News 57 - Naga Cyber Defense

Serangan EarSpy Menguping Melaui Sensor Gerak Android

December 28, 2022 by Mally

Sebuah tim peneliti telah mengembangkan serangan penyadapan untuk perangkat Android yang dapat, dalam berbagai tingkatan, mengenali jenis kelamin dan identitas penelepon, dan bahkan membedakan percakapan pribadi.

Dinamakan EarSpy, serangan saluran samping bertujuan untuk mengeksplorasi kemungkinan baru penyadapan melalui penangkapan pembacaan data sensor gerak yang disebabkan oleh gema dari speaker telinga di perangkat seluler.

Sementara jenis serangan ini telah dieksplorasi di pengeras suara smartphone, speaker telinga dianggap terlalu lemah untuk menghasilkan getaran yang cukup untuk risiko penyadapan untuk mengubah serangan saluran samping menjadi serangan yang praktis.

Bukti kemajuan ini ditunjukkan di bawah, di mana earphone OnePlus 3T 2016 hampir tidak terdaftar di spektogram sementara speaker telinga stereo OnePlus 7T 2019 menghasilkan lebih banyak data secara signifikan.

ear speaker kiri ke kanan untuk Oneplus 3T, Oneplus 7T, Oneplus 7T loudspeaker (sumber : arxiv.org.org)

Percobaan dan hasil
Para peneliti menggunakan perangkat OnePlus 7T dan OnePlus 9 dalam percobaan mereka, bersama dengan berbagai rangkaian audio pra-rekaman yang diputar hanya melalui pengeras suara kedua perangkat.

Tim juga menggunakan aplikasi pihak ketiga ‘Physics Toolbox Sensor Suite’ untuk menangkap data akselerometer selama panggilan simulasi dan kemudian memasukkannya ke MATLAB untuk dianalisis dan mengekstrak fitur dari aliran audio.

Algoritme pembelajaran mesin (ML) dilatih menggunakan kumpulan data yang tersedia untuk mengenali konten ucapan, identitas penelepon, dan jenis kelamin.

Hasil pengujian pada OnePlus 7T (arxiv.org)

Keterbatasan dan solusi
Satu hal yang dapat mengurangi kemanjuran serangan EarSpy adalah volume yang dipilih pengguna untuk speaker telinga mereka. Volume yang lebih rendah dapat mencegah penyadapan melalui serangan saluran samping ini dan juga lebih nyaman untuk telinga.

Android 13 telah memperkenalkan batasan dalam mengumpulkan data sensor tanpa izin untuk pengambilan sampel kecepatan data di atas 200 Hz.

Para peneliti menyarankan agar produsen ponsel memastikan tekanan suara tetap stabil selama panggilan dan menempatkan sensor gerak pada posisi di mana getaran yang berasal dari dalam tidak memengaruhinya atau setidaknya memiliki dampak seminimal mungkin.

sumber : bleeping computer

Pusat Panggilan Desi Ilegal Di Balik Kerugian Rs 6.400 Crore Orang Amerika Dalam Penipuan ‘Tech Support’ di 2022

December 27, 2022 by Mally

Penipuan terkait asmara dan pop up ‘tech support’, yang sebagian besar berasal dari call center ilegal dan geng phising di India, telah menyebabkan kerugian lebih dari $3 miliar (Rs 25.000 crore) bagi warga lansia AS yang mudah tertipu dalam dua tahun terakhir sendiri, menurut data FBI. Tren ini bertahan, dengan total uang yang hilang oleh orang Amerika dalam semua penipuan terkait internet/pusat panggilan dalam 11 bulan terakhir diperkirakan mencapai $10,2 miliar, meningkat 47% dibandingkan tahun lalu sebesar $6,9 miliar.

Biro Investigasi Federal (FBI) menugaskan perwakilan tetap di kedutaan besar AS di New Delhi untuk bekerja sama dengan CBI, Interpol dan Polisi Delhi untuk menangkap geng phising dan membekukan uang yang ditransfer melalui kabel dan mata uang kripto ke sindikat yang beroperasi dari tanah India.

Suhel Daud, atase Hukum Kedutaan Besar AS dan Kepala FBI Asia Selatan, mengatakan kepada TOI bahwa penipuan terkait asmara yang dilaporkan di situs web FBI oleh para korban menunjukkan perkiraan kerugian sebesar Rs 8.000 crore dalam 23 bulan sejak tahun 2021. Sebagian besar korban penipuan ini adalah lansia di atas usia 60 tahun.

Kasus ‘tech support’ mengalami peningkatan lebih dari 130% tiap tahunnya dan kembali meningkat 137% pada tahun 2021. Hal ini merugikan orang Amerika sebesar 9.200 crore dalam dua tahun terakhir. Kejahatan ini berasal dari pop-up yang muncul di komputer korban dengan berkedok memberikan dukungan teknis.

Kepala FBI Asia Selatan berbicara tentang peningkatan kerja sama Biro dengan agen-agen India untuk menangkap geng phising ilegal yang telah menempatkan ekonomi terbesar kelima di dunia dalam resiko dicap sebagai pengekspor bersih internet dan penipuan terkait pusat panggilan.

Selengkapnya: THE TIMES OF INDIA

ENLBufferPwn: Kerentanan Kritis Diungkapkan Dalam Game 3DS, Wii U, dan Switch

December 27, 2022 by Mally

Peretas Nintendo, PabloMK7, telah merilis ENLBufferPwn, sebuah eksploit termasuk bukti kode konsep, yang menunjukkan kerentanan kritis di beberapa game pihak pertama Nintendo. Video demo eksploit menunjukkan bahwa Anda dapat mengambil kendali penuh atas konsol target, cukup dengan mengajak mereka bergabung dalam game multipemain.

Game yang terpengaruh termasuk Mario Kart 7, Mario Kart 8, Splatoon 1, 2, 3, Nintendo Switch Sports, dan judul pihak pertama Nintendo lainnya. Kecuali game Switch dan 3DS yang terdaftar, karena telah menerima pembaruan penambalan kerentanan.

Apa itu ENLBufferPwn untuk Nintendo Switch, Wii U, dan 3DS?
ENLBufferPwn adalah kerentanan dalam kode jaringan umum dari beberapa game Nintendo pihak pertama sejak Nintendo 3DS yang memungkinkan penyerang mengeksekusi kode secara remote di konsol korban hanya dengan membawa game online. Kerentanan ini mendapatkan skor 9,8/10 (Kritis) dalam kalkulator CVSS 3.1.

Selama tahun 2021, hal ini banyak ditemukan secara mandiri dan dilaporkan ke Nintendo. Kemudian Nintendo menambal kerentanan di banyak game yang rentan. PabloMK7 menambahkan, apabila dikombinasikan dengan kerentanan OS lainnya, pengambilalihan konsol remote penuh dapat dicapai.

Detail Teknis ENLBufferPwn
Menurut readme eksploit, kerentanan ENLBufferPwn mengeksploitasi buffer overflow di kelas C++ NetworkBuffer yang ada di pustaka jaringan enl (Net di Mario Kart 7) yang digunakan oleh banyak game Nintendo pihak pertama.

Konsekuensi dari buffer overflow bervariasi pada game, dari modifikasi sederhana yang tidak berbahaya, memori game, hingga tindakan yang lebih parah seperti mengambil kendali penuh atas konsol.

Eksploitasi dapat digunakan untuk mengganggu pemain lain di game online, seperti menekan tombol home secara remote pada pengontrol mereka di tengah permainan

Bisakah meretas Nintendo Switch dengan ENLBufferPwn?
Eksploit tidak dapat dengan mudah dimanfaatkan untuk meretas Nintendo Switch karena perlu dirantai dengan kerentanan lain untuk mendapatkan eskalasi hak istimewa, dan sejauh ini tidak ada eksploitasi kernel yang diketahui publik di firmware terbaru.

Fakta bahwa ini mengharuskan untuk bergabung dengan game online, kemungkinan Nintendo memiliki banyak cara untuk mencegah hal ini. Menambal game bukan satu-satunya. Saat eksploitasi tersebut diungkapkan kepada publik, itu sudah mati.

Mengenai 3DS dan Wii U, keduanya dapat diretas dengan cukup mudah, sehingga manfaat peretasan terbatas dalam konteks itu, dari perspektif pengguna akhir.

Selengkapnya: Wololo.net

Layanan PPI PrivateLoader Ditemukan Mendistribusikan Info-Mencuri Malware RisePro

December 27, 2022 by Mally

Layanan pengunduh malware bayar-per-instal (PPI) yang dikenal sebagai PrivateLoader digunakan untuk mendistribusikan malware pencuri informasi yang didokumentasikan sebelumnya yang dijuluki RisePro.

Setelah menemukan beberapa set log yang diekstraksi menggunakan malware di pasar kejahatan dunia maya ilegal, Pasar Rusia, Flashpoint dapat melihat pencuri yang baru diidentifikasi pada 13 Desember lalu.

Malware RisePro dikatakan memiliki kesamaan dengan malware pencuri info lainnya yang disebut sebagai Vidar stealer, merupakan cabang dari pencuri dengan nama kode Arkei yang muncul pada tahun 2018.

Perusahaan Keamanan Siber, SEKOIA, merilis analisisnya terhadap RisePro, mengidentifikasi lebih lanjut sebagian kode sumber tumpang tindih dengan PrivateLoader. Proses identifikasi mencakup mekanisme pengacakan string, metode HTTP dan pengaturan port, dan metode penyamaran pesan HTTP.

PrivateLoader adalah layanan unduhan yang memungkinkan pelanggannya mengirimkan muatan berbahaya ke host target.

Tidak berbeda dengan pencuri lainnya, RisePro mampu mencuri berbagai data dari sebanyak 36 browser web, termasuk cookie, kata sandi, kartu kredit, dompet crypto, serta mengumpulkan file yang menarik dan memuat lebih banyak muatan.

Pengembang malware menyediakan saluran telegram untuk saranapelaku kriminal berinteraksi dengan sistem terinfeksi. Begitu pula dengan RisePro yang juga menawarkan data curiannya di telegram.

Belum diketahui jelas penulis RisePro, entah sekelompok pelaku ancaman yang sama di balik PrivateLoader, dan apakah RisePro dibundel secara eksklusif bersama dengan layanan PPI.

Selengkapnya: The Hacker News

Kalender Google Menyerah, Membuat Acara dari Pesan Gmail Acak

December 26, 2022 by Mally

Pemasar akan senang mengetahui penjualan sepanjang hari mereka benar-benar ada di kalender Anda.

Spam terburuk adalah spam di kalender Google, mengisi jadwal dengan acara acak berdasarkan semua buletin dan konten pemasaran yang diterima. Integrasi licik yang memungkinkan Kalender Google secara otomatis membuat acara berdasarkan pengait tertentu dalam pesan Gmail, menjadi kacau bagi sejumlah pengguna.

Orang-orang telah memposting acara sepanjang hari berdasarkan pesan yang mereka terima melalui Gmail yang juga masuk ke kalender Google. Hal ini mulai bermunculan sejak hari Kamis lalu.

Teman-teman yang bersaing di 9to5Google menyarankan agar pengguna yang mungkin menganggap mematikan integrasi yang berguna untuk saat ini, dapat mengatur setelan acara untuk setiap akun yang dimasuki dengan buka Kalender Google > Setelan > Acara dari Gmail.

Sebagian besar, integrasi Kalender Gmail berguna dalam membuat janji temu dan reservasi yang kemudian secara otomatis membuat sebuah acara disertai detail informasi waktu lokasi dan lainnya.

Tim Google Kalender menyarankan agar pengguna melaporkan peristiwa bermasalah satu per satu. Menurutnya seseorang di Google Workspace hanya perlu menggali lebih dalam dan menemukan satu tombol untuk membalik untuk melepaskan, mengacak-acak, dan mengatasi bug ini.

Selengkapnya: Android Police

Pencuri W4SP Ditemukan di Beberapa Paket PyPI dengan Berbagai Nama

December 26, 2022 by Mally

Pelaku ancaman telah menerbitkan putaran paket berbahaya lainnya ke Python Package Index (PyPI) dengan tujuan mengirimkan malware pencuri informasi pada mesin pengembang yang disusupi.

Perusahaan cybersecurity, Phylum, menemukan bahwa sejumlah malware yang menggunakan nama seperti ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer, dan @skid Stealer, adalah salinan dari W4SP Stealer.

Fungsi utama W4SP Stealer adalah menyedot data pengguna, termasuk kredensial, dompet cryptocurrency, token Discord, dan file menarik lainnya. Dibuat dan diterbitkan oleh seorang aktor yang menggunakan alias BillyV3, BillyTheGoat, dan billythegoat356.

Sekitar Oktober 2022, kampanye pendistribusian W4SP Stelaer sudah memiliki daya tarik. Meskipun terdapat indikasi sudah dimulai sejak pertengahan Agustus 2022. Sejak ini, lusinan paket palsu tambahan yang berisi W4SP Stealer telah diterbitkan di PyPI oleh para pelaku ancaman.

Perusahaan keamanan rantai pasokan perangkat lunak yang mengawasi saluran Discord aktor ancaman, mencatat bahwa paket yang sebelumnya ditandai dengan nama pystyle telah di-trojan oleh BillyTheGoat untuk mendistribusikan si pencuri.

Selain mengumpulkan ribuan unduhan setiap bulan, modul ini juga dimulai sebagai utilitas yang tidak berbahaya pada bulan September 2021 untuk membantu pengguna mendesain keluaran konsol. Modifikasi berbahaya diperkenalkan di versi 2.1 dan 2.2 yang dirilis pada 28 Oktober 2022.

Para peneliti memperingatkan adanya paket yang jinak selama bertahun-tahun bukan berarti dia akan jinak selamanya. Aktor ancaman telah menunjukkan kesabaran dalam membangun paket yang sah, untuk meracuni mereka dengan malware setelah mereka cukup populer.

Selengkapnya: The Hacker News

Seorang Ukraina Mencuri $25.000 Bitcoin dari Pasar Obat Web Gelap Rusia, Memberikannya ke Badan Amal Kyiv

December 26, 2022 by Mally

Seorang Ukraina mengatakan bahwa dia membobol dompet utama pasar obat Solaris dan mengalihkan dananya ke badan amal kemanusiaan Ukraina.

Alex Holden, Pakar Intelijen Dunia Maya, mengatakan bahwa dia dapat mengendalikan sebagian besar infrastruktur internet Solaris, sejumlah akun administrator yang menjalankan pasar gelap, kode sumber situs web, database pengguna, dan lokasi pengantaran untuk pengiriman obat. Timnya juga memiliki kendali atas dompet utama Solaris. Dompet ini digunakan oleh pembeli dan dealer untuk menyetor dan menarik dana, sebagai situs pertukaran cryptocurrency.

Timnya di Hold Security telah meretas salah satu pasar obat online terbesar Rusia, Solaris, dan mengalihkan crypto dealer dan pemilik situs ke badan amal, Enjoying Life, yang menyediakan bantuan kemanusiaan di seluruh Ukraina.

Salah satu pendiri Enjoying Life, Tina Mikhailovskaya, mengonfirmasi bahwa donasi tersebut telah diterima dan semua kontribusi langsung diberikan kepada orang tua, keluarga, dan orang-orang terlantar yang menderita karena perang Rusia.

Penawaran dealer Solaris. Alex Holden, pendiri Hold Security, yakin situs tersebut melakukan ribuan transaksi setiap hari. Alex Holden

Holden juga mengendalikan berbagai bagian pasar tanpa terdeteksi. Menurutnya, hal ini dapat digunakan untuk mengidentifikasi keberadaan penjahat dunia maya Rusia yang menggunakan situs tersebut untuk mendorong operasi mereka.

Koneksi Killnet
Kru peretasan rekan Solaris, Killnet, pada awal tahun muncul menawarkan penghapusan situs web dengan denial of service (DDoS) terdistribusi. Namun Killnet menjadi kru peretas tentara bayaran patriotik setelah Rusia menginvasi Ukraina. Menargetkan Ukraina dan pendukung mereka, situs web bandara AS, Badan Intelijen Geospasial Nasional, dan berbagai situs web pemerintah negara bagian dengan serangan DDoS. D

Dampak serangan tersebut termasuk kecil dibandingkan dengan IT Army Ukraina, yang telah menargetkan berbagai nama besar organisasi Rusia, termasuk Sberbank dan bursa saham Moskow, dengan serangannya sendiri. serangan DDoS.

Sebuah kios obat bertema Natal di Solaris. Alex Holden

Holden ingin sekali menghalangi Killnet, dan infiltrasinya ke Solaris menawarkan satu jalan karena pertukaran tersebut memiliki banyak hubungan dengan grup peretas Rusia.

Kepemimpinan Killnet cukup vokal tentang dukungannya dari Solaris. Dalam wawancara Oktober dengan publikasi Rusia RT, seorang pendiri Killnet, KillMilk, mengatakan gengnya mendapat dukungan besar dari tim Solaris.

Andras Toth-Czifra, seorang analis di perusahaan intelijen siber Flashpoint, melacak operasi Killnet setahun terakhir. Dia mencatat bahwa tak lama setelah wawancara RT, para peretas mengatakan bahwa mereka telah menerima kontribusi keuangan dari Solaris.

Selengkapnya: Forbes

Korea Utara Meretas Hampir 900 Pakar Kebijakan Luar Negeri Korea Selatan, Mencari Uang Tebusan

December 26, 2022 by Mally

Otoritas Korea Selatan mengatakan serangan itu mungkin telah menipu beberapa korban untuk masuk ke situs web palsu, memperlihatkan detail login mereka kepada penyerang. Badan Intelijen Nasional Korea Selatan yakin Pyongyang telah mencuri sekitar US$1,72 miliar mata uang kripto di seluruh dunia sejak 2017.

Badan Kepolisian Nasional Korea Selatan mengatakan bahwa Korea Utara melakukan serangan siber terhadap setidaknya 892 ahli kebijakan luar negeri dari Korea Selatan untuk mencuri data pribadi dan daftar email mereka serta melakukan serangan ransomware terhadap mal online.

Peretas melakukan penyerangan dimulai pada awal bulan April, menargetkan pakar dan profesor think tank, dengan mengirimkan email phishing tombak dari beberapa akun yang menyamar sebagai tokoh di Korea Selatan. Email berisi tautan situs web palsu atau lampiran yang membawa virus yang dipicu saat dibuka.

Untuk pertama kalinya, polisi mendeteksi peretas Korea Utara menggunakan ransomware, yang mengenkripsi file perangkat target dan meminta uang tebusan untuk membukanya. Peretas juga menyerang pusat perbelanjaan dengan kerentanan keamanan siber.

Polisi dan Badan Intelijen Nasional (NIS) memperkirakan bahwa aktivitas peretas Pyongyang akan berlanjut dan mendesak orang-orang untuk meningkatkan keamanan akun email dan basis data pribadi lainnya.

Pada 30 November lalu, NIS memperkenalkan pusat kerja sama keamanan siber baru agar penyedia keamanan siber pemerintah dan swasta dapat bekerja sama untuk melindungi dari serangan siber sepanjang waktu.

Paik Jong-wook, salah satu wakil presiden NIS, mengatakan bahwa peretas yang didukung negara seperti Korea Utara ini, akan melanjutkan serangan mereka ke Seoul untuk mencuri teknologi Korea Selatan terkait dengan industri nuklir, luar angkasa, semikonduktor, pertahanan nasional, dan strategi bersama dengan AS melawan Pyongyang.

Selengkapnya: South China Morning Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings