Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Malware Android pencuri sandi ini menyebar dengan cepat: Inilah yang harus diwaspadai

by

Kampanye malware dengan tujuan mencuri kata sandi, detail bank, dan informasi sensitif lainnya menyebar dengan cepat melalui perangkat Android.

Dikenal sebagai FluBot, malware ini diinstal melalui pesan teks yang mengaku dari perusahaan pengiriman yang meminta pengguna untuk mengklik link untuk melacak pengiriman paket.

Tautan phishing ini meminta pengguna untuk menginstal aplikasi untuk mengikuti pengiriman palsu – tetapi aplikasi tersebut sebenarnya adalah malware karena mencuri informasi dari smartphone Android yang terinfeksi.

Setelah terinstal, FluBot juga mendapatkan akses ke buku alamat korban, memungkinkannya untuk mengirim pesan teks yang terinfeksi ke semua kontak mereka, selanjutnya menyebarkan malware.

Pusat Keamanan Siber Nasional (NCSC) Inggris telah mengeluarkan panduan keamanan tentang cara mengidentifikasi dan menghapus malware FluBot, sementara penyedia jaringan termasuk Three dan Vodafone juga telah mengeluarkan peringatan kepada pengguna atas serangan pesan teks tersebut.

Sementara malware hanya dapat menginfeksi perangkat Android, pengguna Apple juga didesak untuk berhati-hati dengan pesan teks yang mendesak mereka untuk mengklik tautan tentang pengiriman karena situs web berbahaya masih dapat digunakan untuk mencuri informasi pribadi.

Selengkapnya: ZDNet

Microsoft Store, situs Spotify palsu menyebarkan malware pencuri info

by

Penyerang mempromosikan situs yang meniru Microsoft Store, Spotify, dan konverter dokumen online yang mendistribusikan malware untuk mencuri kartu kredit dan sandi yang disimpan di browser web.

Serangan itu ditemukan oleh perusahaan keamanan siber ESET yang mengeluarkan peringatan kemarin di Twitter untuk mewaspadai kampanye jahat tersebut.

Dalam percakapan dengan Jiri Kropac, Kepala ESET Lab Deteksi Ancaman, BleepingComputer mengetahui bahwa serangan tersebut dilakukan melalui iklan jahat yang mempromosikan apa yang tampak sebagai aplikasi yang sah.

Misalnya, salah satu iklan yang digunakan dalam serangan ini mempromosikan aplikasi Catur online. Namun, ketika pengguna mengklik iklan tersebut, mereka dibawa ke halaman Microsoft Store palsu untuk aplikasi catur online ‘xChess 3’ palsu, yang secara otomatis diunduh dari server Amazon AWS.

File zip yang diunduh bernama ‘xChess_v.709.zip’, yang sebenarnya adalah ‘Ficker’, atau ‘FickerStealer,’ malware pencuri informasi yang menyamar, seperti yang ditunjukkan oleh laporan Any.Run ini yang dibuat oleh BleepingComputer.

Iklan lain dari kampanye malware ini berpura-pura menjadi Spotify atau pengonversi dokumen online. Saat dikunjungi, halaman arahan mereka juga akan secara otomatis mendownload file zip yang berisi malware Ficker.

Sumber: Bleeping Computer

Selengkapnya: Bleeping Computer

Google Alerts terus menjadi sarang penipuan dan malware

by

Google Alerts terus menjadi sarang penipuan dan malware yang semakin disalahgunakan pelaku ancaman untuk mempromosikan situs web berbahaya.

Meskipun Google Alerts telah lama disalahgunakan, BleepingComputer melihat peningkatan aktivitas yang signifikan selama beberapa minggu terakhir.

Misalnya, saya menggunakan Google Alerts untuk memantau berbagai istilah yang terkait dengan serangan cyber, insiden keamanan, malware, dll. Dalam satu Google Alert tertentu, hampir setiap artikel baru yang dibagikan dengan saya hari ini oleh layanan menyebabkan situs web scam atau berbahaya, dengan dua dari mereka ditunjukkan di bawah ini.

Sumber: Bleeping Computer

Saat Anda membuka peringatan ini, alih-alih dibawa ke halaman web yang sah, Anda dialihkan melalui serangkaian situs sampai Anda mendarat di satu situs yang mempromosikan malware, situs dewasa palsu, aplikasi kencan palsu, game dewasa, giveaway dan penipuan undian, dan unwanted browser extensions.

Untuk menipu Google agar berpikir bahwa mereka adalah situs yang sah dan bukan penipuan, pelaku ancaman menggunakan teknik black hat search engine optimization (SEO) yang disebut ‘cloaking’.

Cloaking adalah ketika sebuah situs web menampilkan konten yang berbeda kepada pengunjung.

Penyelubungan ini memungkinkan situs web terlihat seperti teks biasa atau posting blog biasa saat spider mesin pencari Google mengunjungi halaman tersebut tetapi melakukan pengalihan berbahaya saat pengguna mengunjungi situs dari pengalihan Google.

Selengkapnya: Bleeping Computer

Malware QBot kembali menggantikan IcedID di kampanye malspam

by

Distributor malware memutar muatan sekali lagi, beralih di antara trojan yang sering kali merupakan tahap perantara dalam rantai infeksi yang lebih panjang.

Awal tahun ini, para peneliti mengamati kampanye email berbahaya yang menyebarkan dokumen Office yang mengirimkan trojan QBot, hanya untuk mengubah muatan setelah beberapa saat.

Pada bulan Februari, IcedID adalah malware baru yang berasal dari URL yang digunakan untuk melayani QBot. Brad Duncan dari Palo Alto Networks menangkap perubahan dan catatan dalam analisisnya pada saat itu:

“URL HTTPS yang dibuat oleh makro Excel diakhiri dengan /ds/2202.gif yang biasanya mengirimkan Qakbot, tetapi hari ini mengirimkan IcedID” – Brad Duncan

Peneliti ancaman James Quinn dari Binary Defense membuat pengamatan yang sama dalam posting blog pada bulan Maret, ketika perusahaan menemukan varian IcedID/BokBot baru saat melacak kampanye spam berbahaya dari distributor QakBot.

Peneliti malware dan reverse engineer reecDeep melihat pergantian tersebut pada hari Senin, mengatakan bahwa kampanye tersebut bergantung pada makro XLM yang diperbarui.

Sumber: Bleeping Computer

Seperti yang terlihat pada tangkapan layar di atas, file Office yang berbahaya berperan sebagai dokumen DocuSign untuk mengelabui pengguna agar mengaktifkan dukungan makro yang mengambil muatan pada sistem.

Menurut Intel 471, beberapa kelompok penjahat dunia maya mulai menggunakan layanan EtterSilent, termasuk IcedID, QakBot, Ursnif, dan Trickbot.

Selengkapnya: Bleeping Computer

Malware Linux, macOS baru disembunyikan dalam paket Browserify NPM palsu

by

Paket berbahaya baru telah terlihat minggu ini di registri npm, yang menargetkan pengembang NodeJS yang menggunakan sistem operasi Linux dan Apple macOS.

Paket jahat ini disebut “web-browserify”, dan meniru komponen npm Browserify yang populer diunduh lebih dari 160 juta kali selama masa pakainya.

web-browserify sendiri dibangun dengan menggabungkan ratusan komponen open-source yang sah, dan melakukan aktivitas pengintaian ekstensif pada sistem yang terinfeksi.

Selain itu, sampai hari ini, malware ELF yang terkandung dalam komponen tersebut tidak terdeteksi oleh semua mesin antivirus terkemuka.

Komponen tersebut terdeteksi oleh sistem deteksi malware otomatis Sonatype, Release Integrity, dan dianggap berbahaya setelah dianalisis oleh tim riset keamanan Sonatype.

“web-browserify” dibuat oleh penulis dengan nama samaran yang menggambarkan diri mereka sebagai Steve Jobs.

Paket ini terdiri dari file manifes, package.json, skrip postinstall.js, dan ELF yang dapat dieksekusi yang disebut “run” yang ada dalam arsip terkompresi, run.tar.xz di dalam komponen npm.

Segera setelah “web-browserify” diinstal oleh pengembang, skrip mengekstrak dan meluncurkan biner Linux “run” dari arsip, yang kemudian meminta root permission dari pengguna.

Run binary yang diekstrak berukuran sekitar 120 MB dan memiliki ratusan komponen npm open-source yang sah yang digabungkan di dalamnya, yang disalahgunakan untuk aktivitas berbahaya.

Selengkapnya: Bleeping Computer

Malware Joker menginfeksi lebih dari 500.000 perangkat Android Huawei

by

Lebih dari 500.000 pengguna Huawei telah mengunduh dari aplikasi toko Android resmi perusahaan yang terinfeksi malware Joker yang berlangganan layanan seluler premium.

Peneliti menemukan sepuluh aplikasi yang tampaknya tidak berbahaya di AppGallery yang berisi kode untuk menghubungkan ke server perintah dan kontrol yang berbahaya untuk menerima konfigurasi dan komponen tambahan.

Sebuah laporan dari pembuat antivirus Doctor Web mencatat bahwa aplikasi berbahaya tetap memiliki fungsionalitas yang diiklankan tetapi mengunduh komponen yang membuat pengguna berlangganan layanan seluler premium.

Menurut para peneliti, malware dapat membuat pengguna berlangganan maksimal lima layanan, meskipun pelaku ancaman dapat mengubah batasan ini kapan saja.

Daftar aplikasi berbahaya termasuk keyboard virtual, aplikasi kamera, peluncur, utusan online, koleksi stiker, program mewarnai, dan permainan.

Kebanyakan dari mereka berasal dari satu pengembang (Shanxi Kuailaipai Network Technology Co., Ltd.) dan dua dari pengembang yang berbeda. Sepuluh aplikasi ini diunduh oleh lebih dari 538.000 pengguna Huawei, kata Doctor Web.

Para peneliti mengatakan bahwa modul yang sama yang diunduh oleh aplikasi yang terinfeksi di AppGallery juga ada di aplikasi lain di Google Play, digunakan oleh versi lain dari malware Joker. Daftar lengkap IoC tersedia di sini.

Sumber: Bleeping Computer

Penjahat Dunia Maya Membeli Iklan Facebook untuk Aplikasi Clubhouse Palsu yang Penuh Dengan Perangkat Lunak Perusak

by

Penjahat dunia maya telah mendorong pengguna Facebook untuk mengunduh aplikasi Clubhouse “untuk PC”, sesuatu yang sebenarnya tidak ada. Aplikasi ini sebenarnya adalah trojan yang dirancang untuk menyuntikkan malware ke komputer Anda. Aplikasi obrolan khusus undangan baru yang populer hanya tersedia di iPhone tetapi minat di seluruh dunia terhadap platform tersebut telah meningkat dan pengguna berteriak-teriak untuk Android dan, mungkin, versi “PC”.

Menurut TechCrunch, kampanye jahat tersebut menggunakan iklan dan halaman Facebook untuk mengarahkan pengguna platform ke serangkaian situs web Clubhouse palsu. Situs-situs tersebut, yang dihosting di Rusia, meminta pengunjung untuk mengunduh aplikasi, yang mereka janjikan hanyalah versi terbaru dari produk tersebut: “Kami mencoba membuat pengalaman ini sehalus mungkin. Anda bisa memeriksanya sekarang! ” salah satu memproklamirkan.

Namun, setelah diunduh, aplikasi akan mulai memberi sinyal ke server perintah dan kontrol (C&C). Dalam serangan cyber, C&C biasanya adalah server yang memberi tahu malware apa yang harus dilakukan setelah menginfeksi sistem. Pengujian aplikasi melalui sandbox analisis malware VMRay tampaknya menunjukkan bahwa, dalam satu contoh, ia mencoba menginfeksi komputer dengan ransomware.

Memanfaatkan produk baru yang populer untuk menyebarkan perangkat lunak jahat adalah tindakan kriminal dunia maya yang cukup klasik — dan mengingat keunggulan Clubhouse saat ini, tidak mengherankan hal ini terjadi. Faktanya, para peneliti baru-baru ini menemukan aplikasi Clubhouse palsu yang berbeda. Lukas Stefanko dari firma keamanan ESET mengungkapkan bagaimana “versi Android” fiktif lain dari aplikasi tersebut bertindak sebagai front bagi penjahat yang ingin mencuri kredensial login pengguna dari layanan lain.

selengkapnya : gizmodo.com

Malware Android baru menggunakan WhatsApp untuk menyebar

by

Bentuk baru malware Android mulai menyebar dengan sendirinya dengan membuat balasan otomatis di WhatsApp. Check Point Research baru-baru ini menemukan malware dalam aplikasi palsu di Google Play.

Sekarang, setiap pengguna yang telah mengunduh aplikasi jahat dan diberikan izin yang diperlukan, malware dapat menggunakan pesan balasan otomatis di WhatsApp untuk mengirim muatan jahat kepada pengguna melalui server perintah-dan-kontrol (C&C). Strategi eklektik ini dapat membantu penyerang melakukan serangan phishing, mencuri kredensial dan data WhatsApp, serta informasi palsu, di antara aktivitas terlarang lainnya.

Aplikasi palsu di Google Play disebut “FlixOnline”, layanan palsu yang mengklaim mengizinkan pengguna memanfaatkan layanan streaming Netflix dari mana saja di dunia. Namun, alih-alih menyediakan akses ke Netflix, aplikasi sebenarnya berinteraksi dengan akun WhatsApp pengguna untuk mengirim balasan otomatis palsu tersebut. Bahkan, pelaku ancaman bahkan dapat memeras pengguna dengan mengancam akan menjual percakapan dan data WhatsApp pribadi mereka ke semua kontak pengguna.

Setelah pengguna mendownload dan menginstal aplikasi dari Play Store, malware memulai layanan yang meminta izin “Overlay”, “Battery Optimization Ignore”, dan “Notification”. Izin seperti Overlay memungkinkan penyerang membuka jendela baru di atas aplikasi yang ada untuk tujuan membuat portal login palsu untuk mencuri kredensial pengguna. Batter Optimization Ignore memungkinkan penyerang untuk tetap menjalankan malware bahkan setelah ponsel tidak digunakan untuk menghemat daya baterai. Terakhir, izin Pemberitahuan memungkinkan penyerang melihat semua pemberitahuan terkait pesan yang dikirim ke perangkat pengguna, termasuk kemampuan untuk menutup atau membalas pesan tersebut.

Setelah izin tersebut diperoleh, malware menyembunyikan ikonnya sehingga perangkat lunak tidak dapat dihapus dengan mudah. Aplikasi menyembunyikan dirinya sendiri menggunakan pembaruan dari server C&C yang secara rutin mengubah konfigurasi malware. Cara mengubah konfigurasi ini mungkin terjadi melibatkan server C&C yang melakukan pembaruan aplikasi setelah perangkat menjalankan malware. Secara khusus, server menggunakan callback OnNotificationPosted untuk memperbarui malware secara otomatis.

Faktanya, segera setelah malware mendeteksi pemberitahuan pesan baru, aplikasi jahat menyembunyikan pemberitahuan dari pengguna sehingga hanya malware yang dapat melihat pesan tersebut. Selanjutnya, malware memulai panggilan balik untuk mengirim balasan otomatis palsu kepada pengguna.

Sejak Check Point Research memberi tahu Google tentang aplikasi berbahaya ini, Google telah menghapus aplikasi jahat tersebut dari Play Store. Sebelum dihapus, aplikasi ini diunduh kira-kira 500 kali.

sumber : techxplore.com