Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for cryptocurrency

cryptocurrency

BTC.com Kehilangan $3 Juta Uang Kripto Dalam Serangan Siber

by

BTC.com, salah satu kumpulan penambangan cryptocurrency terbesar di dunia, mengumumkan bahwa mereka adalah korban serangan dunia maya yang mengakibatkan pencurian aset crypto senilai sekitar $3 juta milik pelanggan dan perusahaan.

Menurut pelacak kumpulan penambangannya, BTC.com adalah kumpulan penambangan cryptocurrency terbesar ketujuh, dengan 2,66% dari total hashrate jaringan.

Beberapa Aset Dicuri Sudah Ditemukan Kembali
Setelah mendeteksi serangan pada 3 Desember 2022, dimana sejumlah $700.000 milik klien dan $2,3 juta aset digital perusahaan dicuri, BTC.com segera melaporkan kejadian tersebut ke otoritas penegak hukum China di Shenzen. Sejak itu perusahaan telah memulihkan beberapa cryptocurrency yang dicuri.

Tidak Ada Info Tentang Data Yang Dicuri
BTC.com telah mengambil tindakan untuk memblokir serangan serupa di masa mendatang dan operasinya tidak terpengaruh.

Perusahaan saat ini menjalankan bisnis seperti biasa, dan selain dari layanan aset digitalnya, layanan dana kliennya tidak terpengaruh.
Hingga saat ini, belum ada informasi lebih lanjut mengenai bagaimana penyerang dapat mencuri cryptocurrency atau jika ada data atau informasi pribadi yang dicuri selama insiden tersebut.

Selengkapnya: BLEEPING COMPUTER

Hacker Mencuri $8 Juta dari Pengguna Aplikasi Trojanized BitKeep

by

Beberapa pengguna dompet crypto BitKeep melaporkan bahwa dompet mereka dikosongkan selama Natal setelah peretas memicu transaksi yang tidak memerlukan verifikasi.

BitKeep adalah dompet DeFi web3 multi-rantai terdesentralisasi yang mendukung lebih dari 30 blockchain, 76 jaringan utama, 20.000 aplikasi terdesentralisasi, dan lebih dari 223.000 aset. Ini digunakan oleh lebih dari delapan juta orang di 168 negara untuk manajemen aset dan penanganan transaksi.

“Jika dana Anda dicuri, aplikasi yang Anda unduh atau perbarui mungkin merupakan versi yang tidak dikenal (unofficial release version) yang dibajak.”

Pemberitahuan BitKeep di Telegram

Mereka yang mengunduh paket APK trojan disarankan untuk memindahkan semua dana mereka ke toko resmi setelah mengunduh aplikasi resmi dari Google Play atau App Store, membuat alamat dompet baru dan memindahkan semua dana mereka ke sana.

Platform memperingatkan bahwa setiap alamat dompet yang dibuat menggunakan APK jahat harus diperlakukan sebagai disusupi.

Terakhir, mereka yang menjadi korban peretasan diminta mengisi formulir ini agar tim dukungan BitKeep mencoba menawarkan solusi tepat waktu.

Transaksi mencurigakan yang ditemukan oleh PeckShield termasuk 4373 $BNB, 5,4 juta $USDT, 196k $DAI, dan 1233,21 $ETH.

tracing transaksisi illegal (PeckShield)

Pada Oktober 2022, BitKeep mengalami kerugian sekitar $1 juta setelah seorang peretas mengeksploitasi kerentanan dalam layanan yang memungkinkan mereka melakukan pertukaran token secara sewenang-wenang.

Saat itu, BitKeep berjanji akan mengganti kerugian sepenuhnya bagi mereka yang terkena dampak insiden tersebut. Namun, karena serangan saat ini diakibatkan oleh pengguna yang ditipu oleh APK yang di-trojanisasi, kecil kemungkinan akan ada pengembalian dana.

sumber : bleeping computer

Peretas Mengunci Operator Mars Stealer dari Server Mereka Sendiri

by

Mars Stealer adalah malware pencuri data sebagai layanan, memungkinkan penjahat dunia maya menyewa akses ke infrastruktur untuk meluncurkan serangan mereka sendiri. Malware itu sendiri sering didistribusikan sebagai lampiran email, iklan jahat, dan dibundel dengan file torrent di situs berbagi file. Setelah terinfeksi, malware mencuri kata sandi korban dan kode dua faktor dari ekstensi browser mereka, serta konten dompet mata uang kripto mereka. Malware juga dapat digunakan untuk mengirimkan muatan berbahaya lainnya, seperti ransomware.

Awal tahun ini, salinan crack dari malware Mars Stealer bocor secara online, memungkinkan siapa saja untuk membangun server perintah dan kontrol Mars Stealer mereka sendiri, tetapi dokumentasinya cacat, dan memandu calon aktor jahat untuk mengonfigurasi server mereka dengan cara yang akan secara tidak sengaja mengekspos file log yang dikemas dengan data pengguna yang dicuri dari komputer korban.

Mars Stealer mendapatkan daya tarik pada bulan Maret setelah pencopotan Raccoon Stealer, malware pencuri data populer lainnya. Itu menyebabkan peningkatan dalam kampanye Mars Stealer baru, termasuk penargetan massal Ukraina dalam minggu-minggu setelah invasi Rusia, dan upaya skala besar untuk menginfeksi korban dengan iklan berbahaya. Pada bulan April, peneliti keamanan mengatakan mereka menemukan lebih dari 40 server hosting Mars Stealer.

Sekarang, Buguard, startup pengujian penetrasi, mengatakan kerentanan yang ditemukannya dalam malware yang bocor memungkinkannya masuk dari jarak jauh dan “mengalahkan” server perintah dan kontrol Mars Stealer yang digunakan untuk mencuri data dari komputer korban yang terinfeksi.

kepala petugas teknologi perusahaan, memberi tahu TechCrunch bahwa kerentanan, setelah dieksploitasi, menghapus log dari server Mars Stealer yang ditargetkan, menghentikan semua sesi aktif yang memutuskan hubungan dengan komputer korban, lalu mengacak kata sandi dasbor sehingga operator dapat ‘ t login kembali.

Mohamed mengatakan perusahaannya telah menemukan dan menetralkan lima server Mars Stealer sejauh ini, empat di antaranya kemudian offline. Kerentanan juga ada di Erbium, malware pencuri data lainnya dengan model malware-as-a-service yang mirip dengan Mars Stealer, kata Mohamed.

sumber : tech crunch

Ekstensi Google Chrome Digunakan Untuk Mencuri Cryptocurrency

by

Ekstensi browser Google Chrome yang mencuri informasi bernama ‘VenomSoftX’ sedang digunakan oleh malware Windows untuk mencuri cryptocurrency dan konten clipboard saat pengguna menjelajahi web.

Ekstensi Chrome ini dipasang oleh malware ViperSoftX Windows, yang bertindak sebagai RAT berbasis JavaScript (trojan akses jarak jauh) dan pembajak cryptocurrency.

Aktivitas Terbaru
Saluran distribusi utama untuk ViperSoftX adalah file torrent yang berisi crack game bertali dan aktivator produk perangkat lunak.

Dengan menganalisis alamat dompet yang di-hardcode dalam sampel ViperSoftX dan VenomSoftX, Avast menemukan bahwa keduanya secara kolektif telah menghasilkan sekitar $130.000 bagi operator mereka pada 8 November 2022.

Cryptocurrency yang dicuri ini diperoleh dengan mengalihkan transaksi cryptocurrency yang dicoba pada perangkat yang dikompromikan dan tidak termasuk keuntungan dari aktivitas paralel.

Baris kode berbahaya tunggal bersembunyi di suatu tempat di bagian bawah file teks log 5MB dan berjalan untuk mendekripsi muatan, pencuri ViperSoftX.

Fitur utama dari varian ViperSoftX yang lebih baru adalah pemasangan ekstensi browser berbahaya bernama VenomSoftX di browser berbasis Chrome (Chrome, Brave, Edge, Opera).

Menginfeksi Chrome

“VenomSoftX terutama melakukan ini (mencuri crypto) dengan mengaitkan permintaan API pada beberapa pertukaran crypto yang sangat populer yang dikunjungi/dimiliki oleh korban,” jelas Avast dalam laporan tersebut.

“Ketika API tertentu dipanggil, misalnya, untuk mengirim uang, VenomSoftX merusak permintaan sebelum dikirim untuk mengalihkan uang ke penyerang.”

Layanan yang ditargetkan oleh VenomSoftX adalah Blockchain.com, Binance, Coinbase, Gate.io, dan Kucoin, sedangkan ekstensi juga memonitor clipboard untuk penambahan alamat dompet.

“This module focuses on www.blockchain.com and it tries to hook https://blockchain.info/wallet. It also modifies the getter of the password field to steal entered passwords,” explains Avast.

“Once the request to the API endpoint is sent, the wallet address is extracted from the request, bundled with the password, and sent to the collector as a base64-encoded JSON via MQTT.”

Terakhir, jika pengguna melampirkan konten ke situs web mana pun, ekstensi akan memeriksa apakah cocok dengan salah satu ekspresi reguler yang ditunjukkan di atas, dan jika demikian, kirimkan konten yang ditempelkan ke pelaku ancaman.

Dikarenakan Google Sheets biasanya dipasang di Google Chrome sebagai aplikasi di bawah chrome://apps/ dan bukan ekstensi, Anda dapat memeriksa halaman ekstensi browser Anda untuk menentukan apakah Google Sheets dipasang.

Sumber : bleeping computer

Sistem Pembajakan Malware KmsdBot Baru Crypto Mining dan Meluncurkan Serangan DDoS

by

Malware penghindar yang baru ditemukan memanfaatkan protokol kriptografi Secure Shell (SSH) untuk masuk ke sistem yang ditargetkan dengan tujuan menambang cryptocurrency dan melakukan serangan penolakan layanan (DDoS) terdistribusi.

Dijuluki KmsdBot oleh Akamai Security Intelligence Response Team (SIRT), malware berbasis Golang telah ditemukan menargetkan berbagai perusahaan mulai dari game hingga merek mobil mewah hingga perusahaan keamanan.

Malware mendapatkan namanya dari executable bernama “kmsd.exe” yang diunduh dari server jarak jauh setelah kompromi yang berhasil. Ini juga dirancang untuk mendukung banyak arsitektur, seperti Winx86, Arm64, mips64, dan x86_64.

KmsdBot hadir dengan kemampuan untuk melakukan operasi pemindaian dan menyebarkan dirinya sendiri dengan mengunduh daftar kombinasi nama pengguna dan kata sandi. Itu juga dilengkapi untuk mengontrol proses penambangan dan memperbarui malware.

Akamai mengatakan target pertama yang diamati dari malware adalah perusahaan game bernama FiveM, mod multipemain untuk Grand Theft Auto V yang memungkinkan pemain mengakses server permainan peran khusus.

Serangan DDoS yang diamati oleh perusahaan infrastruktur web termasuk serangan Layer 4 dan Layer 7, di mana banjir permintaan TCP, UDP, atau HTTP GET dikirim untuk membanjiri sumber daya server target dan menghambat kemampuannya untuk memproses dan merespons.

Temuan ini muncul karena perangkat lunak yang rentan semakin banyak digunakan untuk menyebarkan penambang cryptocurrency, melonjak dari 12% di Q1 2022 menjadi 17% di Q3, menurut data telemetri dari Kaspersky. Hampir setengah dari sampel perangkat lunak penambangan berbahaya yang dianalisis (48%) secara diam-diam menambang Monero (XMR).

“Menariknya, negara yang paling ditargetkan pada Q3 2022 adalah Ethiopia (2,38%), di mana penggunaan dan penambangan cryptocurrency ilegal,” kata perusahaan keamanan siber Rusia. “Kazakhstan (2,13%) dan Uzbekistan (2,01%) mengikuti di tempat kedua dan ketiga.”

Sumber: The Hackernews

Malware pencuri kata sandi Erbium menyebar sebagai game cracks

by

Malware pencuri informasi ‘Erbium’ baru sedang didistribusikan sebagai celah palsu dan cheat untuk video game populer untuk mencuri kredensial korban dan dompet cryptocurrency.

Erbium adalah Malware-as-a-Service (MaaS) baru yang memberi pelanggan malware pencuri informasi baru yang semakin populer di komunitas kejahatan dunia maya berkat fungsionalitasnya yang luas, dukungan pelanggan, dan harga yang kompetitif.

Para peneliti di tim Cluster25 adalah yang pertama melaporkan Erbium awal bulan ini, tetapi laporan baru oleh Cyfirma membagikan informasi lebih lanjut tentang bagaimana trojan pencuri kata sandi didistribusikan.

Erbium awalnya berharga $9 per minggu, tetapi karena popularitasnya meningkat pada akhir Agustus, harganya naik menjadi $100 per bulan atau $1000 untuk lisensi setahun penuh.

Seperti malware pencuri informasi lainnya, Erbium akan mencuri data yang disimpan di browser web (berbasis Chromium atau Gecko), seperti kata sandi, cookie, kartu kredit, dan informasi pengisian otomatis.

Malware ini juga mencoba untuk mengekstrak data dari sejumlah besar dompet cryptocurrency yang dipasang di browser web sebagai ekstensi.

Dompet cryptocurrency panas yang ditargetkan (Cyfirma)

Dompet desktop seperti Exodus, Atomic, Armory, Bitecoin-Core, Bytecoin, Dash-Core, Electrum, Electron, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash, dan Jaxx juga dicuri.

Erbium juga mencuri kode otentikasi dua faktor dari Trezor Password Manager, EOS Authenticator, Authy 2FA, dan Authenticator 2FA.

Malware dapat mengambil tangkapan layar dari semua monitor, mengambil token Steam dan Discord, mencuri file auth Telegram, dan membuat profil host berdasarkan OS dan perangkat keras.

Semua data dieksfiltrasi ke C2 melalui sistem API bawaan, sementara operator mendapatkan gambaran umum tentang apa yang telah dicuri dari setiap host yang terinfeksi di dasbor Erbium, yang ditunjukkan di bawah ini.

Malware menggunakan tiga URL untuk terhubung ke panel, termasuk Jaringan Pengiriman Konten (CDN) Discord, sebuah platform yang sering disalahgunakan oleh operator malware.

Cluster25 melaporkan tanda-tanda infeksi Erbium di seluruh dunia, termasuk di Amerika Serikat, Prancis, Kolombia, Spanyol, Italia, India, Vietnam, dan Malaysia.

Sementara kampanye Erbium pertama menggunakan celah permainan sebagai umpan, saluran distribusi dapat terdiversifikasi secara signifikan kapan saja, karena pembeli malware dapat memilih untuk mendorongnya melalui metode yang berbeda.

Untuk menghindari ancaman dari sistem, hindari mengunduh perangkat lunak bajakan, pindai semua file yang diunduh pada alat AV, dan perbarui perangkat lunak Anda dengan menginstal patch keamanan terbaru yang tersedia.

Sumber: Bleeping Computer

LockBit 3.0 memperkenalkan program hadiah bug ransomware pertama

by

Operasi ransomware LockBit telah merilis ‘LockBit 3.0,’ memperkenalkan program hadiah bug ransomware pertama dan membocorkan taktik pemerasan baru dan opsi pembayaran cryptocurrency Zcash.

Operasi ransomware diluncurkan pada 2019 dan sejak itu berkembang menjadi operasi ransomware paling produktif, terhitung 40% dari semua serangan ransomware yang diketahui pada Mei 2022.

Selama akhir pekan, geng kejahatan dunia maya merilis operasi ransomware-as-a-service (RaaS) yang diubah yang disebut LockBit 3.0 setelah pengujian beta selama dua bulan terakhir, dengan versi baru sudah digunakan dalam serangan.

Meskipun tidak jelas perubahan teknis apa yang dilakukan pada encryptor, catatan tebusan tidak lagi bernama ‘Restore-My-Files.txt’ dan sebagai gantinya telah dipindahkan ke format penamaan, [id].README.txt, seperti yang ditunjukkan di bawah ini.

Catatan tebusan LockBit 3.0
Sumber: BleepingComputer

Dengan dirilisnya LockBit 3.0, operasi tersebut telah memperkenalkan program bug bounty pertama yang ditawarkan oleh geng ransomware, meminta peneliti keamanan untuk mengirimkan laporan bug dengan imbalan hadiah berkisar antara $1.000 dan $1 juta.

Program hadiah bug LockBit 3.0
Sumber: BleepingComputer

Namun, program bug bounty ini sedikit berbeda dari yang biasa digunakan oleh perusahaan yang sah, karena membantu perusahaan kriminal akan ilegal di banyak negara.

Selain itu, LockBit tidak hanya menawarkan hadiah untuk hadiah atas kerentanan tetapi juga membayar hadiah untuk “ide cemerlang” dalam meningkatkan operasi ransomware dan untuk melakukan doxxing kepada manajer program afiliasi.

Berikut ini adalah berbagai kategori karunia bug yang ditawarkan oleh operasi LockBit 3.0:

  • Bug Situs Web: Kerentanan XSS, injeksi mysql, mendapatkan shell ke situs dan banyak lagi, akan dibayar tergantung pada tingkat keparahan bug, arah utama adalah untuk mendapatkan decryptor melalui situs web bug, serta akses ke riwayat korespondensi dengan perusahaan terenkripsi.
  • Locker Bugs: Setiap kesalahan selama enkripsi oleh loker yang menyebabkan file rusak atau kemungkinan mendekripsi file tanpa mendapatkan decryptor.
  • Doxing: Kami membayar tepat satu juta dolar, tidak lebih dan tidak kurang, untuk doxing bos program afiliasi. Baik Anda seorang agen FBI atau peretas yang sangat pintar yang tahu cara menemukan siapa pun, Anda dapat mengirimi kami pesan TOX, memberi kami nama bos Anda, dan mendapatkan $1 juta dalam bentuk bitcoin atau monero untuk itu.

    • Selengkapnya

Saat membuka situs Tor untuk negosiasi LockBit 3.0 dan situs kebocoran data, pengunjung disajikan dengan logo animasi dengan berbagai ikon mata uang kripto yang berputar di sekitarnya.

Ikon cryptocurrency yang ditampilkan dalam animasi ini adalah Monero dan Bitcoin, yang sebelumnya diterima oleh operasi sebagai pembayaran tebusan, tetapi juga mencakup koin privasi yang dikenal sebagai Zcash.

Perusahaan pelacakan Cryptocurrency dan penyitaan penegakan hukum telah berulang kali menunjukkan bahwa Bitcoin dapat dilacak, dan sementara Monero adalah koin privasi, itu tidak ditawarkan untuk dijual oleh sebagian besar pertukaran crypto AS.

Zcash juga merupakan koin privasi, membuatnya lebih sulit untuk dilacak. Namun, saat ini ditawarkan untuk dijual di bursa crypto AS paling populer, Coinbase, sehingga memudahkan korban untuk membeli untuk pembayaran uang tebusan.

Namun, jika operasi ransomware beralih ke menerima pembayaran dalam koin ini, kemungkinan besar kita akan melihatnya dihapus dari bursa AS karena tekanan dari pemerintah AS.

Valery Marchive dari LeMagIT menemukan bahwa operasi LockBit 3.0 menggunakan model pemerasan baru, yang memungkinkan pelaku ancaman untuk membeli data yang dicuri selama serangan.

Salah satu file JavaScript yang digunakan oleh situs kebocoran data LockBit 3.0 baru menunjukkan dialog modal HTML baru yang memungkinkan orang untuk membeli data yang bocor di situs tersebut.

Seperti yang Anda lihat di bawah, modals akan menawarkan kemampuan untuk membeli data dan mengunduhnya baik melalui Torrent atau langsung di situs. Opsi yang tersedia dapat ditentukan berdasarkan ukuran data yang dicuri, dengan Torrent digunakan untuk dump data besar dan unduhan langsung untuk jumlah yang lebih kecil.

Sumber JavaScript menunjukkan metode pemerasan data baru
Sumber: BleepingComputer

Karena situs kebocoran data LockBit 3.0 saat ini tidak mengandung korban, tidak jelas bagaimana taktik pemerasan baru ini akan bekerja atau apakah itu diaktifkan.

LockBit adalah salah satu operasi ransomware paling aktif, dengan operator yang menghadap publik secara aktif terlibat dengan pelaku ancaman lain dan komunitas keamanan siber.

Sumber: Bleeping Computer

Deteksi trojan seluler meningkat saat tingkat distribusi malware menurun

by

Laporan triwulanan Kaspersky tentang distribusi malware seluler mencatat tren penurunan yang dimulai pada akhir tahun 2020. Terlepas dari penurunan volume malware secara keseluruhan, perusahaan keamanan melaporkan lonjakan distribusi trojan, termasuk trojan generik, trojan perbankan, dan spyware.

Perkembangan yang mengkhawatirkan ini menggarisbawahi peningkatan fokus pada operasi yang lebih canggih dan merusak yang secara bertahap menggantikan adware dan “alat risiko” dengan hasil rendah.

Adware dan “alat risiko” tetap menjadi yang paling umum dalam hal volume distribusi, dengan yang terakhir menyumbang hampir setengah dari semua upaya infeksi malware seluler yang terdeteksi oleh Kaspersky pada Q1 2022.

Jenis malware yang didistribusikan pada kuartal terakhir (Kaspersky)

Deteksi trojan mobile banking telah meningkat sekitar 40% dibandingkan dengan kuartal sebelumnya, dan jumlahnya dua kali lipat dibandingkan dengan data Q1 2021.

Jenis malware ini biasanya melapisi layar login di atas aplikasi perbankan atau manajemen cryptocurrency yang sah untuk mencuri kredensial akun orang.

Trojan perbankan menjadi lebih luas dan murah tersedia di forum peretasan dan saluran Telegram, sehingga adopsi mereka oleh penjahat cyber berketerampilan rendah meningkat.

Menurut Kaspersky, keluarga baru yang mendorong angka distribusi ke atas pada kuartal ini adalah yang mereka lacak sebagai “Trojan-Banker.AndroidOS.Bray”, yang menyumbang 81% dari semua deteksi trojan seluler pada kuartal pertama tahun ini.

Kaspersky telah memperhatikan beberapa tren menarik di awal tahun ini, yang paling menonjol adalah peningkatan aplikasi penipuan yang didorong melalui saluran toko aplikasi resmi seperti Google Play Store.

Pada kuartal pertama tahun 2022, scammers mengeksploitasi invasi Rusia ke Ukraina untuk menawarkan aplikasi manfaat publik palsu yang menjanjikan bantuan keuangan sebagai tanggapan terhadap sanksi dan pembatasan transaksi. Namun, aplikasi ini hanya mencuri uang pengguna dengan mengarahkan mereka ke situs web eksternal yang berbahaya.

Aplikasi penipuan terlihat di Play Store pada bulan-bulan sebelumnya (Kaspersky)

Ancaman lain yang disorot adalah aplikasi pinjaman bayaran agresif yang menargetkan sebagian besar pengguna di India, Brasil, dan Meksiko.

Kaspersky mengklasifikasikan ini sebagai “RiskTool.AndroidOS.SpyLoan”, dan mengatakan aplikasi ini meminta akses ke daftar kontak pengguna, SMS, dan foto selama instalasi. Jika pembayaran terlambat, informasi ini digunakan untuk pemerasan.

Aplikasi pinjaman bayaran dilaporkan terlibat dalam pemerasan (Kaspersky)

Dalam beberapa kasus, telah dilaporkan bahwa agen penagih utang yang bekerja untuk platform ini memanggil orang-orang dari daftar kontak pengguna untuk mengekspos mereka dan meningkatkan tekanan untuk membayar utang.

Dalam kasus lain, bahkan lebih ekstrim, pengguna aplikasi ini terkunci dari ponsel mereka jika mereka melewatkan pembayaran, menggemakan ancaman ransomware.

Perkembangan dan kondisi yang memicu tren yang berlangsung pada kuartal terakhir tetap tidak berubah, sehingga distribusi trojan diperkirakan akan terus menggantikan ancaman yang ditandai sebagai adware dan riskware.

Sumber: