Cybersecurity

Operator Trojan njRAT sekarang menggunakan Pastebin sebagai alternatif dari server perintah pusat

December 11, 2020 by Winnie the Pooh

Operator njRAT Remote Access Trojan (RAT) memanfaatkan terowongan Pastebin C2 untuk menghindari pengawasan oleh peneliti keamanan siber.

Pada hari Rabu, tim cybersecurity Palo Alto Networks Unit 42 mengatakan njRAT, juga dikenal sebagai Bladabindi, digunakan untuk mendownload dan mengeksekusi payload tahap sekunder dari Pastebin, menghilangkan kebutuhan untuk membangun server command-and-control (C2) tradisional.

Tim peneliti tersebut mengatakan bahwa varian njRAT akan memanggil URL singkat yang ditautkan ke Pastebin dalam upaya untuk “menghindari deteksi oleh produk keamanan dan meningkatkan kemungkinan pengoperasian tanpa diketahui”.

Dikembangkan di .NET, njRAT adalah Trojan yang banyak digunakan yang mampu membajak fungsi mesin yang disusupi dari jarak jauh, termasuk mengambil screenshot, exfiltrasi data, keylogging, dan mematikan proses seperti program antivirus.

“Terowongan Pastebin C2” yang sekarang digunakan, seperti yang dijelaskan oleh para peneliti, menciptakan jalur antara infeksi njRAT dan muatan baru. Dengan Trojan bertindak sebagai pengunduh, itu akan mengambil data yang dikodekan di Pastebin, decode, dan deploy.

Palo Alto mengatakan arsitektur perintah berbasis Pastebin masih aktif dan banyak digunakan oleh RAT untuk mengirimkan muatan sekunder.

Sumber: ZDNet

Microsoft mengekspos Adrozek, malware yang membajak Chrome, Edge, dan Firefox

December 11, 2020 by Winnie the Pooh

Microsoft telah meningkatkan kewaspadaan tentang jenis malware baru yang menginfeksi perangkat pengguna dan kemudian mulai memodifikasi browser dan pengaturannya untuk memasukkan iklan ke halaman hasil pencarian.

Dinamakan Adrozek, malware tersebut telah aktif setidaknya sejak Mei 2020 dan mencapai puncak absolutnya pada Agustus tahun ini ketika ia mengendalikan lebih dari 30.000 browser setiap hari.

Dalam laporannya, Tim Riset Defender Microsoft 365 yakin bahwa jumlah pengguna yang terinfeksi jauh lebih tinggi. Peneliti Microsoft mengatakan bahwa antara Mei dan September 2020, mereka mengamati “ratusan ribu” deteksi Adrozek di seluruh dunia.

Berdasarkan telemetri internal, konsentrasi korban tertinggi tampaknya berada di Eropa, diikuti oleh Asia Selatan dan Tenggara.

Microsoft mengatakan bahwa, saat ini, malware didistribusikan melalui skema pengunduhan drive-by klasik. Pengguna biasanya dialihkan dari situs sah ke shady domain tempat mereka tertipu untuk memasang perangkat lunak berbahaya.

Boobytrapped software menginstal malware Androzek, yang kemudian melanjutkan untuk mendapatkan persistensi booting ulang dengan bantuan registry key. Setelah persistensi terjamin, malware akan mencari peramban yang dipasang secara lokal seperti Microsoft Edge, Google Chrome, Mozilla Firefox, atau Peramban Yandex.

Adrozek juga memodifikasi beberapa file DLL browser untuk mengubah pengaturan browser dan menonaktifkan fitur keamanan untuk menghindari deteksi.

Microsoft mengatakan bahwa di Firefox, Adrozek juga berisi fitur sekunder yang mengekstrak kredensial dari browser dan mengunggah data ke server penyerang.

Sumber: ZDNet

Phisher melewati kontrol keamanan Microsoft 365 dengan Microsoft.com yang dipalsukan

December 11, 2020 by Winnie the Pooh

Kampanye email phishing domain spoofing yang sangat meyakinkan meniru Microsoft dan berhasil menipu secure email gateway yang lama baru-baru ini telah ditemukan oleh Ironscales.

Itu juga membuat mereka menemukan bahwa server Microsoft saat ini tidak menerapkan protokol DMARC. “Hal ini sangat membingungkan ketika mengingat Microsoft sering menempati peringkat 5 teratas merek paling sering dipalsukan dari tahun ke tahun,” kata Lomy Ovadia, Wakil Presiden bidang penelitian dan pengembangan perusahaan.

Pada kampanye email phishing baru-baru ini, penyerang memalsukan domain pengirim agar terlihat seperti email yang berasal dari Microsoft. Kemudian penyerang menggunakan kemampuan Microsoft 365 yang relatif baru (untuk meninjau pesan yang dikarantina) sebagai alasan untuk mengelabui pengguna agar mengikuti tautan yang ditawarkan serta menciptakan rasa urgensi.

Tautan tersebut membawa pengguna ke halaman login palsu yang “meminta” kredensial login Microsoft 365, informasi tersebut nantinya akan dikirim ke penyerang.

“Alasan mengapa SEG [secure email gateway] secara tradisional dapat menghentikan spoofing domain yang tepat adalah karena, ketika dikonfigurasi dengan benar, kontrol ini sesuai dengan Domain-based Message Authentication, Reporting and Conformance (DMARC)”, kata Ovadia.

“Layanan email lain yang menghormati dan memberlakukan DMARC akan memblokir email semacam itu. Masih belum diketahui mengapa Microsoft mengizinkan adanya spoof domain mereka sendiri terhadap infrastruktur email mereka,” Ovadia menyimpulkan.

Saat ini kampanye phishing ditujukan untuk pengguna perusahaan Microsoft 365 dalam berbagai industri (finsec, perawatan kesehatan, asuransi, manufaktur, utilitas, telekomunikasi, dll.).

Sumber: Help Net Security

Google open-source Atheris, alat untuk menemukan bug keamanan dalam kode Python

December 10, 2020 by Winnie the Pooh

Pakar keamanan Google telah merilis utilitas fuzzing otomatis open-source lainnya dengan harapan pengembang akan menggunakannya untuk menemukan bug keamanan dan menambal kerentanan sebelum dieksploitasi.

Dinamakan Atheris, proyek ini adalah fuzzer klasik.

Fuzzer (atau alat fuzzing) dan teknik fuzzing bekerja dengan memberi data acak dalam jumlah besar ke aplikasi perangkat lunak dan menganalisis output nya untuk mengetahui ketidaknormalan dan kerusakan, yang memberi petunjuk kepada pengembang tentang keberadaan dan lokasi kemungkinan bug dalam kode aplikasi.

Selama bertahun-tahun, peneliti keamanan Google telah menjadi promotor terbesar dalam menggunakan alat fuzzing untuk menemukan tidak hanya bug biasa, tetapi juga kerentanan berbahaya yang dapat dieksploitasi oleh penyerang.

Atheris adalah jawaban Google atas meningkatnya popularitas bahasa pemrograman Python, yang saat ini menduduki peringkat ke-3 dalam indeks TIOBE bulan lalu. Google telah membuat kode Atheris menjadi open source di GitHub, dan fuzzer juga tersedia di PyPI, repositori paket Python.

Sumber: ZDNet

Peretas Rusia menyembunyikan malware Zebrocy dalam virtual disk images

December 10, 2020 by Winnie the Pooh

Peretas berbahasa Rusia di balik malware Zebrocy telah mengubah teknik mereka untuk mengirimkan malware ke korban profil tinggi dan mulai mengemas ancaman di Virtual Hard Drive (VHD) untuk menghindari deteksi.

Teknik ini terlihat dalam kampanye spear-phishing baru-baru ini dari kelompok ancaman APT28 (Fancy Bear, Sofacy, Strontium, Sednit) untuk menginfeksi sistem target dengan varian toolset Zebrocy.

Zebrocy hadir dalam banyak bahasa pemrograman (AutoIT, C ++, C #, Delphi, Go, VB.NET). Untuk kampanye baru-baru ini, pelaku ancaman memilih versi berbasis Golang daripada versi Delphi yang lebih umum.

Windows 10 mendukung file VHD secara native dan dapat memasangnya sebagai drive eksternal untuk memungkinkan pengguna melihat file di dalamnya. Tahun lalu, peneliti keamanan menemukan bahwa antivirus tidak memeriksa konten VHD sampai disk images dipasang.

Para peneliti di Intezer pada akhir November menemukan sebuah VHD yang diunggah ke platform pemindaian Virus Total. Di dalam images itu ada file PDF dan file yang dapat dieksekusi yang menyamar sebagai dokumen Microsoft Word, yaitu malware Zebrocy.

PDF tersebut adalah presentasi tentang Sinopharm International Corporation, sebuah perusahaan farmasi China yang saat ini sedang dalam uji coba fase ketiga untuk vaksin COVID-19.

Varian Zebrocy dalam file VHD adalah yang baru yang memiliki deteksi rendah pada Virus Total. Pada 30 November, hanya sembilan dari 70 mesin yang mendeteksi ini sebagai malware.

Dalam laporannya, Intezer memberikan indicators of compromise (IoC) untuk server perintah dan kontrol, file VHD, dan sampel malware Zebrocy yang digunakan dalam kampanye phishing baru-baru ini.

Sumber: Bleeping Computer

Adobe memperbaiki kerentanan keamanan kritis di Lightroom, Prelude

December 10, 2020 by Winnie the Pooh

Adobe telah merilis pembaruan keamanan untuk mengatasi bug keamanan tingkat keparahan kritis yang memengaruhi Adobe Lightroom dan Adobe Prelude versi Windows dan macOS.

Secara total, perusahaan mengatasi empat kerentanan keamanan yang memengaruhi tiga produk, tiga di antaranya dinilai kritis dan satu sebagai bug tingkat keparahan penting dalam Adobe Experience Manager (AEM) dan add-on package Formulir AEM.

Bug ini dapat memungkinkan penyerang mengeksekusi kode arbitrary pada perangkat yang rentan, serta mendapatkan akses ke informasi sensitif dan mengeksekusi kode JavaScript apapun di browser.

Adobe menyarankan pelanggan yang menggunakan produk yang rentan untuk memperbarui ke versi terbaru sesegera mungkin untuk memblokir serangan yang dapat mengakibatkan eksploitasi yang berhasil pada instalasi yang belum ditambal.

Tergantung pada pilihan mereka, pengguna dapat memperbarui produk mereka menggunakan salah satu langkah berikut:

Dengan masuk ke Help > Check for Updates.
Update Installer lengkap dapat diunduh dari Download Center Adobe.
Biarkan produk diperbarui secara otomatis, tanpa memerlukan campur tangan pengguna, saat pembaruan terdeteksi.

Sumber: Bleeping Computer

Malware Qbot beralih ke metode autostart Windows baru yang tersembunyi

December 10, 2020 by Winnie the Pooh

Versi malware Qbot baru sekarang mengaktifkan mekanisme persistensi tepat sebelum perangkat Windows yang terinfeksi dimatikan dan secara otomatis menghapus jejak apa pun saat sistem dimulai ulang atau setelah sleep.

Qbot (juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows dengan fitur worm yang aktif setidaknya sejak 2009 dan digunakan untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan.

Malware ini juga telah digunakan untuk mencatat penekanan tombol pengguna, untuk membuka backdoor pada komputer yang disusupi, dan untuk menyebarkan Cobalt Strike yang digunakan oleh operator ransomware untuk mengirimkan muatan ransomware ProLock dan Egregor.

Dimulai pada 24 November, ketika peneliti keamanan Binary Defense James Quinn mengatakan bahwa versi Qbot baru terlihat, malware tersebut menggunakan mekanisme persistensi yang lebih baru dan tersembunyi yang memanfaatkan sistem shutdown dan melanjutkan pesan untuk mengubah persistensi pada perangkat yang terinfeksi.

Qbot Window message listener (Sumber: Binary Defense)

Trojan akan menambahkan registry Run key pada sistem yang terinfeksi yang memungkinkannya untuk memulai secara otomatis saat system login dan akan mencoba untuk segera menghapusnya setelah pengguna menyalakan sistem untuk menghindari deteksi oleh solusi anti-malware atau peneliti keamanan.

Meskipun metode untuk mendapatkan persistensi ini baru untuk Qbot, malware lain telah menggunakan teknik serupa untuk menghindari deteksi di masa lalu, termasuk trojan perbankan Gozi dan Dridex.

Sumber: Bleeping Computer

Peretas menyembunyikan web skimmer di dalam file CSS situs web

December 10, 2020 by Winnie the Pooh

Selama dua tahun terakhir, kelompok kejahatan siber telah menggunakan berbagai macam trik untuk menyembunyikan kode pencurian kartu kredit (juga dikenal sebagai web skimmer atau skrip Magecart) di dalam berbagai lokasi toko online untuk tujuan menghindari deteksi.

Tempat-tempat di mana web skimmer telah ditemukan sebelumnya termasuk gambar seperti yang digunakan untuk logo situs, favicon, dan jaringan media sosial; ditambahkan ke library JavaScript populer seperti jQuery, Modernizr, dan Google Tag Manager; atau tersembunyi di dalam widget situs seperti jendela obrolan langsung.

Yang terbaru dimana web skimmer ditemukan adalah, percaya atau tidak, file CSS.

Cascading style sheets (CSS), digunakan di dalam browser untuk memuat aturan untuk menata elemen halaman web dengan bantuan bahasa CSS. File ini biasanya berisi kode yang menjelaskan warna berbagai elemen halaman, ukuran teks, padding di antara berbagai elemen, pengaturan font, dan banyak lagi.

Salah satu tambahan fitur terbaru pada bahasa CSS adalah fitur yang memungkinkannya memuat dan menjalankan kode JavaScript dari dalam aturan CSS.

Willem de Groot, pendiri firma keamanan Belanda Sanguine Security (SanSec), mengatakan kepada ZDNet bahwa fitur CSS ini sekarang sedang disalahgunakan oleh geng web skimmer.

De Groot mengatakan bahwa setidaknya satu grup menggunakan kode berbahaya yang ditambahkan di dalam file CSS untuk memuat skimmer di toko online yang merekam data kartu pembayaran saat pengguna mengisi formulir pembayaran.

Dilansir ZDNet, cara paling sederhana pembeli dapat melindungi diri mereka sendiri dari serangan web skimmer adalah dengan menggunakan kartu virtual yang dirancang untuk pembayaran satu kali.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings