Malware

Kampanye malware menggunakan ‘captcha’ pintar untuk mengabaikan peringatan browser

August 20, 2021 by Winnie the Pooh

Sebuah kampanye malware menggunakan prompt captcha pintar untuk mengelabui pengguna agar melewati peringatan browser untuk mengunduh trojan perbankan Gozi (alias Ursnif).

Kemarin, peneliti keamanan MalwareHunterTeam membagikan URL mencurigakan dengan BleepingComputer yang mengunduh file saat mencoba menonton video YouTube yang disematkan tentang penjara wanita New Jersey.

Ketika Anda mengklik tombol putar, browser akan mengunduh file bernama console-play.exe [VirusTotal], dan situs akan menampilkan gambar reCaptcha palsu di layar.

Karena file ini dapat dieksekusi, Google Chrome secara otomatis memperingatkan bahwa file tersebut mungkin berbahaya dan menanyakan apakah Anda ingin ‘Simpan’ atau ‘Buang’ file tersebut.

Untuk melewati peringatan ini, pelaku ancaman menampilkan gambar reCaptcha palsu yang meminta pengguna untuk menekan tombol B, S, Tab, A, F, dan Enter pada keyboard mereka, seperti yang ditunjukkan di bawah ini.

Sementara menekan tombol B, S, A, dan F tidak melakukan apa-apa, menekan tombol Tab akan membuat tombol ‘Keep’ menjadi fokus, dan kemudian menekan tombol ‘Enter’ akan bertindak sebagai klik pada tombol, menyebabkan browser untuk mengunduh dan menyimpan file ke komputer.

Seperti yang Anda lihat, prompt captcha palsu ini adalah cara cerdas untuk mengelabui pengguna agar mengunduh file berbahaya yang diperingatkan oleh browser bisa berbahaya.

Setelah jangka waktu tertentu, video akan diputar secara otomatis, berpotensi membuat pengguna berpikir bahwa ‘captcha’ yang berhasil mengizinkannya.

Jika pengguna menjalankan executable, itu akan membuat folder di bawah %AppData%\Bouncy untuk .NET Helper dan menginstal banyak file. Semua file ini adalah umpan, selain executable BouncyDotNet.exe, yang diluncurkan.

Saat dijalankan, BouncyDotNet.exe akan membaca berbagai string dari Registry Windows yang digunakan untuk menjalankan perintah PowerShell.

Perintah PowerShell ini akan mengkompilasi aplikasi .NET menggunakan kompiler CSC.exe bawaan yang meluncurkan DLL untuk trojan perbankan Ursnif.

Selengkapnya: Bleeping Computer

Malware Discord adalah ancaman yang terus-menerus dan terus berkembang, Sophos memperingatkan

August 13, 2021 by Winnie the Pooh

Beberapa minggu yang lalu, perusahaan keamanan siber terkemuka Sophos mengeluarkan peringatan bahwa Discord menjadi target yang semakin umum bagi peretas.

Beberapa aktor siber yang mendorong keluar malware cenderung menargetkan pengguna layanan online yang sukses, dan mempertimbangkan 140 juta plus pengguna aktif Discord — dengan lebih dari 300 juta terdaftar hingga saat ini — yang menjadikan perangkat lunak obrolan sebagai target yang cukup menarik.

Sophos mencatat jumlah deteksi malware selama beberapa bulan terakhir telah meningkat hampir 140 kali lipat dari periode yang sama tahun lalu. Dan sebagian dari masalah itu bermuara pada bagaimana file Discord disimpan di cloud.

“Setelah file diunggah ke Discord, mereka dapat bertahan tanpa batas waktu kecuali jika dilaporkan atau dihapus,” kata laporan itu.

Dalam penelitiannya tentang jenis malware yang mengotori penyimpanan cloud Discord, Sophos menemukan banyak alat game cheating. Beberapa dimaksudkan untuk mengeksploitasi protokol integrasi Discord untuk merusak permainan lawan, dan beberapa diiklankan sebagai ‘penyempurnaan’ yang dimaksudkan untuk membuka kunci konten berbayar, kunci, dan bypass. Maksud sebenarnya adalah bahwa hanya sedikit yang ditemukan mengandung perangkat lunak cheating yang dimaksud, sebagian besar sebenarnya adalah beberapa bentuk pencurian kredensial yang menyamar.

Di antara cheat-bait, kejahatan lain menyelinap tanpa terdeteksi: keluarga malware pembajak kata sandi, spyware, aplikasi android palsu yang dimaksudkan untuk menangkap info keuangan atau mencegat transaksi.

Sophos menjelaskan, “Aktor ancaman di balik operasi ini menggunakan rekayasa sosial untuk menyebarkan malware pencuri kredensial, kemudian menggunakan kredensial Discord yang diambil korban untuk menargetkan pengguna Discord tambahan.”

Selengkapnya: PC Gamer

Hati-hati: Beberapa installer Windows 11 menginfeksi PC Anda dengan malware

July 26, 2021 by Winnie the Pooh

Microsoft mengejutkan penggemar beberapa minggu yang lalu dengan versi Windows yang kita pikir tidak akan pernah kita dapatkan.

Setelah beberapa tahun menggunakan Windows 10, kita akhirnya naik satu digit ke Windows 11. Sistem operasi baru ini bukan hanya peningkatan kosmetik yang menghadirkan pekerjaan cat baru. Microsoft telah mengembangkan beberapa fitur baru untuk rilis terbaru yang menjadikannya peningkatan yang penting.

Ternyata installer Windows 11 berbahaya sudah tersedia di alam liar. Jika Anda mengunduh dan menjalankan salah satu dari mereka, Anda akan menginstal malware yang berbahaya di laptop atau desktop Anda. Peringatan itu datang langsung dari Kaspersky. Perusahaan mengidentifikasi setidaknya satu kit instalasi Windows 11 yang memberikan muatan kejutan.

Kaspersky merinci file yang dapat dieksekusi bernama 86307_windows 11 build 21996.1 x64 + activator.exe. Unduhan terlihat seperti file asli dari Microsoft. Besarnya 1,75GB, dan ukurannya membuatnya terlihat seperti aslinya. Tetapi setelah unduhan selesai, Anda akan menemukan bahwa penginstal Windows 11 tidak mengandung jejak Windows 11.

File executable yang dimaksud juga merupakan installer yang dilengkapi dengan perjanjian lisensinya sendiri. Ini diberi label sebagai “pengelola unduhan untuk 86307_windows 11 build 21996.1 x64 + aktivator.” Perjanjian tersebut juga mencatat bahwa aplikasi akan menginstal perangkat lunak bersponsor di mesin Anda. Menerima perjanjian mengarah pada pemasangan produk berbahaya, bukan aplikasi asli.

Hanya ada satu tempat di mana Anda harus mencari penginstal Windows 11 beta: Microsoft. Dan Anda akan melakukan semuanya dari perangkat Windows 10 Anda. Cukup buka Pengaturan, Perbarui & Keamanan, lalu Program Windows Insider. Di situlah Anda harus mengaktifkan Saluran Dev untuk pembaruan.

Selengkapnya: Yahoo News

Malware Lemon Duck belum selesai mengganggu Windows dan Linux, malware ini terus berkembang

July 26, 2021 by Winnie the Pooh

Lemon Duck menyebabkan lebih banyak masalah dari sebelumnya. Awalnya, itu hanya botnet cryptocurrency yang memungkinkan penambangan di mesin. Kemudian memulai transisi menjadi pemuat malware, yang membawa kita ke pembaruan terbaru dari Microsoft tentang status bebek digital jahat yang mengandung jeruk.

“Hari ini, selain menggunakan sumber daya untuk bot tradisional dan aktivitas penambangan, LemonDuck mencuri kredensial, menghapus kontrol keamanan, menyebar melalui email, bergerak ke samping, dan pada akhirnya menjatuhkan lebih banyak alat untuk aktivitas yang dioperasikan manusia,” Laporan keamanan Microsoft berbunyi, merinci banyak cara Lemon Duck (sekarang disebut sebagai LemonDuck oleh Microsoft) dapat membahayakan seseorang. Lebih buruk lagi, itu tidak eksklusif untuk satu platform. LemonDuck akan menyerang Windows serta Linux, dan menyebar melalui email phishing, perangkat USB, eksploitasi, dan banyak lagi.

Bisa dibilang, bagian paling menakutkan dari LemonDuck adalah fakta bahwa ia sangat pandai menutupi jejaknya.

“[LemonDuck] terus menggunakan kerentanan lama, yang menguntungkan penyerang pada saat fokus beralih ke menambal kerentanan populer daripada menyelidiki kompromi. Khususnya, LemonDuck menghapus penyerang lain dari perangkat yang disusupi dengan menyingkirkan malware yang bersaing dan mencegah infeksi baru dengan menambal kerentanan yang sama yang digunakan untuk mendapatkan akses.”

Selengkapnya: Windows Central

Malware XLoader mencuri login dari sistem macOS dan Windows

July 22, 2021 by Winnie the Pooh

Malware yang sangat populer untuk mencuri informasi dari sistem Windows telah dimodifikasi menjadi jenis baru yang disebut XLoader, yang juga dapat menargetkan sistem macOS.

XLoader saat ini ditawarkan di forum bawah tanah sebagai layanan pemuat botnet yang dapat “memulihkan” kata sandi dari web browser dan beberapa klien email (Chrome, Firefox, Opera, Edge, IE, Outlook, Thunderbird, Foxmail).

Berasal dari pencuri info Formbook untuk Windows, XLoader muncul Februari lalu dan semakin populer, diiklankan sebagai botnet lintas platform (Windows dan macOS) tanpa dependency.

Hubungan antara dua bagian malware dikonfirmasi setelah anggota komunitas XLoader merekayasa balik dan menemukan bahwa itu memiliki executable yang sama dengan Formbook.

Pengiklan menjelaskan bahwa pengembang Formbook berkontribusi banyak dalam pembuatan XLoader, dan kedua malware tersebut memiliki fungsi yang serupa (mencuri kredensial login, menangkap tangkapan layar, mencatat penekanan tombol, dan mengeksekusi file berbahaya).

Pelanggan dapat menyewa versi malware macOS seharga $49 (satu bulan) dan mendapatkan akses ke server yang disediakan penjual. Dengan menjaga infrastruktur komando dan kontrol terpusat, penulis dapat mengontrol bagaimana klien menggunakan malware.

Versi Windows lebih mahal karena penjual meminta $59 untuk lisensi satu bulan dan $129 untuk tiga bulan.

Peneliti Check Point mengatakan bahwa XLoader cukup tersembunyi sehingga sulit bagi pengguna non-teknis biasa untuk menemukannya.

Mereka merekomendasikan penggunaan Autorun macOS untuk memeriksa nama pengguna di OS dan untuk melihat ke folder LaunchAgents [/Users/[username]/Library/LaunchAgents] dan menghapus entri dengan nama file yang mencurigakan (nama yang tampak acak).

Selengkapnya: Bleeping Computer

Malware Windows pencuri kata sandi ini didistribusikan melalui iklan di hasil pencarian

July 22, 2021 by Winnie the Pooh

Bentuk malware yang baru ditemukan yang dikirimkan kepada korban melalui iklan di hasil pencarian digunakan sebagai pintu gerbang untuk mencuri kata sandi, menginstal penambang cryptocurrency, dan mengirimkan malware trojan tambahan.

Dirinci oleh perusahaan keamanan siber Bitdefender, malware – yang menargetkan Windows – telah dijuluki MosaicLoader dan telah menginfeksi korban di seluruh dunia karena mereka yang berada di baliknya berusaha untuk mengkompromikan sebanyak mungkin sistem.

MosaicLoader dapat digunakan untuk mengunduh berbagai ancaman ke mesin yang disusupi, termasuk Glupteba, sejenis malware yang membuat pintu belakang ke sistem yang terinfeksi, yang kemudian dapat digunakan untuk mencuri informasi sensitif, termasuk nama pengguna dan kata sandi, serta informasi keuangan.

Tidak seperti banyak bentuk malware, yang didistribusikan melalui serangan phishing atau kerentanan perangkat lunak yang belum ditambal, MosaicLoader dikirimkan kepada korban melalui iklan.

Tautan ke malware muncul di bagian atas hasil pencarian saat orang mencari versi bajakan dari perangkat lunak populer. Sistem otomatis yang digunakan untuk membeli dan melayani ruang iklan kemungkinan berarti bahwa tidak seorang pun dalam rantai – selain penyerang – tahu bahwa iklan tersebut berbahaya sama sekali.

Perusahaan keamanan mengatakan bahwa karyawan yang bekerja dari rumah berisiko lebih tinggi mengunduh perangkat lunak bajakan.

Ada kemungkinan bahwa malware akan terdeteksi oleh perangkat lunak antivirus, tetapi banyak pengguna yang mengunduh perangkat lunak bajakan secara ilegal kemungkinan telah menonaktifkan perlindungan mereka untuk mengakses dan menginstal unduhan.

Pengguna harus berhati-hati dalam mengikuti petunjuk untuk mematikan perangkat lunak antivirus, karena hal itu dapat menyebabkan perangkat lunak berbahaya diizinkan untuk menyusup ke sistem.

Selengkapnya: ZDNet

Geng Ransomware sekarang membuat situs web untuk merekrut afiliasi

June 30, 2021 by Winnie the Pooh

Sejak dua forum kejahatan dunia maya terkemuka berbahasa Rusia melarang topik terkait ransomware, operasi kriminal telah dipaksa untuk mempromosikan layanan mereka melalui metode alternatif.

Setidaknya dua geng ransomware yang membutuhkan peretas untuk menjalankan serangan telah menggunakan situs mereka untuk mengiklankan fitur alat enkripsi mereka untuk menarik anggota baru.

Sekitar seminggu yang lalu, geng ransomware LockBit mengumumkan versi utama baru untuk alat mereka, mengklaim peningkatan yang signifikan untuk kecepatan enkripsi.

Untuk mendukung klaim mereka, pelaku ancaman tampaknya menguji versi beberapa potongan ransomware dan mempublikasikan pengukuran mereka untuk kecepatan enkripsi file.

Dengan meluncurkan LockBit 2.0, pengembang ransomware juga mengumumkan sesi rekrutmen afiliasi baru, menyoroti bahwa enkripsi yang mereka gunakan tidak goyah sejak operasi dimulai pada September 2019.

Untuk menarik mitra, LockBit mengklaim menawarkan enkripsi tercepat dan alat pencurian file (StealBit) “di seluruh dunia.”

Langkah dari LockBit ini terjadi setelah aktor pada akhir Mei mencoba untuk mendapatkan pembicaraan ransomware kembali di forum berbahasa Rusia yang populer dengan mengusulkan bagian pribadi hanya untuk “pengguna otoritatif, di mana tidak ada keraguan.”

Perusahaan intelijen ancaman KELA mengatakan bahwa tidak semua kelompok ransomware sekeras ini dalam pencarian afiliasi mereka.

Geng REvil, misalnya, lebih suka beroperasi secara rahasia dan bergantung pada jaringan afiliasi dan koneksinya untuk mendapatkan mitra baru saat mereka membutuhkannya, kata KELA.

Selengkapnya: Bleeping Computer

Malware Bersembunyi Di Dalam Gambar Profil Steam: Ini Yang Perlu Anda Ketahui

June 30, 2021 by Winnie the Pooh

Penyerang selalu menemukan cara baru untuk menyebarkan malware. Anda mungkin tidak sengaja mengunduh malware melalui lampiran email atau paket perangkat lunak dari situs web mana pun.

Dan sekarang, penyerang menargetkan toko game populer Steam untuk menyembunyikan malware menggunakan gambar profil. Tetapi apakah Anda berisiko jika menggunakan Steam? Bagaimana jika Anda mengunduh gambar dari Steam?

SteamHide adalah bentuk malware yang bersembunyi di dalam metadata gambar profil Steam, perusahaan keamanan GDATA memperingatkan.

Secara teknis, nilai PropertyTagICCProfile gambar diubah untuk mengenkripsi dan menyembunyikan malware, yang biasanya menyimpan informasi untuk membantu printer mendeteksi warna gambar. Nilai ini adalah bagian dari data EXIF yang ada dalam gambar untuk membantu Anda mengidentifikasi kamera yang digunakan dan informasi terkait lainnya.

Gambar profil atau gambar tersebut bukanlah malware itu sendiri, tetapi merupakan wadah bagi malware tersebut.

Gambar atau gambar profil membantu dalam penyebaran malware ke komputer yang terinfeksi tanpa terdeteksi oleh perangkat lunak antivirus apa pun.

Komputer yang terinfeksi tersebut harus memiliki pengunduh (file berbahaya yang diunduh melalui lampiran email atau situs web) yang mengekstrak malware dari gambar profil Steam, yang dapat diakses publik.

Dengan kata lain, itu mengunduh malware dengan menghubungkan ke gambar yang dihosting di platform Steam.

Kemungkinan besar ada jutaan akun di Steam, dan sulit untuk mengetahui profil mana yang menyimpan malware di dalam gambar profilnya.

Untuk melindungi diri Anda dari SteamHide, Anda harus sangat berhati-hati saat mengunduh sesuatu dari internet. Jika Anda tidak mengunduh sesuatu yang berbahaya ke komputer Anda, gambar dari platform Steam tidak akan berdampak apa pun.

Selengkapnya: Make Use Of

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings