Information Stealer

Malware yang menyamar sebagai alat keamanan menargetkan Tentara TI Ukraina

March 11, 2022 by Winnie the Pooh

Kampanye malware baru memanfaatkan kesediaan orang untuk mendukung perang cyber Ukraina melawan Rusia untuk menginfeksi mereka dengan Trojan pencuri kata sandi.

Bulan lalu, pemerintah Ukraina mengumumkan Angkatan Darat TI baru yang terdiri dari sukarelawan di seluruh dunia yang melakukan serangan siber dan serangan DDoS terhadap entitas Rusia.

Inisiatif ini telah menghasilkan curahan dukungan oleh banyak orang di seluruh dunia yang telah membantu menargetkan organisasi dan situs Rusia, bahkan jika aktivitas itu dianggap ilegal.

Seperti biasa dengan distributor malware, pelaku ancaman mengambil keuntungan dari Angkatan Darat TI dengan mempromosikan alat DDoS palsu di Telegram yang memasang kata sandi dan trojan pencuri informasi.

Dalam sebuah laporan baru oleh Cisco Talos, para peneliti memperingatkan bahwa pelaku ancaman meniru alat DDoS yang disebut “Liberator”, yang merupakan website bomber untuk digunakan melawan outlet propaganda Rusia.

Sementara versi yang diunduh dari situs sebenarnya “bersih”, dan kemungkinan ilegal untuk digunakan, yang beredar di Telegram ternyata menyembunyikan muatan malware, dan tidak ada cara untuk membedakannya sebelum menjalankannya karena keduanya tidak ditandatangani secara digital.

Malware yang dijatuhkan pada sistem korban melakukan pemeriksaan anti-debug sebelum dijalankan dan kemudian mengikuti langkah injeksi proses untuk memuat pencuri informasi Phoenix ke dalam memori.

Pencuri info tersebut dapat mengumpulkan data dari browser web, alat VPN, Discord, lokasi sistem file, dan dompet cryptocurrency, dan mengirimkannya ke alamat jarak jauh, dalam kasus ini, IP Rusia.

Peneliti Talos menemukan bahwa IP khusus ini telah mendistribusikan Phoenix sejak November 2021. Oleh karena itu, perubahan tema baru-baru ini menunjukkan bahwa kampanye ini hanyalah upaya oportunistik untuk mengeksploitasi perang di Ukraina demi keuntungan finansial.

Selengkapnya: Bleeping Computer

Malware pencuri informasi TinyNuke kembali menyerang pengguna Prancis

December 14, 2021 by Winnie the Pooh

Malware pencuri informasi TinyNuke telah muncul kembali dalam kampanye baru yang menargetkan pengguna Prancis dengan umpan bertema faktur dalam email yang dikirim ke alamat perusahaan dan individu yang bekerja di bidang manufaktur, teknologi, konstruksi, dan layanan bisnis.

Tujuan dari kampanye ini adalah untuk mencuri kredensial dan informasi pribadi lainnya dan menginstal muatan tambahan ke sistem yang disusupi.

Menurut peneliti di Proofpoint yang telah mengikuti kampanye ini, kemunculan kembali ini bermanifestasi melalui dua rangkaian aktivitas yang berbeda, dengan infrastruktur C2 terpisah, muatan, dan tema iming-iming.

Ini juga dapat menunjukkan bahwa malware digunakan oleh dua aktor berbeda, satu terkait dengan aktor TinyNuke awal dan satu terkait dengan aktor yang biasanya menggunakan alat komoditas.

Aktor tersebut mengkompromikan situs web Prancis yang sah untuk meng-host URL payload, sementara yang dapat dieksekusi disamarkan sebagai perangkat lunak yang tidak berbahaya.

Dalam hal kemampuan, payload TinyNuke dapat mencuri kredensial dengan kemampuan mengambil formulir dan kemampuan web-inject untuk Firefox, Internet Explorer, dan Chrome, dan juga dapat memasang muatan tambahan.

Sangat penting untuk tetap waspada dan menghindari mengklik tombol tersemat yang mengarah ke situs yang menghosting executable terkompresi berbahaya.

Karena situs-situs ini dinyatakan sah, solusi keamanan Internet Anda mungkin tidak menimbulkan tanda apa pun, jadi disarankan untuk sangat berhati-hati.

Selengkapnya: Bleeping Computer

KMSPico Windows Activator Berbahaya Mencuri Dompet Cryptocurrency Pengguna

December 8, 2021 by Winnie the Pooh

Pengguna yang ingin mengaktifkan Windows tanpa menggunakan lisensi digital atau product key sedang ditargetkan oleh installer berbahaya untuk menyebarkan malware yang dirancang untuk mencuri kredensial dan informasi lainnya di dompet cryptocurrency.

Malware, yang dijuluki sebagai “CryptBot,” adalah pencuri informasi yang mampu memperoleh kredensial untuk browser, dompet cryptocurrency, cookie browser, kartu kredit, dan menangkap tangkapan layar dari sistem yang terinfeksi. Disebarkan melalui software bajakan, serangan terbaru melibatkan malware yang menyamar sebagai KMSPico.

KMSPico adalah alat tidak resmi yang digunakan untuk mengaktifkan fitur lengkap salinan perangkat lunak bajakan seperti Microsoft Windows dan Office suite tanpa benar-benar memiliki kunci lisensi.

“Pengguna terinfeksi dengan mengklik salah satu tautan berbahaya dan mengunduh KMSPico, Cryptbot, atau malware lain tanpa KMSPico,” kata peneliti Red Canary Tony Lambert dalam laporan yang diterbitkan minggu lalu. “Penyerang akan menginstal KMSPico juga, karena itulah yang diharapkan korban terjadi, sambil secara bersamaan menyebarkan Cryptbot di belakang layar.”

Perusahaan keamanan siber Amerika mengatakan juga mengamati beberapa departemen TI menggunakan perangkat lunak tidak sah alih-alih lisensi Microsoft yang valid untuk mengaktifkan sistem, ditambah installer KMSpico yang diubah didistribusikan melalui sejumlah situs web yang mengklaim menawarkan versi “resmi” dari aktivator.

Selengkapnya: The Hacker News

Peretas mengeksploitasi bug Microsoft MSHTML untuk mencuri kredensial Google, Instagram

November 25, 2021 by Winnie the Pooh

Seorang aktor ancaman Iran yang baru ditemukan mencuri kredensial Google dan Instagram milik target berbahasa Farsi di seluruh dunia menggunakan stealer berbasis PowerShell baru yang dijuluki PowerShortShell oleh peneliti keamanan di SafeBreach Labs.

Info stealer juga digunakan untuk pengawasan Telegram dan mengumpulkan informasi sistem dari perangkat yang disusupi yang dikirim ke server yang dikendalikan penyerang bersama dengan kredensial yang dicuri.

Seperti yang ditemukan oleh SafeBreach Labs, serangan (dilaporkan secara publik pada bulan September di Twitter oleh Shadow Chaser Group) dimulai pada bulan Juli sebagai email spear-phishing.

Mereka menargetkan pengguna Windows dengan lampiran Winword berbahaya yang mengeksploitasi bug eksekusi kode jarak jauh (RCE) Microsoft MSHTML yang dilacak sebagai CVE-2021-40444.

Payload stealer PowerShortShell dijalankan oleh DLL yang diunduh pada sistem yang disusupi. Setelah diluncurkan, skrip PowerShell mulai mengumpulkan data dan cuplikan layar, memindahkannya ke server perintah-dan-kontrol penyerang.

“Hampir setengah dari korban berada di Amerika Serikat. Berdasarkan konten dokumen Microsoft Word – yang menyalahkan pemimpin Iran atas ‘pembantaian Corona’ dan sifat data yang dikumpulkan, kami berasumsi bahwa para korban mungkin adalah orang Iran yang tinggal di luar negeri. dan mungkin dilihat sebagai ancaman bagi rezim Islam Iran,” kata Tomer Bar, Direktur Riset Keamanan di SafeBreach Labs.

Selengkapnya: Bleeping Computer

Pengembang malware menginfeksi PC sendiri dan data berakhir di platform intel

August 18, 2021 by Winnie the Pooh

Seorang pengembang malware melepaskan kreasi mereka di sistem mereka untuk mencoba fitur baru dan data tersebut berakhir di platform intelijen kejahatan dunia maya, memperlihatkan sekilas upaya kejahatan dunia maya.

Pelaku ancaman adalah pengembang Raccoon, pencuri informasi yang dapat mengumpulkan data dari lusinan aplikasi dan semakin populer selama dua tahun terakhir.

Saat menguji varian stealer, pengembang Raccoon menginfeksi sistem mereka sendiri, sebuah langkah yang segera memicu data mengalir ke server command and control (C2) dan selanjutnya, ke forum cybercrime.

Sistem pengujian yang terinfeksi oleh pengembang Raccoon ditemukan melalui platform Cavalier Hudson Rock, database intelijen kejahatan dunia maya yang memantau mesin yang disusupi.

Alon Gal, salah satu pendiri dan Chief Technology Officer Hudson Rock, mengatakan bahwa infostealer Raccoon memiliki lebih dari satu juta sistem yang disusupi yang dilacak melalui Cavalier.

Peneliti mengatakan kepada BleepingComputer bahwa pengembang infostealer Raccoon menginfeksi mesin mereka pada bulan Februari tetapi tidak diketahui karena tidak menarik karena itu bukan mesin milik klien perusahaan.

Data yang dikumpulkan dari sistem yang terinfeksi sendiri menunjukkan bahwa pengembang menguji kemampuan malware untuk mengekstrak kata sandi dari Google Chrome, atribut penting untuk pencuri informasi apa pun.

Informasi tambahan yang diambil dari komputer uji Raccoon mengungkapkan nama dan beberapa alamat email yang terkait dengan malware.

Sayangnya, detailnya tidak cukup untuk menentukan identitas pengembang Raccoon. Gal mengatakan bahwa pembuat malware “kemungkinan menginfeksi [mesin] dengan sengaja” dan cukup berhati-hati untuk menghapus detail yang dapat mengungkapkan siapa mereka sebelum meluncurkan malware.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Information Stealer

Cookies Settings