Malware

Malware rasis memblokir The Pirate Bay dengan merusak file host Windows korban

June 20, 2021 by Winnie the Pooh

Malware dicampur dengan julukan rasial mencoba untuk memblokir korban berbasis Windows dari mengunjungi situs berbagi file yang terkait dengan pelanggaran hak cipta, menurut penelitian Sophos baru.

Perangkat lunak berbahaya tersebut merupakan “proses konyol untuk memblokir orang agar tidak pergi ke Pirate Bay,” menurut peneliti Sophos Andrew Brandt, yang menemukan malware tersebut setelah seorang rekan menyebutkannya secara sepintas.

Alih-alih membuka pintu belakang untuk geng ransomware untuk mengeksploitasi atau menjatuhkan muatan berbahaya, malware ini hanya menenggelamkan banyak nama domain Pirate Bay dengan menambahkannya ke file host Windows dan mengarahkannya ke 127.0.0.1 – artinya mereka akan tidak dapat diakses dari mesin korban.

“Kami menemukannya dibagikan melalui BitTorrent,” Brandt menjelaskan kepada The Register. “Ini sangat aneh.”

The Pirate Bay adalah gudang terkenal file yang melanggar hak cipta, mulai dari film hingga game hingga perangkat lunak komersial. Banyak unggahan yang tersedia mengandung malware.

Perangkat lunak jahat Brandt menyamar sebagai salinan retak dari perangkat lunak sah yang tersedia untuk diunduh di BitTorrent atau sebagai tautan yang dibagikan di layanan obrolan-untuk-gamer Discord, yang juga memiliki CDN-nya sendiri yang relatif sedikit diketahui.

selengkapnya :

Malware tertangkap menggunakan zero-day macOS untuk mengambil tangkapan layar secara diam-diam

May 26, 2021 by Winnie the Pooh

Hampir tepat sebulan yang lalu, para peneliti mengungkapkan keluarga malware terkenal mengeksploitasi kerentanan yang belum pernah terlihat sebelumnya yang memungkinkannya melewati pertahanan keamanan macOS dan berjalan tanpa hambatan. Sekarang, beberapa peneliti yang sama mengatakan malware lain dapat menyelinap ke sistem macOS, berkat kerentanan lain.

Jamf mengatakan menemukan bukti bahwa malware XCSSET mengeksploitasi kerentanan yang memungkinkannya mengakses bagian macOS yang memerlukan izin – seperti mengakses mikrofon, webcam, atau merekam layar – tanpa pernah mendapatkan persetujuan.

XCSSET pertama kali ditemukan oleh Trend Micro pada tahun 2020 yang menargetkan pengembang Apple, khususnya proyek Xcode yang mereka gunakan untuk membuat kode dan membuat aplikasi.

Dengan menginfeksi proyek pengembangan aplikasi tersebut, pengembang tanpa disadari mendistribusikan malware ke pengguna mereka, yang digambarkan oleh para peneliti Trend Micro sebagai “serangan seperti rantai pasokan”. Malware ini terus dikembangkan, dengan varian yang lebih baru juga menargetkan Mac yang menjalankan chip M1 yang lebih baru.

Setelah malware berjalan di komputer korban, ia menggunakan dua zero day – satu untuk mencuri cookie dari browser Safari untuk mendapatkan akses ke akun online korban, dan yang lainnya untuk diam-diam menginstal versi pengembangan Safari, memungkinkan penyerang untuk memodifikasi dan mengintip hampir semua situs web.

Tidak jelas berapa banyak Mac yang dapat diinfeksi oleh malware menggunakan teknik ini. Tetapi Apple mengonfirmasi kepada TechCrunch bahwa mereka memperbaiki bug di macOS 11.4, yang tersedia sebagai pembaruan hari ini.

Selengkapnya: Tech Crunch

Serangan phishing di seluruh dunia menghasilkan tiga jenis malware baru

May 5, 2021 by Winnie the Pooh Leave a Comment

Kampanye phishing berskala global yang menargetkan organisasi di seluruh dunia di berbagai industri dengan rangkaian malware yang belum pernah terlihat sebelumnya dikirim melalui umpan yang disesuaikan secara khusus.

Serangan itu menghantam setidaknya 50 organisasi dari berbagai industri dalam dua gelombang, pada 2 Desember dan antara 11 dan 18 Desember, menurut laporan Mandiant.

UNC2529, bagaimana peneliti ancaman Mandiant menyebut kelompok ancaman yang “tidak dikategorikan” di balik kampanye ini, telah menyebarkan tiga jenis malware baru ke komputer target menggunakan umpan phishing khusus.

Malware yang digunakan oleh UNC2529 dalam serangan ini sangat disamarkan untuk menghalangi analisis, dan mencoba menghindari deteksi dengan menyebarkan muatan dalam memori jika memungkinkan.

Sepanjang dua gelombang serangan, grup ancaman menggunakan email phishing dengan tautan ke pengunduh berbasis JavaScript (dijuluki DOUBLEDRAG) atau dokumen Excel dengan makro tertanam yang mengunduh dropper berbasis PowerShell dalam memori (dikenal sebagai DOUBLEDROP) dari penyerang ‘server perintah-dan-kontrol (C2).

Kemudian DOUBLEDROP memuat backdoor di dalam memory (bernama DOUBLEBACK), malware yang dibuat dalam versi 32-bit dan 64-bit, yang diimplementasikan sebagai PE dynamic library.

Selengkapnya: Bleeping Computer

Malware Windows ‘Pingback’ baru menggunakan ICMP untuk komunikasi rahasia

May 5, 2021 by Winnie the Pooh

Hari ini, para peneliti telah mengungkapkan temuan mereka pada sampel malware Windows baru yang menggunakan Internet Control Message Protocol (ICMP) untuk aktivitas command-and-control (C2).

Dijuluki “Pingback”, malware ini menargetkan sistem Microsoft Windows 64-bit, dan menggunakan DLL Hijacking untuk terus bertahan.

Hari ini, arsitek senior Trustwave Lloyd Macrohon dan peneliti keamanan utama Rodel Mendrez, telah merilis temuan mereka tentang malware Windows baru yang berbentuk DLL 64-bit.

Yang perlu diperhatikan adalah sampel malware menggunakan protokol komunikasi ICMP, yang juga digunakan oleh perintah ping populer dan utilitas Windows traceroute.

File berbahaya yang dimaksud hanyalah DLL 66-KB yang disebut oci.dll, dan biasanya dijatuhkan di dalam folder “Sistem” Windows oleh proses berbahaya atau vektor serangan lainnya.

Para peneliti lalu menyadari bahwa DLL ini tidak dimuat oleh aplikasi Windows rundll32.exe yang sudah dikenal, tetapi mengandalkan DLL Hijacking.

Peneliti Trustwave mengidentifikasi bahwa itu adalah layanan Microsoft Distributed Transaction Control (msdtc) yang disalahgunakan untuk memuat oci.dll yang berbahaya.

Malware oci.dll yang diluncurkan oleh msdtc, menggunakan ICMP untuk secara diam-diam menerima perintah dari server C2-nya.

Peneliti Trustwave yang menamai malware ini “Pingback”, menyatakan bahwa keuntungan menggunakan ICMP untuk komunikasi adalah Pingback tetap tersembunyi secara efektif dari pengguna.

Selengkapnya: Bleeping Computer

Perusahaan keamanan Kaspersky yakin telah menemukan malware CIA baru

April 30, 2021 by Winnie the Pooh

Perusahaan keamanan dunia maya Kaspersky mengatakan mereka menemukan malware baru yang tampaknya dikembangkan oleh Badan Intelijen Pusat AS.

Kaspersky mengatakan menemukan malware dalam “kumpulan sampel malware” yang diterima analis dan perusahaan keamanan lainnya pada Februari 2019.

Meskipun analisis awal tidak menemukan kode yang dibagikan dengan sampel malware yang diketahui sebelumnya, Kaspersky baru-baru ini menganalisis ulang file tersebut dan mengatakan menemukan bahwa “sampel memiliki perpotongan pola pengkodean, gaya, dan teknik yang telah terlihat di berbagai keluarga Lambert.”

Lamberts adalah nama kode internal yang digunakan Kaspersky untuk melacak operasi peretasan CIA.

Empat tahun lalu, setelah WikiLeaks mengungkap kemampuan peretasan CIA kepada publik dalam serangkaian kebocoran yang dikenal sebagai Vault7, perusahaan keamanan AS Symantec secara terbuka menghubungkan alat peretasan Vault7 ke CIA dan Longhorn APT (nama industri lain untuk Lamberts).

Karena memiliki kesamaan antara sampel yang baru ditemukan ini dan malware CIA sebelumnya, Kaspersky mengatakan sekarang melacak cluster malware baru ini sebagai Purple Lambert.

Berdasarkan metadata Purple Lambert, sampel malware tampaknya telah dikompilasi tujuh tahun lalu, pada tahun 2014.

Mengenai apa yang dilakukan malware ini, deskripsi Kaspersky tentang Purple Lambert tampaknya mengatakan malware bertindak sebagai trojan backdoor yang mendengarkan lalu lintas jaringan untuk paket tertentu yang akan mengaktifkannya pada host yang terinfeksi.

Selengkapnya: The Record

Jangan tertipu dengan emulator PS4 / PS3 palsu di Google Play Store

April 30, 2021 by Winnie the Pooh

Emulasi konsol di Android semakin populer akhir-akhir ini. Ini mungkin terjadi karena fakta bahwa bahkan ponsel dan tablet Android kelas menengah cukup kuat untuk meniru hampir semua konsol generasi kelima atau sebelumnya.

Namun, karena legalitas emulasi konsol yang suram, emulator resmi di luar sana terkadang sulit dibedakan dari yang palsu dan banyak yang menganggap semua emolator itu palsu.

Beberapa orang mungkin bingung tentang ini karena ada emulator PlayStation 3 yang sah untuk Windows / Linux, yang disebut RPCS3. Meskipun emulator tersebut telah berkembang pesat dan dapat memainkan sebagian besar library PS3 tanpa masalah, namun tidak ada port Android untuk perangkat lunak tersebut.

Kami mengimbau Anda untuk berhati-hati tentang apa yang Anda unduh dan ingat hal ini: hingga saat ini, tidak ada emulator PS4 atau PS3 yang sah untuk Android di Play Store.

Beberapa aplikasi di Play Store tidak berusaha keras untuk menyembunyikan bahwa mereka sebenarnya bukan emulator. Beberapa orang menukar kata “emulator” dan menggunakan “simulator” sebagai gantinya, yaitu “simulator PlayStation 3”.

Yang lainnya jauh lebih menipu. Seseorang dengan jelas memberi label dirinya sebagai emulator dan bahkan menjelaskan cara menginstalnya dan mulai memainkan game PS3 dan PS4. Namun, di bagian paling bawah deskripsi, terdapat “disclaimer” yang menyatakan bahwa listingan aplikasi adalah “bukan emulator yang sebenarnya” dan “hanya untuk bercanda dengan teman Anda”. Aplikasi ini pada dasarnya tidak berguna saat dipasang.

Namun, skenario Wild West ini bisa berbahaya. Yang diperlukan hanyalah satu pengembang untuk membuat aplikasi yang mengikat harapan tetapi kemudian mengirimkan semacam malware.

Selengkapnya: Android Authority

Malware Linux tersembunyi yang digunakan untuk sistem backdoor selama bertahun-tahun

April 29, 2021 by Winnie the Pooh

Malware Linux yang baru-baru ini ditemukan dengan kemampuan backdoor telah berada di luar radar selama bertahun-tahun, memungkinkan penyerang untuk memanen dan mengekstrak informasi sensitif dari perangkat yang disusupi.

Backdoor, yang dijuluki RotaJakiro oleh para peneliti di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), tetap tidak terdeteksi oleh mesin anti-malware VirusTotal, meskipun sampel pertama kali diunggah pada tahun 2018.

RotaJakiro dirancang untuk beroperasi secara sembunyi-sembunyi, mengenkripsi saluran komunikasinya menggunakan kompresi ZLIB dan enkripsi AES, XOR, ROTATE.

Itu juga melakukan yang terbaik untuk memblokir analis malware agar tidak membedahnya karena informasi sumber daya yang ditemukan dalam sampel yang ditemukan oleh sistem BotMon 360 Netlab dienkripsi menggunakan algoritma AES.

Penyerang dapat menggunakan RotaJakiro untuk mengekstrak info sistem dan data sensitif, mengelola plugin dan file, dan menjalankan berbagai plugin pada perangkat Linux 64-bit yang disusupi.

Namun, 360 Netlab belum menemukan maksud sebenarnya pembuat malware untuk alat berbahaya mereka karena kurangnya visibilitas ketika datang ke plugin yang disebarkannya pada sistem yang terinfeksi.

Sejak 2018 ketika sampel RotaJakiro pertama mendarat di VirusTotal, 360 Netlab menemukan empat sampel berbeda yang diunggah antara Mei 2018 dan Januari 2021, semuanya dengan total nol deteksi yang mengesankan.

Peneliti 360 Netlab juga menemukan tautan ke botnet Torii IoT yang pertama kali ditemukan oleh pakar malware Vesselin Bontchev dan dianalisis oleh Tim Intelijen Ancaman Avast pada September 2018.

Selengkapnya: Bleeping Computer

Peretas Passwordstate melakukan phish untuk lebih banyak korban dengan malware yang diperbarui

April 29, 2021 by Winnie the Pooh

Click Studios, perusahaan perangkat lunak di balik pengelola kata sandi perusahaan Passwordstate, memperingatkan pelanggan tentang serangan phishing yang sedang berlangsung yang menargetkan mereka dengan malware Moserpass yang diperbarui.

Minggu lalu, perusahaan memberi tahu penggunanya bahwa penyerang berhasil menyusupi mekanisme pembaruan pengelola kata sandi untuk mengirimkan malware pencuri info yang dikenal sebagai Moserpass ke sejumlah pelanggan yang belum diungkapkan antara 20 April dan 22 April.

Click Studios menerbitkan peringatan kedua pada hari Minggu, mengatakan bahwa “hanya pelanggan yang melakukan Peningkatan Di Tempat antara waktu yang disebutkan di atas yang diyakini terpengaruh dan mungkin catatan kata sandi Passwordstate mereka diambil”.

Sejak itu, Click Studios telah membantu pelanggan yang berpotensi terkena dampak melalui email, menyediakan perbaikan terbaru yang dirancang untuk membantu mereka menghapus malware dari sistem mereka.

Namun, seperti yang terungkap hari ini dalam sebuah advisory baru, email yang diterima dari Click Studios dibagikan oleh pelanggan di media sosial yang memungkinkan pelaku ancaman yang tidak dikenal untuk membuat email phishing yang cocok dengan korespondensi perusahaan dan mendorong varian Moserpass baru.

Perusahaan sekarang meminta mereka yang menerima email mencurigakan “untuk tetap waspada dan memastikan validitas email” yang mereka terima.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings