Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Malware baru memanfaatkan COVID-19 untuk menargetkan pengguna Android

by

Bentuk baru malware yang oleh para ahli disebut sebagai “TangleBot” mengandalkan minat pada COVID-19 untuk mengelabui pengguna Android di AS dan Kanada agar mengklik tautan yang akan menginfeksi ponsel mereka, menurut analis di ponsel dan perusahaan keamanan email Cloudmark.

Cloudmark mengatakan malware “pintar dan rumit” mengirim pesan teks kepada pengguna Android yang mengklaim memiliki panduan COVID-19 terbaru di wilayah mereka atau memberi tahu mereka bahwa janji temu vaksin COVID-19 ketiga mereka telah dijadwalkan.

Ketika pengguna mengklik tautan yang disediakan, mereka diminta untuk memperbarui pemutar Adobe Flash ponsel mereka, yang sebaliknya menginstal virus di ponsel mereka, menurut Cloudmark.

“Setelah itu terjadi, malware TangleBot dapat melakukan banyak hal berbeda,” Ryan Kalember, wakil presiden eksekutif keamanan siber di perusahaan induk Cloudmark, ProofPoint, mengatakan kepada CBS News.

“Itu bisa mengakses mikrofon, kamera, SMS, log panggilan, internet, dan GPS Anda sehingga ia tahu di mana Anda berada,” tambah Kalember.

Kalember mengatakan para peretas telah menggunakan TangleBot selama “berminggu-minggu” dan dampaknya berpotensi “sangat luas.” Namun, Android memang memiliki beberapa perlindungan terhadap virus. Sebelum mengunduh malware, pengguna diperingatkan oleh Android tentang bahayanya menginstal perangkat lunak dari “sumber tidak dikenal” dan serangkaian kotak izin ditampilkan sebelum ponsel terinfeksi.

Menurut Kalember, malware TangleBot memiliki kemampuan untuk menunjukkan kepada pengguna yang diretas sebuah layar “overlay” yang tampak asli tetapi malah merupakan jendela palsu yang dijalankan oleh penyerang untuk mencuri informasi.

Overlays ini digunakan untuk meretas kredensial perbankan karena pengguna mungkin percaya bahwa mereka masuk ke perbankan seluler mereka saat mengetik informasi mereka di layar palsu, yang kemudian menyampaikan informasi tersebut ke peretas.

Setelah malware diinstal pada perangkat, “cukup sulit untuk menghapusnya,” menurut Kalember dan informasi yang dicuri dapat dimonetisasi dengan baik di masa depan.

Sumber: CBS News

Peretas negara Rusia menggunakan malware TinyTurla baru sebagai backdoor sekunder

by

Peretas yang disponsori negara Rusia yang dikenal sebagai grup Turla APT telah menggunakan malware baru selama setahun terakhir yang bertindak sebagai metode persistensi sekunder pada sistem yang disusupi di AS, Jerman, dan Afghanistan.

Dinamakan TinyTurla karena fungsinya yang terbatas dan gaya pengkodean yang tidak rumit, pintu belakang juga dapat digunakan sebagai dropper malware tahap kedua yang tersembunyi.

Peneliti keamanan di Cisco Talos mengatakan bahwa TinyTurla adalah “backdoor yang belum ditemukan sebelumnya” dari grup Turla APT yang telah digunakan setidaknya sejak 2020, melewati sistem deteksi malware terutama karena kesederhanaannya.

Bukti forensik menunjukkan bahwa aktor Turla APT (ancaman persisten lanjutan) telah menargetkan pemerintah Afghanistan sebelumnya dengan backdoor yang baru ditemukan.

Namun, data telemetri Cisco Talos, yang merupakan cara peneliti menemukan malware baru ini, menunjukkan bahwa TinyTurla juga telah digunakan pada sistem di AS dan Jerman.

Menghubungkan backdoor TinyTurla ke peretas negara Rusia dimungkinkan karena pelaku ancaman menggunakan infrastruktur yang sama seperti yang terlihat dalam serangan lain yang dikaitkan dengan grup APT Turla.

Dibandingkan dengan backdoor yang lengkap, fungsionalitas TinyTurla terbatas pada tugas-tugas penting yang mencakup pengunduhan, pengunggahan, dan eksekusi file.

Karena malware ini ditemukan melalui pengumpulan telemetri, masih belum diketahui bagaimana TinyTurla mendarat di sistem korban. Cisco Talos memberikan beberapa detail teknis, dalam sebuah posting blog.

Selengkapnya: Bleeping Computer

Gelombang Baru Serangan Malware Menargetkan Organisasi di Amerika Selatan

by

Kampanye spam yang mengirimkan email spear-phishing yang ditujukan untuk organisasi di Amerika Selatan telah melengkapi kembali tekniknya untuk memasukkan berbagai trojan akses jarak jauh (RAT) dan pemfilteran geolokasi untuk menghindari deteksi, menurut penelitian baru.

Perusahaan keamanan siber Trend Micro mengaitkan serangan itu dengan ancaman persisten tingkat lanjut (APT) yang dilacak sebagai APT-C-36 (alias Blind Eagle), kelompok spionase Amerika Selatan yang dicurigai telah aktif setidaknya sejak 2018 dan sebelumnya dikenal karena mengarahkan perhatiannya pada Institusi dan perusahaan pemerintah Kolombia yang mencakup sektor keuangan, perminyakan, dan manufaktur.

Sebagian besar menyebar melalui email penipuan dengan menyamar sebagai lembaga pemerintah Kolombia, seperti Direktorat Nasional Pajak dan Bea Cukai (DIAN), rantai infeksi dimulai ketika penerima pesan membuka dokumen PDF atau Word palsu yang mengklaim sebagai perintah penyitaan yang terkait dengan rekening bank mereka dan mengklik tautan yang dihasilkan dari layanan penyingkat URL seperti cort.as, acortaurl.com, dan gtly.to.

Jika korban memenuhi kriteria lokasi, pengguna diarahkan ke server file hosting, dan arsip yang dilindungi kata sandi diunduh secara otomatis, pada akhirnya mengarah ke eksekusi trojan akses jarak jauh berbasis C++ yang disebut BitRAT.

Beberapa indurstri, termasuk pemerintahan, keuangan, perawatan kesehatan, telekomunikasi, dan energi, minyak, dan gas, dikatakan telah terpengaruh, dengan mayoritas target untuk kampanye terbaru berlokasi di Kolombia dan sebagian kecil juga berasal dari Ekuador, Spanyol , dan Panama.

Selengkapnya: The Hacker News

Penglihatan komputer dapat membantu menemukan ancaman dunia maya dengan akurasi yang mengejutkan

by

Pada tahun 2019, sekelompok peneliti keamanan siber bertanya-tanya apakah mereka dapat memperlakukan deteksi ancaman keamanan sebagai masalah klasifikasi gambar. Intuisi mereka terbukti ditempatkan dengan baik, dan mereka mampu membuat model pembelajaran mesin yang dapat mendeteksi malware berdasarkan gambar yang dibuat dari konten file aplikasi. Setahun kemudian, teknik yang sama digunakan untuk mengembangkan sistem pembelajaran mesin yang mendeteksi situs web phishing.

Kombinasi visualisasi binary dan pembelajaran mesin adalah teknik yang kuat yang dapat memberikan solusi baru untuk masalah lama. Ini menunjukkan janji dalam keamanan siber, tetapi juga bisa diterapkan ke domain lain.

Cara tradisional untuk mendeteksi malware adalah dengan mencari file untuk signature yang diketahui dari muatan berbahaya. Detektor malware memelihara database definisi virus yang mencakup urutan opcode atau potongan kode, dan mereka mencari file baru untuk keberadaan signature ini. Sayangnya, pengembang malware dapat dengan mudah menghindari metode deteksi tersebut menggunakan teknik yang berbeda seperti mengaburkan kode mereka atau menggunakan teknik polimorfisme untuk mengubah kode mereka saat runtime.

Dynamic analysis tools mencoba mendeteksi perilaku berbahaya selama waktu proses, tetapi alat ini lambat dan memerlukan penyiapan lingkungan sandbox untuk menguji program yang mencurigakan.

Dalam beberapa tahun terakhir, para peneliti juga telah mencoba berbagai teknik pembelajaran mesin untuk mendeteksi malware. Model ML ini telah berhasil membuat kemajuan dalam beberapa tantangan deteksi malware, termasuk code obfuscation.

Visualisasi binary dapat mendefinisikan kembali deteksi malware dengan mengubahnya menjadi masalah penglihatan komputer. Dalam metodologi ini, file dijalankan melalui algoritma yang mengubah nilai binary dan ASCII menjadi kode warna.

Dalam sebuah makalah yang diterbitkan pada tahun 2019, para peneliti di University of Plymouth dan University of Peloponnese menunjukkan bahwa ketika file jinak dan berbahaya divisualisasikan menggunakan metode ini, pola baru muncul yang memisahkan file berbahaya dan aman. Perbedaan ini akan luput dari perhatian menggunakan metode deteksi malware klasik.

Menurut makalah itu, “File berbahaya memiliki kecenderungan untuk sering memasukkan karakter ASCII dari berbagai kategori, menghadirkan gambar berwarna, sementara file jinak memiliki gambar dan distribusi nilai yang lebih bersih.”

Selengkanya: The Next Web

Serangan Malware di Sektor Penerbangan Terungkap Setelah Tidak Diketahui Selama 2 Tahun

by

Kampanye phishing yang ditargetkan yang ditujukan untuk industri penerbangan selama dua tahun mungkin dipelopori oleh aktor ancaman yang beroperasi di luar Nigeria, menyoroti bagaimana penyerang dapat melakukan serangan dunia maya skala kecil untuk waktu yang lama sambil tetap berada di bawah radar.

Cisco Talos menjuluki serangan malware sebagai “Operation Layover,” berdasarkan penelitian sebelumnya dari tim Intelijen Keamanan Microsoft pada Mei 2021 yang menyelidiki “kampanye dinamis yang menargetkan sektor kedirgantaraan dan perjalanan dengan email spear-phishing yang mendistribusikan loader yang dikembangkan secara aktif, yang kemudian mengirimkan RevengeRAT atau AsyncRAT.”

Pelaku ancaman diyakini telah aktif setidaknya sejak 2013. Serangan tersebut melibatkan email yang berisi dokumen umpan khusus yang berpusat di sekitar industri penerbangan atau kargo yang dimaksudkan sebagai file PDF tetapi tertaut ke file VBScript yang dihosting di Google Drive, yang pada akhirnya mengarah pada pengiriman trojan akses jarak jauh (RAT) seperti AsyncRAT dan njRAT, membuat organisasi rentan terhadap berbagai risiko keamanan. Cisco Talos mengatakan telah menemukan 31 umpan bertema penerbangan yang berbeda sejak Agustus 2018.

Analisis lebih lanjut dari aktivitas yang terkait dengan domain berbeda yang digunakan dalam serangan menunjukkan bahwa aktor menjalin beberapa RAT ke dalam kampanye mereka, dengan infrastruktur yang digunakan sebagai server perintah-dan-kontrol (C2) untuk Cybergate RAT, AsyncRAT, dan file batch yang digunakan sebagai bagian dari rantai malware untuk mengunduh dan menjalankan malware lain.

Selengkapnya: The Hacker News

Malware baru menggunakan Subsistem Windows untuk Linux untuk serangan tersembunyi

by

Peneliti keamanan telah menemukan binari Linux berbahaya yang dibuat untuk Windows Subsystem for Linux (WSL), menunjukkan bahwa peretas mencoba metode baru untuk menyusup ke mesin Windows.

Temuan ini menggarisbawahi bahwa aktor ancaman sedang mengeksplorasi metode serangan baru dan memfokuskan perhatian mereka pada WSL untuk menghindari deteksi.

Sampel pertama yang menargetkan lingkungan WSL ditemukan pada awal Mei dan terus muncul setiap dua hingga tiga minggu hingga 22 Agustus. Sampel tersebut bertindak sebagai loader untuk lingkungan WSL dan menikmati deteksi yang sangat rendah pada layanan pemindaian file publik.

Dalam sebuah laporan, peneliti keamanan di Lumen’s Black Lotus Labs mengatakan bahwa file berbahaya memiliki muatan yang disematkan atau mengambilnya dari server jarak jauh.

Langkah selanjutnya adalah menyuntikkan malware ke dalam proses yang berjalan menggunakan panggilan Windows API, sebuah teknik yang tidak baru atau canggih lagi.

Dari sejumlah kecil sampel yang diidentifikasi, hanya satu yang datang dengan alamat IP yang dapat dirutekan secara publik, mengisyaratkan bahwa pelaku ancaman sedang menguji penggunaan WSL untuk menginstal malware di Windows.

File berbahaya terutama mengandalkan Python 3 untuk menjalankan tugasnya dan dikemas sebagai executable ELF untuk Debian menggunakan PyInstaller.

Laporan dari Lumen’s Black Lotus Labs memberikan indicators of compromise (IoC) yang terkait dengan kampanye yang terdeteksi untuk membantu para defenders membuat aturan deteksi. Untuk hash file dan data tentang aktivitas aktor ini, para peneliti merujuk ke halaman GitHub perusahaan.

Selengkapnya: Bleeping Computer

Kriminal siber menjual alat untuk menyembunyikan malware di AMD, GPU NVIDIA

by

Penjahat siber membuat langkah menuju serangan dengan malware yang dapat mengeksekusi kode dari unit pemrosesan grafis (GPU) dari sistem yang disusupi.

Meskipun metode ini bukanlah hal baru dan kode demo telah diterbitkan sebelumnya, proyek sejauh ini berasal dari dunia akademis atau tidak lengkap dan tidak disempurnakan.

Awal bulan ini, proof-of-concept (PoC) dijual di forum peretas, berpotensi menandai transisi penjahat siber ke tingkat kecanggihan baru untuk serangan mereka.

Dalam posting singkat di forum peretas, seseorang menawarkan untuk menjual proof-of-concept (PoC) untuk teknik yang mereka katakan menjaga kode berbahaya tetap aman dari solusi keamanan yang memindai RAM sistem.

Penjual hanya memberikan gambaran umum tentang metode mereka, dengan mengatakan bahwa metode tersebut menggunakan buffer memori GPU untuk menyimpan kode berbahaya dan menjalankannya dari sana.

Menurut pengiklan, proyek ini hanya berfungsi pada sistem Windows yang mendukung kerangka kerja OpenCL versi 2.0 ke atas untuk mengeksekusi kode pada berbagai prosesor, termasuk GPU.

Postingan tersebut juga menyebutkan bahwa penulis menguji kode pada kartu grafis dari Intel (UHD 620/630), Radeon (RX 5700), dan GeForce (GTX 740M(?), GTX 1650).

Anggota lain dari forum peretas menunjukkan bahwa malware berbasis GPU telah dilakukan sebelumnya, menunjuk ke JellyFish – PoC enam tahun untuk rootkit GPU berbasis Linux.

Penjual membantah memiliki asosiasi dengan malware JellyFish dengan mengatakan bahwa metode mereka berbeda dan tidak bergantung pada pemetaan kode kembali ke ruang pengguna.

Selengkapnya: Bleeping Computer

Pengguna Android: Jangan klik pesan teks ini

by

Pesan teks adalah vektor yang semakin populer bagi para peretas dan berbagai macam solusi digital yang belum pernah digunakan untuk memisahkan korban yang tidak curiga dari data atau uang mereka. Terkadang keduanya.

Malware Android yang dikenal sebagai FluBot adalah salah satu contoh ancaman yang menyebar melalui penipuan pesan teks, berhasil menarik korban karena sejumlah alasan berbeda. Sebagian karena rata-rata orang saat ini mungkin jauh lebih kecil kemungkinannya untuk mengklik email jahat.

Tetapi pesan teks yang menyamar sebagai pembaruan “pengiriman paket yang tidak terjawab” yang tampak sah, seperti halnya cara FluBot menyebar, tampaknya jauh lebih mungkin untuk menemukan sasarannya.

Menurut perusahaan keamanan siber Proofpoint, tipe malware Android ini – salah satu dari banyak yang harus diwaspadai – tampaknya melonjak sekali lagi. Ada penurunan dalam aktivitas FluBot pada awal tahun ini, yang dikaitkan dengan penangkapan yang dilakukan di Eropa. Tapi sekarang malware FluBot menyerang lebih banyak negara di Eropa sekali lagi.

Selain itu, meskipun ini tampaknya merupakan ancaman Android, pemilik perangkat Apple mungkin tidak kebal terhadap kerusakan dari FluBot.

Begini cara kerja malware ini. Penipuan pesan teks seharusnya memberi tahu Anda bahwa Anda melewatkan pengiriman paket. Anda mengeklik tautan, dan Anda diminta untuk mengunduh aplikasi phishing. Pada aplikasi tersebut, FluBot bersembunyi di dalamnya.

Setelah mendapatkan izin yang diperlukan dari pengguna? FluBot dapat terus bertindak “sebagai spyware, spammer SMS, dan pencuri kredensial perbankan dan kartu kredit,” menurut Proofpoint.

Dengan ini pengguna disarankan untuk tidak mengklik tautan di dalam teks. Dan hapus pesannya.

Sekali lagi, jika Anda mengharapkan, katakanlah, pengiriman DHL? Cukup kunjungi situs web resmi DHL untuk melacak pengiriman Anda di sana. Jangan gunakan tautan dalam pesan teks. Kunjungi situs web DHL. Jangan. Klik. Tautan. Itu.

Selengkapnya: BGR