Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for BOT

BOT

Pranksters di Twitter menggagalkan bot GPT-3 dengan peretasan “prompt injection” yang baru ditemukan

by

Pada hari Kamis, beberapa pengguna Twitter menemukan cara membajak bot tweet otomatis, yang didedikasikan untuk pekerjaan jarak jauh, yang berjalan pada model bahasa GPT-3 oleh OpenAI. Menggunakan teknik yang baru ditemukan yang disebut “promt injection attack”, mereka mengarahkan bot untuk mengulangi frasa yang memalukan dan konyol.

Bot dijalankan oleh Remoteli.io, sebuah situs yang mengumpulkan peluang kerja jarak jauh dan menggambarkan dirinya sebagai “bot berbasis OpenAI yang membantu Anda menemukan pekerjaan jarak jauh yang memungkinkan Anda bekerja dari mana saja.” Biasanya akan menanggapi tweet yang diarahkan padanya dengan pernyataan umum tentang hal-hal positif dari pekerjaan jarak jauh. Setelah eksploitasi menjadi viral dan ratusan orang mencoba eksploitasi untuk diri mereka sendiri, bot ditutup kemarin malam.

Peretasan ini terjadi hanya empat hari setelah peneliti data Riley Goodside menemukan kemampuan untuk meminta GPT-3 dengan “input berbahaya” yang memerintahkan model untuk mengabaikan petunjuk sebelumnya dan melakukan hal lain sebagai gantinya. Peneliti AI Simon Willison memposting garis besar eksploitasi di blognya pada hari berikutnya, menciptakan istilah “prompt injection” untuk menggambarkannya.

“Eksploitasi hadir kapan saja ada orang yang menulis perangkat lunak yang berfungsi dengan memberikan serangkaian instruksi cepat yang diprogram dan kemudian menambahkan input yang disediakan oleh pengguna,” kata Willison kepada Ars. “Hal tersebut dikarenakan pengguna dapat mengetik ‘Abaikan instruksi sebelumnya dan (lakukan ini sebagai gantinya).'”

Selengkapnya: ars TECHNICA

Penjahat siber menggunakan messaging apps untuk meluncurkan skema malware

by

Peneliti Intel 471 melaporkan bahwa penjahat siber memanfaatkan bot di dalam aplikasi perpesanan berbasis cloud populer seperti Discord dan Telegram untuk menyebarkan malware.

Bot biasanya digunakan untuk berbagi media, bermain game, saluran moderat, atau tugas otomatis lainnya yang dapat dibuat oleh pengembang.

Para peneliti mengatakan penjahat siber menggunakan platform tersebut untuk meng-host, mendistribusikan, dan menjalankan berbagai fungsi yang pada akhirnya memungkinkan mereka untuk mencuri kredensial atau informasi lain dari pengguna yang tidak sadar

Peneliti Intel 471 juga menemukan beberapa alat pencuri informasi yang tersedia secara bebas untuk diunduh yang mengandalkan Discord atau Telegram untuk fungsionalitasnya.

Salah satunya Blitzed Grabber, mereka menggunakan fitur webhook Discord sebagai cara untuk menyimpan data yang dieksfiltrasi melalui malware. Webhook menyediakan cara mudah untuk mengirim pesan otomatis dan pembaruan data dari mesin korban ke saluran pesan tertentu.

Pencuri ini dapat mencuri semua jenis informasi, termasuk data isi otomatis, bookmark, cookie browser, kredensial dari klien jaringan pribadi virtual (VPN), informasi kartu pembayaran, dompet cryptocurrency, informasi sistem operasi, kata sandi, dan kunci produk Microsoft Windows. Beberapa grabber, termasuk Blitzed Grabber, Mercurial Grabber, dan 44Caliber, juga menargetkan kredensial untuk platform game Minecraft dan Roblox.

Satu bot khusus Telegram, yang dikenal sebagai X-Files, memiliki fungsionalitas yang dapat diakses melalui perintah bot di dalam Telegram. Setelah malware dimuat ke sistem korban, pelaku jahat dapat menggesek kata sandi, cookie sesi, kredensial login, dan detail kartu kredit, dengan mengarahkan informasi itu ke saluran Telegram yang mereka pilih. X-Files dapat mengambil informasi dari berbagai browser, termasuk Google Chrome, Chromium, Opera, Slimjet, dan Vivaldi.

Peneliti Intel 471 juga telah mengamati pelaku ancaman yang menyalahgunakan infrastruktur cloud yang digunakan oleh aplikasi perpesanan untuk mendukung kampanye penyebaran malware. Banyak pelaku ancaman saat ini menggunakan jaringan pengiriman konten (CDN) Discord untuk meng-host muatan malware.

Sistem pengumpulan Intelijen Malware kami pertama kali mengamati teknik ini pada tahun 2019, tetapi berbagai pelaku ancaman masih menggunakannya. Operator malware tampaknya tidak menghadapi batasan apa pun saat mengunggah muatan berbahaya mereka ke CDN Discord untuk hosting file. Tautan terbuka untuk pengguna mana pun tanpa autentikasi, memberikan aktor ancaman domain web bereputasi tinggi untuk meng-host muatan berbahaya.

Keluarga malware yang diamati menggunakan Discord CDN untuk meng-host muatan berbahaya meliputi:

  • PrivateLoader
  • Discoloader
  • Colibri
  • Warzone RAT
  • Modi loader
  • Raccoon stealer
  • Smokeloader
  • Amadey
  • Agent Tesla stealer
  • GuLoader
  • Autohotkey
  • njRAT

Sebelumnya, Intel 471 telah mengamati peningkatan layanan di bawah tanah kejahatan dunia maya yang memungkinkan penyerang memanfaatkan bot Telegram dalam upaya untuk mencegat token kata sandi satu kali (OTP). Pelaku kejahatan terus membangun layanan ini, menjual aksesnya di berbagai forum kejahatan dunia maya.

Satu bot yang diamati oleh peneliti Intel 471 pada bulan April, yang dikenal sebagai Astro OTP, memungkinkan operator untuk mendapatkan kode verifikasi OTP dan layanan pesan singkat (SMS). Operator diduga dapat mengontrol bot secara langsung melalui antarmuka Telegram dengan menjalankan perintah sederhana.

Akses ke bot sangat murah, langganan satu hari dapat dibeli seharga US $25, dengan langganan seumur hidup tersedia seharga US $300.

Otomatisasi di platform perpesanan populer menurunkan bar-of-entry untuk aktor jahat. Sementara pencuri informasi saja tidak menyebabkan jumlah kerusakan yang sama seperti malware seperti penghapus data atau ransomware, mereka dapat menjadi langkah pertama dalam meluncurkan serangan yang ditargetkan terhadap perusahaan.

Sumber: Intel 471

Ukraina menghapus 1.000.000 bot yang digunakan untuk disinformasi

by

Polisi siber Ukraina (SSU) telah menutup sebuah peternakan bot besar-besaran dari 1.000.000 bot yang digunakan untuk menyebarkan disinformasi di jejaring sosial.

Tujuan dari bot farm adalah untuk mendiskreditkan informasi yang berasal dari sumber resmi negara Ukraina, mengacaukan situasi sosial dan politik di negara itu, dan menciptakan perselisihan internal.

Pesan yang disebarkan oleh bot sejalan dengan propaganda Rusia, sehingga operator mesin disinformasi diyakini sebagai anggota layanan khusus Rusia.

Bahkan, penyelidikan SSU mengarah pada pemimpin kelompok kriminal, seorang “pakar politik” Rusia yang pada masa lalu tinggal di Kyiv.

Investigasi polisi Ukraina masih berlangsung untuk mengungkap peserta lain dalam operasi yang akan didakwa atas pelanggaran Pasal 361.2 KUHP negara itu.

Kebun bot yang dibongkar oleh SSU terletak di Kyiv, Kharkiv, dan Vinnytsia dan mengandalkan 1.000.000 bot untuk menyebarkan disinformasi. Untuk membuat tentara online ini, para pelaku ancaman menggunakan 5.000 kartu SIM untuk mendaftarkan akun media sosial baru.

Selain itu, operator menggunakan 200 server proxy yang memalsukan alamat IP sebenarnya dan menghindari deteksi aktivitas penipuan dan pemblokiran oleh platform media sosial.

Menurut SSU, operator bot farm mengembangkan dan menyebarkan perangkat lunak khusus untuk mengelola akun media sosial pseudonim dari jarak jauh, mengoordinasikannya untuk mendorong pesan propaganda yang diperlukan.

Gambar peralatan bot farm (SSU) yang disita

Kekuatan berita palsu tidak dapat diremehkan, terutama selama masa-masa sulit, akses internet terbatas, dan pergolakan umum.

Rusia telah lama terlibat dalam kampanye disinformasi dan telah berinvestasi di peternakan bot yang berbasis di Ukraina yang menargetkan populasi lokal.

Pada Februari 2022, Meta menurunkan beberapa kelompok akun Facebook palsu yang mempromosikan informasi palsu di platform media sosial.

Pada Maret 2022, SSU mengumumkan penemuan dan penutupan lima peternakan bot semacam ini, yang mengoperasikan 100.000 akun media sosial palsu yang menyebarkan berita palsu.

Presiden Ukraina Volodymyr Zelenskyy juga berada di pusat kampanye misinformasi, salah satunya menggunakan deepfake di Facebook dan meretas stasiun radio Ukraina untuk menyebarkan berita palsu bahwa Presiden dalam kondisi kritis. Keduanya diyakini sebagai karya aktor Rusia.

Sejak awal perang, SSU telah mengidentifikasi dan menetralisir lebih dari 1.200 serangan siber terhadap negara dan entitas penting lainnya serta telah melaporkan dan menghapus 500 saluran YouTube yang secara kolektif memiliki 15 juta pelanggan.

Selain itu, agensi telah melaporkan 1.500 saluran dan bot Telegram dan 1.500 akun Facebook, Instagram, dan TikTok lainnya karena menyebarkan propaganda Rusia.

Sumber: Bleeping Computer

Bot Pencuri One-Time Passwords Menyederhanakan Skema Penipuan

by

Kata sandi satu kali (OTP) adalah bentuk otentikasi multi-faktor (MFA) yang sering digunakan untuk memberikan lapisan perlindungan tambahan di luar kata sandi dasar.

OTP adalah kata sandi dinamis yang biasanya terdiri dari 4 hingga 8 angka tetapi terkadang juga menyertakan huruf.

Cara utama untuk memberikan kode OTP kepada pengguna adalah melalui SMS, email, atau aplikasi otentikasi seluler seperti Authy. Karena OTP melindungi akun korban dari akses atau transaksi yang tidak sah, penjahat dunia maya terus mengembangkan berbagai cara untuk mem-bypass dan mengatasinya.

Selama setahun terakhir, pelaku ancaman telah semakin mengembangkan, mengiklankan, dan menggunakan bot untuk mengotomatiskan pencurian OTP, membuatnya lebih mudah dan lebih murah bagi pelaku ancaman untuk melewati perlindungan OTP dalam skala besar.

Karena bot pemintas OTP memerlukan sedikit keahlian teknis dan keterampilan bahasa yang minimal untuk beroperasi, bot pemintas OTP juga meningkatkan jumlah pelaku ancaman yang mampu melewati perlindungan OTP.

Bot bypass OTP biasanya berfungsi dengan mendistribusikan panggilan suara atau pesan SMS ke target, meminta target untuk memasukkan OTP, dan, jika berhasil, mengirimkan OTP yang dimasukkan kembali ke pelaku ancaman yang mengoperasikan bot.

Tercatat Analis masa depan mengidentifikasi dan menguji bot bypass OTP open-source bernama “SMSBypassBot” yang diiklankan di saluran Telegram yang berfokus pada penipuan dan mengonfirmasi bahwa itu berfungsi seperti yang diiklankan dan mudah dikonfigurasi dan digunakan.

Meningkatnya penggunaan OTP oleh berbagai layanan yang sah (terutama untuk mengautentikasi login akun online, transfer uang, dan pembelian 3-Domain Secure-enabled [3DS]) menciptakan permintaan kriminal dunia maya paralel untuk metode memperoleh dan melewati OTP.

Key Findings

  • Aktivitas forum web gelap terkait dengan bypass OTP (diukur dengan volume postingan dan penayangan postingan terkait topik) meningkat tajam pada tahun 2020 dan tetap tinggi sejak saat itu.
  • Metode tradisional untuk melewati OTP (melakukan pertukaran kartu SIM, pemaksaan kasar, menyalahgunakan sistem otentikasi yang tidak dikonfigurasi dengan baik, dan rekayasa sosial manual) telah menjadi memakan waktu dan lebih menantang secara teknis.
  • Bot bypass OTP menggabungkan teknik rekayasa sosial dan phishing suara (vishing) dengan antarmuka yang mudah digunakan untuk menyediakan metode yang sebagian otomatis, terjangkau, dan skalabel untuk mendapatkan OTP korban.
    Latar belakang
  • Otentikasi multi-faktor (MFA) memberikan lapisan keamanan tambahan lebih dari sekadar kata sandi statis, dengan Microsoft melaporkan bahwa MFA dapat memblokir lebih dari 99,9% serangan kompromi akun. Kata sandi satu kali (OTP) adalah bentuk MFA yang menggunakan string karakter yang dibuat secara otomatis (biasanya nilai numerik tetapi terkadang alfanumerik) untuk mengautentikasi pengguna.

Penyedia layanan, lembaga keuangan, dan pedagang menggunakan OTP untuk berbagai tujuan termasuk mengautentikasi login akun online, transfer uang, dan transaksi kartu pembayaran berkemampuan 3DS. Peningkatan adopsi OTP selama dekade terakhir telah menyebabkan pelaku ancaman untuk mengembangkan metode melewati OTP untuk mendapatkan akses tidak sah ke akun online dan melakukan transfer uang dan transaksi penipuan.

Sumber: Recorded Future

Phishing LinkedIn Besar-besaran, Serangan Bot Memberi Makan pada Orang yang Lapar

by

Rentan secara emosional dan bersedia menawarkan informasi apa pun yang menarik perhatian, pencari kerja adalah target utama untuk kampanye rekayasa sosial. Dan dengan “Pengunduran Diri Hebat” dalam ayunan penuh, penjahat dunia maya dengan mudah menemukan korban berikutnya.

Sejak 1 Februari, analis telah menyaksikan serangan email phishing yang meniru LinkedIn melonjak 232 persen, mencoba mengelabui pencari kerja agar menyerahkan kredensial mereka.

Email tersebut memiliki baris subjek yang akan menarik bagi pencari kerja yang berharap diperhatikan, seperti, “Siapa yang mencari Anda secara online”, “Anda muncul dalam 4 pencarian minggu ini” atau bahkan “Anda memiliki 1 pesan baru”, kata tim Egress .

Email phishing itu sendiri adalah penipuan yang meyakinkan, dibangun dalam template HTML dengan logo, warna, dan ikon LinkedIn, tambah laporan itu. Para scammer juga memeriksa nama perusahaan terkenal di seluruh isi email phishing, termasuk American Express dan CVS Carepoint, untuk membuat korespondensi tampak lebih sah, kata para analis.

Bahkan footer email mengangkat alamat kantor pusat perusahaan dan menyertakan tautan “berhenti berlangganan” untuk menambah keaslian email, para analis menunjukkan.

“Anda juga dapat melihat spoofing nama tampilan LinkedIn, yang dirancang untuk menyembunyikan akun email web yang digunakan untuk meluncurkan serangan,” kata laporan itu.

Setelah korban mengklik tautan berbahaya di email, mereka diarahkan ke situs untuk memanen login dan kata sandi LinkedIn mereka.

“Sementara nama tampilan selalu LinkedIn dan semua email mengikuti pola yang sama, serangan phishing dikirim dari alamat webmail berbeda yang tidak memiliki korelasi satu sama lain,” tambah para analis.

Selain menggunakan prospek pekerjaan potensial untuk mengelabui target agar batuk kredensial mereka, Imperva, dalam laporan terpisah, merinci bagaimana menghentikan serangan bot terbesar yang pernah dilihat perusahaan hingga saat ini, di situs daftar pekerjaan global.

Imperva tidak secara spesifik menyebutkan nama perusahaan, tetapi perusahaan mengatakan bahwa mereka dibombardir dengan 400 juta permintaan bot lebih dari 400.000 alamat IP unik selama empat hari yang mencoba mengikis semua data pencari kerja.

Tim Imperva menambahkan bahwa jenis serangan pengikisan web ini umum terjadi dan dapat mengakibatkan “tingkat konversi yang lebih rendah, analisis pemasaran yang miring, penurunan peringkat SEO, latensi situs web, dan bahkan waktu henti (biasanya disebabkan oleh scraper agresif).”

Musim panas lalu, serangan pengikisan data besar-besaran terhadap LinkedIn ditemukan telah mengumpulkan setidaknya 1,2 miliar catatan pengguna yang kemudian dijual di forum bawah tanah. Pada saat itu, LinkedIn menegaskan kembali bahwa data yang tergores adalah informasi publik, bukan informasi pribadi, dan tidak memenuhi syarat sebagai pelanggaran.

Itu membuat pengguna individu harus memperhatikan informasi yang mereka ekspos secara publik dan bagaimana hal itu dapat digunakan untuk mengelabui mereka agar mengklik tautan berbahaya.

Sumber : Threat Post

Bot yang Mencuri Kode 2FA Sedang Populer Di Pasar Bawah Tanah

by

Panggilan itu datang dari sistem pencegahan penipuan PayPal. Seseorang telah mencoba menggunakan akun PayPal saya untuk menghabiskan $58,82, menurut suara otomatis di telepon. PayPal perlu memverifikasi identitas saya untuk memblokir transfer.

“Untuk mengamankan akun Anda, silakan masukkan kode yang kami kirimkan ke perangkat seluler Anda sekarang,” kata suara itu. PayPal terkadang mengirimkan kode kepada pengguna untuk melindungi akun mereka. Setelah memasukkan string enam digit, suara itu berkata, “Terima kasih, akun Anda telah diamankan dan permintaan ini telah diblokir.”

“Jangan khawatir jika ada pembayaran yang telah dibebankan ke akun Anda: kami akan mengembalikannya dalam waktu 24 hingga 48 jam. ID referensi Anda adalah 1549926. Sekarang Anda dapat menutup telepon,” kata suara itu.

Tapi panggilan ini sebenarnya dari seorang hacker. Penipu menggunakan jenis bot yang secara drastis merampingkan proses peretas untuk mengelabui korban agar menyerahkan kode otentikasi multi-faktor atau kata sandi satu kali (OTP) mereka untuk semua jenis layanan, membiarkan mereka masuk atau mengotorisasi transaksi transfer tunai. Berbagai bot menargetkan Apple Pay, PayPal, Amazon, Coinbase, dan berbagai bank tertentu.

Motherboard meminta seseorang bernama Kaneki yang menjual salah satu bot ini secara online untuk mendemonstrasikan kemampuannya dengan mengirimkan panggilan otomatis ke telepon reporter Motherboard. Setelah memasukkan kode, Kaneki menunjukkan bot mereka telah menerima kode yang sama.

Dengan bot yang berharga beberapa ratus dolar ini, siapa pun dapat mulai mendapatkan otentikasi multi-faktor, tindakan keamanan yang mungkin diasumsikan oleh banyak anggota masyarakat sebagian besar aman.

Untuk membobol akun, seorang peretas akan membutuhkan nama pengguna atau alamat email dan kata sandi korban. Mereka mungkin bersumber dari pelanggaran data sebelumnya yang berisi kredensial yang digunakan kembali oleh banyak orang di internet. Atau mereka dapat membeli satu set “log bank”—detail login—dari seorang spammer, kata OPTGOD777. Tetapi korban mungkin mengaktifkan otentikasi multi-faktor, di situlah bot masuk.

Baik di Telegram atau Discord, peretas memasukkan nomor telepon target mereka dan platform yang ingin dibobol peretas. Di latar belakang, bot kemudian menempatkan panggilan otomatis ke target.

Ketika bot melakukan panggilan otomatis dan meminta korban untuk memasukkan kode yang baru saja mereka terima, peretas akan secara bersamaan memicu kode yang sah untuk dikirim dari platform yang ditargetkan ke ponsel korban. Mereka dapat melakukan ini dengan memasukkan nama pengguna dan kata sandi korban di situs sehingga korban menerima kode login atau otorisasi.

Bot kemudian mengambil kode yang dimasukkan korban, memasukkannya kembali ke antarmuka bot, dan peretas kemudian dapat menggunakan kode tersebut untuk login.

Di luar situs atau layanan seperti Amazon, PayPal, dan Venmo, beberapa bot juga menargetkan bank tertentu, seperti Bank of America dan Chase.

Selengkapnya: Vice

Rekayasa sosial berjalan otomatis: bot robocall baru di Telegram dapat menipu Anda untuk memberikan kata sandi Anda

by

Saat ini, scammers tampaknya memiliki pekerjaan yang cocok untuk mereka karena jenis bot-for-hire baru mengambil alih dunia rekayasa sosial.

OTP Bot adalah jenis baru Telegram bot jahat yang dirancang untuk merobohkan korban yang tidak menaruh curiga dan menipu mereka agar memberikan kata sandi satu kali (OTP), yang kemudian digunakan scammer untuk mengakses dan mengosongkan rekening bank mereka. Lebih buruk lagi, basis pengguna bot model baru yang berkembang ini telah tumbuh ribuan dalam beberapa minggu terakhir.

Menurut peneliti CyberNews Martynas Vareikis, OTP Bot adalah contoh terbaru dari model Crimeware-as-a-Service yang berkembang di mana penjahat dunia maya menyewakan alat dan layanan jahat kepada siapa pun yang bersedia membayar.

Setelah dibeli, Bot OTP memungkinkan penggunanya untuk mengambil kata sandi satu kali dari korban yang tidak curiga dengan memasukkan nomor telepon target, serta informasi tambahan apa pun yang mungkin diperoleh pelaku ancaman dari kebocoran data atau pasar gelap, langsung ke jendela obrolan Telegram bot. “Bergantung pada layanan yang ingin dieksploitasi oleh pelaku ancaman, informasi tambahan ini dapat mencakup sesedikit alamat email korban,” kata Vareikis.

Bot itu sendiri dijual di ruang obrolan Telegram yang saat ini memiliki lebih dari 6.000 anggota, menghasilkan keuntungan besar bagi penciptanya dari menjual langganan bulanan kepada penjahat. Sementara itu, para penggunanya secara terbuka memamerkan keuntungan lima digit mereka dari menggeledah rekening bank target mereka.

Teknik penipuan paling populer yang digunakan oleh pelanggan Bot OTP disebut ‘penautan kartu’. Ini termasuk menghubungkan kartu kredit korban ke akun aplikasi pembayaran seluler mereka, dan kemudian menggunakannya untuk membeli kartu hadiah di toko fisik.

Selengkapnya: Cyber News

Manusia kalah dalam perlombaan bot di internet, demikian laporan Imperva Research

by

Lalu lintas bot yang buruk berada pada persentase tertinggi (25,6%) dalam delapan tahun Imperva Inc melakukan studi tahunannya tentang topik tersebut.

Dalam Laporan Imperva Bad Bot tahun 2021, tahun kedelapan berturut-turut perusahaan keamanan siber telah mengumpulkan dan menganalisis data, ditemukan bahwa lalu lintas dari manusia turun 5,7% sementara lebih dari 40% dari semua permintaan lalu lintas web berasal dari bot, menunjukkan skala yang berkembang dan dampak yang meluas dalam kehidupan sehari-hari.

Advanced Persistent Bots tetap menjadi mayoritas lalu lintas bot yang buruk tahun lalu, sebesar 57,1%. Bot ini bertanggung jawab atas penyalahgunaan dan serangan berkecepatan tinggi di situs web, aplikasi seluler, dan API.

Imperva Research Lab juga melaporkan bagaimana bot mencoba memanfaatkan pandemi COVID-19. Ada peningkatan 372% dalam lalu lintas bot yang buruk di situs web perawatan kesehatan dari periode September 2020 hingga Februari 2021.

Pada tahun 2020, penyedia layanan telekomunikasi dan internet (ISP) mengalami proporsi tertinggi dari keseluruhan lalu lintas bot (45,7%), seringkali disebabkan oleh bot yang terlibat dalam pengambilalihan akun atau penurunan harga yang kompetitif.

Industri perjalanan mendapatkan persentase terbesar dari lalu lintas bot canggih yang buruk (59,7%) sementara situs pemerintah juga mengalami peningkatan, dengan bot terlibat dalam pengumpulan data daftar pendaftaran bisnis dan pendaftaran pemilih.

Selengkapnya: ITP