Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

OBLIQUERAT – MALWARE BARU YANG MENARGET ORGANISASI PEMERINTAH DI KAWASAN ASIA TENGGARA

by

Kampanye malware baru yang dijuluki ObliqueRAT menggunakan dokumen Microsoft Office berbahaya untuk menargetkan organisasi pemerintah di Asia Tenggara.

Para peneliti percaya bahwa kampanye ObliqueRAT terkait dengan kampanye CrimsonRAT karena mereka menggunakan maldocs dan makro yang sama.

Dalam kampanye ini, penyerang menggunakan pesan Email phishing dengan dokumen Microsoft Office yang dipersenjatai untuk mengirimkan malware ObliqueRAT.

Cara Kerja ObliqueRAT

Malware sampai ke perangkat kita dalam bentuk dokumen Microsoft Word yang telah dimanipulasi, dengan nama file “Company-Terms.doc & DOT_JD_GM.doc”.

Jika kita membuka dokumen ini, akan muncul permintaan kata sandi untuk melihat konten dokumen. Setelah kata sandi yang benar dimasukkan, skrip VB dalam dokumen berbahaya akan diaktifkan.

Kemampuan Malware ObliqueRAT

  1. Mampu menjalankan perintah pada sistem yang terinfeksi
  2. Exfiltrate file dari komputer
  3. Penyerang dapat menambahkan file kedalam sitem
  4. Mampu menghentikan proses yang berjalan

Berita selengkapnya, silahkan kunjungi tautan dibawah ini;

Source: gbhackers Cisco

Google Mengonfirmasi ‘Ancaman’ Keamanan Bersembunyi Di Play Store: Hapus 12 Aplikasi Ini Sekarang

by

Laporan baru dari Perusahaan Keamanan Check Point mengatakan bahwa mereka telah menemukan keluarga malware clicker baru bernama Haken, bersama dengan sampel segar dari keluarga malware Joker di Google Play.

 

Kampanye Haken baru saja dimulai di Google Play. Dengan 8 aplikasi jahat, dan sudah diunduh lebih dari 50.000 unduhan, clicker bertujuan untuk mendapatkan sebanyak mungkin perangkat untuk menghasilkan keuntungan tidak sah. 

 

Keluarga malware ‘Joker’, awalnya ditemukan pada September 2019, adalah spyware dan dialer premium (membuat pengguna berlangganan ke layanan premium) untuk Android yang ditemukan di Google Play. Masalah nya adalah menghapus aplikasi tersebut tidak membatalkan langganan itu. Dalam beberapa bulan terakhir, Joker terus muncul kembali di Google Play store, beberapa sampel sekaligus.

 

Peneliti di Check Point baru-baru ini menemukan empat sampel Joker tambahan di Google Play, dan telah diunduh 130.000+ kali. Berikut daftar aplikasi nya.

 

Aplikasi-aplikasi yang terinfeksi oleh Joker yang dilaporkan oleh Check Point:

 

  • com.app.reyflow.phote
  • com.race.mely.wpaper
  • com.landscape.camera.plus
  • Com.vailsmsplus

 

Aplikasi-aplikasi yang terinfeksi oleh Haken yang dilaporkan oleh Check Point:

 

  • com.faber.kids.coloring
  • com.haken.compass
  • com.haken.qrcode
  • com.vimotech.fruits.coloring.book
  • com.vimotech.soccer.coloring.book
  • mobi.game.fruit.jump.tower
  • mobi.game.ball.number.shooter
  • Com.vimotech.inongdan

 

Klik pada tautan di bawah ini untuk membaca berita selengkapnya!

Source: Forbes | Check Point

Google Baru Saja Memberi Jutaan Pengguna Alasan Untuk Berhenti Menggunakan Chrome

by

Dalam versi terbaru dari Google Chrome, Chrome 80, Google menambahkan fitur yang memungkinkan pengguna untuk membuat tautan langsung ke kata atau frasa tertentu pada suatu halaman situs. Seorang peneliti dari Brave Security, Peter Snyder, melihat ini sebagai potensi risiko privasi dan khawatir Google menambahkannya terlalu cepat.

 

Bagaimana fitur yang bernama ScrollToTextFragment ini bekerja? Fitur itu membuat link dengan menggunakan format: (https://example.com#:~:text=prefix-,startText,endText,-suffix) dan tidak memerlukan izin dari penulis halaman web untuk melakukannya. Google memberi contoh seperti dibawah ini:

 

“[https://en.wikipedia.org/wiki/Cat#:~:text=On islands, birds can contribute as much as 60% of a cat’s diet] Ini memuat halaman untuk Kucing, menyoroti teks yang ditentukan, dan jika link tersebut di klik mampu membawa pengguna langsung ke teks yang sudah di highlight.”

 

Mengapa fitur ini menjadi ancaman privasi?

Synder mengatakan “Pertimbangkan situasi di mana saya dapat melihat lalu lintas DNS (mis. Jaringan perusahaan), dan saya mengirim tautan ke portal kesehatan perusahaan, dengan [nama sumber] #: ~: text = kanker. Pada tata letak halaman tertentu, saya mungkin dapat [untuk] mengetahui apakah karyawan tersebut menderita kanker dengan mencari sumber yang lebih rendah pada halaman yang diminta.”

 

Klik pada tautan di bawah ini untuk membaca berita selengkapnya!

Source: Forbes

Emotet menggunakan pesan SMS untuk menyebarkan malware dan mencuri Informasi bank korban

by

Emotet telah berkembang pesat sejak mereka kembali pada bulan September tahun lalu. Minggu lalu peneliti telah menemukan bahwa fitur baru Emotet memungkinkan peretas untuk meretas WIFI dan menyebarkan malware nya seperti worm. Baru-baru ini, Emotet ditemukan menyebarkan malware melalui pesan SMS (smishing). 

 

Bermula dari pesan SMS yang mengaku dari nomor lokal AS dan menyamar sebagai staff dari salah satu bank, pesan itu berisi peringatan untuk pengguna bahwa akun bank nya telah terkunci. Mendesak pengguna untuk klik pada link di dalam pesan tersebut yang sebenarnya menuju ke sebuah domain yang terkenal untuk mendistribusikan Emotet (shabon[.]co). 

 

Halaman dari link tersebut didesain untuk membujuk korban untuk memasukkan informasi akun mereka (seperti email & password) dan meminta mereka mengunduh dokumen yang berisi macro jahat untuk step kedua.

 

Klik pada link dibawah untuk membaca berita selengkapnya!

Source: Threat Post

Beberapa jenis data yang dijual di Dark Web

by

Perusahaan Cybersecurity Sixgill, yang menemukan bahwa info kartu kredit curian telah meningkat secara drastis di Dark Web baru-baru ini, berbagi gambaran pasar dengan Yahoo Finance, mereka menunjukkan daftar alat yang digunakan untuk penipuan pada konsumen dan data dump untuk dijual.

 

Sixgill menyoroti dua perangkat yang dijual di Dark Web, skimmer kartu chip EMV dan perangkat skimming untuk mencuri informasi kartu kredit dari alat pompa bensin. Selain itu ada banyak data yang diretas dan siap digunakan yang tersedia di Dark Web. Ada setumpuk data “karyawan bank” dari peretas Rusia, dan database untuk dijual yang berisi email dari “berbagai staf” di satu universitas.

 

Dark Web bukan satu tempat, tetapi beragam situs web reguler dan sudut terpencil dari platform yang sah seperti Telegram, layanan pesan instan Tencent QQ, dan Discord (situs perpesanan yang dirancang untuk komunitas video game).

 

Yahoo finance sudah melampirkan beberapa screen capture dari beberapa iklan di dark web pada link dibawah ini.

Source: Yahoo Finance

Jutaan Sistem Windows Dan Linux Rentan Terhadap Serangan Cyber ‘Tersembunyi’ ini

by

Penelitian baru dari Eclypsium telah mengungkapkan bagaimana firmware yang tidak ditandatangani di kamera laptop, kartu antarmuka jaringan, trackpads, hub USB dan adaptor Wi-Fi membuat jutaan sistem terkena pencurian data dan serangan ransomware. 

 

Firmware yang tidak ditandatangani yang dimaksud ditemukan di periferal yang digunakan di komputer dari Dell, Lenovo dan HP serta produsen besar lainnya, yang membuat pengguna terbuka untuk diserang.

 

Inilah celah keamanan yang ditemukan oleh para peneliti Eclypsium, dan di mana:

  • Lenovo ThinkPad touchpad and trackpad
  • Kamera wide-vision HP di Spectre x360
  • Adaptor nirkabel Dell XPS 15 9560
  • Hub USB Linux dan chipset network interface card Broadcom

 

Klik pada tautan di bawah ini untuk mengetahui celah keamanan tersebut

Source: Forbes

Operator gas alam AS tidak beroperasi selama 2 hari setelah terinfeksi oleh ransomware

by

Departemen Keamanan Dalam Negeri mengatakan pada hari Selasa bahwa sebuah fasilitas gas alam yang berbasis di AS menutup operasi selama dua hari setelah mengalami infeksi ransomware yang menghalangi karyawannya menerima data operasional real-time yang penting dari peralatan kontrol dan komunikasi.

 

Serangan dimulai dengan tautan jahat dalam email phishing yang memungkinkan penyerang untuk mendapatkan akses awal ke jaringan teknologi informasi (TI) organisasi sebelum berputar ke jaringan operasionalnya (OT).

 

Jaringan OT berbeda dari jaringan TI. Ini adalah jaringan dengan workstation untuk mengelola peralatan pabrik yang kritis dan operasi pabrik lainnya. Jaringan TI biasanya didedikasikan untuk pekerjaan kantor dan administrasi lainnya.

 

CISA mengatakan bahwa setelah mendapatkan akses ke jaringan OT, penyerang kemudian menggunakan ransomware komoditas yang mengenkripsi data perusahaan pada jaringan TI dan OT pada saat yang bersamaan, untuk kerusakan maksimum, sebelum meminta pembayaran tebusan. Pada laporan yang diterbitkan pada hari Selasa, tidak disebutkan nama/jenis ransomware tersebut.

 

Klik pada tautan di bawah ini untuk membaca berita lebih lanjut:

Source: Ars Technica | ZDNet | Advisory

Hampir seperempat dari jenis malware sekarang berkomunikasi menggunakan TLS

by

Enkripsi adalah salah satu senjata terkuat yang dapat dimanfaatkan oleh penulis malware. Mereka dapat menggunakannya untuk mengaburkan kode mereka, untuk mencegah pengguna (dalam kasus ransomware) mengakses file mereka, dan untuk mengamankan komunikasi jaringan berbahaya mereka.

 

Pembuat malware mengetahui bahwa lalu lintas yang tidak terenkripsi dapat menarik perhatian lebih karena lebih mudah bagi analis dan alat keamanan untuk mengidentifikasi pola komunikasi berbahaya ketika lalu lintas tidak dienkripsi. Maka dari itu mereka telah menjadikannya prioritas untuk mengadopsi TLS (Transport Layer Security), dengan maksud untuk mengaburkan konten komunikasi berbahaya mereka. 

 

Dalam blog yang diterbitkan pada 18 Februari kemarin, Sophos meninjau sampel representatif dari analisis malware yang telah mereka buat selama enam bulan terakhir. Analisis tersebut mencakup perincian tentang apakah malware terhubung ke satu atau lebih dari satu mesin di internet. 

Baca analisis lebih lengkap pada tautan dibawah ini:

Source: Sophos