Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Spammer Menyelundupkan LokiBot Melalui Taktik Obfuscation URL

by

Pelaku spam mulai menggunakan teknik penyamaran URL rumit untuk menghindari deteksi – dan pada akhirnya menginfeksi korban dengan trojan LokiBot.

Taktik itu ditemukan dalam email spear-phishing baru-baru ini dengan lampiran PowerPoint, yang berisi makro berbahaya.

Saat file PowerPoint dibuka, dokumen mencoba mengakses URL melalui binary Windows (mshta.exe), dan ini menyebabkan berbagai malware diinstal ke sistem.

Proses ini bukan hal baru untuk pengunduh makro. Namun, karena domain yang terkait dengan kampanye telah diketahui menghosting file dan data berbahaya, penyerang menggunakan serangan semantik unik pada URL kampanye untuk mengelabui penerima email dan menghindari dideteksi oleh email dan AV.

Serangan URL semantik adalah ketika klien secara manual menyesuaikan parameter permintaannya dengan mempertahankan sintaks URL – tetapi mengubah arti semantiknya.

Email berbahaya yang diamati oleh peneliti berjudul: “URGENT: REQUEST FOR OFFER (University of Auckland)” dan PowerPoint terlampir berjudul “Request For Offer.”

Para spammer di balik serangan ini telah menerobos salah satu komponen skema URI yang disebut komponen Authority, yang memegang bagian informasi pengguna opsional.

Contoh dari struktur Authority ini adalah sebagai berikut: otoritas=[userinfo @]host[:port].

Karena “userinfo” tidak umum digunakan, kadang-kadang diabaikan oleh server, kata peneliti. Dalam kampanye khusus ini, penyerang memanfaatkan fakta ini, memanfaatkan apa yang oleh peneliti disebut sebagai userinfo “dummy” untuk menyembunyikan maksud sebenarnya.

Dalam kampanye khusus ini, URL yang digunakan (j [.] Mp / kassaasdskdd) sebenarnya menggunakan layanan pemendekan URL Bit.ly dan mengarah ke Pastebin. Untuk menghindari deteksi, penyerang berulang kali menggunakan string pendek acak (“% 909123id”) di bagian userinfo di URL mereka.

“Aktor siber mencoba membuat domain tidak terlalu mencolok namun tetap sesuai dengan sintaks URI generik,” kata peneliti.

Credit: Trustwave

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Bagaimana geng malware Cina menipu pengguna Facebook

by

Pada konferensi keamanan Virus Bulletin 2020, anggota tim keamanan Facebook telah mengungkapkan detail mengenai salah satu operasi malware paling canggih yang pernah menargetkan pengguna Facebook.

Dikenal sebagai SilentFade, geng malware ini aktif antara akhir 2018 dan Februari 2019, ketika tim keamanan Facebook mendeteksi keberadaan mereka dan turun tangan untuk menghentikan serangan mereka.

SilentFade menggunakan kombinasi trojan Windows, injeksi browser, scripting cerdik, dan bug di platform Facebook, menunjukkan modus operandi canggih yang jarang terlihat dengan geng malware yang menargetkan platform Facebook.

Tujuan operasi SilentFade adalah untuk menginfeksi pengguna dengan trojan, membajak browser pengguna, dan mencuri kata sandi dan cookie browser sehingga mereka dapat mengakses akun Facebook.

Setelah memiliki akses, grup tersebut menelusuri akun yang memiliki jenis metode pembayaran apa pun yang dilampirkan ke profil mereka. Untuk akun ini, SilentFade membeli iklan Facebook dengan dana korban.

Meskipun beroperasi hanya selama beberapa bulan, Facebook mengatakan grup tersebut berhasil menipu pengguna yang terinfeksi lebih dari $4 juta, yang mereka gunakan untuk memposting iklan Facebook berbahaya di seluruh jejaring sosial.

Geng malware ini menyebarkan versi modern SilentFade dengan menggabungkannya dengan perangkat lunak resmi yang mereka tawarkan untuk diunduh secara online.

Setelah pengguna terinfeksi, trojan SilentFade akan mengambil kendali atas komputer Windows korban, namun alih-alih menyalahgunakan sistem untuk operasi yang lebih mengganggu, malware hanya mengganti file DLL yang sah di dalam instalasi browser dengan versi jahat dari DLL yang sama yang memungkinkan geng SilentFade untuk mengontrol browser.

Browser yang ditargetkan termasuk Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa, dan Browser Yandex.

Facebook juga mengatakan SilentFade adalah bagian dari tren yang lebih besar dan generasi baru pelaku kejahatan siber yang tampaknya tinggal di China dan terus-menerus menargetkan platformnya.

Berita selengkapnya dapat dilihat di tautan di bawah ini;
Source: ZDNet

GitHub meluncurkan fitur keamanan baru bernama Code Scanning untuk semua pengguna

by Leave a Comment

Situs web hosting kode GitHub telah meluncurkan fitur keamanan baru bernama Code Scanning untuk semua pengguna, baik di akun berbayar maupun gratis.

GitHub mengatakan fitur Code Scanning yang baru “membantu mencegah kerentanan mencapai produksi dengan menganalisis setiap permintaan pull, commit, dan merge — mengenali kode yang rentan segera setelah dibuat”.

Setelah kerentanan terdeteksi, Code Scanning bekerja dengan meminta pengembang untuk merevisi kode mereka.

Code Scanning berfungsi di atas CodeQL, teknologi yang diintegrasikan GitHub ke dalam platformnya setelah memperoleh platform analisis kode Semmle pada September 2019.

Untuk mengkonfigurasi Code Scanning, pengguna harus mengunjungi tab “Keamanan” di setiap repositori yang mereka inginkan agar fitur tersebut diaktifkan.

Di sini, pengembang akan diminta untuk mengaktifkan kueri CodeQL yang mereka inginkan untuk digunakan GitHub untuk memindai kode sumber mereka.

Baca berita lebih lanjut pada tautan di bawah ini;
Source: ZDNet

Varian Spyware Android Mengintai di WhatsApp dan Telegram

by

Para peneliti mengatakan mereka telah menemukan varian spyware Android baru dengan strategi komunikasi perintah-dan-kontrol yang diperbarui dan kemampuan pengawasan yang diperluas yang dapat mengintip aplikasi media sosial WhatsApp dan Telegram.

Malware, Android/SpyC32.A, saat ini sedang digunakan dalam kampanye aktif yang menargetkan korban di Timur Tengah oleh kelompok ancaman APT-C-23 (juga dikenal sebagai Two-Tailed Scorpion dan Desert Scorpion).

Versi yang diperbarui, Android/SpyC23.A, telah ada sejak Mei 2019 dan pertama kali terdeteksi oleh para peneliti pada Juni 2020.

Versi terdokumentasi sebelumnya dari spyware ini memiliki berbagai kemampuan, termasuk kemampuan untuk mengambil gambar, merekam audio, mengeluarkan log panggilan, pesan SMS dan kontak, dan banyak lagi. Mereka akan melakukannya dengan meminta sejumlah izin invasif, menggunakan teknik mirip manipulasi psikologis untuk menipu pengguna yang tidak berpengalaman secara teknis.

Versi terbaru ini memiliki kemampuan pengawasan yang lebih luas, khususnya menargetkan informasi yang dikumpulkan dari media sosial dan aplikasi perpesanan. Spyware ini sekarang mampu merekam layar korban dan mengambil tangkapan layar, merekam panggilan masuk dan keluar di WhatsApp dan membaca teks pemberitahuan dari aplikasi media sosial, termasuk WhatsApp, Facebook, Skype dan Messenger.

Untuk menghindari menjadi korban spyware, peneliti menyarankan pengguna Android untuk hanya menginstal aplikasi dari toko aplikasi Google Play resmi dan untuk memeriksa izin aplikasi.

“Pada kasus dimana privasi, masalah akses, atau batasan lain yang menghalangi pengguna untuk mengikuti saran ini, pengguna harus lebih berhati-hati saat mengunduh aplikasi dari sumber tidak resmi,” kata peneliti.

“Kami merekomendasikan untuk memeriksa pengembang aplikasi, memeriksa ulang izin yang diminta, dan menggunakan solusi keamanan seluler yang tepercaya dan mutakhir.”

Naga Cyber Defense memiliki layanan mobile protection yang dapat melindungi Anda dari spyware. Hubungi kami atau cek daftar layanan kami untuk lebih datailnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Phishing menggunakan OAuth meningkat dengan Serangan Microsoft Office 365

by

APT yang dikenal sebagai TA2552 telah terlihat menggunakan OAuth2 atau metode otorisasi berbasis token lainnya untuk mengakses akun Office 365, dengan tujuan mencuri kontak dan email pengguna.

OAuth adalah standar terbuka untuk delegasi akses, biasanya digunakan sebagai cara bagi orang untuk masuk ke layanan tanpa memasukkan sandi – menggunakan status masuk di layanan atau situs web tepercaya lainnya. Contohnya seperti “Sign in with Google” atau “Sign in with Facebook”.

Menurut peneliti dari Proofpoint, target menerima umpan yang dibuat dengan baik yang meminta mereka untuk mengklik tautan yang membawa mereka ke halaman persetujuan aplikasi pihak ketiga Microsoft yang sah.

Di sana, mereka diminta untuk memberikan izin hanya-baca ke aplikasi pihak ketiga (berbahaya) yang menyamar sebagai aplikasi organisasi nyata.

Aplikasi berbahaya meminta akses hanya baca ke kontak, profil, dan email pengguna – semuanya dapat digunakan untuk mengintip akun, diam-diam mencuri data, atau bahkan mencegat pesan reset password dari akun lain, seperti perbankan online.

Peneliti Proofpoint menambahkan bahwa pengguna harus mengetahui izin yang diminta ini, dan semua aplikasi pihak ketiga lainnya.

Jika persetujuan diberikan, aplikasi pihak ketiga akan diizinkan untuk mengakses akun Office 365 yang saat ini diautentikasi. Jika persetujuan ditolak, browser akan dialihkan ke halaman yang dikendalikan penyerang, memberikan aktor kesempatan untuk mencoba lagi dengan taktik yang berbeda.

Proofpoint menambahkan bahwa meskipun pesan bertema pajak dan pemerintah Meksiko adalah target spoofing normal untuk kampanye tersebut, peneliti juga mengamati iming-iming dan aplikasi yang meniru Netflix Mexico dan Amazon Prime Mexico.

Pengguna dapat melindungi diri mereka dengan memastikan bahwa aplikasi apa pun yang mereka masuki benar-benar sah. Mereka juga dapat menerapkan strategi kesadaran phishing dasar, seperti mencari ejaan dan tata bahasa yang buruk pada email. Selain itu, nama aplikasi dan URL domain dapat memberikan tanda bahaya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Cisco Mengeluarkan Patch Untuk 2 Kerentanan IOS XR Tingkat Tinggi di Bawah Serangan Aktif

by

Cisco telah merilis tambalan keamanan untuk dua kerentanan tingkat tinggi yang mempengaruhi perangkat lunak IOS XR-nya yang ditemukan sedang dieksploitasi sebulan lalu.

Dilacak sebagai CVE-2020-3566 dan CVE-2020-3569, detail untuk kerentanan DoS zero-day yang tidak diautentikasi dipublikasikan oleh Cisco akhir bulan lalu ketika perusahaan menemukan peretas secara aktif mengeksploitasi Perangkat Lunak Cisco IOS XR yang diinstal pada berbagai router tingkat operator dan pusat data Cisco.

“Kerentanan ini memengaruhi semua perangkat Cisco yang menjalankan rilis apa pun dari Perangkat Lunak Cisco IOS XR jika antarmuka aktif dikonfigurasi di bawah perutean multicast dan menerima lalu lintas DVMRP,” kata Cisco dalam sebuah advisory.

Eksploitasi yang berhasil dapat memungkinkan peretas jarak jauh yang tidak diautentikasi untuk mengirim paket IGMP yang dibuat khusus ke perangkat yang terpengaruh untuk segera merusak proses IGMP atau menghabiskan memori proses dan akhirnya crash.

Pelanggan Cisco sangat disarankan untuk memastikan bahwa mereka menjalankan rilis Perangkat Lunak Cisco IOS XR terbaru sebelum 6.6.3 dan Perangkat Lunak Cisco IOS XR rilis 6.6.3 dan yang lebih baru.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Hacker News

Simulasi Phishing yang tidak tepat merusak pengalaman karyawan

by

Tribune Publishing Company, penerbit surat kabar seperti Chicago Tribune dan The Baltimore Sun, melakukan simulasi phishing yang tidak tepat waktu.

Email tersebut menawarkan bonus yang ditargetkan sebesar $5.000 hingga $10.000 kepada staf yang tersisa yang telah selamat dari gelombang pemecatan dan pemotongan gaji yang dipicu pandemi.

Pengguna diminta untuk masuk untuk melihat bonus yang dijanjikan, dan saat melakukannya, mereka akan diberi peringatan tentang bagaimana mereka baru saja gagal dalam tes simulasi phishing.

Kesalahan langkah yang mungkin tidak disengaja ini mengakibatkan pengalaman negatif bagi semua yang terlibat:

  • Karyawan yang sudah kesulitan mendapat tamparan ekstra di wajah dengan phish.
  • Brand organisasi terpukul. Bagaimana Anda memperlakukan karyawan Anda mendefinisikan brand dan nilai-nilai Anda sebagai sebuah organisasi.
  • Citra vendor tercoreng, meski mengambil langkah-langkah untuk mencegah risiko ini.
  • Reputasi keamanan yang sudah ternoda menghadapi lebih banyak hal negatif.

Perbedaannya adalah bahwa penyerang tidak memiliki kewajiban untuk memperlakukan karyawan di organisasi Anda dengan rasa hormat dan empati – namun program keamanan Anda harus. Kesadaran keamanan dan program pelatihan Anda (termasuk simulasi phishing) adalah wajah Anda bagi organisasi.

Secara jelas menyampaikan tujuan mengenai contoh yang Anda gunakan untuk simulasi Anda dan pertimbangkan beberapa hal ini:

  • Apa dampak potensial dari simulasi ini terhadap kesehatan mental karyawan?
  • Apakah simulasi ini realistis, perlu, dan empatik?
  • Bagaimana nada simulasi dianggap oleh karyawan?
  • Apakah ini menguntungkan manusia di sisi lain?
  • Apakah saya sombong dan bermain-main dengan karyawan, atau apakah saya benar-benar mencoba mengubah perilaku mereka?
  • Apakah ada cara lain untuk menyampaikan pesan ini?

Pendidikan dan rasa malu bukanlah sinonim. Anda mungkin memenangkan pertempuran, tetapi perang jauh lebih besar.

Berita selengkapnya;
Source: ZDNet

Blackbaud: Geng ransomware yang memiliki akses ke info perbankan dan kata sandi

by

Blackbaud, penyedia software cloud terkemuka, mengonfirmasikan bahwa pelaku ancaman di balik serangan ransomware Mei 2020 memiliki akses ke informasi login dan perbankan yang tidak terenkripsi, serta nomor jaminan sosial.

Insiden keamanan yang dirujuk Blackbaud diungkapkan dalam siaran pers yang dikeluarkan pada 16 Juli 2020, ketika perusahaan mengatakan bahwa para penyerang diblokir sebelum sistem dienkripsi sepenuhnya tetapi tidak sebelum mereka dapat mencuri “salinan subset data” dari lingkungan self-hosted (cloud pribadi).

Sementara Blackbaud awalnya mengatakan bahwa geng ransomware di balik serangan itu tidak dapat “mengakses informasi kartu kredit, informasi rekening bank, atau nomor jaminan sosial,” kemudian ditemukan setelah penyelidikan forensik bahwa pelaku ancaman memiliki akses ke info perbankan yang tidak terenkripsi, kredensial dan SSN.

“Setelah 16 Juli, penyelidikan forensik lebih lanjut menemukan bahwa untuk beberapa pelanggan yang diberitahu, penjahat siber mungkin telah mengakses beberapa bidang tidak terenkripsi yang dimaksudkan untuk informasi rekening bank, nomor jaminan sosial, nama pengguna dan / atau kata sandi,” kata Blackbaud.

“Pelanggan yang kami yakini menggunakan bidang ini untuk informasi semacam itu akan dihubungi minggu tanggal 27 September 2020, dan sedang diberikan dukungan tambahan.”

Tergantung pada geng ransomware yang mencuri data Blackbaud, kesediaannya untuk benar-benar menghancurkannya, dan apa yang akan dilakukannya dengan data tersebut jika tidak benar-benar dihancurkan seperti yang dijanjikan, pelanggan perusahaan mungkin menghadapi berbagai macam risiko keamanan mengingat sifat informasi yang bocor sangat sensitif.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer