Malware

Malware AI Mengembangkan Masalah Keamanan, survei CyberArk menemukan

June 15, 2023 by Mally

Sebuah laporan global baru oleh perusahaan keamanan siber CyberArk mengungkapkan bahwa pertemuan antara kondisi ekonomi yang menantang dan inovasi teknologi yang cepat, termasuk munculnya kecerdasan buatan (AI), memperluas lanskap ancaman keamanan siber yang dipimpin oleh identitas.

CyberArk 2023 Identity Security Threat Landscape Report, ditugaskan oleh CyberArk dan dilakukan oleh firma riset pasar Vanson Bourne, mensurvei 2.300 pembuat keputusan keamanan siber di seluruh organisasi sektor swasta dan publik dengan 500 karyawan ke atas di 16 negara. Ditemukan bahwa hampir semua organisasi — 99,9% — mengantisipasi kompromi terkait identitas tahun ini, karena faktor-faktor seperti pemotongan ekonomi, masalah geopolitik, adopsi cloud, dan kerja hybrid.

Ancaman yang diaktifkan oleh AI adalah masalah yang signifikan, dengan 93% profesional keamanan yang disurvei memperkirakan ancaman tersebut akan berdampak pada organisasi mereka pada tahun 2023. Malware bertenaga AI disebut-sebut sebagai perhatian utama.

Enam puluh delapan persen organisasi mengharapkan masalah keamanan siber didorong oleh churn karyawan pada tahun 2023.

Laporan tersebut juga mengungkapkan bahwa organisasi berencana untuk menerapkan 68% lebih banyak alat software-as-a-service (SaaS) dalam 12 bulan ke depan. Karena sebagian besar identitas manusia dan mesin memiliki akses ke data sensitif melalui alat ini, jika tidak diamankan dengan baik, mereka dapat menjadi gerbang serangan.

Delapan puluh sembilan persen organisasi mengalami serangan ransomware dalam satu tahun terakhir, dengan 60% organisasi yang terkena dampak melaporkan melakukan pembayaran berkali-kali untuk pulih dari serangan ini.

Sektor energi, minyak, dan gas tampak sangat rentan, dengan 67% perusahaan di industri ini berharap mereka tidak akan dapat menghentikan atau bahkan mendeteksi serangan yang berasal dari rantai pasokan perangkat lunak mereka.

Area penting dari lingkungan TI tidak cukup terlindungi, dan tipe identitas tertentu menunjukkan risiko yang signifikan. Misalnya, 63% responden mengatakan bahwa akses karyawan dengan sensitivitas tertinggi tidak cukup aman.

sumber : venturebeat.com

Penjahat Siber Menggunakan Mesin BatCloak yang Kuat untuk Membuat Malware Sepenuhnya Tidak Terdeteksi

June 13, 2023 by Mally

Mesin obfuscation malware yang sepenuhnya tidak terdeteksi (FUD), BatCloak, digunakan untuk menyebarkan berbagai jenis malware sejak September 2022, sambil terus menghindari deteksi antivirus.

Mesin BatCloak membentuk inti dari alat pembuat file batch siap pakai yang disebut Jlaive, dengan kemampuan mem-bypass Antimalware Scan Interface (AMSI) serta mengompres dan mengenkripsi muatan utama untuk mencapai penghindaran keamanan yang lebih tinggi.

Peneliti Trend Micro mengatakan bahwa sampel memberikan kemampuan pada aktor ancaman untuk memuat banyak keluarga malware dan mengeksploitasi dengan mudah melalui file batch yang sangat disamarkan.

Sekitar 79,6% dari total 784 artefak yang digali tidak memiliki deteksi di semua solusi keamanan.

Alat open-source telah diiklankan sebagai “EXE to BAT crypter”. Sejak itu telah dikloning dan dimodifikasi oleh aktor lain dan dipindahkan ke bahasa seperti Rust.

Payload terakhir dienkapsulasi menggunakan tiga lapisan pemuat, yaitu pemuat C#, PowerShell, dan batch. Pemuat batch berisi pemuat PowerShell yang disamarkan dan biner rintisan C# terenkripsi.

Peneliti Peter Girnus dan Aliakbar Zahravi mengatakan bahwa pada akhirnya, Jlaive menggunakan BatCloak sebagai mesin kebingungan file untuk mengaburkan pemuat batch dan menyimpannya di disk.

BatCloak telah menerima banyak pembaruan dan adaptasi. ScrubCrypt, versi terbarunya yang pertama kali disorot oleh Fortinet FortiGuard Labs sehubungan dengan operasi cryptojacking yang dilakukan oleh 8220 Gang. ScrubCrypt dirancang agar dapat dioperasikan dengan berbagai keluarga malware terkenal.

ScrubCrypt dapat dikaitkan dengan pencapaian proyek seperti Jlaive, serta keinginan untuk memonetisasi proyek dan melindunginya terhadap replikasi yang tidak sah.

Para peneliti menyimpulkan bahwa evolusi BatCloak menggarisbawahi fleksibilitas dan kemampuan beradaptasi dari mesin ini dan menyoroti pengembangan obfuscator batch FUD, menunjukkan kehadiran teknik tersebut di lanskap ancaman modern.

Selengkapnya: The Hacker News

Malware QBot Menyalahgunakan Windows WordPad EXE untuk Menginfeksi Perangkat

May 29, 2023 by Mally

Operasi malware QBot telah mulai menyalahgunakan cacat pembajakan DLL di program WordPad Windows 10 untuk menginfeksi komputer, menggunakan program yang sah untuk menghindari deteksi oleh perangkat lunak keamanan.

DLL adalah file pustaka yang berisi fungsi-fungsi yang dapat digunakan oleh lebih dari satu program pada saat yang bersamaan. Saat aplikasi diluncurkan, aplikasi akan mencoba memuat DLL apa pun yang diperlukan.

Pembajakan DLL adalah saat pelaku ancaman membuat DLL berbahaya dengan nama yang sama dengan yang sah, dan menempatkannya di jalur pencarian awal Windows, biasanya folder yang sama dengan file yang dapat dieksekusi. Ketika executable itu diluncurkan, itu akan memuat DLL malware daripada yang sah dan menjalankan perintah berbahaya apa pun di dalamnya.

QBot menyalahgunakan kelemahan pembajakan WordPad DLL. QBot atau Qakbot sendiri merupakan malware Windows yang awalnya dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware.

Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, telah bermitra dengan operasi malware untuk mendapatkan akses awal ke jaringan perusahaan untuk melakukan serangan pemerasan.

Properti file document.exe, ini hanyalah salinan nama dari file yang dapat dieksekusi Write.exe yang sah yang digunakan untuk meluncurkan editor dokumen Windows 10 WordPad.

Berganti nama Windows 10 WordPad dapat dieksekusi
(Sumber: BleepingComputer)

QBot akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing lebih lanjut dan akhirnya mengunduh muatan lain, seperti Cobalt Strike.

Dengan menginstal QBot melalui program tepercaya seperti Windows 10 WordPad (write.exe), pelaku ancaman berharap perangkat lunak keamanan tidak menandai malware sebagai berbahaya.

Saat ini, operasi QBot telah beralih ke metode infeksi lain dalam beberapa minggu terakhir, tetapi tidak jarang mereka beralih ke taktik sebelumnya dalam kampanye selanjutnya.

Selengkapnya: BleepingComputer

Malware Legion memperluas cakupan untuk menargetkan alat pemantauan AWS CloudWatch

May 26, 2023 by Mally Leave a Comment

Pembaruan terbaru Legion, terutama penargetan AWS CloudWatch, mewakili evolusi yang mengkhawatirkan dalam kemampuan alat peretasan ini, kata Ani Chaudhuri, CEO Dasera. Chaudhuri mengatakan perkembangan ini menandakan perluasan cakupan penjahat dunia maya: mereka memanfaatkan server web yang salah konfigurasi untuk mencuri kredensial dan memperluas jangkauan mereka untuk memanipulasi layanan cloud.

Chaudhuri menjelaskan bahwa AWS CloudWatch beroperasi sebagai layanan pemantauan untuk sumber daya dan aplikasi cloud. Jika peretas mendapatkan akses tidak sah ke sana, mereka dapat mengganggu wawasan operasional, berpotensi menyebabkan gangguan yang signifikan atau bahkan pelanggaran.

Joseph Carson, kepala ilmuwan keamanan dan Penasihat CISO di Delinea, menambahkan bahwa saat organisasi memindahkan aplikasi dan sistem lama ke infrastruktur cloud, mereka masih berjuang dengan kesalahan konfigurasi yang mengekspos lingkungan cloud, menjadikan mereka sasaran empuk bagi penjahat dunia maya.

selengkapnya : scmagazine.com

Linux Menonaktifkan PCID Untuk Intel Alder Lake & Raptor Lake Karena Masalah Dengan INVLPG

May 24, 2023 by Mally

Awal bulan ini Departemen Kehakiman AS mengumumkan National Security Agency (NSA), bersama dengan lembaga lain, telah berhasil mengidentifikasi infrastruktur untuk malware Snake, yang telah digunakan oleh Layanan Keamanan Federal Federasi Rusia (FSB) untuk mengorbankan organisasi di seluruh dunia. Amerika Serikat dan di seluruh dunia selama hampir 20 tahun.

Menurut rilis tersebut, operasi resmi pengadilan, dengan nama kode MEDUSA, mengganggu jaringan komputer peer-to-peer global yang dikompromikan oleh malware canggih, yang disebut “Snake”. Selama hampir 20 tahun, versi malware Snake digunakan untuk mencuri dokumen sensitif dari ratusan sistem komputer di setidaknya 50 negara, yang dimiliki oleh pemerintah anggota Organisasi Perjanjian Atlantik Utara (NATO), jurnalis, dan target lain yang menarik bagi Rusia. Federasi.

solusi keamanan siber dibangun untuk perlindungan di lapisan eksternal, tetapi lanskap yang begitu luas menyisakan terlalu banyak celah untuk ditembus oleh penjahat dunia maya. Pelaku ancaman berada beberapa langkah di depan dan terus mengembangkan teknologi dan model bisnis mereka untuk melewati pertahanan perangkat lunak. Oleh karena itu, solusi keamanan perangkat lunak mengalami kesulitan untuk mengidentifikasi ancaman yang baru dimodifikasi dan data rahasia tetap berisiko. Organisasi perlu berpikir di luar kotak – masukkan perlindungan tingkat firmware, cara untuk meningkatkan keamanan siber ke tingkat berikutnya.

Tahap selanjutnya dari perlindungan keamanan siber holistik harus menggabungkan perangkat keras dan solusi tersemat ke dalam keseluruhan infrastruktur untuk menghentikan peretas di jalur mereka dalam lingkungan yang kecil, tersegel, dan direkayasa sepenuhnya pada tingkat penyimpanan data.

selengkapnya : securitymagazine.com

Pembaruan sistem palsu menjatuhkan pencuri Aurora melalui pemuat Printer Tidak Valid

May 12, 2023 by Mally

Malvertising tampaknya menikmati kebangkitan akhir-akhir ini, apakah itu dari iklan di halaman hasil mesin pencari atau melalui situs web populer. Karena browser saat ini lebih aman daripada 5 atau 10 tahun yang lalu, serangan yang kita lihat semuanya melibatkan beberapa bentuk rekayasa sosial.

Pelaku ancaman menggunakan iklan berbahaya untuk mengalihkan pengguna ke sesuatu yang tampak seperti pembaruan keamanan Windows. Skema ini dirancang dengan sangat baik karena mengandalkan browser web untuk menampilkan animasi layar penuh yang sangat mirip dengan apa yang Anda harapkan dari Microsoft.

Pembaruan keamanan palsu menggunakan loader yang baru diidentifikasi yang pada saat kampanye tidak menyadari kotak pasir malware dan melewati hampir semua mesin antivirus. Kami menulis alat untuk ‘menambal’ loader ini dan mengidentifikasi muatan sebenarnya sebagai pencuri Aurora. Dalam postingan blog ini, kami merinci temuan kami dan bagaimana kampanye ini terhubung dengan serangan lain.

Dalam kampanye malvertising khusus ini, muatan yang digunakan adalah Aurora Stealer, malware populer yang dirancang untuk mengambil kredensial dari sistem.

Malwarebytes menghapus semua sisa ransomware dan mencegah Anda terinfeksi ulang. Ingin mempelajari lebih lanjut tentang bagaimana kami dapat membantu melindungi bisnis Anda? Dapatkan uji coba gratis di bawah ini.

selengkapnya : malwarebytes.com

Juataan Ponsel sudah Terinfeksi Malware, Kata Para Peneliti

May 12, 2023 by Mally

Penjahat telah menginfeksi jutaan Android di seluruh dunia dengan firmware jahat bahkan sebelum perangkat dikirim dari pabrik mereka, menurut peneliti Trend Micro di Black Hat Asia.

Perangkat keras ini sebagian besar adalah perangkat seluler Android murah, meskipun jam tangan pintar, TV, dan hal-hal lain terperangkap di dalamnya.

Pembuatan gadget tersebut dialihdayakan ke produsen peralatan asli (OEM). Pengalihdayaan itu memungkinkan seseorang di jalur manufaktur – seperti pemasok firmware – untuk menginfeksi produk dengan kode berbahaya saat dikirimkan, kata para peneliti.

Ini sudah berlangsung cukup lama, menurut kami; misalnya, kami menulis tentang sakit kepala serupa di tahun 2017. Orang-orang Trend Micro mencirikan ancaman saat ini sebagai “masalah yang berkembang bagi pengguna dan perusahaan biasa”. Jadi, anggap ini sebagai pengingat dan peringatan sekaligus.

Penyisipan malware ini dimulai saat harga firmware ponsel turun, kami diberi tahu. Persaingan antara distributor firmware menjadi sangat sengit sehingga akhirnya penyedia tidak dapat memungut biaya untuk produk mereka.

“Tapi tentu saja tidak ada yang gratis,” kata Yarochkin, yang menjelaskan bahwa, sebagai akibat dari situasi yang sulit ini, firmware mulai hadir dengan fitur yang tidak diinginkan – plugin senyap. Tim menganalisis lusinan gambar firmware untuk mencari perangkat lunak berbahaya. Mereka menemukan lebih dari 80 plugin berbeda, meskipun banyak di antaranya tidak didistribusikan secara luas.

Plugin yang paling berdampak adalah yang memiliki model bisnis yang dibangun di sekitarnya, dijual di bawah tanah, dan dipasarkan secara terbuka di tempat-tempat seperti Facebook, blog, dan YouTube.

selengkapnya : theregister.com

Microsoft mengeluarkan perbaikan opsional untuk Secure Boot zero-day yang digunakan oleh malware

May 10, 2023 by Mally

Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan Secure Boot zero-day yang dieksploitasi oleh malware BlackLotus UEFI untuk menginfeksi sistem Windows yang telah ditambal sepenuhnya.

Secure Boot adalah fitur keamanan yang memblokir bootloader yang tidak dipercaya oleh OEM pada komputer dengan firmware Unified Extensible Firmware Interface (UEFI) dan chip Trusted Platform Module (TPM) untuk mencegah rootkit memuat selama proses startup.

Menurut posting blog Microsoft Security Response Center, kelemahan keamanan (dilacak sebagai CVE-2023-24932) digunakan untuk mem-bypass patch yang dirilis untuk CVE-2022-21894, bug Boot Aman lainnya yang disalahgunakan dalam serangan BlackLotus tahun lalu.

Semua sistem Windows yang mengaktifkan perlindungan Boot Aman dipengaruhi oleh kelemahan ini, termasuk perangkat lokal, mesin virtual, dan berbasis cloud.

Namun, patch keamanan CVE-2023-24932 yang dirilis hari ini hanya tersedia untuk versi Windows 10, Windows 11, dan Windows Server yang didukung.

Untuk menentukan apakah perlindungan Boot Aman diaktifkan di sistem Anda, Anda dapat menjalankan perintah msinfo32 dari prompt perintah Windows untuk membuka aplikasi Informasi Sistem.

Secure Boot diaktifkan jika Anda melihat pesan “Secure Boot State ON” di sisi kiri jendela setelah memilih “System Summary.”

selengkapnya : bleepingcomputer.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings