info-stealer

CISA memperingatkan peningkatan yang signifikan dalam malware LokiBot

September 23, 2020 by Winnie the Pooh

Cybersecurity and Infrastructure Security Agency (CISA) mengatakan bahwa platform keamanan in-house (EINSTEIN Intrusion Detection System) telah mendeteksi aktivitas berbahaya yang terus-menerus terkait infeksi LokiBot.

Lonjakan Juli dalam aktivitas LokiBot yang dilihat oleh CISA juga dikonfirmasi oleh tim Malwarebytes Threat Intelligence, yang mengatakan kepada ZDNet dalam sebuah wawancara bahwa mereka juga telah melihat lonjakan serupa pada infeksi LokiBot selama tiga bulan terakhir.

Ini adalah penyebab kekhawatiran karena LokiBot adalah salah satu jenis malware paling berbahaya dan tersebar luas saat ini. Juga dikenal sebagai Loki atau Loki PWS, trojan LokiBot adalah apa yang disebut sebagai “pencuri informasi”.

Ia bekerja dengan menginfeksi komputer dan kemudian menggunakan kemampuan bawaannya untuk mencari aplikasi yang diinstal secara lokal dan mengekstrak kredensial dari database internal mereka.

Secara default, LokiBot dapat menargetkan browser, klien email, aplikasi FTP, dan dompet cryptocurrency.

Security Advisory CISA mengenai LokiBot yang diterbitkan berisi saran deteksi dan mitigasi untuk menangani serangan dan infeksi LokiBot.

Security Advisory dapat diakses melalui link di bawah;
Source: CISA Advisory | ZDNet

Malware Tidak Terganggu oleh Pembaruan Terbaru Google Chrome versi 80

March 12, 2020 by Winnie the Pooh

Penambahan algoritma AES-256 pada Google untuk mengenkripsi cookie dan kata sandi di browser Chrome versi 80 ternyata hanya berdampak kecil pada infostealers (pencuri data).

Menghadapi pembaruan Google Chrome ini, para pengembang malware, yang mencuri data dari browser, dengan cepat memperbarui alat mereka agar malware mereka tetap dapat bekerja pada Chrome yang baru. Bahkan AZORult, yang ditinggalkan oleh pembuat aslinya pada tahun 2018, telah menerima pembaruan kode dari aktor yang melanjutkan proyek ini untuk membuatnya kompatibel dengan Chrome 80.

Software pencuri data baru lainnya juga memanfaatkan hal ini dan mengiklankan produk mereka dengan menyebut software mereka “dapat bekerja pada Chrome 80”.

Raveed Laeb, manajer produk di perusahaan intelijen cyber KELA, mengatakan kepada BleepingComputer bahwa Chrome masih bergantung pada metode lama tetapi menambahkan lapisan baru di atasnya. Data pertama kali dienkripsi dengan standar AES, dan kuncinya kemudian dienkripsi menggunakan fungsi DPAPI CrypProtectData yang kemudian menjadi kunci AES-256.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: Bleeping Computer

Malware Raccoon menargetkan sejumlah besar browser untuk mencuri data dan cryptocurrency korbannya

February 27, 2020 by Winnie the Pooh

Raccoon mungkin bukan pilihan termurah di pasaran tetapi malware ini telah mendapatkan popularitas di kalangan penjahat siber karena kemampuannya menargetkan setidaknya 60 aplikasi dan banyak di antaranya adalah browser yang kita gunakan saat ini, termasuk Mozilla dan Chrome.

Infostealer Raccoon, juga dikenal sebagai Racealer, ditawarkan dengan harga $ 200 sebulan dan pertama kali ditemukan oleh para peneliti dari perusahaan cybersecurity Cybereason pada tahun 2019. Raccoon dapat mencuri informasi keuangan, kredensial online, data PC – seperti jenis dan versi sistem operasi, bahasa yang digunakan, dan daftar aplikasi yang terinstal – dompet cryptocurrency, dan informasi browser termasuk cookie, log riwayat, dan konten pengisian otomatis. Setelah Raccoon mencuri data yang diperlukannya, informasi ini dikompilasi ke dalam file arsip .zip dan dikirim ke server command and control (C2). Malware ini juga dapat bertindak sebagai dropper untuk muatan malware tambahan.

Raccoon terus didukung oleh tim dan pengembangannya sedang berlangsung. Baru-baru ini, Raccoon juga diberi kemampuan untuk mencuri kredensial server FTP dari FileZilla, kesalahan UI sudah diselesaikan, dan penulis juga membuat opsi untuk mengenkripsi pembuatan malware kustom dari UI untuk diunduh sebagai DLL.

Untuk berita selengkapnya dapat dibaca pada tautan dibawah ini;

Source: ZDNet

Hacker Uses Drake’s “Kiki Do You Love Me” In Their Script

January 13, 2020 by Winnie the Pooh

Seperti diungkapkan oleh AppRiver, sebuah perusahaan cybersecurity, kampanye malware yang menyebar melalui Powerpoint memiliki lirik lagu Drake – “In My Feelings” yang tersembunyi di dalam perintah Powershell.

Peretas tersebut menggunakan alias “Master X”, dia menjatuhkan malware Lokibot atau malware Azorult tergantung pada pengguna yang ia targetkan. Lokibot adalah pencuri informasi, sedangkan Azorult adalah trojan akses jarak jauh (RAT) yang menginfeksi komputer.

Klik link dibawah ini untuk berita selengkapnya:

Source: Fossbytes

Bleeping Computer: Windows Remote Desktop Services Used for Fileless Malware Attacks

December 25, 2019 by Winnie the Pooh

Pelaku ancaman yang melanggar jaringan perusahaan menyebarkan sejumlah malware lewat protokol desktop jarak jauh (remote desktop protocol / RDP), tanpa meninggalkan jejak pada host target. Penambang Cryptocurrency, info-stealers, dan ransomware dieksekusi dalam RAM menggunakan koneksi jarak jauh, yang juga berfungsi untuk mengelupas informasi berguna dari mesin yang dikompromikan.

Para penyerang memanfaatkan fitur di Windows Remote Desktop Services yang memungkinkan klien untuk membagikan drive lokal ke Server Terminal dengan izin baca dan tulis.

Baca lebih lanjut tentang serangan ini pada link dibawah ini.

Source: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

info-stealer

Cookies Settings