Cybersecurity

Aplikasi Fleeceware telah menghasilkan lebih dari $ 400 juta di App Store dan Play Store, kata penelitian baru

March 25, 2021 by Winnie the Pooh

Peneliti di Avast menemukan total 204 aplikasi perangkat lunak dengan lebih dari satu miliar unduhan dan pendapatan lebih dari $ 400 juta di Apple App Store dan Google Play Store. Ini terjadi ketika Apple menghadapi peningkatan pengawasan atas aplikasi scam di App Store.

Pertama-tama, penting untuk menjelaskan apa itu fleeceware: ini adalah istilah yang merujuk pada aplikasi seluler yang disertai dengan biaya langganan yang berlebihan.

Misalnya, sebagian besar aplikasi menyertakan uji coba gratis singkat, tetapi aplikasi fleeceware ini memanfaatkan pengguna yang tidak terbiasa dengan cara kerja langganan di iPhone atau perangkat Android lainnya dan mengenakan biaya yang lebih tinggi.

Dalam postingan blognya, Avast menjelaskan bagaimana penipuan fleeceware menjanjikan uji coba langganan gratis, tetapi memberikan biaya yang mahal kepada para korban.

Riset Avast menunjukkan kategori aplikasi berikut sebagai aplikasi yang paling rentan terhadap perangkat lunak Fleeceware:

Aplikasi alat musik
Pembaca telapak tangan
Editor gambar
Filter kamera
Peramal
Kode QR dan pembaca PDF
Simulator Slim

Avast memberikan beberapa solusi yang harus diikuti oleh Apple dan Google. Pertama-tama, para peneliti berpikir bahwa perusahaan harus mengubah cara kerja langganan. Jika pengguna mengunduh aplikasi gratis dengan uji coba, setelah uji coba ini selesai, toko harus mengirimkan peringatan jika pengguna ingin berlangganan aplikasi dan tidak secara otomatis mulai mengenakan biaya segera setelah selesai.

Opsi lainnya adalah memberikan pop up yang lebih baik saat Anda menghapus aplikasi langganan Anda. Apple dan Google sudah memperingatkan pengguna saat mencoba menghapus aplikasi berlangganan, tetapi menurut Avast, itu bisa lebih baik.

Selengkapnya: 9to5mac

Raksasa Energi Shell Menjadi Korban Serangan Accellion

March 25, 2021 by Winnie the Pooh

Raksasa energi Royal Dutch Shell adalah salah satu korban lainnya dari serangkaian serangan terhadap pengguna produk File Transfer Appliance (FTA) warisan Accellion, yang telah memengaruhi banyak perusahaan dan dikaitkan dengan FIN11 dan geng ransomware Clop.

Para penyerang “memperoleh akses ke “berbagai file” yang berisi data pribadi dan perusahaan dari Shell dan beberapa pemangku kepentingannya”, kata perusahaan itu. Namun, karena implementasi Accellionnya, sistem TI intinya tidak terpengaruh oleh pelanggaran tersebut, “karena layanan transfer file diisolasi dari infrastruktur digital Shell lainnya”, kata perusahaan itu.

Shell, perusahaan terbesar kelima di dunia, juga mengungkapkan beberapa afiliasi perusahaan petrokimia dan energi global terkena dampaknya.

Menurut perusahaan, setelah mengetahui insiden tersebut, Shell segera mengatasi kerentanan tersebut dengan penyedia layanan dan tim keamanan sibernya, dan memulai penyelidikan untuk lebih memahami sifat dan tingkat insiden tersebut.

Shell tidak mengatakan secara spesifik bagaimana penyerang mengakses implementasi Accellion-nya, tetapi pelanggaran tersebut kemungkinan besar terkait dengan serangkaian serangan terhadap kerentanan di Accellion FTA, produk lawas berusia 20 tahun yang digunakan oleh perusahaan besar di seluruh dunia.

Accellion mengungkapkan bahwa ia menyadari kerentanan keamanan zero-day pada produk tersebut pada pertengahan Desember, dan kemudian berusaha menambalnya.

Selengkapnya: The Threat Post

Firefox 87 dikemas dengan penjelajahan pribadi ‘SmartBlock’

March 24, 2021 by Winnie the Pooh

Mozilla telah meluncurkan Firefox 87, dengan versi terbaru dari browser yang memiliki fitur “SmartBlock”, sebuah fitur privasi baru yang disebut-sebut dengan cerdas memperbaiki halaman web yang rusak dengan melacak perlindungan, tanpa mengorbankan privasi pengguna.

SmartBlock bertujuan untuk mendukung fitur pemblokiran konten bawaan Firefox – tersedia di mode penjelajahan pribadi dan perlindungan pelacakan ketat selama enam tahun terakhir – yang memblokir skrip pihak ketiga, gambar, dan konten lainnya agar tidak dimuat dari pelacakan lintas situs perusahaan yang dilaporkan oleh Disconnect.

Dijelaskan dalam blog mereka, dengan memblokir komponen pelacakan ini, jendela penjelajahan pribadi Firefox mencegah perusahaan ini mengawasi pengguna saat mereka menjelajah internet.

“Hal ini dapat mengakibatkan gambar tidak muncul, fitur tidak berfungsi, performa buruk, atau bahkan seluruh halaman tidak dapat dimuat sama sekali,” jelas Mozilla. “Untuk mengurangi kerusakan ini, Firefox 87 sekarang memperkenalkan fitur privasi baru yang kami sebut SmartBlock”.

SmartBlock melakukan ini dengan menyediakan stand-in lokal untuk skrip pelacakan pihak ketiga yang diblokir.

Sumber: ZDNet

Malware Purple Fox masuk ke sistem Windows yang terekspos

March 24, 2021 by Winnie the Pooh

Purple Fox, malware yang sebelumnya didistribusikan melalui exploit kits dan email phishing, kini telah menambahkan modul worm yang memungkinkannya memindai dan menginfeksi sistem Windows yang dapat dijangkau melalui Internet dalam serangan yang sedang berlangsung.

Malware ini hadir dengan kemampuan rootkit dan backdoor, pertama kali terlihat pada tahun 2018 setelah menginfeksi setidaknya 30.000 perangkat, dan digunakan sebagai pengunduh untuk menyebarkan jenis malware lainnya.

Mulai Mei 2020, serangan Purple Fox telah meningkat secara signifikan, mencapai total 90.000 serangan dan 600% lebih banyak infeksi, menurut peneliti keamanan Guardicore Labs Amit Serper dan Ophir Harpaz.

Upaya pemindaian dan eksploitasi port aktif malware dimulai pada akhir tahun lalu berdasarkan telemetri yang dikumpulkan menggunakan Guardicore Global Sensors Network (GGSN).

Setelah menemukan sistem Windows yang terbuka saat memindai perangkat yang dapat dijangkau melalui Internet, modul worm yang baru ditambahkan ke Purple Fox menggunakan SMB password brute force untuk menginfeksinya. Sejauh ini, Purple Fox telah menyebarkan malware dropper dan modul tambahan pada jaringan bot yang luas.

Perangkat yang terjerat dalam botnet ini termasuk mesin Windows Server yang menjalankan IIS versi 7.5 dan Microsoft FTP, dan server yang menjalankan Microsoft RPC, Microsoft Server SQL Server 2008 R2, dan Microsoft HTTPAPI httpd 2.0, dan Layanan Terminal Microsoft.

Setelah menerapkan rootkit dan me-reboot perangkat, malware akan mengganti nama muatan DLL-nya agar sesuai dengan DLL sistem Windows dan akan mengkonfigurasinya untuk diluncurkan saat sistem dimulai.

Setelah malware dijalankan pada peluncuran sistem, setiap sistem yang terinfeksi kemudian akan menunjukkan perilaku mirip worm yang sama, terus-menerus memindai Internet untuk mencari target lain dan mencoba menyusupinya dan menambahkannya ke botnet.

Indicators of compromise (IOC) tersedia di repositori GitHub ini.

Selengkapnya: Bleeping Computer

Geng ransomware membocorkan data yang dicuri dari universitas Colorado, Miami

March 24, 2021 by Winnie the Pooh

Nilai dan nomor jaminan sosial untuk mahasiswa di University of Colorado dan data pasien di University of Miami telah diposting online oleh grup ransomware Clop.

Mulai bulan Desember, pelaku ancaman yang berafiliasi dengan operasi ransomware Clop mulai menargetkan server Accellion FTA dan mencuri data yang tersimpan di dalamnya. Perusahaan menggunakan server ini untuk berbagi file dan informasi sensitif dengan orang di luar organisasi mereka.

Geng ransomware kemudian menghubungi organisasi tersebut dan meminta $ 10 juta dalam bentuk bitcoin atau mereka akan mempublikasikan data yang dicuri.

Sejak Februari, operasi ransomware Clop telah menerbitkan file yang dicuri menggunakan kerentanan di server berbagi file Accellion FTA.

Minggu ini, geng ransomware Clop mulai menerbitkan tangkapan layar file yang dicuri dari server Accellion FTA yang digunakan oleh Universitas Miami dan Colorado.

Pada bulan Februari, University of Colorado (CU) mengungkapkan bahwa mereka mengalami serangan siber di mana pelaku ancaman mencuri data melalui kerentanan Accellion FTA.

Clop ransomware telah mulai memposting tangkapan layar dari data yang dicuri, termasuk dokumen keuangan universitas, nilai siswa, catatan akademik, informasi pendaftaran, dan informasi biografi siswa.

Sementara University of Miami tidak pernah mengungkapkan insiden keamanan, operasi ransomware Clop juga menerbitkan tangkapan layar data pasien.

Data ini mencakup rekam medis, laporan demografis, dan spreadsheet dengan alamat email dan nomor telepon.

Selengkapnya: Bleeping Computer

Microsoft memperingatkan serangan phishing yang melewati gateway email

March 24, 2021 by Winnie the Pooh

Operasi phishing berkelanjutan yang mencuri sekitar 400.000 kredensial OWA (Outlook Web Access) dan Office 365 sejak Desember kini telah meluas dengan menyalahgunakan layanan baru yang sah untuk melewati secure email gateways (SEG).

Serangan tersebut merupakan bagian dari beberapa kampanye phishing yang secara kolektif dijuluki Kampanye “Compact”, aktif sejak awal tahun 2020 yang pertama kali terdeteksi oleh Tim Intelijen Ancaman Global WMC.

“Phisher terus menemukan keberhasilan dalam menggunakan akun yang disusupi di layanan pemasaran email untuk mengirim email berbahaya dari domain dan range IP yang sah,” kata pakar keamanan Microsoft.

Email phishing mereka disamarkan sebagai pemberitahuan dari layanan konferensi video, berbagai solusi keamanan, dan alat produktivitas untuk menambah legitimasi.

Pelaku ancaman juga menggunakan akun yang disusupi untuk layanan pengiriman email SendGrid dan MailGun, memanfaatkan gateway email yang aman memungkinkan daftar tersebut menjadi domain tepercaya.

Hal ini memungkinkan pesan phishing untuk melewati mereka dan masuk ke kotak masuk target, membujuk mereka untuk mengklik hyperlink yang disematkan yang mengarahkan mereka ke halaman arahan phishing yang dirancang untuk meniru halaman login Microsoft.

Domain dan akun yang digunakan selama kampanye phishing ini akan dihapus segera setelah Microsoft dan WMC Global mendeteksinya.

Selengkapnya: Bleeping Computer

Server Microsoft Exchange sekarang ditargetkan oleh ransomware Black Kingdom

March 23, 2021 by Winnie the Pooh

Operasi ransomware lain yang dikenal sebagai ‘Black Kingdom’ mengeksploitasi kerentanan Microsoft Exchange Server ProxyLogon untuk mengenkripsi server.

Selama akhir pekan, peneliti keamanan Marcus Hutchins, alias MalwareTechBlog, men-tweet bahwa pelaku ancaman membahayakan server Microsoft Exchange melalui kerentanan ProxyLogon untuk menyebarkan ransomware.

Berdasarkan log dari honeypots-nya, Hutchins menyatakan bahwa pelaku ancaman menggunakan kerentanan untuk menjalankan skrip PowerShell yang mengunduh ransomware yang dapat dieksekusi dari ‘yuuuuu44[.]Com’ dan kemudian mendorongnya ke komputer lain di jaringan.

Michael Gillespie, pencipta ID Ransomware, memberi tahu BleepingComputer bahwa sistemnya telah melihat lebih dari 30 pengiriman unik ke sistemnya, dengan banyak yang dikirim langsung dari server email.

Korban berada di AS, Kanada, Austria, Swiss, Rusia, Prancis, Israel, Inggris, Italia, Jerman, Yunani, Australia, dan Kroasia.

Saat mengenkripsi perangkat, ransomware akan mengenkripsi file menggunakan ekstensi acak dan kemudian membuat catatan tebusan bernama decrypt_file.TxT, seperti yang ditunjukkan di bawah ini.

blackkingdom ransomware — Sumber: BleepingComputer

Black Kingdom adalah ransomware terkonfirmasi kedua setelah DearCry ransomware yang menargetkan kerentanan Microsoft Exchange ProxyLogon.

Sumber: Bleeping Computer

Target sempurna Phisher: Karyawan kembali ke kantor

March 23, 2021 by Winnie the Pooh

Phisher telah mengeksploitasi ketakutan dan keingintahuan orang-orang tentang terobosan dan berita umum terkait pandemi COVID-19 sejak awal, dan akan terus melakukannya selama hal itu memengaruhi kehidupan pribadi dan pekerjaan.

Penjahat siber terus mengeksploitasi kepentingan publik dalam bantuan COVID-19, vaksin, dan berita varian, menipu Pusat Pengendalian Penyakit (CDC), Layanan Pendapatan Internal AS (IRS), Departemen Kesehatan dan Layanan Kemanusiaan (HHS) AS, Organisasi Kesehatan Dunia (WHO), dan badan serta bisnis lainnya.

Menurut peneliti Inky, karyawan yang perlahan-lahan kembali bekerja di kantor dan lokasi perusahaan lain dapat ditargetkan oleh penjahat siber yang menyamar sebagai kolega dan kepemimpinan perusahaan mereka.

Dilihat dari kampanye yang terdeteksi sebelumnya, penyerang akan memukul karyawan dengan email yang dibuat seolah-olah mereka berasal dari HR atau departemen lain, atau dari CEO.

Email tersebut akan berisi elemen desain yang terkait dengan perusahaan (logo, dll.). Tautan akan mengarah ke pengumpulan kredensial atau situs yang menyajikan malware pada domain yang dibajak, dan akan terlihat seperti mengarah ke alat yang sah (Google, Basecamp, SharePoint, dll).

Phisher akan mencoba menciptakan rasa urgensi, kewajiban, dan bahkan mengancam karyawan dengan sanksi agar mereka mengikuti tautan tersebut.

Selengkapnya: Help Net Security

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings