News 78 - Naga Cyber Defense

Peretas Menyalahgunakan Google Ads Untuk Menyebarkan Malware Dalam Perangkat Lunak Resmi

December 30, 2022 by Flamango

Operator malware semakin sering menyalahgunakan platform Google Ads untuk menyebarkan malware ke pengguna yang tidak menaruh curiga yang menelusuri produk software populer.

Produk yang ditiru dalam kampanye ini termasuk Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird, dan Brave.

Pelaku ancaman mengkloning situs web resmi dari proyek di atas dan mendistribusikan versi trojan dari perangkat lunak saat pengguna mengklik tombol unduh. Situs web berbahaya tersebut dipromosikan ke audiens melalui kampanye Google Ads.

Penyalahgunaan Google Ads
Google Ads membantu pengiklan mempromosikan halaman di Google Search. Pengguna yang mencari perangkat lunak resmi tanpa pemblokir iklan aktif akan melihat promosi yang disajikan dan cenderung mengkliknya tanpa berpikir panjang karena tampilan yang sangat mirip dengan hasil pencarian yang sebenarnya.

Menurut Guardio dan Trend Micro, triknya adalah mengarahkan korban yang mengklik iklan ke situs yang tidak relevan namun aman yang dibuat oleh pelaku ancaman, lalu mengarahkan mereka ke situs berbahaya yang meniru proyek perangkat lunak.

Situs landing dan tipuan yang digunakan dalam kampanye (Guardio Labs)

Muatan, yang datang dalam bentuk ZIP atau MSI, diunduh dari layanan file sharing dan hosting kode terkemuka untuk memastikan bahwa program anti-virus apa pun yang berjalan di mesin korban tidak akan menolak pengunduhan.

Hindari Unduhan Berbahaya
FBI baru-baru ini mengeluarkan peringatan tentang jenis kampanye iklan ini, mendesak pengguna internet untuk sangat berhati-hati.

Salah satu cara memblokir kampanye ini adalah tindakan pencegahan dengan mengaktifkan pemblokir iklan di browser web, yang memfilter hasil yang dipromosikan dari Google Penelusuran.

Pencegahan bisa juga dilakukan dengan scroll ke bawah hingga terlihat domain resmi dari proyek perangkat lunak yang dicari. Jika tidak yakin, domain resmi terdaftar di halaman Wikipedia perangkat lunak.

Tanda file mencurigakan lainnya adalah ukuran file yang tidak normal. Bukti lain yang jelas dari kecurangan adalah domain situs unduhan yang mungkin mirip dengan yang resmi tetapi telah menukar karakter dalam nama atau satu huruf yang salah, yang dikenal sebagai “typosquatting”.

Selengkapnya: BLEEPINGCOMPUTER

Speaker Google Home Memungkinkan Peretas Mengintai Percakapan

December 30, 2022 by Flamango

Bug di speaker pintar Google Home memungkinkan pemasangan akun backdoor yang dapat digunakan untuk mengontrol dari jarak jauh dan mengubahnya menjadi perangkat pengintai dengan mengakses umpan mikrofon.

Tahun lalu, seorang peneliti menerima $107.500 karena menemukan masalah tersebut dan melaporkannya ke Google. Awal pekan ini, peneliti menerbitkan rincian teknis tentang temuan dan skenario serangan untuk menunjukkan bagaimana kelemahan tersebut dapat dimanfaatkan.

Proses Kompromi
Dalam eksperimennya, peneliti menemukan bahwa akun baru yang ditambahkan menggunakan aplikasi Google Home dapat mengirim perintah secara remote melalui cloud API.

Melalui pemindaian Nmap, ditemukan port untuk API HTTP lokal Google. Jadi peneliti menyiapkan proxy untuk menangkap lalu lintas HTTPS terenkripsi, dengan harapan dapat merebut token otorisasi pengguna.

Lalu lintas HTTPS (terenkripsi) yang diambil (downrightnifty.me)

Menambahkan pengguna baru ke perangkat target adalah proses dua langkah yang memerlukan nama perangkat, sertifikat, dan “cloud ID” dari API lokalnya. Dengan informasi ini, mereka dapat mengirim permintaan tautan ke server Google.

Untuk menambahkan pengguna jahat ke perangkat target, analis mengimplementasikan proses penautan dalam skrip Python yang mengotomatiskan pengelupasan data perangkat lokal dan mereproduksi permintaan penautan.

Permintaan penautan yang membawa data ID perangkat (downrightnifty.me)

Kemungkinan Implikasi
Selain melakukan tindakan melalui speaker Google Home secara remote, seperti mengontrol saklar pintar, melakukan pembelian online, membuka kunci pintu dan kendaraan, peneliti menemukan cara untuk menyalahgunakan perintah panggilan telepon.

Perutean berbahaya yang menangkap audio mikrofon (downrightnifty.me)

Jika LED perangkat menyala biru saat melakukan panggilan, merupakan indikasi bahwa beberapa aktivitas sedang berlangsung. Jika korban menyadarinya, mereka mungkin menganggap perangkat sedang memperbarui firmware-nya.

Hal ini juga memungkinkan untuk memutar media pada speaker pintar yang disusupi, mengganti nama, memaksa reboot, memaksa melupakan jaringan Wi-Fi tersimpan, memaksa pemasangan Bluetooth atau Wi-Fi baru, dan banyak lagi.

Perbaikan Google
Google memperbaiki semua masalah pada April 2021 dengan tambalan mencakup sistem berbasis undangan baru untuk menangani tautan akun, yang memblokir upaya apa pun yang tidak ditambahkan di Beranda.

Deauthenticating Google Home masih dimungkinkan, tetapi tidak dapat digunakan untuk menautkan akun baru, sehingga API lokal yang membocorkan data perangkat dasar juga tidak dapat diakses.

Google telah menambahkan perlindungan untuk mencegah inisiasi jarak jauh melalui rutinitas dalam menangani perintah panggilan telepon.

Selengkapnya: BLEEPINGCOMPUTER

Eksploitasi iOS 16 Memungkinkan Pengguna Mengatur Font Sistem ke Comic Sans (dan hal lainnya)

December 29, 2022 by Flamango

Bagi penggemar iPhone tetapi membenci jenis huruf San Francisco, pengembang Zhuowei Zhang telah memposting alat yang rapi ke Github — sebuah aplikasi yang dapat menimpa sementara font sistem iOS dengan yang lain, memberi ponsel tampilan baru yang tidak disetujui Apple.

Aplikasi ini hanya membutuhkan iOS 16.1.2 atau lebih rendah untuk berfungsi, karena bergantung pada bug eksekusi kernel (CVE-2022-46689) yang ditambal di iOS 16.2. Pengguna iOS 16.2 tidak akan dapat bereksperimen dengan peretasan. Setiap perubahan font akan dikembalikan dengan reboot perangkat, dan hanya aplikasi yang menggunakan selain jenis huruf default San Francisco dapat berubah.

Aplikasi ini menyertakan sejumlah font yang sudah diinstal sebelumnya, banyak di antaranya tampaknya dirancang untuk mengganggu pandangan para desainer UI Apple. Comic Sans MS memimpin dalam hal tersebut, tetapi Segoe UI (font pilihan Windows dan Microsoft) dan Samsung “Choco Cooky” juga disertakan. Font khusus dapat diinstal selama kompatibel dengan iOS.

Selengkapnya: arsTECHNICA

Mozilla Memperbaiki Bug CSS 18 Tahun Lalu di Peramban Firefox

December 29, 2022 by Flamango

Mengapa penting? Ada kelemahan perangkat lunak yang cenderung bertahan bahkan di proyek yang paling aktif. Peramban sumber terbuka seperti Firefox, bagaimanapun berusaha untuk menjadi pembuat rekor sejati dengan bug yang sudah berumur puluhan tahun diperbaiki tepat pada waktunya untuk Natal.

Cacat pada peramban Firefox terselesaikan tepat setelah dewasa. Bug 290125 pertama kali dibuka 18 tahun lalu ketika pengembang Mozilla menemukan bahwa browser open source tidak benar dalam menangani elemen pseudo CSS ::first-letter.

Elemen semu CSS ::first-letter menerapkan gaya ke huruf pertama dari baris pertama elemen tingkat blok, tetapi hanya jika tidak didahului oleh konten lain. Gecko, mesin tata letak Firefox, mengabaikan ketinggian garis yang dinyatakan dan mewarisi ketinggian garis dari kotak induk.

Perilaku yang salah mencegah penulis memposisikan huruf pertama dengan mengurangi kotak garis melalui penggunaan tinggi garis kecil. Hasil akhirnya adalah Firefox membuat huruf pertama salah, di mana browser lain saat itu menangani fitur CSS dengan benar.

Perbandingan hasil penulisan huruf pertama Firefox dengan browser lain

Masalah awal dilaporkan pada 12 April 2005 dalam rilis besar pertama Firefox (1.0). Kemudian perbaikan pertama datang dengan Firefox 3.0 pada tahun 2007, ketika rendering ketinggian garis berbeda pada platform Mac diselesaikan oleh pengembang Mozilla. Bug tersebut kemudian dibuka kembali pada tahun 2014 ketika CSS Working Group, dan selesai pada 20 Desember 2022.

Menurut penjelasan pengembang Mozilla, Jonathan Kew, solusi yang sedang diadopsi adalah tambalan yang dirancang untuk meminimalkan risiko dan membuatnya mudah untuk beralih antara perilaku lama yang ada dari mesin tata letak Gecko dan perilaku kompatibel yang baru.

Selengkapnya: TECHSPOT

Rumah Sakit Anak Terbesar di Kanada Berjuang Untuk Pulih Dari Serangan Ransomware Pra-Natal

December 29, 2022 by Flamango

Rumah Sakit Anak “SickKids” Toronto, pusat kesehatan anak terbesar di Kanada, masih belum pulih dari serangan ransomware yang dimulai pada 18 Desember. Organisasi layanan kesehatan menganggap insiden ini sebagai “Code Grey” atau mewakili kegagalan sistem.

Pejabat mengkonfirmasi bahwa ini adalah serangan ransomware. Hal ini mengakibatkan halaman web rumah sakit mati, gangguan telepon, dokter kesulitan mengakses hasil lab dan pencitraan yang menyebabkan waktu tunggu yang lama bagi pasien, dan proses seputar pengiriman resep juga terpengaruh.

Uniknya, tidak ada kelompok ransomware yang mengaku bertanggung jawab atas serangan tersebut.

Pada tanggal 23 Desember, rumah sakit mengatakan perlu waktu berminggu-minggu sebelum semua sistem mereka berfungsi normal. Tim klinis dan operasional menerapkan prosedur cadangan untuk sistem yang belum dapat diakses.

Kemudian pada hari Jumat pula, rumah sakit dapat memulihkan saluran telepon dan sistem ketepatan waktu internal untuk penggajian staf. asien masih berurusan dengan penundaan diagnostik dan perawatan karena pemadaman sistem.

Rumah Sakit Anak Sakit adalah rumah sakit anak terbaru yang diserang dalam beberapa tahun terakhir. Serangan ransomware terhadap organisasi layanan kesehatan terus berlanjut sepanjang tahun 2021 dan 2022.

Selengkapnya: The Record

Peretas Mencuri Data Dari Beberapa Utilitas Listrik Dalam Serangan Ransomware Baru

December 28, 2022 by Flamango

Peretas mencuri data milik beberapa utilitas listrik dalam serangan ransomware Oktober terhadap kontraktor pemerintah AS yang menangani proyek infrastruktur penting di seluruh negeri, menurut memo yang menjelaskan peretasan yang diperoleh CNN.

Menurut memo yang dikirim kepada eksekutif perusahaan listrik oleh pusat berbagi ancaman siber regulator jaringan Amerika Utara, pejabat federal memantau insiden tersebut untuk mengetahui potensi dampak yang lebih luas pada sektor listrik AS, sementara penyelidik swasta menyisir web gelap untuk data yang dicuri.

Serangan ransomware yang menghantam Sargent & Lundy berbasis di Chicago, sebuah perusahaan teknik yang telah merancang lebih dari 900 pembangkit listrik dan ribuan mil sistem tenaga, menyimpan data sensitif proyek, dan menangani masalah keamanan nuklir.

Menurut anonim, insiden itu telah diatasi. Tampaknya tidak berdampak lebih luas pada perusahaan sektor listrik lainnya.

Pakar keamanan sudah lama khawatir bahwa skema yang dipegang oleh kontraktor listrik dan tenaga nuklir dapat dibuang secara online dan digunakan untuk serangan fisik atau siber lanjutan pada fasilitas tersebut.

Kekhawatiran itu menyusul rentetan serangan fisik dan vandalisme pada utilitas listrik di berbagai negara bagian. Pada hari Natal, ribuan orang kehilangan aliran listrik di wilayah Washington setelah seseorang merusak beberapa gardu induk di sana.

Romero menolak untuk menjawab pertanyaan lebih lanjut tentang serangan ransomware, termasuk apakah peretas telah mencoba memeras Sargent & Lundy, mengutip penyelidikan yang sedang berlangsung.

Pemerintahan Biden telah mendesak perusahaan untuk berbagi data tentang peretasan seperti itu karena pejabat AS telah mencoba untuk mengatasi epidemi ransomware, yang telah merugikan perusahaan infrastruktur penting jutaan dolar.

Peretas yang menyerang Sargent & Lundy menggunakan jenis ransomware yang dikenal sebagai Black Basta. Peretas mencuri data dari korbannya untuk memberi mereka pengaruh tambahan dalam negosiasi tebusan.

Peraturan federal mewajibkan utilitas listrik untuk mempertahankan standar keamanan siber melindungi sistem mereka dari peretasan. Perusahaan yang membuat kontrak dengan utilitas tersebut, seperti Sargent & Lundy, belum tentu memiliki standar yang sama dan malah terikat oleh persyaratan keamanan dalam kontrak.

Selengkapnya: CNN politics

Peretas APT BlueNoroff Menggunakan Cara Baru Untuk Memotong Perlindungan MotW Windows

December 28, 2022 by Flamango

BlueNoroff, subcluster dari Grup Lazarus yang terkenal kejam, telah diamati mengadopsi teknik baru ke dalam buku pedomannya yang memungkinkannya melewati perlindungan Windows Mark of the Web (MotW).

Kapersky mengungkapkan bahwa ini termasuk penggunaan format file image disk optik (ekstensi .ISO) dan hard disk virtual (ekstensi .VHD) sebagai bagian dari rantai infeksi baru.

Penemuan domain palsu meniru ABF Capital, Angel Bridge, ANOBAKA, Bank of America, dan Mitsubishi UFJ Financial Group, menandakan adanya minat di wilayah tersebut.

Sejak 2018, BlueNoroff tampaknya telah mengalami perubahan taktis. Dari bank yang mencolok beralih fokus pada entitas mata uang kripto untuk menghasilkan pendapatan ilegal.

Kaspersky awal tahun ini mengungkapkan detail kampanye SnatchCrypto yang diatur oleh kolektif musuh untuk menguras dana digital dari dompet cryptocurrency korban.

Aktivitas utama lainnya adalah AppleJeus.Perusahaan cryptocurrency palsu dibentuk untuk memikat korban tanpa disadari agar memasang aplikasi yang tampak jinak yang pada akhirnya menerima pembaruan dari belakang.

Aktivitas terbaru diidentifikasi oleh perusahaan cybersecurity Rusia, memperkenalkan sedikit modifikasi untuk menyampaikan muatan terakhirnya, menukar lampiran dokumen Microsoft Word dengan file ISO di email spear-phishing untuk memicu infeksi.

Penggunaan nama file Jepang untuk salah satu dokumen dan pembuatan domain tipuan yang disamarkan sebagai perusahaan modal ventura Jepang yang sah menunjukkan bahwa perusahaan keuangan di negara kepulauan tersebut kemungkinan besar menjadi target BlueNoroff.

Perang dunia maya telah menjadi fokus utama Korea Utara dalam menanggapi sanksi ekonomi. Menurut National Intelligence Service (NIS) Korea Selatan, peretas Korea Utara yang disponsori negara diperkirakan telah mencuri $1,2 miliar dalam cryptocurrency dan aset digital lainnya dari target di seluruh dunia selama lima tahun terakhir.

Selengkapnya: The Hacker News

Hacker Akan Menjual Data 400 Juta Pengguna Twitter

December 28, 2022 by Flamango

Pelaku ancaman mengklaim menjual data publik dan pribadi dari 400 juta pengguna Twitter yang diambil pada tahun 2021 menggunakan kerentanan API yang sekarang telah diperbaiki. Mereka meminta $200.000 untuk penjualan eksklusif.

Aktor ancaman, Ryushi, diduga menjual dump data di forum peretasan terlarang, situs untuk menjual data pengguna yang dicuri dalam pelanggaran data.

Pelaku ancaman memperingatkan Elon Musk dan Twitter bahwa mereka harus membeli data tersebut sebelum dikenakan denda besar berdasarkan undang-undang privasi GDPR Eropa.

Postingan forum yang menjual data untuk dugaan 400 juta pengguna Twitter (BleepingComputer)

Pelaku ancaman juga menjelaskan bagaimana data tersebut dapat disalahgunakan untuk serangan phishing, penipuan crypto, dan serangan BEC.

Profil pengguna berisi data Twitter publik dan pribadi, alamat email, username, nama pengguna, jumlah pengikut, tanggal pembuatan, dan nomor telepon. Hampir semua data ini dapat diakses publik oleh semua pengguna Twitter.

Ryushi mencoba menjual data Twitter secara eksklusif kepada satu orang/Twitter seharga $200.000 dan kemudian akan menghapus data tersebut. Jika pembelian eksklusif tidak dilakukan, mereka akan menjual salinannya ke banyak orang seharga $60.000 per penjualan.

Data Dikumpulkan Menggunakan Kerentanan API Yang Sekarang Sudah Diperbaiki
Pelaku ancaman mengumpulkan data menggunakan kerentanan API yang diperbaiki Twitter pada Januari 2022 dan sebelumnya dikaitkan dengan pelanggaran data 5,4 juta pengguna.

Kerentanan ini memungkinkan seseorang memasukkan nomor telepon dan alamat email ke API Twitter dan menerima ID pengguna Twitter terkait. Pelaku ancaman kemudian menggunakan ID ini dengan IP lain untuk mengambil data profil publik pengguna, membangun profil pengguna Twitter yang terdiri dari data publik dan pribadi.

Pengawas privasi UE, Komisi Perlindungan Data Irlandia (DPC), telah memulai penyelidikan terhadap penerbitan baru-baru ini dari 5,4 juta catatan korban pada tahun 2021 menggunakan kerentanan ini.

Pelaku ancaman lain juga mengklaim menggunakan kerentanan ini untuk mengorek data dari dugaan 17 juta pengguna. Bocoran ini masih dirahasiakan dan tidak diperjualbelikan.

Hingga saat ini belum ada tanggapan lebih lanjut dari Twitter mengenai penjualan data ini.

Selengkapnya: BLEEPINGCOMPUTER

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings