Cybersecurity

Malware baru memanfaatkan COVID-19 untuk menargetkan pengguna Android

September 24, 2021 by Winnie the Pooh

Bentuk baru malware yang oleh para ahli disebut sebagai “TangleBot” mengandalkan minat pada COVID-19 untuk mengelabui pengguna Android di AS dan Kanada agar mengklik tautan yang akan menginfeksi ponsel mereka, menurut analis di ponsel dan perusahaan keamanan email Cloudmark.

Cloudmark mengatakan malware “pintar dan rumit” mengirim pesan teks kepada pengguna Android yang mengklaim memiliki panduan COVID-19 terbaru di wilayah mereka atau memberi tahu mereka bahwa janji temu vaksin COVID-19 ketiga mereka telah dijadwalkan.

Ketika pengguna mengklik tautan yang disediakan, mereka diminta untuk memperbarui pemutar Adobe Flash ponsel mereka, yang sebaliknya menginstal virus di ponsel mereka, menurut Cloudmark.

“Setelah itu terjadi, malware TangleBot dapat melakukan banyak hal berbeda,” Ryan Kalember, wakil presiden eksekutif keamanan siber di perusahaan induk Cloudmark, ProofPoint, mengatakan kepada CBS News.

“Itu bisa mengakses mikrofon, kamera, SMS, log panggilan, internet, dan GPS Anda sehingga ia tahu di mana Anda berada,” tambah Kalember.

Kalember mengatakan para peretas telah menggunakan TangleBot selama “berminggu-minggu” dan dampaknya berpotensi “sangat luas.” Namun, Android memang memiliki beberapa perlindungan terhadap virus. Sebelum mengunduh malware, pengguna diperingatkan oleh Android tentang bahayanya menginstal perangkat lunak dari “sumber tidak dikenal” dan serangkaian kotak izin ditampilkan sebelum ponsel terinfeksi.

Menurut Kalember, malware TangleBot memiliki kemampuan untuk menunjukkan kepada pengguna yang diretas sebuah layar “overlay” yang tampak asli tetapi malah merupakan jendela palsu yang dijalankan oleh penyerang untuk mencuri informasi.

Overlays ini digunakan untuk meretas kredensial perbankan karena pengguna mungkin percaya bahwa mereka masuk ke perbankan seluler mereka saat mengetik informasi mereka di layar palsu, yang kemudian menyampaikan informasi tersebut ke peretas.

Setelah malware diinstal pada perangkat, “cukup sulit untuk menghapusnya,” menurut Kalember dan informasi yang dicuri dapat dimonetisasi dengan baik di masa depan.

Sumber: CBS News

Apple akan menonaktifkan TLS tidak aman di iOS mendatang, rilis macOS

September 23, 2021 by Winnie the Pooh

Apple telah menghentikan protokol Transport Layer Security (TLS) 1.0 dan 1.1 yang tidak aman dalam versi iOS dan macOS yang baru-baru ini diluncurkan dan berencana untuk menghapus dukungan di rilis mendatang.

TLS adalah protokol komunikasi aman yang dirancang untuk melindungi pengguna dari penyadapan, gangguan, dan pemalsuan pesan saat mengakses dan bertukar informasi melalui koneksi Internet menggunakan aplikasi klien/server.

Spesifikasi TLS 1.0 asli dan penerusnya TLS 1.1 telah digunakan selama hampir 20 tahun (dengan TLS 1.0 pertama kali ditetapkan pada 1999 dan TLS 1.1 pada 2006).

Internet Engineering Task Force (IETF) menyetujui TLS 1.3, versi utama berikutnya dari protokol TLS, pada Maret 2018, setelah empat tahun diskusi dan 28 draf protokol.

“Sebagai bagian dari upaya berkelanjutan untuk memodernisasi platform, dan untuk meningkatkan keamanan dan keandalan, TLS 1.0 dan 1.1 telah dihentikan oleh Internet Engineering Task Force (IETF) mulai 25 Maret 2021,” kata Apple.

“Versi ini tidak digunakan lagi di platform Apple pada iOS 15, iPadOS 15, macOS 12, watchOS 8, dan tvOS 15, dan dukungan akan dihapus di rilis mendatang.”

Perusahaan menyarankan pengembang yang aplikasinya masih menggunakan protokol TLS lama untuk mulai merencanakan transisi ke TLS 1.2 atau lebih tinggi dalam waktu dekat.

Pembaruan Apple mengikuti pengumuman bersama dari Microsoft, Google, Apple, dan Mozilla mulai Oktober 2018, mengatakan bahwa keempat organisasi tersebut akan mulai menghentikan protokol TLS yang tidak aman mulai paruh pertama tahun 2020.

Selengkapnya: Bleeping Computer

Peretas Sedang Memindai Target VMware CVE-2021-22005, Patch Sekarang!

September 23, 2021 by Winnie the Pooh

Pelaku ancaman sudah mulai menargetkan server VMware vCenter yang terpapar Internet yang tidak ditambal terhadap kerentanan pengunggahan file kritis yang ditambal kemarin yang dapat menyebabkan eksekusi kode jarak jauh.

Cacat keamanan yang dilacak sebagai CVE-2021-22005 berdampak pada semua penerapan vCenter Server 6.7 dan 7.0 dengan konfigurasi default.

Cacat ini dilaporkan oleh George Noseevich dan Sergey Gerasimov dari SolidLab LLC, dan penyerang yang tidak diautentikasi dapat mengeksploitasinya dari jarak jauh dalam serangan dengan kompleksitas rendah tanpa memerlukan interaksi pengguna.

Sementara kode exploit belum tersedia untuk umum, aktivitas pemindaian yang sedang berlangsung sudah terlihat oleh perusahaan intelijen ancaman Bad Packets, dengan beberapa VMware honeypots merekam penyerang yang menyelidiki keberadaan bug kritis hanya beberapa jam setelah VMware merilis pembaruan keamanan.

Saat ini, ribuan server vCenter yang berpotensi rentan dapat dijangkau melalui Internet dan terkena serangan, menurut mesin pencari Shodan untuk perangkat yang terhubung ke Internet.

Pemindaian yang sedang berlangsung ini mengikuti peringatan yang dikeluarkan oleh VMware kemarin untuk menyoroti pentingnya menambal server terhadap bug CVE-2021-22005 sesegera mungkin.

Perusahaan menyediakan solusi yang mengharuskan admin untuk mengedit file teks pada alat virtual dan memulai ulang layanan secara manual atau menggunakan skrip untuk menghapus vektor eksploitasi.

VMware juga menerbitkan dokumen FAQ terperinci dengan pertanyaan dan jawaban tambahan mengenai cacat CVE-2021-22005.

Selengkapnya: Bleeping Computer

Epik Konfirmasi Peretasan Yang Menimpa Sistemnya

September 23, 2021 by Winnie the Pooh

Epik, pendaftar domain yang dikenal sebagai hosting beberapa organisasi sayap kanan besar, telah mengkonfirmasi peretasan sistemnya, seminggu setelah penyerang yang menyebut diri mereka sebagai bagian dari kolektif peretas Anonymous mengatakan bahwa mereka telah memperoleh dan membocorkan data berukuran gigabit dari perusahaan hosting, termasuk 15 juta alamat email.

“Pada 15 September, kami mengonfirmasi bahwa informasi akun pelanggan tertentu untuk sistem terkait domain kami diakses dan diunduh oleh pihak ketiga yang tidak sah,” tweet perusahaan tersebut, yang menyebut dirinya “Bank Domain Swiss” di situs webnya.

Peneliti keamanan juga telah men-tweet salinan pemberitahuan pelanggaran data perusahaan yang dikirim ke pelanggan, yang mendesak pengguna untuk memantau aktivitas jahat yang melibatkan “informasi apa pun yang digunakan untuk layanan [Epik],” termasuk nomor kartu kredit, nama terdaftar, alamat email, nama pengguna dan kata sandi.

Menurut kelompok penyerang yang berafiliasi dengan Anonymous, yang mengeluarkan siaran pers yang diperoleh oleh jurnalis independen Steven Monacelli, peretasan tersebut merupakan pembalasan atas kebiasaan Epik yang menghosting situs web alt-right yang dipertanyakan.

Sementara itu, ada bukti bahwa non-pelanggan juga terjebak dalam pelanggaran tersebut. Troy Hunt dari HaveIBeenPwned mengatakan bahwa informasi mengenai dirinya adalah bagian dari data dump, meskipun tidak pernah bertransaksi dengan Epik. Dia melihat lebih jauh ke dalam situasi dan memutuskan bahwa Epik terlibat dalam data-scraping.

Selengkapnya: The Threat Post

Payment API Mengekspos Jutaan Data Pembayaran Pengguna

September 23, 2021 by Winnie the Pooh

Pengembang aplikasi sekali lagi dituduh memiliki butterfingers dalam hal kunci API, membuat jutaan pengguna aplikasi seluler berisiko mengekspos data pribadi dan pembayaran mereka.

CloudSEK, pembuat kecerdasan buatan yang mengaktifkan perlindungan ancaman digital, melaporkan minggu lalu bahwa bahwa berbagai perusahaan yang melayani jutaan pengguna memiliki aplikasi seluler dengan kunci API yang di-hardcode dalam paket aplikasi: Kunci yang tidak boleh diekspos di aplikasi endpoint.

“Meskipun paparan kunci API yang merajalela berbahaya untuk aplikasi apa pun, ini sangat penting ketika menyangkut aplikasi yang menangani informasi pembayaran seperti detail bank, informasi kartu kredit, dan transaksi UPI, selain pengguna [personally identifiable information, atau PII]. ],” menurut laporan CloudSEK.

API – antarmuka pemrograman aplikasi – adalah urat nadi dan arteri ekosistem seluler, memungkinkan aplikasi berkomunikasi dengan berbagai sumber dan memindahkan data masuk dan keluar dari aplikasi tersebut. Ini adalah bagian “integral” dari cara kerja aplikasi, kata CloudSEK, yang berarti bahwa pengembang aplikasi harus menanganinya dengan sangat hati-hati untuk menghindari kebocoran data pelanggan: “Setiap kesalahan penanganan kunci API yang sistematis di antara pengembang aplikasi dapat menyebabkan ancaman bagi bisnis aplikasi,” para peneliti menyampaikan.

Para peneliti fokus pada 13.000 aplikasi yang saat ini diunggah ke mesin pencari keamanan aplikasi seluler CloudSEK, BeVigil, sekitar 250 di antaranya – sekitar 5 persen – menggunakan Razorpay API untuk menggerakkan transaksi keuangan.

CloudSEK menegaskan, eksposur kunci API menjadi “bukti bagaimana kunci API salah ditangani oleh pengembang aplikasi.”

Selengkapnya: The Threat Post

Geng Ransomware Cring Mengeksploitasi Bug ColdFusion Berusia 11 Tahun

September 23, 2021 by Winnie the Pooh

Pelaku ancaman tak dikenal melanggar server yang menjalankan perangkat lunak ColdFusion 9 versi 11 tahun yang belum ditambal dalam hitungan menit untuk mengambil alih kendali dari jarak jauh dan menyebarkan ransomware Cring di jaringan target 79 jam setelah peretasan.

Server, yang dimiliki oleh perusahaan layanan yang tidak disebutkan namanya, digunakan untuk mengumpulkan data absen dan akuntansi untuk penggajian serta untuk menampung sejumlah mesin virtual, menurut laporan yang diterbitkan oleh Sophos dan dibagikan dengan The Hacker News. Serangan tersebut berasal dari alamat internet yang ditetapkan untuk ISP Green Floid Ukraina.

Perusahaan perangkat lunak keamanan Inggris mengatakan “pembobolan cepat” dimungkinkan dengan mengeksploitasi instalasi Adobe ColdFusion 9 berusia 11 tahun yang berjalan pada Windows Server 2008, yang keduanya telah mencapai akhir masa pakainya (end-of-life).

Setelah mendapatkan pijakan awal, penyerang menggunakan berbagai metode canggih untuk menyembunyikan file mereka, menyuntikkan kode ke dalam memori, dan menutupi jejak mereka dengan menimpa file dengan data yang kacau, belum lagi melucuti produk keamanan dengan memanfaatkan fakta bahwa fungsi proteksi gangguan dimatikan.

Khususnya, musuh mengambil keuntungan dari CVE-2010-2861, satu set kerentanan traversal direktori di konsol administrator di Adobe ColdFusion 9.0.1 dan sebelumnya yang dapat disalahgunakan oleh penyerang jarak jauh untuk membaca file apapun, seperti yang berisi hash kata sandi administrator (“password.properties”).

Pada tahap berikutnya, aktor jahat diyakini telah mengeksploitasi kerentanan lain di ColdFusion, CVE-2009-3960, untuk mengunggah file Cascading Stylesheet (CSS) berbahaya ke server, akibatnya menggunakan itu untuk memuat Cobalt Strike Beacon yang dapat dieksekusi.

Selengkapnya: The Hacker News

Polisi Membubarkan Grup Penipuan Online yang Berhasil Meraup 166 Triliun Rupiah

September 22, 2021 by Eevee

Polisi melakukan 106 penangkapan dalam membubarkan kegiatan kejahatan terorganisir yang menggunakan phishing dan business email compromise attacks.

Polisi telah membongkar grup yang terkait dengan mafia Italia yang menipu ratusan korban melalui serangan phishing dan jenis penipuan online lainnya.

Operasi gabungan dipimpin oleh Polisi Nasional Spanyol (Policia Nacional), dengan dukungan dari Polisi Nasional Italia (Polizia di Stato), Europol dan Eurojust dan telah mengakibatkan 106 penangkapan di seluruh Spanyol dan Italia.

Menurut Europol, operasi kejahatan menggunakan serangan phishing, pertukaran SIM, dan business email compromise (BEC) dan diperkirakan menghasilkan keuntungan selama satu tahun sekitar € 10 juta yang setara dengan $ 11,7 juta dollar amerika atau 166 triliun rupiah.

Digambarkan sebagai “terorganisir dengan sangat baik”, kelompok itu terdiri dari sejumlah pakar kejahatan komputer yang bertugas membuat domain phishing dan melakukan penipuan dunia maya. Individu lain yang terlibat dalam jaringan kriminal ada perantara uang dan pakar pencucian uang(money-laundering), termasuk pakar cryptocurrency.

Bekerja di Kepulauan Canary, Spanyol, para penjahat menipu para korban (kebanyakan dari Italia) untuk mengirim sejumlah besar uang ke rekening bank yang mereka kendalikan, sebelum melakukan money-laundering.

Menurut FBI, BEC adalah salah satu bentuk kejahatan dunia maya yang paling menguntungkan, meraup sampai sampai miliaran dollar per tahun.

Selain 106 penangkapan, 118 rekening bank telah dibekukan dan sejumlah perangkat telah disita, termasuk 224 kartu kredit, kartu SIM, dan terminal point-of-sale.

Polisi menyelidiki kelompok itu selama lebih dari setahun sebelum melakukan penangkapan. Sebagai bagian dari operasi, Europol mengerahkan dua analis dan satu ahli forensik ke Tenerife, Spanyol dan satu analis ke Italia. Europol juga mendanai pengerahan tiga penyelidik Italia ke Tenerife untuk mendukung pihak berwenang Spanyol selama penyelidikan.

source: ZDNet

Peretas negara Rusia menggunakan malware TinyTurla baru sebagai backdoor sekunder

September 22, 2021 by Winnie the Pooh

Peretas yang disponsori negara Rusia yang dikenal sebagai grup Turla APT telah menggunakan malware baru selama setahun terakhir yang bertindak sebagai metode persistensi sekunder pada sistem yang disusupi di AS, Jerman, dan Afghanistan.

Dinamakan TinyTurla karena fungsinya yang terbatas dan gaya pengkodean yang tidak rumit, pintu belakang juga dapat digunakan sebagai dropper malware tahap kedua yang tersembunyi.

Peneliti keamanan di Cisco Talos mengatakan bahwa TinyTurla adalah “backdoor yang belum ditemukan sebelumnya” dari grup Turla APT yang telah digunakan setidaknya sejak 2020, melewati sistem deteksi malware terutama karena kesederhanaannya.

Bukti forensik menunjukkan bahwa aktor Turla APT (ancaman persisten lanjutan) telah menargetkan pemerintah Afghanistan sebelumnya dengan backdoor yang baru ditemukan.

Namun, data telemetri Cisco Talos, yang merupakan cara peneliti menemukan malware baru ini, menunjukkan bahwa TinyTurla juga telah digunakan pada sistem di AS dan Jerman.

Menghubungkan backdoor TinyTurla ke peretas negara Rusia dimungkinkan karena pelaku ancaman menggunakan infrastruktur yang sama seperti yang terlihat dalam serangan lain yang dikaitkan dengan grup APT Turla.

Dibandingkan dengan backdoor yang lengkap, fungsionalitas TinyTurla terbatas pada tugas-tugas penting yang mencakup pengunduhan, pengunggahan, dan eksekusi file.

Karena malware ini ditemukan melalui pengumpulan telemetri, masih belum diketahui bagaimana TinyTurla mendarat di sistem korban. Cisco Talos memberikan beberapa detail teknis, dalam sebuah posting blog.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings