Malware

Microsoft mendeteksi lonjakan besar dalam aktivitas malware XorDDoS Linux

May 20, 2022 by Eevee

Malware tersembunyi dan modular yang digunakan untuk meretas perangkat Linux dan membangun botnet DDoS telah mengalami peningkatan aktivitas yang sangat besar sebesar 254% selama enam bulan terakhir, seperti yang diungkapkan Microsoft hari ini.

Malware ini (aktif setidaknya sejak 2014) dikenal sebagai XorDDoS (atau XOR DDoS) karena penggunaan enkripsi berbasis XOR saat berkomunikasi dengan server perintah-dan-kontrol (C2) dan digunakan untuk meluncurkan penolakan layanan terdistribusi (DDoS) serangan.

Seperti yang diungkapkan perusahaan, keberhasilan botnet kemungkinan karena penggunaan ekstensif berbagai taktik penghindaran dan ketekunan yang memungkinkannya tetap tersembunyi dan sulit dihilangkan.

XorDDoS dikenal untuk menargetkan banyak arsitektur sistem Linux, dari ARM (IoT) hingga x64 (server), dan mengorbankan yang rentan dalam serangan brute force SSH.

Untuk menyebar ke lebih banyak perangkat, ia menggunakan skrip shell yang akan mencoba masuk sebagai root menggunakan berbagai kata sandi terhadap ribuan sistem yang terpapar Internet hingga akhirnya menemukan kecocokan.

Selain meluncurkan serangan DDoS, operator malware menggunakan botnet XorDDoS untuk menginstal rootkit, mempertahankan akses ke perangkat yang diretas, dan, kemungkinan, menjatuhkan muatan berbahaya tambahan.

Peningkatan besar dalam aktivitas XorDDoS yang dideteksi Microsoft sejak Desember sejalan dengan laporan oleh perusahaan keamanan siber CrowdStrike yang mengatakan bahwa malware Linux telah mengalami pertumbuhan 35% selama tahun 2021 dibandingkan tahun sebelumnya.

XorDDoS, Mirai, dan Mozi adalah keluarga yang paling umum, terhitung 22% dari semua serangan malware yang menargetkan perangkat Linux yang diamati pada tahun 2021.

Dari ketiganya, CrowdStrike mengatakan bahwa XorDDoS mengalami peningkatan signifikan dari tahun ke tahun sebesar 123%, sementara Mozi memiliki pertumbuhan aktivitas yang eksplosif, dengan sepuluh kali lebih banyak sampel terdeteksi di alam liar sepanjang tahun lalu.

Laporan Februari 2021 dari Intezer juga mengungkapkan bahwa keluarga malware Linux meningkat sekitar 40% pada tahun 2020 dibandingkan dengan 2019.

Sumber: Bleeping Computer

Peretas Menggunakan Layanan PrivateLoader PPI untuk Mendistribusikan Malware NetDooka Baru

May 14, 2022 by Søren

Layanan malware bayar-per-instal (PPI) yang dikenal sebagai PrivateLoader telah terlihat mendistribusikan kerangka kerja yang “cukup canggih” yang disebut NetDooka, memberikan penyerang kendali penuh atas perangkat yang terinfeksi.

“Kerangka ini didistribusikan melalui layanan bayar-per-instal (PPI) dan berisi beberapa bagian, termasuk loader, dropper, driver perlindungan, dan trojan akses jarak jauh (RAT) berfitur lengkap yang mengimplementasikan protokol komunikasi jaringannya sendiri. , ”kata Trend Micro dalam sebuah laporan yang diterbitkan Kamis.

PrivateLoader, seperti yang didokumentasikan oleh Intel 471 pada Februari 2022, berfungsi sebagai pengunduh yang bertanggung jawab untuk mengunduh dan memasang malware tambahan ke sistem yang terinfeksi, termasuk SmokeLoader, RedLine Stealer, Vidar, Raccoon, GCleaner, dan Anubis.

Menampilkan teknik anti-analisis, PrivateLoader ditulis dalam bahasa pemrograman C++ dan dikatakan dalam pengembangan aktif, dengan keluarga malware pengunduh mendapatkan daya tarik di antara beberapa pelaku ancaman.

Infeksi PrivateLoader biasanya disebarkan melalui perangkat lunak bajakan yang diunduh dari situs web jahat yang didorong ke bagian atas hasil pencarian melalui teknik keracunan optimasi mesin pencari (SEO).

“PrivateLoader saat ini digunakan untuk mendistribusikan ransomware, pencuri, bankir, dan malware komoditas lainnya,” Zscaler mencatat minggu lalu. “Pemuat kemungkinan akan terus diperbarui dengan fitur dan fungsionalitas baru untuk menghindari deteksi dan secara efektif mengirimkan muatan malware tahap kedua.”

Selengkapnya: Olivers Post

Malware Builder Memanfaatkan Discord Webhooks

May 14, 2022 by Søren

Malware Builder adalah program yang dapat membuat executable mereka sendiri di atasnya. Analis ancaman dari Uptycs menemukan sampel yang dijuluki “KurayStealer.” Menurut peneliti, malware tersebut telah digunakan untuk menargetkan pengguna Discord.

Penulis di balik KurayStealer jelas mengambil inspirasi – dan kode – dari serangan-serangan lainnya. “Kami telah melihat beberapa versi serupa lainnya beredar di repositori publik seperti github,” catat para peneliti, menyimpulkan bahwa “pembuat KurayStelaer memiliki beberapa komponen pencuri kata sandi yang berbeda.”

Saat pertama kali dijalankan, KurayStealer menjalankan pemeriksaan untuk menentukan apakah pengguna jahat menjalankan versi gratis atau “VIP” (berbayar).

Selanjutnya, ia mencoba untuk mengganti string “api/webhooks” dengan “Kisses” di BetterDiscord – versi diperpanjang dari aplikasi Discord, dengan fungsionalitas yang lebih besar untuk pengembang. Jika tindakan ini berhasil, peretas dapat merusak aplikasi untuk menyiapkan webhook.

Webhook adalah mekanisme di mana halaman web dan aplikasi dapat mengirim data waktu nyata satu sama lain melalui HTTP. Mereka seperti API, perbedaan utamanya adalah bahwa webhook mengirim informasi secara otomatis, tanpa memerlukan permintaan dari penerima.

Dengan webhook, program mengambil tangkapan layar dan mengambil lokasi geografis mesin target. Kemudian mulai berburu kredensial: mencari kata sandi, token, alamat IP, dan lainnya dari Discord, Microsoft Edge, Chrome, dan 18 aplikasi lainnya. Setiap data yang dijelajahi dalam proses ini disalurkan kembali ke penyerang melalui webhook.

Selengkapnya: Threat Post

Peneliti Memperingatkan Penyebaran Malware ‘Raspberry Robin’ melalui Drive Eksternal

May 7, 2022 by Søren

Peneliti keamanan siber telah menemukan malware Windows baru dengan kemampuan seperti worm dan disebarkan melalui perangkat removable USB.

Malware tersebut dikaitkan ke cluster bernama “Raspberry Robin,” peneliti Red Canary mencatat bahwa worm “memanfaatkan Windows Installer untuk menjangkau domain terkait QNAP dan mengunduh DLL berbahaya.”

Tanda-tanda paling awal dari aktivitas malware tersebut dikatakan terjadi pada September 2021, dengan infeksi pada organisasi di sektor teknologi dan manufaktur.

Rantai serangan yang berkaitan dengan Raspberry Robin dimulai dengan menghubungkan drive USB yang terinfeksi ke mesin Windows. Isi dari drive USB tersebut adalah muatan worm, yang muncul sebagai file pintasan .LNK ke folder yang sah.

Kemudian, worm akan menangani proses baru menggunakan cmd.exe untuk membaca dan mengeksekusi file berbahaya yang tersimpan di drive eksternal.

Hal ini diikuti dengan mengeksekusi explorer.exe dan msiexec.exe, yang kemudian akan digunakan untuk komunikasi jaringan eksternal ke domain jahat untuk tujuan command-and-control (C2) dan untuk mengunduh dan menginstal file library DLL.

DLL berbahaya selanjutnya dimuat dan dieksekusi menggunakan rantai utilitas Windows yang sah seperti fodhelper.exe, rundll32.exe hingga rundll32.exe, dan odbcconf.exe, secara efektif melewati User Access Control (UAC).

Selain itu, temuan lain yang terdeteksi pada seluruh Raspberry Robin adalah adanya kontak C2 keluar yang melibatkan proses regsvr32.exe, rundll32.exe, dan dllhost.exe ke alamat IP yang terkait dengan node Tor.

Hal tersebut berarti, tujuan operator tetap tidak terjawab pada tahap ini. Juga tidak jelas bagaimana dan di mana drive eksternal terinfeksi, meskipun diduga dilakukan secara offline.

“Kami juga tidak tahu mengapa Raspberry Robin memasang DLL berbahaya,” kata para peneliti. “Satu hipotesis adalah bahwa itu mungkin upaya untuk membangun persistence pada sistem yang terinfeksi.”

Selengkapnya: The Hacker News

Artist Pixiv, DeviantArt mendapat tawaran pekerjaan NFT yang mendorong malware

May 5, 2022 by Winnie the Pooh

Pengguna di Pixiv, DeviantArt, dan platform online berorientasi pencipta lainnya melaporkan menerima banyak pesan dari orang-orang yang mengaku berasal dari proyek NFT “Cyberpunk Ape Executives”, dengan tujuan utama menginfeksi perangkat artis dengan malware pencuri informasi.

“Cyberpunk Ape Executives” adalah koleksi terbatas token non-fungible (NFT) mengikuti pendekatan klub tertutup yang telah memberikan ketenaran dan nilai astronomi pada usaha serupa.

Dilansir dari Malwarebytes, aktor ancaman menargetkan artis dengan tawaran untuk bekerja dengan orang-orang di belakang proyek dan merancang serangkaian karakter baru untuk memperluas koleksi dengan NFT baru, menawarkan kompensasi hingga $350 per hari.

Pesan yang dikirim ke artis berisi tautan yang, jika diklik, mengarah ke halaman unduhan MEGA dimana korban dapat mengunduh arsip RAR 4,1 MB yang dilindungi kata sandi bernama ‘Cyberpunk Ape Exemples (pass 111).rar’ yang berisi sampel Karya seni Eksekutif Kera Cyberpunk.

Di dalam arsip, para seniman akan menemukan GIF dari Cyberpunk Ape Executives NFTs, dan di antaranya, ada file executable yang dibuat agar terlihat seperti gambar GIF lainnya, mudah dipadukan dengan koleksi lainnya.

File executable ini adalah malware installer yang akan menginfeksi perangkat dengan trojan pencuri informasi dengan peluang bagus untuk melewati deteksi AV berdasarkan deteksi VirusTotal saat ini.

Malware pencuri informasi biasanya menargetkan informasi yang disimpan di browser, seperti kata sandi akun, dompet cryptocurrency, kartu kredit, atau bahkan file di disk.

Ketika pelaku ancaman mendapatkan kredensial akun dari akun terkenal dengan jumlah pengikut yang tinggi, mereka akan menggunakannya untuk mempromosikan penipuan yang sama ke lebih banyak pengguna.

Selengkapnya: Bleeping Computer

Grup APT Baru Earth Berberoka Menargetkan Situs Web Perjudian Dengan Malware Lama dan Baru

May 2, 2022 by Søren

Peneliti baru-baru ini menemukan grup ancaman persisten tingkat lanjut (APT) baru yang kami beri nama Bumi Berberoka (alias Boneka Perjudian). Berdasarkan analisis kami, grup ini menargetkan situs web perjudian.

Investigasi kami juga menemukan bahwa Earth Berberoka menargetkan platform Windows, Linux, dan macOS, dan menggunakan kelompok malware yang secara historis dikaitkan dengan individu berbahasa China.

Dalam entri blog ini, kami memberikan gambaran umum tentang keluarga malware Windows yang digunakan oleh Earth Berberoka dalam kampanyenya.

Jajaran malware ini mencakup keluarga malware yang telah dicoba dan diuji yang telah ditingkatkan, seperti PlugX dan Gh0st RAT, dan keluarga malware multi-tahap baru yang kami beri nama PuppetLoader.

Kami membahas detail teknis lengkap dari keluarga malware Earth Berberoka yang ditujukan untuk Linux dan macOS serta Windows, vektor infeksi, target, dan kemungkinan koneksi dengan grup APT lain dalam makalah penelitian kami “Operation Earth Berberoka: An Analysis of a Multivector and Multiplatform APT Kampanye Penargetan Situs Perjudian Online.”

Selengkapnya: Trend Micro

Varian Malware BotenaGo Baru yang Menargetkan Perangkat DVR Kamera Keamanan Lilin

April 26, 2022 by Eevee

Varian baru botnet IoT yang disebut BotenaGo telah muncul di alam liar, secara khusus memilih perangkat DVR kamera keamanan Lilin untuk menginfeksi mereka dengan malware Mirai.

Dijuluki “Lilin Scanner” oleh Nozomi Networks, versi terbaru dirancang untuk mengeksploitasi kerentanan injeksi perintah kritis berusia dua tahun dalam firmware DVR yang ditambal oleh perusahaan Taiwan pada Februari 2020.

BotenaGo, pertama kali didokumentasikan pada November 2021 oleh AT&T Alien Labs, ditulis dalam bahasa Golang dan menampilkan lebih dari 30 eksploitasi untuk kerentanan yang diketahui di server web, router, dan jenis perangkat IoT lainnya.

Kode sumber botnet telah diunggah ke GitHub, membuatnya siap untuk disalahgunakan oleh pelaku kriminal lainnya. “Dengan hanya 2.891 baris kode, BotenaGo berpotensi menjadi titik awal bagi banyak varian baru dan keluarga malware baru yang menggunakan kode sumbernya,” kata para peneliti tahun ini.

Malware BotenaGo baru adalah yang terbaru untuk mengeksploitasi kerentanan di perangkat DVR Lilin setelah Chalubo, Fbot, dan Moobot. Awal bulan ini, Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab) merinci botnet DDoS yang menyebar cepat yang disebut Fodcha yang menyebar melalui beberapa kelemahan N-Day yang berbeda, termasuk kelemahan Lilin, dan kata sandi Telnet/SSH yang lemah.

Salah satu aspek penting yang membedakan Lillin Scanner dari BotenaGo adalah ketergantungannya pada program eksternal untuk membangun daftar alamat IP perangkat Lilin yang rentan, kemudian mengeksploitasi kelemahan tersebut untuk mengeksekusi kode arbitrer dari jarak jauh pada target dan menyebarkan muatan Mirai.

Perlu dicatat bahwa malware tidak dapat menyebarkan dirinya dengan cara seperti cacing, dan hanya dapat digunakan untuk menyerang alamat IP yang diberikan sebagai input dengan binari Mirai.

Perilaku lain yang terkait dengan botnet Mirai adalah pengecualian rentang IP milik jaringan internal Departemen Pertahanan AS (DoD), Layanan Pos AS (USPS), General Electric (GE), Hewlett-Packard (HP), dan lainnya,” kata para peneliti.

Seperti Mirai, kemunculan Lilin Scanner menunjukkan penggunaan kembali kode sumber yang tersedia untuk menelurkan cabang malware baru.

Sumber : The Hacker News

Malware Prynt Stealer baru yang kuat dijual hanya dengan $100 per bulan

April 26, 2022 by Eevee

Analis ancaman telah melihat tambahan lain ke ruang pertumbuhan infeksi malware pencuri info, bernama Prynt Stealer, yang menawarkan kemampuan yang kuat dan modul keylogger dan clipper tambahan.

Prynt Stealer menargetkan banyak pilihan browser web, aplikasi perpesanan, dan aplikasi game dan juga dapat melakukan kompromi finansial langsung.

Penulisnya menjual alat dalam langganan berbasis waktu, seperti $100/bulan, $200/kuartal, atau $700 selama setahun, tetapi juga dijual di bawah lisensi seumur hidup seharga $900.

Selain itu, pembeli dapat memanfaatkan pembuat malware untuk membuat putaran Prynt yang khusus, ramping, dan sulit dideteksi untuk digunakan dalam operasi yang ditargetkan.

Biaya lisensi Prynt Stealer (Bleeping Computer)

Analis malware di Cyble telah menganalisis Prynt untuk mengevaluasi pencuri info baru dan melaporkan bahwa alat itu dibuat dengan kerahasian sebagai prioritas, menampilkan kebingungan biner dan string terenkripsi Rijndael.

Selain itu, semua komunikasi C2-nya dienkripsi dengan AES256, sedangkan folder AppData (dan subfolder) yang dibuat untuk menyimpan sementara data yang dicuri sebelum eksfiltrasi disembunyikan.

Dekripsi string yang di-hardcode (Cyble)

Pada awalnya, Prynt Stealer memindai semua drive di host dan mencuri dokumen, file database, file kode sumber, dan file gambar yang memiliki ukuran di bawah 5.120 byte (5 KB).

Selanjutnya, malware menargetkan data pengisian otomatis, kredensial (kata sandi akun), info kartu kredit, riwayat pencarian, dan cookie yang disimpan di browser web berbasis Chrome, MS Edge, dan Firefox.

Mencuri data dari browser Chromium (Cyble)

Pada tahap ini, malware menggunakan ScanData () untuk memeriksa apakah ada kata kunci yang relevan dengan perbankan, cryptocurrency, atau situs porno yang ada di data browser dan mencurinya jika ada.

Selanjutnya, Prynt menargetkan aplikasi perpesanan seperti Discord, Pidgin, dan Telegram dan juga mengambil token Discord jika ada di sistem.

File otorisasi aplikasi game, file save game, dan data berharga lainnya dari Ubisoft Uplay, Steam, dan Minecraft juga dicuri.

Kemudian, malware meminta registri untuk menemukan direktori data untuk dompet cryptocurrency, seperti Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda, dan dompet cryptocurrency Coinomi.

Karena direktori data ini berisi file konfigurasi dompet dan database yang sebenarnya, pelaku ancaman mengumpulkannya untuk mencuri cryptocurrency yang tersimpan di dalamnya.

Terakhir, Prynt mencuri data dari FileZilla, OpenVPN, NordVPN, dan ProtonVPN, menyalin kredensial akun terkait pada subfolder terkait di AppData.

Sebelum eksfiltrasi, Prynt Stealer melakukan tindakan profil sistem umum yang melibatkan penghitungan proses yang berjalan, mengambil tangkapan layar ringkasan, dan menggabungkannya dengan kredensial jaringan dan kunci produk Windows yang digunakan di mesin host.

Pencurian data terkompresi akhirnya dilakukan melalui bot Telegram yang menggunakan koneksi jaringan terenkripsi yang aman untuk meneruskan semuanya ke server jarak jauh.

Langkah Eksfiltrasi Data Telegram (Cyble)

Terlepas dari fitur-fitur di atas, yang sejalan dengan kemampuan kebanyakan pencuri info saat ini, Prynt juga dilengkapi dengan clipper dan keylogger.

Clipper adalah alat yang memantau data yang disalin pada clipboard mesin yang disusupi untuk mengidentifikasi alamat dompet cryptocurrency dan menggantinya saat itu juga dengan yang berada di bawah kendali aktor ancaman.

Setiap kali korban mencoba membayar dengan cryptocurrency ke alamat tertentu, malware secara diam-diam mengalihkan alamat penerima, dan pembayaran dialihkan ke peretas.

Keylogger adalah modul tambahan lain yang memungkinkan operator malware jarak jauh melakukan pencurian informasi massal dengan merekam semua penekanan tombol.

Prynt adalah tambahan lain untuk kebanyakan alat malware pencuri informasi yang tersedia yang dapat dipilih oleh penjahat dunia maya, banyak di antaranya baru-baru ini muncul di alam liar.

Sementara keylogger, clipper, dan kemampuan mencuri yang ekstensif dikombinasikan dengan operasi tersembunyi menjadikannya kandidat yang baik untuk penyebaran luas, biayanya yang relatif tinggi (dibandingkan dengan malware lain yang baru muncul) dan keandalan infrastruktur server yang meragukan mungkin menghambat kebangkitannya.

Namun, Prynt adalah malware berbahaya yang dapat mencuri informasi sensitif pengguna dan menyebabkan kerugian finansial yang signifikan, kompromi akun, dan pelanggaran data.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings