Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for crypto

crypto

Peneliti Spiderlabs Memperingatkan Jenis Malware Baru yang Menguras Dana Crypto

by

Para peneliti di Trustwave Spiderlabs baru-baru ini mengatakan mereka menemukan jenis malware baru yang secara sembunyi-sembunyi menarik dana dari dompet kripto. Menurut para peneliti, malware, yang dikenal sebagai Rilide, dianggap menyamar sebagai ekstensi Google Drive yang sah. Selain memberi penjahat dunia maya kemampuan untuk memantau riwayat penelusuran korban yang ditargetkan, Rilide memungkinkan injeksi “skrip berbahaya untuk mencuri dana dari pertukaran mata uang kripto.”

Dalam postingan blog mereka yang dipublikasikan pada 4 April, dua peneliti Pawel Knapczyk dan Wojciech Cieslak mengakui bahwa Rilide bukanlah malware pertama yang menggunakan ekstensi browser berbahaya. Namun, para peneliti mengatakan mereka telah melihat bagaimana malware menipu pengguna sebelum menguras dana dari dompet crypto masing-masing.

Sementara langkah-langkah seperti penegakan yang tertunda dari apa yang disebut manifes v3 diharapkan membuat hidup sedikit lebih sulit bagi penjahat dunia maya, Knapczyk dan Cieslak menegaskan bahwa ini saja mungkin tidak cukup “untuk menyelesaikan masalah sepenuhnya karena sebagian besar fungsi dimanfaatkan oleh Rilide akan tetap tersedia.”

Sementara itu, dalam peringatan mereka kepada pengguna, kedua peneliti tersebut menegaskan kembali pentingnya tetap “waspada dan skeptis” setiap kali mereka menerima email yang tidak diinginkan. Mereka menambahkan bahwa pengguna tidak boleh berasumsi bahwa konten apa pun di internet aman, meskipun tampaknya demikian. Demikian pula, pengguna harus selalu berusaha untuk tetap mendapat informasi dan terdidik tentang peristiwa terbaru dalam industri keamanan siber.

selengkapnya : news.bitcoin.com

Kinsing Crypto Malware Memukul Kluster Kubernetes melalui PostgreSQL yang Salah Konfigurasi

by

Pelaku ancaman di balik operasi cryptojacking Kinsing telah terlihat mengeksploitasi server PostgreSQL yang terekspos dan salah konfigurasi untuk mendapatkan akses awal ke lingkungan Kubernetes.

Teknik vektor akses awal kedua memerlukan penggunaan gambar yang rentan, Sunders Bruskin, peneliti keamanan di Microsoft Defender untuk Cloud, mengatakan dalam sebuah laporan minggu lalu

Kinsing memiliki sejarah panjang dalam penargetan lingkungan kemas, sering kali memanfaatkan port API daemon Docker terbuka yang salah konfigurasi serta menyalahgunakan eksploit yang baru diungkapkan untuk menghentikan perangkat lunak penambangan mata uang kripto.

Pelaku ancaman, di masa lalu, juga diketahui menggunakan rootkit untuk menyembunyikan keberadaannya. Sekarang menurut Microsoft, kesalahan konfigurasi di server PostgreSQL telah dikooptasi oleh aktor Kinsing untuk mendapatkan pijakan awal, dengan perusahaan mengamati “sejumlah besar cluster” yang terinfeksi dengan cara ini.

Kesalahan konfigurasi terkait dengan pengaturan autentikasi kepercayaan, yang dapat disalahgunakan untuk terhubung ke server tanda autentikasi apa pun dan mencapai eksekusi kode jika opsi diatur untuk menerima koneksi dari alamat IP mana pun.

Vektor serangan alternatif menargetkan server dengan versi PHPUnit, Liferay, WebLogic, dan WordPress yang rentan yang rentan terhadap eksekusi kode jarak jauh untuk menjalankan muatan berbahaya.

Terlebih lagi, “kampanye luas” baru-baru ini melibatkan penyerang yang memindai port WebLogic default terbuka 7001, dan jika ditemukan, menjalankan perintah shell untuk meluncurkan malware.

sumber : thehackernews

Peretas Mencuri Crypto dari ATM Bitcoin dengan Mengeksploitasi Bug Zero-day

by

Peretas telah mengeksploitasi kerentanan zero-day di server ATM General Bytes Bitcoin untuk mencuri cryptocurrency dari pelanggan.

Ketika pelanggan akan menyetor atau membeli cryptocurrency melalui ATM, dana tersebut malah akan disedot oleh peretas

General Bytes adalah produsen ATM Bitcoin yang, bergantung pada produknya, memungkinkan orang untuk membeli atau menjual lebih dari 40 mata uang kripto yang berbeda.

ATM Bitcoin dikendalikan oleh Server Aplikasi Kripto (CAS) jarak jauh, yang mengelola operasi ATM, mata uang kripto apa yang didukung, dan melakukan pembelian dan penjualan mata uang kripto di bursa.

Peretas mengeksploitasi CAS zero-day

Kemarin, BleepingComputer dihubungi oleh pelanggan General Bytes yang memberi tahu kami bahwa peretas mencuri bitcoin dari ATM mereka.

“Kerentanan ini telah hadir dalam perangkat lunak CAS sejak versi 20201208.”

General Bytes percaya bahwa pelaku ancaman memindai internet untuk server terbuka yang berjalan pada port TCP 7777 atau 443, termasuk server yang dihosting di Digital Ocean dan layanan cloud General Bytes sendiri.

Pelaku ancaman kemudian mengeksploitasi bug untuk menambahkan pengguna admin default bernama ‘gb’ ke CAS dan memodifikasi pengaturan crypto ‘beli’ dan ‘jual’ dan ‘alamat pembayaran tidak valid’ untuk menggunakan dompet cryptocurrency di bawah kendali peretas.

Setelah tindakan ancaman mengubah pengaturan ini, setiap cryptocurrency yang diterima oleh CAS diteruskan ke peretas sebagai gantinya.

“ATM dua arah mulai meneruskan koin ke dompet penyerang ketika pelanggan mengirim koin ke ATM,” jelas penasihat keamanan.

General Bytes memperingatkan pelanggan untuk tidak mengoperasikan ATM Bitcoin mereka sampai mereka menerapkan dua rilis patch server, 20220531.38 dan 20220725.22, di server mereka.

Mereka juga menyediakan daftar periksa langkah-langkah yang harus dilakukan pada perangkat sebelum digunakan kembali.

Penting untuk diingat bahwa pelaku ancaman tidak akan dapat melakukan serangan ini jika server di-firewall hanya untuk mengizinkan koneksi dari alamat IP tepercaya.

Oleh karena itu, sangat penting untuk mengonfigurasi firewall hanya untuk mengizinkan akses ke Server Aplikasi Kripto dari alamat IP tepercaya, seperti dari lokasi ATM atau kantor pelanggan.

Menurut informasi yang diberikan oleh BinaryEdge, saat ini ada delapan belas Server Aplikasi Crypto Bytes Umum yang masih terhubung ke Internet, dengan mayoritas berlokasi di Kanada.

Tidak jelas berapa banyak server yang dilanggar menggunakan kerentanan ini dan berapa banyak cryptocurrency yang dicuri.

BleepingComputer menghubungi General Bytes kemarin dengan pertanyaan lebih lanjut tentang serangan itu tetapi tidak menerima tanggapan.

Sumber: BleepingComputer

Peretas Crypto Mencuri $36 Juta dari Akun Pensiun

by

Peretas Crypto mencuri hampir $36 juta dari akun pensiun IRA Financial Trust. Menurut Bloomberg, para peretas berhasil menguras $21 juta dalam bentuk bitcoin dan mengumpulkan $15 juta dalam Ethereum dari pelanggan IRA Financial Trust.

IRA Financial menemukan peretasan pada 9 Februari ketika itu memengaruhi beberapa pelanggan yang mengandalkan pertukaran crypto Gemini Trust Co. Menurut Chainalysis, platform data blockchain, dana tersebut terkait dengan aktivitas pencucian uang dan operasi dilakukan melalui layanan “mixer” Tornado.

Juru bicara IRA Financial mengatakan kepada Bloomberg, perusahaan sedang fokus menyelidiki kontrol keamanan terkait klaim tersebut. Adam Bergman, Pendiri IRA Financial Trust mentweet sebuah surat pada hari Sabtu yang mengatakan, perusahaan “telah mendeteksi aktivitas mencurigakan yang secara khusus melibatkan jumlah pelanggan yang sangat terbatas di bursa cryptocurrency Gemini. Saya sangat kecewa dengan apa yang terjadi, dan saya ingin meyakinkan Anda bahwa kami mengambil semua langkah yang tepat untuk mengatasi situasi ini termasuk keterlibatan ahli forensik pihak ketiga dan penegak hukum negara bagian dan federal.”

Pertukaran cryptocurrency Gemini menawarkan layanan ke akun IRA Finacial di Reddit mengatakan tidak mengelola keamanan sistem IRA Financial.

Sementara seseorang yang menjadi korban insiden peretasan mengatakan, “Saya diberitahu bahwa IRA Financial telah diretas pada 8 Februari. Akun saya ditautkan ke Gemini dan juga telah diretas,”

Namun yang lain menulis di Reddit. “Uang ditransfer dari akun Gemini saya ke seseorang secara acak. Saya telah menindaklanjuti dengan Gemini dan IRA Financial dan mereka mengatakan sedang mengerjakannya. Saya belum pernah mendengar ada orang lain yang terpengaruh oleh peretasan ini.”

Sumber : TechnoidHost

Peretas bisa saja mencetak ‘Ether’ tanpa batas tetapi memilih hadiah bug $ 2 juta sebagai gantinya

by

Peretas “grey hat” gadungan menemukan cara untuk mengelabui solusi penskalaan Ethereum Optimism agar secara efektif mencetak Ether tanpa batas awal bulan ini.

Insinyur perangkat lunak Jay Freeman (yang menggunakan Saurik online) tidak memanfaatkan eksploitasi. Sebagai gantinya, dia melaporkan masalah tersebut ke tim pengembang Optimism, yang memberinya hadiah bug $2 juta.

Freeman mungkin paling dikenal karena karyanya di Cydia, toko aplikasi untuk iPhone yang sudah di-jailbreak. Namun, baru-baru ini dia mencari bug di blockchain.

Menurut perincian di situs web Freemans, ia menemukan kesalahan itu saat melihat apa yang disebut “protokol pembayaran nano.”

Mereka memungkinkan pengguna untuk mengirim sejumlah kecil crypto dengan sedikit biaya transaksi, meskipun dengan pengorbanan keamanan.

Mirip dengan jembatan blockchain seperti Wormhole, platform ini mencetak token Eter alternatif yang hanya ada di jaringan Optimism.

Pengguna pertama-tama mengunci ETH mereka di dalam kontrak pintar sebagai jaminan untuk menerima token mereka, yang berfungsi ganda sebagai IOU.

Token ini kemudian dapat ditransaksikan lebih cepat dan lebih murah dibandingkan dengan transaksi on-chain (hampir seketika), yang menjadikan Optimisme sebagai solusi “lapisan 2” (L2) potensial untuk menskalakan Ethereum.

Ketika pengguna Optimism ingin menguangkan IOU mereka, mereka harus menunggu satu minggu terlebih dahulu sebelum token Ether “asli” mereka dirilis.

Freeman menemukan kesalahan di bagian kode Optimism yang memaksa kontrak pintar untuk menghapus dirinya sendiri dan mengembalikan Eter terkait ke pengirim.

Fungsi “SELFDESTRUCT” Optimisme mengembalikan kripto ke pengirim tetapi tetap mempertahankan IOU Eter off-chain terkait. Ini dapat dieksploitasi untuk mengelabui kontrak pintar agar mengulang kesalahan — sehingga menghasilkan kripto “lapisan 2” yang tak terbatas.

Menariknya, Freeman mengatakan seseorang dari penjelajah blockchain Ethereum Etherscan telah menemukan bug sebelumnya, pada Malam Natal tahun lalu, tetapi mungkin tidak menyadari potensinya.

Freeman percaya bahwa sifat “taruhan tinggi” dari crypto berarti bug yang merusak keamanan tidak boleh disebarkan di tempat pertama.

Freeman mencatat bahwa dia terkadang “menolak” untuk membantu proyek-proyek blockchain dengan “masalah dasar desentralisasi atau keamanan,” sebagai prinsip inti dari teknologi yang “tidak dapat diabaikan.”

Sumber : Protos

Jembatan token Wormhole kehilangan $321 juta dalam peretasan terbesar sejauh ini pada tahun 2022

by

Jembatan token Wormhole mengalami eksploitasi keamanan pada hari Rabu, mengakibatkan hilangnya 120.000 token Wrapped Ether (wETH) ($321 juta) dari platform.

Wormhole adalah jembatan token yang memungkinkan pengguna untuk mengirim dan menerima kripto antara Ethereum, Solana, Binance Smart Chain (BSC), Polygon, Longsor, Oasis dan Terra tanpa menggunakan pertukaran terpusat.

Ini adalah peretasan crypto terbesar tahun 2022 sejauh ini dan peretasan keuangan terdesentralisasi terbesar kedua hingga saat ini. Tim Wormhole telah menawarkan hadiah bug senilai $10 juta untuk pengembalian dana tersebut.

Peretasan terjadi di sisi jembatan Solana, dan ada kekhawatiran bahwa jembatan Wormhole ke Terra juga rentan.

Peretasan terjadi pada pukul 18:24 UTC pada hari Rabu. Penyerang mencetak 120.000 wETH di Solana, kemudian menukarkan 93.750 weTH dengan ETH senilai $254 juta ke jaringan Ethereum pada pukul 18:28 UTC. Peretas telah menggunakan sejumlah dana untuk membeli SportX (SX), Meta Capital (MCAP), Akhirnya Dapat Digunakan Crypto Karma (FUCK) dan Bored Ape Yacht Club Token (APE).

Sisanya ditukar dengan Solana (SOL) dan USD Coin (USDC) di Solana. Dompet Solana peretas saat ini memegang 432.662 SOL ($44 juta).

Tim Wormhole menghubungi peretas melalui alamat Ethereum mereka, menawarkan untuk membiarkan peretas menyimpan dana senilai $10 juta yang dicuri jika sisa dana dikembalikan.

Pada saat penulisan, token WETH yang dikirim melintasi jembatan belum dapat ditukarkan, sementara tim Wormhole mencoba untuk memperbaiki eksploitasi.

Frekuensi peretasan kontrak pintar pada jembatan token berfungsi untuk memvalidasi peringatan 7 Januari Vitalik Buterin bahwa ada “batas keamanan mendasar jembatan.” Peringatan salah satu pendiri Ethereum berada dalam konteks serangan 51% terhadap Ethereum, tetapi sarannya tepat waktu ketika ia menunjukkan kerentanan umum yang tampak pada jembatan yang mengirim token melintasi blockchain layer-1.

Sumber : Coin Telegraph

Varian Oski baru yang kuat ‘Mars Stealer’ meraih 2FA dan crypto

by

Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menghentikan pengembangan secara tiba-tiba pada musim panas 2020.

Mars Stealer adalah malware yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.

Selain itu, malware dapat mengekstrak file dari sistem yang terinfeksi dan bergantung pada pemuat dan penghapusnya sendiri, yang meminimalkan jejak infeksi.

Setelah peneliti keamanan @3xp0rt memperoleh sampel, peneliti menemukan bahwa Mars Stealer adalah versi malware Oski yang didesain ulang dengan fungsionalitas yang ditingkatkan.

Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian mulai menargetkan aplikasi berikut:

Aplikasi Internet: Google Chrome, Internet Explorer, Microsoft Edge (Versi Chromium), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Browser Sputnik, Browser Privasi Epik, Vivaldi, CocCoc, Browser Uran, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Ekstensi Crypto: TronLink, MetaMask, Dompet Rantai Binance, Yoroi, Dompet Bagus, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Semanggi, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONex, Dompet Nabox, KHC, Kuil, Dompet TezBox Cyano, Byone, OneKey, Dompet Daun, DAppPlay, BitClip, Gantungan Kunci Steem, Ekstensi Nash, Hycon Klien Lite, ZilPay, Dompet Coin98.

Dompet Crypto: Bitcoin Core dan semua turunannya (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Dompet yang ditargetkan oleh Mars Stealer
Sumber: 3xp0rt.com

Selain itu, Mars Stealer akan menangkap dan mengirimkan informasi dasar berikut ke C2:

  • IP dan negara
  • Nama komputer
  • Nama pengguna
  • Nama komputer domain

    • Selengkapnya : Bleeping Computer

    Grabber Pencuri Mars Kustom
    Sumber: 3xp0rt.com

    Mars Stealer adalah malware ramping dengan ukuran hanya 95 KB, yang mencoba menghindari keamanan dengan menggunakan rutinitas yang menyembunyikan panggilan API dan teknik enkripsi string menggunakan kombinasi RC4 dan Base64.

    Informasi yang dikumpulkannya dibungkus dalam memori, sementara semua koneksi dengan C2 dilakukan dengan protokol SSL (Secure Sockets Layer), jadi mereka dienkripsi.

    Selain itu, kode Mars Stealer berisi interval fungsi Tidur untuk melakukan pemeriksaan waktu yang akan menghasilkan ketidakcocokan jika debugger digunakan.

    Fungsi tidur anti-debugging
    Sumber: 3xp0rt.com

    Terakhir, malware dapat menghapus dirinya sendiri setelah data pengguna dieksfiltrasi atau ketika operator memutuskan untuk menghapusnya.

    Mars Stealer juga memeriksa apakah pengguna berbasis di negara-negara yang secara historis merupakan bagian dari Persemakmuran Negara-Negara Merdeka, yang umum untuk banyak malware berbasis di Rusia.

    Jika ID bahasa perangkat cocok dengan Rusia, Belarusia, Kazakstan, Azerbaijan, Uzbekistan, dan Kazakstan, program akan keluar tanpa melakukan perilaku jahat apa pun.

    Pemeriksaan bahasa untuk pengecualian target
    Sumber: 3xp0rt.com

    Saat ini, Mars Stealer dijual seharga $140 hingga $160 (versi tambahan) di forum peretasan, sehingga kemungkinan besar akan jatuh ke tangan banyak pelaku ancaman dan digunakan dalam serangan di masa depan.

    Selengkapnya : Bleeping Computer

Varian Oski baru yang kuat ‘Mars Stealer’ meraih 2FA dan crypto

by

Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menutup pengembangan tiba-tiba pada musim panas 2020.

Mars Stealer adalah malware pencuri informasi yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.

Selain itu, malware dapat mengekrate file dari sistem yang terinfeksi dan bergantung pada loader dan wiper sendiri, yang meminimalkan jejak infeksi.

Dari Oski ke Mars Stealer

Pada Juli 2020, pengembang di balik trojan pencurian informasi Oski tiba-tiba menutup operasi mereka setelah tidak lagi menanggapi pembeli dan penutupan saluran Telegram mereka.

Maju cepat hampir setahun kemudian, dan malware pencuri informasi baru yang disebut ‘Mars Stealer’ mulai dipromosikan di forum peretasan berbahasa Rusia.

Mencuri segalanya

Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian melanjutkan untuk menargetkan aplikasi berikut:

Aplikasi internet: Google Chrome, Internet Explorer, Microsoft Edge (Chromium Version), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Sputnik Browser, Epic Privacy Browser, Vivaldi, CocCoc, Uran Browser, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Ekstensi Crypto: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Dompet Nifty, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Clover, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONEX, Dompet Nabox, KHC, Kuil, Dompet Cyano TezBox, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay, Coin98 Wallet.

Dompet Crypto: Bitcoin Core dan semua derivatif (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Selain itu, Mars Stealer akan menangkap dan mengirim informasi dasar berikut ke C2:

  • IP dan negara
  • Jalur kerja ke file EXE
  • Waktu lokal dan zona waktu
  • Sistem bahasa
  • Tata letak keyboard bahasa
  • Buku catatan atau desktop
  • Model prosesor
  • Nama komputer
  • Nama pengguna
  • Nama komputer domain
  • ID Mesin
  • GUID
  • Perangkat lunak yang diinstal dan versinya

Satu-satunya kelalaian penting dari daftar aplikasi yang ditargetkan adalah Outlook, yang kemungkinan akan ditambahkan oleh penulis malware dalam rilis di masa mendatang.

Selengkapnya: Bleepingcomputer