Malware

Malware DazzleSpy Baru Menargetkan Pengguna macOS Dalam Serangan Watering Hole

January 26, 2022 by Mally

Serangan lubang air baru ditemukan menargetkan pengguna macOS dan pengunjung situs web stasiun radio pro-demokrasi di Hong Kong yang menginfeksi mereka dengan malware DazzleSpy.

Seperti yang dirinci oleh para peneliti di ESET , itu adalah bagian dari operasi yang sama yang diungkapkan oleh Project Zero Google dua minggu lalu, yang memanfaatkan Chrome dan Windows zero-days untuk meretas ke perangkat Windows dan Android.

Laporan ESET berfokus pada eksploitasi kelemahan WebKit di browser web Safari, yang pada dasarnya menambahkan potongan terakhir dalam teka-teki dan mengonfirmasi bahwa kampanye tersebut menargetkan semua platform utama.

Serangan lubang air melibatkan infeksi situs web yang sah dengan malware, menargetkan demografi situs itu, dan dalam beberapa kasus, hanya alamat IP tertentu.

Kampanye tersebut menargetkan para pendukung kebebasan berbicara, kemerdekaan, dan aktivis politik. Salah satu contohnya yaitu situs palsu yang berusaha memikat para aktivis pembebasan dengan menggunakan domain “fightforhk[.]com” yang baru didaftarkan pada Oktober 2021.

Kedua situs web ini menampilkan iframe berbahaya yang mengarah ke domain yang memeriksa versi macOS dan mengalihkan ke tahap berikutnya, yang memuat kode JavaScript eksploit.

Iframe berbahaya yang memicu awal eksploitasi
Sumber: ESET

Eksploitasi menargetkan CVE-2021-1789, kesalahan eksekusi kode arbitrer yang dipicu saat memproses konten web dan memengaruhi versi Safari di bawah 14.1.

Eksploitasi mengimplementasikan dua primitif (‘addrof’ dan ‘fakeobj’) untuk mendapatkan akses baca dan tulis memori, sementara itu juga berisi kode yang membantu melewati mitigasi seperti ‘Gigacage’ dan memuat tahap berikutnya.

Langkah selanjutnya adalah eskalasi hak istimewa ke root, yang terjadi melalui file Mach-O yang dimuat ke dalam memori dan dieksekusi.

Kerentanan yang dieksploitasi untuk mencapai eskalasi hak istimewa adalah CVE-2021-30869, yang memungkinkan aplikasi untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

mata-mata yang mempesona
Langkah terakhir dalam proses ini adalah menjatuhkan DazzleSpy, pintu belakang kaya fitur yang mencakup berbagai kemampuan jahat.

DazzleSpy menetapkan kegigihan pada sistem yang disusupi dengan menambahkan file Daftar Properti baru ke folder ‘LaunchAgents’. Eksekusinya bersembunyi di $HOME/.local/ dengan nama ‘softwareupdate’ yang menyesatkan.

Ada banyak petunjuk yang menunjukkan asal pintu belakang, seperti pesan kesalahan internal, yang ditulis dalam bahasa Mandarin, dan konversi cap waktu yang dieksfiltrasi ke zona Waktu Standar China sebelum mencapai C2.

Pesan kesalahan internal dalam bahasa Cina
Sumber: ESET

Terakhir, DazzleSpy menampilkan enkripsi ujung ke ujung dalam komunikasinya, dan jika perantara memasukkan proxy pemeriksaan TLS di antaranya, ia berhenti mengirim data ke C2.

Sumber : Bleeping Computer

Malware Android BRATA menghapus perangkat Anda setelah mencuri data

January 25, 2022 by Mally

Malware Android BRATA telah menambahkan fitur baru dan berbahaya ke versi terbarunya, termasuk pelacakan GPS, kapasitas untuk menggunakan beberapa saluran komunikasi, dan fungsi yang melakukan reset pabrik pada perangkat untuk menghapus semua jejak aktivitas berbahaya.

BRATA pertama kali ditemukan oleh Kaspersky pada tahun 2019 sebagai RAT Android (alat akses jarak jauh) yang terutama menargetkan pengguna Brasil.

Pada bulan Desember 2021 Cleafy menggarisbawahi munculnya malware di Eropa, di mana terlihat menargetkan pengguna e-banking dan mencuri kredensial mereka dengan keterlibatan penipu yang menyamar sebagai agen dukungan pelanggan bank.

Versi terbaru dari malware BRATA sekarang menargetkan pengguna e-banking di Inggris, Polandia, Italia, Spanyol, Cina, dan Amerika Latin.

Setiap varian berfokus pada bank yang berbeda dengan set overlay khusus, bahasa, dan bahkan aplikasi yang berbeda untuk menargetkan audiens tertentu.

Varian BRATA beredar di berbagai negara
Sumber: Cleafy

Penulis menggunakan teknik kebingungan serupa di semua versi, seperti membungkus file APK ke dalam paket JAR atau DEX terenkripsi.

Kebingungan ini berhasil melewati deteksi antivirus, seperti yang diilustrasikan oleh pemindaian VirusTotal di bawah ini.

Tingkat deteksi sampel terbaru
Sumber: Cleafy

BRATA sekarang secara aktif mencari tanda-tanda keberadaan AV pada perangkat dan mencoba untuk menghapus alat keamanan yang terdeteksi sebelum melanjutkan ke langkah eksfiltrasi data.

Alat AV dihapus oleh BRATA
Sumber: Cleafy

Fitur-fitur baru yang ditemukan oleh peneliti Cleafy dalam versi BRATA terbaru termasuk fungsi keylogging, yang melengkapi fungsi screen capture yang ada.

Meskipun tujuan pastinya tetap menjadi misteri bagi para analis, semua varian baru juga memiliki pelacakan GPS.

Terakhir, BRATA telah menambahkan saluran komunikasi baru untuk bertukar data dengan server C2 dan sekarang mendukung HTTP dan WebSockets.

Komunikasi dengan C2 di BRATA baru
Sumber: Cleafy

Opsi WebSockets memberi aktor saluran langsung dan latensi rendah yang ideal untuk komunikasi waktu nyata dan eksploitasi manual langsung.

Selain itu, karena WebSockets tidak perlu mengirim header dengan setiap koneksi, volume lalu lintas jaringan yang mencurigakan berkurang, dan dengan perluasan, kemungkinan terdeteksi diminimalkan.

Cara terbaik untuk menghindari terinfeksi oleh malware Android adalah menginstal aplikasi dari Google Play Store, menghindari APK dari situs web yang teduh, dan selalu memindainya dengan alat AV sebelum dibuka.

Selama penginstalan, perhatikan baik-baik izin yang diminta dan hindari memberikan izin apa pun yang tampaknya tidak perlu untuk fungsionalitas inti aplikasi.

Terakhir, pantau konsumsi baterai dan volume lalu lintas jaringan untuk mengidentifikasi lonjakan yang tidak dapat dijelaskan yang mungkin dikaitkan dengan proses berbahaya yang berjalan di latar belakang.

Sumber : Bleeping Computer

Microsoft menonaktifkan makro Excel 4.0 secara default untuk memblokir malware

January 24, 2022 by Mally

Microsoft telah mengumumkan bahwa makro Excel 4.0 (XLM) sekarang akan dinonaktifkan secara default untuk melindungi pelanggan dari dokumen berbahaya. Perusahaan mengungkapkan akan menonaktifkan makro XLM di semua penyewa jika pengguna atau admin tidak mengaktifkan atau menonaktifkan fitur secara manual.

Mulai Juli 2021, admin Windows juga dapat menggunakan kebijakan grup dan pengguna pengaturan ‘Aktifkan makro XLM saat makro VBA diaktifkan’ dari Pusat Kepercayaan Excel untuk menonaktifkan fitur ini secara manual.

Admin dapat mengonfigurasi bagaimana makro Excel diizinkan untuk berjalan menggunakan pengaturan Kebijakan Grup, kebijakan Cloud, dan kebijakan ADMX.

Mereka juga dapat memblokir semua penggunaan makro XLM Excel di lingkungan mereka (termasuk file baru yang dibuat pengguna) dengan mengaktifkan Kebijakan Grup “Cegah Excel menjalankan makro XLM”, yang dapat dikonfigurasi melalui Editor Kebijakan Grup atau kunci registri.

Dokumen XLS dengan makro Excel 4.0 yang dikaburkan

Makro XLM (alias Excel 4.0) adalah format makro Excel default hingga Excel 5.0 dirilis pada tahun 1993 ketika Microsoft pertama kali memperkenalkan makro VBA yang masih merupakan format default.

Namun, meskipun dihentikan, pelaku ancaman masih menggunakan XLM tiga dekade kemudian untuk membuat dokumen yang menyebarkan malware atau melakukan perilaku berbahaya lainnya yang memanipulasi file di sistem file lokal karena versi Microsoft Office saat ini masih mendukung makro XLM.

Kampanye berbahaya yang menggunakan makro jenis ini untuk mendorong malware telah diamati dengan mengunduh dan menginstal TrickBot, Zloader, Qbot, Dridex, dan banyak jenis lainnya di komputer korban.

Microsoft juga diam-diam menambahkan Kebijakan Grup pada Oktober 2019 yang memungkinkan admin memblokir pengguna Excel dari membuka file Microsoft Query yang tidak tepercaya (dan berpotensi berbahaya) dengan ekstensi IQY, OQY, DQY, dan RQY.

File-file tersebut telah dipersenjatai dalam berbagai serangan berbahaya untuk mengirimkan Trojan akses jarak jauh dan pemuat malware sejak awal 2018.

Sumber : Bleeping Computer

Malware BHUNT baru menargetkan wallet dan kata sandi crypto Anda

January 20, 2022 by Mally

Malware pencuri crypto-wallet modular baru yang dijuluki ‘BHUNT’ telah terlihat menargetkan konten dompet cryptocurrency, kata sandi, dan frasa keamanan.

Ini adalah pencuri crypto lainnya yang ditambahkan ke tumpukan besar malware yang menargetkan mata uang digital, tetapi patut mendapat perhatian khusus karena sifatnya yang tersembunyi.

Penemuan dan analisis malware BHUNT baru berasal dari Bitdefender, yang membagikan temuan mereka dengan Bleeping Computer sebelum dipublikasikan.

Untuk menghindari deteksi dan memicu peringatan keamanan, BHUNT dikemas dan sangat dienkripsi menggunakan Themida dan VMProtect, dua pengemas mesin virtual yang menghalangi adanya reverse engineering dan analisis oleh para peneliti.

Pelaku ancaman menandatangani malware yang dapat dieksekusi dengan tanda tangan digital yang dicuri dari Piriform, pembuat CCleaner. Namun, karena pengembang malware menyalinnya dari executable yang tidak terkait, itu ditandai sebagai tidak valid karena ketidakcocokan binary.

Bitdefender menemukan bahwa BHUNT disuntikkan ke explorer.exe dan kemungkinan dikirimkan ke sistem yang disusupi melalui unduhan KMSpico, utilitas populer untuk mengaktifkan produk Microsoft secara ilegal.

Komponen utama BHUNT adalah ‘mscrlib.exe,’ yang mengekstrak modul lebih lanjut yang diluncurkan pada sistem yang terinfeksi untuk melakukan perilaku jahat yang berbeda.

Modul saat ini termasuk dalam executable ‘mscrlib.exe’ BHUNT dijelaskan di bawah ini:

blackjack – mencuri isi file wllet, mengkodekannya dengan basis 64, dan mengunggahnya ke server C2
chaos_crew – mengunduh muatan
golden7 – mencuri kata sandi dari clipboard dan mengunggah file ke server C2
Sweet_Bonanza – mencuri informasi dari browser (Chrome, IE, Firefox, Opera, Safari)
mrpropper – membersihkan jejak (file argumen)

Dompet yang ditargetkan adalah Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin, dan Litecoin.

Selengkapnya: Bleeping Computer

Pemerintah Ukraina Secara Resmi Menuduh Rusia atas Serangan Siber Baru-baru ini

January 19, 2022 by Mally

Pemerintah Ukraina secara resmi menuduh Rusia mendalangi serangan yang menargetkan situs web lembaga publik dan lembaga pemerintah pekan lalu.

“Semua bukti menunjukkan fakta bahwa Rusia berada di balik serangan siber,” kata Kementerian Transformasi Digital dalam sebuah pernyataan. “Moskow terus mengobarkan perang hibrida dan secara aktif membangun kekuatan di bidang informasi dan dunia maya.”

Tujuan serangan itu, kata kementerian itu, “tidak hanya untuk mengintimidasi masyarakat,” tetapi juga “menggoyahkan situasi di Ukraina dengan menghentikan pekerjaan sektor publik dan merusak kepercayaan pada pemerintah di pihak Ukraina.”

Rusia, telah membantah berada di balik intrusi tersebut. “Kami tidak ada hubungannya dengan itu, dan Rusia tidak ada hubungannya dengan serangan siber ini,” Dmitry Peskov, sekretaris pers untuk Presiden Vladimir Putin, mengatakan “Kami hampir terbiasa dengan fakta bahwa Ukraina menyalahkan segalanya pada Rusia, bahkan cuaca buruk mereka.”

Pengungkapan itu muncul ketika sejumlah situs web pemerintah Ukraina dirusak pada hari Jumat dengan pesan tidak menyenangkan yang mengancam warganya untuk “takut dan mengharapkan yang terburuk” dan menuduh informasi pribadi mereka telah diretas.

Menurut Layanan Keamanan Ukraina (SSU), serangan itu diyakini telah dilakukan setelah aktor jahat memperoleh akses ke infrastruktur perusahaan swasta yang memiliki hak untuk mengelola beberapa situs web yang terpengaruh.

Secara terpisah, Microsoft memperingatkan malware penghapus data destruktif yang menyamar sebagai ransomware yang digunakan dalam serangan terhadap banyak organisasi di Ukraina. Perusahaan, yang menyebut keluarga malware baru ini WhisperGate, mengaitkannya dengan kluster ancaman yang dilacaknya sebagai DEV-0586.

Sumber : The Hacker News

Ups: Cyberspies menginfeksi diri mereka sendiri dengan malware mereka sendiri

January 11, 2022 by Mally

Setelah menginfeksi diri mereka sendiri dengan trojan akses jarak jauh (RAT), sebuah kelompok spionase dunia maya yang terkait dengan India secara tidak sengaja memaparkan operasinya kepada peneliti keamanan.

Pelaku ancaman telah aktif setidaknya sejak Desember 2015 dan dilacak sebagai PatchWork (alias Dropping Elephant, Chinastrats, atau Quilted Tiger) karena penggunaan kode copy-paste.

Malwarebytes Labs mengamati pelaku ancaman menggunakan dokumen RTF berbahaya yang meniru otoritas Pakistan untuk menginfeksi target dengan varian baru RAT BERITA BURUK, yang dikenal sebagai Ragnatela.

Ragnatela RAT memungkinkan pelaku ancaman untuk mengeksekusi perintah, mengambil snapshot layar, mencatat penekanan tombol, memanen file sensitif dan daftar aplikasi yang sedang berjalan, menyebarkan muatan tambahan, dan mengunggah file.

“Ironisnya, semua informasi yang kami kumpulkan dimungkinkan berkat aktor ancaman yang menginfeksi diri mereka sendiri dengan RAT mereka sendiri, menghasilkan penekanan tombol dan tangkapan layar yang ditangkap dari komputer dan mesin virtual mereka sendiri,” jelas Tim Intelijen Ancaman Malwarebytes Labs.

Setelah menemukan bahwa operator PatchWork menginfeksi sistem pengembangan mereka sendiri dengan RAT, para peneliti dapat memantau mereka saat menggunakan VirtualBox dan VMware untuk pengujian dan pengembangan web dan pengujian pada komputer dengan tata letak keyboard ganda (yaitu, Inggris dan India).

PatchWork menguji RAT Ragnatela (Malwarebytes LABS)

Saat mengamati operasi mereka, mereka juga memperoleh info tentang target yang dikompromikan kelompok, termasuk Kementerian Pertahanan Pakistan dan anggota fakultas dari kedokteran molekuler dan departemen ilmu biologi di beberapa universitas seperti Universitas Pertahanan Nasional Islam Abad, Fakultas Bio-Universitas UVAS. Sains, institut Penelitian HEJ Karachi, dan Universitas SHU.

Operator PatchWork sebelumnya telah menargetkan think tank AS pada Maret 2018 dalam beberapa kampanye spear-phishing menggunakan taktik yang sama dengan mendorong file RTF berbahaya untuk membahayakan sistem korban mereka dan varian malware QuasarRAT.

Dua bulan sebelumnya, pada Januari 2018, mereka diamati mendorong dokumen bersenjata yang mengirimkan malware BADNEWS dalam serangan terhadap target dari anak benua India.

Mereka juga berada di balik kampanye spear-phishing yang menargetkan karyawan organisasi pemerintah Eropa pada akhir Mei 2016.

Sumber : Bleeping Computer

Fitur komentar Google Documents dieksploitasi untuk spear-phishing

January 7, 2022 by Mally

Tren baru dalam serangan phishing muncul pada Desember 2021, dengan pelaku ancaman menyalahgunakan fitur komentar Google Documents untuk mengirimkan email yang tampaknya dapat dipercaya.

Karena Google sendiri sedang “ditipu” untuk mengirimkan email ini, kemungkinan alat keamanan email menandai mereka sebagai berpotensi berisiko hampir nol.

Peretas menggunakan akun Google mereka untuk membuat Dokumen Google dan kemudian mengomentarinya untuk menyebutkan target dengan @.

Google kemudian mengirimkan email pemberitahuan ke kotak masuk target, memberi tahu mereka bahwa pengguna lain telah mengomentari dokumen dan menyebut mereka.

Email berisiko dibuat dan dikirim oleh Google
Sumber: Avanan

Komentar pada email dapat membawa tautan berbahaya yang menyebabkan malware menjatuhkan halaman web atau situs phishing, email pelaku ancaman juga tidak ditampilkan di notifikasi, dan penerima hanya melihat nama. Hal ini membuat peniruan menjadi sangat mudah, dan sekaligus meningkatkan peluang keberhasilan bagi para aktor.

Teknik yang sama bekerja pada komentar Google Slide juga, dan Avanan melaporkan telah melihat aktor memanfaatkannya di berbagai elemen layanan Google Workspace.

Penyerang tidak perlu membagikan dokumen dengan target mereka karena menyebutkan mereka sudah cukup untuk mengirim pemberitahuan berbahaya.

Menurut Avanan, pelaku ancaman di balik serangan ini tampaknya berpihak pada pengguna Outlook, tetapi target demografisnya tidak terbatas pada mereka.

Kampanye spear-phishing yang sedang berlangsung ini menggunakan lebih dari 100 akun Google dan telah mencapai 500 kotak masuk di 30 organisasi.

Satu-satunya cara untuk mengurangi risiko kampanye ini dan kampanye serupa adalah dengan:

Konfirmasikan bahwa email pengirim cocok dengan rekan Anda (atau orang yang diklaim)
Hindari mengklik tautan yang datang melalui email dan disematkan di komentar
Terapkan tindakan keamanan tambahan yang menerapkan aturan berbagi file yang lebih ketat di Google Workspace
Gunakan solusi keamanan internet dari vendor tepercaya yang memiliki fitur perlindungan URL phishing

Sumber : Bleeping Computer

Rootkit Purple Fox ditemukan di penginstal Telegram jahat

January 7, 2022 by Mally

Tim keamanan siber Minerva Labs, yang bekerja dengan MalwareHunterTeam, mengatakan bahwa Purple Fox sedang disamarkan melalui file bernama “Telegram Desktop.exe.” yang mereka percaya bahwa mereka menginstal layanan perpesanan populer, sebaliknya, menjadi sarat dengan malware dan proses infeksi membuatnya lebih sulit untuk dideteksi.

Pertama kali ditemukan pada tahun 2018, Purple Fox telah menyebar melalui berbagai cara, termasuk email phishing, tautan berbahaya, dan kit eksploitasi. Namun, dalam beberapa tahun terakhir, metode distribusi telah diperluas untuk mencakup kompromi layanan yang rentan terhadap internet, layanan UKM yang terbuka, dan penginstal palsu.

Pemasang Telegram berbahaya telah dikembangkan sebagai skrip AutoIt yang dikompilasi. Setelah dieksekusi, penginstal Telegram yang sah akan dihapus tetapi tidak pernah digunakan bersama dengan pengunduh berbahaya bernama TextInputh.exe.

Serangan tersebut kemudian dipisahkan menjadi beberapa file kecil, sebuah teknik yang menurut Minerva memungkinkan pelaku ancaman untuk tetap berada di bawah radar dan sebagian besar file “memiliki tingkat deteksi yang sangat rendah oleh mesin AV, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox. .”

TextInputh.exe membuat folder baru dan menghubungkan ke server command-and-control (C2) malware. Dua file baru kemudian diunduh dan dieksekusi, yang membongkar arsip .RAR dan file yang digunakan untuk memuat reflektif berbahaya.DLL.

Kunci registri dibuat untuk mengaktifkan kegigihan pada mesin yang terinfeksi, dan lima file selanjutnya dimasukkan ke folder ProgramData untuk menjalankan fungsi, termasuk mematikan berbagai proses antivirus sebelum Purple Fox akhirnya disebarkan.

Trojan Purple Fox hadir dalam varian Windows 32-bit dan 64-bit. Pada bulan Maret tahun lalu, Guardicore Labs menemukan kemampuan worm baru telah diintegrasikan ke dalam malware, dan ribuan server yang rentan telah dibajak untuk menampung muatan Purple Fox.

Pada bulan Oktober, Trend Micro menemukan backdoor .net baru, dijuluki FoxSocket, yang diyakini sebagai tambahan baru untuk kemampuan malware yang ada.

Mengingat bahwa malware sekarang berisi rootkit, fungsionalitas worm, dan telah ditingkatkan dengan pintu belakang yang lebih kuat, dimasukkannya proses infeksi yang lebih tersembunyi berarti bahwa peneliti keamanan siber kemungkinan akan terus mengawasi perkembangan malware ini di masa depan.

Sumber : ZDnet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings