Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Malware Perusak Menargetkan Organisasi Ukraina

by

Microsoft Threat Intelligence Center (MSTIC) telah mengidentifikasi bukti operasi malware destruktif yang menargetkan beberapa organisasi di Ukraina. Malware ini pertama kali muncul di sistem korban di Ukraina pada 13 Januari 2022.

Microsoft mengetahui peristiwa geopolitik yang sedang berlangsung di Ukraina dan wilayah sekitarnya dan mendorong organisasi untuk menggunakan informasi dalam postingan ini untuk secara proaktif melindungi dari aktivitas berbahaya apa pun.

Sementara penyelidikan berlanjut, MSTIC belum menemukan hubungan penting antara aktivitas yang diamati ini, yang dilacak sebagai DEV-0586, dan grup aktivitas lain yang diketahui.

MSTIC menilai bahwa malware, yang dirancang agar terlihat seperti ransomware tetapi tidak memiliki mekanisme pemulihan tebusan, dimaksudkan untuk merusak dan dirancang untuk membuat perangkat yang ditargetkan tidak dapat dioperasikan daripada untuk mendapatkan uang tebusan.

Saat ini dan berdasarkan visibilitas Microsoft, tim investigasi telah mengidentifikasi malware pada lusinan sistem yang terpengaruh dan jumlah itu dapat bertambah seiring investigasi kami berlanjut.

Sistem ini menjangkau beberapa organisasi pemerintah, nirlaba, dan teknologi informasi, semuanya berbasis di Ukraina. MSTIC tidak tahu tahap saat ini dari siklus operasional penyerang ini atau berapa banyak organisasi korban lainnya yang mungkin ada di Ukraina atau lokasi geografis lainnya.

Selengkapnya: Microsoft

Ups: Cyberspies menginfeksi diri mereka sendiri dengan malware mereka sendiri

by

Setelah menginfeksi diri mereka sendiri dengan trojan akses jarak jauh (RAT), sebuah kelompok spionase dunia maya yang terkait dengan India secara tidak sengaja memaparkan operasinya kepada peneliti keamanan.

Pelaku ancaman telah aktif setidaknya sejak Desember 2015 dan dilacak sebagai PatchWork (alias Dropping Elephant, Chinastrats, atau Quilted Tiger) karena penggunaan kode copy-paste.

Malwarebytes Labs mengamati pelaku ancaman menggunakan dokumen RTF berbahaya yang meniru otoritas Pakistan untuk menginfeksi target dengan varian baru RAT BERITA BURUK, yang dikenal sebagai Ragnatela.

Ragnatela RAT memungkinkan pelaku ancaman untuk mengeksekusi perintah, mengambil snapshot layar, mencatat penekanan tombol, memanen file sensitif dan daftar aplikasi yang sedang berjalan, menyebarkan muatan tambahan, dan mengunggah file.

“Ironisnya, semua informasi yang kami kumpulkan dimungkinkan berkat aktor ancaman yang menginfeksi diri mereka sendiri dengan RAT mereka sendiri, menghasilkan penekanan tombol dan tangkapan layar yang ditangkap dari komputer dan mesin virtual mereka sendiri,” jelas Tim Intelijen Ancaman Malwarebytes Labs.

Setelah menemukan bahwa operator PatchWork menginfeksi sistem pengembangan mereka sendiri dengan RAT, para peneliti dapat memantau mereka saat menggunakan VirtualBox dan VMware untuk pengujian dan pengembangan web dan pengujian pada komputer dengan tata letak keyboard ganda (yaitu, Inggris dan India).

PatchWork menguji RAT Ragnatela (Malwarebytes LABS)

Saat mengamati operasi mereka, mereka juga memperoleh info tentang target yang dikompromikan kelompok, termasuk Kementerian Pertahanan Pakistan dan anggota fakultas dari kedokteran molekuler dan departemen ilmu biologi di beberapa universitas seperti Universitas Pertahanan Nasional Islam Abad, Fakultas Bio-Universitas UVAS. Sains, institut Penelitian HEJ Karachi, dan Universitas SHU.

Operator PatchWork sebelumnya telah menargetkan think tank AS pada Maret 2018 dalam beberapa kampanye spear-phishing menggunakan taktik yang sama dengan mendorong file RTF berbahaya untuk membahayakan sistem korban mereka dan varian malware QuasarRAT.

Dua bulan sebelumnya, pada Januari 2018, mereka diamati mendorong dokumen bersenjata yang mengirimkan malware BADNEWS dalam serangan terhadap target dari anak benua India.

Mereka juga berada di balik kampanye spear-phishing yang menargetkan karyawan organisasi pemerintah Eropa pada akhir Mei 2016.

Sumber : Bleeping Computer

Fitur komentar Google Documents dieksploitasi untuk spear-phishing

by

Tren baru dalam serangan phishing muncul pada Desember 2021, dengan pelaku ancaman menyalahgunakan fitur komentar Google Documents untuk mengirimkan email yang tampaknya dapat dipercaya.

Karena Google sendiri sedang “ditipu” untuk mengirimkan email ini, kemungkinan alat keamanan email menandai mereka sebagai berpotensi berisiko hampir nol.

Peretas menggunakan akun Google mereka untuk membuat Dokumen Google dan kemudian mengomentarinya untuk menyebutkan target dengan @.

Google kemudian mengirimkan email pemberitahuan ke kotak masuk target, memberi tahu mereka bahwa pengguna lain telah mengomentari dokumen dan menyebut mereka.

Email berisiko dibuat dan dikirim oleh Google
Sumber: Avanan

Komentar pada email dapat membawa tautan berbahaya yang menyebabkan malware menjatuhkan halaman web atau situs phishing, email pelaku ancaman juga tidak ditampilkan di notifikasi, dan penerima hanya melihat nama. Hal ini membuat peniruan menjadi sangat mudah, dan sekaligus meningkatkan peluang keberhasilan bagi para aktor.

Teknik yang sama bekerja pada komentar Google Slide juga, dan Avanan melaporkan telah melihat aktor memanfaatkannya di berbagai elemen layanan Google Workspace.

Penyerang tidak perlu membagikan dokumen dengan target mereka karena menyebutkan mereka sudah cukup untuk mengirim pemberitahuan berbahaya.

Menurut Avanan, pelaku ancaman di balik serangan ini tampaknya berpihak pada pengguna Outlook, tetapi target demografisnya tidak terbatas pada mereka.

Kampanye spear-phishing yang sedang berlangsung ini menggunakan lebih dari 100 akun Google dan telah mencapai 500 kotak masuk di 30 organisasi.

Satu-satunya cara untuk mengurangi risiko kampanye ini dan kampanye serupa adalah dengan:

  • Konfirmasikan bahwa email pengirim cocok dengan rekan Anda (atau orang yang diklaim)
  • Hindari mengklik tautan yang datang melalui email dan disematkan di komentar
  • Terapkan tindakan keamanan tambahan yang menerapkan aturan berbagi file yang lebih ketat di Google Workspace
  • Gunakan solusi keamanan internet dari vendor tepercaya yang memiliki fitur perlindungan URL phishing

Sumber : Bleeping Computer

Rootkit Purple Fox ditemukan di penginstal Telegram jahat

by

Tim keamanan siber Minerva Labs, yang bekerja dengan MalwareHunterTeam, mengatakan bahwa Purple Fox sedang disamarkan melalui file bernama “Telegram Desktop.exe.” yang mereka percaya bahwa mereka menginstal layanan perpesanan populer, sebaliknya, menjadi sarat dengan malware dan proses infeksi membuatnya lebih sulit untuk dideteksi.

Pertama kali ditemukan pada tahun 2018, Purple Fox telah menyebar melalui berbagai cara, termasuk email phishing, tautan berbahaya, dan kit eksploitasi. Namun, dalam beberapa tahun terakhir, metode distribusi telah diperluas untuk mencakup kompromi layanan yang rentan terhadap internet, layanan UKM yang terbuka, dan penginstal palsu.

Pemasang Telegram berbahaya telah dikembangkan sebagai skrip AutoIt yang dikompilasi. Setelah dieksekusi, penginstal Telegram yang sah akan dihapus tetapi tidak pernah digunakan bersama dengan pengunduh berbahaya bernama TextInputh.exe.

Serangan tersebut kemudian dipisahkan menjadi beberapa file kecil, sebuah teknik yang menurut Minerva memungkinkan pelaku ancaman untuk tetap berada di bawah radar dan sebagian besar file “memiliki tingkat deteksi yang sangat rendah oleh mesin AV, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox. .”

TextInputh.exe membuat folder baru dan menghubungkan ke server command-and-control (C2) malware. Dua file baru kemudian diunduh dan dieksekusi, yang membongkar arsip .RAR dan file yang digunakan untuk memuat reflektif berbahaya.DLL.

Kunci registri dibuat untuk mengaktifkan kegigihan pada mesin yang terinfeksi, dan lima file selanjutnya dimasukkan ke folder ProgramData untuk menjalankan fungsi, termasuk mematikan berbagai proses antivirus sebelum Purple Fox akhirnya disebarkan.

Trojan Purple Fox hadir dalam varian Windows 32-bit dan 64-bit. Pada bulan Maret tahun lalu, Guardicore Labs menemukan kemampuan worm baru telah diintegrasikan ke dalam malware, dan ribuan server yang rentan telah dibajak untuk menampung muatan Purple Fox.

Pada bulan Oktober, Trend Micro menemukan backdoor .net baru, dijuluki FoxSocket, yang diyakini sebagai tambahan baru untuk kemampuan malware yang ada.

Mengingat bahwa malware sekarang berisi rootkit, fungsionalitas worm, dan telah ditingkatkan dengan pintu belakang yang lebih kuat, dimasukkannya proses infeksi yang lebih tersembunyi berarti bahwa peneliti keamanan siber kemungkinan akan terus mengawasi perkembangan malware ini di masa depan.

Sumber : ZDnet

Pemeriksaan tanda kode Microsoft dilewati untuk menghapus malware Zloader

by

Kampanye Zloader baru memanfaatkan verifikasi tanda tangan digital Microsoft untuk menyebarkan muatan malware dan mencuri kredensial pengguna dari ribuan korban dari 111 negara.

Zloader (alias Terdot dan DELoader) adalah malware perbankan yang pertama kali ditemukan pada tahun 2015 yang dapat mencuri kredensial akun dan berbagai jenis informasi pribadi sensitif dari sistem yang disusupi.

Baru-baru ini, Zloader telah digunakan untuk menjatuhkan muatan lebih lanjut pada perangkat yang terinfeksi, termasuk muatan ransomware seperti Ryuk dan Egregor,

MalSmoke telah mengeksplorasi berbagai cara untuk mendistribusikan malware pencuri informasi, mulai dari spam mail dan malvertising hingga menggunakan umpan konten dewasa.

Dalam kampanye terbaru, dilacak dan dianalisis oleh para peneliti di Check Point, infeksi dimulai dengan mengirimkan file “Java.msi” yang merupakan penginstal Atera yang dimodifikasi.

Zloader kemudian mengkampanyekan rantai infeksi
Sumber: Titik Periksa

Setelah dieksekusi, Atera membuat agen dan menetapkan titik akhir ke alamat email di bawah kendali aktor ancaman.

Penyerang kemudian mendapatkan akses jarak jauh penuh ke sistem, yang memungkinkan mereka untuk mengeksekusi skrip dan mengunggah atau mengunduh file, terutama muatan malware Zloader.

Menjatuhkan Zloader
Skrip batch yang disertakan dalam penginstal berbahaya melakukan beberapa pemeriksaan tingkat pengguna untuk memastikan mereka memiliki hak admin, menambahkan pengecualian folder ke Windows Defender, dan menonaktifkan alat seperti “cmd.exe” dan pengelola tugas.

Selengkapnya : Bleeping Computer

Pemeriksaan penandatanganan kode Microsoft dilewati
Analis Check Point telah mengkonfirmasi bahwa appContast.dll, yang mengeksekusi muatan Zloader dan skrip pengeditan registri membawa tanda tangan kode yang valid, sehingga OS pada dasarnya mempercayainya.

DLL berbahaya yang membawa tanda tangan kode yang valid
Sumber: Titik Periksa

Perubahan halus ini tidak cukup untuk mencabut validitas tanda tangan elektronik, tetapi pada saat yang sama, memungkinkan seseorang untuk menambahkan data ke bagian tanda tangan dari sebuah file.

Perubahan bagian tanda tangan di DLL
Sumber: Titik Periksa

Microsoft telah mengetahui tentang celah keamanan ini sejak 2012 (CVE-2020-1599, CVE-2013-3900, dan CVE-2012-0151) dan telah berusaha memperbaikinya dengan merilis kebijakan verifikasi file yang semakin ketat. Namun, untuk beberapa alasan, ini tetap dinonaktifkan secara default.

Anda dapat menemukan petunjuk untuk memperbaiki masalah ini sendiri dengan mengaktifkan kebijakan yang lebih ketat seperti yang dirinci dalam penasihat lama ini.

Atau, Anda dapat menempelkan baris di bawah ini ke Notepad, simpan file dengan ekstensi .reg dan jalankan.

Windows Registry Editor Versi 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
“AktifkanCertPaddingCheck”=”1”

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
“AktifkanCertPaddingCheck”=”1”

Korban dari Amerika Utara
Pada 2 Januari 2021, kampanye Zloader terbaru telah menginfeksi 2.170 sistem unik, dengan 864 memiliki alamat IP berbasis di AS dan 305 lainnya dari Kanada.

Meskipun jumlah korbannya tidak terlalu besar, serangan ini sangat bertarget dan dapat menyebabkan kerusakan yang signifikan pada setiap korban.

Karena vektor infeksi tidak diketahui, cara terbaik untuk melindungi dari ancaman ini adalah dengan mengikuti rekomendasi pengetatan kebijakan dan menggunakan IoC (indikator kompromi) yang disediakan oleh peneliti Check Point untuk deteksi ancaman proaktif.

Selengkapnya : Bleeping Computer

Pelaku ancaman menggunakan rootkit HP iLO untuk menghapus server

by

Sebuah perusahaan keamanan siber Iran mengatakan telah menemukan rootkit pertama dari jenisnya yang bersembunyi di dalam firmware perangkat HP iLO dan yang telah digunakan dalam serangan dunia nyata untuk menghapus server organisasi Iran.

Dinamakan iLOBleed, rootkit ditemukan oleh perusahaan keamanan Teheran Amnpardaz dan dirinci dalam sebuah laporan yang dirilis pada hari Selasa.

iLOBleed menargetkan HP iLO (Integrated Lights-Out), Perangkat iLO dilengkapi dengan unit prosesor, ruang penyimpanan, RAM, dan kartu jaringannya sendiri serta dijalankan secara terpisah dari sistem operasi lokal mana pun.

Peran utama mereka adalah menyediakan cara bagi administrator sistem untuk terhubung ke sistem jarak jauh, bahkan ketika sistem ini dimatikan, dan melakukan operasi pemeliharaan, seperti memperbarui firmware, menginstal pembaruan keamanan, atau menginstal ulang sistem yang rusak.

Amnpardaz mengatakan bahwa sejak tahun 2020, pihaknya menyelidiki beberapa insiden di mana aktor ancaman misterius mengkompromikan target dan bersembunyi di dalam iLO sebagai cara untuk bertahan dari penginstalan ulang OS dan mempertahankan kegigihan di dalam jaringan korban.

Untuk menghindari deteksi, para peneliti mengatakan penyerang menyamarkan rootkit iLOBleed sebagai modul untuk firmware iLO itu sendiri, dan penyerang juga membuat UI pembaruan palsu untuk ditunjukkan kepada administrator sistem ketika mereka mencoba memperbarui firmware iLO.

Bahkan jika rootkit memberikan kontrol penuh atas host yang terinfeksi, penyerang tampaknya hanya menggunakannya untuk menghapus sistem yang terinfeksi sebagai bagian dari semacam operasi penghapusan data.

“Ketika tim analisis keamanan kami menemukan malware, penyerang telah memutuskan untuk menghapus disk server dan sepenuhnya menyembunyikan jejak mereka,” tim Amnpardaz menjelaskan.

“Menariknya, penyerang tidak puas dengan penghancuran satu kali dan mengatur malware untuk berulang kali melakukan penghancuran data secara berkala. Mungkin mereka berpikir bahwa jika administrator sistem menginstal ulang sistem operasi, seluruh hard drive akan hancur lagi setelah beberapa saat. Jelas, mereka tidak mengira malware mereka akan ditemukan.”

Baik Amnpardaz dan anggota komunitas keamanan siber telah menggambarkan rootkit iLO sebagai karya tercanggih dan kemungkinan besar merupakan karya aktor ancaman yang sangat maju. Aktor itu sendiri tidak diidentifikasi dalam laporan Amnpardaz atau dalam percakapan online apa pun.

Sementara laporan Amnpardaz mengungkap keberadaan malware ini, masih ada pertanyaan tentang bagaimana awalnya digunakan. Teori yang berlaku saat ini mencakup skenario di mana penyerang memasuki jaringan korban melalui saluran lain dan kemudian menggunakan iLOBleed sebagai pintu belakang (mekanisme ketekunan), baik dengan mengeksploitasi kerentanan dalam firmware iLO lama atau dengan memperluas akses dari host yang terinfeksi ke kartu iLO-nya, jika ada .

Penemuan iLOBleed merupakan terobosan dan pencapaian, terutama karena hanya ada sedikit alat dan produk keamanan yang mampu mendeteksi aktivitas malware di tingkat iLO—komponen yang beroperasi lebih dalam daripada OS itu sendiri, biarkan produk keamanan tunggal.

Selengkapnya : The Record Media

Samsung Galaxy Store mendistribusikan aplikasi yang dapat menginfeksi ponsel dengan malware

by

Aplikasi pembajakan film ‘Showbox’ yang berpotensi palsu memicu peringatan Play Protect, dan penyelidikan menunjukkan bahwa mereka dapat mengunduh malware

Max Weinbach dari Android Police pertama kali mencatat masalah tadi malam, melihat beberapa aplikasi berbasis Showbox yang didistribusikan di Galaxy Store, beberapa di antaranya memicu peringatan Google Play Protect saat diinstal.

Analisis salah satu apk Showbox di Virustotal menunjukkan lebih dari selusin peringatan tingkat rendah dari vendor keamanan mulai dari “riskware” hingga adware. Beberapa aplikasi juga meminta izin lebih dari yang Anda harapkan, termasuk akses ke kontak, log panggilan, dan telepon.

Penyelidikan selanjutnya mengungkapkan bahwa teknologi iklan dalam aplikasi mampu melakukan eksekusi kode dinamis, sementara aplikasi itu sendiri saat didistribusikan tidak secara langsung mengandung malware, namun dapat mengunduh dan menjalankan kode lain yang dapat mencakup malware. Linuxct menambahkan bahwa ada sangat sedikit kasus penggunaan yang sah untuk fungsi ini, dan itu dapat dipersenjatai dengan mudah. “Jadi sewaktu-waktu bisa menjadi trojan/malware, oleh karena itu tidak aman dan oleh karena itu banyak vendor menandainya di VT/Play Protect.” Masalah serupa didokumentasikan di setidaknya dua aplikasi Showbox di Galaxy Store, meskipun itu juga dapat memengaruhi yang lain.

Deskripsi aplikasi mengklaim bahwa mereka tidak menghosting konten bajakan dan tidak mengaktifkan pembajakan. Kami belum menguji setiap aplikasi yang melanggar satu per satu, mengingat sifat peringatan yang dilampirkan pada pemasangannya, dan tidak dapat secara langsung mengonfirmasi apakah aplikasi saat ini menyediakan akses ke konten bajakan. Namun, nama tersebut memiliki reputasi itu, dan “pakar” lain yang lebih memilih untuk tetap anonim meyakinkan saya bahwa aplikasi tersebut pada satu titik memungkinkan pembajakan. Sumber aplikasi Showbox yang dihosting sendiri membuat klaim serupa, mengiklankan aplikasi sebagai aplikasi “basis data film” dengan VPN terintegrasi — wink wink

Subreddit Showbox mencatat bahwa Showbox “turun”, telah berlangsung selama hampir dua tahun, dan bahwa situs web dan aplikasi pihak ketiga yang mengaku terkait adalah “palsu.” Google, kami harus perhatikan, tidak meng-host aplikasi apa pun yang dipermasalahkan di Play Store.

Samsung Galaxy Store tidak melacak jumlah penginstalan, tetapi aplikasi yang dipermasalahkan secara kumulatif memiliki ratusan ulasan, termasuk beberapa yang mencatat peringatan malware pada saat penginstalan. Kami telah menghubungi Samsung untuk menanyakan apakah mereka mengetahui bahwa Galaxy Store-nya mungkin mendistribusikan malware atau apakah mereka mengetahui reputasi Showbox untuk mengaktifkan pembajakan, tetapi perusahaan tidak segera menanggapi pertanyaan kami. Kami juga telah menghubungi pengembang beberapa aplikasi yang dipermasalahkan, tetapi setidaknya salah satu email kontak yang terdaftar terpental kembali.

Sumber : Android Police

Trojan perbankan Android menyebar melalui halaman Google Play Store palsu

by

Trojan perbankan Android yang menargetkan Itaú Unibanco, penyedia layanan keuangan besar di Brasil dengan 55 juta pelanggan di seluruh dunia, telah menerapkan trik yang tidak biasa untuk menyebar ke perangkat.

Para aktor telah menyiapkan halaman yang terlihat sangat mirip dengan toko aplikasi resmi Google Play Android untuk mengelabui pengunjung agar berpikir bahwa mereka memasang aplikasi dari layanan tepercaya.

Sumber: BleepingComputer

Malware tersebut berpura-pura menjadi aplikasi perbankan resmi untuk Itaú Unibanco dan menampilkan ikon yang sama dengan aplikasi yang sah.

Jika pengguna mengklik tombol “Instal”, mereka ditawari untuk mengunduh APK, yang merupakan tanda pertama penipuan. Aplikasi Google Play Store diinstal melalui antarmuka toko, tidak pernah meminta pengguna untuk mengunduh dan menginstal program secara manual.

Para peneliti di Cyble menganalisis malware, menemukan bahwa setelah dieksekusi, ia mencoba membuka aplikasi Itaú yang sebenarnya dari Play Store yang sebenarnya.

Jika berhasil, ia menggunakan aplikasi yang sebenarnya untuk melakukan transaksi penipuan dengan mengubah bidang input pengguna.

Aplikasi tidak meminta izin berbahaya apa pun selama penginstalan, sehingga menghindari peningkatan deteksi yang mencurigakan atau berisiko dari AV.

Alih-alih, malware ini memiliki tujuan untuk memanfaatkan Layanan Aksesibilitas, yang merupakan semua yang dibutuhkan oleh malware seluler untuk melewati semua keamanan di sistem Android.

Hanya pengguna yang memiliki kesempatan untuk melihat tanda-tanda penyalahgunaan dan menghentikan malware sebelum sempat melakukan tindakan merusak pada perangkat.

Tanda-tanda ini datang dalam bentuk aplikasi yang meminta izin untuk melakukan gerakan, mengambil konten jendela, dan mengamati tindakan pengguna.

Selengkapnya: Bleeping Computer