamat, dan Nomor Referensi Perusahaan (FRN) yang sama yang dikeluarkan untuk perusahaan investasi resmi oleh FCA dan kemudian selama phishing, media sosial, dan pesan cold-call, mereka mengirimkan materi penjualan yang berisi tautan ke situs web perusahaan yang sah.

Namun, penyamaran hanya berlaku sejauh ini: begitu kepercayaan terbentuk, investor tertipu untuk berpisah dengan dana yang ditujukan untuk perusahaan yang sah, hanya agar uang mereka langsung masuk ke pundi-pundi penipu.

Selengkapnya: ZDNet

519 pemberitahuan pelanggaran data termasuk 33 dari entitas pemerintah Australia

January 29, 2021 by Winnie the Pooh

Entitas Australia yang dicakup oleh Privacy Act melaporkan 519 kasus pelanggaran data dalam enam bulan hingga Desember 2020, meningkat 5% dari paruh pertama tahun ini.

Pemberitahuan pelanggaran data ke Kantor Komisaris Informasi Australia (OAIC) menjadi wajib di bawah skema Notifiable Data Breaches (NDB) pada Februari 2018.

Sejak mandat tersebut, kesehatan telah menjadi sektor yang paling terpengaruh; Laporan terbaru tidak menunjukkan perubahan, dengan perhitungan kesehatan sebanyak 123 pemberitahuan, diikuti oleh bagian keuangan dengan 83 pemberitahuan. Pemerintah Australia memasuki lima sektor teratas untuk pertama kalinya, terhitung 6% dari total, dengan 33 pemberitahuan.

Menggali lebih dalam tentang kecerobohan pemerintah, kesalahan manusia adalah penyebab dari 29 dari total pemberitahuan sektor, dua berasal dari serangan jahat atau kriminal, satu dikaitkan dengan “insiden siber”, dan yang lainnya disebabkan rekayasa sosial/peniruan identitas.

“Insiden siber” dikonfirmasi sebagai serangan brute force pada entitas yang tidak disebutkan namanya.

Jenis kesalahan manusia yang paling umum disalahkan atas pemberitahuan pemerintah adalah informasi pribadi yang dikirim ke penerima yang salah. Kegagalan untuk menyunting adalah penyebab lima pemberitahuan.

Selengkapnya: ZDNet

Pihak berwenang berencana untuk menghapus Emotet secara massal dari host yang terinfeksi pada 25 April 2021

January 29, 2021 by Winnie the Pooh

Petugas penegak hukum di Belanda sedang dalam proses mengirimkan pembaruan Emotet yang akan menghapus malware dari semua komputer yang terinfeksi pada 25 April 2021.

Pembaruan ini terjadi setelah lembaga penegak hukum dari delapan negara mengatur penghapusan terkoordinasi minggu ini untuk menyita server dan menangkap individu di belakang Emotet, yang dianggap sebagai botnet malware terbesar saat ini.

Sementara server terletak di beberapa negara, pejabat Belanda mengatakan bahwa dua dari tiga server komando dan kendali utama (C&C) Emotet terletak di dalam perbatasannya.

Pejabat polisi Belanda mengatakan bahwa mereka menggunakan akses mereka ke dua server penting ini untuk menyebarkan pembaruan Emotet yang di-boobytrap ke semua host yang terinfeksi.

Menurut laporan publik, juga dikonfirmasi oleh ZDNet dengan dua firma keamanan siber yang secara historis melacak operasi Emotet, pembaruan ini berisi kode seperti bom waktu yang akan menghapus malware Emotet pada 25 April 2021, pada pukul 12:00, waktu lokal setiap komputer.

Selengkapnya: ZDNet

Italy CERT Memperingatkan adanya Kredensial Baru yang Mencuri Malware Android

January 29, 2021 by Winnie the Pooh

Para peneliti telah mengungkap keluarga baru malware Android yang menyalahgunakan layanan aksesibilitas di perangkat untuk membajak kredensial pengguna dan merekam audio dan video.

Dijuluki “Oscorp” oleh CERT-AGID Italia dan ditemukan oleh AddressIntel, malware “mendorong pengguna untuk menginstal layanan aksesibilitas yang dengannya [penyerang] dapat membaca apa yang ada dan apa yang diketik di layar.”

Dinamakan demikian karena judul halaman login dari server command-and-control (C2), APK berbahaya (disebut “Assistenzaclienti.apk” atau “Perlindungan Pelanggan”) didistribusikan melalui domain bernama “supportoapp [.] Com , “yang setelah penginstalan, meminta izin mengganggu untuk mengaktifkan layanan aksesibilitas dan menjalin komunikasi dengan server C2 untuk mengambil perintah tambahan.

Selain itu, malware berulang kali membuka kembali layar Pengaturan setiap delapan detik hingga pengguna mengaktifkan izin untuk aksesibilitas dan statistik penggunaan perangkat, sehingga menekan pengguna agar memberikan hak istimewa ekstra.

Setelah akses diberikan, malware mengeksploitasi izin untuk mencatat penekanan tombol, mencopot aplikasi di perangkat, melakukan panggilan, mengirim pesan SMS, mencuri cryptocurrency dengan mengarahkan pembayaran yang dilakukan melalui aplikasi Dompet Blockchain.com, dan mengakses kode otentikasi dua faktor dari Google Aplikasi Authenticator.

Pada langkah terakhir, malware mengeksfiltrasi data yang diambil – bersama dengan informasi sistem (misalnya, aplikasi yang diinstal, model ponsel, operator) – ke server C2, selain mengambil perintah dari server yang memungkinkannya meluncurkan aplikasi Google Authenticator , mencuri pesan SMS, menghapus aplikasi, meluncurkan URL tertentu, dan merekam audio dan video layar melalui WebRTC.

selengkapnya : TheHackerNews

Alat kejahatan dunia maya baru dapat membuat halaman phishing secara real-time

January 29, 2021 by Winnie the Pooh

Grup kejahatan dunia maya telah mengembangkan perangkat phishing baru yang mengubah logo dan teks pada halaman phishing secara real-time untuk beradaptasi dengan korban yang ditargetkan.

Dinamakan LogoKit, alat phishing ini sudah digunakan di alam liar, menurut firma intelijen ancaman RiskIQ, yang telah melacak evolusinya.

Perusahaan mengatakan telah mengidentifikasi penginstalan LogoKit di lebih dari 300 domain selama seminggu terakhir dan lebih dari 700 situs selama sebulan terakhir.

Perusahaan keamanan mengatakan LogoKit mengandalkan pengiriman tautan phishing yang berisi alamat email mereka kepada pengguna.

“Setelah korban menavigasi ke URL, LogoKit mengambil logo perusahaan dari layanan pihak ketiga, seperti Clearbit atau database favicon Google,” kata peneliti keamanan RiskIQ Adam Castleman dalam sebuah laporan pada hari Rabu.

“Email korban juga otomatis terisi ke kolom email atau nama pengguna, mengelabui korban agar merasa seperti sebelumnya telah masuk ke situs,” tambahnya.

selengkapnya : ZDNET

Bot Telegram Menjual Info Pengguna Facebook yang Dicuri seharga $ 20 per Pop

January 28, 2021 by Winnie the Pooh

Nomor telepon (dan ID situs terkait) dari sekitar 500 juta pengguna Facebook sekarang tampaknya dijual di forum kejahatan siber.

Penjahat atau sekelompok penjahat yang bertanggung jawab telah membangun bot Telegram untuk bertindak sebagai fungsi pencarian data.

Calon pembeli kini dapat menggunakan bot untuk menyaring data guna menemukan nomor telepon yang sesuai dengan ID pengguna — atau sebaliknya — dengan informasi lengkap dibuka kuncinya setelah membayar kueri “kredit”. Kredit tersebut mulai dari $20 untuk satu pencarian dan menjadi lebih murah jika dibeli dalam jumlah besar.

Aktivitas tersebut ditemukan oleh Alon Gal, salah satu pendiri dan CTO perusahaan keamanan siber Hudson Rock, yang memposting tentang skema tersebut di akun Twitter-nya, dan dilaporkan oleh Joseph Cox, di Motherboard.

In early 2020 a vulnerability that enabled seeing the phone number linked to every Facebook account was exploited, creating a database containing the information 533m users across all countries.

It was severely under-reported and today the database became much more worrisome 1/2 pic.twitter.com/ryQ5HuF1Cm

— Alon Gal (Under the Breach) (@UnderTheBreach) January 14, 2021

Sumber: Gizmodo

Bot China memiliki peran kunci dalam video pemungutan suara yang dibantah yang dibagikan oleh Eric Trump

January 28, 2021 by Winnie the Pooh

Jaringan bot China memainkan peran kunci dalam menyebarkan disinformasi selama dan setelah pemilu AS, termasuk video “pembakaran surat suara” yang dibantah yang dibagikan oleh Eric Trump, sebuah studi baru mengungkapkan.

Video menyesatkan tersebut menunjukkan seorang pria yang merekam dirinya sendiri di Pantai Virginia, diduga membakar suara untuk Donald Trump. Surat suara sebenarnya adalah sampel. Klip itu menjadi viral setelah putra Trump, Eric, mempostingnya sehari kemudian di halaman Twitter resminya, di mana video itu ditonton lebih dari 1,2 juta kali.

Video tersebut diyakini berasal dari akun yang terkait dengan teori konspirasi QAnon. Tetapi studi oleh Universitas Cardiff menemukan dua akun terkait China telah membagikan video tersebut sebelum ini. Twitter sejak itu menangguhkan salah satunya.

selengkapnya :TheGuardian

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings