Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Terbaru: Malware Botnet ‘Pink’ Menginfeksi Lebih dari 1,6 Juta Perangkat

by

Peneliti keamanan siber mengungkapkan perincian tentang apa yang mereka katakan sebagai “botnet terbesar” yang diamati di alam liar dalam enam tahun terakhir, menginfeksi lebih dari 1,6 juta perangkat yang sebagian besar berlokasi di China, dengan tujuan meluncurkan serangan penolakan layanan (DDoS) terdistribusi dan memasukkan iklan ke situs web HTTP yang dikunjungi oleh pengguna yang tidak curiga.

Tim keamanan Netlab Qihoo 360 menjuluki botnet “Pink” berdasarkan sampel yang diperoleh pada 21 November 2019, karena banyaknya nama fungsi yang dimulai dengan “pink.”

Terutama menargetkan router serat berbasis MIPS, botnet memanfaatkan kombinasi layanan pihak ketiga seperti GitHub, jaringan peer-to-peer (P2P), dan server command-and-control (C2) pusat untuk botnya ke komunikasi pengontrol, belum lagi mengenkripsi saluran transmisi sepenuhnya untuk mencegah perangkat yang menjadi korban diambil alih.

“Pink berpacu dengan vendor untuk mempertahankan kendali atas perangkat yang terinfeksi, sementara vendor melakukan upaya berulang untuk memperbaiki masalah, master bot memperhatikan tindakan vendor juga secara real time, dan membuat beberapa pembaruan firmware pada router fiber secara bersamaan,” para peneliti kata dalam analisis yang diterbitkan minggu lalu menyusul tindakan terkoordinasi yang diambil oleh vendor yang tidak ditentukan dan Tim Teknis/Pusat Koordinasi Tanggap Darurat Jaringan Komputer China (CCERT/CC).

Menariknya, Pink juga ditemukan mengadopsi DNS-Over-HTTPS (DoH), sebuah protokol yang digunakan untuk melakukan resolusi Domain Name System jarak jauh melalui protokol HTTPS, untuk terhubung ke pengontrol yang ditentukan dalam file konfigurasi yang dikirimkan baik melalui GitHub atau Baidu Tieba, atau melalui nama domain bawaan yang dikodekan ke dalam beberapa sampel.

Lebih dari 96% dari node zombie bagian dari “jaringan bot skala super besar” berlokasi di Cina, perusahaan keamanan siber yang berbasis di Beijing NSFOCUS mencatat dalam sebuah laporan independen, dengan aktor ancaman membobol perangkat untuk menginstal program jahat oleh memanfaatkan kerentanan zero-day di perangkat gateway jaringan. Meskipun sebagian besar perangkat yang terinfeksi telah diperbaiki dan dipulihkan ke keadaan sebelumnya pada Juli 2020, botnet tersebut masih dikatakan aktif, terdiri dari sekitar 100.000 node.

Dengan hampir 100 serangan DDoS telah diluncurkan oleh botnet hingga saat ini, temuan ini merupakan indikasi lain tentang bagaimana botnet dapat menawarkan infrastruktur yang kuat bagi pelaku kejahatan untuk memasang berbagai intrusi. “Perangkat Internet of Things telah menjadi tujuan penting bagi organisasi produksi hitam dan bahkan organisasi ancaman persisten (APT) tingkat lanjut,” kata peneliti NSFOCUS. “Meskipun Pink adalah botnet terbesar yang pernah ditemukan, itu tidak akan pernah menjadi yang terakhir.”

sumber: FEEDPROXY

Kampanye Malware Lightshot Baru

by

Lightshot adalah utilitas untuk Windows dan Mac yang memungkinkan Anda mengambil tangkapan layar dari bagian layar tertentu. Ini berguna jika Anda tidak ingin menggunakan fungsi bawaan Windows yang sejujurnya kurang.

Para penyerang membayar uang untuk membuat ini menjadi hasil pertama di Google melalui iklan. Lihat gambar di bawah:

Dan jika Anda pergi ke situs web, saya tidak dapat menyalahkan orang karena tidak dapat membedakannya:

Gambar di sebelah kanan adalah situs palsu, dibuat dengan baik untuk meniru yang asli di sebelah kiri.

Dan jika Anda mengunduh versi palsu, Anda sebenarnya menginstal Lightshot, tetapi juga klien NetSupport lama yang dikompilasi pada tahun 2009:

Sulit bagi rata-rata pengguna untuk tetap mengikuti jenis kampanye ini ketika penyerang melakukan pekerjaan yang baik meniru situs asli dan penginstal, belum lagi penginstal ditandatangani dan diverifikasi sehingga Windows tidak akan membuat kesalahan apa pun. Ini dibuat lebih lagi ketika mereka membeli ruang iklan yang berhasil muncul sebelum situs yang sah dalam pencarian.

Penting untuk diingat untuk memeriksa URL, dalam hal ini hadiahnya adalah “n” tambahan di URL, karena ini adalah yang paling bisa Anda lakukan untuk menjaga diri Anda tetap terlindungi. Antivirus terbaru juga terbukti penting karena akan menghentikan beacon menjangkau dan merusak sistem lebih lanjut. Menonton IP asing hanya dapat melakukan banyak hal karena yang dalam kasus ini adalah campuran sistem Asia dan Amerika. Ini juga bukan pertama kalinya hal seperti ini terjadi.

Selengkapnya: Culbert Report

Google Chrome Disalahgunakan untuk Mengirimkan Malware sebagai Aplikasi Win 10 ‘Legit’

by

Muncul kampanye malware baru yang dikirimkan melalui situs web yang disusupi di browser Chrome dapat melewati Kontrol Akun Pengguna untuk menginfeksi sistem dan mencuri data sensitif, seperti kredensial dan mata uang kripto.

Peneliti dari Rapid7 baru-baru ini mengidentifikasi kampanye dan memperingatkan bahwa tujuan penyerang adalah untuk mencuri data sensitif dancryptocurrency dari PC yang terinfeksi yang ditargetkan.

Andrew Iwamaye, analis riset Rapid7, mengatakan bahwa malware mempertahankan kegigihan pada PC “dengan menyalahgunakan variabel lingkungan Windows dan tugas terjadwal asli untuk memastikannya terus-menerus dijalankan dengan hak istimewa yang lebih tinggi.”

Iwamaye menulis dalam blog posting blog yang diterbitkan Kamis (28/10/2021), rantai serangan dimulai ketika pengguna browser Chrome mengunjungi situs web jahat dan “layanan iklan browser” meminta pengguna untuk mengambil tindakan. Pertanyaan tentang apa yang peneliti identifikasi sebagai “layanan iklan browser” belum dikembalikan pada tulisan ini.

Selengkapnya: Threat Post

Malware Android Baru Ini Dapat Mendapatkan Akses Root ke Smartphone Anda

by

Pelaku ancaman tak dikenal telah dikaitkan dengan jenis malware Android baru yang memiliki kemampuan untuk me-root smartphone dan mengambil kendali penuh atas smartphone yang terinfeksi sekaligus mengambil langkah-langkah untuk menghindari deteksi.

Malware tersebut diberi nama “AbstractEmu” karena penggunaan abstraksi kode dan pemeriksaan anti-emulasi untuk menghindari berjalan saat sedang dianalisis. Khususnya, kampanye seluler global dirancang untuk menargetkan pengguna dan menginfeksi sebanyak mungkin perangkat tanpa pandang bulu.

Lookout Threat Labs menemukan total 19 aplikasi Android yang menyamar sebagai aplikasi utilitas dan alat sistem seperti pengelola kata sandi, pengelola uang, peluncur aplikasi, dan aplikasi penyimpanan data, tujuh di antaranya berisi fungsi rooting. Hanya satu aplikasi nakal, yang disebut Lite Launcher, yang masuk ke Google Play Store resmi, menarik total 10.000 unduhan sebelum dihapus.

Aplikasi tersebut dikatakan telah didistribusikan secara jelas melalui Appstore pihak ketiga seperti Amazon Appstore dan Samsung Galaxy Store, serta pasar yang kurang dikenal lainnya seperti Aptoide dan APKPure.

“Meskipun jarang, rooting malware sangat berbahaya. Dengan menggunakan proses rooting untuk mendapatkan akses istimewa ke sistem operasi Android, pelaku ancaman dapat secara diam-diam memberikan izin berbahaya kepada diri mereka sendiri atau menginstal malware tambahan — langkah yang biasanya memerlukan interaksi pengguna,” peneliti Lookout dikatakan.

“Hak istimewa yang lebih tinggi juga memberi malware akses ke data sensitif aplikasi lain, sesuatu yang tidak mungkin dilakukan dalam keadaan normal.”

Selengkapnya: The Hacker News

Jangan Asal Unduh Aplikasi Bertema Squid Game!

by

Penjahat dunia maya memanfaatkan ketenaran “Squid Game” untuk menguangkan para penggemar serial hit Korea Netflix yang hiper-kekerasan.

Dalam penipuan terbaru, yang ditemukan oleh seorang peneliti keamanan siber, sebuah aplikasi untuk wallpaper bertema SG — tersedia di Google Play Store — telah memasang malware berbahaya ke ponsel orang, Sun melaporkan.

“Sepertinya peluang besar untuk menghasilkan uang dari iklan dalam aplikasi dari salah satu acara TV paling populer tanpa game resmi,” Lukas Stefanko, seorang peneliti malware di perusahaan keamanan ESET, yang dilaporkan menangkap aplikasi tersebut sedang beraksi.

Aplikasi yang diduga jahat, berjudul “Squid Game Wallpaper 4K HD,” tersedia bersama ratusan aplikasi berdasarkan seri sukses besar. Saat diunduh, Trojan akan menginfeksi perangkat Android dengan malware Joker, yang memungkinkan peretas untuk mendaftarkan Anda ke layanan premium yang dapat mereka manfaatkan.

Stefanko telah menge-Tweet bahwa penipu digital menggunakan aplikasi untuk melakukan “penipuan iklan berbahaya dan/atau tindakan berlangganan SMS yang tidak diinginkan,” yang berarti bahwa perangkat yang disusupi dapat dibanjiri dengan iklan yang tidak diinginkan melalui pesan teks.

Pejuang kejahatan dunia maya memberi tahu Google tentang skema tersebut – tetapi skema itu telah diunduh 5.000 kali pada saat mereka menghapusnya.

Sayangnya, penggemar “Game Squid” yang menginstal aplikasi sebelum dihapus dari Google Play terus berisiko terkena malware. Techsperts menyarankan orang untuk segera menghapus aplikasi untuk meniadakan ancaman.

Stefanko mencatat Google Play menawarkan 200 aplikasi berdasarkan “Squid Game” – yang sedang digembar-gemborkan sebagai acara Netflix yang paling banyak ditonton – dengan yang paling populer mengumpulkan 1 juta unduhan dalam 10 hari.

Sayangnya, dampak negatif acara ini bisa lebih dari sekadar digital. Psikolog mengatakan bahwa serial dystopian dapat menghambat “perkembangan sosial dan emosional” anak-anak muda, mendorong mereka untuk menutup mata – atau bahkan bergabung – ketika orang lain diserang.

Awal bulan ini, sebuah sekolah di Belgia mengeluarkan peringatan menyusul laporan siswa yang memainkan permainan meninju yang berbahaya terinspirasi dari “Squid Game”.

source: NYPOST

Discord Menjadi Jembatan Besar Penyebaran Malware

by

Fitur Utama dan Content Delivery Network Discord digunakan untuk mengirim file berbahaya—termasuk RAT—ke seluruh jaringannya yang terdiri dari 150 juta pengguna, yang membahayakan perusahaan.

Threat actors menyalahgunakan fitur inti dari platform komunikasi digital Discord yang populer untuk terus-menerus mengirimkan berbagai jenis malware—khususnya trojan akses jarak jauh (RAT) yang dapat mengambil alih sistem—menempatkan 150 juta penggunanya dalam risiko, menurut RiskIQ dan CheckPoint.

Keduanya menemukan malware multi-fungsi yang dikirim dalam pesan di seluruh platform, yang memungkinkan pengguna untuk mengatur server Discord ke dalam saluran berbasis topik di mana mereka dapat berbagi file teks, gambar atau suara atau executable lainnya. File-file itu kemudian disimpan di server Jaringan Pengiriman Konten (CDN) Discord.

Para peneliti memperingatkan, “banyak file yang dikirim melalui platform Discord berbahaya, menunjukkan sejumlah besar penyalahgunaan CDN yang di-hosting sendiri oleh aktor dengan membuat saluran dengan tujuan tunggal mengirimkan file berbahaya ini,” menurut sebuah laporan yang diterbitkan Kamis oleh Tim RiskIQ.

Awalnya Discord menarik para gamer, tetapi platform tersebut sekarang digunakan oleh organisasi untuk komunikasi di tempat kerja. Penyimpanan file berbahaya di CDN Discord dan proliferasi malware di platform berarti bahwa “banyak organisasi dapat mengizinkan lalu lintas buruk ini ke jaringan mereka,” tulis peneliti RiskIQ.

RAT dan Malware Lain-lain
Fitur malware terbaru yang ditemukan di platform termasuk kemampuan untuk mengambil tangkapan layar, mengunduh dan mengeksekusi file tambahan, dan melakukan keylogging, peneliti CheckPoint Idan Shechter dan Omer Ventura diungkapkan dalam laporan terpisah yang juga diterbitkan Kamis.

CheckPoint juga menemukan bahwa Discord Bot API—implementasi Python sederhana yang memudahkan modifikasi dan mempersingkat proses pengembangan bot di platform—“dapat dengan mudah mengubah bot menjadi RAT sederhana” yang dapat digunakan oleh pelaku ancaman “untuk mendapatkan akses penuh dan jarak jauh. kontrol pada sistem pengguna.”

Bot Discord menjadi bagian yang semakin integral dari cara pengguna berinteraksi dengan Discord, memungkinkan mereka untuk mengintegrasikan kode untuk fitur yang disempurnakan guna memfasilitasi manajemen komunitas, kata para peneliti.

“Bot perselisihan tampaknya kuat, ramah, dan sangat menghemat waktu,” tulis Shechter dan Ventura. “Namun, dengan kekuatan besar juga ada tanggung jawab besar, dan kerangka kerja bot Discord dapat dengan mudah digunakan untuk niat jahat.”

Peneliti CheckPoint menemukan beberapa repositori berbahaya di antara GitHub yang relevan untuk platform Discord. Repositori ini termasuk malware berdasarkan Discord API dan bot jahat dengan fungsi berbeda, kata mereka.

Sementara itu, peneliti RiskIQ memeriksa URL CDN Discord yang berisi .exe, DLL dan berbagai dokumen dan file terkompresi, menemukan setelah meninjau hash di VirusTotal bahwa lebih dari 100 mengirimkan konten berbahaya. Delapan puluh file berasal dari 17 keluarga malware yang berbeda, dengan trojan yang terdiri dari malware paling umum yang diamati di platform, kata para peneliti.

Secara khusus, peneliti RiskIQ mempelajari lebih dalam bagaimana Discord CDN menggunakan domain Discord melalui tautan yang menggunakan [hxxps://cdn.discordapp[.]com/attachments/{ChannelID}/{AttachmentID}/{filename}] sebagai format untuk menemukan malware, kata mereka.

Para peneliti mendeteksi tautan dan menanyakan ID saluran Discord yang digunakan dalam tautan ini, yang memungkinkan mereka mengidentifikasi domain yang berisi halaman web yang tertaut ke tautan CDN Discord dengan ID saluran tertentu, kata mereka.

“Misalnya, platform RiskIQ dapat menanyakan ID saluran yang terkait dengan zoom[-]download[.]ml,” jelas peneliti. “Domain ini mencoba menipu pengguna agar mengunduh plug-in Zoom untuk Microsoft Outlook dan sebagai gantinya mengirimkan pencuri kata sandi Dcstl yang dihosting di CDN Discord.”

Dalam contoh lain, RiskIQ menemukan bahwa ID saluran untuk URL yang berisi file pencuri kata sandi Raccoon mengembalikan domain untuk Taplink, sebuah situs yang menyediakan halaman arahan mikro kepada pengguna untuk mengarahkan individu ke halaman Instagram dan media sosial lainnya, jelas mereka.

“Seorang pengguna kemungkinan menambahkan tautan Discord CDN ke halaman Taplink mereka,” jelas para peneliti. “Meminta ID ini memungkinkan pengguna RiskIQ untuk memahami file Discord mana dan infrastruktur terkait yang bersangkutan dan di mana mereka berada di seluruh web.”

Teknik ini memungkinkan peneliti untuk menentukan tanggal dan waktu saluran Discord dibuat, menghubungkan yang dibuat dalam beberapa hari sebelum pengamatan pertama dari file di VirusTotal ke saluran dengan tujuan tunggal mendistribusikan malware, kata mereka. Pada akhirnya, mereka menemukan dan membuat katalog 27 jenis malware unik yang dihosting di CDN Discord.

source: THREATPOST

Driver FiveSys Yang Ditandatangani Microsoft WHQL Sebenarnya Adalah Malware Yang Menyamar

by

Peneliti keamanan di Bitdefender menemukan bahwa malware baru ini, yang merupakan rootkit, sebenarnya ditandatangani secara digital oleh Microsoft sendiri.

Driver jahat FiveSys membawa sertifikasi Windows Hardware Quality Labs (WHQL) yang disediakan oleh Microsoft setelah verifikasi cermat terhadap paket driver yang dikirim oleh berbagai vendor mitranya melalui Program Kompatibilitas Perangkat Keras Windows (WHCP).

Telah diamati bahwa penyebaran FiveSys sejauh ini terbatas hanya di China yang mungkin menunjukkan bahwa pelaku ancaman terutama tertarik pada bagian wilayah tersebut.

Dalam hal karakteristik kunci lainnya, whitepaper terkait juga menyebutkan bahwa rootkit memblokir modifikasi registri dan juga mencoba memblokir akses pesaingnya ke sistem yang terinfeksi.

Bitdefender mengatakan bahwa setelah memperingatkan Microsoft tentang rootkit berbahaya ini, perusahaan Redmond telah menghapus tanda tangannya dari FiveSys.

Menariknya, ini bukan pertama kalinya hal seperti itu terjadi dalam ingatan baru-baru ini. Malware serupa yang disebut “Netfilter” juga divalidasi oleh Microsoft pada bulan Juni kemungkinan dengan cara yang sama.

Selengkapnya: Neowin