Malware

Dua Juta Data Kredensial Pengguna Domain .id Bocor

April 12, 2022 by Eevee

DarkTracer, platform online khusus untuk threat intelligence Dark Web dan Deep Web, melalui akun Twitter nya hari ini merilis daftar domain .id yang beberapa kredensial pengguna nya telah didistribusikan di Dark/Deep Web.

Total ada 2.180.233 kredensial dari 93.117 domain .id yang dilaporkan oleh DarkTracer. Sebagai catatan, kredensial-kredensial ini bocor dari pengguna yang situs yang telah terinfeksi malware pencuri informasi (information stealer). Tidak disebutkan malware pencuri informasi mana saja yang telah mendapatkan kredensial tersebut.

Pengguna situs diharapkan untuk segera mengganti password dan menerapkan Multi-Factor Authentication sesegera mungkin.

Sumber: https://twitter.com/darktracer_int/status/1513745569172574212?cxt=HHwWiMDSrebk84EqAAAA

Malware perbankan Android menyadap panggilan ke dukungan pelanggan

April 12, 2022 by Eevee

Trojan perbankan untuk Android yang oleh para peneliti disebut Fakecalls hadir dengan kemampuan canggih yang memungkinkannya mengambil alih panggilan ke nomor dukungan pelanggan bank dan menghubungkan korban secara langsung dengan penjahat dunia maya yang mengoperasikan malware.

Menyamar sebagai aplikasi seluler dari bank populer, Fakecalls menampilkan semua tanda entitas yang ditirunya, termasuk logo resmi dan nomor dukungan pelanggan.

Ketika korban mencoba menelepon bank, malware memutuskan koneksi dan menunjukkan layar panggilannya, yang hampir tidak bisa dibedakan dari yang asli.

Antarmuka panggilan malware mobile banking palsu (sumber: Kaspersky)

Trojan mobile banking palsu dapat melakukan ini karena pada saat instalasi meminta beberapa izin yang memberikan akses ke daftar kontak, mikrofon, kamera, geolokasi, dan penanganan panggilan.

Malware muncul tahun lalu dan terlihat menargetkan pengguna di Korea Selatan, pelanggan bank populer seperti KakaoBank atau Kookmin Bank (KB), peneliti keamanan di Kaspersky mencatat dalam sebuah laporan hari ini.

Kaspersky menganalisis malware tersebut dan menemukan bahwa malware tersebut juga dapat memutar pesan yang telah direkam sebelumnya yang meniru pesan yang biasanya digunakan oleh bank untuk menyambut pelanggan yang mencari dukungan:

Kode di Fakecalls untuk memutar audio yang telah direkam sebelumnya (sumber: Kaspersky)

Pengembang malware mencatat beberapa frasa yang biasa digunakan oleh bank untuk memberi tahu pelanggan bahwa operator akan menerima panggilan mereka segera setelah tersedia.

Di bawah ini adalah dua contoh audio yang telah direkam sebelumnya (dalam bahasa Korea) yang dimainkan oleh malware Fakecalls untuk membuat tipu muslihat lebih realistis:

Halo. Terima kasih telah menelepon KakaoBank. Pusat panggilan kami saat ini menerima panggilan dengan volume yang luar biasa besar. Seorang konsultan akan berbicara kepada Anda sesegera mungkin. Untuk meningkatkan kualitas layanan, percakapan Anda akan direkam.

Selamat datang di Kookmin Bank. Percakapan Anda akan direkam. Kami sekarang akan menghubungkan Anda dengan operator.

Peneliti Kaspersky mengatakan bahwa malware juga dapat memalsukan panggilan masuk, memungkinkan penjahat dunia maya untuk menghubungi korban seolah-olah mereka adalah layanan dukungan pelanggan bank.

Izin yang diminta malware saat penginstalan memungkinkan penjahat dunia maya untuk memata-matai korban dengan menyiarkan audio dan video secara real-time dari perangkat, melihat lokasinya, menyalin file (kontak, file seperti foto dan video), dan riwayat pesan teks.

Rekomendasi Kaspersky untuk menghindari menjadi korban malware semacam itu termasuk mengunduh aplikasi hanya dari toko resmi, dan memperhatikan izin yang berpotensi berbahaya yang diminta aplikasi (akses ke panggilan, SMS, aksesibilitas), terutama jika aplikasi tidak membutuhkannya.

Selain itu, para peneliti menyarankan pengguna untuk tidak membagikan informasi rahasia melalui telepon (kredensial login, PIN, kode keamanan kartu, kode konfirmasi).

Sumber : Bleeping Computer

Malware Qbot beralih ke vektor infeksi Pemasang Windows baru

April 12, 2022 by Eevee

Botnet Qbot sekarang mendorong muatan malware melalui email phishing dengan lampiran arsip ZIP yang dilindungi kata sandi yang berisi paket Penginstal Windows MSI yang berbahaya.

Ini adalah pertama kalinya operator Qbot menggunakan taktik ini, beralih dari cara standar mereka mengirimkan malware melalui email phishing yang menjatuhkan dokumen Microsoft Office dengan makro berbahaya pada perangkat target.

Peneliti keamanan menduga langkah ini mungkin merupakan reaksi langsung terhadap Microsoft yang mengumumkan rencana untuk membunuh pengiriman malware melalui makro VBA Office pada bulan Februari setelah menonaktifkan makro Excel 4.0 (XLM) secara default pada bulan Januari.

Microsoft telah mulai meluncurkan fitur blokir otomatis makro VBA ke pengguna Office untuk Windows pada awal April 2022, dimulai dengan Versi 2203 di Saluran Saat Ini (Pratinjau) dan ke saluran rilis lain dan versi yang lebih lama nanti.

“Perlu dicatat bahwa sementara ancaman menggunakan makro Excel 4.0 sebagai upaya untuk menghindari deteksi, fitur ini sekarang dinonaktifkan secara default dan dengan demikian mengharuskan pengguna untuk mengaktifkannya secara manual agar ancaman tersebut dapat dieksekusi dengan benar.”

Ini adalah peningkatan keamanan yang signifikan untuk melindungi pelanggan Office karena menggunakan makro VBA berbahaya yang disematkan dalam dokumen Office adalah metode umum untuk mendorong berbagai jenis malware dalam serangan phishing, termasuk Qbot, Emotet, TrickBot, dan Dridex.

Qbot (juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows modular dengan fitur worm yang digunakan setidaknya sejak 2007 untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan, serta untuk menjatuhkan backdoors pada komputer yang disusupi dan menyebarkan Cobalt Suar pemogokan.

Malware ini juga dikenal menginfeksi perangkat lain di jaringan yang disusupi menggunakan eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif yang menargetkan akun admin Active Directory.

Meskipun aktif selama lebih dari satu dekade, malware Qbot terutama digunakan dalam serangan yang sangat ditargetkan terhadap entitas perusahaan karena mereka memberikan pengembalian investasi yang lebih tinggi.

Beberapa geng ransomware, termasuk REvil, Egregor, ProLock, PwndLocker, dan MegaCortex, juga telah menggunakan Qbot untuk menembus jaringan perusahaan.

Karena infeksi Qbot dapat menyebabkan infeksi berbahaya dan serangan yang sangat mengganggu, admin TI dan profesional keamanan harus terbiasa dengan malware ini, taktik yang digunakan untuk menyebar ke seluruh jaringan, dan yang digunakan oleh operator botnet untuk mengirimkannya ke target baru.

Sumber : Bleeping Computer

Malware Android “Octo” ingin mendapatkan informasi perbankan Anda

April 10, 2022 by Søren

Peneliti keamanan siber Threat Fabric mengetahui tentang Octo dari melihat permintaannya di web gelap. Threat Fabric menemukan bahwa Octo memiliki banyak kesamaan dengan ExobotCompact, termasuk langkah-langkah untuk mencegah rekayasa balik malware dan pengkodean yang membuatnya mudah disembunyikan di dalam aplikasi yang tampak tidak bersalah di Google Play Store — serta trik penonaktifan yang rapi Google Protect saat diunduh.

Untuk menjalankan ODF, Octo menyelinap masuk melalui layanan Aksesibilitas dan mengatur jumlah streaming langsung ke server perintah dan kontrol penyerang yang diperbarui setiap detik dari ponsel yang disusupi.

Kemudian menggunakan layar hitam dan menonaktifkan notifikasi untuk mengaburkan apa yang sedang dilakukan dari pengguna yang tidak bersalah. Jadi pada dasarnya, sepertinya perangkat Anda telah dimatikan, tetapi malware mengadakan pesta saat layar kosong, dan melakukan sejumlah tugas seperti menggulir, mengetuk, mengirim teks, dan memotong dan menempel.

Octo juga menggunakan perangkat lunak keylogging untuk melacak semua jenis pengguna yang diretas ke dalam perangkat (seperti PIN, nomor jaminan sosial, pesan OnlyFans), dan mampu memblokir pemberitahuan push oleh aplikasi tertentu dan mencegat atau mengirim teks.

Seperti yang ditunjukkan oleh Bleeping Computer dan Threat Fabric, perangkat lunak berbahaya menjadi lebih licik dengan setiap evolusi baru, menambahkan fitur seperti penghindaran otentikasi multi-faktor. Sangat mudah untuk merasa benar-benar terbuka.

Kewaspadaan adalah kunci dalam melindungi diri Anda dan data Anda. Tetap terinformasi tentang ancaman terbaru dan perbarui perangkat Anda dengan patch keamanan terbaru.

Selengkapnya: Android Police

Peretas membajak situs web dewasa untuk menginfeksi korban dengan malware

April 10, 2022 by Søren

Penjahat dunia maya menipu korban agar mengunduh malware (terbuka di tab baru) dengan memberi tahu mereka bahwa browser mereka sudah usang dan perlu diperbarui untuk melihat konten halaman.

Peneliti keamanan siber Avast Jan Rubin dan Pavel Novak menemukan kampanye phishing di mana aktor ancaman yang tidak dikenal menyusupi lebih dari 16.000 WordPress dan situs web Joomla yang dihosting (dibuka di tab baru) dengan kredensial login yang lemah.

Ini biasanya situs web konten dewasa, situs web pribadi, situs universitas, dan halaman pemerintah daerah

Setelah mendapatkan akses ke situs-situs ini, para penyerang akan membuat Traffic Direction System (TDS), Parrot TDS. TDS adalah gerbang berbasis web yang mengarahkan pengguna ke berbagai konten, tergantung pada parameter tertentu.

Itu memungkinkan penyerang untuk menyebarkan malware hanya pada titik akhir (terbuka di tab baru) yang dianggap sebagai target yang baik (tindakan keamanan siber yang buruk, misalnya, atau lokasi geografis tertentu).

Mereka yang mendapatkan pesan untuk “memperbarui” browser mereka, sebenarnya akan disajikan Remote Access Trojan (RAT) yang disebut NetSupport Manager. Ini memberi penyerang akses penuh ke titik akhir target.

Selengkapnya: Tech Radar

Malware pencuri kata sandi Android menginfeksi 100.000 pengguna Google Play

March 24, 2022 by Eevee

Aplikasi Android berbahaya yang mencuri kredensial Facebook telah diinstal lebih dari 100.000 kali melalui Google Play Store, dengan aplikasi masih tersedia untuk diunduh.

Malware Android menyamar sebagai aplikasi pembuat kartun yang disebut ‘Craftsart Cartoon Photo Tools,’ yang memungkinkan pengguna mengunggah gambar dan mengubahnya menjadi rendering kartun.

Selama seminggu terakhir, peneliti keamanan dan firma keamanan seluler Pradeo menemukan bahwa aplikasi Android menyertakan trojan bernama ‘FaceStealer,’ yang menampilkan layar masuk Facebook yang mengharuskan pengguna untuk masuk sebelum menggunakan aplikasi.

Aplikasi yang meminta pengguna untuk login di Facebook (Pradeo)

Menurut peneliti keamanan Jamf Michal Rajčan, ketika pengguna memasukkan kredensial mereka, aplikasi akan mengirim mereka ke server perintah dan kontrol di zutuu[.]info [VirusTotal], yang kemudian dapat dikumpulkan oleh penyerang.

Selain server C2, aplikasi Android berbahaya akan terhubung ke www.dozenorms[.]club URL [VirusTotal] tempat data lebih lanjut dikirim, dan yang telah digunakan di masa lalu untuk mempromosikan aplikasi Android FaceStealer berbahaya lainnya.

Mengirim data ke lusinorms[.]server klub
Sumber: BleepingComputer

Pembuat dan distributor aplikasi ini tampaknya telah mengotomatiskan proses pengemasan ulang dan menyuntikkan sepotong kecil kode berbahaya ke dalam aplikasi yang sebenarnya sah.

Ini membantu aplikasi melewati prosedur pemeriksaan Play Store tanpa menimbulkan tanda bahaya. Segera setelah pengguna membukanya, mereka tidak diberikan fungsionalitas yang sebenarnya kecuali mereka masuk ke akun Facebook mereka.

Namun, begitu mereka masuk, aplikasi akan menyediakan fungsionalitas terbatas dengan mengunggah gambar tertentu ke editor online, http://color.photofuneditor.com/, yang akan menerapkan filter grafis ke gambar.

Aplikasi ini melakukan perubahan gambar dan menerapkan filter pada server jarak jauh, bukan secara lokal pada perangkat, sehingga data Anda diunggah ke lokasi yang jauh dan berisiko disimpan tanpa batas waktu, dibagikan dengan orang lain, dijual kembali, dll.

Karena aplikasi tertentu masih ada di Play Store, orang dapat secara otomatis berasumsi bahwa aplikasi Android dapat dipercaya. Namun sayangnya, aplikasi Android berbahaya terkadang menyelinap ke Google Play Store dan tetap ada hingga terdeteksi dari ulasan buruk atau ditemukan oleh perusahaan keamanan.

Namun, ada kemungkinan untuk menemukan aplikasi scam dan berbahaya dalam banyak kasus dengan melihat ulasan mereka di Google Play.

Seperti yang Anda lihat di bawah, ulasan pengguna untuk ‘Craftsart Cartoon Photo Tools’ sangat negatif, dengan total skor hanya 1,7 bintang dari kemungkinan lima. Selain itu, banyak dari ulasan ini memperingatkan bahwa aplikasi memiliki fungsionalitas terbatas dan mengharuskan Anda untuk masuk ke Facebook terlebih dahulu.

Kedua, nama pengembangnya adalah ‘Google Commerce Ltd’, yang menunjukkan bahwa itu dikembangkan oleh Google. Juga, rincian kontak yang terdaftar termasuk alamat email Gmail orang acak, yang merupakan bendera merah besar.

Ini mungkin tampak seperti pengawasan yang berlebihan untuk setiap aplikasi yang Anda instal di ponsel cerdas Anda, tetapi ini harus menjadi prosedur pemeriksaan standar untuk aplikasi yang secara inheren berisiko.

Pembaruan 22/05 – Juru bicara Google telah memberi tahu Bleeping Computer bahwa aplikasi berbahaya telah dihapus dari Play Store sekarang.

Sumber : Bleeping Computer

Kerentanan OpenSSL dapat ‘dipersenjatai,’ kata direktur cyber NSA

March 23, 2022 by Eevee

Kerentanan kriptografi dalam algoritma modular Tonelli Shanks, yang digunakan di perpustakaan kriptografi populer OpenSSL, dapat menyebabkan serangan penolakan layanan dan “pasti dapat dijadikan senjata” di lingkungan ancaman saat ini, menurut seorang pejabat NSA.

Bug ditemukan oleh dua karyawan Google, peneliti keamanan Tavis Ormandy dan insinyur perangkat lunak David Benjamin, dan sedang dilacak di bawah CVE-2022-0778 memengaruhi fungsi BN_mod_sqrt() di OpenSSL, yang digunakan untuk menghitung akar kuadrat modular dan mem-parsing sertifikat yang menggunakan enkripsi kunci publik kurva eliptik.

Proses ini dapat dieksploitasi jika penyerang mengirimkan sertifikat dengan parameter kurva rusak, sehingga memicu loop tak terbatas dalam program dan mengarah ke penolakan layanan.

“Karena penguraian sertifikat terjadi sebelum verifikasi tanda tangan sertifikat, proses apa pun yang mem-parsing sertifikat yang disediakan secara eksternal dapat dikenakan serangan penolakan layanan,” kata OpenSSL dalam penasihat keamanan 15 Maret. “Loop tak terbatas juga dapat dicapai saat mem-parsing kunci pribadi yang dibuat karena dapat berisi parameter kurva eliptik eksplisit.”

Bug dapat dieksploitasi di klien TLS yang menggunakan sertifikat server, server TLS yang menggunakan sertifikat klien, penyedia hosting yang mengambil sertifikat atau kunci pribadi dari pelanggan mereka, otoritas yang mengurai permintaan sertifikasi dari pelanggan mereka dan “apa pun yang mem-parsing parameter kurva elips ASN.1 .” Ini memengaruhi OpenSSL versi 1.02, 1.1.1, dan 3.0, yang semuanya telah ditambal.

OpenSSL adalah komponen inti dari sistem berbasis Unix dan Linux, dan juga dibundel ke dalam aplikasi perangkat lunak yang berjalan di Windows. Kerentanan tersebut mendapat teguran dari pejabat keamanan siber NSA, yang memperingatkan para pembela HAM agar tidak tertipu oleh peringkat (relatif) tingkat keparahan yang rendah dan segera ditambal.

“Dengan kondisi ancaman internet saat ini, rekomendasikan untuk segera menambal CVE-2022-0778… Cacat ini memungkinkan serangan DOS pra-otentikasi pada OpenSSL,” Rob Joyce, direktur direktorat keamanan siber NSA, menulis Senin di Twitter. “Saya tahu itu ‘hanya’ diberi peringkat 7,5 [dari 10], tapi pasti bisa dijadikan senjata.”

Paul Ducklin, seorang peneliti keamanan di Sophos, mencatat bahwa itu “ironis” karena kerentanan tampaknya mengeksploitasi kesalahan dalam program atau aplikasi yang dengan benar mengikuti praktik terbaik untuk koneksi aman, sementara gagal memengaruhi program dan aplikasi yang menggunakan protokol yang kurang aman. .

Ducklin mencatat bahwa sementara bug itu kurang serius daripada kerentanan yang dapat dieksploitasi yang memungkinkan penyerang untuk menginstal malware secara diam-diam pada perangkat korban, itu perlu diperhatikan karena dapat menunjukkan adanya kekurangan dan bug tambahan yang tidak diketahui di tempat lain yang sedikit diketahui tetapi pustaka perangkat lunak yang umum digunakan seperti Log4J dan Heartbleed, kerentanan OpenSSL lainnya telah menunjukkan potensi dampak berbasis luas pada pengguna.

Sumber : https://www.scmagazine.com/analysis/application-security/openssl-vulnerability-can-definitely-be-weaponized-nsa-cyber-director-says

Keluarga Ransomware Baru Diidentifikasi: LokiLocker RaaS Menargetkan Sistem Windows

March 20, 2022 by Søren

BlackBerry Threat Intelligence telah mengidentifikasi keluarga Ransomware-as-a-Service (Raas) baru, dan melacak garis keturunannya hingga kemungkinan rilis tahap beta.

Seperti banyak jenis ransomware lainnya, LokiLocker mengenkripsi file Anda dan akan membuat mesin Anda tidak dapat digunakan jika Anda tidak membayar tepat waktu.

Namun, seperti dewa senama Loki, ancaman ini tampaknya memiliki beberapa trik halus – paling tidak menjadi taktik “bendera palsu” potensial yang menuding pelaku ancaman Iran.

LokiLocker adalah keluarga ransomware yang relatif baru yang menargetkan korban berbahasa Inggris dan PC Windows®; ancaman pertama kali terlihat di alam liar pada pertengahan Agustus 2021.

Jangan bingung dengan keluarga ransomware yang lebih tua bernama Locky, yang terkenal pada tahun 2016, atau LokiBot, yang merupakan pencuri info. Ini memiliki beberapa kesamaan dengan ransomware LockBit (nilai registri, nama file catatan tebusan), tetapi tampaknya bukan turunan langsungnya.

Seperti dewa yang dinamai, LokiLocker memasuki kehidupan korban tanpa diundang dan mulai mencari properti untuk dicuri. Ancaman kemudian mengenkripsi file mereka, dan menuntut mereka membayar uang tebusan untuk memulihkan akses.

Malware ini ditulis dalam .NET dan dilindungi dengan NETGuard (ConfuserEX yang dimodifikasi) menggunakan plugin virtualisasi tambahan yang disebut KoiVM. KoiVM dulunya adalah pelindung komersial berlisensi untuk aplikasi .NET, tetapi sekitar tahun 2018, kodenya bersumber terbuka (atau mungkin bocor), dan sekarang tersedia untuk umum di GitHub.

Meskipun Koi tampaknya populer dengan alat peretasan dan crack, kami belum melihat banyak malware lain menggunakannya hingga saat ini.

Selengkapnya: Blackberry

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings