Hijacking

QBot Phishing Menyalahgunakan Windows untuk Menginfeksi Perangkat

November 18, 2022 by Coffee Bean

Pembajakan DLL adalah metode serangan umum yang memanfaatkan cara Dynamic Link Libraries (DLL) dimuat di Windows.

Ketika Windows executable diluncurkan, itu akan mencari semua dependensi DLL di jalur pencarian Windows. Namun, jika pelaku ancaman membuat DLL berbahaya menggunakan nama yang sama dengan salah satu DLL yang diperlukan program dan menyimpannya di folder yang sama dengan file yang dapat dieksekusi, program akan memuat DLL berbahaya tersebut dan menginfeksi komputer.

QBot, juga dikenal sebagai Qakbot, adalah malware Windows yang dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware berfitur lengkap. Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, juga menggunakan malware untuk mendapatkan akses awal ke jaringan perusahaan.

Menyalahgunakan Panel Kontrol Windows
Dalam kampanye phishing yang dilihat oleh ProxyLife, pelaku ancaman menggunakan email berantai balasan yang dicuri untuk mendistribusikan lampiran file HTML yang mengunduh arsip ZIP yang dilindungi kata sandi dengan file ISO di dalamnya.

Email phishing QBot dalam kampanye baru
Sumber: BleepingComputer

File HTML, bernama mirip dengan ‘RNP_[angka]_[angka].html, menampilkan gambar yang berpura-pura menjadi Google Drive dan kata sandi untuk arsip ZIP yang diunduh secara otomatis, seperti yang ditunjukkan di bawah ini.

Pintasan Windows (.LNK) yang disertakan dalam ISO menggunakan ikon yang mencoba membuatnya terlihat seperti folder. Namun, ketika pengguna mencoba untuk membuka folder palsu ini, pintasan meluncurkan Panel Kontrol Windows 10 yang dapat dieksekusi, control.exe, yang disimpan dalam file ISO, seperti yang ditunjukkan di bawah ini.

Karena pelaku ancaman membundel DLL edputil.dll berbahaya di folder yang sama dengan control.exe, DLL berbahaya tersebut akan dimuat sebagai gantinya.

Setelah dimuat, DLL edputil.dll berbahaya menginfeksi perangkat dengan malware QBot (msoffice32.dll) menggunakan perintah regsvr32.exe msoffice32.dll.

Dengan menginstal QBot melalui program tepercaya seperti Panel Kontrol Windows 10, perangkat lunak keamanan mungkin tidak menandai malware sebagai berbahaya, memungkinkannya menghindari deteksi.

QBot sekarang akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing dan mengunduh muatan tambahan seperti Brute Ratel atau Cobalt Strike.

sumber : bleeping computer

Protokol BGP Yang Tidak Dikonfigurasikan Oleh VODAFONE Mempengaruhi 20.000 Jaringan Global Di Internet

April 20, 2021 by Winnie the Pooh

BGPMon Cisco telah mencatat adanya pembajakan jalur perutean jaringan yang tidak disebabkan secara sengaja, tetapi secara serius memengaruhi beberapa jaringan MNC terkenal.

Pembajakan terjadi karena beberapa kesalahan konfigurasi protokol BGP oleh Vodafone India yang memengaruhi 20.000 jaringan secara global. Mari kita pahami tentang pembajakan ini dengan lebih mendalam.

Menurut Wikipedia, “Border Gateway Protocol (BGP) adalah protokol gateway eksterior standar yang dirancang untuk bertukar informasi perutean dan jangkauan di antara sistem otonom (AS) di Internet”.

Oleh karena itu, Sistem Otonom ini harus menyimpan catatan informasi perutean yang mereka ketahui di internet dan mengiklankannya dengan bijak sehingga AS lain dapat bertukar informasi perutean dengan mereka. Jika sistem Otonom ini menyebarkan informasi perutean yang salah, maka seluruh jaringan berada dalam bahaya.

Sistem otonom Vodafone India Limited dengan nomor ASN AS55410 secara keliru mengiklankan 30.000 awalan (prefixes) atau rute BGP, ketika mereka tidak melakukannya, menyebabkan internet membanjiri jaringan ini dengan lalu lintas yang tidak dimaksudkan untuk melewatinya. Kesalahan ini memengaruhi 20.000 awalan dari jaringan otonom global termasuk Google yang diidentifikasi oleh pakar BGP Anurag Bhatia.

Selengkapnya: Ethical Debuggers

CyberNews Meretas 28.000 Printer Yang Tidak Diamankan Untuk Meningkatkan Kesadaran Akan Masalah Keamanan Printer

August 28, 2020 by Winnie the Pooh

Untuk membantu sebanyak mungkin orang mengamankan perangkat mereka dari potensi serangan cyber, tim keamanan CyberNews membajak 27.944 printer di seluruh dunia. Mereka memaksa perangkat printer yang merek bajak untuk mencetak panduan 5 langkah singkat tentang cara mengamankan printer.

Sebelum melakukan serangan, langkah awal mereka adalah mengumpulkan jumlah total target yang tersedia. Untuk mengetahui berapa banyak printer yang ada di menu untuk percobaan, mereka mencari alamat IP dengan port terbuka di mesin pencari IoT khusus, seperti Shodan dan Censys.

Dari 800.000+ printer yang tersedia, tim CyberNews memilih sampel 50.000 perangkat yang akan coba mereka akses dan paksa untuk mencetak panduan tentang keamanan printer.

Pada akhirnya, mereka berhasil membajak 27.944 printer dari 50.000 perangkat yang mereka targetkan, yang berarti tingkat keberhasilan 56%. Dengan mempertimbangkan persentase ini, mereka dapat berasumsi bahwa dari 800.000 printer yang tersambung ke internet di seluruh dunia, setidaknya 447.000 tidak diamankan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Cyber News

Your carrier will let basically any competent criminal hijack your phone number

January 15, 2020 by Winnie the Pooh

Anda mungkin menggunakan nomor telepon dalam login otentikasi dua faktor, yang seharusnya anda tidak gunakan. Masalahnya, seperti yang telah ditunjukkan beberapa kali, nomor telepon dapat dengan mudah dibajak dengan beberapa langkah mudah oleh pelaku kejahatan yang menghubungi operator layanan pelanggan.

Kevin Lee, Ben Kaiser, Jonathan Mayer, dan Arvind Narayanan dengan Sekolah Pusat Teknologi Informasi, tahun lalu melakukan serangkaian serangan simulasi menggunakan akun prabayar pada AT&T, T-Mobile, Verizon, Tracfone, dan US Mobile untuk meminta operator menukar akun korban dengan SIM yang mereka beli.

Setiap operator menggunakan berbagai cara untuk mengotentikasi penyerang. Banyak dari mereka, seperti alamat jalan atau email, tanggal lahir, empat digit terakhir kartu kredit, IMEI, atau ICCID, dianggap mudah diatasi jika ada yang tahu file catatan publik atau agregator data yang akan dilihat.

Klik link di bawah ini untuk membaca berita selengkapnya!

Source: Android Police

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Hijacking

Cookies Settings