Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Adobe Acrobat

Adobe Acrobat

Bagaimana malware menipu pengguna dan antivirus

by

Salah satu metode utama yang digunakan oleh distributor malware untuk menginfeksi perangkat adalah dengan menipu orang agar mengunduh dan menjalankan file berbahaya, dan untuk mencapai penipuan ini, pembuat malware menggunakan berbagai trik.

Beberapa trik ini termasuk menyamarkan malware yang dapat dieksekusi sebagai aplikasi yang sah, menandatanganinya dengan sertifikat yang valid, atau mengorbankan situs tepercaya untuk menggunakannya sebagai titik distribusi.

Menurut VirusTotal, platform keamanan untuk memindai file yang diunggah untuk malware, beberapa trik ini terjadi dalam skala yang jauh lebih besar daripada yang diperkirakan sebelumnya.

Platform ini telah menyusun laporan yang menyajikan statistik dari Januari 2021 hingga Juli 2022, berdasarkan pengiriman dua juta file setiap hari, yang menggambarkan tren bagaimana malware didistribusikan.

Mendistribusikan malware melalui situs web yang sah, populer, dan berperingkat tinggi memungkinkan pelaku ancaman untuk menghindari daftar blokir berbasis IP, menikmati ketersediaan tinggi, dan memberikan tingkat kepercayaan yang lebih besar.

VirusTotal mendeteksi 2,5 juta file mencurigakan yang diunduh dari 101 domain milik 1.000 situs web teratas Alexa.

Kasus penyalahgunaan yang paling menonjol adalah Discord, yang telah menjadi sarang distribusi malware, dengan layanan hosting dan penyedia layanan cloud Squarespace dan Amazon juga mencatat jumlah besar.

Domain yang paling banyak disalahgunakan untuk distribusi malware (VirusTotal)
Otoritas penandatanganan yang digunakan oleh pembuat malware (VirusTotal)

Menandatangani sampel malware dengan sertifikat valid yang dicuri dari perusahaan adalah cara yang andal untuk menghindari deteksi AV dan peringatan keamanan pada host.

Dari semua sampel berbahaya yang diunggah ke VirusTotal antara Januari 2021 dan April 2022, lebih dari satu juta ditandatangani, dan 87% menggunakan sertifikat yang valid.

Otoritas sertifikasi paling umum yang digunakan untuk menandatangani sampel berbahaya yang dikirimkan ke VirusTotal termasuk Sectigo, DigiCert, USERTrust, dan Sage South Africa.

Menyamarkan malware yang dapat dieksekusi sebagai aplikasi populer yang sah telah mengalami tren peningkatan pada tahun 2022.

Korban mengunduh file-file ini dengan mengira mereka mendapatkan aplikasi yang mereka butuhkan, tetapi setelah menjalankan penginstal, mereka menginfeksi sistem mereka dengan malware.

Aplikasi yang paling banyak ditiru (berdasarkan ikon) adalah Skype, Adobe Acrobat, VLC, dan 7zip.

Program pengoptimalan Windows populer CCleaner yang kami lihat dalam kampanye peracunan SEO baru-baru ini adalah salah satu pilihan utama peretas dan menampilkan rasio infeksi yang sangat tinggi untuk volume distribusinya.

Rasio infeksi malware oleh aplikasi yang ditiru (VirusTotal)

Terakhir, ada trik menyembunyikan malware di dalam penginstal aplikasi yang sah dan menjalankan proses infeksi di latar belakang sementara aplikasi sebenarnya dijalankan di latar depan.

Proses ini membantu dalam mengelabui para korban dan juga menghindari beberapa mesin antivirus yang tidak meneliti struktur sumber daya PR dan konten dalam executable.

Berdasarkan statistik VirusTotal, praktik ini juga tampaknya meningkat tahun ini, menggunakan Google Chrome, Malwarebytes, Pembaruan Windows, Zoom, Brave, Firefox, ProtonVPN, dan Telegram sebagai umpan.

Saat ingin mengunduh perangkat lunak, gunakan toko aplikasi bawaan OS Anda atau kunjungi halaman unduhan resmi aplikasi. Juga, waspadalah terhadap iklan yang dipromosikan pada hasil pencarian yang mungkin berperingkat lebih tinggi karena dapat dengan mudah dipalsukan agar terlihat seperti situs yang sah.

Setelah mengunduh penginstal, selalu lakukan pemindaian AV pada file sebelum menjalankannya untuk memastikan mereka bukan malware yang menyamar.

Terakhir, hindari menggunakan situs torrent untuk crack atau keygens untuk perangkat lunak berhak cipta, karena biasanya menyebabkan infeksi malware.

Sumber: Bleeping Computer

Adobe Acrobat dapat memblokir alat antivirus dari pemantauan file PDF

by

Peneliti keamanan menemukan bahwa Adobe Acrobat sedang mencoba untuk memblokir perangkat lunak keamanan agar tidak terlihat ke dalam file PDF yang dibukanya, menciptakan risiko keamanan bagi pengguna.

Agar alat keamanan berfungsi, diperlukan visibilitas ke semua proses pada sistem, yang dicapai dengan menyuntikkan pustaka tautan dinamis (DLL) ke dalam produk perangkat lunak yang diluncurkan pada mesin.

File PDF telah disalahgunakan di masa lalu untuk mengeksekusi malware pada sistem. Salah satu metode tersebut adalah menambahkan perintah di bagian ‘OpenAction’ dokumen untuk menjalankan perintah PowerShell untuk aktivitas jahat, jelas para peneliti di perusahaan keamanan siber Minerva Labs.

Menurut laporan minggu ini, daftar tersebut telah berkembang menjadi 30 DLL dari produk keamanan dari berbagai vendor. Di antara yang lebih populer dengan konsumen adalah Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.

Sementara Chromium DLL hadir dengan daftar pendek komponen yang akan masuk daftar hitam karena menyebabkan konflik, vendor yang menggunakannya dapat membuat modifikasi dan menambahkan DLL apa pun yang mereka inginkan.

Daftar DLL hardcoded Chromium, sumber: Minerva Labs

Para peneliti menjelaskan bahwa “libcef.dll dimuat oleh dua proses Adobe: AcroCEF.exe dan RdrCEF.exe” sehingga kedua produk memeriksa sistem untuk komponen produk keamanan yang sama.

Melihat lebih dekat pada apa yang terjadi dengan DLL yang disuntikkan ke dalam proses Adobe, Minerva Labs menemukan bahwa Adobe memeriksa apakah nilai bBlockDllInjection di bawah kunci registri ‘SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\’ diatur ke 1. Jika demikian, itu akan mencegah DLL perangkat lunak antivirus disuntikkan ke dalam proses.

Perlu dicatat bahwa nilai kunci registri saat Adobe Reader dijalankan untuk pertama kalinya adalah ‘0’ dan dapat dimodifikasi kapan saja.

Menurut peneliti Minerva Labs Natalie Zargarov, nilai default untuk kunci registri diatur ke ‘1’ – menunjukkan pemblokiran aktif. Pengaturan ini mungkin bergantung pada sistem operasi atau versi Adobe Acrobat yang diinstal, serta variabel lain pada sistem.

Dalam sebuah posting di forum Citrix pada tanggal 28 Maret, seorang pengguna yang mengeluh tentang kesalahan Sophos AV karena menginstal produk Adobe mengatakan bahwa perusahaan “menyarankan untuk menonaktifkan injeksi DLL untuk Acrobat dan Reader.

Adobe menanggapi pengguna Citrix yang mengalami kesalahan pada mesin dengan Sophos AV

Adobe mengonfirmasi bahwa pengguna telah melaporkan mengalami masalah karena komponen DLL dari beberapa produk keamanan tidak kompatibel dengan penggunaan perpustakaan CEF oleh Adobe Acrobat.

Perusahaan menambahkan bahwa saat ini sedang bekerja dengan vendor untuk mengatasi masalah dan “untuk memastikan fungsionalitas yang tepat dengan desain kotak pasir CEF Acrobat ke depan.”

Peneliti Minerva Labs berpendapat bahwa Adobe memilih solusi yang memecahkan masalah kompatibilitas tetapi memperkenalkan risiko serangan nyata dengan mencegah perangkat lunak keamanan melindungi sistem.

Sumber: Bleeping Computer

Ekstensi Google Chrome dapat mengambil fingerprint untuk melacak Anda secara online

by

Seorang peneliti telah membuat situs web yang menggunakan ekstensi Google Chrome yang Anda pasang untuk menghasilkan sidik jari perangkat Anda yang dapat digunakan untuk melacak Anda secara online.

Untuk melacak pengguna di web, dimungkinkan untuk membuat sidik jari, atau melacak hash, berdasarkan berbagai karakteristik perangkat yang terhubung ke situs web. Karakteristik ini mencakup kinerja GPU, aplikasi Windows yang diinstal, resolusi layar perangkat, konfigurasi perangkat keras, dan bahkan font yang diinstal.

Kemudian dimungkinkan untuk melacak perangkat di seluruh situs menggunakan metode sidik jari yang sama.

Kemarin, pengembang web ‘z0ccc’ membagikan situs sidik jari baru yang disebut ‘Sidik Jari Ekstensi’ yang dapat menghasilkan hash pelacakan berdasarkan ekstensi Google Chrome yang dipasang di browser.

Saat membuat ekstensi browser Chrome, Anda dapat mendeklarasikan aset tertentu sebagai ‘sumber daya yang dapat diakses web’ yang dapat diakses oleh halaman web atau ekstensi lainnya.

Sumber daya ini biasanya berupa file gambar, yang dideklarasikan menggunakan properti ‘web_accessible_resources’ dalam file manifes ekstensi browser.

Seperti yang diungkapkan sebelumnya pada tahun 2019, dimungkinkan untuk menggunakan sumber daya yang dapat diakses melalui web untuk memeriksa ekstensi yang diinstal dan menghasilkan sidik jari browser pengunjung berdasarkan kombinasi ekstensi yang ditemukan.

Untuk mencegah deteksi, z0ccc mengatakan bahwa beberapa ekstensi menggunakan token rahasia yang diperlukan untuk mengakses sumber daya web. Namun, peneliti menemukan metode ‘Perbandingan waktu sumber daya’ yang masih dapat digunakan untuk mendeteksi jika ekstensi dipasang.

Untuk mengilustrasikan metode sidik jari ini, z0ccc membuat situs web Extension Fingerprints yang akan memeriksa keberadaan sumber daya yang dapat diakses web di 1.170 ekstensi populer yang tersedia di Google Chrome Web Store di browser pengunjung.

Beberapa ekstensi yang akan diidentifikasi oleh situs web adalah uBlock, LastPass, Adobe Acrobat, Honey, Grammarly, Rakuten, dan ColorZilla.

Berdasarkan kombinasi ekstensi yang diinstal, situs web akan menghasilkan hash pelacakan yang dapat digunakan untuk melacak browser tertentu, seperti yang ditunjukkan di bawah ini.

Menghasilkan Sidik Jari Ekstensi
Sumber: BleepingComputer

Beberapa ekstensi populer, seperti MetaMask, tidak mengekspos sumber daya apa pun, tetapi z0ccc masih dapat mengidentifikasi apakah ekstensi tersebut diinstal dengan memeriksa apakah “typeof window.ethereum sama dengan undefined.”

Sementara mereka yang tidak memasang ekstensi akan memiliki sidik jari yang sama dan kurang berguna untuk pelacakan, mereka yang memiliki banyak ekstensi akan memiliki sidik jari yang kurang umum yang dapat digunakan untuk melacaknya di web.

Namun, menambahkan karakteristik lain ke model sidik jari dapat lebih menyempurnakan sidik jari, menjadikan hash unik per pengguna.

Situs Sidik Jari Ekstensi hanya berfungsi dengan browser Chromium yang memasang ekstensi dari Toko Web Chrome. Meskipun metode ini akan bekerja dengan Microsoft Edge, metode ini perlu dimodifikasi untuk menggunakan ID ekstensi dari toko ekstensi Microsoft.

Metode ini tidak berfungsi dengan add-on Mozilla Firefox karena ID ekstensi Firefox unik untuk setiap instance browser.

Sementara z0ccc tidak mengumpulkan data apa pun mengenai ekstensi yang diinstal, pengujiannya sendiri menunjukkan bahwa uBlock yang diinstal adalah sidik jari ekstensi yang paling umum.

Dalam pengujian kami, memasang tiga hingga empat ekstensi membawa persentase pengguna yang menggunakan ekstensi yang sama serendah 0,006%. Jelas, semakin banyak ekstensi yang dipasang, semakin sedikit orang yang memasang kombinasi yang sama.

z0ccc mengatakan persentase 0,006% menunjukkan bahwa Anda adalah satu-satunya pengguna dengan kombinasi ekstensi itu, tetapi ini akan berubah seiring semakin banyak orang mengunjungi situs tersebut.

Sidik Jari Ekstensi telah dirilis sebagai proyek React sumber terbuka di GitHub, memungkinkan siapa saja untuk melihat cara menanyakan keberadaan ekstensi yang diinstal.

Pembaruan 19/06/22: Mengklarifikasi bahwa z0ccc tidak menemukan metode untuk mendeteksi ekstensi yang diinstal melainkan metode perbandingan waktu.

Sumber: Bleeping Computer