Antivirus

9 Kesalahan yang Membuat Anda Rentan Dibobol oleh Peretas

June 12, 2023 by Eevee

Tahu apa yang tidak boleh dilakukan sama pentingnya dengan tahu apa yang harus dilakukan untuk menjaga keamanan Anda.

Banyak dari kita tidak ingin menjadi korban peretas, tetapi terkadang kita tanpa sadar membuat keputusan yang meningkatkan kemungkinan hal tersebut terjadi. Kadang-kadang kesalahan kecil bisa membuka pintu bagi peretas, oleh karena itu penting bagi Anda untuk tahu apa yang harus dihindari.

Berikut ini sembilan hal yang membuat Anda lebih rentan bagi peretas.

1. Menggunakan Jaringan Wi-Fi Publik
Menggunakan Wi-Fi publik di tempat-tempat seperti toko, restoran, atau hotel bisa menghemat kuota data, tetapi juga berisiko tinggi. Jaringan Wi-Fi publik rentan terhadap serangan peretas yang dapat mencuri data sensitif, seperti informasi login atau pembayaran. Bahkan, peretas dapat menciptakan jaringan Wi-Fi palsu yang terlihat seperti jaringan resmi, sehingga membuat Anda rentan terhadap serangan. Solusinya, gunakan VPN saat terhubung ke Wi-Fi publik. Namun, hati-hati dengan VPN gratis yang tidak selalu dapat dipercaya.

2. Tidak Melakukan Pemindaian Perangkat Secara Teratur
Tidak melakukan pemindaian perangkat secara teratur dapat meningkatkan risiko keamanan. Program antivirus perlu memindai perangkat Anda untuk melindungi Anda dari malware. Gunakan fitur pemindaian otomatis harian untuk menjaga perangkat Anda tetap aman.

3. Menggunakan VPN atau Program Antivirus Gratis
Menggunakan VPN atau Program Antivirus Gratis dapat memiliki risiko. Program gratis sering kali menyertakan iklan yang mengganggu dan dapat menjadi sumber penyebaran malware. Selain itu, data pribadi Anda dapat dijual kepada pihak ketiga. Fitur perlindungan dari program gratis juga biasanya kurang efektif. Lebih baik memilih program berbayar yang lebih dapat diandalkan dan memberikan perlindungan yang lebih baik.

4. Menggunakan Perangkat Lunak Lama
Penting untuk memperbarui perangkat lunak secara teratur. Pembaruan perangkat lunak mengatasi bug dan kerentanan keamanan yang dapat dimanfaatkan oleh peretas. Jangan menunda pembaruan karena hal ini dapat meningkatkan risiko serangan terhadap akun dan perangkat Anda.

5. Membuka Tautan atau Lampiran yang Tidak Dikenal
Jangan ceroboh saat membuka tautan atau lampiran yang tidak dikenal. Malware bisa menyebar melalui tautan tersebut dan mengarahkan Anda ke situs phishing yang berbahaya. Pastikan untuk memverifikasi keaslian tautan dan lampiran sebelum membukanya. Gunakan situs pemeriksa tautan gratis seperti VirusTotal dan pelajari cara mengenali lampiran berbahaya.

6. Menggunakan Situs Web HTTP
HTTP (Hypertext Transfer Protocol) adalah protokol lama yang digunakan untuk mengirimkan data melalui internet, sementara HTTPS (Hypertext Transfer Protocol Secure) adalah protokol yang lebih aman. Situs web yang menggunakan HTTPS menggunakan enkripsi untuk melindungi data Anda, sementara situs web dengan HTTP rentan terhadap serangan peretas. Oleh karena itu, disarankan untuk menghindari situs web HTTP dan memilih situs web yang menggunakan HTTPS untuk menjaga keamanan data Anda.

7. Menggunakan Kata Sandi yang Lemah
Penting untuk memiliki kata sandi yang kuat dan unik untuk melindungi akun online Anda. Kata sandi yang lemah dapat dengan mudah ditebak oleh peretas, yang dapat mengakses akun Anda dan mencuri informasi pribadi Anda. Untuk meningkatkan keamanan, gunakan kata sandi kompleks yang terdiri dari kombinasi huruf besar dan kecil, angka, dan simbol. Disarankan juga untuk menggunakan otentikasi untuk melindungi akun anda.

8. Membagikan Informasi Pribadi di Media Sosial
Jaga privasi Anda di media sosial. Hindari membagikan informasi pribadi seperti tanggal lahir, alamat, dan nomor telepon. Peretas dapat memanfaatkannya untuk mencuri identitas Anda atau melakukan serangan phishing. Batasi informasi yang Anda bagikan dan periksa pengaturan privasi akun media sosial Anda.

9. Tidak Mem-backup Data Secara Teratur
Selalu lakukan backup data secara teratur untuk melindungi data berharga Anda dari kemungkinan bencana, kehilangan perangkat, serangan ransomware, atau kerusakan fisik. Simpan salinan cadangan di tempat yang aman, seperti perangkat penyimpanan eksternal atau layanan cloud yang terenkripsi. Ini merupakan langkah penting untuk menjaga keamanan dan pemulihan data Anda.

Jangan biarkan diri Anda rentan terhadap peretas. Dengan menghindari kesalahan di atas, Anda bisa meningkatkan keamanan online Anda dan melindungi informasi pribadi Anda dari serangan.

Sumber: Makeuseof

Penyerang Ransomware Menyalahgunakan Sistem Anti-Cheat Genshin untuk Menonaktifkan Antivirus

September 6, 2022 by Eevee

Driver anti-cheat yang rentan untuk video game Genshin Impact telah dimanfaatkan oleh pelaku kejahatan dunia maya untuk menonaktifkan program antivirus guna memfasilitasi penyebaran ransomware, menurut temuan dari Trend Micro.

Infeksi ransomware, yang dipicu pada minggu terakhir Juli 2022, mengandalkan fakta bahwa driver yang dimaksud (“mhyprot2.sys”) ditandatangani dengan sertifikat yang valid, sehingga memungkinkan untuk menghindari hak istimewa dan menghentikan layanan yang terkait dengan aplikasi perlindungan titik akhir.

Genshin Impact adalah Game aksi populer yang dikembangkan dan diterbitkan oleh pengembang miHoYo yang berbasis di Shanghai pada September 2020.

Driver yang digunakan dalam rantai serangan dikatakan telah dibuat pada Agustus 2020, dengan adanya kelemahan dalam modul yang dibahas setelah rilis game, dan mengarah ke eksploitasi yang menunjukkan kemampuan untuk membunuh proses sewenang-wenang dan meningkat ke kernel mode.

Idenya, singkatnya, adalah menggunakan modul driver perangkat yang sah dengan penandatanganan kode yang valid untuk meningkatkan hak istimewa dari mode pengguna ke mode kernel, menegaskan kembali bagaimana musuh terus mencari cara berbeda untuk menyebarkan malware secara diam-diam.

Dalam insiden yang dianalisis oleh Trend Micro, titik akhir yang disusupi milik entitas yang tidak disebutkan namanya digunakan sebagai saluran untuk terhubung ke pengontrol domain melalui protokol desktop jarak jauh (RDP) dan mentransfer ke sana penginstal Windows yang menyamar sebagai AVG Internet Security, yang menjatuhkan dan dieksekusi, antara lain, driver yang rentan.

Tujuannya, kata para peneliti, adalah untuk menyebarkan ransomware secara massal menggunakan pengontrol domain melalui file batch yang menginstal driver, mematikan layanan antivirus, dan meluncurkan muatan ransomware.

Trend Micro menunjukkan bahwa game “tidak perlu diinstal pada perangkat korban agar ini berfungsi,” yang berarti pelaku ancaman dapat dengan mudah menginstal driver anti-cheat sebagai pendahulu penyebaran ransomware.

Kami telah menghubungi miHoYo untuk memberikan komentar, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.

“Masih jarang ditemukan modul dengan penandatanganan kode sebagai driver perangkat yang dapat disalahgunakan,” kata para peneliti. “Modul ini sangat mudah didapat dan akan tersedia untuk semua orang sampai dihapus dari keberadaannya. Modul ini bisa bertahan lama sebagai utilitas yang berguna untuk melewati hak istimewa.”

“Pencabutan sertifikat dan deteksi antivirus mungkin membantu untuk mencegah penyalahgunaan, tetapi tidak ada solusi saat ini karena ini adalah modul yang sah.”

Sumber: The Hackernews

Bagaimana malware menipu pengguna dan antivirus

August 3, 2022 by Eevee

Salah satu metode utama yang digunakan oleh distributor malware untuk menginfeksi perangkat adalah dengan menipu orang agar mengunduh dan menjalankan file berbahaya, dan untuk mencapai penipuan ini, pembuat malware menggunakan berbagai trik.

Beberapa trik ini termasuk menyamarkan malware yang dapat dieksekusi sebagai aplikasi yang sah, menandatanganinya dengan sertifikat yang valid, atau mengorbankan situs tepercaya untuk menggunakannya sebagai titik distribusi.

Menurut VirusTotal, platform keamanan untuk memindai file yang diunggah untuk malware, beberapa trik ini terjadi dalam skala yang jauh lebih besar daripada yang diperkirakan sebelumnya.

Platform ini telah menyusun laporan yang menyajikan statistik dari Januari 2021 hingga Juli 2022, berdasarkan pengiriman dua juta file setiap hari, yang menggambarkan tren bagaimana malware didistribusikan.

Mendistribusikan malware melalui situs web yang sah, populer, dan berperingkat tinggi memungkinkan pelaku ancaman untuk menghindari daftar blokir berbasis IP, menikmati ketersediaan tinggi, dan memberikan tingkat kepercayaan yang lebih besar.

VirusTotal mendeteksi 2,5 juta file mencurigakan yang diunduh dari 101 domain milik 1.000 situs web teratas Alexa.

Kasus penyalahgunaan yang paling menonjol adalah Discord, yang telah menjadi sarang distribusi malware, dengan layanan hosting dan penyedia layanan cloud Squarespace dan Amazon juga mencatat jumlah besar.

Domain yang paling banyak disalahgunakan untuk distribusi malware (VirusTotal)

Otoritas penandatanganan yang digunakan oleh pembuat malware (VirusTotal)

Menandatangani sampel malware dengan sertifikat valid yang dicuri dari perusahaan adalah cara yang andal untuk menghindari deteksi AV dan peringatan keamanan pada host.

Dari semua sampel berbahaya yang diunggah ke VirusTotal antara Januari 2021 dan April 2022, lebih dari satu juta ditandatangani, dan 87% menggunakan sertifikat yang valid.

Otoritas sertifikasi paling umum yang digunakan untuk menandatangani sampel berbahaya yang dikirimkan ke VirusTotal termasuk Sectigo, DigiCert, USERTrust, dan Sage South Africa.

Menyamarkan malware yang dapat dieksekusi sebagai aplikasi populer yang sah telah mengalami tren peningkatan pada tahun 2022.

Korban mengunduh file-file ini dengan mengira mereka mendapatkan aplikasi yang mereka butuhkan, tetapi setelah menjalankan penginstal, mereka menginfeksi sistem mereka dengan malware.

Aplikasi yang paling banyak ditiru (berdasarkan ikon) adalah Skype, Adobe Acrobat, VLC, dan 7zip.

Program pengoptimalan Windows populer CCleaner yang kami lihat dalam kampanye peracunan SEO baru-baru ini adalah salah satu pilihan utama peretas dan menampilkan rasio infeksi yang sangat tinggi untuk volume distribusinya.

Rasio infeksi malware oleh aplikasi yang ditiru (VirusTotal)

Terakhir, ada trik menyembunyikan malware di dalam penginstal aplikasi yang sah dan menjalankan proses infeksi di latar belakang sementara aplikasi sebenarnya dijalankan di latar depan.

Proses ini membantu dalam mengelabui para korban dan juga menghindari beberapa mesin antivirus yang tidak meneliti struktur sumber daya PR dan konten dalam executable.

Berdasarkan statistik VirusTotal, praktik ini juga tampaknya meningkat tahun ini, menggunakan Google Chrome, Malwarebytes, Pembaruan Windows, Zoom, Brave, Firefox, ProtonVPN, dan Telegram sebagai umpan.

Saat ingin mengunduh perangkat lunak, gunakan toko aplikasi bawaan OS Anda atau kunjungi halaman unduhan resmi aplikasi. Juga, waspadalah terhadap iklan yang dipromosikan pada hasil pencarian yang mungkin berperingkat lebih tinggi karena dapat dengan mudah dipalsukan agar terlihat seperti situs yang sah.

Setelah mengunduh penginstal, selalu lakukan pemindaian AV pada file sebelum menjalankannya untuk memastikan mereka bukan malware yang menyamar.

Terakhir, hindari menggunakan situs torrent untuk crack atau keygens untuk perangkat lunak berhak cipta, karena biasanya menyebabkan infeksi malware.

Sumber: Bleeping Computer

Adobe Acrobat dapat memblokir alat antivirus dari pemantauan file PDF

June 22, 2022 by Eevee

Peneliti keamanan menemukan bahwa Adobe Acrobat sedang mencoba untuk memblokir perangkat lunak keamanan agar tidak terlihat ke dalam file PDF yang dibukanya, menciptakan risiko keamanan bagi pengguna.

Agar alat keamanan berfungsi, diperlukan visibilitas ke semua proses pada sistem, yang dicapai dengan menyuntikkan pustaka tautan dinamis (DLL) ke dalam produk perangkat lunak yang diluncurkan pada mesin.

File PDF telah disalahgunakan di masa lalu untuk mengeksekusi malware pada sistem. Salah satu metode tersebut adalah menambahkan perintah di bagian ‘OpenAction’ dokumen untuk menjalankan perintah PowerShell untuk aktivitas jahat, jelas para peneliti di perusahaan keamanan siber Minerva Labs.

Menurut laporan minggu ini, daftar tersebut telah berkembang menjadi 30 DLL dari produk keamanan dari berbagai vendor. Di antara yang lebih populer dengan konsumen adalah Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.

Sementara Chromium DLL hadir dengan daftar pendek komponen yang akan masuk daftar hitam karena menyebabkan konflik, vendor yang menggunakannya dapat membuat modifikasi dan menambahkan DLL apa pun yang mereka inginkan.

Daftar DLL hardcoded Chromium, sumber: Minerva Labs

Para peneliti menjelaskan bahwa “libcef.dll dimuat oleh dua proses Adobe: AcroCEF.exe dan RdrCEF.exe” sehingga kedua produk memeriksa sistem untuk komponen produk keamanan yang sama.

Melihat lebih dekat pada apa yang terjadi dengan DLL yang disuntikkan ke dalam proses Adobe, Minerva Labs menemukan bahwa Adobe memeriksa apakah nilai bBlockDllInjection di bawah kunci registri ‘SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\’ diatur ke 1. Jika demikian, itu akan mencegah DLL perangkat lunak antivirus disuntikkan ke dalam proses.

Perlu dicatat bahwa nilai kunci registri saat Adobe Reader dijalankan untuk pertama kalinya adalah ‘0’ dan dapat dimodifikasi kapan saja.

Menurut peneliti Minerva Labs Natalie Zargarov, nilai default untuk kunci registri diatur ke ‘1’ – menunjukkan pemblokiran aktif. Pengaturan ini mungkin bergantung pada sistem operasi atau versi Adobe Acrobat yang diinstal, serta variabel lain pada sistem.

Dalam sebuah posting di forum Citrix pada tanggal 28 Maret, seorang pengguna yang mengeluh tentang kesalahan Sophos AV karena menginstal produk Adobe mengatakan bahwa perusahaan “menyarankan untuk menonaktifkan injeksi DLL untuk Acrobat dan Reader.

Adobe menanggapi pengguna Citrix yang mengalami kesalahan pada mesin dengan Sophos AV

Adobe mengonfirmasi bahwa pengguna telah melaporkan mengalami masalah karena komponen DLL dari beberapa produk keamanan tidak kompatibel dengan penggunaan perpustakaan CEF oleh Adobe Acrobat.

Perusahaan menambahkan bahwa saat ini sedang bekerja dengan vendor untuk mengatasi masalah dan “untuk memastikan fungsionalitas yang tepat dengan desain kotak pasir CEF Acrobat ke depan.”

Peneliti Minerva Labs berpendapat bahwa Adobe memilih solusi yang memecahkan masalah kompatibilitas tetapi memperkenalkan risiko serangan nyata dengan mencegah perangkat lunak keamanan melindungi sistem.

Sumber: Bleeping Computer

Pembaruan antivirus palsu yang digunakan untuk menyebarkan Cobalt Strike di Ukraina

March 15, 2022 by Eevee

Tim Tanggap Darurat Komputer Ukraina memperingatkan bahwa pelaku ancaman menyebarkan pembaruan antivirus Windows palsu yang menginstal Cobalt Strike dan malware lainnya.

Email phishing tersebut meniru agen pemerintah Ukraina yang menawarkan cara untuk meningkatkan keamanan jaringan dan menyarankan penerima untuk mengunduh “pembaruan keamanan penting,” yang datang dalam bentuk file 60 MB bernama “BitdefenderWindowsUpdatePackage.exe.”

Email phishing yang mendesak pengunduhan AV updater palsu (CERT-UA)

Email ini berisi tautan ke situs web Prancis (sekarang offline) yang menawarkan tombol unduh untuk dugaan pembaruan perangkat lunak AV. Situs web lain, nirsoft[.]me, juga ditemukan oleh MalwareHunterTeam sebagai server perintah dan kontrol untuk kampanye ini.

Situs web pengirim malware
Sumber:CERT-UA

Ketika seorang korban mengunduh dan menjalankan pembaruan BitDefender Windows palsu ini [VirusTotal], layar di bawah ini akan ditampilkan yang meminta pengguna untuk menginstal ‘Paket Pembaruan Windows’.

Paket Pembaruan Windows Bitdefender
Sumber: MalwareHunterTeam

Namun, ‘pembaruan’ ini sebenarnya mengunduh dan menginstal file one.exe [VirusTotal] dari CDN Discord, yang merupakan suar Cobalt Strike.

Proses yang sama mengambil pengunduh Go (dropper.exe) yang mendekode dan mengeksekusi file dengan enkode base-64 (java-sdk.exe).

File ini menambahkan kunci registri Windows baru untuk kegigihan dan juga mengunduh dua muatan lagi, pintu belakang GraphSteel (microsoft-cortana.exe) dan pintu belakang GrimPlant (oracle-java.exe).

Rantai infeksi kampanye yang tidak terungkap (CERT-UA)

Semua executable dalam kampanye dikemas pada alat Themida, yang melindungi mereka dari rekayasa balik, deteksi, dan analisis.

Baik GraphSteel dan GrimPlant adalah malware yang ditulis dalam Go, bahasa pemrograman serbaguna dan lintas platform dengan footprint minimal dan tingkat deteksi AV yang rendah.

Kemampuan kedua alat tersebut mencakup pengintaian jaringan, eksekusi perintah, dan operasi file, sehingga fakta bahwa keduanya digunakan dalam sistem yang sama kemungkinan dilakukan untuk redundansi.

Tim Tanggap Darurat Komputer Ukraina mengaitkan aktivitas yang terdeteksi dengan grup UAC-0056 dengan tingkat kepercayaan sedang. UAC-0056, juga dikenal sebagai “Lorec53”, adalah APT berbahasa Rusia canggih yang menggunakan kombinasi email phishing dan pintu belakang khusus untuk mengumpulkan informasi dari organisasi Ukraina.

UAC-0056 terlihat meningkatkan distribusi phishing dan upaya kompromi jaringan di Ukraina sejak Desember 2021.

Aktor yang sama terlihat menargetkan lembaga pemerintah Georgia dengan umpan phishing di masa lalu, jadi ada tingkat koordinasi dan keselarasan yang tinggi dengan kepentingan negara Rusia.

Sumber : Bleeping Computer

Grup Hacker Turla Menggunakan Inbox Gmail Untuk Mengirim Perintah Kepada Malware

May 27, 2020 by Winnie the Pooh

Peneliti keamanan dari ESET telah menemukan serangan baru yang dilakukan oleh Turla, salah satu kelompok peretasan yang disponsori negara paling maju di Rusia.

Serangan-serangan baru itu terjadi pada Januari 2020. Para peneliti ESET mengatakan serangan itu menargetkan tiga entitas terkenal, seperti parlemen nasional di Kaukasus dan dua Kementerian Luar Negeri di Eropa Timur.

Serangan ini, menurut ESET, menggunakan versi terbaru dari malware ComRAT, yang berisi beberapa fitur baru yang cukup pintar.

Malware ComRAT, juga dikenal sebagai Agent.BTZ, adalah salah satu senjata tertua Turla, dan yang mereka gunakan untuk menyedot data dari jaringan Pentagon pada 2008.

Versi terbaru, yang dikenal sebagai ComRAT v4, pertama kali terlihat pada tahun 2017, namun, dalam sebuah laporan yang diterbitkan kemarin, ESET mengatakan mereka telah melihat variasi ComRAT v4 yang mencakup dua fitur baru, seperti kemampuan untuk mengambil log antivirus dan kemampuan untuk mengendalikan malware menggunakan kotak masuk Gmail.

Fitur pertama adalah kemampuan malware untuk mengumpulkan log antivirus dari host yang terinfeksi dan mengunggahnya ke salah satu server perintah dan kontrolnya. Matthieu Faou, peneliti ESET yang menganalisis malware ini, mengatakan kepada ZDNet bahwa operator Turla mungkin mengumpulkan log antivirus agar “memungkinkan mereka untuk lebih memahami jika dan salah satu sampel malware mereka terdeteksi.” Jika operator Turla melihat deteksi, mereka kemudian dapat mengubah malware mereka dan menghindari deteksi di masa depan pada sistem lain, di mana mereka kemudian dapat beroperasi tanpa terdeteksi.

Yang kedua, dan yang baru, adalah penggunaan antarmuka web Gmail. Faou mengatakan bahwa ComRAT v4 terbaru mengambil alih salah satu browser korban, memuat file cookie yang telah ditentukan, dan kemudian memulai sesi ke dasbor web Gmail. Di sini, malware membaca email terbaru di kotak masuk, mengunduh lampiran file, dan kemudian membaca instruksi yang terkandung di dalam file.

Idenya adalah bahwa setiap kali operator Turla ingin mengeluarkan perintah baru untuk instance ComRAT yang berjalan di host yang terinfeksi, peretas hanya perlu mengirim email ke alamat Gmail.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Memanfaatkan (Hampir) Setiap Security Software

April 22, 2020 by Winnie the Pooh

Tim Peneliti Keamanan di RACK911 Labs mengungkapkan sebuah metode yang dapat digunakan pada security software terkenal seperti McAfee dan Kaspersky.

Mereka menggunakan metode unik yang menggunakan directory junctions (Windows) dan symlinks (macOS & Linux) untuk mengubah hampir setiap security software menjadi alat penghancur diri.

RACK911 Labs mulai memberi tahu vendor pada musim gugur 2018. Hingga saat ini mereka telah melaporkan kerentanan keamanan di semua platform utama yang memengaruhi setiap vendor antivirus yang terkenal. Sebagian besar vendor antivirus telah memperbaiki produk mereka dengan beberapa pengecualian yang tidak menguntungkan.

Selengkapnya dapat ditemukan pada tautan dan video di bawah ini:

Source: Rack911 Labs

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Antivirus

Cookies Settings