Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Pengembang Apple menjadi sasaran malware baru, EggShell backdoor

by

Proyek Xcode berbahaya digunakan untuk membajak sistem pengembang dan menyebarkan backdoor EggShell khusus.

Malware, yang dijuluki XcodeSpy, menargetkan Xcode, lingkungan pengembangan terintegrasi (IDE) yang digunakan di macOS untuk mengembangkan perangkat lunak dan aplikasi Apple.

Menurut penelitian yang diterbitkan oleh SentinelLabs pada hari Kamis, fitur Run Script di IDE sedang dieksploitasi dalam serangan bertarget terhadap pengembang iOS melalui proyek Trojanized Xcode yang dibagikan secara bebas secara online.

Proyek Xcode sumber terbuka yang sah dapat ditemukan di GitHub. Namun, dalam kasus ini, proyek XcodeSpy menawarkan “advanced features” untuk menganimasikan bilah tab iOS – dan setelah versi awal diunduh dan diluncurkan, skrip berbahaya diterapkan untuk memasang backdoor EggShell.

Dua varian EggShell telah terdeteksi – dan salah satunya berbagi string terenkripsi dengan XcodeSpy. Backdoor ini mampu membajak mikrofon, kamera, dan keyboard pengembang korban, serta mengambil dan mengirim file ke C2 penyerang.

SentinelLabs mengatakan bahwa setidaknya satu organisasi AS telah terperangkap dalam serangan seperti ini dan pengembang di Asia mungkin juga telah terpengaruh oleh kampanye, yang beroperasi setidaknya antara Juli dan Oktober tahun lalu.

Selengkapnya: ZDNet

Malware botnet ZHtrap baru menyebarkan honeypots untuk menemukan lebih banyak target

by

Sebuah botnet baru memburu dan mengubah router, DVR, dan perangkat jaringan UPnP yang terinfeksi menjadi honeypots yang membantunya menemukan target lain untuk diinfeksi.

Malware tersebut, yang dijuluki ZHtrap oleh peneliti keamanan 360 Netlab, didasarkan pada kode sumber Mirai, dan dilengkapi dengan dukungan untuk x86, ARM, MIPS, dan arsitektur CPU lainnya.

Setelah mengambil alih perangkat, ZHtrap mencegah malware lain menginfeksi kembali botnya dengan bantuan whitelist yang hanya memungkinkan proses sistem yang sudah berjalan, memblokir semua upaya untuk menjalankan perintah baru.

Kemampuan utama botnet termasuk serangan DDoS dan pemindaian perangkat yang lebih rentan untuk terinfeksi. Namun, itu juga dilengkapi dengan fungsi backdoor yang memungkinkan operator untuk mengunduh dan mengeksekusi muatan berbahaya tambahan.

Untuk menyebarkan, ZHtrap menggunakan eksploitasi yang menargetkan empat kerentanan keamanan N-day di endpoint Realtek SDK Miniigd UPnP SOAP, MVPower DVR, Netgear DGN1000, dan daftar panjang perangkat CCTV-DVR.

Itu juga memindai perangkat dengan kata sandi Telnet yang lemah dari daftar alamat IP yang dibuat secara acak dan dikumpulkan dengan bantuan honeypot yang disebarkannya pada perangkat yang sudah terjerat dalam botnet.

Sumber: 360 Netlab

Selengkapnya: Bleeping Computer

Peretas negara bagian China menargetkan sistem Linux dengan malware baru

by

Peneliti keamanan di Intezer telah menemukan backdoor yang sebelumnya tidak dikenali yang dijuluki RedXOR, dengan tautan ke grup peretasan yang disponsori China dan digunakan dalam serangan berkelanjutan yang menargetkan sistem Linux.

Sampel malware RedXOR yang ditemukan oleh Intezer diunggah ke VirusTotal (1, 2) dari Taiwan dan Indonesia (target yang diketahui untuk peretas negara China) dan memiliki tingkat deteksi yang rendah.

Berdasarkan server perintah-dan-kontrol yang masih aktif, backdoor Linux digunakan dalam serangan yang sedang berlangsung yang menargetkan server dan endpoint Linux.

RedXOR hadir dengan sejumlah besar kemampuan, termasuk menjalankan perintah dengan hak istimewa sistem, mengelola file pada kotak Linux yang terinfeksi, menyembunyikan prosesnya menggunakan rootkit sumber terbuka Adore-ng, membuat proxy lalu lintas berbahaya, memperbarui jarak jauh, dan banyak lagi.

Malware baru itu diyakini sebagai alat berbahaya baru yang ditambahkan ke gudang senjata kelompok ancaman Winnti China.

Intezer juga menemukan banyak koneksi antara backdoor Linux RedXOR dan beberapa strain malware yang terhubung ke peretas Winnti state, termasuk backdoor PWNLNX dan botnet Groundhog dan XOR.DDOS.

Selengkapnya:

Malware Go sekarang menjadi umum dan telah diadopsi oleh APT serta kelompok kejahatan lainnya

by

Jumlah malware yang dikodekan dalam bahasa pemrograman Go telah mengalami peningkatan tajam sekitar 2.000% selama beberapa tahun terakhir, sejak 2017, kata perusahaan keamanan siber Intezer dalam sebuah laporan yang diterbitkan minggu ini.

Temuan perusahaan menyoroti dan mengkonfirmasi tren umum dalam ekosistem malware, di mana pembuat malware perlahan-lahan beralih dari C dan C ++ ke Go, bahasa pemrograman yang dikembangkan dan diluncurkan oleh Google pada tahun 2007.

Sementara malware berbasis Go pertama terdeteksi pada tahun 2012, bagaimanapun, butuh beberapa tahun bagi Golang untuk menguasai dunia malware.

Malware berbasis Go digunakan oleh kelompok peretasan negara-bangsa (juga dikenal sebagai APT), operator kejahatan siber, dan bahkan tim keamanan, yang sering menggunakannya untuk membuat perangkat pengujian penetrasi.

Ada tiga alasan utama mengapa popularitas Golang mengalami peningkatan tajam yang tiba-tiba ini. Yang pertama adalah Go mendukung proses yang mudah untuk kompilasi lintas platform.

Alasan kedua adalah bahwa binari berbasis Go masih sulit untuk dianalisis dan di-reverse engineer oleh peneliti keamanan, yang membuat tingkat deteksi untuk malware berbasis Go sangat rendah. Alasan ketiga terkait dengan dukungan Go untuk bekerja dengan paket dan permintaan jaringan.

Go menyediakan malware dengan semua alat yang mereka butuhkan di satu tempat, dan mudah untuk melihat mengapa banyak pembuat kode malware meninggalkan C dan C ++ karenanya. Ketiga alasan ini adalah mengapa kita melihat lebih banyak malware Golang di tahun 2020 daripada sebelumnya.

Selengkapnya: ZDNet

Cyberspies Cina menargetkan warga Tibet dengan add-on Firefox yang berbahaya

by Leave a Comment

Peretas yang disponsori negara Cina telah mengejar organisasi Tibet di seluruh dunia menggunakan add-on Firefox berbahaya yang dikonfigurasi untuk mencuri data browser Gmail dan Firefox dan kemudian mengunduh malware pada sistem yang terinfeksi.

Serangan tersebut, yang ditemukan oleh perusahaan keamanan siber Proofpoint bulan ini, telah dikaitkan dengan grup yang dilacak perusahaan dengan nama kode TA413.

Proofpoint mengatakan para penyerang menargetkan organisasi Tibet dengan email spear-phishing yang memikat anggotanya di situs web tempat mereka akan diminta memasang pembaruan Flash untuk melihat konten situs.

Situs web ini berisi kode yang memisahkan pengguna. Hanya pengguna Firefox dengan sesi Gmail aktif yang diminta untuk menginstal add-on berbahaya tersebut.

Tim Proofpoint mengatakan bahwa meskipun ekstensi itu bernama “Komponen pembaruan Flash”, itu sebenarnya adalah versi dari add-on “Gmail notifier (restartless)” yang sah, dengan kode berbahaya tambahan.

Proofpoint mengatakan ekstensi tersebut juga mengunduh dan menginstal malware ScanBox pada sistem yang terinfeksi.

Kerangka kerja pengintaian berbasis PHP dan JavaScript, malware ini adalah alat lama yang terlihat pada serangan sebelumnya yang dilakukan oleh kelompok spionase siber Cina.

Dalam kampanye khusus ini, yang diberi nama kode FriarFox oleh Proofpoint, serangan dimulai pada Januari 2021 dan berlanjut sepanjang Februari.

Sumber: ZDNet

Malware baru yang ditemukan di 30.000 Mac membuat para profesional keamanan bingung

by

Sepotong malware yang sebelumnya tidak terdeteksi yang ditemukan di hampir 30.000 Mac di seluruh dunia menghasilkan intrik di lingkaran keamanan, yang masih mencoba untuk memahami dengan tepat apa yang dilakukannya dan apa tujuan dari kemampuan penghancuran dirinya.

Setiap satu jam, Mac yang terinfeksi memeriksa server kontrol untuk melihat apakah ada perintah baru yang harus dijalankan malware atau binari untuk dijalankan. Namun, sejauh ini, para peneliti belum mengamati pengiriman muatan apa pun pada salah satu dari 30.000 mesin yang terinfeksi, sehingga tujuan akhir malware tidak diketahui. Kurangnya muatan akhir menunjukkan bahwa malware dapat beraksi begitu kondisi yang tidak diketahui terpenuhi.

Malware ini terkenal karena versi yang berjalan secara native pada chip M1 yang diperkenalkan Apple pada November, menjadikannya sebagai malware macOS kedua yang diketahui melakukannya. Biner jahat lebih misterius lagi, karena menggunakan macOS Installer JavaScript API untuk menjalankan perintah. Itu membuat sulit untuk menganalisis konten paket instalasi atau cara paket tersebut menggunakan perintah JavaScript.

Malware tersebut telah ditemukan di 153 negara dengan deteksi terkonsentrasi di AS, Inggris, Kanada, Prancis, dan Jerman. Penggunaannya atas Amazon Web Services dan jaringan pengiriman konten Akamai memastikan infrastruktur perintah bekerja dengan andal dan juga mempersulit pemblokiran server. Peneliti dari Red Canary, perusahaan keamanan yang menemukan malware tersebut, menyebut malware Silver Sparrow.

selengkapnya : ArsTechnica

Peretas menyalahgunakan Google Apps Script untuk mencuri kartu kredit, melewati CSP

by

Penyerang menyalahgunakan platform pengembangan aplikasi bisnis Google Apps Script untuk mencuri informasi kartu kredit yang dikirimkan oleh pelanggan situs web e-commerce saat berbelanja online.

Mereka menggunakan domain script.google.com untuk berhasil menyembunyikan aktivitas berbahaya mereka dari mesin pemindai malware dan melewati kontrol Kebijakan Keamanan Konten (CSP).

Mereka memanfaatkan fakta bahwa toko online akan menganggap domain Google Apps Script sebagai tepercaya dan berpotensi memasukkan semua subdomain Google ke whitelist di konfigurasi CSP situs mereka (standar keamanan untuk memblokir eksekusi kode yang tidak tepercaya di aplikasi web).

Skimmer kartu kredit (skrip Magecart atau skimmer kartu pembayaran) adalah skrip berbasis JavaScript yang disuntikkan oleh grup kejahatan siber yang dikenal sebagai grup Magecart yang disuntikkan ke toko online yang diretas sebagai bagian dari serangan web skimming (juga dikenal sebagai e-skimming).

Setelah digunakan, skrip memungkinkan mereka untuk memanen pembayaran, dan info pribadi yang dikirimkan oleh pelanggan toko yang diretas dan mengumpulkannya di server mereka.

Taktik pencurian info pembayaran baru ini ditemukan oleh peneliti keamanan Eric Brandel saat menganalisis data Early Breach Detection yang disediakan oleh Sansec, sebuah perusahaan keamanan siber yang berfokus pada memerangi skimming digital.

Selengkapnya: Bleeping Computer

Bagaimana Internet Telah Berubah Menjadi Medan Perang Zaman Modern

by

Selama dekade terakhir, keamanan siber telah berubah dari pinggiran budaya populer menjadi arus utama. Saat ini, gagasan peretas telah sepenuhnya bermigrasi dari kiasan tua seorang pria bertudung yang tinggal di ruang bawah tanah orangtuanya, menjadi beragam kelompok peretas (dan peretasan realistis) yang digambarkan di acara seperti Mr Robot.

NSA, yang pernah dijuluki “No-Such-Agency” karena tidak ada yang tahu apa itu, memiliki akun Twitter yang men-tweet tentang keseimbangan kehidupan kerja yang luar biasa yang ditawarkannya kepada mata-matanya.

Dalam hal geopolitik, apa yang disebut ‘dunia maya’ dan dunia internet telah menjadi medan perang yang serius dan ruang di mana negara-negara musuh telah memperdagangkan kampanye disinformasi dan dapat menyebabkan hal-hal seperti pembangkit listrik dihancurkan oleh serangkaian kode.

Sejak 2011, jurnalis New York Times Nicole Perlroth telah melaporkan tentang dunia rahasia keamanan siber dan gudang malware yang ditimbun oleh negara-negara bagian.

Minggu ini dia ada di CYBER untuk membicarakan tentang bukunya yang baru dirilis, This Is How They Tell Me The World Ends. Di dalamnya, Perlroth menulis tentang pengalamannya dan bagaimana pemerintah AS yang dulu perkasa memonopoli perlombaan senjata siber, tetapi sejak itu muncul persaingan yang muncul dari seluruh dunia.

Sumber: Vice