Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Discord Menjadi Jembatan Besar Penyebaran Malware

by

Fitur Utama dan Content Delivery Network Discord digunakan untuk mengirim file berbahaya—termasuk RAT—ke seluruh jaringannya yang terdiri dari 150 juta pengguna, yang membahayakan perusahaan.

Threat actors menyalahgunakan fitur inti dari platform komunikasi digital Discord yang populer untuk terus-menerus mengirimkan berbagai jenis malware—khususnya trojan akses jarak jauh (RAT) yang dapat mengambil alih sistem—menempatkan 150 juta penggunanya dalam risiko, menurut RiskIQ dan CheckPoint.

Keduanya menemukan malware multi-fungsi yang dikirim dalam pesan di seluruh platform, yang memungkinkan pengguna untuk mengatur server Discord ke dalam saluran berbasis topik di mana mereka dapat berbagi file teks, gambar atau suara atau executable lainnya. File-file itu kemudian disimpan di server Jaringan Pengiriman Konten (CDN) Discord.

Para peneliti memperingatkan, “banyak file yang dikirim melalui platform Discord berbahaya, menunjukkan sejumlah besar penyalahgunaan CDN yang di-hosting sendiri oleh aktor dengan membuat saluran dengan tujuan tunggal mengirimkan file berbahaya ini,” menurut sebuah laporan yang diterbitkan Kamis oleh Tim RiskIQ.

Awalnya Discord menarik para gamer, tetapi platform tersebut sekarang digunakan oleh organisasi untuk komunikasi di tempat kerja. Penyimpanan file berbahaya di CDN Discord dan proliferasi malware di platform berarti bahwa “banyak organisasi dapat mengizinkan lalu lintas buruk ini ke jaringan mereka,” tulis peneliti RiskIQ.

RAT dan Malware Lain-lain
Fitur malware terbaru yang ditemukan di platform termasuk kemampuan untuk mengambil tangkapan layar, mengunduh dan mengeksekusi file tambahan, dan melakukan keylogging, peneliti CheckPoint Idan Shechter dan Omer Ventura diungkapkan dalam laporan terpisah yang juga diterbitkan Kamis.

CheckPoint juga menemukan bahwa Discord Bot API—implementasi Python sederhana yang memudahkan modifikasi dan mempersingkat proses pengembangan bot di platform—“dapat dengan mudah mengubah bot menjadi RAT sederhana” yang dapat digunakan oleh pelaku ancaman “untuk mendapatkan akses penuh dan jarak jauh. kontrol pada sistem pengguna.”

Bot Discord menjadi bagian yang semakin integral dari cara pengguna berinteraksi dengan Discord, memungkinkan mereka untuk mengintegrasikan kode untuk fitur yang disempurnakan guna memfasilitasi manajemen komunitas, kata para peneliti.

“Bot perselisihan tampaknya kuat, ramah, dan sangat menghemat waktu,” tulis Shechter dan Ventura. “Namun, dengan kekuatan besar juga ada tanggung jawab besar, dan kerangka kerja bot Discord dapat dengan mudah digunakan untuk niat jahat.”

Peneliti CheckPoint menemukan beberapa repositori berbahaya di antara GitHub yang relevan untuk platform Discord. Repositori ini termasuk malware berdasarkan Discord API dan bot jahat dengan fungsi berbeda, kata mereka.

Sementara itu, peneliti RiskIQ memeriksa URL CDN Discord yang berisi .exe, DLL dan berbagai dokumen dan file terkompresi, menemukan setelah meninjau hash di VirusTotal bahwa lebih dari 100 mengirimkan konten berbahaya. Delapan puluh file berasal dari 17 keluarga malware yang berbeda, dengan trojan yang terdiri dari malware paling umum yang diamati di platform, kata para peneliti.

Secara khusus, peneliti RiskIQ mempelajari lebih dalam bagaimana Discord CDN menggunakan domain Discord melalui tautan yang menggunakan [hxxps://cdn.discordapp[.]com/attachments/{ChannelID}/{AttachmentID}/{filename}] sebagai format untuk menemukan malware, kata mereka.

Para peneliti mendeteksi tautan dan menanyakan ID saluran Discord yang digunakan dalam tautan ini, yang memungkinkan mereka mengidentifikasi domain yang berisi halaman web yang tertaut ke tautan CDN Discord dengan ID saluran tertentu, kata mereka.

“Misalnya, platform RiskIQ dapat menanyakan ID saluran yang terkait dengan zoom[-]download[.]ml,” jelas peneliti. “Domain ini mencoba menipu pengguna agar mengunduh plug-in Zoom untuk Microsoft Outlook dan sebagai gantinya mengirimkan pencuri kata sandi Dcstl yang dihosting di CDN Discord.”

Dalam contoh lain, RiskIQ menemukan bahwa ID saluran untuk URL yang berisi file pencuri kata sandi Raccoon mengembalikan domain untuk Taplink, sebuah situs yang menyediakan halaman arahan mikro kepada pengguna untuk mengarahkan individu ke halaman Instagram dan media sosial lainnya, jelas mereka.

“Seorang pengguna kemungkinan menambahkan tautan Discord CDN ke halaman Taplink mereka,” jelas para peneliti. “Meminta ID ini memungkinkan pengguna RiskIQ untuk memahami file Discord mana dan infrastruktur terkait yang bersangkutan dan di mana mereka berada di seluruh web.”

Teknik ini memungkinkan peneliti untuk menentukan tanggal dan waktu saluran Discord dibuat, menghubungkan yang dibuat dalam beberapa hari sebelum pengamatan pertama dari file di VirusTotal ke saluran dengan tujuan tunggal mendistribusikan malware, kata mereka. Pada akhirnya, mereka menemukan dan membuat katalog 27 jenis malware unik yang dihosting di CDN Discord.

source: THREATPOST

Polygon membayar rekor hadiah bug bounty senilai $ 2 juta untuk kerentanan kritis

by

Polygon, sebuah perusahaan teknologi blockchain, telah membayar $2 juta hadiah bug bounty untuk kerentanan ‘pembelanjaan ganda’ yang dapat mendatangkan malapetaka di seluruh jaringannya.

Cacat, yang ditemukan oleh peretas etis Gerhard Wagner, memungkinkan penyerang menggandakan jumlah cryptocurrency yang ingin mereka tarik hingga 233 kali.

Ini bisa memungkinkan aktor jahat yang telah menyetor hanya $ 4.500 untuk menarik $ 1 juta – dan aktor jahat dengan $ 3,8 juta dapat mengeksploitasi kelemahan untuk memperoleh hingga $ 850 juta.

Polygon adalah protokol dan kerangka kerja untuk membangun dan menghubungkan jaringan blockchain yang kompatibel dengan Ethereum.

Kerangka kerja ini menawarkan “saluran transaksi dua zero trust” antara Polygon dan Ethereum.

Kerentanan, yang dijelaskan dalam posting blog dari Wagner, mengambil keuntungan dari fakta bahwa ketika pengguna menyetor dana ke dalam blockchain, mereka “terkunci” pada tahap pertama (L1) dan tersedia di Plasma jaringan.

Agregator yang disebut rantai ‘anak’ menggabungkan transaksi Plasma ke dalam blok dan mengirimkan pos pemeriksaan ke L1, yang mengonfirmasi bahwa transaksi telah berhasil diproses pada rantai anak dan juga dapat mendeteksi perilaku buruk.

Ketika pengguna memutuskan untuk menarik dana mereka kembali ke L1, token harus ‘dibakar’ di rantai Plasma.

Pengguna menunjukkan tanda terima transaksi pembakaran ke jembatan Plasma sebagai bukti bahwa token telah dibakar dan, setelah periode tantangan tujuh hari, dana dapat ditarik kembali ke pengguna di L1.

Cacat dalam jaringan dapat memungkinkan penyerang untuk membakar satu transaksi hingga 233 kali – berpotensi melepaskan dana $850 juta.

Peneliti mengatakan bahwa masalah telah diperbaiki dengan “menolak penyandian apa pun yang tidak dimulai dengan 0x00”.

Selengkapnya: Portswigger

Geng Peretas Menciptakan Perusahaan Palsu Untuk Menyewa Pentester Untuk Serangan Ransomware

by

Grup peretas FIN7 mencoba untuk bergabung dengan ruang ransomware yang sangat menguntungkan dengan menciptakan perusahaan keamanan siber palsu yang melakukan serangan jaringan dengan kedok pentesting.

FIN7 (alias ‘Carbanak’) telah terlibat dalam serangan siber dan kampanye pencurian uang sejak 2015 ketika mereka pertama kali muncul di ruang kejahatan siber, termasuk menginfeksi ATM dengan malware yang mendukung MITM.

Karena ransomware telah menjadi bidang yang menguntungkan bagi penjahat dunia maya, dan memiliki pengalaman sebelumnya dengan perusahaan palsu seperti “Combi Security”, grup tersebut mendirikan perusahaan baru untuk memikat spesialis TI yang sah.

Tabir tipis legitimasi di sekitar entitas perusahaan baru ini diangkat oleh para peneliti di Gemini Advisory, yang menemukan bahwa situs web untuk perusahaan keamanan siber palsu yang dikenal sebagai Bastion Security terdiri dari konten yang dicuri dan dikompilasi ulang dari situs web lain.

Yang lebih terlihat adalah bahwa perusahaan tersebut menyatakan bahwa mereka berbasis di Inggris, tetapi situs tersebut menyajikan halaman kesalahan 404 berbahasa Rusia.

Para peneliti Gemini menemukan bahwa FIN7 menawarkan antara $800 dan $1,200 per bulan untuk merekrut programmer C++, PHP, dan Python, administrator sistem Windows, dan spesialis rekayasa balik dengan mengikuti tip dari sumber yang tidak disebutkan namanya.

Dalam persyaratan pekerjaan, para peneliti percaya bahwa kelompok peretas sedang mencari untuk menyewa pentester, karena administrator sistem juga akan memiliki kemampuan untuk memetakan sistem perusahaan yang disusupi, melakukan pengintaian jaringan, dan menemukan server dan file cadangan.

Semua keterampilan ini diperlukan untuk tahap pra-enkripsi serangan ransomware, jadi tampaknya inilah yang FIN7 kejar melalui putaran perekrutan ini.

Selengkapnya: Bleeping Computer

Jutaan Pengguna Android Ditargetkan Dalam Kampanye Penipuan Berlangganan

by

Kampanye penipuan besar-besaran menggunakan 151 aplikasi Android dengan 10,5 juta unduhan digunakan untuk membuat pengguna untuk berlangganan layanan berlangganan premium tanpa sepengetahuan mereka.

Para peneliti di Avast menemukan kampanye tersebut, menamakannya ‘UltimaSMS’, dan melaporkan 80 aplikasi terkait yang mereka temukan di Google Play Store.

Sementara Google dengan cepat menghapus aplikasi, para penipu kemungkinan telah mengumpulkan jutaan dolar dalam biaya berlangganan palsu tersebut.

Pelaku ancaman melakukan kampanye UltimateSMS melalui 151 aplikasi Android yang berpura-pura menjadi aplikasi diskon, game, keyboard khusus, pemindai kode QR, editor video dan foto, pemblokir panggilan spam, filter kamera, dan banyak lagi.

Saat membuka salah satu aplikasi ini untuk pertama kalinya, aplikasi ini menggunakan data dari smartphone, seperti lokasi dan IMEI, untuk mengubah bahasanya agar sesuai dengan negara dimana ponsel itu berada.

Aplikasi kemudian akan meminta pengguna untuk memasukkan nomor ponsel dan alamat email mereka untuk mengakses fitur program.

Setelah memiliki nomor telepon dan izin yang diperlukan, aplikasi tersebut kemudian membuat korban berlangganan layanan SMS $40 per bulan di mana para penipu mendapatkan potongan sebagai mitra afiliasi.

Analisis Avast mengungkapkan bahwa pembuat aplikasi ini telah menerapkan sistem yang membebankan biaya sebanyak mungkin kepada korban berdasarkan lokasi mereka.

Menurut Sensor Tower, negara yang paling terpengaruh adalah Mesir, Arab Saudi, Pakistan, dan UEA, semuanya terhitung lebih dari satu juta pengguna yang menjadi korban. Di AS, jumlah perangkat yang terinfeksi adalah 170.000.

Sumber: BleepingComputer

Meskipun menghapus aplikasi akan mencegah langganan baru dibuat, itu tidak akan mencegah langganan yang ada ditagih lagi. Untuk menghindari biaya di masa mendatang, Anda perlu menghubungi operator Anda dan meminta pembatalan semua langganan SMS.

Anda dapat melihat daftar ini di GitHub untuk daftar lengkap aplikasi yang harus segera Anda hapus dari perangkat Anda.

Selengkapnya: Bleeping Computer

Mozilla Memblokir Add-On Berbahaya Yang Telah Dipasang Oleh 455 Ribu Pengguna Firefox

by

Mozilla memblokir add-on Firefox berbahaya yang dipasang oleh sekitar 455.000 pengguna setelah menemukan pada awal Juni bahwa mereka menyalahgunakan API proxy untuk memblokir pembaruan Firefox.

Add-on (bernama Bypass dan Bypass XM) menggunakan API untuk mencegat dan mengarahkan permintaan web untuk memblokir pengguna dari mengunduh pembaruan, memperbarui konten yang dikonfigurasi dari jarak jauh, dan mengakses daftar blokir yang diperbarui.

“Dimulai dari Firefox 91.1, Firefox sekarang menyertakan perubahan untuk kembali ke koneksi langsung ketika Firefox membuat permintaan penting (seperti untuk pembaruan) melalui konfigurasi proxy yang gagal.

“Memastikan permintaan ini diselesaikan dengan sukses membantu kami memberikan pembaruan dan perlindungan penting terbaru kepada pengguna kami.”

Untuk memblokir add-on berbahaya serupa untuk menyalahgunakan API yang sama, Mozilla telah menambahkan add-on sistem (tersembunyi, tidak mungkin dinonaktifkan, dan dapat diperbarui tanpa henti) yang disebut Proxy Failover.

Add-on baru ini mencegah upaya untuk mengganggu mekanisme pembaruan di versi Firefox saat ini dan yang lebih lama.

Microsoft Defender adalah satu-satunya solusi anti-malware yang mendeteksi add-on sebagai berbahaya, menandainya sebagai BrowserModifier:JS/BypassPaywall.A.

Jika Anda tidak menjalankan Firefox 93 dan belum menonaktifkan pembaruan browser, Anda mungkin terpengaruh oleh masalah ini. Untuk memastikan, coba perbarui Firefox ke versi terbaru karena versi terbaru sudah di-bundle dengan blocklist yang diperbarui yang dirancang untuk menonaktifkan add-on berbahaya ini secara otomatis.

Selengkapnya: Bleeping Computer

Serangan siber Rusia terbaru menargetkan ratusan jaringan AS Lapor Microsoft

by

Badan yang berbasis di Rusia di balik serangan siber besar-besaran SolarWinds tahun lalu telah menargetkan ratusan lebih banyak perusahaan dan organisasi dalam gelombang serangan terbarunya terhadap sistem komputer yang berbasis di AS, kata Microsoft dalam sebuah posting blog.

Microsoft, dalam sebuah posting blog tertanggal 24 Oktober, mengatakan gelombang terbaru Nobelium menargetkan “pengecer dan penyedia layanan teknologi lainnya” dari layanan cloud.

Serangan-serangan itu adalah bagian dari kampanye yang lebih luas selama musim panas, kata Microsoft, seraya menambahkan bahwa pihaknya telah memberi tahu 609 pelanggan antara 1 Juli dan 19 Oktober bahwa mereka telah diserang.

Hanya sebagian kecil dari upaya terbaru yang berhasil, Microsoft mengatakan kepada New York Times, yang pertama kali melaporkan pelanggaran tersebut, tetapi tidak memberikan rincian lebih lanjut.

Pejabat keamanan siber AS tidak dapat segera dihubungi untuk mengkonfirmasi laporan tersebut.

Pejabat A.S. mengkonfirmasi kepada Times bahwa operasi itu sedang berlangsung, dengan seorang pejabat administrasi senior yang tidak disebutkan namanya menyebutnya “operasi run-of-the-mill yang tidak canggih yang dapat dicegah jika penyedia layanan cloud telah menerapkan praktik keamanan siber dasar.”

“Kegiatan baru-baru ini adalah indikator lain bahwa Rusia sedang mencoba untuk mendapatkan akses sistematis jangka panjang ke berbagai titik dalam rantai pasokan teknologi dan membangun mekanisme untuk mengawasi – sekarang atau di masa depan – target yang menarik bagi pemerintah Rusia, “tulis Microsoft.

Selengkapnya: Reuters

Bug di Perangkat Lunak WinRAR Populer Dapat Membiarkan Penyerang Meretas Komputer Anda

by

Kelemahan keamanan baru telah diungkapkan dalam utilitas pengarsipan file trialware WinRAR untuk Windows yang dapat disalahgunakan oleh penyerang jarak jauh untuk mengeksekusi kode berbahaya pada sistem yang ditargetkan, menggarisbawahi bagaimana kerentanan dalam perangkat lunak tersebut dapat menjadi pintu gerbang untuk serangkaian daftar serangan.

Dilacak sebagai CVE-2021-35052, bug berdampak pada versi trial perangkat lunak yang menjalankan versi 5.70. “Kerentanan ini memungkinkan penyerang untuk mencegat dan memodifikasi permintaan yang dikirim ke pengguna aplikasi,” kata Igor Sak-Sakovskiy dari Positive Technologies dalam sebuah laporan. “Ini dapat digunakan untuk mencapai eksekusi kode jarak jauh (RCE) di komputer korban.”

Sak-Sakovskiy mencatat bahwa penyelidikan ke WinRAR dimulai setelah mengamati kesalahan JavaScript yang diberikan oleh MSHTML (alias Trident), mesin browser berpemilik untuk Internet Explorer yang sekarang telah berhenti di support dan yang digunakan di Office untuk merender konten web di dalam Word, Excel, dan PowerPoint dokumen, yang mengarah pada penemuan bahwa jendela kesalahan ditampilkan sekali setiap tiga kali saat aplikasi diluncurkan setelah masa uji coba berakhir.

Dengan mencegat kode respons yang dikirim ketika WinRAR memberi tahu pengguna tentang akhir periode uji coba gratis melalui “notifier.rarlab[.]com” dan memodifikasinya menjadi pesan pengalihan “301 Dipindahkan Secara Permanen”, Positive Technologies menemukan bahwa kode tersebut dapat disalahgunakan untuk men-cache pengalihan ke domain berbahaya yang dikendalikan penyerang untuk semua permintaan berikutnya.

Selain itu, penyerang yang sudah memiliki akses ke domain jaringan yang sama dapat melakukan serangan spoofing ARP untuk meluncurkan aplikasi dari jarak jauh, mengambil informasi host lokal, dan bahkan menjalankan kode berbahaya.

Selengkapnya: The Hacker News

Dark web menjadi lebih gelap dan lebih sibuk, layanan kejahatan dunia maya berharga kurang dari $500

by

Sampai saat ini dark web masih aktif dan menjadi lebih berbahaya dari sebelumnya. Para peneliti baru menyoroti bagaimana nilai data yang dicuri dan perilaku kriminal dunia maya yang secara umum telah berkembang selama enam tahun terakhir.

Perusahaan keamanan cloud, Bitglass, menciptakan kembali eksperimen pelacakan data dari tahun 2015 dengan menciptakan identitas fiktif yang menjual data login dan kata sandi. Para peneliti kemudian memposting informasi di beberapa pasar dark web, menarik pengguna dengan menawarkan akses ke file palsu yang memungkinkan akses ke organisasi di sektor ritel, pemerintah, game, dan media.

Dengan teknologi watermarking yang dimasukkan ke dalam file memungkinkan Bitglass untuk melacak data dari pengguna yang mengaksesnya. Menariknya, data yang dicuri menyebar 11 kali lebih cepat di dark web saat ini dibandingkan dengan enam tahun lalu.

Data pelanggaran menerima lebih dari 13.200 tampilan pada tahun 2021, peningkatan dramatis dari 1.100 tampilan pada tahun 2015. Lonjakan tersebut mewakili pertumbuhan 1.100 persen,hal tersebut menunjukkan bagaimana platform underground telah menjadi tujuan yang lebih populer bagi penjahat dunia maya.

Di tahun 2015 waktu yang dibutuhkan untuk mencapai 1.100 tampilan adalah 12 hari. Namun di tahun 2021, target jauh lebih cepat dalam mengakses data palsu karena mereka hanya membutuhkan waktu kurang dari 24 jam untuk melihat tautan.

Berdasarkan Lokasi unduhan data yang dicuri, Amerika Serikat adalah wilayah paling sering kedua dimana penjahat dunia maya berasal. Tiga teratas termasuk Kenya, Amerika, dan Rumania. Penelitian ini juga menemukan bahwa target menunjukkan minat yang besar pada data jaringan ritel dan pemerintah AS. Kedua kategori ini menerima klik terbanyak—masing-masing 37% dan 32%.

Jaringan ritel secara alami menjadi prioritas utama bagi penyerang karena mereka dapat mendistribusikan ransomware dan mengekstrak pembayaran dari bisnis besar. Demikian juga, data pemerintah A.S. sama berharganya karena peretas—yang disponsori negara atau individu dapat menjual informasi ini ke negara lain.

Selain itu, aktivitas di dalam dark web menjadi lebih sibuk. Menurut penelitian tersebut, jumlah total penonton anonim di Dark Web pada tahun 2021 mencapai 93 persen, naik signifikan dari tahun 2015 yang mencapai 67 persen.

Bitglass menekankan bahwa penjahat dunia maya sebagian besar telah menghindari undang-undang yang menuntut kejahatan dunia maya karena mereka menjadi lebih efektif dalam menutupi jejak mereka,

Upaya keamanan siber dari bisnis dan organisasi belum cukup mampu mencegah serangan. Selain itu, karena meningkatnya perhatian dari penegak hukum untuk melacak pelaku kejahatan, perusahaan mengharapkan mereka untuk terus menggunakan VPN dan proxy anonim untuk menghindari pihak berwenang.

“Dengan membandingkan hasil eksperimen terbaru ini dengan tahun 2015, jelas bahwa data di Dark Web menyebar lebih jauh, lebih cepat,” Mike Schuricht, kepala Bitglass Threat Research Group mengatakan “Kami memprediksi peningkatan volume pelanggaran data yang tinggi serta lebih banyak jalan bagi penjahat dunia maya untuk memonetisasi data yang dieksfiltrasi telah menyebabkan peningkatan minat dan aktivitas seputar data curian di dark web.”

Menurut data yang diposting oleh Microsoft, penghuni Dark Web dapat memperoleh sebagian besar layanan kejahatan dunia maya dengan harga kurang dari $500. Atlas VPN menemukan bahwa pasar bawah tanah menawarkan satu paket ransomware seharga $66, sementara peretas hanya mengenakan biaya sekitar $311 untuk mengirimkan serangan DDoS berkelanjutan terhadap target selama sebulan.

Pelanggaran data adalah hal biasa saat ini, jadi tidak mengherankan apabila nama pengguna dan kata sandi yang dicuri ditawarkan hanya dengan 97 sen per 1.000 akun. Selain itu, peretas melakukan pekerjaan khusus seperti penipuan kartu kredit atau pencurian identitas hanya dengan $250.