Cybersecurity

Peretas mengeksploitasi situs web untuk memberi mereka SEO yang sangat baik sebelum menyebarkan malware

March 2, 2021 by Winnie the Pooh

Penjahat siber telah beralih ke teknik pengoptimalan mesin telusur (SEO) untuk menyebarkan muatan malware ke sebanyak mungkin korban.

Menurut Sophos, apa yang disebut metode “deoptimization” mesin pencari mencakup trik SEO dan penyalahgunaan psikologi manusia untuk mendorong situs web yang telah dikompromikan ke atas peringkat Google.

Sophos mengatakan bahwa pelaku ancaman sekarang merusak sistem manajemen konten (CMS) situs web untuk menyajikan malware finansial, alat eksploitasi, dan ransomware.

Dalam sebuah posting blog pada hari Senin, tim keamanan siber mengatakan teknik, yang dijuluki “Gootloader,” melibatkan penyebaran kerangka kerja infeksi untuk Gootkit Remote Access Trojan (RAT) yang juga mengirimkan berbagai muatan malware lainnya.

Situs web yang disusupi oleh Gootloader dimanipulasi untuk menjawab permintaan pencarian tertentu. Papan pesan palsu adalah tema konstan di situs web yang diretas yang diamati oleh Sophos, di mana modifikasi “halus” dibuat untuk “menulis ulang bagaimana konten situs web ditampilkan ke situs tertentu.

Sebuah posting forum palsu kemudian akan ditampilkan yang berisi jawaban yang jelas atas pertanyaan tersebut, serta tautan unduhan langsung. Korban yang mengklik tautan unduhan langsung akan menerima file arsip .zip, dinamai sesuai dengan istilah pencarian, yang berisi file .js.

Menurut Sophos, teknik tersebut digunakan untuk menyebarkan Trojan perbankan Gootkit, Kronos, Cobalt Strike, dan REvil ransomware, di antara varian malware lainnya, di Korea Selatan, Jerman, Prancis, dan Amerika Serikat.

Selengkapnya: ZDNet

Apa URL Google GVT1.com yang mencurigakan ini?

March 1, 2021 by Winnie the Pooh

Domain tertentu milik Google telah menyebabkan pengguna Chrome, dari peneliti paling terampil hingga pengguna biasa, mempertanyakan apakah mereka berbahaya.

Domain yang dimaksud adalah subdomain redirector.gvt1.com dan gvt1/gvt2 yang telah memunculkan banyak pertanyaan di internet.

Setelah menerima beberapa pertanyaan terkait selama bertahun-tahun, BleepingComputer telah menggali lebih dalam tentang asal-usul domain dan apakah domain tersebut harus menjadi sesuatu yang perlu dikhawatirkan.

Domain *.gvt1.com dan *.gvt2.com, bersama dengan subdomainnya, dimiliki oleh Google dan biasanya digunakan untuk mengirimkan pembaruan perangkat lunak Chrome, ekstensi, dan konten terkait.

Namun, URL dan nama domain ini telah berulang kali menyebabkan kebingungan di antara pengembang dan peneliti karena strukturnya yang tampak mencurigakan.

Demikian pula, domain gvt.1com sebelumnya telah ditandai oleh produk antivirus sebagai malware dan oleh para peneliti sebagai Indikator Kompromi (IOC). Selain itu, tautan redirector.gvt1.com mengalihkan ke URL yang berisi alamat IP pengguna, di antara parameter yang sulit dipahami lainnya yang dapat menyebabkan kecurigaan lebih lanjut.

Haruskah kita khawatir tentang URL gvt1.com? Di sinilah masalahnya menjadi rumit, tetapi jawabannya adalah: tidak, tetapi Google dapat mengamankannya dengan lebih baik.

GVT di domain gvt1.com adalah singkatan dari Google Video Transcoding, dan digunakan sebagai server cache untuk konten dan unduhan yang digunakan oleh layanan dan aplikasi Google.

Yang memprihatinkan, adalah bahwa Google terus menggunakan protokol HTTP yang tidak aman daripada HTTPS saat menghubungkan ke URL ini.

Dengan menghubungkan ke URL melalui HTTP, memungkinkan serangan man-in-the-middle (MiTM) untuk memodifikasi unduhan dengan cara tertentu. Jika Anda memasang malware yang mengganggu lalu lintas HTTP, Anda memiliki lebih banyak hal yang perlu dikhawatirkan saat ini.

Kesimpulannya, saat melihat lalu lintas terkait domain *.gvt1.com atau *.gvt2.com di jaringan perusahaan Anda, ini bukan penyebab alarm tetapi hanya unduhan Chromium yang sah yang sedang berlangsung.

Namun, Google harus beralih menggunakan HTTPS untuk mencegah potensi serangan MiTM, dan administrator harus terus mengikuti praktik terbaik seperti menganalisis lalu lintas dari URL.

Sumber: Bleeping Computer

Ryuk ransomware sekarang menyebar sendiri ke perangkat Windows LAN lainnya

March 1, 2021 by Winnie the Pooh

Varian ransomware Ryuk baru dengan kemampuan seperti worm yang memungkinkannya menyebar ke perangkat lain di jaringan lokal korban telah ditemukan oleh badan keamanan siber nasional Prancis saat menyelidiki serangan pada awal 2021.

“Melalui penggunaan tugas terjadwal, malware menyebarkan dirinya – dari mesin ke mesin – dalam domain Windows,” kata ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) dalam sebuah laporan yang diterbitkannya.

“Setelah diluncurkan, ini akan menyebar dengan sendirinya di setiap mesin yang dapat dijangkau yang memungkinkan akses Windows RPC”.

Untuk menyebarkan dirinya melalui jaringan lokal, varian Ryuk yang baru mencantumkan semua alamat IP di cache ARP lokal dan mengirimkan apa yang tampak seperti paket Wake-on-LAN (WOL) ke setiap perangkat yang ditemukan. Kemudian mounts semua sharing resources yang ditemukan untuk setiap perangkat sehingga dapat mengenkripsi konten.

Apa yang membuat sampel Ryuk baru ini berbeda adalah kemampuannya untuk menyalin dirinya sendiri ke perangkat Windows lain di jaringan lokal korban.

Selain itu, ia dapat menjalankan dirinya sendiri dari jarak jauh menggunakan tugas terjadwal yang dibuat pada setiap host jaringan yang kemudian dikompromikan dengan bantuan alat Windows schtasks.exe yang sah.

Selengkapnya: Bleeping Computer

T-Mobile mengungkapkan pelanggaran data setelah serangan SIM swapping

March 1, 2021 by Winnie the Pooh

Penyedia telekomunikasi Amerika T-Mobile telah mengungkapkan pelanggaran data setelah sejumlah pelanggan yang tidak diketahui tampaknya terpengaruh oleh serangan SIM swapping.

Penipuan SIM swap (atau pembajakan SIM) memungkinkan scammer mengendalikan nomor telepon target setelah mentransfernya menggunakan manipulasi psikologis atau setelah menyuap karyawan operator seluler ke SIM yang dikendalikan oleh penipu.

Dalam pemberitahuan pelanggaran data yang dikirim ke pelanggan yang terkena dampak pada 9 Februari 2021, dan diajukan ke kantor jaksa agung AS, T-Mobile mengungkapkan bahwa penyerang yang tidak dikenal memperoleh akses ke informasi akun pelanggan, termasuk info pribadi dan nomor identifikasi pribadi (PIN).

Karena penyerang dapat mentransfer nomor, tidak jelas apakah mereka memperoleh akses ke akun karyawan atau melakukannya melalui akun pengguna yang disusupi.

Informasi yang diakses oleh peretas mungkin termasuk nama lengkap pelanggan, alamat, alamat email, nomor akun, nomor jaminan sosial (SSN), nomor identifikasi pribadi (PIN) akun, pertanyaan dan jawaban keamanan akun, tanggal lahir, informasi rencana, dan jumlah baris yang berlangganan akun mereka.

Pelanggan T-Mobile yang terkena dampak disarankan untuk mengubah kata sandi akun, PIN, serta pertanyaan dan jawaban keamanan mereka.

Sumber: Bleeping Computer

Chrome akan segera mencoba HTTPS terlebih dahulu saat Anda mengetik URL yang tidak lengkap

March 1, 2021 by Winnie the Pooh

Engineer Google telah menjadi beberapa promotor fitur keamanan browser yang paling gigih selama beberapa tahun terakhir dan, bersama dengan tim di balik browser Firefox dan Tor, sering berada di balik banyak perubahan yang telah membentuk browser menjadi seperti sekarang ini.

Salah satu bidang minat terbesar bagi para engineer Chrome selama beberapa tahun terakhir adalah mendorong dan mempromosikan penggunaan HTTPS, baik di dalam browser mereka, tetapi juga di antara pemilik situs web.

Sebagai bagian dari upaya ini, Chrome sekarang mencoba meningkatkan situs dari HTTP ke HTTPS saat HTTPS tersedia. Chrome juga memperingatkan pengguna saat mereka akan memasukkan sandi atau data kartu pembayaran pada halaman HTTP yang tidak aman.

Dan Chrome juga memblokir unduhan dari sumber HTTP jika URL lamannya HTTPS —untuk menghindari pengguna tertipu sehingga mengira unduhan mereka aman tetapi sebenarnya tidak.

Perubahan terbaru dari HTTPS pertama ini akan tiba di Chrome 90, dan dijadwalkan akan dirilis pada pertengahan April tahun ini.

Perubahan tersebut akan memengaruhi Omnibox Chrome — nama yang digunakan Google untuk mendeskripsikan bilah alamat (URL) Chrome.

Selengkapnya: ZDNet

Malware Go sekarang menjadi umum dan telah diadopsi oleh APT serta kelompok kejahatan lainnya

March 1, 2021 by Winnie the Pooh

Jumlah malware yang dikodekan dalam bahasa pemrograman Go telah mengalami peningkatan tajam sekitar 2.000% selama beberapa tahun terakhir, sejak 2017, kata perusahaan keamanan siber Intezer dalam sebuah laporan yang diterbitkan minggu ini.

Temuan perusahaan menyoroti dan mengkonfirmasi tren umum dalam ekosistem malware, di mana pembuat malware perlahan-lahan beralih dari C dan C ++ ke Go, bahasa pemrograman yang dikembangkan dan diluncurkan oleh Google pada tahun 2007.

Sementara malware berbasis Go pertama terdeteksi pada tahun 2012, bagaimanapun, butuh beberapa tahun bagi Golang untuk menguasai dunia malware.

Malware berbasis Go digunakan oleh kelompok peretasan negara-bangsa (juga dikenal sebagai APT), operator kejahatan siber, dan bahkan tim keamanan, yang sering menggunakannya untuk membuat perangkat pengujian penetrasi.

Ada tiga alasan utama mengapa popularitas Golang mengalami peningkatan tajam yang tiba-tiba ini. Yang pertama adalah Go mendukung proses yang mudah untuk kompilasi lintas platform.

Alasan kedua adalah bahwa binari berbasis Go masih sulit untuk dianalisis dan di-reverse engineer oleh peneliti keamanan, yang membuat tingkat deteksi untuk malware berbasis Go sangat rendah. Alasan ketiga terkait dengan dukungan Go untuk bekerja dengan paket dan permintaan jaringan.

Go menyediakan malware dengan semua alat yang mereka butuhkan di satu tempat, dan mudah untuk melihat mengapa banyak pembuat kode malware meninggalkan C dan C ++ karenanya. Ketiga alasan ini adalah mengapa kita melihat lebih banyak malware Golang di tahun 2020 daripada sebelumnya.

Selengkapnya: ZDNet

Perbarui Kata Sandi Anda Sekarang Juga

March 1, 2021 by Winnie the Pooh

Aktor jahat membobol lebih banyak sistem daripada yang Anda pikirkan hanya dengan menebak kode. Ada beberapa insiden yang benar-benar tidak masuk akal selama bertahun-tahun di mana entitas besar dan terkemuka diretas karena kecanggihan kata sandinya buruk.

Misalnya, firma keamanan global Gunnebo baru-baru ini menjadi korban pencurian data, dan diduga bahwa sandi salah satu karyawan yang sangat tidak dapat ditembus (“password01”) berperan dalam kejadian tersebut.

Selama bertahun-tahun, peretas telah mengembangkan metode canggih untuk mengidentifikasi detail pribadi yang Anda gabungkan untuk membuat benteng kriptografi tersebut (masukkan nama hewan peliharaan ditambah angka ulang tahun, misalnya).

Mereka biasanya memanfaatkan seluruh rangkaian perangkat lunak otomatis untuk melakukan hal ini, menerapkannya dalam apa yang disebut serangan siber “brute force” di mana mereka berulang kali mencoba untuk menerobos sistem melalui tebakan otomatis.

Jadi, perbarui kata sandi Anda sekarang! Dan coba ingat untuk memperbaruinya dengan frekuensi tertentu! Pasti ada beberapa perdebatan tentang seberapa sering Anda harus melakukannya, tetapi kebijaksanaan umumnya adalah Anda harus memperbarui setiap 60 hingga 90 hari — jadi setiap dua hingga tiga bulan.

Tentu saja, ada banyak langkah keamanan kata sandi lain yang dapat Anda lakukan, bersama dengan pembaruan yang konsisten. Autentikasi dua faktor, tentu saja, selalu merupakan ide yang bagus juga — karena memerlukan banyak bukti bahwa penggunanya adalah seperti yang mereka katakan.

Sumber: Gizmodo

Peneliti keamanan tidak merekomendasikan untuk menggunakan LastPass setelah merinci adanya 7 pelacak

March 1, 2021 by Winnie the Pooh

Peneliti keamanan tidak merekomendasikan untuk menggunakan LastPass setelah merinci adanya 7 pelacak.

Meskipun tidak ada saran bahwa pelacak, yang dianalisis oleh peneliti Mike Kuketz, sedang mentransfer sandi atau nama pengguna pengguna yang sebenarnya, Kuketz mengatakan kehadiran mereka adalah praktik yang buruk untuk aplikasi yang sangat penting bagi keamanan yang menangani informasi sensitif semacam itu.

Menanggapi laporan tersebut, juru bicara dari LastPass mengatakan perusahaan mengumpulkan data terbatas “tentang bagaimana LastPass digunakan” untuk membantunya “meningkatkan dan mengoptimalkan produk”. Yang terpenting, LastPass memberi tahu The Register bahwa “tidak ada data sensitif pengguna yang dapat diidentifikasi secara pribadi atau aktivitas vault yang dapat dilewati melalui pelacak ini,” dan pengguna dapat memilih keluar dari analitik di bagian Privasi pada menu Pengaturan Lanjutan.

Pelacak LastPass termasuk empat dari Google yang menangani analitik dan pelaporan kerusakan, serta satu dari perusahaan bernama Segmen, yang dilaporkan mengumpulkan data untuk tim pemasaran. Kuketz menganalisis data yang dikirimkan dan menemukan bahwa data tersebut mencakup informasi tentang merek dan model ponsel cerdas, serta informasi tentang apakah pengguna mengaktifkan keamanan biometrik.

Meskipun data yang dikirimkan tidak dapat diidentifikasi secara pribadi, mengintegrasikan kode pihak ketiga ini pada awalnya akan berpotensi menimbulkan kerentanan keamanan, menurut Kuketz.

Selengkapnya: The Verge

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings