Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Malware Pencuri Info Baru Menginfeksi Pembajak Perangkat Lunak Melalui Situs Crack Palsu

by

Malware pencuri informasi baru bernama ‘RisePro’ sedang didistribusikan melalui situs crack palsu yang dioperasikan oleh layanan distribusi malware PrivateLoader pay-per-install (PPI).

RisePro dirancang untuk membantu penyerang mencuri kartu kredit, kata sandi, dan dompet kripto korban dari perangkat yang terinfeksi.

Flashpoint melaporkan bahwa pelaku ancaman telah mulai menjual ribuan log RisePro (paket data yang dicuri dari perangkat yang terinfeksi) di pasar web gelap Rusia.

Detail dan kemampuan RisePro

RisePro adalah malware C++ yang, menurut Flashpoint, mungkin didasarkan pada malware pencuri kata sandi Vidar, karena menggunakan sistem dependensi DLL tertanam yang sama.

DLL dijatuhkan di direktori kerja malware (Flashpoint)

RisePro berupaya mencuri berbagai macam data dari aplikasi, browser, dompet crypto, dan ekstensi browser, seperti yang tercantum di bawah ini:

  • Web browsers: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom.
  • Browser extensions: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet.
  • Software: Discord, battle.net, Authy Desktop
  • Cryptocurrency assets: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin.

Link to PrivateLoader
PrivateLoader adalah layanan distribusi malware bayar per pemasangan yang disamarkan sebagai crack perangkat lunak, pembuat kunci, dan modifikasi game.

Pelaku ancaman memberikan sampel malware yang ingin mereka distribusikan, kriteria penargetan, dan pembayaran kepada tim PrivateLoader, yang kemudian menggunakan jaringan situs web palsu dan yang diretas untuk mendistribusikan malware.

Dengan tambahan RisePro, Sekoia sekarang melaporkan menemukan kemampuan loader di malware baru, juga menyoroti bahwa bagian kodenya ini memiliki banyak tumpang tindih dengan PrivateLoader.

Kesamaannya termasuk teknik kebingungan string, kebingungan pesan HTTP, dan pengaturan HTTP dan port.

Code similarity of 30% in HTTP port setup (Sekoia)

Salah satu skenario yang mungkin terjadi adalah orang yang sama di belakang PrivateLoader mengembangkan RisePro.

sumber : bleeping computer

DuckDuckGo Saat Ini Memblokir Pop-up Google Sign-in di Semua Situs

by

Aplikasi dan ekstensi DuckDuckGo saat ini memblokir pop-up Google Sign-in di semua aplikasi dan ekstensi browsernya, menghapus semua yang dianggap sebagai gangguan dan risiko privasi bagi penggunanya.

DuckDuckGo menawarkan mesin pencari yang berfokus pada privasi, layanan email, aplikasi seluler, dan ekstensi browser yang melindungi data. Perusahaan ini mengumumkan bahwa semua aplikasi dan ekstensi peramban Chrome, Firefox, Brave, dan Microsoft Edge sekarang akan secara aktif memblokir permintaan masuk Google yang ditampilkan di situs.

Google menawarkan opsi masuk tunggal di situs web untuk memungkinkan pengguna masuk dengan cepat ke platform baru menggunakan akun Google mereka untuk kenyamanan. Pengguna cukup masuk dengan Google saat opsi tersedia dan tidak perlu membuat akun baru lagi. Kelemahannya adalah situs web dan aplikasi yang digunakan pengguna untuk masuk dapat dilacak oleh Google.

Hasil pengawasan DuckDuckGo menunjukkan bahwa Google masih mengumpulkan data di situs yang masuk dengan Google. Misalnya, diinvestasi.com, banyak permintaan dibuat ke https://securepubads.g.doubleclick.net/gampad/ads.

Cookie menyedot data pengguna (kiri) dan diblokir (kanan) (DuckDuckGo)

Karena dirasa ini adalah risiko privasi, DuckDuckGo terpaksa mengambil pendekatan agresif dengan memblokir permintaan masuk Google, tidak pernah memberi pengguna opsi untuk menerima tawaran raksasa teknologi itu.

Hal yang sama juga berlaku untuk browser DuckDuckGo di macOS. Fitur pemblokiran Google dibangun ke dalam “Perlindungan”, dan tidak ada opsi untuk menonaktifkannya kecuali Anda menonaktifkan semua perlindungan privasi.

Browser DuckDuckGo di macOS, perlindungan diatur ke aktif (kiri) dan nonaktif (kanan) (BleepingComputer)

Perubahan DuckDuckGo untuk memblokir dugaan ancaman privasi kemungkinan akan menyebabkan masalah yang menggunakan masuk Google di situs web karena mereka tidak lagi dapat masuk.

Selengkapnya: BLEEPINGCOMPUTER

Kilang Minyak Besar di Negara NATO, Target Peretas yang Didukung Kremlin

by

Saat invasi Rusia ke Ukraina berlanjut, peretas negara itu memperluas target mereka.

Salah satu kelompok peretas paling aktif di Kremlin yang menargetkan Ukraina, baru-baru ini mencoba meretas perusahaan penyulingan minyak besar yang berlokasi di negara NATO.

Meskipun gagal, serangan pada 30 Agustus ini menandakan bahwa kelompok tersebut berusaha memperluas pengumpulan intelijennya seiring dengan berlanjutnya invasi Rusia ke negara tetangganya. Grup peretasan telah dikaitkan oleh Dinas Keamanan Ukraina dengan Dinas Keamanan Federal Rusia.


Menatap Industri Energi
Dalam 10 bulan terakhir, Unit 42 memetakan lebih dari 500 domain baru dan 200 sampel serta remah roti lain yang ditinggalkan Trident Ursa dalam kampanye phishing tombak yang mencoba menginfeksi target dengan malware pencuri informasi.
Peneliti perusahaan menilai bahwa sampel menunjukkan Trident Ursa sedang berusaha meningkatkan pengumpulan intelijen dan akses jaringan mereka terhadap sekutu Ukraina dan NATO.

Beberapa nama file yang digunakan dalam serangan yang gagal adalah MilitaryassistanceofUkraine.htm, Necessary_military_assistance.rar, dan daftar hal-hal yang diperlukan untuk penyediaan bantuan kemanusiaan militer ke Ukraina.lnk.

Direktur Siber Badan Keamanan Nasional, Rob Joyce, mengatakan prihatin dengan serangan siber yang signifikan dari Rusia, khususnya pada sektor energi global, menurut CyberScoop.

Tinjauan tahunan NSA mencatat bahwa Rusia telah mengeluarkan setidaknya tujuh malware penghapus berbeda yang dirancang untuk menghancurkan data secara permanen.

Perdana Menteri Norwegia, Jonas Gahr Støre, memperingatkan bahwa Rusia merupakan ancaman yang nyata dan serius terhadap industri minyak dan gas di Eropa Barat karena negara tersebut berusaha untuk mematahkan keinginan sekutu Ukraina.

Meski sederhana, teknik peretasan yang Trident Ursa cukup efektif. Berbagai cara digunakan untuk menyembunyikan alamat IP dan tanda tangan lain dari infrastrukturnya, dokumen phishing dengan tingkat deteksi rendah di antara layanan anti-phishing, dan dokumen HTML dan Word yang berbahaya.

Salah satu pernyataan peneliti Unit 42 yaitu untuk semua alasan yang ada, Rusia tetap menjadi ancaman signifikan bagi Ukraina, yang harus dilawan secara aktif oleh Ukraina dan sekutunya.

Selengkapnya: arsTECHNICA

Akun Comcast Xfinity Diretas Dalam Serangan Bypass 2FA yang Meluas

by

Pelanggan Comcast Xfinity melaporkan akun mereka diretas dalam serangan luas yang melewati autentikasi dua faktor. Akun yang dikompromikan ini kemudian digunakan untuk mengatur ulang kata sandi untuk layanan lain, seperti pertukaran crypto Coinbase dan Gemini.

many Xfinity email users began receiving notifications that their account information had been changed. However, when attempting to access the accounts, they could not log in as the passwords had been changed.

Mirip dengan Gmail, Xfinity memungkinkan pelanggan untuk mengonfigurasi alamat email sekunder yang akan digunakan untuk pemberitahuan akun dan pengaturan ulang kata sandi jika mereka kehilangan akses ke akun Xfinity mereka.

Email verifikasi Xfinity di kotak masuk Yopmail sekali pakai
Sumber: BleepingComputer

BleepingComputer first learned of these account hacks after numerous Xfinity customers reached out to us to share their experiences. In addition, other customers shared similar reports on Reddit [1, 2], Twitter [1, 2, 3], and Xfinity’s own support forum.

Bypass 2FA diduga beredar secara pribadi
Seorang peneliti telah memberi tahu BleepingComputer bahwa serangan dilakukan melalui serangan isian kredensial untuk menentukan kredensial masuk untuk serangan Xfinity.

Begitu mereka mendapatkan akses ke akun dan diminta untuk memasukkan kode 2FA mereka, penyerang diduga menggunakan bypass OTP yang diedarkan secara pribadi untuk situs Xfinity yang memungkinkan mereka memalsukan permintaan verifikasi 2FA yang berhasil.

Email utama Xfinity juga akan menerima pemberitahuan bahwa informasi mereka telah diubah, tetapi karena kata sandi juga telah diubah, tidak akan dapat mengaksesnya.

Email ke akun utama memperingatkan bahwa informasi telah diubah
Sumber: BleepingComputer

Begitu mereka mendapatkan akses penuh ke akun email Xfinity, pelaku ancaman mencoba untuk melanggar layanan online lebih lanjut yang digunakan oleh pelanggan, memverifikasi permintaan pengaturan ulang kata sandi ke akun email yang sekarang disusupi.

Sementara BleepingComputer tidak dapat memverifikasi keabsahan bypass OTP ini secara independen dan apakah itu telah digunakan dalam peretasan yang dilaporkan, ini akan menjelaskan bagaimana pelaku ancaman dapat memperoleh akses ke akun dengan 2FA diaktifkan.

sumber : bleeping computer

Peretas FIN7 Membuat Platform Serangan Otomatis Untuk Menembus Server Exchange

by

Grup peretasan FIN7 yang terkenal menggunakan sistem serangan otomatis yang mengeksploitasi Microsoft Exchange dan kerentanan injeksi SQL untuk menembus jaringan perusahaan, mencuri data, dan memilih target untuk serangan ransomware berdasarkan ukuran finansial.

Sistem ini ditemukan oleh tim intelijen ancaman Prodaft, yang telah mengikuti operasi FIN7 dengan cermat selama bertahun-tahun.

Menyerang otomatis Microsoft Exchange
Sistem serangan otomatis yang ditemukan oleh Prodaft disebut ‘Tanda centang’, dan ini adalah pemindai untuk beberapa eksekusi kode jarak jauh Microsoft Exchange dan kerentanan elevasi hak istimewa seperti CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.

FIN7 menggunakan berbagai eksploit untuk mendapatkan akses ke jaringan target, termasuk kode kustom mereka sendiri dan PoC yang tersedia untuk umum.

Selain kelemahan MS Exchange, platform serangan Checkmarks juga dilengkapi modul injeksi SQL menggunakan SQLMap untuk memindai potensi kelemahan yang dapat dieksploitasi di situs web target.

Injeksi SQL Checkmark’s (Prodaft)

Setelah tahap serangan awal, Tanda centang secara otomatis melakukan langkah pascaeksploitasi, seperti ekstraksi email dari Active Directory dan pengumpulan informasi server Exchange.

Korban baru ditambahkan secara otomatis ke panel pusat tempat operator FIN7 dapat melihat detail tambahan tentang titik akhir yang disusupi.

Uji tuntas yang dilakukan untuk mengevaluasi ukuran perusahaan dan status keuangan patut diperhatikan, dengan tim pemasaran FIN7 mengumpulkan informasi dari berbagai sumber, termasuk Owler, Crunchbase, DNB, Zoominfo, Mustat, dan Similarweb.

Owler data view di Checkmarks (Prodaft)

Ransomware dan pintu belakang SSH
Investigasi Prodaft menemukan bukti lebih lanjut dari koneksi DarkSide setelah mereka menemukan apa yang tampak seperti catatan tebusan dan file terenkripsi dari operasi ransomware.

Selain itu, para peneliti menemukan banyak bukti komunikasi dengan beberapa geng ransomware, termasuk Darkside, REvil, dan LockBit, dari log Jabber yang diambil.

penyelidikan menunjukkan bahwa alih-alih secara khusus menargetkan perusahaan yang berharga, FIN7 menargetkan semua orang dan mengevaluasi seberapa berharganya mereka di fase kedua.

Prodaft telah memberikan indikator kompromi (IOCs) dalam laporan mereka untuk backdoor berbasis SSH dan malware lain yang digunakan dalam serangan mereka. Sangat disarankan agar semua admin meninjau laporan untuk mempelajari bagaimana FIN7 menargetkan jaringan mereka.

sumber : bleeping computer

Peretas Mencuri Brankas Kata Sandi LastPass Terenkripsi, Tim The Verge Baru Saja Mendengarnya

by

Bulan lalu, perusahaan mengumumkan bahwa pelaku ancaman telah mengakses elemen tertentu dari informasi pelanggan. Sama seperti banyak pekerja AS yang pergi untuk liburan, perusahaan mengungkapkan itu berarti kata sandi terenkripsi mereka.

LastPass adalah salah satu aplikasi penyimpan dan pengaturan kata sandi yang populer. Baru-baru in LastPass mengumumkan pelanggaran data, yaitu peretas dapat menyalin cadangan data brankas pelanggan. LastPass berjanji untuk menyimpan semua kata sandi di satu tempat aman.

Pengguna yang masih memiliki akun untuk menyimpan kata sandi dan informasi sign-in di LastPass, kemungkinan besar sudah di tangan peretas. Perusahaan memastikan bahwa kata sandi akan aman jika tersusun dari kata sandi utama yang kuat sesuai anjuran dan secara berkala mengubah kata sandi situs web yang telah disimpan.

Pada bulan Agustus, LastPass mendapatkan kabar bahwa data pengguna telah diakses, namun tidak mempercayainya. Kemudian pada bulan November, LastPass mendeteksi gangguan dan tampaknya mengandalkan informasi yang dicuri dalam insiden Agustus.

CEO LastPass, Karim Toubba, mengatakan bahwa aktor jahat hanya bisa mendapatkan data terenkripsi dan karena itu, kata sandi utama haruslah bagus. Sangat sulit untuk mencoba memaksa menebak kata sandi utama tetapi tetap dapat dicoba untuk membukanya dengan menebak kata sandi acak atau brute-forcing. LastPass mengatakan tidak pernah memiliki akses ke kata sandi utama.

Data yang tidak terenkripsi dapat memberikan peretas petunjuk tentang situs web mana yang terdapat akun si target. Jika peretas menargetkan pengguna tertentu, hal itu dapat menjadi informasi kuat jika digabungkan dengan phishing atau jenis serangan lainnya.

Pengumuman ini muncul tiga hari sebelum natal, saat dimana banyak departemen IT akan berlibur dan orang cenderung kurang memperhatikan pengelolaan pembaruan kata sandi mereka.

Menurut Toubba, perusahaan mengambil segala macam tindakan pencegahan sebagai akibat dari pelanggaran awal dan pelanggaran sekunder yang mengungkap cadangan, termasuk menambahkan lebih banyak pencatatan untuk mendeteksi aktivitas mencurigakan di masa mendatang, membangun kembali lingkungan pengembangannya, merotasi kredensial, dan banyak lagi.

Selengkapnya: The Verge+

Kelompok Ransomware Vice Society Beralih ke Enkripsi Baru

by

Operasi ransomware Vice Society telah beralih menggunakan enkripsi ransomware khusus yang mengimplementasikan skema enkripsi hibrid yang kuat berdasarkan NTRUEncrypt dan ChaCha20-Poly1305.

Vice Society pertama kali muncul pada musim panas 2021, ketika mereka mulai mencuri data dari jaringan perusahaan dan mengenkripsi perangkat. Pelaku ancaman kemudian akan melakukan serangan pemerasan ganda, mengancam akan mempublikasikan data jika uang tebusan tidak dibayarkan.

Encyrptor “PolyVice” Baru
Strain PolyVice baru, begaimanapun, memberikan serangan Vice Society tabda tangan unik, menambahkan ekstensi “.ViceSociety” ke file yang terkunci dan menjatuhkan catatan tebusan bernama AllYFilesAE’.

Vice Society ransom note
Sumber: BleepingComputer

Analisis SentinelOne mengungkapkan bahwa PolyVice memiliki kesamaan kode yang luas dengan rensomware Chilly dan ransomware SunnyDay, engan kecocokan 100% pada fungsi

Similarity between Chilly and PolyVice (SentinelOne)

Perbedaannya terletak pada detail khusus kampanye seperti ekstensi file, nama catatan tebusan, kunci master hardcode, wallpaper, dll., yang mendukung hipotesis vendor umum.

“Ini memungkinkan pembeli untuk menyesuaikan ransomware mereka tanpa mengungkapkan kode sumber apa pun. Tidak seperti pembuat RaaS lain yang dikenal, pembeli dapat membuat muatan bermerek, memungkinkan mereka menjalankan program RaaS mereka sendiri.”

Enkripsi Hybrid
PolyVice menggunakan skema enkripsi hibrid yang menggabungkan enkripsi asimetris dengan algoritme NTRUEncrypt dan enkripsi simetris dengan algoritme ChaCha20-Poly1305.

Saat peluncuran, payload mengimpor kunci publik NTRU 192-bit yang dibuat sebelumnya dan kemudian menghasilkan pasangan kunci pribadi NTRU 112-bit acak pada sistem yang disusupi, yang unik untuk setiap korban.

Enkripsi pasangan kunci privat NTRU (SentinelOne)

PolyVice ransomware adalah biner 64-bit yang menggunakan multi-threading untuk enkripsi data simetris paralel, memanfaatkan prosesor korban secara penuh untuk mempercepat proses enkripsi.

Selain itu, setiap pekerja PolyVice membaca konten file untuk menentukan pengoptimalan kecepatan apa yang dapat diterapkan di setiap kasus. Pengoptimalan ini bergantung pada ukuran file, dengan PolyVice menerapkan enkripsi intermiten secara selektif.

  • File yang lebih kecil dari 5MB sepenuhnya dienkripsi
  • File antara 5MG dan 100MB dienkripsi sbegaian, memecahnya menjadi potongan kedua.
  • File yang lebih bedsar dari 100MB dipecah menjadi sepuluh potongan yang terdistribusi secara merata, dan 2,5MB dari setiap potongan dienkripsi

Kesimpulannya, temuan SentinelOne lebih lanjut menggarisbawahu tren outsourcing di ruang angkasa, dengan geng ransomware membayar spesialis untuk menciptakan alat yang canggih dan berkinerja tinggi.

sumber : BleepingComputer

FTC Mendenda Pembuat Fortnite Epic Games $520 Juta Atas Privasi Anak-Anak dan Biaya Toko Barang

by

Komisi Perdagangan Federal (FTC) mengumumkan pada Senin pagi bahwa mereka akan menagih Epic Games dengan penyelesaian $520 juta atas tuduhan terkait privasi anak-anak. Epic Games, yang membuat game segala usia yang populer seperti “Fortnite” dan “Fall Guys,” diduga melanggar Undang-Undang Perlindungan Privasi Daring Anak (COPPA) dengan menerapkan trik desain, yang dikenal sebagai pola gelap untuk menipu jutaan pemain agar melakukan pembelian yang tidak disengaja, menurut FTC dalam siaran pers.

Denda yang dibayarkan terbagi menjadi dua, yaitu denda COPPA $275 juta dan FTC denda Epic $245 juta untuk mengembalikan uang pelanggan atas apa yang disebutnya pola gelap dan praktik penagihan.

FTC juga mempermasalahkan Epic terkait fitur teks langsung dan komunikasi suara default mereka. Hal ini diklaim FTC bahwa anak-anak terkena pelecehan, terpapar pada intimidasi, ancaman, pelecehan, dan masalah trauma psikologis saat bermain game.

Epic menanggapi berbagai tudingan dengan menunjuk ke fitur baru yang diluncurkan awal bulan ini yang disebut Cabined Accounts. Jika seorang pemain yang mendaftar masih dibawah batas usia persetujuan digital negara mereka, maka fitur obrolan dan pembelian akan dinonaktifkan. Orang tua mereka akan diberitahu melalui email dan dapat menyesuaikan pengaturan anak mereka jika mereka mau, apabila seorang anak mendaftar.

Dalam dua tahun terakhir, Epic telah mengumpulkan modal ventura lebih dari $3 miliar, terakhir dengan valuasi $31,5 miliar. Bersama dengan Lego, yang perusahaan induknya menginvestasikan $1 miliar, Epic sedang berupaya membangun metaverse ramah anak.

Epic juga terlibat dalam gugatan dengan Apple, mereka menentang kebijakan Apple yang dapat menghapus produk dari iOS App Store jika aplikasi mengalihkan pelanggan untuk membayar di dalam aplikasi, yang memberi Apple potongan 30%.

Selengkapnya: TechCrunch+