Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Aplikasi malware Android dengan 2 juta pemasangan ditemukan di Google Play

by

Kumpulan baru tiga puluh lima aplikasi malware Android yang menampilkan iklan yang tidak diinginkan ditemukan di Google Play Store, dengan aplikasi yang diinstal lebih dari 2 juta kali di perangkat seluler korban.

Aplikasi tersebut ditemukan oleh peneliti keamanan di Bitdefender, yang menggunakan metode analisis berbasis perilaku waktu nyata untuk menemukan aplikasi yang berpotensi berbahaya.

Aplikasi tersebut memikat pengguna untuk menginstalnya dengan berpura-pura menawarkan beberapa fungsi khusus tetapi mengubah nama dan ikon mereka segera setelah instalasi, membuatnya sulit untuk ditemukan dan dihapus.

Sejak saat itu, aplikasi jahat mulai menayangkan iklan yang mengganggu kepada pengguna dengan menyalahgunakan WebView, menghasilkan tayangan penipuan dan pendapatan iklan untuk operator mereka.

Aplikasi adware tersebut menerapkan beberapa metode untuk bersembunyi di Android dan bahkan menerima pembaruan selanjutnya untuk membuatnya lebih mudah disembunyikan di perangkat.

Setelah instalasi, aplikasi biasanya menganggap ikon roda gigi dan mengganti namanya sendiri sebagai ‘Pengaturan’, untuk menghindari deteksi dan penghapusan.

Jika pengguna mengklik ikon, aplikasi meluncurkan aplikasi malware dengan ukuran 0 untuk disembunyikan dari pandangan. Malware kemudian meluncurkan menu Pengaturan yang sah untuk mengelabui pengguna agar berpikir bahwa mereka meluncurkan aplikasi yang benar.

Fungsi untuk meluncurkan Pengaturan sistem (Bitdefender)

Aplikasi berbahaya juga menampilkan kebingungan kode yang berat dan enkripsi untuk menggagalkan upaya rekayasa balik, menyembunyikan muatan Java utama di dalam dua file DEX terenkripsi.

Metode lain untuk menyembunyikan aplikasi dari pengguna adalah dengan mengecualikan diri mereka dari daftar ‘Aplikasi terbaru’, jadi meskipun mereka berjalan di latar belakang, mengekspos proses aktif tidak akan mengungkapkannya.

Aplikasi populer yang menayangkan iklan
35 aplikasi Android berbahaya memiliki jumlah unduhan mulai dari 10.000 hingga 100.000, dengan total lebih dari dua juta unduhan.

Yang paling populer, masing-masing memiliki 100k unduhan, adalah sebagai berikut:

  • Walls light – Wallpapers Pack (gb.packlivewalls.fournatewren)
  • Big Emoji – Keyboard 5.0 (gb.blindthirty.funkeyfour)
  • Grand Wallpapers – 3D Backdrops 2.0 (gb.convenientsoftfiftyreal.threeborder)
  • Engine Wallpapers (gb.helectronsoftforty.comlivefour)
  • Stock Wallpapers (gb.fiftysubstantiated.wallsfour)

    • Selengkapnya

Dari yang di atas, ‘Walls light – Wallpapers Pack’, ‘Animated Sticker Master’, dan ‘GPS Location Finder’ masih tersedia di Play Store saat menulis artikel ini.

Adware masih tersedia di Play Store

Aplikasi lainnya yang terdaftar tersedia di beberapa toko aplikasi pihak ketiga seperti APKSOS, APKAIO, APKCombo, APKPure, dan APKsfull, tetapi jumlah unduhan yang disajikan berasal dari waktu mereka di Play Store.

Jika Anda telah menginstal salah satu aplikasi ini, Anda harus segera mencari dan menghapusnya dari perangkat Anda.

Karena aplikasi menyamar sebagai Pengaturan, menjalankan alat AV seluler untuk mencari dan menghapusnya mungkin berguna dalam kasus ini.

Sumber: Bleeping Computer

Rangkaian Emoji Ini Sebenarnya Malware

by

Dalam waktu dekat, peretas dapat menipu Anda hanya dengan mengirimkan serangkaian emoji acak ke komputer atau ponsel Anda, menurut peneliti keamanan siber.

Biasanya, ketika peretas menemukan kelemahan pada komputer atau ponsel target, mereka membuat apa yang disebut eksploitasi—sepotong kode yang dirancang untuk memanfaatkan kelemahan tersebut dan mengendalikan target. Sama seperti kode lainnya, exploit biasanya berisi string huruf dan simbol.

Selama pembicaraan di konferensi peretasan DEF CON di Las Vegas pada hari Jumat, peneliti keamanan Hadrien Barral dan Georges-Axel Jaloyan mengatakan mereka telah menemukan cara untuk menggunakan hanya serangkaian emoji untuk memberikan eksploitasi ke target. Peringatannya adalah bahwa ada keadaan khusus yang perlu terjadi agar eksploitasi emoji berfungsi.

Jayolan menjelaskan bahwa saat mengirimkan exploit ke target, harus melalui filter terlebih dahulu—misalnya, jika seorang hacker mengirimkan payloadnya melalui formulir yang hanya menerima huruf dan angka, maka payloadnya harus berupa huruf dan angka. Jadi, agar serangan emoji berfungsi, perlu melalui filter yang hanya menerima emoji, yang menurut Jaloyan tidak ada saat ini.

Kedua peneliti berbagi dengan Motherboard contoh eksploitasi yang hanya dibuat dari emoji. Mereka juga mempublikasikan detail teknis penelitian mereka di GitHub.

Namun, penelitian dan bukti konsep Barral dan Jaloyan menunjukkan bahwa menggunakan emoji untuk meretas target memang memungkinkan.

Ide peneliti adalah untuk mendidik penyerang dan pembela keamanan siber untuk menunjukkan kepada mereka bahwa ini mungkin, yang seharusnya mendorong mereka untuk mengubah perilaku mereka.

Selama penelitian mereka, Barral dan Jaloyan menemukan bahwa beberapa perangkat lunak kesulitan memproses emoji. Ini tidak berarti perangkat lunak ini dapat diretas dengan emoji, tetapi menunjukkan bahwa emoji cukup baru sehingga tidak semua komputer dan program mendukungnya.

VICE

Malware SOVA menambahkan fitur ransomware untuk mengenkripsi perangkat Android

by

Trojan perbankan Android SOVA terus berkembang dengan fitur baru, peningkatan kode, dan penambahan fitur ransomware baru yang mengenkripsi file di perangkat seluler.

Dengan rilis terbaru, malware SOVA sekarang menargetkan lebih dari 200 aplikasi perbankan, pertukaran cryptocurrency, dan dompet digital, mencoba mencuri data pengguna dan cookie sensitif dari mereka.

Selain itu, fitur refactored dan kode yang ditingkatkan yang membantunya beroperasi lebih tersembunyi pada perangkat yang disusupi, sementara versi terbarunya, 5.0, menambahkan modul ransomware.

Analis ancaman di perusahaan keamanan seluler Cleafy telah mengikuti evolusi SOVA sejak pengumuman proyek pada September 2021 dan melaporkan bahwa perkembangannya meningkat pesat pada 2022.

Pada Maret 2022, SOVA merilis versi 3, menambahkan intersepsi 2FA, pencurian cookie, dan suntikan baru untuk banyak bank di seluruh dunia. Suntikan adalah hamparan yang ditampilkan di atas permintaan masuk yang sah yang digunakan untuk mencuri kredensial, seperti untuk aplikasi bank online.

Pada Juli 2022, tim pengembangan SOVA merilis versi 4, yang mengambil hingga 200 aplikasi yang ditargetkan, dan menambahkan kemampuan VNC (komputasi jaringan virtual) untuk penipuan di perangkat.

Aplikasi bank yang ditargetkan oleh SOVA v3 (kiri) dan SOVA v4 (kanan) (Cleafy)

Malware mengirimkan daftar aplikasi yang diinstal ke C2 dan menerima XML yang berisi daftar alamat yang mengarah ke overlay yang benar untuk dimuat saat korban membuka aplikasi yang ditargetkan.

Versi utama keempat juga menambahkan dukungan untuk perintah seperti mengambil tangkapan layar, melakukan klik dan gesekan, menyalin dan menempel file, dan menyajikan layar overlay sesuka hati.

Rilis ini juga melihat pemfaktoran ulang kode yang signifikan dalam mekanisme pencuri cookie, sekarang menargetkan Gmail, GPay, dan Google Password Manager.

Kode pencuri cookie yang difaktorkan ulang (Cleafy)

SOVA v4 menambahkan beberapa perlindungan terhadap tindakan defensif, menyalahgunakan izin Aksesibilitas untuk mendorong pengguna kembali ke layar beranda jika mereka mencoba mencopot pemasangan aplikasi secara manual.

Terakhir, versi keempat berfokus pada Binance dan aplikasi ‘Trust Wallet’ platform, menggunakan modul khusus yang dibuat untuk mencuri frase benih rahasia pengguna.

Baru-baru ini, Cleafy mengambil sampel rilis awal SOVA v5, yang dilengkapi dengan banyak perbaikan kode dan penambahan fitur baru seperti modul ransomware.

Modul ransomware baru SOVA (Cleafy)

Modul ini menggunakan enkripsi AES untuk mengunci semua file di perangkat yang terinfeksi dan menambahkan ekstensi “.enc” pada file yang telah diubah namanya dan dienkripsi.

Versi kelima belum diedarkan secara luas, dan modul VNC-nya hilang dari sampel awal, jadi kemungkinan versi ini masih dalam pengembangan.

Bahkan dalam bentuknya yang belum selesai saat ini, SOVA v5 siap untuk penyebaran massal, menurut Cleafy, jadi kewaspadaan disarankan untuk semua pengguna Android.

Hal ini membuat SOVA menjadi ancaman dengan intensitas yang semakin meningkat, karena trojan perbankan sekarang menetapkan dirinya sebagai salah satu pelopor ruang ransomware seluler yang masih belum dijelajahi.

Sumber: Bleeping Computer

Penjahat siber menggunakan messaging apps untuk meluncurkan skema malware

by

Peneliti Intel 471 melaporkan bahwa penjahat siber memanfaatkan bot di dalam aplikasi perpesanan berbasis cloud populer seperti Discord dan Telegram untuk menyebarkan malware.

Bot biasanya digunakan untuk berbagi media, bermain game, saluran moderat, atau tugas otomatis lainnya yang dapat dibuat oleh pengembang.

Para peneliti mengatakan penjahat siber menggunakan platform tersebut untuk meng-host, mendistribusikan, dan menjalankan berbagai fungsi yang pada akhirnya memungkinkan mereka untuk mencuri kredensial atau informasi lain dari pengguna yang tidak sadar

Peneliti Intel 471 juga menemukan beberapa alat pencuri informasi yang tersedia secara bebas untuk diunduh yang mengandalkan Discord atau Telegram untuk fungsionalitasnya.

Salah satunya Blitzed Grabber, mereka menggunakan fitur webhook Discord sebagai cara untuk menyimpan data yang dieksfiltrasi melalui malware. Webhook menyediakan cara mudah untuk mengirim pesan otomatis dan pembaruan data dari mesin korban ke saluran pesan tertentu.

Pencuri ini dapat mencuri semua jenis informasi, termasuk data isi otomatis, bookmark, cookie browser, kredensial dari klien jaringan pribadi virtual (VPN), informasi kartu pembayaran, dompet cryptocurrency, informasi sistem operasi, kata sandi, dan kunci produk Microsoft Windows. Beberapa grabber, termasuk Blitzed Grabber, Mercurial Grabber, dan 44Caliber, juga menargetkan kredensial untuk platform game Minecraft dan Roblox.

Satu bot khusus Telegram, yang dikenal sebagai X-Files, memiliki fungsionalitas yang dapat diakses melalui perintah bot di dalam Telegram. Setelah malware dimuat ke sistem korban, pelaku jahat dapat menggesek kata sandi, cookie sesi, kredensial login, dan detail kartu kredit, dengan mengarahkan informasi itu ke saluran Telegram yang mereka pilih. X-Files dapat mengambil informasi dari berbagai browser, termasuk Google Chrome, Chromium, Opera, Slimjet, dan Vivaldi.

Peneliti Intel 471 juga telah mengamati pelaku ancaman yang menyalahgunakan infrastruktur cloud yang digunakan oleh aplikasi perpesanan untuk mendukung kampanye penyebaran malware. Banyak pelaku ancaman saat ini menggunakan jaringan pengiriman konten (CDN) Discord untuk meng-host muatan malware.

Sistem pengumpulan Intelijen Malware kami pertama kali mengamati teknik ini pada tahun 2019, tetapi berbagai pelaku ancaman masih menggunakannya. Operator malware tampaknya tidak menghadapi batasan apa pun saat mengunggah muatan berbahaya mereka ke CDN Discord untuk hosting file. Tautan terbuka untuk pengguna mana pun tanpa autentikasi, memberikan aktor ancaman domain web bereputasi tinggi untuk meng-host muatan berbahaya.

Keluarga malware yang diamati menggunakan Discord CDN untuk meng-host muatan berbahaya meliputi:

  • PrivateLoader
  • Discoloader
  • Colibri
  • Warzone RAT
  • Modi loader
  • Raccoon stealer
  • Smokeloader
  • Amadey
  • Agent Tesla stealer
  • GuLoader
  • Autohotkey
  • njRAT

Sebelumnya, Intel 471 telah mengamati peningkatan layanan di bawah tanah kejahatan dunia maya yang memungkinkan penyerang memanfaatkan bot Telegram dalam upaya untuk mencegat token kata sandi satu kali (OTP). Pelaku kejahatan terus membangun layanan ini, menjual aksesnya di berbagai forum kejahatan dunia maya.

Satu bot yang diamati oleh peneliti Intel 471 pada bulan April, yang dikenal sebagai Astro OTP, memungkinkan operator untuk mendapatkan kode verifikasi OTP dan layanan pesan singkat (SMS). Operator diduga dapat mengontrol bot secara langsung melalui antarmuka Telegram dengan menjalankan perintah sederhana.

Akses ke bot sangat murah, langganan satu hari dapat dibeli seharga US $25, dengan langganan seumur hidup tersedia seharga US $300.

Otomatisasi di platform perpesanan populer menurunkan bar-of-entry untuk aktor jahat. Sementara pencuri informasi saja tidak menyebabkan jumlah kerusakan yang sama seperti malware seperti penghapus data atau ransomware, mereka dapat menjadi langkah pertama dalam meluncurkan serangan yang ditargetkan terhadap perusahaan.

Sumber: Intel 471

Malware RapperBot IoT Baru Menargetkan Server Linux melalui SSH Brute-Forcing Attack

by

Malware botnet IoT baru yang dijuluki RapperBot telah diamati berkembang pesat kemampuannya sejak pertama kali ditemukan pada pertengahan Juni 2022.

Malware, yang mendapatkan namanya dari URL yang disematkan ke video musik rap YouTube di versi sebelumnya, dikatakan telah mengumpulkan semakin banyak server SSH yang disusupi, dengan lebih dari 3.500 alamat IP unik yang digunakan untuk memindai dan memaksa jalan mereka. ke dalam server.

Implementasi RapperBot saat ini juga menggambarkannya dari Mirai, yang memungkinkannya berfungsi sebagai alat brute-force SSH dengan kemampuan terbatas untuk melakukan serangan penolakan layanan (DDoS) terdistribusi.

Penyimpangan dari perilaku Mirai tradisional lebih lanjut dibuktikan dalam upayanya untuk membangun kegigihan pada host yang disusupi, yang secara efektif memungkinkan pelaku ancaman untuk mempertahankan akses jangka panjang lama setelah malware dihapus atau perangkat di-boot ulang.

Serangan tersebut memerlukan target potensial yang memaksa menggunakan daftar kredensial yang diterima dari server jarak jauh. Setelah berhasil membobol server SSH yang rentan, kredensial yang valid dieksfiltrasi kembali ke command-and-control.

Akses dicapai dengan menambahkan kunci publik SSH operator ke file khusus yang disebut “~/.ssh/authorized_keys”, yang memungkinkan musuh untuk terhubung dan mengautentikasi ke server menggunakan kunci pribadi pribadi yang sesuai tanpa harus memberikan kata sandi.

“Ini menghadirkan ancaman ke server SSH yang disusupi karena pelaku ancaman dapat mengaksesnya bahkan setelah kredensial SSH diubah atau otentikasi kata sandi SSH dinonaktifkan,” para peneliti menjelaskan.

“Selain itu, karena file diganti, semua kunci resmi yang ada dihapus, yang mencegah pengguna yang sah mengakses server SSH melalui otentikasi kunci publik.”

Pergeseran ini juga memungkinkan malware untuk mempertahankan aksesnya ke perangkat yang diretas ini melalui SSH, memungkinkan pelaku untuk memanfaatkan pijakan untuk melakukan serangan penolakan layanan bergaya Mirai.

Perbedaan dari keluarga malware IoT lainnya memiliki efek samping yang membuat motivasi utamanya menjadi misteri, fakta yang semakin diperumit oleh fakta bahwa penulis RapperBot telah meninggalkan sedikit atau tidak ada tanda-tanda asal mereka.

Penghapusan propagasi diri demi kegigihan meskipun, botnet dikatakan telah mengalami perubahan signifikan dalam rentang waktu singkat, kepala di antaranya adalah penghapusan fitur serangan DDoS dari artefak pada satu titik, hanya untuk diperkenalkan kembali seminggu kemudian.

Tujuan kampanye, pada akhirnya, tetap samar-samar, tanpa aktivitas lanjutan yang diamati setelah kompromi yang berhasil. Yang jelas adalah bahwa server SSH dengan kredensial default atau yang dapat ditebak sedang digabungkan ke dalam botnet untuk tujuan masa depan yang tidak ditentukan.

Untuk menangkis infeksi semacam itu, disarankan agar pengguna menetapkan kata sandi yang kuat untuk perangkat atau menonaktifkan otentikasi kata sandi untuk SSH jika memungkinkan.

Sumber: The Hacker News

Badan keamanan siber mengungkapkan jenis malware teratas tahun lalu

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) merilis daftar jenis malware yang paling banyak terdeteksi tahun lalu dalam konsultasi bersama dengan Australian Cyber ​​Security Center (ACSC).

“Pengguna malware paling produktif dari jenis malware teratas adalah penjahat cyber, yang menggunakan malware untuk mengirimkan ransomware atau memfasilitasi pencurian informasi pribadi dan keuangan.”

Strain malware teratas yang diamati pada tahun 2021 termasuk Agen Tesla, AZORult, Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot, dan GootLoader.

Dari jumlah tersebut, Agen Tesla, AZORult, Formbook, LokiBot, NanoCore, Remcos, dan TrickBot telah digunakan dalam serangan setidaknya selama lima tahun terakhir, sementara Qakbot dan Ursnif telah digunakan selama lebih dari satu dekade.

Umur panjang keluarga malware ini disebabkan oleh upaya berkelanjutan pengembang mereka untuk meningkatkannya dengan menambahkan kemampuan dan cara baru untuk menghindari deteksi.

Penasihat bersama mencakup tanda tangan Snort untuk semua malware di atas untuk mendeteksi muatan dengan memantau lalu lintas jaringan dan daftar tindakan mitigasi.

CISA dan ACSC mendorong admin dan tim keamanan untuk menerapkan mitigasi berikut untuk mempertahankan diri dari serangan malware:

  • Perbarui perangkat lunak, termasuk sistem operasi, aplikasi, dan firmware, di I.T. aset jaringan
  • Terapkan MFA semaksimal mungkin
  • Jika Anda menggunakan RDP dan/atau layanan lain yang berpotensi berisiko, amankan dan pantau dengan cermat
  • Pertahankan cadangan data offline (yaitu, terputus secara fisik)
  • Memberikan kesadaran dan pelatihan pengguna akhir untuk membantu memblokir rekayasa sosial dan serangan spearphishing
  • Menerapkan segmentasi jaringan untuk memisahkan segmen jaringan berdasarkan peran dan fungsionalitas

Pada bulan April, otoritas keamanan siber di seluruh dunia, dalam kemitraan dengan NSA dan FBI, juga merilis daftar 15 kerentanan teratas yang secara rutin dieksploitasi dalam serangan selama tahun 2021.

CISA dan FBI juga telah menerbitkan daftar 10 bug keamanan yang paling banyak dieksploitasi antara tahun 2016 dan 2019 dan bug teratas yang paling sering disalahgunakan pada tahun 2020 bekerja sama dengan ACSC dan National Cyber ​​Security Center (NCSC) Inggris.

Pada bulan Juni, MITRE juga membagikan daftar 25 bug perangkat lunak paling berbahaya tahun ini setelah mengungkapkan kelemahan keamanan pemrograman, desain, dan arsitektur paling berbahaya yang mengganggu perangkat keras pada November 2021.

Sumber: Bleeping Computer

35.000 kode repo tidak diretas, tetapi klon membanjiri GitHub untuk menyajikan malware

by

Ribuan repositori GitHub disalin dengan klon mereka diubah untuk memasukkan malware, seorang insinyur perangkat lunak ditemukan hari ini.

Sementara mengkloning repositori open source adalah praktik pengembangan umum dan bahkan didorong di antara pengembang, kasus ini melibatkan aktor ancaman yang membuat salinan proyek yang sah tetapi mencemari ini dengan kode jahat untuk menargetkan pengembang yang tidak curiga dengan klon jahat mereka.

GitHub telah membersihkan sebagian besar repositori berbahaya setelah menerima laporan insinyur.

Hari ini, pengembang perangkat lunak Stephen Lacy membuat semua orang bingung ketika dia mengklaim telah menemukan “serangan malware yang tersebar luas” di GitHub yang memengaruhi sekitar 35.000 repositori perangkat lunak.

Bertentangan dengan apa yang tampaknya disarankan oleh tweet asli, bagaimanapun, “35.000 proyek” di GitHub belum terpengaruh atau dikompromikan dengan cara apa pun.

Sebaliknya, ribuan proyek pintu belakang adalah salinan (garpu atau klon) dari proyek sah yang konon dibuat oleh pelaku ancaman untuk mendorong malware.

Proyek resmi seperti crypto, golang, python, js, bash, docker, k8s, tetap tidak terpengaruh. Tapi, bukan berarti, temuan itu tidak penting, seperti yang dijelaskan di bagian berikut.

Saat meninjau proyek sumber terbuka Lacy telah “menemukan dari pencarian google,” insinyur memperhatikan URL berikut dalam kode yang dia bagikan di Twitter:

hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru

Bleeping Computeretika mencari di GitHub untuk URL ini, ada 35.000+ hasil pencarian yang menunjukkan file yang berisi URL berbahaya. Oleh karena itu, angka tersebut mewakili jumlah file yang mencurigakan daripada repositori yang terinfeksi:

Kami selanjutnya menemukan, dari 35.788 hasil kode, lebih dari 13.000 hasil pencarian berasal dari satu repositori yang disebut ‘redhat-operator-ekosistem.’

Repositori ini, dilihat oleh BleepingComputer pagi ini, tampaknya sekarang telah dihapus dari GitHub, dan menunjukkan kesalahan 404 (Tidak Ditemukan).

Insinyur tersebut telah mengeluarkan koreksi dan klarifikasi [1, 2] pada tweet aslinya.

Pengembang James Tucker menunjukkan bahwa repositori kloning yang berisi URL berbahaya tidak hanya mengekstrak variabel lingkungan pengguna tetapi juga berisi backdoor satu baris.

Repositori kloning yang diubah dengan malware mengandung backdoor (BleepingComputer)

Eksfiltrasi variabel lingkungan dengan sendirinya dapat memberikan rahasia penting kepada pelaku ancaman seperti kunci API, token, kredensial Amazon AWS, dan kunci kripto Anda, jika berlaku.

Namun, instruksi satu baris (baris 241 di atas) selanjutnya memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer pada sistem semua orang yang menginstal dan menjalankan klon jahat ini.

Sebagian besar repositori kloning diubah dengan kode berbahaya sekitar bulan lalu—dengan hasil mulai dari enam hingga tiga belas hari hingga dua puluh hari yang lalu. Namun, kami mengamati beberapa repositori dengan komit berbahaya sejak tahun 2015.

Komit berbahaya dibuat 13 hari yang lalu di salah satu klon (BleepingComputer)

Komit terbaru yang berisi URL berbahaya yang dibuat untuk GitHub hari ini sebagian besar berasal dari pembela, termasuk analis intel ancaman Florian Roth yang telah memberikan aturan Sigma untuk mendeteksi kode berbahaya di lingkungan Anda.

Ironisnya, beberapa pengguna GitHub mulai secara keliru melaporkan repo GitHub Sigma, yang dikelola oleh Roth, sebagai jahat saat melihat adanya string jahat (untuk digunakan oleh para pembela HAM) di dalam aturan Sigma.

GitHub telah menghapus klon berbahaya dari platformnya pada beberapa jam yang lalu, BleepingComputer dapat mengamati. Tim Keamanan GitHub juga mengeluarkan pernyataan:

Sebagai praktik terbaik, ingatlah untuk menggunakan perangkat lunak dari repo proyek resmi dan hati-hati terhadap kemungkinan kesalahan ketik atau fork/klon repositori yang mungkin tampak identik dengan proyek asli tetapi menyembunyikan malware.

Ini bisa menjadi lebih sulit dikenali karena repositori yang dikloning dapat terus mempertahankan komit kode dengan nama pengguna dan alamat email dari penulis asli, memberikan kesan menyesatkan bahwa bahkan komit yang lebih baru dibuat oleh penulis proyek asli. Komit kode sumber terbuka yang ditandatangani dengan kunci GPG dari penulis proyek otentik adalah salah satu cara untuk memverifikasi keaslian kode.

Sumber: Bleeping Computer

Bagaimana malware menipu pengguna dan antivirus

by

Salah satu metode utama yang digunakan oleh distributor malware untuk menginfeksi perangkat adalah dengan menipu orang agar mengunduh dan menjalankan file berbahaya, dan untuk mencapai penipuan ini, pembuat malware menggunakan berbagai trik.

Beberapa trik ini termasuk menyamarkan malware yang dapat dieksekusi sebagai aplikasi yang sah, menandatanganinya dengan sertifikat yang valid, atau mengorbankan situs tepercaya untuk menggunakannya sebagai titik distribusi.

Menurut VirusTotal, platform keamanan untuk memindai file yang diunggah untuk malware, beberapa trik ini terjadi dalam skala yang jauh lebih besar daripada yang diperkirakan sebelumnya.

Platform ini telah menyusun laporan yang menyajikan statistik dari Januari 2021 hingga Juli 2022, berdasarkan pengiriman dua juta file setiap hari, yang menggambarkan tren bagaimana malware didistribusikan.

Mendistribusikan malware melalui situs web yang sah, populer, dan berperingkat tinggi memungkinkan pelaku ancaman untuk menghindari daftar blokir berbasis IP, menikmati ketersediaan tinggi, dan memberikan tingkat kepercayaan yang lebih besar.

VirusTotal mendeteksi 2,5 juta file mencurigakan yang diunduh dari 101 domain milik 1.000 situs web teratas Alexa.

Kasus penyalahgunaan yang paling menonjol adalah Discord, yang telah menjadi sarang distribusi malware, dengan layanan hosting dan penyedia layanan cloud Squarespace dan Amazon juga mencatat jumlah besar.

Domain yang paling banyak disalahgunakan untuk distribusi malware (VirusTotal)
Otoritas penandatanganan yang digunakan oleh pembuat malware (VirusTotal)

Menandatangani sampel malware dengan sertifikat valid yang dicuri dari perusahaan adalah cara yang andal untuk menghindari deteksi AV dan peringatan keamanan pada host.

Dari semua sampel berbahaya yang diunggah ke VirusTotal antara Januari 2021 dan April 2022, lebih dari satu juta ditandatangani, dan 87% menggunakan sertifikat yang valid.

Otoritas sertifikasi paling umum yang digunakan untuk menandatangani sampel berbahaya yang dikirimkan ke VirusTotal termasuk Sectigo, DigiCert, USERTrust, dan Sage South Africa.

Menyamarkan malware yang dapat dieksekusi sebagai aplikasi populer yang sah telah mengalami tren peningkatan pada tahun 2022.

Korban mengunduh file-file ini dengan mengira mereka mendapatkan aplikasi yang mereka butuhkan, tetapi setelah menjalankan penginstal, mereka menginfeksi sistem mereka dengan malware.

Aplikasi yang paling banyak ditiru (berdasarkan ikon) adalah Skype, Adobe Acrobat, VLC, dan 7zip.

Program pengoptimalan Windows populer CCleaner yang kami lihat dalam kampanye peracunan SEO baru-baru ini adalah salah satu pilihan utama peretas dan menampilkan rasio infeksi yang sangat tinggi untuk volume distribusinya.

Rasio infeksi malware oleh aplikasi yang ditiru (VirusTotal)

Terakhir, ada trik menyembunyikan malware di dalam penginstal aplikasi yang sah dan menjalankan proses infeksi di latar belakang sementara aplikasi sebenarnya dijalankan di latar depan.

Proses ini membantu dalam mengelabui para korban dan juga menghindari beberapa mesin antivirus yang tidak meneliti struktur sumber daya PR dan konten dalam executable.

Berdasarkan statistik VirusTotal, praktik ini juga tampaknya meningkat tahun ini, menggunakan Google Chrome, Malwarebytes, Pembaruan Windows, Zoom, Brave, Firefox, ProtonVPN, dan Telegram sebagai umpan.

Saat ingin mengunduh perangkat lunak, gunakan toko aplikasi bawaan OS Anda atau kunjungi halaman unduhan resmi aplikasi. Juga, waspadalah terhadap iklan yang dipromosikan pada hasil pencarian yang mungkin berperingkat lebih tinggi karena dapat dengan mudah dipalsukan agar terlihat seperti situs yang sah.

Setelah mengunduh penginstal, selalu lakukan pemindaian AV pada file sebelum menjalankannya untuk memastikan mereka bukan malware yang menyamar.

Terakhir, hindari menggunakan situs torrent untuk crack atau keygens untuk perangkat lunak berhak cipta, karena biasanya menyebabkan infeksi malware.

Sumber: Bleeping Computer