Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Pemeriksaan tanda kode Microsoft dilewati untuk menghapus malware Zloader

by

Kampanye Zloader baru memanfaatkan verifikasi tanda tangan digital Microsoft untuk menyebarkan muatan malware dan mencuri kredensial pengguna dari ribuan korban dari 111 negara.

Zloader (alias Terdot dan DELoader) adalah malware perbankan yang pertama kali ditemukan pada tahun 2015 yang dapat mencuri kredensial akun dan berbagai jenis informasi pribadi sensitif dari sistem yang disusupi.

Baru-baru ini, Zloader telah digunakan untuk menjatuhkan muatan lebih lanjut pada perangkat yang terinfeksi, termasuk muatan ransomware seperti Ryuk dan Egregor,

MalSmoke telah mengeksplorasi berbagai cara untuk mendistribusikan malware pencuri informasi, mulai dari spam mail dan malvertising hingga menggunakan umpan konten dewasa.

Dalam kampanye terbaru, dilacak dan dianalisis oleh para peneliti di Check Point, infeksi dimulai dengan mengirimkan file “Java.msi” yang merupakan penginstal Atera yang dimodifikasi.

Zloader kemudian mengkampanyekan rantai infeksi
Sumber: Titik Periksa

Setelah dieksekusi, Atera membuat agen dan menetapkan titik akhir ke alamat email di bawah kendali aktor ancaman.

Penyerang kemudian mendapatkan akses jarak jauh penuh ke sistem, yang memungkinkan mereka untuk mengeksekusi skrip dan mengunggah atau mengunduh file, terutama muatan malware Zloader.

Menjatuhkan Zloader
Skrip batch yang disertakan dalam penginstal berbahaya melakukan beberapa pemeriksaan tingkat pengguna untuk memastikan mereka memiliki hak admin, menambahkan pengecualian folder ke Windows Defender, dan menonaktifkan alat seperti “cmd.exe” dan pengelola tugas.

Selengkapnya : Bleeping Computer

Pemeriksaan penandatanganan kode Microsoft dilewati
Analis Check Point telah mengkonfirmasi bahwa appContast.dll, yang mengeksekusi muatan Zloader dan skrip pengeditan registri membawa tanda tangan kode yang valid, sehingga OS pada dasarnya mempercayainya.

DLL berbahaya yang membawa tanda tangan kode yang valid
Sumber: Titik Periksa

Perubahan halus ini tidak cukup untuk mencabut validitas tanda tangan elektronik, tetapi pada saat yang sama, memungkinkan seseorang untuk menambahkan data ke bagian tanda tangan dari sebuah file.

Perubahan bagian tanda tangan di DLL
Sumber: Titik Periksa

Microsoft telah mengetahui tentang celah keamanan ini sejak 2012 (CVE-2020-1599, CVE-2013-3900, dan CVE-2012-0151) dan telah berusaha memperbaikinya dengan merilis kebijakan verifikasi file yang semakin ketat. Namun, untuk beberapa alasan, ini tetap dinonaktifkan secara default.

Anda dapat menemukan petunjuk untuk memperbaiki masalah ini sendiri dengan mengaktifkan kebijakan yang lebih ketat seperti yang dirinci dalam penasihat lama ini.

Atau, Anda dapat menempelkan baris di bawah ini ke Notepad, simpan file dengan ekstensi .reg dan jalankan.

Windows Registry Editor Versi 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
“AktifkanCertPaddingCheck”=”1”

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
“AktifkanCertPaddingCheck”=”1”

Korban dari Amerika Utara
Pada 2 Januari 2021, kampanye Zloader terbaru telah menginfeksi 2.170 sistem unik, dengan 864 memiliki alamat IP berbasis di AS dan 305 lainnya dari Kanada.

Meskipun jumlah korbannya tidak terlalu besar, serangan ini sangat bertarget dan dapat menyebabkan kerusakan yang signifikan pada setiap korban.

Karena vektor infeksi tidak diketahui, cara terbaik untuk melindungi dari ancaman ini adalah dengan mengikuti rekomendasi pengetatan kebijakan dan menggunakan IoC (indikator kompromi) yang disediakan oleh peneliti Check Point untuk deteksi ancaman proaktif.

Selengkapnya : Bleeping Computer

Pelaku ancaman menggunakan rootkit HP iLO untuk menghapus server

by

Sebuah perusahaan keamanan siber Iran mengatakan telah menemukan rootkit pertama dari jenisnya yang bersembunyi di dalam firmware perangkat HP iLO dan yang telah digunakan dalam serangan dunia nyata untuk menghapus server organisasi Iran.

Dinamakan iLOBleed, rootkit ditemukan oleh perusahaan keamanan Teheran Amnpardaz dan dirinci dalam sebuah laporan yang dirilis pada hari Selasa.

iLOBleed menargetkan HP iLO (Integrated Lights-Out), Perangkat iLO dilengkapi dengan unit prosesor, ruang penyimpanan, RAM, dan kartu jaringannya sendiri serta dijalankan secara terpisah dari sistem operasi lokal mana pun.

Peran utama mereka adalah menyediakan cara bagi administrator sistem untuk terhubung ke sistem jarak jauh, bahkan ketika sistem ini dimatikan, dan melakukan operasi pemeliharaan, seperti memperbarui firmware, menginstal pembaruan keamanan, atau menginstal ulang sistem yang rusak.

Amnpardaz mengatakan bahwa sejak tahun 2020, pihaknya menyelidiki beberapa insiden di mana aktor ancaman misterius mengkompromikan target dan bersembunyi di dalam iLO sebagai cara untuk bertahan dari penginstalan ulang OS dan mempertahankan kegigihan di dalam jaringan korban.

Untuk menghindari deteksi, para peneliti mengatakan penyerang menyamarkan rootkit iLOBleed sebagai modul untuk firmware iLO itu sendiri, dan penyerang juga membuat UI pembaruan palsu untuk ditunjukkan kepada administrator sistem ketika mereka mencoba memperbarui firmware iLO.

Bahkan jika rootkit memberikan kontrol penuh atas host yang terinfeksi, penyerang tampaknya hanya menggunakannya untuk menghapus sistem yang terinfeksi sebagai bagian dari semacam operasi penghapusan data.

“Ketika tim analisis keamanan kami menemukan malware, penyerang telah memutuskan untuk menghapus disk server dan sepenuhnya menyembunyikan jejak mereka,” tim Amnpardaz menjelaskan.

“Menariknya, penyerang tidak puas dengan penghancuran satu kali dan mengatur malware untuk berulang kali melakukan penghancuran data secara berkala. Mungkin mereka berpikir bahwa jika administrator sistem menginstal ulang sistem operasi, seluruh hard drive akan hancur lagi setelah beberapa saat. Jelas, mereka tidak mengira malware mereka akan ditemukan.”

Baik Amnpardaz dan anggota komunitas keamanan siber telah menggambarkan rootkit iLO sebagai karya tercanggih dan kemungkinan besar merupakan karya aktor ancaman yang sangat maju. Aktor itu sendiri tidak diidentifikasi dalam laporan Amnpardaz atau dalam percakapan online apa pun.

Sementara laporan Amnpardaz mengungkap keberadaan malware ini, masih ada pertanyaan tentang bagaimana awalnya digunakan. Teori yang berlaku saat ini mencakup skenario di mana penyerang memasuki jaringan korban melalui saluran lain dan kemudian menggunakan iLOBleed sebagai pintu belakang (mekanisme ketekunan), baik dengan mengeksploitasi kerentanan dalam firmware iLO lama atau dengan memperluas akses dari host yang terinfeksi ke kartu iLO-nya, jika ada .

Penemuan iLOBleed merupakan terobosan dan pencapaian, terutama karena hanya ada sedikit alat dan produk keamanan yang mampu mendeteksi aktivitas malware di tingkat iLO—komponen yang beroperasi lebih dalam daripada OS itu sendiri, biarkan produk keamanan tunggal.

Selengkapnya : The Record Media

Samsung Galaxy Store mendistribusikan aplikasi yang dapat menginfeksi ponsel dengan malware

by

Aplikasi pembajakan film ‘Showbox’ yang berpotensi palsu memicu peringatan Play Protect, dan penyelidikan menunjukkan bahwa mereka dapat mengunduh malware

Max Weinbach dari Android Police pertama kali mencatat masalah tadi malam, melihat beberapa aplikasi berbasis Showbox yang didistribusikan di Galaxy Store, beberapa di antaranya memicu peringatan Google Play Protect saat diinstal.

Analisis salah satu apk Showbox di Virustotal menunjukkan lebih dari selusin peringatan tingkat rendah dari vendor keamanan mulai dari “riskware” hingga adware. Beberapa aplikasi juga meminta izin lebih dari yang Anda harapkan, termasuk akses ke kontak, log panggilan, dan telepon.

Penyelidikan selanjutnya mengungkapkan bahwa teknologi iklan dalam aplikasi mampu melakukan eksekusi kode dinamis, sementara aplikasi itu sendiri saat didistribusikan tidak secara langsung mengandung malware, namun dapat mengunduh dan menjalankan kode lain yang dapat mencakup malware. Linuxct menambahkan bahwa ada sangat sedikit kasus penggunaan yang sah untuk fungsi ini, dan itu dapat dipersenjatai dengan mudah. “Jadi sewaktu-waktu bisa menjadi trojan/malware, oleh karena itu tidak aman dan oleh karena itu banyak vendor menandainya di VT/Play Protect.” Masalah serupa didokumentasikan di setidaknya dua aplikasi Showbox di Galaxy Store, meskipun itu juga dapat memengaruhi yang lain.

Deskripsi aplikasi mengklaim bahwa mereka tidak menghosting konten bajakan dan tidak mengaktifkan pembajakan. Kami belum menguji setiap aplikasi yang melanggar satu per satu, mengingat sifat peringatan yang dilampirkan pada pemasangannya, dan tidak dapat secara langsung mengonfirmasi apakah aplikasi saat ini menyediakan akses ke konten bajakan. Namun, nama tersebut memiliki reputasi itu, dan “pakar” lain yang lebih memilih untuk tetap anonim meyakinkan saya bahwa aplikasi tersebut pada satu titik memungkinkan pembajakan. Sumber aplikasi Showbox yang dihosting sendiri membuat klaim serupa, mengiklankan aplikasi sebagai aplikasi “basis data film” dengan VPN terintegrasi — wink wink

Subreddit Showbox mencatat bahwa Showbox “turun”, telah berlangsung selama hampir dua tahun, dan bahwa situs web dan aplikasi pihak ketiga yang mengaku terkait adalah “palsu.” Google, kami harus perhatikan, tidak meng-host aplikasi apa pun yang dipermasalahkan di Play Store.

Samsung Galaxy Store tidak melacak jumlah penginstalan, tetapi aplikasi yang dipermasalahkan secara kumulatif memiliki ratusan ulasan, termasuk beberapa yang mencatat peringatan malware pada saat penginstalan. Kami telah menghubungi Samsung untuk menanyakan apakah mereka mengetahui bahwa Galaxy Store-nya mungkin mendistribusikan malware atau apakah mereka mengetahui reputasi Showbox untuk mengaktifkan pembajakan, tetapi perusahaan tidak segera menanggapi pertanyaan kami. Kami juga telah menghubungi pengembang beberapa aplikasi yang dipermasalahkan, tetapi setidaknya salah satu email kontak yang terdaftar terpental kembali.

Sumber : Android Police

Trojan perbankan Android menyebar melalui halaman Google Play Store palsu

by

Trojan perbankan Android yang menargetkan Itaú Unibanco, penyedia layanan keuangan besar di Brasil dengan 55 juta pelanggan di seluruh dunia, telah menerapkan trik yang tidak biasa untuk menyebar ke perangkat.

Para aktor telah menyiapkan halaman yang terlihat sangat mirip dengan toko aplikasi resmi Google Play Android untuk mengelabui pengunjung agar berpikir bahwa mereka memasang aplikasi dari layanan tepercaya.

Sumber: BleepingComputer

Malware tersebut berpura-pura menjadi aplikasi perbankan resmi untuk Itaú Unibanco dan menampilkan ikon yang sama dengan aplikasi yang sah.

Jika pengguna mengklik tombol “Instal”, mereka ditawari untuk mengunduh APK, yang merupakan tanda pertama penipuan. Aplikasi Google Play Store diinstal melalui antarmuka toko, tidak pernah meminta pengguna untuk mengunduh dan menginstal program secara manual.

Para peneliti di Cyble menganalisis malware, menemukan bahwa setelah dieksekusi, ia mencoba membuka aplikasi Itaú yang sebenarnya dari Play Store yang sebenarnya.

Jika berhasil, ia menggunakan aplikasi yang sebenarnya untuk melakukan transaksi penipuan dengan mengubah bidang input pengguna.

Aplikasi tidak meminta izin berbahaya apa pun selama penginstalan, sehingga menghindari peningkatan deteksi yang mencurigakan atau berisiko dari AV.

Alih-alih, malware ini memiliki tujuan untuk memanfaatkan Layanan Aksesibilitas, yang merupakan semua yang dibutuhkan oleh malware seluler untuk melewati semua keamanan di sistem Android.

Hanya pengguna yang memiliki kesempatan untuk melihat tanda-tanda penyalahgunaan dan menghentikan malware sebelum sempat melakukan tindakan merusak pada perangkat.

Tanda-tanda ini datang dalam bentuk aplikasi yang meminta izin untuk melakukan gerakan, mengambil konten jendela, dan mengamati tindakan pengguna.

Selengkapnya: Bleeping Computer

Malware BLISTER menyelinap masuk tanpa diketahui di sistem Windows

by

Peneliti keamanan telah menemukan kampanye jahat yang mengandalkan sertifikat penandatanganan kode yang valid untuk menyamarkan kode berbahaya sebagai file executable yang sah.

Salah satu muatan yang oleh para peneliti disebut Blister, bertindak sebagai pemuat malware lain dan tampaknya menjadi ancaman baru yang menikmati tingkat deteksi rendah.

Pelaku ancaman di balik Blister telah mengandalkan beberapa teknik untuk menjaga serangan mereka di bawah radar, penggunaan sertifikat penandatanganan kode hanya salah satu trik mereka.

Dalam posting blog minggu ini, Elastic mengatakan bahwa mereka secara bertanggung jawab melaporkan sertifikat yang disalahgunakan ke Sectigo sehingga dapat dicabut.

Para peneliti mengatakan bahwa pelaku ancaman mengandalkan berbagai teknik untuk menjaga agar serangan tidak terdeteksi. Salah satu metodenya adalah menyematkan malware Blister ke pustaka yang sah (mis. colorui.dll).

Malware kemudian dieksekusi dengan hak istimewa melalui perintah rundll32. Ditandatangani dengan sertifikat yang valid dan digunakan dengan hak administrator membuat Blister lolos dari solusi keamanan.

Pada langkah berikutnya, Blister memecahkan kode dari kode bootstrap bagian sumber daya yang “sangat dikaburkan,” kata peneliti Elastic. Selama sepuluh menit, kode tetap tidak aktif, kemungkinan dalam upaya untuk menghindari analisis sandbox.

Kemudian beraksi dengan mendekripsi muatan tertanam yang menyediakan akses jarak jauh dan memungkinkan gerakan lateral: Cobalt Strike dan BitRAT – keduanya telah digunakan oleh beberapa pelaku ancaman di masa lalu.

Selengkapnya: Bleeping Computer

Malware pencuri informasi TinyNuke kembali menyerang pengguna Prancis

by

Malware pencuri informasi TinyNuke telah muncul kembali dalam kampanye baru yang menargetkan pengguna Prancis dengan umpan bertema faktur dalam email yang dikirim ke alamat perusahaan dan individu yang bekerja di bidang manufaktur, teknologi, konstruksi, dan layanan bisnis.

Tujuan dari kampanye ini adalah untuk mencuri kredensial dan informasi pribadi lainnya dan menginstal muatan tambahan ke sistem yang disusupi.

Menurut peneliti di Proofpoint yang telah mengikuti kampanye ini, kemunculan kembali ini bermanifestasi melalui dua rangkaian aktivitas yang berbeda, dengan infrastruktur C2 terpisah, muatan, dan tema iming-iming.

Ini juga dapat menunjukkan bahwa malware digunakan oleh dua aktor berbeda, satu terkait dengan aktor TinyNuke awal dan satu terkait dengan aktor yang biasanya menggunakan alat komoditas.

Aktor tersebut mengkompromikan situs web Prancis yang sah untuk meng-host URL payload, sementara yang dapat dieksekusi disamarkan sebagai perangkat lunak yang tidak berbahaya.

Dalam hal kemampuan, payload TinyNuke dapat mencuri kredensial dengan kemampuan mengambil formulir dan kemampuan web-inject untuk Firefox, Internet Explorer, dan Chrome, dan juga dapat memasang muatan tambahan.

Sangat penting untuk tetap waspada dan menghindari mengklik tombol tersemat yang mengarah ke situs yang menghosting executable terkompresi berbahaya.

Karena situs-situs ini dinyatakan sah, solusi keamanan Internet Anda mungkin tidak menimbulkan tanda apa pun, jadi disarankan untuk sangat berhati-hati.

Selengkapnya: Bleeping Computer

Pria Rusia Dihukum 60 Bulan Penjara karena Menjalankan Hosting ‘Bulleproof’ untuk Kejahatan Dunia Maya

by

Seorang warga negara Rusia yang dituduh menyediakan apa yang disebut layanan hosting antipeluru untuk penjahat dunia maya yang digunakan untuk menyebarkan malware dan menyerang organisasi dan lembaga keuangan AS telah menerima hukuman penjara 60 bulan.

Aleksandr Grichishkin, 34, menawarkan layanan infrastruktur teknologi, termasuk alamat IP, server, dan domain, bagi penjahat dunia maya untuk membuat botnet, menginfeksi organisasi yang ditargetkan dengan malware, dan mencuri kredensial perbankan. Organisasinya mendukung penjahat siber yang menargetkan organisasi AS dalam kampanye serangan siber antara 2009 dan 2015.

Di antara galeri malware jahat yang dihosting di sistem: Zeus, SpyEye, Citadel, dan Blackhole Exploit Kit. Dua komplotan Grichishkin telah dijatuhi hukuman penjara: Pavel Stassi, 30, dari Estonia (24 bulan), dan Aleksandr Skorodumov, 33, dari Lithuania, (48 bulan).

Menurut dokumen pengadilan, Grichishkin adalah pendiri dan pemimpin organisasi hosting antipeluru yang menyewakan alamat internet protocol (IP), server, dan domain kepada klien penjahat dunia maya yang menggunakan infrastruktur teknis ini untuk menyebarkan malware yang memungkinkan mereka mendapatkan akses ke komputer korban, membentuk botnet, dan mencuri kredensial perbankan untuk digunakan dalam penipuan.

Grichishkin juga membantu klien menghindari deteksi oleh penegak hukum dan melanjutkan kejahatan mereka tanpa gangguan dengan memantau situs yang digunakan untuk memblokir infrastruktur teknis yang digunakan untuk kejahatan, memindahkan konten yang “ditandai” ke infrastruktur baru, dan mendaftarkan semua infrastruktur tersebut dengan identitas palsu atau dicuri.

Selengkapnya: Justice

KMSPico Windows Activator Berbahaya Mencuri Dompet Cryptocurrency Pengguna

by

Pengguna yang ingin mengaktifkan Windows tanpa menggunakan lisensi digital atau product key sedang ditargetkan oleh installer berbahaya untuk menyebarkan malware yang dirancang untuk mencuri kredensial dan informasi lainnya di dompet cryptocurrency.

Malware, yang dijuluki sebagai “CryptBot,” adalah pencuri informasi yang mampu memperoleh kredensial untuk browser, dompet cryptocurrency, cookie browser, kartu kredit, dan menangkap tangkapan layar dari sistem yang terinfeksi. Disebarkan melalui software bajakan, serangan terbaru melibatkan malware yang menyamar sebagai KMSPico.

KMSPico adalah alat tidak resmi yang digunakan untuk mengaktifkan fitur lengkap salinan perangkat lunak bajakan seperti Microsoft Windows dan Office suite tanpa benar-benar memiliki kunci lisensi.

“Pengguna terinfeksi dengan mengklik salah satu tautan berbahaya dan mengunduh KMSPico, Cryptbot, atau malware lain tanpa KMSPico,” kata peneliti Red Canary Tony Lambert dalam laporan yang diterbitkan minggu lalu. “Penyerang akan menginstal KMSPico juga, karena itulah yang diharapkan korban terjadi, sambil secara bersamaan menyebarkan Cryptbot di belakang layar.”

Perusahaan keamanan siber Amerika mengatakan juga mengamati beberapa departemen TI menggunakan perangkat lunak tidak sah alih-alih lisensi Microsoft yang valid untuk mengaktifkan sistem, ditambah installer KMSpico yang diubah didistribusikan melalui sejumlah situs web yang mengklaim menawarkan versi “resmi” dari aktivator.

Selengkapnya: The Hacker News