Cybersecurity

Lebih dari 25% Exit Relays Tor Memata-matai Aktivitas Dark Web Pengguna

May 11, 2021 by Winnie the Pooh

Aktor ancaman yang tidak diketahui berhasil mengendalikan lebih dari 27% dari seluruh kapasitas network exit Tor pada awal Februari 2021, sebuah studi baru di infrastruktur dark web terungkap.

“Entitas yang menyerang pengguna Tor secara aktif mengeksploitasi pengguna tor sejak lebih dari setahun dan memperluas skala serangan mereka ke tingkat rekor baru,” kata seorang peneliti keamanan independen yang menggunakan nama nusenu dalam sebuah artikel yang diterbitkan pada hari Minggu.

Ini adalah yang terbaru dari serangkaian upaya yang dilakukan untuk mengungkap aktivitas Tor berbahaya sejak Desember 2019. Serangan, yang dikatakan telah dimulai pada Januari 2020, pertama kali didokumentasikan dan diekspos oleh peneliti yang sama pada Agustus 2020.

Sementara middle relays biasanya menangani penerimaan lalu lintas di jaringan Tor dan meneruskannya, exit relay adalah simpul terakhir yang dilewati lalu lintas Tor sebelum mencapai tujuannya.

Exit node di jaringan Tor telah diubah di masa lalu untuk menyuntikkan malware seperti OnionDuke, tetapi ini adalah pertama kalinya seorang aktor tak dikenal berhasil mengontrol sebagian besar exit node Tor.

Tujuan utama serangan itu, menurut nusenu, adalah untuk melakukan serangan “person-in-the-middle” pada pengguna Tor dengan memanipulasi lalu lintas yang mengalir melalui jaringan exit relays nya.

Selengkapnya: The Hacker News

Petinggi Apple membahas pengungkapan 128 juta peretasan iPhone, lalu memutuskan untuk tidak melakukannya

May 10, 2021 by Winnie the Pooh

Pada September 2015, manajer Apple menghadapi dilema: haruskah, atau tidak, memberi tahu 128 juta pengguna iPhone tentang apa yang masih menjadi kompromi massal terburuk yang pernah tercatat? Pada akhirnya, semua bukti menunjukkan, mereka memilih diam.

Peretasan massal pertama kali terungkap ketika para peneliti menemukan 40 aplikasi App Store yang berbahaya, jumlah yang menjamur menjadi 4.000 karena lebih banyak peneliti yang mencari-cari. Aplikasi berisi kode yang menjadikan iPhone dan iPad sebagai bagian dari botnet yang mencuri informasi pengguna yang berpotensi sensitif.

Sebuah email yang masuk ke pengadilan minggu ini dalam gugatan Epic Games terhadap Apple menunjukkan bahwa, pada sore hari tanggal 21 September 2015, manajer Apple telah menemukan 2.500 aplikasi berbahaya yang telah diunduh sebanyak 203 juta kali oleh 128 juta pengguna, 18 juta di antaranya berada di AS.

“Joz, Tom, dan Christine — karena banyaknya pelanggan yang berpotensi terpengaruh, apakah kita ingin mengirim email ke mereka semua?” VP App Store Matthew Fischer menulis, merujuk pada Wakil Presiden Senior Pemasaran Dunia Apple Greg Joswiak dan orang-orang Humas Apple Tom Neumayr dan Christine Monaghan.

Sekitar 10 jam kemudian, Bagwell membahas logistik untuk memberi tahu semua 128 juta pengguna yang terpengaruh, melokalkan pemberitahuan ke setiap bahasa pengguna, dan “secara akurat memasukkan nama aplikasi untuk setiap pelanggan”.

Sayangnya, Apple tidak pernah menindaklanjuti rencananya. Perwakilan Apple tidak dapat menunjukkan bukti bahwa email semacam itu pernah dikirim. Pernyataan yang dikirim perwakilan tersebut mencatat bahwa Apple hanya menerbitkan postingan yang sekarang sudah dihapus ini.

Infeksi ini disebabkan oleh pengembang sah yang menulis aplikasi menggunakan salinan Xcode palsu, alat pengembangan aplikasi iOS dan OS X Apple. Alat yang dikemas ulang yang dijuluki XcodeGhost secara diam-diam memasukkan kode berbahaya di samping fungsi aplikasi normal.

Dari sana, aplikasi menyebabkan iPhone melaporkan ke server perintah dan kontrol dan memberikan berbagai informasi perangkat, termasuk nama aplikasi yang terinfeksi, pengenal app-bundle, informasi jaringan, detail “identifierForVendor” perangkat, dan nama, jenis, dan pengenal unik perangkat.

Selengkapnya: Ars Technica

Celah Keamanan Baru TsuNAME Dapat Membiarkan Penyerang Menghancurkan Server DNS Authoritative

May 10, 2021 by Winnie the Pooh

Peneliti keamanan pada hari Kamis mengungkapkan kerentanan kritis baru yang memengaruhi resolver Domain Name System (DNS) yang dapat dimanfaatkan oleh musuh untuk melakukan serangan denial-of-service berbasis refleksi terhadap authoritative nameservers.

Celah keamanan, yang disebut ‘TsuNAME,’ ditemukan oleh peneliti dari SIDN Labs dan InternetNZ, yang mengelola domain internet tingkat atas nasional ‘.nl’ dan ‘.nz’ masing-masing untuk Belanda dan Selandia Baru.

Dengan TsuNAME, idenya adalah bahwa kesalahan konfigurasi selama pendaftaran domain dapat membuat putaran ketergantungan sehingga record nameserver untuk dua zona menunjuk satu sama lain, menyebabkan resolver yang rentan untuk “hanya memantul kembali dari zona ke zona, mengirimkan kueri non-stop ke server authoritative dari kedua zona induk,” sehingga membanjiri server authoritative zona induk mereka.

Data yang dikumpulkan dari domain .nz menemukan bahwa dua domain yang salah dikonfigurasi saja menyebabkan peningkatan 50% dalam keseluruhan volume lalu lintas untuk server authoritative .nz.

Google Public DNS (GDNS) dan Cisco OpenDNS – yang disalahgunakan untuk menargetkan domain .nz dan .nl pada tahun 2020 – telah mengatasi masalah ini di perangkat lunak resolver DNS mereka.

Untuk mengurangi dampak TsuNAMI di alam liar, para peneliti telah menerbitkan alat sumber terbuka yang disebut CycleHunter yang memungkinkan operator server DNS authoritative untuk mendeteksi putaran ketergantungan.

Selengkapnya: The Hacker News

Google ingin mengaktifkan otentikasi multi-faktor secara default

May 7, 2021 by Winnie the Pooh

Google berusaha untuk mendorong semua penggunanya untuk mulai menggunakan otentikasi dua faktor (2FA), yang dapat memblokir penyerang mengambil kendali atas akun mereka menggunakan kredensial yang disusupi atau menebak kata sandi mereka.

“Kami akan segera mulai secara otomatis mendaftarkan pengguna di 2SV jika akun mereka dikonfigurasi dengan benar,” seperti yang diungkapkan Mark Risher, Direktur Pengelolaan Produk, Identitas, dan Keamanan Pengguna Google hari ini.

Langkah ini dimaksudkan untuk meningkatkan keamanan akun pengguna Google dengan menghapus “satu ancaman terbesar” yang memudahkan peretasan: sandi yang sulit diingat dan, lebih buruk lagi, mudah dicuri melalui pembobolan data dan phishing.

Pada proses pertama ini, perusahaan akan meminta pengguna yang sudah terdaftar di 2FA (alias Verifikasi 2 Langkah atau 2SV) untuk mengonfirmasi identitas mereka dengan mengetuk perintah Google di ponsel cerdas mereka setiap kali mereka masuk.

Untuk mendaftar dalam autentikasi dua faktor untuk Akun Google Anda sekarang, kunjungi tautan ini dan klik tombol “Memulai” untuk menambahkan lapisan keamanan ekstra dan memblokir penyerang agar tidak mendapatkan akses ke data Anda.

Selengkapnya: Bleeping Computer

Fasilitas Riset Terkena Ransomware Setelah Siswa Menginstal Software Bajakan

May 7, 2021 by Winnie the Pooh

Berhati-hatilah saat menggunakan software bajakan. Seorang siswa di sebuah lembaga penelitian bio-molekuler yang tidak disebutkan namanya di Eropa secara tidak sengaja membuka pintu untuk serangan ransomware pada organisasi tersebut setelah menginstal sebuah perangkat lunak yang sudah di “crack”, menurut firma keamanan Sophos.

Lembaga penelitian telah melakukan penelitian COVID-19 dan memiliki kemitraan erat dengan universitas lokal, memungkinkan mahasiswa untuk terhubung ke jaringan internal fasilitas melalui klien akses jarak jauh dari Citrix. Sayangnya, seorang siswa dengan akses ke jaringan mengunduh perangkat lunak bajakan, yang membantu mengekspos fasilitas penelitian ke serangan itu.

Menurut Sophos, siswa yang tidak disebutkan namanya itu “menginginkan salinan pribadi dari perangkat lunak visualisasi data yang telah mereka gunakan untuk bekerja”. Namun, satu lisensi untuk perangkat lunak dapat menghabiskan biaya ratusan dolar per tahun. Hasilnya, siswa tersebut mencari versi “crack” dari produk perangkat lunak untuk digunakan pada laptop Windows.

“Namun, file tersebut sebenarnya adalah malware murni dan upaya penginstalan segera memicu peringatan keamanan dari Windows Defender”, kata Sophos.

Tiga belas hari setelah perangkat lunak bajakan dipasang, sambungan protokol desktop jarak jauh yang misterius dibuat ke lembaga penelitian menggunakan kredensial masuk siswa. “Sepuluh hari setelah koneksi ini dibuat, ransomware Ryuk diluncurkan,” tambah Sophos.

Selengkapnya: PCmag

Penyebaran Crypto-Stealer Baru bernama ‘Panda’ melalui Discord

May 6, 2021 by Winnie the Pooh

Pencuri informasi baru lainnya – Panda Stealer – sedang disebarkan melalui kampanye spam di seluruh dunia.

Pada hari Selasa, peneliti Trend Micro mengatakan bahwa mereka pertama kali melihat pencuri baru pada bulan April. Gelombang terbaru kampanye spam memiliki dampak terbesar di Australia, Jerman, Jepang, dan AS.

Email spam menyamar sebagai permintaan kutipan bisnis untuk memikat korban agar mengklik file Excel yang berbahaya. Para peneliti menemukan 264 file yang mirip dengan Panda Stealer di VirusTotal, dengan beberapa di antaranya dibagikan oleh pelaku ancaman di Discord.

Namun, pelaku ancaman juga dapat menggunakan Discord untuk berbagi build Panda Stealer satu sama lain, kata Trend Micro.

Setelah Panda merasa nyaman, ia mencoba untuk meningkatkan detail seperti private keys dan transaksi sebelumnya dari dompet cryptocurrency, termasuk Bytecoin (BCN), Dash (DASH), Ethereum (ETH) dan Litecoin (LTC).

Selain mencuri dompet, ia juga dapat mengambil kredensial dari aplikasi, termasuk NordVPN, Telegram, Discord, dan Steam. Panda juga dapat mengambil tangkapan layar dari komputer yang terinfeksi dan menghapus data dari peramban, termasuk cookies dan kata sandi.

Panda Stealer adalah tweak dari malware Collector Stealer, juga dikenal sebagai DC Stealer, yang telah ditemukan dijual di forum bawah tanah dan melalui Telegram hanya dengan $ 12.

Selengkapnya: Threat Post

Aplikasi Office 365 yang Berbahaya Adalah Orang Dalam Terbaik

May 6, 2021 by Winnie the Pooh

Penipu yang menargetkan pengguna Microsoft Office 365 semakin beralih ke tautan khusus yang mengarahkan pengguna ke halaman masuk email organisasi mereka sendiri. Setelah pengguna masuk, tautan tersebut meminta mereka untuk memasang aplikasi berbahaya yang memberi penyerang akses yang terus-menerus dan bebas kata sandi ke email dan file pengguna mana pun, yang keduanya kemudian dijarah untuk meluncurkan malware dan penipuan phishing melawan orang lain.

Serangan ini dimulai dengan tautan email yang ketika diklik memuat bukan situs phishing tetapi halaman masuk Office 365 pengguna yang sebenarnya – baik itu di microsoft.com atau domain perusahaan mereka. Setelah masuk, pengguna mungkin melihat prompt yang terlihat seperti ini:

Aplikasi berbahaya ini memungkinkan penyerang untuk melewati otentikasi multi-faktor, karena mereka disetujui oleh pengguna setelah pengguna tersebut telah masuk. Selain itu, aplikasi akan tetap ada di akun Office 365 pengguna tanpa batas waktu hingga dihapus, dan akan bertahan bahkan setelah akun melakukan reset kata sandi.

Minggu ini, vendor keamanan pesan Proofpoint menerbitkan beberapa data baru saat muncul aplikasi Office 365 yang berbahaya ini, mencatat bahwa persentase tinggi pengguna Office akan jatuh ke skema ini.

Ryan Kalember, wakil presiden eksekutif strategi keamanan siber Proofpoint, mengatakan 55 persen pelanggan perusahaan telah menghadapi serangan aplikasi berbahaya ini pada satu titik atau lainnya.

Selengkapnya: Krebs On Security

Bagaimana Penyerang Menggunakan Akun yang Disusupi untuk Membuat dan Mendistribusikan Aplikasi OAuth Berbahaya

May 6, 2021 by Winnie the Pooh

Open authorization atau aplikasi “OAuth” menambahkan fitur bisnis dan peningkatan antarmuka pengguna ke platform cloud utama seperti Microsoft 365 dan Google Workspace. Sayangnya, mereka juga merupakan vektor ancaman baru karena semakin banyak pelaku kejahatan yang menggunakan aplikasi OAuth 2.0 berbahaya (atau malware cloud) untuk menyedot data dan mengakses informasi sensitif.

Proofpoint telah mengamati banyak bentuk serangan phishing token OAuth dan penyalahgunaan aplikasi OAuth, yang ideal bagi penyerang untuk melakukan pengintaian, meluncurkan serangan antar karyawan, dan mencuri file serta email dari platform cloud.

Serangan aplikasi berbahaya sering kali menargetkan akun wakil presiden, pengelola akun, perwakilan sumber daya manusia, dan kepala bagian keuangan — jenis pengguna yang memiliki akses ke data yang sangat sensitif. Jika berhasil, penyerang mendapatkan akses persisten dan independen ke email (termasuk membaca, menulis, mengirim, dan mengatur aturan kotak surat), file, kontak, catatan, obrolan Microsoft Teams, dan lainnya. Dalam beberapa kasus, mereka mengalihkan pengguna ke situs phishing setelah pengguna menyetujui aplikasi tersebut.

Penyerang pertama-tama akan membuat kode berbahaya mereka dan menyimpannya di server web, yang dapat diakses melalui URL (URL aplikasi berbahaya). Setelah menyusupi akun cloud target, penyerang kemudian membuat aplikasi di bagian “pendaftaran aplikasi” di portal Azure, menandai aplikasi tersebut sebagai “aplikasi multi-tenant” dengan pengaturan “web”, menambahkan URL berbahaya dari kode mereka ke aplikasi. Karena kode berbahaya memerlukan izin akses ke sumber daya, penyerang menambahkan izin yang relevan pada halaman aplikasi, di bawah tab “Izin API”.

Selengkapnya: ProofPoint

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings