Cybersecurity

Peringatan phishing: Ini adalah merek yang paling mungkin ditiru oleh penjahat, tetap waspada!

January 15, 2021 by Winnie the Pooh

Peneliti keamanan siber di Check Point menganalisis email phishing yang dikirim selama tiga bulan terakhir dan menemukan bahwa 43% dari semua upaya phishing yang meniru merek mencoba menyamar sebagai pesan dari Microsoft.

Microsoft adalah daya tarik yang populer karena distribusi Office 365 yang luas di antara perusahaan. Dengan mencuri kredensial ini, penjahat berharap mendapatkan akses ke jaringan perusahaan.

Merek kedua yang paling sering ditiru selama periode analisis Check Point adalah DHL, dengan serangan yang meniru penyedia logistik terhitung 18% dari semua upaya phishing. DHL telah menjadi umpan phishing yang populer bagi para penjahat karena banyak orang sekarang terjebak di rumah karena pembatasan COVID-19 dan menerima lebih banyak paket – sehingga orang lebih cenderung lengah ketika melihat pesan yang mengaku dari perusahaan pengiriman.

Merek lain yang biasanya ditiru dalam email phishing termasuk LinkedIn, Amazon, Google, PayPal, dan Yahoo. Mengompromikan salah satu akun ini dapat memberi penjahat siber akses ke informasi pribadi yang sensitif yang dapat mereka eksploitasi.

“Penjahat meningkatkan upaya mereka pada Q4 2020 untuk mencuri data pribadi orang-orang dengan meniru merek terkemuka, dan data kami dengan jelas menunjukkan bagaimana mereka mengubah taktik phishing untuk meningkatkan peluang sukses mereka,” kata Maya Horowitz, direktur intelijen dan penelitian ancaman di Check Titik.

“Seperti biasa, kami mendorong pengguna untuk berhati-hati saat memberikan data pribadi dan kredensial ke aplikasi bisnis, dan berpikir dua kali sebelum membuka lampiran atau tautan email, terutama email yang mengklaim dari perusahaan, seperti Microsoft atau Google, yang kemungkinan besar akan ditiru,” tambahnya.

Sumber: ZDNet

Operasi Scam-as-a-Service menghasilkan lebih dari $6,5 juta pada tahun 2020

January 15, 2021 by Winnie the Pooh

Operasi kejahatan siber berbasis di Rusia yang baru ditemukan telah membantu ads scammers rahasia mencuri lebih dari $6,5 juta dari pembeli di seluruh AS, Eropa, dan bekas negara Soviet.

Dalam sebuah laporan, perusahaan keamanan siber Group-IB telah menyelidiki operasi ini, yang oleh perusahaan digambarkan sebagai Scam-as-a-Service dan dinamai Classiscam. Menurut laporan tersebut, skema Classiscam dimulai pada awal 2019 dan awalnya hanya menargetkan pembeli yang aktif di marketplace online Rusia dan portal iklan rahasia.

Saat ini, Classiscam aktif di lebih dari selusin negara dan di marketplace luar negeri serta layanan kurir seperti Leboncoin, Allegro, OLX, FAN Courier, Sbazar, DHL dan lainnya.

Namun terlepas dari penargetan yang luas, modus operandi Classiscam mengikuti pola yang sama — diadaptasi untuk setiap situs — dan berkisar pada penerbitan iklan untuk produk yang tidak ada di marketplace online.

Setelah pengguna tertarik dan menghubungi vendor (scammer), operator Classiscam akan meminta pembeli memberikan detail untuk mengatur pengiriman produk.

Penipu kemudian akan menggunakan bot Telegram untuk menghasilkan halaman phishing yang meniru marketplace asli tetapi dihosting di domain yang mirip. Penipu akan mengirimkan tautan tersebut ke pembeli, yang kemudian pembeli akan mengisinya dengan detail pembayaran mereka.

Setelah korban memberikan rincian pembayaran, para penipu akan mengambil data pembayaran tersebut dan mencoba menggunakannya di tempat lain untuk membeli produk lain.

Group-IB mengatakan bahwa seluruh operasi ini diatur dengan sangat baik, dengan “admin” di bagian paling atas, diikuti oleh “pekerja”, dan “penelepon”.

Sumber: ZDNet

Cyberspies Iran di balik kampanye spear-phishing SMS Natal

January 14, 2021 by Winnie the Pooh

Sebuah kelompok spionase siber Iran yang dikenal sebagai Charming Kitten (APT35 atau Phosphorus) telah menggunakan liburan musim dingin baru-baru ini untuk menyerang target dari seluruh dunia menggunakan kampanye spear-phishing yang sangat canggih yang tidak hanya melibatkan serangan email tetapi juga pesan SMS.

CERTFA, organisasi keamanan siber yang khusus melacak operasi Iran, mengatakan mereka mendeteksi serangan yang menargetkan anggota lembaga think tank, pusat penelitian politik, profesor universitas, jurnalis, dan aktivis lingkungan.

Para korban berada di negara-negara sekitar Teluk Persia, Eropa, dan AS.

Peneliti CERTFA mengatakan bahwa kampanye khusus ini menunjukkan tingkat kompleksitas yang tinggi. Korban menerima pesan spear-phishing dari penyerang tidak hanya melalui email tetapi juga melalui SMS, saluran yang tidak banyak digunakan oleh pelaku ancaman.

Sementara pesan SMS berperan sebagai peringatan keamanan Google, email tersebut memanfaatkan akun yang sebelumnya diretas dan menggunakan umpan terkait liburan.

Persamaan yang umum di kedua kampanye tersebut adalah bahwa operator Charming Kitten berhasil menyembunyikan serangan mereka di balik URL Google yang sah https://www.google[.]com/url?q=https://script.google.com/xxxx, yang akan menipu bahkan penerima yang paling paham teknologi.

Namun ternyata, CERTFA mengatakan bahwa URL Google yang sah pada akhirnya akan mengarahkan pengguna melalui situs web yang berbeda dan akhirnya membawanya ke halaman phishing, di mana mereka akan dimintai kredensial masuk untuk layanan email pribadi seperti Gmail, Yahoo, dan Outlook, tetapi juga email bisnis.

Sumber: ZDNet

Adobe memperbaiki kerentanan eksekusi kode kritis pada patch pertama tahun 2021

January 14, 2021 by Winnie the Pooh

Pembaruan keamanan besar pertama Adobe pada tahun 2021 menyelesaikan tujuh bug kritis yang dapat menyebabkan eksekusi kode.

Pada hari Selasa, raksasa teknologi itu merilis nasihat keamanan terpisah yang menggambarkan kerentanan yang sekarang diselesaikan dalam tujuh produk. Perangkat lunak yang terkena dampak adalah Photoshop, Illustrator, Animate, Bridge, InCopy, Captivate, dan Campaign Classic.

Perbaikan keamanan pertama telah diterapkan pada perangkat lunak Photoshop pada mesin Windows dan macOS. Dilacak sebagai CVE-2021-21006, bug buffer overflow berbasis heap yang penting dapat disalahgunakan untuk memicu eksekusi kode arbitrary.

Adobe Illustrator, pada PC Windows, adalah subjek patch kedua perusahaan. Bug kritis, CVE-2021-21007, dideskripsikan sebagai kesalahan elemen jalur pencarian yang tidak terkontrol yang juga dapat menyebabkan eksekusi kode.

Selain kedua bug tersebut, Adobe juga memperbaiki 5 bug lainnya yang dapat memicu adanya eksekusi kode berbahya pada ke-5 produk lainnya.

Sangat direkomendasikan agar pengguna menerima pembaruan otomatis jika sesuai untuk memperbarui build mereka dan tetap terlindungi.

Sumber: ZDNet

Situs SolarLeaks mengklaim menjual data yang dicuri dalam serangan SolarWinds

January 13, 2021 by Winnie the Pooh

Sebuah situs web bernama ‘SolarLeaks’ menjual data yang mereka klaim dicuri dari perusahaan yang dipastikan telah dilanggar dalam serangan SolarWinds.

Bulan lalu, terungkap bahwa perusahaan manajemen jaringan SolarWinds mengalami serangan siber canggih yang menyebabkan serangan rantai pasokan yang memengaruhi 18.000 pelanggan.

Tanggal 12 Januari kemarin, situs web solarleaks[.]net diluncurkan yang mengklaim menjual data curian dari Microsoft, Cisco, FireEye, dan SolarWinds. Semua perusahaan ini diketahui telah dilanggar selama serangan rantai pasokan.

Situs web tersebut mengklaim menjual source code dan repositori Microsoft seharga $600.000. Microsoft mengonfirmasi bahwa pelaku ancaman telah mengakses source code mereka selama pelanggaran SolarWinds.

Dengan gaya yang mirip dengan Shadow Brokers, aktor SolarLeaks menyatakan bahwa mereka akan menjual data yang dicuri dalam batch, dan lebih banyak lagi akan dirilis di kemudian hari.

Domain solarleaks.net terdaftar melalui NJALLA, registrar yang dikenal digunakan oleh kelompok peretas Rusia, Fancy Bear dan Cozy Bear.

Saat melihat catatan WHOIS untuk solarleaks[.]Net, name server yang ditetapkan juga mengejek peneliti dengan pernyataan “You Can Get No Info”.

Tidak ada konfirmasi apakah situs ini sah dan apakah pemilik situs memiliki data yang mereka jual.

Artikel ini akan terus diperbarui ketika ada info baru mengenai hal ini.

Sumber: Bleeping Computer

Microsoft Sysmon sekarang mendeteksi upaya malware merusak suatu proses

January 13, 2021 by Winnie the Pooh

Microsoft telah merilis Sysmon 13 dengan fitur keamanan baru yang mendeteksi jika suatu proses telah dirusak menggunakan proses hollowing atau teknik proses herpaderping.

Proses hollowing adalah ketika malware meluncurkan proses yang sah dalam keadaan ditangguhkan dan mengganti kode yang sah dalam proses dengan kode berbahaya. Kode berbahaya ini kemudian dijalankan oleh proses, dengan izin apa pun yang ditetapkan untuk proses tersebut.

Proses herpaderping adalah teknik yang lebih canggih di mana malware mengubah image nya di disk agar terlihat seperti perangkat lunak yang sah setelah malware dimuat. Ketika perangkat lunak keamanan memindai file pada disk, itu akan melihat file yang tidak berbahaya sementara kode berbahaya berjalan di memori.

Jika Anda tidak terbiasa dengan Sysmon, atau System Monitor, itu adalah alat Sysinternals yang dirancang untuk memantau sistem untuk aktivitas berbahaya dan mencatat event tersebut ke event log Windows.

Anda dapat mengunduh Sysmon dari halaman Sysinternal khusus atau http://live.sysinternals.com/sysmon.exe.

Untuk mengaktifkan fitur deteksi gangguan proses, administrator perlu menambahkan opsi konfigurasi ‘ProcessTampering’ ke file konfigurasi. Sysmon hanya akan memantau kejadian dasar seperti pembuatan proses dan perubahan waktu file tanpa file konfigurasi.

Dengan mengaktifkan fitur ProcessTampering, saat proses hollowing atau proses herpaderping terdeteksi, Sysmon akan membuat entri ‘Event 25 – Process Tampering’ di Event Viewer.

Bagi Anda yang ingin mempelajari lebih lanjut tentang Sysmon, sangat disarankan agar Anda membaca dokumentasi di situs Sysinternals dan bermain-main dengan berbagai opsi konfigurasi.

Sumber: Bleeping Computer

Darknet Terbesar di Internet Baru Saja Diblokir

January 13, 2021 by Winnie the Pooh

Salah satu forum terbesar di internet untuk aktivitas kriminal, telah disita dan pria yang diyakini sebagai operatornya telah ditangkap, otoritas Eropa mengumumkan pada hari Selasa.

Hingga minggu ini, situs DarkMarket memiliki hampir setengah juta pengguna, lebih dari 200.000 re-sellers, dan dianggap sebagai salah satu tempat paling populer bagi penjahat yang ingin menukar obat-obatan, malware, data kartu kredit curian, dan kartu SIM secara digital.

Pihak berwenang, yang dipimpin oleh penegak hukum Jerman, berhasil mengganggu infrastruktur pasar, menyita lebih dari 20 server di Ukraina dan Moldova, tempat operasi tersebut tampaknya berada.

Para pejabat tidak memberikan rincian atas siapa yang ditangkap sehubungan dengan darknet — merujuk pada pria itu hanya sebagai “warga negara Australia” berusia 34 tahun yang tampaknya ditahan oleh polisi di suatu tempat dekat perbatasan Jerman-Denmark, lapor Barron.

Pemblokiran tersebut tampaknya merupakan bagian dari inisiatif penegakan hukum yang lebih besar yang menargetkan aktivitas darknet yang dimulai pada 2019 dengan pemblokiran layanan hosting CyberBunker, lapor Cyberscoop.

Para pejabat mengatakan pada hari Selasa bahwa informasi yang dikumpulkan dari penyitaan DarkMarket diharapkan akan mengarah pada penyelidikan lebih lanjut.

Sumber: Gizmodo

Malware Android ini mengklaim memberi peretas kendali penuh atas ponsel pintar Anda

January 13, 2021 by Winnie the Pooh

Kombinasi baru dari dua jenis malware yang lebih lama, yang memberi peretas akses ke hampir semua yang dilakukan pengguna di smartphone Android, dijual di forum bawah tanah hanya dengan $29,99 – bahkan menyediakan kemampuan untuk penjahat siber tingkat rendah sekalipun untuk mencuri data pribadi yang sensitif.

Remote administration tool (RAT) ‘Rogue’ menginfeksi korban dengan keylogger, memungkinkan penyerang untuk dengan mudah memantau penggunaan situs web dan aplikasi untuk mencuri nama pengguna dan kata sandi, serta data keuangan.

Malware tersebut mengancam spionase skala penuh pada perangkat dengan memantau lokasi GPS target, mengambil tangkapan layar, menggunakan kamera untuk mengambil gambar, secara diam-diam merekam audio dari panggilan dan banyak lagi.

Rogue telah dirinci oleh para peneliti keamanan siber di Check Point, yang mengatakan itu bukan bentuk malware yang sepenuhnya baru, melainkan kombinasi dari dua keluarga Android RAT sebelumnya – Cosmos dan Hawkshaw – dan mendemonstrasikan evolusi pengembangan malware di dark web.

Agar peretas berhasil menginstal Rogue, mereka dapat memilih metode infeksi, baik dengan phishing, melalui aplikasi jahat atau yang lainnya.

Setelah terpasang, Rogue akan mendaftarkan dirinya sebagai administrator perangkat dan menyembunyikan ikonnya dari layar beranda. Jika pengguna mencoba untuk mencabut kredensial administrator ini, sebuah pesan menanyakan “Apakah Anda yakin untuk menghapus semua data?”, sesuatu yang dapat membuat takut banyak orang untuk mencoba menghapus instalasi, takut mereka akan menghapus seluruh perangkat mereka.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings