Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Peneliti Mengungkap APT Baru “Metador ” yang Menargetkan Telco, ISP, dan Universitas

by

Seorang aktor ancaman yang sebelumnya tidak terdokumentasi dengan asal tidak diketahui telah dikaitkan dengan serangan yang menargetkan telekomunikasi, penyedia layanan internet, dan universitas di berbagai negara di Timur Tengah dan Afrika.

“Operator sangat menyadari keamanan operasi, mengelola infrastruktur yang tersegmentasi dengan hati-hati per korban, dan dengan cepat menerapkan tindakan pencegahan yang rumit dengan adanya solusi keamanan,” kata peneliti dari SentinelOne dalam sebuah laporan baru.

Perusahaan keamanan siber menamai grup Metador dengan mengacu pada string “Saya meta” di salah satu sampel malware mereka dan karena respons bahasa Spanyol dari server command-and-control (C2).

Aktor ancaman dikatakan telah terutama berfokus pada pengembangan malware lintas platform dalam mengejar tujuan spionase. Keunggulan lain dari kampanye ini adalah jumlah gangguan yang terbatas dan akses jangka panjang ke target.

Ini termasuk dua platform malware Windows yang berbeda yang disebut metaMain dan Mafalda yang secara tegas dirancang untuk beroperasi di dalam memori dan menghindari deteksi. metaMain juga bertindak sebagai saluran untuk menyebarkan Mafalda, implan interaktif fleksibel yang mendukung 67 perintah.

metaMain, pada bagiannya, kaya fitur sendiri, memungkinkan musuh untuk mempertahankan akses jangka panjang, mencatat penekanan tombol, mengunduh dan mengunggah file arbitrer, dan mengeksekusi shellcode.

Sebagai tanda bahwa Mafalda secara aktif dikelola oleh pengembangnya, malware tersebut memperoleh dukungan untuk 13 perintah baru antara dua varian yang dikompilasi pada bulan April dan Desember 2021, menambahkan opsi untuk pencurian kredensial, pengintaian jaringan, dan manipulasi sistem file.

Selengkapnya: The Hacker News

Paket malware baru menyebar sendiri melalui video game YouTube

by

Bundel malware baru menggunakan saluran YouTube korban untuk mengunggah video tutorial berbahaya yang mengiklankan cheat dan crack palsu untuk video game populer untuk menyebarkan paket berbahaya lebih jauh.

Bundel malware yang menyebar sendiri telah dipromosikan di video YouTube yang menargetkan penggemar yang bermain FIFA, Final Fantasy, Forza Horizon, Lego Star Wars, dan Spider-Man.

Video yang diunggah ini berisi tautan untuk mengunduh crack dan cheat palsu, tetapi pada kenyataannya, mereka memasang bundel malware yang menyebar sendiri yang menginfeksi pengunggah.

Dalam laporan baru oleh Kaspersky, para peneliti menemukan arsip RAR yang berisi kumpulan malware, terutama RedLine, yang saat ini merupakan salah satu pencuri informasi yang paling banyak didistribusikan.

RedLine dapat mencuri informasi yang disimpan di browser web korban, seperti cookie, kata sandi akun, dan kartu kredit, mengakses percakapan instant messenger, dan membahayakan dompet cryptocurrency.

Selain itu, penambang disertakan dalam arsip RAR, mengambil keuntungan dari kartu grafis korban, yang kemungkinan besar mereka miliki karena mereka menonton video game di YouTube, untuk menambang cryptocurrency untuk penyerang.

Berkat utilitas Nirsoft NirCmd yang sah dalam bundel, bernama “nir.exe,” saat diluncurkan, semua yang dapat dieksekusi akan disembunyikan dan tidak menghasilkan jendela di antarmuka atau ikon bilah tugas apa pun, jadi semuanya tetap tersembunyi dari korban.

Infeksi yang dibundel dan yang dapat dieksekusi sendiri tidak terlalu menarik dan biasanya digunakan oleh aktor ancaman dalam kampanye distribusi malware lainnya.

Namun, Kaspersky menemukan mekanisme propagasi diri yang tidak biasa dan menarik yang bersembunyi di arsip yang memungkinkan malware menyebar sendiri ke korban lain di Internet.

Secara khusus, RAR berisi file batch yang menjalankan tiga executable berbahaya, yaitu “MakiseKurisu.exe”, “download.exe”, dan “upload.exe”, yang melakukan self-propagation bundel.

File yang terdapat dalam RAR (Kaspersky)

Yang pertama, MakiseKurisu, adalah versi modifikasi dari pencuri kata sandi C# yang tersedia secara luas, yang digunakan hanya untuk mengekstrak cookie dari browser dan menyimpannya secara lokal.

Eksekusi kedua, “download.exe”, digunakan untuk mengunduh video dari YouTube, yang merupakan salinan video yang mempromosikan bundel berbahaya.

Video diunduh dari tautan yang diambil dari repositori GitHub untuk menghindari mengarah ke URL video yang dilaporkan dan dihapus dari YouTube.

Video YouTube yang mempromosikan bundel malware (Kaspersky)

Akhirnya, “upload.exe” digunakan untuk mengunggah video yang mempromosikan malware ke YouTube, menggunakan cookie yang dicuri untuk masuk ke akun YouTube korban dan menyebarkan bundel melalui saluran mereka.

Code to upload the malicious videos (Kaspersky)

“Itu [upload.exe] menggunakan Puppiteer Node library, yang menyediakan API tingkat tinggi untuk mengelola Chrome dan Microsoft Edge menggunakan protokol DevTools,” jelas Kaspersky dalam laporannya.

“Ketika video berhasil diunggah ke YouTube, upload.exe mengirim pesan ke Discord dengan tautan ke video yang diunggah.”

Menghasilkan pemberitahuan Discord (Kaspersky)

Sementara pelaku ancaman mendapat informasi tentang unggahan baru, pemilik saluran kemungkinan tidak akan menyadari bahwa mereka mempromosikan perangkat lunak perusak di YouTube jika mereka tidak terlalu aktif di platform tersebut.

Metode distribusi agresif ini membuat pengawasan dan penghapusan di YouTube semakin sulit, karena video yang mengarah ke unduhan berbahaya diunggah dari akun yang kemungkinan memiliki catatan bersih yang sudah lama ada.

Sumber: Bleeping Computer

Malware tersembunyi baru yang menargetkan Linux

by

Malware Linux baru yang dikenal sebagai Shikitega telah ditemukan menginfeksi komputer dan perangkat IoT dengan muatan tambahan.

Malware ini mengeksploitasi kerentanan untuk meningkatkan hak istimewanya, menambahkan persistensi pada host melalui crontab, dan akhirnya meluncurkan penambang cryptocurrency pada perangkat yang terinfeksi.

Shikitega berhasil menghindari deteksi anti-virus menggunakan encoder polimorfik yang membuat deteksi statis berbasis tanda tangan menjadi tidak mungkin.

Para peneliti di AT&T mengatakan malware menggunakan rantai infeksi multi-langkah di mana setiap lapisan hanya mengirimkan beberapa ratus byte, mengaktifkan modul sederhana dan kemudian pindah ke yang berikutnya.

Infeksi dimulai dengan file ELF 370 byte, yang merupakan penetes yang berisi kode shell yang disandikan.

File ELF yang memulai rantai infeksi (AT&T)

Pengkodean dilakukan menggunakan enkoder umpan balik aditif XOR polimorfik ‘Shikata Ga Nai,’ yang sebelumnya dianalisis oleh Mandiant.

“Dengan menggunakan encoder, malware berjalan melalui beberapa loop decode, di mana satu loop mendecode lapisan berikutnya hingga payload shellcode terakhir didekodekan dan dieksekusi,” lanjut laporan tersebut.

Loop dekripsi Shikata Ga Nai (AT&T)

Setelah dekripsi selesai, shellcode dieksekusi untuk menghubungi command and control server (C2) malware dan menerima shellcode (perintah) tambahan yang disimpan dan dijalankan langsung dari memori.

Salah satu dari perintah ini mengunduh dan menjalankan ‘Mettle,’ muatan Metasploit Meterpreter kecil dan portabel yang memberi penyerang lebih jauh kendali jarak jauh dan opsi eksekusi kode pada host.

Mettle mengambil file ELF yang lebih kecil, yang mengeksploitasi CVE-2021-4034 (alias PwnKit) dan CVE-2021-3493 untuk meningkatkan hak istimewa dan mengunduh payload tahap akhir, penambang cryptocurrency, sebagai root.

Kegigihan untuk penambang crypto dicapai dengan mengunduh lima skrip shell yang menambahkan empat cronjobs, dua untuk pengguna root dan dua untuk pengguna saat ini.

Lima skrip shell dan fungsinya (AT&T)

Crontab adalah mekanisme persistensi yang efektif, sehingga semua file yang diunduh dihapus untuk mengurangi kemungkinan malware ditemukan.

Penambang kripto adalah XMRig versi 6.17.0, berfokus pada penambangan Monero yang berfokus pada anonimitas dan sulit dilacak.

Ikhtisar rantai infeksi Shikitega (AT&T)

Untuk lebih mengurangi kemungkinan meningkatkan alarm pada produk keamanan jaringan, aktor ancaman di belakang Shikitega menggunakan layanan hosting cloud yang sah untuk meng-host infrastruktur komando dan kontrol mereka.

Tim AT&T melaporkan peningkatan tajam dalam malware Linux tahun ini, menyarankan admin sistem untuk menerapkan pembaruan keamanan yang tersedia, menggunakan EDR di semua endpoint, dan membuat cadangan rutin untuk data penting.

Sumber : Bleeping Computer

Nitrokod Crypto Miner Menginfeksi Lebih dari 111.000 Pengguna dengan Salinan Perangkat Lunak Populer

by

Kampanye malware baru yang menyamar sebagai program pengunduh Google Translate atau MP3 ditemukan mendistribusikan malware penambangan cryptocurrency di 11 negara.

Menurut laporan Check Point, malware tersebut dibuat oleh pengembang bernama ‘Nitrokod’, yang pada awalnya tampak bersih dari malware dan menyediakan fungsionalitas yang diiklankan.

Namun, Check Point mengatakan perangkat lunak itu sengaja menunda pemasangan komponen malware berbahaya hingga satu bulan untuk menghindari deteksi.

Beranda situs web Nitrokod

Sayangnya, penawaran Nitrokod berperingkat tinggi dalam hasil Google Penelusuran, sehingga situs web tersebut bertindak sebagai jebakan yang sangat baik bagi pengguna yang mencari utilitas tertentu.

Selain itu, applet Google Terjemahan Nitrokod juga diunggah di Softpedia, yang mencapai lebih dari 112.000 unduhan.

Aplikasi malware di Softpedia (Check Point)

Terlepas dari program mana yang diunduh dari situs web Nitrokod, pengguna menerima RAR yang dilindungi kata sandi yang menghindari deteksi AV dan berisi executable yang dinamai sesuai dengan aplikasi yang dipilih.

Setelah menjalankan file, perangkat lunak diinstal pada sistem pengguna bersama dengan dua kunci registri.

Untuk menghindari kecurigaan dan untuk menggagalkan analisis Sandbox, perangkat lunak mengaktifkan penetes dari file RAR terenkripsi lain yang diambil melalui Wget pada hari kelima infeksi.

Selanjutnya, perangkat lunak menghapus semua log sistem menggunakan perintah PowerShell dan, setelah 15 hari, mengambil RAR terenkripsi berikutnya dari “intelserviceupdate[.]com.”

Garis waktu tahap infeksi (Check Point)

Dropper tahap berikutnya memeriksa keberadaan perangkat lunak antivirus, mencari proses yang mungkin dimiliki oleh mesin virtual, dan akhirnya menambahkan aturan firewall dan pengecualian ke Windows Defender.

Sekarang perangkat telah disiapkan untuk muatan terakhir, program memuat penetes terakhir, yang mengambil file RAR lain yang berisi malware penambangan XMRig, pengontrolnya, dan file “.sys” yang memiliki pengaturannya.

Malware menentukan apakah itu berjalan di desktop atau laptop, kemudian terhubung ke C2-nya (“nvidiacenter[.]com”) dan mengirimkan laporan sistem host lengkap melalui permintaan HTTP POST.

Akhirnya, C2 merespons dengan instruksi seperti apakah akan mengaktifkan, berapa banyak daya CPU yang digunakan, kapan harus melakukan ping ke C2 lagi, atau program apa yang harus diperiksa dan keluar jika ditemukan.

Diagram rantai serangan lengkap (Check Point)

Malware penambangan kripto dapat menjadi risiko karena dapat merusak perangkat keras dengan menyebabkan tekanan dan panas berlebih pada perangkat keras, dan dapat memengaruhi kinerja komputer Anda dengan menggunakan sumber daya CPU tambahan.

Selain itu, malware dropper yang ditemukan oleh Check Point dapat menukar muatan akhir dengan sesuatu yang jauh lebih berbahaya kapan saja.

Untuk melindungi diri Anda, hindari mengunduh aplikasi yang menjanjikan fungsionalitas yang tidak dirilis secara resmi oleh pengembang asli, seperti versi desktop dari alat terjemahan Google.

Sumber: Bleeping Computer

Microsoft Mengungkap Malware Post-Compromise Baru yang Digunakan oleh Peretas Nobelium

by

Aktor ancaman di balik serangan rantai pasokan SolarWinds telah dikaitkan dengan malware pasca-eksploitasi “sangat bertarget” lainnya yang dapat digunakan untuk mempertahankan akses terus-menerus ke lingkungan yang disusupi.

Dijuluki MagicWeb oleh tim intelijen ancaman Microsoft, pengembangan ini menegaskan kembali komitmen Nobelium untuk mengembangkan dan memelihara kemampuan yang dibangun untuk tujuan tertentu.

Nobelium adalah moniker raksasa teknologi untuk sekelompok aktivitas yang terungkap dengan serangan canggih yang menargetkan SolarWinds pada Desember 2020, dan yang tumpang tindih dengan kelompok peretasan negara-bangsa Rusia yang dikenal luas sebagai APT29, Cozy Bear, atau The Dukes.

MagicWeb, yang memiliki kesamaan dengan alat lain yang disebut FoggyWeb, dinilai telah digunakan untuk mempertahankan akses dan mencegah penggusuran selama upaya perbaikan, tetapi hanya setelah memperoleh akses yang sangat istimewa ke lingkungan dan bergerak secara lateral ke server AD FS.

Sementara FoggyWeb hadir dengan kemampuan khusus untuk mengirimkan muatan tambahan dan mencuri informasi sensitif dari server Active Directory Federation Services (AD FS), MagicWeb adalah DLL jahat (versi backdoor dari “Microsoft.IdentityServer.Diagnostics.dll”) yang memfasilitasi akses rahasia ke sistem AD FS melalui bypass otentikasi.

Temuan ini muncul setelah pengungkapan kampanye yang dipimpin APT29 yang ditujukan pada organisasi yang berafiliasi dengan NATO dengan tujuan mengakses informasi kebijakan luar negeri.

Secara khusus, ini memerlukan penonaktifan fitur pencatatan perusahaan yang disebut Purview Audit (sebelumnya Audit Lanjutan) untuk mengumpulkan email dari akun Microsoft 365. “APT29 terus menunjukkan keamanan operasional dan taktik penghindaran yang luar biasa,” kata Mandiant.

Taktik lain yang lebih baru yang digunakan oleh aktor dalam operasi baru-baru ini adalah penggunaan serangan menebak kata sandi untuk mendapatkan kredensial yang terkait dengan akun yang tidak aktif dan mendaftarkannya untuk otentikasi multi-faktor, memberinya akses ke infrastruktur VPN organisasi.

APT29 tetap menjadi kelompok ancaman yang produktif seperti halnya terampil. Bulan lalu, Palo Alto Networks Unit 42 menandai kampanye phishing yang memanfaatkan layanan penyimpanan cloud Dropbox dan Google Drive untuk penyebaran malware dan tindakan pasca-kompromi lainnya.

Sumber :The Hackernews

Kampanye malware baru menarik semua pemberhentian untuk menghindari deteksi Play Store

by

Malware merupakan ancaman yang berkembang dan ada di mana-mana, dan terlepas dari upaya terbaik mereka, toko aplikasi seperti Google rentan untuk digunakan secara tidak sadar untuk distribusi.

Play Store secara teratur menghapus aplikasi dan melarang pengembang yang melanggar aturan yang dimaksudkan untuk menghentikan adware, spyware, malware, dan aplikasi mengganggu lainnya yang lebih baik bagi Anda tanpanya.

Kru di Bitdefender baru-baru ini mengidentifikasi 35 aplikasi yang menyalahgunakan metode ini untuk mempersulit Anda menemukan pelakunya yang bertanggung jawab atas spam iklan dan iklan berbahaya. Aplikasi telah mengumpulkan lebih dari dua juta unduhan gabungan.

Setelah diinstal, aplikasi ini mengganti namanya sendiri agar sesuai dengan aplikasi sistem seperti Pengaturan untuk membantu tetap tersembunyi.

Ikon mereka juga berubah secara otomatis untuk mencocokkan, dan mengetuk mengarahkan pengguna yang tidak curiga ke aplikasi Pengaturan sebenarnya di ponsel mereka.

Beberapa di antaranya meminta Anda untuk menonaktifkan pengoptimalan baterai dan memberikan izin untuk ditampilkan di atas aplikasi lain yang diharapkan menjadi tanda bahaya. Aplikasi dapat menyalahgunakan izin ini untuk memulai pemberitahuan layanan latar depan dan menyimulasikan klik pengguna pada iklan untuk keuntungan finansial.

Bitdefender mengatakan menggunakan teknologi perilaku real-time baru untuk mengidentifikasi adware. Berdasarkan pola dalam gaya penamaan aplikasi, email pengembang, dan situs web yang terdaftar, ia percaya semua aplikasi bisa menjadi hasil karya satu individu atau grup.

Para pakar keamanan menyarankan saran agar menghapus aplikasi yang tidak digunakan, tidak menginstal yang tidak benar-benar Anda butuhkan, dan waspada terhadap permintaan izin yang tidak biasa.

Sumber: Android Police

Malware Escanor dikirimkan dalam dokumen Microsoft Office yang dipersenjatai

by

Resecurity, sebuah perusahaan keamanan siber berbasis di Los Angeles yang melindungi Fortune 500 di seluruh dunia, mengidentifikasi RAT (Alat Administrasi Jarak Jauh) baru yang diiklankan di Dark Web dan Telegram bernama Escanor.

Pelaku ancaman menawarkan RAT versi Android dan berbasis PC, bersama dengan modul HVNC dan pembuat eksploitasi untuk mempersenjatai dokumen Microsoft Office dan Adobe PDF untuk mengirimkan kode berbahaya.

Alat ini telah dirilis untuk dijual pada tanggal 26 Januari tahun ini pada awalnya sebagai implan HVNC kompak yang memungkinkan untuk mengatur koneksi jarak jauh senyap ke komputer korban, dan kemudian diubah menjadi RAT komersial skala penuh dengan rangkaian fitur yang kaya.

Escanor telah membangun reputasi yang kredibel di Dark Web, dan menarik lebih dari 28.000 pelanggan di saluran Telegram. Di masa lalu, aktor dengan moniker yang persis sama merilis versi ‘crack’ dari alat Web Gelap lainnya, termasuk Venom RAT, 888 RAT, dan Pandora HVNC yang kemungkinan digunakan untuk memperkaya fungsionalitas Escanor lebih lanjut.

Escanor versi seluler (juga dikenal sebagai “Esca RAT”) secara aktif digunakan oleh penjahat dunia maya untuk menyerang pelanggan perbankan online dengan mencegat kode OTP. Alat ini dapat digunakan untuk mengumpulkan koordinat GPS korban, memantau penekanan tombol, mengaktifkan kamera tersembunyi, dan menelusuri file di perangkat seluler jarak jauh untuk mencuri data.

Sebagian besar sampel yang terdeteksi baru-baru ini telah dikirim menggunakan Escanor Exploit Builder. Para aktor menggunakan dokumen umpan yang meniru faktur dan pemberitahuan dari layanan online populer.

Khususnya, nama domain ‘escanor[.]live’ sebelumnya telah diidentifikasi sehubungan dengan infrastruktur AridViper (APT-C-23 / GnatSpy). APT-C-23 sebagai kelompok aktif di kawasan Timur Tengah, yang dikenal secara khusus menargetkan aset militer Israel. Setelah laporan dirilis oleh Qihoo 360, aktor Escanor RAT telah merilis video yang merinci bagaimana alat tersebut dapat digunakan untuk melewati deteksi AV.

Mayoritas korban yang terinfeksi oleh Escanor telah diidentifikasi di AS, Kanada, UEA, Arab Saudi, Kuwait, Bahrain, Mesir, Israel, Meksiko, dan Singapura dengan beberapa infeksi di Asia Tenggara.

Sumber: Bleeping Computer

Situs WordPress diretas dengan peringatan Cloudflare DDoS palsu yang mendorong malware

by

Situs WordPress diretas untuk menampilkan halaman perlindungan Cloudflare DDoS palsu untuk mendistribusikan malware yang menginstal NetSupport RAT dan Trojan pencuri kata sandi RaccoonStealer.

Seperti yang dirinci dalam laporan oleh Sucuri, aktor ancaman meretas situs WordPress yang tidak terlindungi dengan baik untuk menambahkan muatan JavaScript yang sangat dikaburkan yang menampilkan layar DDoS perlindungan Cloudflare palsu.

Layar ini, yang ditunjukkan di bawah, meminta pengunjung mengklik tombol untuk melewati layar perlindungan DDoS. Namun, mengklik tombol akan mengunduh file ‘security_install.iso’ ke komputer, yang berpura-pura menjadi alat yang diperlukan untuk melewati verifikasi DDoS.

Korban kemudian disuruh membuka security_install.iso, yang mereka anggap sebagai aplikasi bernama DDOS GUARD, dan memasukkan kode yang ditampilkan.

Prompt kode verifikasi (atas) dan generator (bawah) (Sucuri)

Ketika pengguna membuka security_install.iso, mereka akan melihat file bernama security_install.exe, yang sebenarnya adalah pintasan Windows yang menjalankan perintah PowerShell dari file debug.txt.

Isi file security_install.iso
Sumber: BleepingComputer

Pada akhirnya, ini menyebabkan serangkaian skrip berjalan yang menampilkan kode DDoS palsu yang diperlukan untuk melihat situs, serta menginstal NetSupport RAT, trojan akses jarak jauh yang digunakan secara ekstensif dalam kampanye jahat saat ini.

Selain itu, skrip akan mengunduh trojan pencuri kata sandi Raccoon Stealer dan meluncurkannya di perangkat.

Rantai serangan perlindungan Cloudflare DDoS (Sucuri) palsu

Raccoon 2.0 menargetkan kata sandi, cookie, data pengisian otomatis, dan kartu kredit yang disimpan di browser web, berbagai dompet cryptocurrency, dan juga mampu melakukan eksfiltrasi file dan mengambil tangkapan layar dari desktop korban.

Admin harus memeriksa file tema situs WordPress mereka, karena menurut Sucuri, ini adalah titik infeksi paling umum dalam kampanye ini.

Kode berbahaya ditemukan di jquery.min.js (Sucuri)

Selain itu, disarankan untuk menggunakan sistem pemantauan integritas file untuk menangkap injeksi JS tersebut saat terjadi dan mencegah situs Anda menjadi titik distribusi RAT.

Pengguna internet dapat melindungi diri dari ancaman semacam itu dengan mengaktifkan pengaturan pemblokiran skrip yang ketat di browser mereka, meskipun itu akan merusak fungsionalitas hampir semua situs.

Sumber: Bleeping Computer