Cybersecurity

Penipuan Phishing Omicron Sudah Terlihat di Inggris

December 8, 2021 by Winnie the Pooh

Pandemi global telah memberikan perlindungan untuk semua jenis penipuan phishing selama beberapa tahun terakhir, dan peningkatan kewaspadaan atas penyebaran varian COVID-19 terbaru, Omicron, tidak terkecuali.

Ketika para profesional kesehatan masyarakat di seluruh dunia bergulat dengan apa yang mereka khawatirkan bisa menjadi varian COVID-19 yang bahkan lebih berbahaya daripada Delta, para pelaku ancaman telah mengambil kesempatan untuk mengubah ketidakpastian menjadi uang tunai.

Pengawas konsumen Inggris “Which?” telah memperingatkan bahwa penipuan phishing baru, yang dibuat agar terlihat seperti komunikasi resmi dari Layanan Kesehatan Nasional (NHS), menargetkan orang-orang dengan penawaran penipuan untuk tes PCR gratis untuk varian Omicron COVID-19.

Dikirim melalui teks, email, dan bahkan ditawarkan melalui telepon, pelaku ancaman menghubungi orang-orang di seluruh Inggris menawarkan apa yang mereka katakan sebagai alat uji baru yang dirancang khusus untuk mendeteksi varian Omicron.

Selain memberikan informasi palsu, email tersebut juga dipenuhi dengan kesalahan tata bahasa. Tetapi, jika korban mengklik tautan di bagian bawah korespondensi, orang tersebut akan dibawa ke halaman NHS palsu yang menanyakan nama lengkap, tanggal lahir, alamat, nomor telepon, dan alamat email.

Selain mengumpulkan informasi pengenal pribadi (PII), situs tersebut juga meminta £1,24 sebagai biaya pengiriman dan nama ibu, memberikan akses scammer ke informasi perbankan target juga.

Pengawas telah menyerahkan temuannya ke Pusat Keamanan Siber Nasional (NCSC), tetapi memperingatkan bahwa umpan Omicron serupa lainnya kemungkinan akan muncul selama beberapa minggu ke depan – jadi konsumen harus waspada.

Selengkapnya: Threat Post

Microsoft merebut kendali situs web yang digunakan oleh peretas yang didukung China

December 8, 2021 by Winnie the Pooh Leave a Comment

Microsoft telah menguasai sejumlah situs web yang digunakan oleh kelompok peretas yang didukung pemerintah China untuk menargetkan organisasi di 29 negara, termasuk AS.

Unit Kejahatan Digital Microsoft (DCI) mengatakan pada hari Senin bahwa pengadilan federal di Virginia telah memberikan perintah yang memungkinkan perusahaan untuk mengendalikan situs web dan mengarahkan lalu lintas ke server Microsoft.

Situs web jahat ini digunakan oleh kelompok peretas yang disponsori negara yang dikenal sebagai Nickel, atau APT15, untuk mengumpulkan intelijen dari lembaga pemerintah, lembaga think tank, dan organisasi hak asasi manusia, menurut perusahaan tersebut.

Microsoft tidak menyebutkan target Nickel, tetapi mengatakan kelompok itu menargetkan organisasi di AS dan 28 negara lainnya. Ia menambahkan bahwa “sering ada korelasi antara target Nickel dan kepentingan geopolitik China.”

Selain AS, Nikel juga menargetkan organisasi di Argentina, Barbados, Bosnia dan Herzegovina, Brasil, Bulgaria, Chili, Kolombia, Kroasia, Republik Ceko, Republik Dominika, Ekuador, El Salvador, Prancis, Guatemala, Honduras, Hongaria, Italia, Jamaika, Mali, Meksiko, Montenegro, Panama, Peru, Portugal, Swiss, Trinidad dan Tobago, Inggris dan Venezuela.

Microsoft, yang telah melacak Nickel sejak 2016 dan sebelumnya menggambarkannya sebagai salah satu kelompok peretasan “paling aktif” yang menargetkan lembaga pemerintah, mengatakan pihaknya mengamati serangan “sangat canggih” yang memasang malware yang sulit dideteksi yang memiliki kemampuan intrusi, pengawasan, dan pencurian data.

Selengkapnya: Tech Crunch

KMSPico Windows Activator Berbahaya Mencuri Dompet Cryptocurrency Pengguna

December 8, 2021 by Winnie the Pooh

Pengguna yang ingin mengaktifkan Windows tanpa menggunakan lisensi digital atau product key sedang ditargetkan oleh installer berbahaya untuk menyebarkan malware yang dirancang untuk mencuri kredensial dan informasi lainnya di dompet cryptocurrency.

Malware, yang dijuluki sebagai “CryptBot,” adalah pencuri informasi yang mampu memperoleh kredensial untuk browser, dompet cryptocurrency, cookie browser, kartu kredit, dan menangkap tangkapan layar dari sistem yang terinfeksi. Disebarkan melalui software bajakan, serangan terbaru melibatkan malware yang menyamar sebagai KMSPico.

KMSPico adalah alat tidak resmi yang digunakan untuk mengaktifkan fitur lengkap salinan perangkat lunak bajakan seperti Microsoft Windows dan Office suite tanpa benar-benar memiliki kunci lisensi.

“Pengguna terinfeksi dengan mengklik salah satu tautan berbahaya dan mengunduh KMSPico, Cryptbot, atau malware lain tanpa KMSPico,” kata peneliti Red Canary Tony Lambert dalam laporan yang diterbitkan minggu lalu. “Penyerang akan menginstal KMSPico juga, karena itulah yang diharapkan korban terjadi, sambil secara bersamaan menyebarkan Cryptbot di belakang layar.”

Perusahaan keamanan siber Amerika mengatakan juga mengamati beberapa departemen TI menggunakan perangkat lunak tidak sah alih-alih lisensi Microsoft yang valid untuk mengaktifkan sistem, ditambah installer KMSpico yang diubah didistribusikan melalui sejumlah situs web yang mengklaim menawarkan versi “resmi” dari aktivator.

Selengkapnya: The Hacker News

Peringatan: Produk Zoho ManageEngine Lain Ditemukan Sedang Aktif Diserang

December 8, 2021 by Winnie the Pooh

Penyedia perangkat lunak perusahaan Zoho telah memperingatkan bahwa cacat kritis yang baru ditambal di Desktop Central dan Desktop Central MSP-nya sedang dieksploitasi secara aktif oleh aktor jahat, menandai kerentanan keamanan ketiga dalam produknya yang disalahgunakan di alam liar dalam rentang empat bulan.

Kerentanan, yang dilacak sebagai CVE-2021-44515, adalah kerentanan bypass otentikasi yang dapat mengizinkan musuh untuk menghindari perlindungan otentikasi dan mengeksekusi kode berbahaya di server MSP Pusat Desktop.

“Jika dieksploitasi, penyerang dapat memperoleh akses tidak sah ke produk dengan mengirimkan permintaan yang dibuat khusus yang mengarah ke eksekusi kode jarak jauh,” Zoho memperingatkan dalam sebuah nasihat. “Karena kami melihat indikasi eksploitasi kerentanan ini, kami sangat menyarankan pelanggan untuk memperbarui instalasi mereka ke versi terbaru sesegera mungkin.”

Perusahaan juga telah menyediakan Alat Deteksi Eksploitasi yang akan membantu pelanggan mengidentifikasi tanda-tanda eksploitasi dalam instalasi mereka.

Dengan perkembangan ini, CVE-2021-44515 bergabung dengan dua kerentanan lain CVE-2021-44077 dan CVE-2021-40539 yang telah dipersenjatai untuk membahayakan jaringan organisasi infrastruktur penting di seluruh dunia.

Selengkapnya: The Hacker News

Seseorang Menjalankan Ratusan Server Berbahaya di Jaringan Tor

December 8, 2021 by Winnie the Pooh

Penelitian baru menunjukkan bahwa seseorang telah menjalankan ratusan server jahat di jaringan Tor, berpotensi dalam upaya untuk de-anonymize pengguna dan membuka kedok aktivitas web mereka.

Seperti yang pertama kali dilaporkan oleh The Record, aktivitas tersebut tampaknya berasal dari satu pengguna yang canggih dan gigih, yang entah bagaimana memiliki sumber daya untuk menjalankan banyak server bandwidth tinggi selama bertahun-tahun.

Juga disebut sebagai “Onion router,”, Tor mungkin adalah platform privasi online paling terkenal di dunia, dan perangkat lunak serta jaringan terkaitnya seharusnya melindungi aktivitas penjelajahan web Anda dari pengawasan dengan menyembunyikan alamat IP Anda dan mengenkripsi lalu lintas Anda.

Server jahat awalnya ditemukan oleh peneliti keamanan yang menggunakan nama samaran “nusenu” dan yang mengoperasikan node mereka sendiri di jaringan Tor.

Di Medium nya, nusenu menulis bahwa mereka pertama kali menemukan bukti pelaku ancaman—yang mereka juluki “KAX17”—pada tahun 2019. Setelah melakukan penelitian lebih lanjut ke KAX17, mereka menemukan bahwa KAX17 telah aktif di jaringan tersebut sejak 2017 .

Intinya, KAX tampaknya menjalankan segmen besar jaringan Tor — berpotensi dengan harapan dapat melacak jalur pengguna web tertentu dan membuka kedoknya.

Tor menganonimkan aktivitas web pengguna dengan mengenkripsi lalu lintas mereka dan kemudian merutekannya melalui serangkaian node yang berbeda—juga disebut “relay”—sebelum mencapai tujuan akhirnya dan tidak dienkripsi.

Penyedia node tidak seharusnya dapat melihat lalu lintas Anda, karena Tor menyediakan enkripsi dan mereka hanya membantu dengan salah satu dari beberapa bagian perjalanan lalu lintas Anda (juga disebut “circuit”).

Namun, dalam kasus KAX17, aktor ancaman tampaknya memiliki sumber daya yang jauh lebih baik daripada konten web gelap rata-rata Anda: mereka telah menjalankan ratusan server jahat di seluruh dunia—aktivitas yang setara dengan “menjalankan sebagian besar jaringan tor,” tulis nusenu. Dengan jumlah aktivitas itu, kemungkinan sirkuit pengguna Tor dapat dilacak oleh KAX relatif tinggi, menurut peneliti.

Menurut penelitian nusenu, KAX pada satu titik memiliki begitu banyak server — sekitar 900 — sehingga Anda memiliki kemungkinan 16 persen untuk menggunakan relay mereka sebagai “hop” pertama (yaitu, node di circuit Anda) ketika Anda masuk ke Tor. Anda memiliki peluang 35 persen untuk menggunakan salah satu relay mereka selama “hop” ke-2 Anda, dan peluang 5 persen untuk menggunakannya sebagai exit relay, tulis nusenu.

Selengkapnya: Gizmodo

Emotet sekarang menjatuhkan Cobalt Strike, mempercepat serangan ransomware

December 8, 2021 by Winnie the Pooh

Dalam perkembangan yang mengkhawatirkan, malware Emotet yang terkenal sekarang menginstal beacon Cobalt Strike secara langsung, memberikan akses jaringan langsung ke pelaku ancaman dan membuat serangan ransomware segera diluncurkan. Temuan ini ditemukan oleh Kelompok riset Emotet Cryptolaemus.

Emotet adalah infeksi malware yang menyebar melalui email spam yang berisi dokumen Word atau Excel berbahaya. Dokumen-dokumen ini menggunakan makro untuk mengunduh dan menginstal Trojan Emotet di komputer korban, yang kemudian digunakan untuk mencuri email dan menyebarkan malware lebih lanjut ke perangkat.

Secara historis, Emotet akan menginstal trojan TrickBot atau Qbot pada perangkat yang terinfeksi. Trojan ini pada akhirnya akan menyebarkan Cobalt Strike pada perangkat yang terinfeksi atau melakukan perilaku jahat lainnya.

Sekarang setelah muatan malware awal ini dilewati, pelaku ancaman akan memiliki akses langsung ke jaringan untuk menyebar secara lateral, mencuri data, dan menyebarkan ransomware dengan cepat.

Penyebaran cepat Cobalt Strike ini kemungkinan akan mempercepat penyebaran ransomware di jaringan yang disusupi. Hal ini terutama berlaku untuk geng ransomware Conti yang meyakinkan operator Emotet untuk kembali setelah mereka ditutup oleh penegak hukum pada bulan Januari.

Selengkapnya: Bleeping Computer

Peretas yang didukung negara semakin banyak menggunakan injeksi RTF untuk phishing

December 2, 2021 by Winnie the Pooh

Tiga grup peretas APT dari India, Rusia, dan China, diamati menggunakan teknik injeksi template RTF (rich text format) baru dalam kampanye phishing mereka.

Teknik ini adalah metode sederhana namun efektif untuk mengambil konten berbahaya dari URL jarak jauh, dan analis ancaman menduga ini akan segera menjangkau audiens yang lebih luas dari pelaku ancaman.

Para peneliti di Proofpoint melihat kasus pertama injeksi weaponized template RTF pada Maret 2021, dan sejak itu, para aktor terus mengoptimalkan teknik tersebut.

File Rich Text Format (RTF) adalah format dokumen yang dibuat oleh Microsoft yang dapat dibuka menggunakan Microsoft Word, WordPad, dan aplikasi lain yang ditemukan di hampir semua sistem operasi.

Saat membuat file RTF, Anda dapat menyertakan Template RTF yang menentukan bagaimana teks dalam dokumen harus diformat. Template ini adalah file lokal yang diimpor ke RTF viewer sebelum menampilkan konten file untuk memformatnya dengan benar.

Sementara Template RTF dimaksudkan untuk dihosting secara lokal, pelaku ancaman sekarang menyalahgunakan fungsi yang sah ini untuk mengambil sumber daya URL alih-alih sumber daya file lokal.

Substitusi ini memungkinkan pelaku ancaman untuk memuat muatan berbahaya ke dalam aplikasi seperti Microsoft Word atau melakukan otentikasi NTLM terhadap URL jarak jauh untuk mencuri kredensial Windows. Selain itu, karena file-file ini ditransfer sebagai Template RTF, mereka lebih cenderung untuk melewati umpan deteksi phishing karena awalnya tidak ada dalam file RTF.

Proofpoint telah mengamati metode pengambilan muatan ini pada kampanye phishing oleh kelompok peretas pro-India, Tim DoNot, kelompok peretasan Gamaredon yang terkait dengan Rusia, dan aktor ancaman TA423.

Karena injeksi Template RTF mudah dilakukan dengan menggunakan alat pengeditan hex dan tidak terlalu terdeteksi oleh pemindai antivirus, injeksi ini menjadi lebih banyak digunakan oleh pelaku ancaman.

Selengkapnya: Bleeping Computer

Interpol Menangkap Lebih dari 1.000 Penjahat Siberdari 20 Negara; Menyita $27 Juta

December 2, 2021 by Winnie the Pooh

Operasi bersama selama empat bulan yang dikoordinasikan oleh Interpol, organisasi polisi kriminal internasional, telah mencapai puncaknya dengan penangkapan lebih dari 1.000 penjahat siber dan pengembalian dana ilegal sebesar $27 juta.

Dengan nama sandi “HAECHI-II,” tindakan keras itu memungkinkan unit penegak hukum dari seluruh 20 negara, serta Hong Kong dan Makau, menutup 1.660 kasus bersama dengan pemblokiran 2.350 rekening bank yang terkait dengan dana ilegal penipuan yang dikumpulkan dari berbagai kejahatan keuangan online, seperti penipuan asmara, penipuan investasi, dan pencucian uang yang terkait dengan perjudian online ilegal.

Negara peserta HAECHI-II antara lain Angola, Brunei, Kamboja, Kolombia, Cina, India, Indonesia, Irlandia, Jepang, Korea (Rep. of), Laos, Malaysia, Maladewa, Filipina, Rumania, Singapura, Slovenia, Spanyol, Thailand , dan Vietnam.

“Hasil Operasi HAECHI-II menunjukkan bahwa lonjakan kejahatan keuangan online yang ditimbulkan oleh pandemi COVID-19 tidak menunjukkan tanda-tanda akan berkurang,” kata Sekretaris Jenderal Interpol Jürgen Stock dalam pernyataan pers yang dikeluarkan pada 26 November.

Penyelidikan penegakan hukum terkoordinasi berlangsung selama empat bulan, mulai dari Juni 2021 hingga September 2021, dengan sepuluh modus operandi kriminal baru diidentifikasi selama operasi.

Dalam satu contoh penipuan tentang bagaimana aktor ancaman dengan cepat memanfaatkan tren populer untuk eksploitasi oportunistik, Interpol juga mengatakan telah menemukan kampanye malware yang memanfaatkan acara Netflix Korea Selatan Squid Game untuk mendistribusikan trojan yang membuat korban berlangganan layanan premium berbayar tanpa persetujuan eksplisit mereka.

Penangkapan tersebut merupakan bagian dari proyek tiga tahun untuk mengatasi kejahatan keuangan berbasis dunia maya, dan mengikuti gelombang pertama dari operasi tersebut – dijuluki “HAECHI-I” – yang dilakukan antara September 2020 dan Maret 2021.

Selengkapnya: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings