Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Numando: Trojan Perbankan yang Dapat Mengatur Secara Jarak Jauh

by

Trojan perbankan telah terdeteksi menyalahgunakan YouTube, Pastebin, dan platform publik lainnya untuk menyebarkan dan mengontrol mesin yang compromised.

Jumat(17/9/2021), ESET menyelesaikan serangkaian Trojan perbankan yang ada di Amerika Latin — termasuk Janeleiro, sampel malware baru yang mirip dengan Casbaneiro, Grandoreiro, dan Mekotio — tetapi yang ini tidak hanya terjadi di wilayah itu; sebagai gantinya, kampanye telah terdeteksi di seluruh Brasil, Meksiko, dan Spanyol.

Dalam sebuah posting blog, para peneliti cybersecurity mengatakan bahwa Trojan bernama Numando telah aktif sejak 2018. Ditulis dalam Delphi, malware keuangan ini menampilkan jendela overlay palsu untuk menipu korban agar mengirimkan data sensitif, seperti kredensial yang digunakan untuk mengakses layanan keuangan. .

Numando tersebar hampir “eksklusif” melalui kampanye spam dan phishing.

Dalam kampanye baru-baru ini, spam yang dikirim untuk mendistribusikan Numando terdiri dari pesan phishing dan lampiran .ZIP yang disertakan dengan email.

File .ZIP umpan diunduh, bersama dengan file .ZIP aktual yang berisi arsip .CAB — dibundel dengan aplikasi perangkat lunak yang sah — injektor, dan Trojan. Malware disembunyikan dalam file gambar .BMP besar.

Jika aplikasi perangkat lunak dijalankan, injektor dimuat di samping dan malware kemudian didekripsi menggunakan algoritme XOR dan sebuah kunci.

Setelah diinstal pada mesin target, Numando akan membuat jendela overlay palsu saat korban mengunjungi layanan keuangan. Jika pengguna mengirimkan kredensial mereka, maka akan dicuri dan dikirim ke server command-and-control (C2) malware.

Numando juga menyalahgunakan layanan publik termasuk Pastebin dan YouTube untuk mengelola pengaturan konfigurasi jarak jauhnya.

“Formatnya sederhana — tiga entri dibatasi oleh “:” di antara penanda DATA:{ dan },” jelas ESET. “Setiap entri dienkripsi secara terpisah dengan cara yang sama seperti string lain di Numando — dengan kunci yang di-hardcode dalam biner. Hal ini membuat sulit untuk mendekripsi konfigurasi tanpa memiliki biner yang sesuai, namun Numando tidak terlalu sering mengubah kunci dekripsi, membuat dekripsi menjadi mungkin.”

Google sudah diberitahu dan video yang terdeteksi telah dihapus.

Numando mampu mensimulasikan klik mouse dan keyboard, membajak fungsi shutdown dan restart PC, mengambil screenshot, dan mematikan proses browser.

“Tidak seperti kebanyakan trojan perbankan Amerika Latin lainnya yang tercakup dalam seri ini, Numando tidak menunjukkan tanda-tanda perkembangan berkelanjutan,” kata ESET. “Ada beberapa perubahan kecil dari waktu ke waktu, tetapi secara keseluruhan binari tidak cenderung banyak berubah.”

sumber: ZDNET

Kerentanan CPU AMD Ditemukan, Membocorkan Kata Sandi Sebagai Pengguna Non-Administratif

by

AMD merilis informasi tentang kerentanan driver yang mempengaruhi CPU mereka, memungkinkan setiap pengguna untuk tidak hanya mendapatkan akses ke informasi tetapi juga mengunduh informasi melalui halaman memori Windows tertentu. Penyerang mampu mendapatkan akses ke kata sandi, serta meluncurkan serangan yang berbeda, seperti mengganggu mitigasi eksploitasi KASLR, juga dikenal sebagai Spectre dan Meltdown.

Informasi ini terungkap setelah peneliti keamanan dan salah satu pendiri ZeroPeril, Kyriakos Economou, menemukan eksploitasi dan menghubungi AMD. Melalui pekerjaan mereka, AMD mampu mengeluarkan mitigasi yang saat ini menjadi bagian dari driver CPU terbaru. Anda juga dapat memanfaatkan Pembaruan Windows untuk menerima driver AMD PSP terbaru.

Pembaruan driver AMD saat ini telah aktif selama beberapa minggu, tetapi ini adalah yang pertama bagi AMD untuk menjelaskan detail pembaruan driver saat ini.

Economou menjelaskan prosesnya dalam laporan yang diungkapkan baru-baru ini dirilis. Dalam dokumen, itu menunjukkan kerentanan panjangnya.

Economou awalnya menemukan exploit menggunakan AMD Ryzen 2000 dan 3000 series. AMD awalnya hanya mencantumkan seri Ryzen 1000 dan CPU generasi yang lebih lama dalam advisory internalnya. Situs web Tom’s Hardware menghubungi AMD setelah membaca dokumen dari Economou untuk menemukan daftar chipset yang terpengaruh.

AMD menginstruksikan pengguna untuk mengunduh driver AMD PSP melalui Pembaruan Windows (driver AMD PSP 5.17.0.0) atau driver CPU AMD dari halaman dukungan mereka (AMD Chipset Driver 3.08.17.735).

Selengkapnya: Wccftech

Departemen Keuangan akan mengeluarkan sanksi cryptocurrency baru setelah serangan ransomware

by

Pemerintahan Biden sedang bersiap untuk mengeluarkan serangkaian tindakan, termasuk sanksi, untuk mempersulit peretas mendapatkan keuntungan dari serangan ransomware melalui penggunaan mata uang digital, seperti yang pertama kali dilaporkan oleh Wall Street Journal pada hari Jumat.

Menurut Journal, Departemen Keuangan berencana untuk menjatuhkan sanksi baru ini paling cepat minggu depan. Sanksi tersebut dilaporkan akan menargetkan pedagang tertentu dan pertukaran mata uang kripto, dengan harapan mencegah pertukaran untuk memproses transaksi ini saat dibuat. Departemen juga akan mengeluarkan panduan baru untuk bisnis mengenai risiko yang mereka ambil dengan mematuhi permintaan pembayaran ransomware. Departemen Keuangan menolak berkomentar.

Langkah-langkah yang diusulkan ini akan menjadi langkah paling signifikan pemerintahan Biden untuk mengatasi gelombang serangan ransomware yang hanya tumbuh dalam skala dan frekuensi selama setahun terakhir.

Pada bulan Mei, salah satu saluran pipa terbesar AS, Colonial Pipeline, dimatikan setelah terkena serangan ransomware. Perusahaan membayar lebih dari $ 4 juta uang tebusan kepada para penyerang untuk membawa pipa kembali online. Awal bulan ini, Universitas Howard ditutup setelah serangan ransomware mengganggu layanan komputer dan teknologi sekolah.

Pada bulan Mei, Presiden Biden menandatangani perintah eksekutif yang memudahkan bisnis pemerintah dan sektor swasta untuk berbagi informasi setelah serangan siber. Perintah itu juga mengharuskan lembaga pemerintah untuk menyebarkan layanan otentikasi multi-faktor dalam sistem mereka.

Selengkapnya: The Verge

Penglihatan komputer dapat membantu menemukan ancaman dunia maya dengan akurasi yang mengejutkan

by

Pada tahun 2019, sekelompok peneliti keamanan siber bertanya-tanya apakah mereka dapat memperlakukan deteksi ancaman keamanan sebagai masalah klasifikasi gambar. Intuisi mereka terbukti ditempatkan dengan baik, dan mereka mampu membuat model pembelajaran mesin yang dapat mendeteksi malware berdasarkan gambar yang dibuat dari konten file aplikasi. Setahun kemudian, teknik yang sama digunakan untuk mengembangkan sistem pembelajaran mesin yang mendeteksi situs web phishing.

Kombinasi visualisasi binary dan pembelajaran mesin adalah teknik yang kuat yang dapat memberikan solusi baru untuk masalah lama. Ini menunjukkan janji dalam keamanan siber, tetapi juga bisa diterapkan ke domain lain.

Cara tradisional untuk mendeteksi malware adalah dengan mencari file untuk signature yang diketahui dari muatan berbahaya. Detektor malware memelihara database definisi virus yang mencakup urutan opcode atau potongan kode, dan mereka mencari file baru untuk keberadaan signature ini. Sayangnya, pengembang malware dapat dengan mudah menghindari metode deteksi tersebut menggunakan teknik yang berbeda seperti mengaburkan kode mereka atau menggunakan teknik polimorfisme untuk mengubah kode mereka saat runtime.

Dynamic analysis tools mencoba mendeteksi perilaku berbahaya selama waktu proses, tetapi alat ini lambat dan memerlukan penyiapan lingkungan sandbox untuk menguji program yang mencurigakan.

Dalam beberapa tahun terakhir, para peneliti juga telah mencoba berbagai teknik pembelajaran mesin untuk mendeteksi malware. Model ML ini telah berhasil membuat kemajuan dalam beberapa tantangan deteksi malware, termasuk code obfuscation.

Visualisasi binary dapat mendefinisikan kembali deteksi malware dengan mengubahnya menjadi masalah penglihatan komputer. Dalam metodologi ini, file dijalankan melalui algoritma yang mengubah nilai binary dan ASCII menjadi kode warna.

Dalam sebuah makalah yang diterbitkan pada tahun 2019, para peneliti di University of Plymouth dan University of Peloponnese menunjukkan bahwa ketika file jinak dan berbahaya divisualisasikan menggunakan metode ini, pola baru muncul yang memisahkan file berbahaya dan aman. Perbedaan ini akan luput dari perhatian menggunakan metode deteksi malware klasik.

Menurut makalah itu, “File berbahaya memiliki kecenderungan untuk sering memasukkan karakter ASCII dari berbagai kategori, menghadirkan gambar berwarna, sementara file jinak memiliki gambar dan distribusi nilai yang lebih bersih.”

Selengkanya: The Next Web

Telegram muncul sebagai Dark Web baru untuk penjahat siber

by

Sebuah penelitian baru menunjukkan bahwa Telegram telah meledak sebagai pusat bagi penjahat dunia maya yang ingin membeli, menjual, dan berbagi data curian dan alat peretasan, ketika aplikasi perpesanan muncul sebagai alternatif dari dark web.

Investigasi oleh kelompok intelijen siber Cyberint, bersama dengan Financial Times, menemukan jaringan besar peretas yang berbagi kebocoran data di platform perpesanan populer, terkadang di channel dengan puluhan ribu pelanggan.

Dalam banyak kasus, kontennya mirip dengan pasar yang ditemukan di dark web, sekelompok situs web tersembunyi yang populer di kalangan peretas dan diakses menggunakan software anonim tertentu.

“Kami baru-baru ini menyaksikan peningkatan 100 persen lebih dalam penggunaan Telegram oleh penjahat siber,” kata Tal Samra, analis ancaman siber di Cyberint.

“Layanan pesan terenkripsinya semakin populer di kalangan pelaku ancaman yang melakukan aktivitas penipuan dan menjual data curian . . . karena lebih nyaman digunakan daripada dark web.”

Meningkatnya aktivitas jahat datang ketika pengguna berbondong-bondong menggunakan aplikasi obrolan terenkripsi awal tahun ini setelah perubahan kebijakan privasi saingan milik Facebook, WhatsApp, mendorong banyak orang untuk mencari alternatif lain.

Menurut Cyberint, jumlah penyebutan di Telegram tentang “Email: pass” dan “Combo” – bahasa peretas yang digunakan untuk menunjukkan bahwa daftar email dan kata sandi curian dibagikan – naik empat kali lipat selama setahun terakhir menjadi hampir 3.400.

Dalam satu channel Telegram publik yang disebut “combolist”, yang memiliki lebih dari 47.000 pelanggan, peretas menjual atau hanya mengedarkan dump data besar dari ratusan ribu nama pengguna dan kata sandi yang bocor.

Jenis data lain yang diperdagangkan termasuk data keuangan seperti informasi kartu kredit, salinan paspor dan kredensial untuk rekening bank dan situs seperti Netflix, menurut penelitian tersebut. Penjahat online juga membagikan perangkat lunak berbahaya, eksploitasi, dan panduan peretasan melalui aplikasi, kata Cyberint.

Selengkapnya: Financial Times

Malware baru menggunakan Subsistem Windows untuk Linux untuk serangan tersembunyi

by

Peneliti keamanan telah menemukan binari Linux berbahaya yang dibuat untuk Windows Subsystem for Linux (WSL), menunjukkan bahwa peretas mencoba metode baru untuk menyusup ke mesin Windows.

Temuan ini menggarisbawahi bahwa aktor ancaman sedang mengeksplorasi metode serangan baru dan memfokuskan perhatian mereka pada WSL untuk menghindari deteksi.

Sampel pertama yang menargetkan lingkungan WSL ditemukan pada awal Mei dan terus muncul setiap dua hingga tiga minggu hingga 22 Agustus. Sampel tersebut bertindak sebagai loader untuk lingkungan WSL dan menikmati deteksi yang sangat rendah pada layanan pemindaian file publik.

Dalam sebuah laporan, peneliti keamanan di Lumen’s Black Lotus Labs mengatakan bahwa file berbahaya memiliki muatan yang disematkan atau mengambilnya dari server jarak jauh.

Langkah selanjutnya adalah menyuntikkan malware ke dalam proses yang berjalan menggunakan panggilan Windows API, sebuah teknik yang tidak baru atau canggih lagi.

Dari sejumlah kecil sampel yang diidentifikasi, hanya satu yang datang dengan alamat IP yang dapat dirutekan secara publik, mengisyaratkan bahwa pelaku ancaman sedang menguji penggunaan WSL untuk menginstal malware di Windows.

File berbahaya terutama mengandalkan Python 3 untuk menjalankan tugasnya dan dikemas sebagai executable ELF untuk Debian menggunakan PyInstaller.

Laporan dari Lumen’s Black Lotus Labs memberikan indicators of compromise (IoC) yang terkait dengan kampanye yang terdeteksi untuk membantu para defenders membuat aturan deteksi. Untuk hash file dan data tentang aktivitas aktor ini, para peneliti merujuk ke halaman GitHub perusahaan.

Selengkapnya: Bleeping Computer

Pembaruan keamanan Windows baru merusak network printing

by

Administrator Windows melaporkan masalah pencetakan (printing) jaringan skala luas setelah menginstal pembaruan keamanan Patch Tuesday September 2021 minggu ini.

Pada hari Selasa, Microsoft merilis enam puluh pembaruan keamanan dan perbaikan untuk banyak bug sebagai bagian dari pembaruan Patch Tuesday bulanan mereka, termasuk perbaikan untuk kerentanan PrintNightmare terakhir yang dilacak sebagai CVE-2021-36958.

Kerentanan ini sangat penting untuk diperbaiki karena digunakan oleh banyak geng ransomware dan pelaku ancaman untuk segera mendapatkan hak istimewa SISTEM pada perangkat yang rentan, seperti yang ditunjukkan di bawah ini.

Namun, banyak administrator sistem Windows sekarang melaporkan bahwa komputer mereka tidak dapat lagi mencetak ke printer jaringan setelah menginstal perbaikan PrintNightmare di server cetak mereka.

Dalam percakapan dengan beberapa admin Windows yang menangani masalah ini, mereka semua memberi tahu BleepingComputer bahwa pembaruan merusak pencetakan jaringan mereka, dan mereka hanya dapat memperbaikinya dengan menghapus pembaruan.

Masalah ini juga tampaknya memengaruhi semua printer jaringan, termasuk HP, Canon, Konica Minolta, dan printer label, serta untuk driver printer Tipe 3 dan Tipe 4. Mereka yang memiliki printer USB yang terhubung langsung ke komputer mereka tidak mengalami masalah apa pun.

Sayangnya, untuk memperbaiki kerentanan PrintNightmare, Microsoft harus membuat perubahan signifikan selama dua bulan terakhir pada fitur Windows Point and Print dan bagaimana driver dapat diinstal dari server print.

Perubahan ini termasuk mewajibkan hak administrator untuk menginstal driver printer melalui fitur Point and Print.

Setelah Microsoft membuat perubahan ini, pengguna Windows mulai menerima kesalahan saat mencoba mencetak, atau Windows akan meminta kata sandi administratif untuk memperbarui driver printer.

Selengkapnya: Bleeping Computer

Titik siber terang yang langka: ACSC melaporkan total insiden turun 28%

by

Tidak sering di bidang keamanan siber bahwa suatu indikator mengarah ke arah yang menyenangkan, tetapi itulah yang dilakukan oleh keseluruhan jumlah insiden dalam Laporan Ancaman Siber Tahunan ACSC.

Untuk tahun fiskal 2020-21, Pusat Keamanan Siber Australia (ACSC) menanggapi 1.630 insiden, yang berarti sekitar 31 insiden seminggu. Dibandingkan dengan tahun keuangan sebelumnya, jumlah total insiden keamanan siber pada tahun keuangan 2020–21 mengalami penurunan sebesar 28%.

Kabar baik lainnya termasuk ACSC tidak harus menanggapi insiden apa pun di sepertiga teratas dari enam kategori penilaian insidennya. Pada tahun sebelumnya, dilaporkan satu insiden kategori 1 dan empat insiden kategori 2.

Sekarang untuk berita buruk nya…

Secara total, ACSC melihat kelas kategori yang lebih tinggi menjadi yang paling banyak dilaporkan, dengan kategori 4 menggantikan kategori 5. Kategori 4 menyumbang 49% sedangkan tahun lalu menyumbang 35% dari semua insiden.

“Proporsi insiden tertinggi yang ditanggapi ACSC terkait dengan aktivitas jahat tingkat rendah seperti pengintaian yang ditargetkan, phishing, atau kehilangan data yang tidak sensitif, terhitung lebih dari setengah insiden keamanan siber,” kata laporan itu.

Laporan tersebut menyoroti peningkatan jumlah kerugian finansial yang terkait dengan kompromi email bisnis (BEC) meskipun jumlah insiden BEC menuju lebih rendah. Total kerugian mencapai AU$81,5 juta, meningkat 15%, dan kerugian rata-rata untuk setiap transaksi BEC yang berhasil melonjak 54% menjadi AU$50.600.

Selengkapnya: ZDNet