Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Gelombang Baru Serangan Malware Menargetkan Organisasi di Amerika Selatan

by

Kampanye spam yang mengirimkan email spear-phishing yang ditujukan untuk organisasi di Amerika Selatan telah melengkapi kembali tekniknya untuk memasukkan berbagai trojan akses jarak jauh (RAT) dan pemfilteran geolokasi untuk menghindari deteksi, menurut penelitian baru.

Perusahaan keamanan siber Trend Micro mengaitkan serangan itu dengan ancaman persisten tingkat lanjut (APT) yang dilacak sebagai APT-C-36 (alias Blind Eagle), kelompok spionase Amerika Selatan yang dicurigai telah aktif setidaknya sejak 2018 dan sebelumnya dikenal karena mengarahkan perhatiannya pada Institusi dan perusahaan pemerintah Kolombia yang mencakup sektor keuangan, perminyakan, dan manufaktur.

Sebagian besar menyebar melalui email penipuan dengan menyamar sebagai lembaga pemerintah Kolombia, seperti Direktorat Nasional Pajak dan Bea Cukai (DIAN), rantai infeksi dimulai ketika penerima pesan membuka dokumen PDF atau Word palsu yang mengklaim sebagai perintah penyitaan yang terkait dengan rekening bank mereka dan mengklik tautan yang dihasilkan dari layanan penyingkat URL seperti cort.as, acortaurl.com, dan gtly.to.

Jika korban memenuhi kriteria lokasi, pengguna diarahkan ke server file hosting, dan arsip yang dilindungi kata sandi diunduh secara otomatis, pada akhirnya mengarah ke eksekusi trojan akses jarak jauh berbasis C++ yang disebut BitRAT.

Beberapa indurstri, termasuk pemerintahan, keuangan, perawatan kesehatan, telekomunikasi, dan energi, minyak, dan gas, dikatakan telah terpengaruh, dengan mayoritas target untuk kampanye terbaru berlokasi di Kolombia dan sebagian kecil juga berasal dari Ekuador, Spanyol , dan Panama.

Selengkapnya: The Hacker News

Penglihatan komputer dapat membantu menemukan ancaman dunia maya dengan akurasi yang mengejutkan

by

Pada tahun 2019, sekelompok peneliti keamanan siber bertanya-tanya apakah mereka dapat memperlakukan deteksi ancaman keamanan sebagai masalah klasifikasi gambar. Intuisi mereka terbukti ditempatkan dengan baik, dan mereka mampu membuat model pembelajaran mesin yang dapat mendeteksi malware berdasarkan gambar yang dibuat dari konten file aplikasi. Setahun kemudian, teknik yang sama digunakan untuk mengembangkan sistem pembelajaran mesin yang mendeteksi situs web phishing.

Kombinasi visualisasi binary dan pembelajaran mesin adalah teknik yang kuat yang dapat memberikan solusi baru untuk masalah lama. Ini menunjukkan janji dalam keamanan siber, tetapi juga bisa diterapkan ke domain lain.

Cara tradisional untuk mendeteksi malware adalah dengan mencari file untuk signature yang diketahui dari muatan berbahaya. Detektor malware memelihara database definisi virus yang mencakup urutan opcode atau potongan kode, dan mereka mencari file baru untuk keberadaan signature ini. Sayangnya, pengembang malware dapat dengan mudah menghindari metode deteksi tersebut menggunakan teknik yang berbeda seperti mengaburkan kode mereka atau menggunakan teknik polimorfisme untuk mengubah kode mereka saat runtime.

Dynamic analysis tools mencoba mendeteksi perilaku berbahaya selama waktu proses, tetapi alat ini lambat dan memerlukan penyiapan lingkungan sandbox untuk menguji program yang mencurigakan.

Dalam beberapa tahun terakhir, para peneliti juga telah mencoba berbagai teknik pembelajaran mesin untuk mendeteksi malware. Model ML ini telah berhasil membuat kemajuan dalam beberapa tantangan deteksi malware, termasuk code obfuscation.

Visualisasi binary dapat mendefinisikan kembali deteksi malware dengan mengubahnya menjadi masalah penglihatan komputer. Dalam metodologi ini, file dijalankan melalui algoritma yang mengubah nilai binary dan ASCII menjadi kode warna.

Dalam sebuah makalah yang diterbitkan pada tahun 2019, para peneliti di University of Plymouth dan University of Peloponnese menunjukkan bahwa ketika file jinak dan berbahaya divisualisasikan menggunakan metode ini, pola baru muncul yang memisahkan file berbahaya dan aman. Perbedaan ini akan luput dari perhatian menggunakan metode deteksi malware klasik.

Menurut makalah itu, “File berbahaya memiliki kecenderungan untuk sering memasukkan karakter ASCII dari berbagai kategori, menghadirkan gambar berwarna, sementara file jinak memiliki gambar dan distribusi nilai yang lebih bersih.”

Selengkanya: The Next Web

Serangan Malware di Sektor Penerbangan Terungkap Setelah Tidak Diketahui Selama 2 Tahun

by

Kampanye phishing yang ditargetkan yang ditujukan untuk industri penerbangan selama dua tahun mungkin dipelopori oleh aktor ancaman yang beroperasi di luar Nigeria, menyoroti bagaimana penyerang dapat melakukan serangan dunia maya skala kecil untuk waktu yang lama sambil tetap berada di bawah radar.

Cisco Talos menjuluki serangan malware sebagai “Operation Layover,” berdasarkan penelitian sebelumnya dari tim Intelijen Keamanan Microsoft pada Mei 2021 yang menyelidiki “kampanye dinamis yang menargetkan sektor kedirgantaraan dan perjalanan dengan email spear-phishing yang mendistribusikan loader yang dikembangkan secara aktif, yang kemudian mengirimkan RevengeRAT atau AsyncRAT.”

Pelaku ancaman diyakini telah aktif setidaknya sejak 2013. Serangan tersebut melibatkan email yang berisi dokumen umpan khusus yang berpusat di sekitar industri penerbangan atau kargo yang dimaksudkan sebagai file PDF tetapi tertaut ke file VBScript yang dihosting di Google Drive, yang pada akhirnya mengarah pada pengiriman trojan akses jarak jauh (RAT) seperti AsyncRAT dan njRAT, membuat organisasi rentan terhadap berbagai risiko keamanan. Cisco Talos mengatakan telah menemukan 31 umpan bertema penerbangan yang berbeda sejak Agustus 2018.

Analisis lebih lanjut dari aktivitas yang terkait dengan domain berbeda yang digunakan dalam serangan menunjukkan bahwa aktor menjalin beberapa RAT ke dalam kampanye mereka, dengan infrastruktur yang digunakan sebagai server perintah-dan-kontrol (C2) untuk Cybergate RAT, AsyncRAT, dan file batch yang digunakan sebagai bagian dari rantai malware untuk mengunduh dan menjalankan malware lain.

Selengkapnya: The Hacker News

Malware baru menggunakan Subsistem Windows untuk Linux untuk serangan tersembunyi

by

Peneliti keamanan telah menemukan binari Linux berbahaya yang dibuat untuk Windows Subsystem for Linux (WSL), menunjukkan bahwa peretas mencoba metode baru untuk menyusup ke mesin Windows.

Temuan ini menggarisbawahi bahwa aktor ancaman sedang mengeksplorasi metode serangan baru dan memfokuskan perhatian mereka pada WSL untuk menghindari deteksi.

Sampel pertama yang menargetkan lingkungan WSL ditemukan pada awal Mei dan terus muncul setiap dua hingga tiga minggu hingga 22 Agustus. Sampel tersebut bertindak sebagai loader untuk lingkungan WSL dan menikmati deteksi yang sangat rendah pada layanan pemindaian file publik.

Dalam sebuah laporan, peneliti keamanan di Lumen’s Black Lotus Labs mengatakan bahwa file berbahaya memiliki muatan yang disematkan atau mengambilnya dari server jarak jauh.

Langkah selanjutnya adalah menyuntikkan malware ke dalam proses yang berjalan menggunakan panggilan Windows API, sebuah teknik yang tidak baru atau canggih lagi.

Dari sejumlah kecil sampel yang diidentifikasi, hanya satu yang datang dengan alamat IP yang dapat dirutekan secara publik, mengisyaratkan bahwa pelaku ancaman sedang menguji penggunaan WSL untuk menginstal malware di Windows.

File berbahaya terutama mengandalkan Python 3 untuk menjalankan tugasnya dan dikemas sebagai executable ELF untuk Debian menggunakan PyInstaller.

Laporan dari Lumen’s Black Lotus Labs memberikan indicators of compromise (IoC) yang terkait dengan kampanye yang terdeteksi untuk membantu para defenders membuat aturan deteksi. Untuk hash file dan data tentang aktivitas aktor ini, para peneliti merujuk ke halaman GitHub perusahaan.

Selengkapnya: Bleeping Computer

Kriminal siber menjual alat untuk menyembunyikan malware di AMD, GPU NVIDIA

by

Penjahat siber membuat langkah menuju serangan dengan malware yang dapat mengeksekusi kode dari unit pemrosesan grafis (GPU) dari sistem yang disusupi.

Meskipun metode ini bukanlah hal baru dan kode demo telah diterbitkan sebelumnya, proyek sejauh ini berasal dari dunia akademis atau tidak lengkap dan tidak disempurnakan.

Awal bulan ini, proof-of-concept (PoC) dijual di forum peretas, berpotensi menandai transisi penjahat siber ke tingkat kecanggihan baru untuk serangan mereka.

Dalam posting singkat di forum peretas, seseorang menawarkan untuk menjual proof-of-concept (PoC) untuk teknik yang mereka katakan menjaga kode berbahaya tetap aman dari solusi keamanan yang memindai RAM sistem.

Penjual hanya memberikan gambaran umum tentang metode mereka, dengan mengatakan bahwa metode tersebut menggunakan buffer memori GPU untuk menyimpan kode berbahaya dan menjalankannya dari sana.

Menurut pengiklan, proyek ini hanya berfungsi pada sistem Windows yang mendukung kerangka kerja OpenCL versi 2.0 ke atas untuk mengeksekusi kode pada berbagai prosesor, termasuk GPU.

Postingan tersebut juga menyebutkan bahwa penulis menguji kode pada kartu grafis dari Intel (UHD 620/630), Radeon (RX 5700), dan GeForce (GTX 740M(?), GTX 1650).

Anggota lain dari forum peretas menunjukkan bahwa malware berbasis GPU telah dilakukan sebelumnya, menunjuk ke JellyFish – PoC enam tahun untuk rootkit GPU berbasis Linux.

Penjual membantah memiliki asosiasi dengan malware JellyFish dengan mengatakan bahwa metode mereka berbeda dan tidak bergantung pada pemetaan kode kembali ke ruang pengguna.

Selengkapnya: Bleeping Computer

Pengguna Android: Jangan klik pesan teks ini

by

Pesan teks adalah vektor yang semakin populer bagi para peretas dan berbagai macam solusi digital yang belum pernah digunakan untuk memisahkan korban yang tidak curiga dari data atau uang mereka. Terkadang keduanya.

Malware Android yang dikenal sebagai FluBot adalah salah satu contoh ancaman yang menyebar melalui penipuan pesan teks, berhasil menarik korban karena sejumlah alasan berbeda. Sebagian karena rata-rata orang saat ini mungkin jauh lebih kecil kemungkinannya untuk mengklik email jahat.

Tetapi pesan teks yang menyamar sebagai pembaruan “pengiriman paket yang tidak terjawab” yang tampak sah, seperti halnya cara FluBot menyebar, tampaknya jauh lebih mungkin untuk menemukan sasarannya.

Menurut perusahaan keamanan siber Proofpoint, tipe malware Android ini – salah satu dari banyak yang harus diwaspadai – tampaknya melonjak sekali lagi. Ada penurunan dalam aktivitas FluBot pada awal tahun ini, yang dikaitkan dengan penangkapan yang dilakukan di Eropa. Tapi sekarang malware FluBot menyerang lebih banyak negara di Eropa sekali lagi.

Selain itu, meskipun ini tampaknya merupakan ancaman Android, pemilik perangkat Apple mungkin tidak kebal terhadap kerusakan dari FluBot.

Begini cara kerja malware ini. Penipuan pesan teks seharusnya memberi tahu Anda bahwa Anda melewatkan pengiriman paket. Anda mengeklik tautan, dan Anda diminta untuk mengunduh aplikasi phishing. Pada aplikasi tersebut, FluBot bersembunyi di dalamnya.

Setelah mendapatkan izin yang diperlukan dari pengguna? FluBot dapat terus bertindak “sebagai spyware, spammer SMS, dan pencuri kredensial perbankan dan kartu kredit,” menurut Proofpoint.

Dengan ini pengguna disarankan untuk tidak mengklik tautan di dalam teks. Dan hapus pesannya.

Sekali lagi, jika Anda mengharapkan, katakanlah, pengiriman DHL? Cukup kunjungi situs web resmi DHL untuk melacak pengiriman Anda di sana. Jangan gunakan tautan dalam pesan teks. Kunjungi situs web DHL. Jangan. Klik. Tautan. Itu.

Selengkapnya: BGR

Kampanye malware menggunakan ‘captcha’ pintar untuk mengabaikan peringatan browser

by

Sebuah kampanye malware menggunakan prompt captcha pintar untuk mengelabui pengguna agar melewati peringatan browser untuk mengunduh trojan perbankan Gozi (alias Ursnif).

Kemarin, peneliti keamanan MalwareHunterTeam membagikan URL mencurigakan dengan BleepingComputer yang mengunduh file saat mencoba menonton video YouTube yang disematkan tentang penjara wanita New Jersey.

Ketika Anda mengklik tombol putar, browser akan mengunduh file bernama console-play.exe [VirusTotal], dan situs akan menampilkan gambar reCaptcha palsu di layar.

Karena file ini dapat dieksekusi, Google Chrome secara otomatis memperingatkan bahwa file tersebut mungkin berbahaya dan menanyakan apakah Anda ingin ‘Simpan’ atau ‘Buang’ file tersebut.

Untuk melewati peringatan ini, pelaku ancaman menampilkan gambar reCaptcha palsu yang meminta pengguna untuk menekan tombol B, S, Tab, A, F, dan Enter pada keyboard mereka, seperti yang ditunjukkan di bawah ini.

Sementara menekan tombol B, S, A, dan F tidak melakukan apa-apa, menekan tombol Tab akan membuat tombol ‘Keep’ menjadi fokus, dan kemudian menekan tombol ‘Enter’ akan bertindak sebagai klik pada tombol, menyebabkan browser untuk mengunduh dan menyimpan file ke komputer.

Sumber: BleepingComputer

Seperti yang Anda lihat, prompt captcha palsu ini adalah cara cerdas untuk mengelabui pengguna agar mengunduh file berbahaya yang diperingatkan oleh browser bisa berbahaya.

Setelah jangka waktu tertentu, video akan diputar secara otomatis, berpotensi membuat pengguna berpikir bahwa ‘captcha’ yang berhasil mengizinkannya.

Jika pengguna menjalankan executable, itu akan membuat folder di bawah %AppData%\Bouncy untuk .NET Helper dan menginstal banyak file. Semua file ini adalah umpan, selain executable BouncyDotNet.exe, yang diluncurkan.

Saat dijalankan, BouncyDotNet.exe akan membaca berbagai string dari Registry Windows yang digunakan untuk menjalankan perintah PowerShell.

Perintah PowerShell ini akan mengkompilasi aplikasi .NET menggunakan kompiler CSC.exe bawaan yang meluncurkan DLL untuk trojan perbankan Ursnif.

Selengkapnya: Bleeping Computer

Malware Discord adalah ancaman yang terus-menerus dan terus berkembang, Sophos memperingatkan

by

Beberapa minggu yang lalu, perusahaan keamanan siber terkemuka Sophos mengeluarkan peringatan bahwa Discord menjadi target yang semakin umum bagi peretas.

Beberapa aktor siber yang mendorong keluar malware cenderung menargetkan pengguna layanan online yang sukses, dan mempertimbangkan 140 juta plus pengguna aktif Discord — dengan lebih dari 300 juta terdaftar hingga saat ini — yang menjadikan perangkat lunak obrolan sebagai target yang cukup menarik.

Sophos mencatat jumlah deteksi malware selama beberapa bulan terakhir telah meningkat hampir 140 kali lipat dari periode yang sama tahun lalu. Dan sebagian dari masalah itu bermuara pada bagaimana file Discord disimpan di cloud.

“Setelah file diunggah ke Discord, mereka dapat bertahan tanpa batas waktu kecuali jika dilaporkan atau dihapus,” kata laporan itu.

Dalam penelitiannya tentang jenis malware yang mengotori penyimpanan cloud Discord, Sophos menemukan banyak alat game cheating. Beberapa dimaksudkan untuk mengeksploitasi protokol integrasi Discord untuk merusak permainan lawan, dan beberapa diiklankan sebagai ‘penyempurnaan’ yang dimaksudkan untuk membuka kunci konten berbayar, kunci, dan bypass. Maksud sebenarnya adalah bahwa hanya sedikit yang ditemukan mengandung perangkat lunak cheating yang dimaksud, sebagian besar sebenarnya adalah beberapa bentuk pencurian kredensial yang menyamar.

Di antara cheat-bait, kejahatan lain menyelinap tanpa terdeteksi: keluarga malware pembajak kata sandi, spyware, aplikasi android palsu yang dimaksudkan untuk menangkap info keuangan atau mencegat transaksi.

Sophos menjelaskan, “Aktor ancaman di balik operasi ini menggunakan rekayasa sosial untuk menyebarkan malware pencuri kredensial, kemudian menggunakan kredensial Discord yang diambil korban untuk menargetkan pengguna Discord tambahan.”

Selengkapnya: PC Gamer