Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Pusat Panggilan Desi Ilegal Di Balik Kerugian Rs 6.400 Crore Orang Amerika Dalam Penipuan ‘Tech Support’ di 2022

by

Penipuan terkait asmara dan pop up ‘tech support’, yang sebagian besar berasal dari call center ilegal dan geng phising di India, telah menyebabkan kerugian lebih dari $3 miliar (Rs 25.000 crore) bagi warga lansia AS yang mudah tertipu dalam dua tahun terakhir sendiri, menurut data FBI. Tren ini bertahan, dengan total uang yang hilang oleh orang Amerika dalam semua penipuan terkait internet/pusat panggilan dalam 11 bulan terakhir diperkirakan mencapai $10,2 miliar, meningkat 47% dibandingkan tahun lalu sebesar $6,9 miliar.

Biro Investigasi Federal (FBI) menugaskan perwakilan tetap di kedutaan besar AS di New Delhi untuk bekerja sama dengan CBI, Interpol dan Polisi Delhi untuk menangkap geng phising dan membekukan uang yang ditransfer melalui kabel dan mata uang kripto ke sindikat yang beroperasi dari tanah India.

Suhel Daud, atase Hukum Kedutaan Besar AS dan Kepala FBI Asia Selatan, mengatakan kepada TOI bahwa penipuan terkait asmara yang dilaporkan di situs web FBI oleh para korban menunjukkan perkiraan kerugian sebesar Rs 8.000 crore dalam 23 bulan sejak tahun 2021. Sebagian besar korban penipuan ini adalah lansia di atas usia 60 tahun.

Kasus ‘tech support’ mengalami peningkatan lebih dari 130% tiap tahunnya dan kembali meningkat 137% pada tahun 2021. Hal ini merugikan orang Amerika sebesar 9.200 crore dalam dua tahun terakhir. Kejahatan ini berasal dari pop-up yang muncul di komputer korban dengan berkedok memberikan dukungan teknis.

Kepala FBI Asia Selatan berbicara tentang peningkatan kerja sama Biro dengan agen-agen India untuk menangkap geng phising ilegal yang telah menempatkan ekonomi terbesar kelima di dunia dalam resiko dicap sebagai pengekspor bersih internet dan penipuan terkait pusat panggilan.

Selengkapnya: THE TIMES OF INDIA

ENLBufferPwn: Kerentanan Kritis Diungkapkan Dalam Game 3DS, Wii U, dan Switch

by

Peretas Nintendo, PabloMK7, telah merilis ENLBufferPwn, sebuah eksploit termasuk bukti kode konsep, yang menunjukkan kerentanan kritis di beberapa game pihak pertama Nintendo. Video demo eksploit menunjukkan bahwa Anda dapat mengambil kendali penuh atas konsol target, cukup dengan mengajak mereka bergabung dalam game multipemain.

Game yang terpengaruh termasuk Mario Kart 7, Mario Kart 8, Splatoon 1, 2, 3, Nintendo Switch Sports, dan judul pihak pertama Nintendo lainnya. Kecuali game Switch dan 3DS yang terdaftar, karena telah menerima pembaruan penambalan kerentanan.

Apa itu ENLBufferPwn untuk Nintendo Switch, Wii U, dan 3DS?
ENLBufferPwn adalah kerentanan dalam kode jaringan umum dari beberapa game Nintendo pihak pertama sejak Nintendo 3DS yang memungkinkan penyerang mengeksekusi kode secara remote di konsol korban hanya dengan membawa game online. Kerentanan ini mendapatkan skor 9,8/10 (Kritis) dalam kalkulator CVSS 3.1.

Selama tahun 2021, hal ini banyak ditemukan secara mandiri dan dilaporkan ke Nintendo. Kemudian Nintendo menambal kerentanan di banyak game yang rentan. PabloMK7 menambahkan, apabila dikombinasikan dengan kerentanan OS lainnya, pengambilalihan konsol remote penuh dapat dicapai.


Detail Teknis ENLBufferPwn
Menurut readme eksploit, kerentanan ENLBufferPwn mengeksploitasi buffer overflow di kelas C++ NetworkBuffer yang ada di pustaka jaringan enl (Net di Mario Kart 7) yang digunakan oleh banyak game Nintendo pihak pertama.

Konsekuensi dari buffer overflow bervariasi pada game, dari modifikasi sederhana yang tidak berbahaya, memori game, hingga tindakan yang lebih parah seperti mengambil kendali penuh atas konsol.

Eksploitasi dapat digunakan untuk mengganggu pemain lain di game online, seperti menekan tombol home secara remote pada pengontrol mereka di tengah permainan

Bisakah meretas Nintendo Switch dengan ENLBufferPwn?
Eksploit tidak dapat dengan mudah dimanfaatkan untuk meretas Nintendo Switch karena perlu dirantai dengan kerentanan lain untuk mendapatkan eskalasi hak istimewa, dan sejauh ini tidak ada eksploitasi kernel yang diketahui publik di firmware terbaru.

Fakta bahwa ini mengharuskan untuk bergabung dengan game online, kemungkinan Nintendo memiliki banyak cara untuk mencegah hal ini. Menambal game bukan satu-satunya. Saat eksploitasi tersebut diungkapkan kepada publik, itu sudah mati.

Mengenai 3DS dan Wii U, keduanya dapat diretas dengan cukup mudah, sehingga manfaat peretasan terbatas dalam konteks itu, dari perspektif pengguna akhir.

Selengkapnya: Wololo.net

Layanan PPI PrivateLoader Ditemukan Mendistribusikan Info-Mencuri Malware RisePro

by

Layanan pengunduh malware bayar-per-instal (PPI) yang dikenal sebagai PrivateLoader digunakan untuk mendistribusikan malware pencuri informasi yang didokumentasikan sebelumnya yang dijuluki RisePro.

Setelah menemukan beberapa set log yang diekstraksi menggunakan malware di pasar kejahatan dunia maya ilegal, Pasar Rusia, Flashpoint dapat melihat pencuri yang baru diidentifikasi pada 13 Desember lalu.

Malware RisePro dikatakan memiliki kesamaan dengan malware pencuri info lainnya yang disebut sebagai Vidar stealer, merupakan cabang dari pencuri dengan nama kode Arkei yang muncul pada tahun 2018.

Perusahaan Keamanan Siber, SEKOIA, merilis analisisnya terhadap RisePro, mengidentifikasi lebih lanjut sebagian kode sumber tumpang tindih dengan PrivateLoader. Proses identifikasi mencakup mekanisme pengacakan string, metode HTTP dan pengaturan port, dan metode penyamaran pesan HTTP.

PrivateLoader adalah layanan unduhan yang memungkinkan pelanggannya mengirimkan muatan berbahaya ke host target.

Malware Wireshark

Tidak berbeda dengan pencuri lainnya, RisePro mampu mencuri berbagai data dari sebanyak 36 browser web, termasuk cookie, kata sandi, kartu kredit, dompet crypto, serta mengumpulkan file yang menarik dan memuat lebih banyak muatan.

Pengembang malware menyediakan saluran telegram untuk saranapelaku kriminal berinteraksi dengan sistem terinfeksi. Begitu pula dengan RisePro yang juga menawarkan data curiannya di telegram.

Belum diketahui jelas penulis RisePro, entah sekelompok pelaku ancaman yang sama di balik PrivateLoader, dan apakah RisePro dibundel secara eksklusif bersama dengan layanan PPI.

Selengkapnya: The Hacker News

Kalender Google Menyerah, Membuat Acara dari Pesan Gmail Acak

by

Pemasar akan senang mengetahui penjualan sepanjang hari mereka benar-benar ada di kalender Anda.

Spam terburuk adalah spam di kalender Google, mengisi jadwal dengan acara acak berdasarkan semua buletin dan konten pemasaran yang diterima. Integrasi licik yang memungkinkan Kalender Google secara otomatis membuat acara berdasarkan pengait tertentu dalam pesan Gmail, menjadi kacau bagi sejumlah pengguna.

Orang-orang telah memposting acara sepanjang hari berdasarkan pesan yang mereka terima melalui Gmail yang juga masuk ke kalender Google. Hal ini mulai bermunculan sejak hari Kamis lalu.

Teman-teman yang bersaing di 9to5Google menyarankan agar pengguna yang mungkin menganggap mematikan integrasi yang berguna untuk saat ini, dapat mengatur setelan acara untuk setiap akun yang dimasuki dengan buka Kalender Google > Setelan > Acara dari Gmail.

Sebagian besar, integrasi Kalender Gmail berguna dalam membuat janji temu dan reservasi yang kemudian secara otomatis membuat sebuah acara disertai detail informasi waktu lokasi dan lainnya.

Tim Google Kalender menyarankan agar pengguna melaporkan peristiwa bermasalah satu per satu. Menurutnya seseorang di Google Workspace hanya perlu menggali lebih dalam dan menemukan satu tombol untuk membalik untuk melepaskan, mengacak-acak, dan mengatasi bug ini.

Selengkapnya: Android Police

Pencuri W4SP Ditemukan di Beberapa Paket PyPI dengan Berbagai Nama

by

Pelaku ancaman telah menerbitkan putaran paket berbahaya lainnya ke Python Package Index (PyPI) dengan tujuan mengirimkan malware pencuri informasi pada mesin pengembang yang disusupi.

Perusahaan cybersecurity, Phylum, menemukan bahwa sejumlah malware yang menggunakan nama seperti ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer, dan @skid Stealer, adalah salinan dari W4SP Stealer.

Fungsi utama W4SP Stealer adalah menyedot data pengguna, termasuk kredensial, dompet cryptocurrency, token Discord, dan file menarik lainnya. Dibuat dan diterbitkan oleh seorang aktor yang menggunakan alias BillyV3, BillyTheGoat, dan billythegoat356.

Sekitar Oktober 2022, kampanye pendistribusian W4SP Stelaer sudah memiliki daya tarik. Meskipun terdapat indikasi sudah dimulai sejak pertengahan Agustus 2022. Sejak ini, lusinan paket palsu tambahan yang berisi W4SP Stealer telah diterbitkan di PyPI oleh para pelaku ancaman.

Perusahaan keamanan rantai pasokan perangkat lunak yang mengawasi saluran Discord aktor ancaman, mencatat bahwa paket yang sebelumnya ditandai dengan nama pystyle telah di-trojan oleh BillyTheGoat untuk mendistribusikan si pencuri.

Selain mengumpulkan ribuan unduhan setiap bulan, modul ini juga dimulai sebagai utilitas yang tidak berbahaya pada bulan September 2021 untuk membantu pengguna mendesain keluaran konsol. Modifikasi berbahaya diperkenalkan di versi 2.1 dan 2.2 yang dirilis pada 28 Oktober 2022.

Para peneliti memperingatkan adanya paket yang jinak selama bertahun-tahun bukan berarti dia akan jinak selamanya. Aktor ancaman telah menunjukkan kesabaran dalam membangun paket yang sah, untuk meracuni mereka dengan malware setelah mereka cukup populer.

Selengkapnya: The Hacker News

Seorang Ukraina Mencuri $25.000 Bitcoin dari Pasar Obat Web Gelap Rusia, Memberikannya ke Badan Amal Kyiv

by

Seorang Ukraina mengatakan bahwa dia membobol dompet utama pasar obat Solaris dan mengalihkan dananya ke badan amal kemanusiaan Ukraina.

Alex Holden, Pakar Intelijen Dunia Maya, mengatakan bahwa dia dapat mengendalikan sebagian besar infrastruktur internet Solaris, sejumlah akun administrator yang menjalankan pasar gelap, kode sumber situs web, database pengguna, dan lokasi pengantaran untuk pengiriman obat. Timnya juga memiliki kendali atas dompet utama Solaris. Dompet ini digunakan oleh pembeli dan dealer untuk menyetor dan menarik dana, sebagai situs pertukaran cryptocurrency.

Timnya di Hold Security telah meretas salah satu pasar obat online terbesar Rusia, Solaris, dan mengalihkan crypto dealer dan pemilik situs ke badan amal, Enjoying Life, yang menyediakan bantuan kemanusiaan di seluruh Ukraina.

Salah satu pendiri Enjoying Life, Tina Mikhailovskaya, mengonfirmasi bahwa donasi tersebut telah diterima dan semua kontribusi langsung diberikan kepada orang tua, keluarga, dan orang-orang terlantar yang menderita karena perang Rusia.

Penawaran dealer Solaris. Alex Holden, pendiri Hold Security, yakin situs tersebut melakukan ribuan transaksi setiap hari. Alex Holden

Holden juga mengendalikan berbagai bagian pasar tanpa terdeteksi. Menurutnya, hal ini dapat digunakan untuk mengidentifikasi keberadaan penjahat dunia maya Rusia yang menggunakan situs tersebut untuk mendorong operasi mereka.


Koneksi Killnet
Kru peretasan rekan Solaris, Killnet, pada awal tahun muncul menawarkan penghapusan situs web dengan denial of service (DDoS) terdistribusi. Namun Killnet menjadi kru peretas tentara bayaran patriotik setelah Rusia menginvasi Ukraina. Menargetkan Ukraina dan pendukung mereka, situs web bandara AS, Badan Intelijen Geospasial Nasional, dan berbagai situs web pemerintah negara bagian dengan serangan DDoS. D

Dampak serangan tersebut termasuk kecil dibandingkan dengan IT Army Ukraina, yang telah menargetkan berbagai nama besar organisasi Rusia, termasuk Sberbank dan bursa saham Moskow, dengan serangannya sendiri. serangan DDoS.

Sebuah kios obat bertema Natal di Solaris. Alex Holden

Holden ingin sekali menghalangi Killnet, dan infiltrasinya ke Solaris menawarkan satu jalan karena pertukaran tersebut memiliki banyak hubungan dengan grup peretas Rusia.

Kepemimpinan Killnet cukup vokal tentang dukungannya dari Solaris. Dalam wawancara Oktober dengan publikasi Rusia RT, seorang pendiri Killnet, KillMilk, mengatakan gengnya mendapat dukungan besar dari tim Solaris.

Andras Toth-Czifra, seorang analis di perusahaan intelijen siber Flashpoint, melacak operasi Killnet setahun terakhir. Dia mencatat bahwa tak lama setelah wawancara RT, para peretas mengatakan bahwa mereka telah menerima kontribusi keuangan dari Solaris.

Selengkapnya: Forbes

Korea Utara Meretas Hampir 900 Pakar Kebijakan Luar Negeri Korea Selatan, Mencari Uang Tebusan

by

Otoritas Korea Selatan mengatakan serangan itu mungkin telah menipu beberapa korban untuk masuk ke situs web palsu, memperlihatkan detail login mereka kepada penyerang. Badan Intelijen Nasional Korea Selatan yakin Pyongyang telah mencuri sekitar US$1,72 miliar mata uang kripto di seluruh dunia sejak 2017.

Badan Kepolisian Nasional Korea Selatan mengatakan bahwa Korea Utara melakukan serangan siber terhadap setidaknya 892 ahli kebijakan luar negeri dari Korea Selatan untuk mencuri data pribadi dan daftar email mereka serta melakukan serangan ransomware terhadap mal online.

Peretas melakukan penyerangan dimulai pada awal bulan April, menargetkan pakar dan profesor think tank, dengan mengirimkan email phishing tombak dari beberapa akun yang menyamar sebagai tokoh di Korea Selatan. Email berisi tautan situs web palsu atau lampiran yang membawa virus yang dipicu saat dibuka.

Untuk pertama kalinya, polisi mendeteksi peretas Korea Utara menggunakan ransomware, yang mengenkripsi file perangkat target dan meminta uang tebusan untuk membukanya. Peretas juga menyerang pusat perbelanjaan dengan kerentanan keamanan siber.

Polisi dan Badan Intelijen Nasional (NIS) memperkirakan bahwa aktivitas peretas Pyongyang akan berlanjut dan mendesak orang-orang untuk meningkatkan keamanan akun email dan basis data pribadi lainnya.

Pada 30 November lalu, NIS memperkenalkan pusat kerja sama keamanan siber baru agar penyedia keamanan siber pemerintah dan swasta dapat bekerja sama untuk melindungi dari serangan siber sepanjang waktu.

Paik Jong-wook, salah satu wakil presiden NIS, mengatakan bahwa peretas yang didukung negara seperti Korea Utara ini, akan melanjutkan serangan mereka ke Seoul untuk mencuri teknologi Korea Selatan terkait dengan industri nuklir, luar angkasa, semikonduktor, pertahanan nasional, dan strategi bersama dengan AS melawan Pyongyang.

Selengkapnya: South China Morning Post

Malware Pencuri Info Baru Menginfeksi Pembajak Perangkat Lunak Melalui Situs Crack Palsu

by

Malware pencuri informasi baru bernama ‘RisePro’ sedang didistribusikan melalui situs crack palsu yang dioperasikan oleh layanan distribusi malware PrivateLoader pay-per-install (PPI).

RisePro dirancang untuk membantu penyerang mencuri kartu kredit, kata sandi, dan dompet kripto korban dari perangkat yang terinfeksi.

Flashpoint melaporkan bahwa pelaku ancaman telah mulai menjual ribuan log RisePro (paket data yang dicuri dari perangkat yang terinfeksi) di pasar web gelap Rusia.

Detail dan kemampuan RisePro

RisePro adalah malware C++ yang, menurut Flashpoint, mungkin didasarkan pada malware pencuri kata sandi Vidar, karena menggunakan sistem dependensi DLL tertanam yang sama.

DLL dijatuhkan di direktori kerja malware (Flashpoint)

RisePro berupaya mencuri berbagai macam data dari aplikasi, browser, dompet crypto, dan ekstensi browser, seperti yang tercantum di bawah ini:

  • Web browsers: Google Chrome, Firefox, Maxthon3, K-Melon, Sputnik, Nichrome, Uran, Chromodo, Netbox, Comodo, Torch, Orbitum, QIP Surf, Coowon, CatalinaGroup Citrio, Chromium, Elements, Vivaldi, Chedot, CentBrowser, 7start, ChomePlus, Iridium, Amigo, Opera, Brave, CryptoTab, Yandex, IceDragon, BlackHaw, Pale Moon, Atom.
  • Browser extensions: Authenticator, MetaMask, Jaxx Liberty Extension, iWallet, BitAppWallet, SaturnWallet, GuildWallet, MewCx, Wombat, CloverWallet, NeoLine, RoninWallet, LiqualityWallet, EQUALWallet, Guarda, Coinbase, MathWallet, NiftyWallet, Yoroi, BinanceChainWallet, TronLink, Phantom, Oxygen, PaliWallet, PaliWallet, Bolt X, ForboleX, XDEFI Wallet, Maiar DeFi Wallet.
  • Software: Discord, battle.net, Authy Desktop
  • Cryptocurrency assets: Bitcoin, Dogecoin, Anoncoin, BBQCoin, BBQCoin, DashCore, Florincoin, Franko, Freicoin, GoldCoin (GLD), IOCoin, Infinitecoin, Ixcoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Zcash, devcoin, digitalcoin, Litecoin, Reddcoin.

Link to PrivateLoader
PrivateLoader adalah layanan distribusi malware bayar per pemasangan yang disamarkan sebagai crack perangkat lunak, pembuat kunci, dan modifikasi game.

Pelaku ancaman memberikan sampel malware yang ingin mereka distribusikan, kriteria penargetan, dan pembayaran kepada tim PrivateLoader, yang kemudian menggunakan jaringan situs web palsu dan yang diretas untuk mendistribusikan malware.

Dengan tambahan RisePro, Sekoia sekarang melaporkan menemukan kemampuan loader di malware baru, juga menyoroti bahwa bagian kodenya ini memiliki banyak tumpang tindih dengan PrivateLoader.

Kesamaannya termasuk teknik kebingungan string, kebingungan pesan HTTP, dan pengaturan HTTP dan port.

Code similarity of 30% in HTTP port setup (Sekoia)

Salah satu skenario yang mungkin terjadi adalah orang yang sama di belakang PrivateLoader mengembangkan RisePro.

sumber : bleeping computer