Keamanan Siber

Trojan perbankan SharkBot ditemukan di aplikasi antivirus Play Store

March 7, 2022 by Winnie the Pooh

Trojan perbankan akses jarak jauh, SharkBot, pertama kali terlihat pada Oktober 2021. Peneliti keamanan di Cleafy menemukannya dan menyimpulkan bahwa itu adalah satu-satunya, tanpa koneksi ke malware seperti TeaBot atau Xenomorph — dan memiliki beberapa fungsi yang sangat canggih dan berbahaya.

Satu, Sistem Transfer Otomatis (ATS), adalah fungsi baru di Android dan memungkinkan penyerang memindahkan uang secara otomatis dari rekening korban, tanpa perlu campur tangan manusia. Dan seperti yang ditemukan oleh peneliti keamanan TI Inggris, SharkBot yang diperbarui bersembunyi di dalam aplikasi antivirus yang tampak tidak bersalah yang masih tersedia di Google Play Store pada hari Sabtu.

Para peneliti dari NCC Group menerbitkan laporan awal pekan ini yang merinci cara kerja SharkBot dan bagaimana akhirnya melewati langkah-langkah keamanan Play Store.

Aplikasi berbahaya ini berfungsi seperti pil racun tiga lapis, dengan satu lapisan menyamar sebagai antivirus dan lapisan kedua sebagai versi SharkBot yang diperkecil yang kemudian diperbarui dengan mengunduh versi malware yang sepenuhnya berbahaya. Saat itulah ia bekerja menggunakan berbagai taktik untuk menjarah rekening bank korban.

Menurut NCC, SharkBot dapat melakukan “serangan overlay” saat mendeteksi aplikasi perbankan yang aktif. SharkBot memunculkan layar yang terlihat seperti bank yang dimaksud, bersiap untuk mendapatkan kredensial login yang Anda berikan. Malware ini bahkan dapat membajak notifikasi yang masuk dan mengirimkan pesan yang berasal dari perintah dan kontrol penyerang. Pada akhirnya, SharkBot dapat menggunakan metode ini untuk mengambil alih smartphone Android sepenuhnya.

Untungnya, aplikasi berbahaya ini belum menyebar lebih dari 1.000 unduhan — sejauh ini. Namun, jika Anda telah mengunduh “Antivirus, Super Cleaner” palsu dari Play Store, segera hapus dan pertimbangkan kemungkinan Anda perlu mereset ponsel Anda sepenuhnya.

Sumber: Android Police

Eksploitasi Log4shell sekarang sebagian besar digunakan untuk botnet DDoS, cryptominers

March 3, 2022 by Winnie the Pooh

Kerentanan Log4Shell dalam perangkat lunak Log4j yang banyak digunakan masih dimanfaatkan oleh aktor ancaman saat ini untuk menyebarkan berbagai muatan malware, termasuk merekrut perangkat sebagai botnet DDoS dan untuk menanam cryptominers.

Menurut sebuah laporan oleh Barracuda, beberapa bulan terakhir ditandai dengan penurunan dan lonjakan penargetan Log4Shell, tetapi volume upaya eksploitasi tetap relatif konstan.

Setelah menganalisis serangan ini, Barracuda menetapkan bahwa sebagian besar upaya eksploitasi berasal dari alamat IP yang berbasis di AS, diikuti oleh Jepang, Eropa tengah, dan Rusia.

Peneliti Barracuda telah melihat berbagai muatan yang menargetkan penyebaran Log4j yang rentan, tetapi turunan botnet Mirai tampaknya mengambil bagian terbesar saat ini.

Pada Desember 2021, para peneliti menemukan Log4j versi 2.14.1 dan semua versi sebelumnya rentan terhadap CVE-2021-44228, dijuluki “Log4Shell,” kesalahan eksekusi kode jarak jauh nol hari yang kritis.

Apache, pengembang Log4j, mencoba menyelesaikan masalah dengan merilis versi 2.15.0. Namun, penemuan kerentanan dan celah keamanan berikutnya memperpanjang perlombaan penambalan hingga akhir tahun, ketika versi 2.17.1 akhirnya mengatasi semua masalah.

Namun, menurut Barracuda, banyak sistem terus menjalankan versi lama Log4j dan dengan demikian rentan terhadap eksploitasi.

Cara paling sederhana untuk melindungi dari jenis serangan ini adalah dengan memperbarui Log4j ke versi 2.17.1 atau yang lebih baru dan selalu memperbarui semua aplikasi web Anda secara umum.

Selengkapnya: Bleeping Computer

Malware TeaBot menyelinap kembali ke Google Play Store untuk menargetkan pengguna AS

March 3, 2022 by Winnie the Pooh

Trojan perbankan TeaBot terlihat sekali lagi di Google Play Store di mana ia menyamar sebagai aplikasi kode QR dan menyebar ke lebih dari 10.000 perangkat.

Ini adalah trik yang digunakan distributor sebelumnya, pada bulan Januari, dan meskipun Google menghapus entri ini, tampaknya malware masih dapat menemukan jalan ke repositori aplikasi Android resmi.

Menurut laporan dari Cleafy, sebuah perusahaan manajemen dan pencegahan penipuan online, aplikasi ini bertindak sebagai dropper. Mereka dikirimkan tanpa kode berbahaya dan meminta izin minimal, yang menyulitkan pengulas Google untuk menemukan sesuatu yang mencurigakan.

Selain itu, aplikasi ini menyertakan fungsionalitas yang dijanjikan, sehingga ulasan pengguna di Play Store bersifat positif.

Dalam versi yang beredar di Play Store pada Januari 2021, dianalisis oleh Bitdefender, TeaBot tidak akan muncul jika mendeteksi lokasi korban di Amerika Serikat.

Sekarang, TeaBot secara aktif menargetkan pengguna di AS dan juga menambahkan bahasa Rusia, Slovakia, dan Cina, yang menunjukkan bahwa malware mengincar kumpulan korban global.

Untuk meminimalkan kemungkinan infeksi dari trojan perbankan bahkan saat menggunakan Play Store sebagai sumber aplikasi eksklusif Anda, pertahankan jumlah aplikasi yang diinstal pada perangkat Anda seminimal mungkin.

Juga, setiap kali Anda menginstal aplikasi baru di perangkat Anda, pantau konsumsi baterai dan volume lalu lintas jaringannya selama beberapa hari pertama untuk menemukan pola yang mencurigakan.

Selengkapnya: Bleeping Computer

Malware Daxin Yang Memiliki Kaitan Dengan China Menargetkan Beberapa Pemerintah Dalam Serangan Spionase

March 2, 2022 by Winnie the Pooh

Malware Daxin menargetkan jaringan pemerintah di seluruh dunia, menurut para peneliti, dengan tujuan spionase siber.

Tim Symantec Threat Hunter Broadcom menggambarkan backdoor, bernama Daxin, sebagai malware berteknologi canggih, yang memungkinkan penyerang melakukan berbagai komunikasi dan operasi pengumpulan informasi yang ditujukan untuk entitas di sektor telekomunikasi, transportasi, dan manufaktur yang memiliki kepentingan strategis bagi China.

Mereka menambahkan bahwa lingkup operasi spesifik Daxin termasuk membaca dan menulis file; memulai dan berinteraksi dengan proses di sistem yang terpengaruh; dan kemampuan gerakan lateral dan bersembunyi yang canggih.

“Malware Daxin adalah backdoor rootkit yang sangat canggih dengan fungsi command-and-control (C2) yang kompleks dan tersembunyi yang memungkinkan aktor jarak jauh untuk berkomunikasi dengan perangkat aman yang tidak terhubung langsung ke internet,” CISA memperingatkan dalam peringatan yang dirilis hari Senin.

Dari sudut pandang teknis, Daxin mengambil bentuk driver kernel Windows, menurut analisis Symantec yang dirilis pada hari Senin, dan memiliki fokus untuk bersembunyi.

“Kemampuan Daxin menunjukkan para penyerang menginvestasikan upaya signifikan dalam mengembangkan teknik komunikasi yang dapat berbaur dengan lalu lintas jaringan normal di jaringan target,” kata Symantec. “Secara khusus, malware menghindari memulai layanan jaringannya sendiri. Sebaliknya, malware dapat menyalahgunakan layanan sah apa pun yang sudah berjalan di komputer yang terinfeksi.”

Daxin berkomunikasi dengan layanan yang sah melalui tunneling jaringan, tambah mereka – dan selanjutnya, dapat mengatur komunikasi daisy-chain, untuk bergerak secara internal melalui hop antara beberapa komputer yang terhubung.

Di antara aspek yang tidak biasa dari Daxin adalah kemampuannya untuk menyampaikan perintah di seluruh jaringan komputer yang terinfeksi dalam organisasi yang diserang, menciptakan “saluran komunikasi multi-node” yang memungkinkan akses berulang ke komputer yang disusupi untuk waktu yang lama.

Selengkapnya: Threat Post

Microsoft Patch Tuesday Bulaan Februari 2022 Memperbaiki 48 Kelemahan, 1 zero-day

February 9, 2022 by Winnie the Pooh

Microsoft telah merilis Patch Tuesday bulan Februari 2022, dan dengan itu datang perbaikan untuk satu kerentanan zero-day dan total 48 kelemahan.

Microsoft telah memperbaiki 48 kerentanan (tidak termasuk 22 kerentanan Microsoft Edge) dengan pembaruan hari ini, tanpa ada satupun yang diklasifikasikan sebagai Kritis.

Patch Tuesday bulan ini juga mencakup perbaikan untuk satu kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak ada kerentanan zero-day yang dieksploitasi secara aktif dalam serangan dari Patch Tuesday kali ini.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday bulan Februari 2022 adalah:

CVE-2022-21989 – Peningkatan Kerentanan Hak Istimewa Kernel Windows

Namun, karena banyak dari ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Sumber: Bleeping Computer

File PowerPoint Disalahgunakan untuk Mengambil alih Komputer

February 4, 2022 by Winnie the Pooh

Penyerang menggunakan file PowerPoint di bawah radar untuk menyembunyikan executable berbahaya yang dapat menulis ulang pengaturan registri Windows untuk mengambil alih komputer korban, menurut temuan para peneliti.

Ini adalah salah satu dari sejumlah cara tersembunyi yang dilakukan pelaku ancaman baru-baru ini untuk menargetkan pengguna desktop melalui aplikasi tepercaya yang mereka gunakan setiap hari, menggunakan email yang dirancang untuk menghindari deteksi keamanan dan tampak sah.

Penelitian baru dari Avanan, sebuah perusahaan Check Point, telah mengungkap bagaimana “add on yang tidak banyak diketahui” di PowerPoint – file .ppam – digunakan untuk menyembunyikan malware. Jeremy Fuchs, peneliti dan analis keamanan siber di Avanan, menulis dalam sebuah laporan yang diterbitkan Kamis bahwa file tersebut memiliki perintah bonus dan makro khusus, di antara fungsi lainnya.

Untuk menghindari penipuan email melewati pengguna korporat, Fuchs merekomendasikan beberapa tindakan pencegahan tipikal kepada administrator keamanan yang harus diterapkan secara konsisten.

Salah satunya adalah menginstal perlindungan email yang mengunduh semua file ke dalam sandbox dan memeriksanya untuk konten berbahaya. Cara lainnya adalah mengambil langkah keamanan ekstra – seperti menganalisis email secara dinamis untuk indikator kompromi (IoCs) – untuk memastikan keamanan pesan yang masuk ke jaringan perusahaan, katanya.

Perusahaan juga harus terus mendorong pengguna akhir di jaringan mereka untuk menghubungi departemen TI mereka jika mereka melihat file yang tidak dikenal datang melalui email, tambahnya.

Selengkapnya: Threat Post

Ransomware BlackCat Melambung ke Puncak

February 2, 2022 by Winnie the Pooh

BlackCat RaaS, juga dikenal sebagai ALPHV, pertama kali muncul pada pertengahan November dan sudah terbukti kecanggihannya. Itu menjadi geng ransomware profesional pertama yang menggunakan malware berbasis Rust. Sekarang, grup agresif ini sedang menuju puncak, dan mari kita lihat apa yang terjadi.

Unit 42 menyatakan bahwa BlackCat naik ke posisi ketujuh dalam peringkat kelompok ransomware global. Pemeringkatan ini didasarkan pada jumlah korban yang terdaftar di situs kebocoran data grup. Dalam waktu kurang dari sebulan, geng tersebut telah mengumpulkan lebih dari selusin korban yang berlokasi di AS, Jerman, Belanda, Prancis, Spanyol, dan Filipina.

Laporan lain oleh Sentinel Labs menyatakan bahwa kelompok tersebut telah menargetkan organisasi di India dan Australia, dan menuntut pembayaran tebusan antara $400.000 dan $3.000.000 dalam bentuk Bitcoin atau Monero.

Berbagai alasan dapat menjadi faktor dalam munculnya ALPHV RaaS. Beberapa dianataranya adalah:

Pemasaran yang efektif untuk afiliasi adalah salah satu alasan utama. Geng meminta afiliasi di forum web gelap populer dan membiarkan mereka menyimpan 80–90% dari pembayaran tebusan.
Dengan menggunakan bahasa pemrograman Rust, para pengembang dapat dengan mudah mengkompilasi malware terhadap OS apapun. Menjadi sangat dapat disesuaikan, Rust memungkinkan penyerang untuk mengindividualisasikan serangan.
Varonis menemukan bahwa BlackCat secara aktif merekrut mantan operator dari REvil, DarkSide, dan BlackMatter. Mereka mewawancara dan memeriksa afiliasi sebelum menambahkan mereka ke dalam grup.

Cyware Social

File teks CSV berbahaya yang digunakan untuk menginstal malware BazarBackdoor

February 2, 2022 by Winnie the Pooh

Kampanye phishing baru menggunakan file teks CSV yang dibuat khusus untuk menginfeksi perangkat pengguna dengan malware BazarBackdoor.

File comma-separated values (CSV) adalah file teks yang berisi baris teks dengan kolom data yang dipisahkan oleh koma. Dalam banyak kasus, baris pertama teks adalah header, atau deskripsi, untuk setiap kolom.

Menggunakan CSV adalah metode populer untuk mengekspor data dari aplikasi yang kemudian dapat diimpor ke program lain sebagai sumber data, baik itu Excel, database, pengelola kata sandi, atau perangkat lunak penagihan.

Microsoft Excel memiliki fitur yang disebut Dynamic Data Exchange (DDE), yang dapat digunakan untuk menjalankan perintah yang outputnya dimasukkan ke dalam spreadsheet yang terbuka, termasuk file CSV.

Sayangnya, pelaku ancaman juga dapat menyalahgunakan fitur ini untuk menjalankan perintah yang dapat mengunduh dan menginstal malware pada korban yang tidak menaruh curiga.

Kampanye phishing baru yang ditemukan oleh peneliti keamanan Chris Campbell menginstal trojan BazarLoader/BazarBackdoor melalui file CSV berbahaya.

Email phishing berpura-pura menjadi “Saran Pengiriman Uang” dengan tautan ke situs jarak jauh yang mengunduh file CSV dengan nama yang mirip dengan ‘document-21966.csv.’

Untungnya, ketika file CSV ini dibuka di Excel, program akan melihat panggilan DDE dan meminta pengguna untuk “mengaktifkan pembaruan tautan otomatis”, yang ditandai sebagai masalah keamanan.

Bahkan jika mereka mengaktifkan fitur tersebut, Excel akan menunjukkan kepada mereka prompt lain yang mengonfirmasi apakah WMIC harus diizinkan untuk mulai mengakses data jarak jauh.

Jika pengguna mengonfirmasi kedua perintah tersebut, Microsoft Excel akan meluncurkan skrip PowerShell, DLL akan diunduh dan dijalankan, dan BazarBackdoor akan diinstal pada perangkat.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Keamanan Siber

Cookies Settings