dridex

Kerentanan Log4j sekarang digunakan untuk menginstal malware perbankan Dridex

December 21, 2021 by Winnie the Pooh

Pelaku ancaman sekarang mengeksploitasi kerentanan penting Apache Log4j bernama Log4Shell untuk menginfeksi perangkat yang rentan dengan trojan perbankan Dridex atau Meterpreter yang terkenal jahat.

Malware Dridex adalah trojan perbankan yang awalnya dikembangkan untuk mencuri kredensial perbankan online dari para korban. Namun, seiring waktu, malware telah berkembang menjadi pemuat yang mengunduh berbagai modul yang dapat digunakan untuk melakukan berbagai perilaku jahat, seperti memasang muatan tambahan, menyebar ke perangkat lain, mengambil tangkapan layar, dan banyak lagi.

Kemarin, kelompok riset keamanan siber Cryptolaemus memperingatkan bahwa kerentanan Log4j sekarang dieksploitasi untuk menginfeksi perangkat Windows dengan Trojan Dridex dan perangkat Linux dengan Meterpreter.

Anggota Cryptolaemus Joseph Roosen mengatakan kepada BleepingComputer bahwa pelaku ancaman menggunakan varian eksploitasi Log4j RMI (Remote Method Invocation) untuk memaksa perangkat yang rentan memuat dan mengeksekusi Java class dari server jarak jauh yang dikendalikan penyerang.

Saat dijalankan, Java class pertama-tama akan mencoba mengunduh dan meluncurkan file HTA dari berbagai URL, yang akan menginstal trojan Dridex.

Jika tidak dapat menjalankan perintah Windows, itu akan menganggap perangkat menjalankan Linux/Unix dan mengunduh dan menjalankan skrip Python untuk menginstal Meterpreter.

Menjalankan Meterpreter pada Linux akan memberi pelaku ancaman shell jarak jauh yang dapat mereka gunakan untuk menyebarkan muatan lebih lanjut atau menjalankan perintah.

Dengan Log4j dieksploitasi oleh pelaku ancaman untuk menginstal berbagai malware, tidak mengherankan bahwa operasi malware yang lebih aktif akan mulai menargetkan kerentanan.

Oleh karena itu, sangat disarankan agar semua organisasi memindai aplikasi rentan yang menggunakan Log4j dan memperbaruinya ke versi terbaru.

Ini termasuk memperbarui Log4j ke versi terbaru, versi 2.17, dirilis Sabtu ini untuk memperbaiki kerentanan penolakan layanan baru.

Selengkapnya: Bleeping Computer

Malware Dridex Kembali Dalam Kampanye Malspam QuickBooks Global Baru

April 27, 2021 by Winnie the Pooh

Serangan phishing yang menyamar sebagai faktur QuickBooks menargetkan pengguna perangkat lunak akuntansi populer dalam upaya menginfeksi perangkat korban dengan Trojan perbankan Dridex yang terkenal.

Ditemukan oleh Bitdefender Antispam Lab, kampanye malspam bertema Intuit yang baru ini menarik pengguna QuickBooks dengan pemberitahuan dan faktur pembayaran palsu.

Kampanye phishing yang sedang berlangsung dimulai pada 19 April, menargetkan pengguna QuickBooks dari seluruh dunia. Secara keseluruhan, 14% email berbahaya mencapai Amerika Serikat, 11% di Korea Selatan, Jerman, dan India, 7% di Inggris dan Prancis, 4% di Italia, 3% di Swedia, dan 2% di Kanada, Belgia, Austria, Swiss, dan Belanda.

Dridex adalah Trojan perbankan, biasanya dikirimkan melalui email phishing yang berisi dokumen Microsoft Word dan Excel yang berbahaya.

Perangkat lunak berbahaya ini mencuri informasi rahasia dari para korban, termasuk kredensial perbankan yang dapat digunakan pelaku ancaman untuk mengakses rekening bank dan melakukan transaksi penipuan.

Pengguna yang ceroboh dapat berakhir dengan biaya penipuan pada kartu kredit, transfer wire yang tidak biasa dari akun perusahaan, dan bahkan pelanggaran data yang dapat membahayakan seluruh jaringan dan basis pelanggan organisasi.

Selengkapnya: Hot For Security

Gambaran Umum tentang DoppelPaymer Ransomware

January 18, 2021 by Winnie the Pooh

Pada awal Desember 2020, FBI mengeluarkan peringatan terkait DoppelPaymer, keluarga ransomware yang pertama kali muncul pada 2019 ketika meluncurkan serangan terhadap organisasi di industri kritis. Aktivitasnya terus berlanjut sepanjang tahun 2020, termasuk serangkaian insiden di paruh kedua tahun ini yang membuat para korbannya kesulitan untuk menjalankan operasi mereka dengan baik.

DoppelPaymer diyakini didasarkan pada ransomware BitPaymer (yang pertama kali muncul pada tahun 2017) karena kesamaan dalam kode, catatan tebusan, dan portal pembayaran mereka. Namun, penting untuk diperhatikan bahwa ada beberapa perbedaan antara DoppelPaymer dan BitPaymer. DoppelPaymer menggunakan 2048-bit RSA + 256-bit AES untuk enkripsi, sedangkan BitPaymer menggunakan 4096-bit RSA + 256-bit AES, Perbedaan lain antara keduanya adalah bahwa sebelum DoppelPaymer mengeksekusi rutinitas jahatnya, ia harus memiliki parameter baris perintah yang benar, teknik ini digunakan untuk menghindari analisis sandbox.

Seperti banyak keluarga ransomware modern, permintaan tebusan DoppelPaymer untuk dekripsi file sangat besar, berkisar antara US $ 25.000 hingga US $ 1,2 juta.

https://www.trendmicro.com/content/dam/trendmicro/global/en/research/21/a/an-overview-of-the-doppelpaymer-ransomware/DoppelPaymer-1.jpg

DoppelPaymer menggunakan rutinitas yang cukup canggih, dimulai dengan infiltrasi jaringan melalui email spam berbahaya yang berisi tautan spear-phishing atau lampiran yang dirancang untuk memikat pengguna yang tidak menaruh curiga agar menjalankan kode berbahaya yang biasanya disamarkan sebagai dokumen asli. Kode ini bertanggung jawab untuk mengunduh malware lain dengan kemampuan yang lebih canggih (seperti Emotet) ke dalam sistem korban.

Setelah Emotet diunduh, Emotet akan berkomunikasi dengan server command-and-control (C&C) untuk menginstal berbagai modul serta mengunduh dan menjalankan malware lainnya. server C&C digunakan untuk mengunduh dan menjalankan keluarga malware Dridex, yang kemudian digunakan untuk mengunduh DoppelPaymer secara langsung atau alat seperti PowerShell Empire, Cobalt Strike, PsExec, dan Mimikatz. Masing-masing alat ini digunakan untuk berbagai aktivitas, seperti mencuri kredensial, bergerak secara lateral di dalam jaringan, dan menjalankan perintah yang berbeda, seperti menonaktifkan perangkat lunak keamanan.

Setelah Dridex memasuki sistem, pelaku jahat tidak segera menyebarkan ransomware. Sebaliknya, ia mencoba untuk berpindah secara lateral dalam jaringan sistem yang terpengaruh untuk menemukan target bernilai tinggi untuk mencuri informasi penting. Setelah target ini ditemukan, Dridex akan melanjutkan menjalankan muatan terakhirnya, DoppelPaymer. DoppelPaymer mengenkripsi file yang ditemukan di jaringan serta drive tetap dan yang dapat dilepas di sistem yang terpengaruh. Terakhir, DoppelPaymer akan mengubah sandi pengguna sebelum memaksa sistem memulai ulang ke mode aman untuk mencegah masuknya pengguna dari sistem. Itu kemudian mengubah teks pemberitahuan yang muncul sebelum Windows melanjutkan ke layar login.

Teks pemberitahuan baru sekarang menjadi catatan tebusan DoppelPaymer, yang memperingatkan pengguna untuk tidak menyetel ulang atau mematikan sistem, serta tidak menghapus, mengganti nama, atau memindahkan file yang dienkripsi. Catatan itu juga berisi ancaman bahwa data sensitif mereka akan dibagikan kepada publik jika mereka tidak membayar tebusan yang diminta dari mereka.

Menurut pemberitahuan FBI, target utama DoppelPaymer adalah organisasi dalam perawatan kesehatan, layanan darurat, dan pendidikan. Ransomware telah terlibat dalam sejumlah serangan pada tahun 2020, termasuk gangguan pada community college serta polisi dan layanan darurat di sebuah kota di AS selama pertengahan tahun.

Agar terhindar dari malware ini, anda dapat melakukan beberapa upaya berikut :
Menahan diri dari membuka email yang tidak diverifikasi dan mengklik link atau lampiran yang disematkan di pesan ini.
Mencadangkan file penting secara teratur menggunakan aturan 3-2-1: Buat tiga salinan cadangan dalam dua format file berbeda, dengan salah satu cadangan di lokasi fisik terpisah.
Memperbarui perangkat lunak dan aplikasi dengan tambalan terbaru sesegera mungkin untuk melindunginya dari kerentanan.
Memastikan bahwa cadangan aman dan terputus dari jaringan pada akhir setiap sesi pencadangan.
Mengaudit akun pengguna secara berkala – khususnya akun yang dapat diakses publik, seperti akun Pemantauan dan Manajemen Jarak Jauh.
Memantau lalu lintas jaringan masuk dan keluar, dengan peringatan untuk eksfiltrasi data.
Menerapkan otentikasi dua faktor (2FA) untuk kredensial login pengguna, karena ini dapat membantu memperkuat keamanan untuk akun pengguna
Menerapkan prinsip hak istimewa paling rendah untuk izin file, direktori, dan jaringan berbagi.

Source : trendmicro

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

dridex

Cookies Settings