Formbook

Iklan Google Mendorong Malware ‘Tervirtualisasi’ yang Dibuat Untuk Penghindaran Antivirus

February 3, 2023 by Coffee Bean

KoiVM adalah plugin untuk pelindung ConfuserEx .NET yang mengaburkan opcode program sehingga mesin virtual hanya memahaminya. Kemudian, saat diluncurkan, mesin virtual menerjemahkan opcode kembali ke bentuk aslinya sehingga aplikasi dapat dijalankan.

“Kerangka kerja virtualisasi seperti KoiVM mengaburkan executable dengan mengganti kode asli, seperti instruksi NET Common Intermediate Language (CIL), dengan kode virtualisasi yang hanya dipahami oleh kerangka kerja virtualisasi,” jelas laporan baru oleh SentinelLabs.

Menyalahgunakan iklan pencarian Google
Selama sebulan terakhir, para peneliti telah melihat peningkatan penyalahgunaan iklan pencarian Google untuk mendistribusikan berbagai malware, termasuk RedLine Stealer, Gozi/Ursnif, Vidar, pencuri Rhadamanthys, IcedID, Raccoon Stealer, dan banyak lagi.

Dalam kampanye yang sedang berlangsung yang dilihat oleh SentinelLabs, pelaku ancaman mendorong pemuat MalVirt dalam iklan yang berpura-pura untuk perangkat lunak Blender 3D.

Malicious Google Search results (Sentinel Labs)

Download yang ditawarkan oleh situs palsu ini menggunakan tanda tangan digital tidak valid yang meniru identitas Microsoft, Acer, DigiCert, Sectigo, dan AVG Technologies USA.

SentinelLabs says that in the samples it analyzed, it saw Formbook communicating with 17 domains, only one of which was the actual C2 server, and the rest serving as mere decoys to confuse network traffic monitoring tools.

Menggunakan banyak IP palsu dalam komunikasi malware (Sentinel Labs)

Ini adalah sistem baru pada jenis malware yang cukup lama, menunjukkan bahwa operatornya tertarik untuk memberdayakan dengan fitur-fitur baru yang akan membuatnya lebih baik untuk tetap tersembunyi dari alat keamanan dan analis

sumber : bleepingcomputer

Badan keamanan siber mengungkapkan jenis malware teratas tahun lalu

August 5, 2022 by Eevee

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) merilis daftar jenis malware yang paling banyak terdeteksi tahun lalu dalam konsultasi bersama dengan Australian Cyber Security Center (ACSC).

“Pengguna malware paling produktif dari jenis malware teratas adalah penjahat cyber, yang menggunakan malware untuk mengirimkan ransomware atau memfasilitasi pencurian informasi pribadi dan keuangan.”

Strain malware teratas yang diamati pada tahun 2021 termasuk Agen Tesla, AZORult, Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot, dan GootLoader.

Dari jumlah tersebut, Agen Tesla, AZORult, Formbook, LokiBot, NanoCore, Remcos, dan TrickBot telah digunakan dalam serangan setidaknya selama lima tahun terakhir, sementara Qakbot dan Ursnif telah digunakan selama lebih dari satu dekade.

Umur panjang keluarga malware ini disebabkan oleh upaya berkelanjutan pengembang mereka untuk meningkatkannya dengan menambahkan kemampuan dan cara baru untuk menghindari deteksi.

Penasihat bersama mencakup tanda tangan Snort untuk semua malware di atas untuk mendeteksi muatan dengan memantau lalu lintas jaringan dan daftar tindakan mitigasi.

CISA dan ACSC mendorong admin dan tim keamanan untuk menerapkan mitigasi berikut untuk mempertahankan diri dari serangan malware:

Perbarui perangkat lunak, termasuk sistem operasi, aplikasi, dan firmware, di I.T. aset jaringan
Terapkan MFA semaksimal mungkin
Jika Anda menggunakan RDP dan/atau layanan lain yang berpotensi berisiko, amankan dan pantau dengan cermat
Pertahankan cadangan data offline (yaitu, terputus secara fisik)
Memberikan kesadaran dan pelatihan pengguna akhir untuk membantu memblokir rekayasa sosial dan serangan spearphishing
Menerapkan segmentasi jaringan untuk memisahkan segmen jaringan berdasarkan peran dan fungsionalitas

Pada bulan April, otoritas keamanan siber di seluruh dunia, dalam kemitraan dengan NSA dan FBI, juga merilis daftar 15 kerentanan teratas yang secara rutin dieksploitasi dalam serangan selama tahun 2021.

CISA dan FBI juga telah menerbitkan daftar 10 bug keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019 dan bug teratas yang paling sering disalahgunakan pada tahun 2020 bekerja sama dengan ACSC dan National Cyber Security Center (NCSC) Inggris.

Pada bulan Juni, MITRE juga membagikan daftar 25 bug perangkat lunak paling berbahaya tahun ini setelah mengungkapkan kelemahan keamanan pemrograman, desain, dan arsitektur paling berbahaya yang mengganggu perangkat keras pada November 2021.

Sumber: Bleeping Computer

Malware XLoader mencuri login dari sistem macOS dan Windows

July 22, 2021 by Winnie the Pooh

Malware yang sangat populer untuk mencuri informasi dari sistem Windows telah dimodifikasi menjadi jenis baru yang disebut XLoader, yang juga dapat menargetkan sistem macOS.

XLoader saat ini ditawarkan di forum bawah tanah sebagai layanan pemuat botnet yang dapat “memulihkan” kata sandi dari web browser dan beberapa klien email (Chrome, Firefox, Opera, Edge, IE, Outlook, Thunderbird, Foxmail).

Berasal dari pencuri info Formbook untuk Windows, XLoader muncul Februari lalu dan semakin populer, diiklankan sebagai botnet lintas platform (Windows dan macOS) tanpa dependency.

Hubungan antara dua bagian malware dikonfirmasi setelah anggota komunitas XLoader merekayasa balik dan menemukan bahwa itu memiliki executable yang sama dengan Formbook.

Pengiklan menjelaskan bahwa pengembang Formbook berkontribusi banyak dalam pembuatan XLoader, dan kedua malware tersebut memiliki fungsi yang serupa (mencuri kredensial login, menangkap tangkapan layar, mencatat penekanan tombol, dan mengeksekusi file berbahaya).

Pelanggan dapat menyewa versi malware macOS seharga $49 (satu bulan) dan mendapatkan akses ke server yang disediakan penjual. Dengan menjaga infrastruktur komando dan kontrol terpusat, penulis dapat mengontrol bagaimana klien menggunakan malware.

Versi Windows lebih mahal karena penjual meminta $59 untuk lisensi satu bulan dan $129 untuk tiga bulan.

Peneliti Check Point mengatakan bahwa XLoader cukup tersembunyi sehingga sulit bagi pengguna non-teknis biasa untuk menemukannya.

Mereka merekomendasikan penggunaan Autorun macOS untuk memeriksa nama pengguna di OS dan untuk melihat ke folder LaunchAgents [/Users/[username]/Library/LaunchAgents] dan menghapus entri dengan nama file yang mencurigakan (nama yang tampak acak).

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Formbook

Cookies Settings