Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Vietnam menjadi sasaran dalam serangan rantai pasokan yang kompleks

by

Sekelompok peretas misterius telah melakukan serangan rantai pasokan yang cerdik terhadap perusahaan swasta dan lembaga pemerintah Vietnam dengan memasukkan malware ke dalam perangkat lunak resmi milik pemerintah.

Serangan itu, ditemukan oleh firma keamanan ESET dan dirinci dalam laporan bernama “Operation SignSight,” menargetkan Otoritas Sertifikasi Pemerintah Vietnam (VGCA), organisasi pemerintah yang menerbitkan sertifikat digital yang dapat digunakan untuk menandatangani dokumen resmi secara elektronik.

Setiap warga negara Vietnam, perusahaan swasta, dan bahkan lembaga pemerintah lainnya yang ingin mengirimkan file ke pemerintah Vietnam harus menandatangani dokumen mereka dengan sertifikat digital yang kompatibel dengan VGCA.

ESET mengatakan bahwa sekitar tahun ini, peretas masuk ke situs web agensi, yang terletak di ca.gov.vn, dan memasukkan malware ke dalam dua aplikasi klien VGCA yang ditawarkan untuk diunduh di situs tersebut.

Kedua file tersebut adalah aplikasi klien 32-bit (gca01-client-v2-x32-8.3.msi) dan 64-bit (gca01-client-v2-x64-8.3.msi) untuk pengguna Windows.

ESET mengatakan bahwa antara 23 Juli dan 5 Agustus tahun ini, kedua file tersebut berisi trojan backdoor bernama PhantomNet, juga dikenal sebagai Smanager.

Malware itu tidak terlalu rumit namun hanyalah kerangka gambar untuk plugin yang lebih kuat, kata para peneliti.

Plugin tersebut memiliki fungsionalitas untuk mengambil pengaturan proxy untuk melewati firewall perusahaan dan kemampuan untuk mengunduh dan menjalankan aplikasi (berbahaya) lainnya.

Pada hari ESET menerbitkan laporannya, VGCA juga secara resmi mengakui pelanggaran keamanan dan menerbitkan tutorial tentang bagaimana pengguna dapat menghapus malware dari sistem mereka.

Sumber: ZDNet

Serangan baru oleh grup UltraRank

by

Pada bulan Agustus 2020, Group-IB menerbitkan laporan “UltraRank: twist tak terduga dari ancaman 3 rangkap JS-sniffer”. Laporan tersebut menggambarkan operasi kelompok penjahat dunia maya UltraRank, yang dalam lima tahun aktivitasnya telah berhasil menyerang 691 toko eCommerce dan 13 penyedia layanan situs web.

Pada November 2020, pakar Grup-IB menemukan gelombang baru serangan UltraRank. Meskipun serangan baru terdeteksi pada saat itu, sebagian dari infrastruktur grup tetap aktif dan beberapa situs masih terinfeksi. Penjahat dunia maya tidak menggunakan domain yang ada untuk serangan baru tetapi beralih ke infrastruktur baru untuk menyimpan kode berbahaya dan mengumpulkan data pembayaran yang dicegat.

Sebagai bagian dari kampanye baru UltraRank, tim Group-IB Threat Intelligence dan Attribution menemukan 12 situs web eCommerce yang terinfeksi dengan JavaScript-sniffer. Delapan dari mereka tetap terinfeksi pada saat publikasi. Group-IB telah mengirimkan pemberitahuan ke situs web yang terinfeksi.

Kali ini kode sniffer JS dikaburkan menggunakan obfuscation Radix. Pola kebingungan ini telah digunakan hanya oleh beberapa kelompok penjahat dunia maya, salah satunya adalah kelompok UltraRank. Setelah menyederhanakan kode, Grup-IB menemukan bahwa serangan tersebut menggunakan sniffer dari keluarga SnifLite, yang sudah diketahui oleh para ahli Grup-IB dan digunakan oleh aktor ancaman UltraRank. Karena jumlah situs web yang terinfeksi relatif kecil, penyerang kemungkinan besar menggunakan kredensial di panel administratif CMS, yang, pada gilirannya, dapat disusupi menggunakan malware atau sebagai akibat dari serangan brute force.

Selama rangkaian serangan terbaru mereka, UltraRank menyimpan kode berbahaya mereka di situs web yang meniru domain Google Tag Manager yang sah. Analisis infrastruktur aktor ancaman mengungkapkan bahwa server utama dihosting oleh Media Land LLC, yang terhubung dengan perusahaan hosting antipeluru.

sumber : UltraRank

Sistem pemasaran Subway diretas untuk mengirim email malware TrickBot

by

Subway UK telah mengungkapkan bahwa sistem yang digunakan untuk pemasaran perusahaan telah diretas dan bertanggung jawab atas email phishing yang berisi malware yang dikirim ke pelanggan kemarin.

Pelanggan Subway UK menerima email aneh dari ‘Subcard’ tentang pesanan Subway yang dilakukan. Di dalam email tersebut terdapat tautan ke dokumen yang diduga berisi konfirmasi pesanan.

Sumber: Bleeping Computer

Setelah menganalisis email phishing ini, ditemukan bahwa mereka menyebarkan dokumen Excel berbahaya yang akan menginstal versi terbaru malware TrickBot.

TrickBot adalah infeksi malware jahat yang memungkinkan penyerang, menyebar ke seluruh jaringan, data browser, data RDP, VNC, dan PuTTY Credentials, dan banyak lagi. Lebih buruk lagi, TrickBot pada akhirnya dapat menyediakan akses ke operasi ransomware Ryuk atau Conti.

Subway juga telah mengirim email pemberitahuan ke pelanggan yang terkena dampak yang menyatakan bahwa nama depan dan nama belakang pelanggan terungkap dalam serangan itu.

Jika Anda menerima email ini dan keliru membuka dokumen Excel yang berbahaya, Anda dapat memeriksa versi TrickBot saat ini dengan membuka Task Manager dan mencari proses bernama ‘Windows Problem Reporting’. Jika proses itu ditemukan, klik tombol ‘End Task’ untuk menghentikannya.

Sekarang lakukan pemindaian menyeluruh pada komputer Anda menggunakan perangkat lunak antivirus dan bersihkan apa pun yang ditemukan.

Sumber: Bleeping Computer

Trojan Windows Baru Mencuri Kredensial Browser, Outlook Files

by

Para peneliti telah menemukan trojan pencuri informasi baru, yang menargetkan sistem Microsoft Windows dengan kemampuan eksfiltrasi data yang hebat – mulai dari mengumpulkan kredensial browser hingga menargetkan file Outlook.

Trojan, yang disebut PyMicropsia (karena dibuat dengan Python) telah dikembangkan oleh kelompok ancaman AridViper, kata peneliti, yang dikenal sering menargetkan organisasi di Timur Tengah.

“AridViper adalah kelompok ancaman aktif yang terus mengembangkan alat baru sebagai bagian dari persenjataan mereka,” kata peneliti dari tim Unit42 Palo Alto dalam sebuah analisis.

Peneliti juga mengatakan bahwa ada beberapa bagian dari malware yang belum digunaka, menandakan bahwa malware masih dalam tahap pengembangan.

Kemampuan trojan info-stealer ini mencakup pengunggahan file, pengunduhan/eksekusi muatan, pencurian kredensial browser (dan kemampuan untuk menghapus riwayat dan profil penjelajahan), mengambil tangkapan layar dan keylogging.

Selain itu, malware juga dapat mengumpulkan informasi file listing, menghapus file, menyalakan ulang mesin, mengumpulkan informasi dari drive USB dan merekam audio; serta memanen file Outlook .OST dan mematikan/menonaktifkan proses Outlook. File OST mungkin berisi pesan email, kontak, tugas, data kalender, dan informasi akun lainnya.

Meskipun PyMicropsia dirancang untuk menargetkan sistem operasi Windows saja, peneliti menemukan cuplikan dalam kode yang memeriksa sistem operasi lain (seperti “posix” atau “darwin”). Posix, atau Portable Operating System Interface, adalah keluarga standar yang digunakan untuk menjaga kompatibilitas antara sistem operasi; dan Darwin sebuah sistem operasi mirip Unix.

Sumber: The Threat Post

Malware baru dari grup peretas menyalahgunakan layanan Google dan Facebook

by

Molerats cyberespionage group telah menggunakan malware baru dalam kampanye spear-phishing baru-baru ini yang mengandalkan Dropbox, Google Drive, dan Facebook untuk komunikasi command dan control dan untuk menyimpan data yang dicuri.

Para peretas telah aktif setidaknya sejak 2012 dan dianggap sebagai divisi anggaran rendah dari kelompok yang lebih besar yang disebut Gaza Cybergang.

Aktor ancaman Molerats menggunakan dua backdoor baru dalam operasi yang terbaru- disebut SharpStage dan DropBook, dan satu pengunduh malware yang sebelumnya tidak diketahui bernama MoleNet.

Dirancang untuk cyberespionage, malware mencoba untuk menghindari deteksi dan upaya penghapusan dengan menggunakan layanan Dropbox dan Facebook untuk mencuri data dan menerima instruksi dari operator. Kedua backdoor menerapkan Dropbox untuk mengekstrak data yang dicuri.

Sumber: Cybereason

Laporan teknis dari Tim Nocturnus Cybereason mencatat bahwa backdoor DropBook berbasis Python berbeda dari alat lain di gudang senjata Molerats karena menerima instruksi hanya melalui akun palsu di Facebook dan Simplenote, aplikasi pencatat untuk iOS.

Peretas mengontrol backdoor melalui perintah yang diterbitkan dalam posting di Facebook. Mereka menggunakan metode yang sama untuk memberikan token yang diperlukan untuk terhubung ke akun Dropbox. Simplenote bertindak sebagai cadangan jika malware tidak dapat mengambil token dari Facebook.

Sumber: Bleeping Computer

Peretas dapat menggunakan koneksi server tidak aman WinZip untuk menjatuhkan malware

by

Komunikasi klien-server dalam versi tertentu dari alat kompresi file WinZip tidak aman dan dapat dimodifikasi untuk menyajikan malware atau konten palsu kepada pengguna.

WinZip telah menjadi utilitas lama bagi pengguna Windows dengan kebutuhan pengarsipan file di luar dukungan yang dibangun di dalam sistem operasi.

WinZip saat ini di versi 25 tetapi rilis sebelumnya memeriksa server untuk pembaruan melalui koneksi yang tidak terenkripsi, kelemahan yang dapat dieksploitasi oleh aktor jahat.

Martin Rakhmanov dari Trustwave SpiderLabs menangkap lalu lintas dari versi alat yang rentan untuk menunjukkan komunikasi yang tidak terenkripsi.

Mengingat sifat saluran komunikasi yang tidak aman, Rakhmanov mengatakan bahwa lalu lintas dapat “dirampas, dimanipulasi, atau dibajak” oleh penyerang di jaringan yang sama dengan pengguna WinZip.

Satu risiko yang berasal dari tindakan ini adalah DNS poisoning, yang mengelabui aplikasi agar mengambil pembaruan palsu dari server web jahat.

Pada versi WinZip yang rentan, penyerang juga dapat memperoleh informasi yang berpotensi sensitif seperti nama pengguna dan kode pendaftaran.

Peneliti mengatakan bahwa skenario ini juga disertai dengan risiko mengeksekusi kode arbitrary pada mesin korban karena WinZip menawarkan beberapa API “kuat” ke JavaScript.

Dengan dirilisnya WinZip 25, komunikasi cleartext tidak lagi terjadi. Pengguna disarankan untuk memperbarui ke versi yang terbaru.

Sumber: Bleeping Computer

Microsoft mengekspos Adrozek, malware yang membajak Chrome, Edge, dan Firefox

by

Microsoft telah meningkatkan kewaspadaan tentang jenis malware baru yang menginfeksi perangkat pengguna dan kemudian mulai memodifikasi browser dan pengaturannya untuk memasukkan iklan ke halaman hasil pencarian.

Dinamakan Adrozek, malware tersebut telah aktif setidaknya sejak Mei 2020 dan mencapai puncak absolutnya pada Agustus tahun ini ketika ia mengendalikan lebih dari 30.000 browser setiap hari.

Dalam laporannya, Tim Riset Defender Microsoft 365 yakin bahwa jumlah pengguna yang terinfeksi jauh lebih tinggi. Peneliti Microsoft mengatakan bahwa antara Mei dan September 2020, mereka mengamati “ratusan ribu” deteksi Adrozek di seluruh dunia.

Berdasarkan telemetri internal, konsentrasi korban tertinggi tampaknya berada di Eropa, diikuti oleh Asia Selatan dan Tenggara.

Sumber: Microsoft

Microsoft mengatakan bahwa, saat ini, malware didistribusikan melalui skema pengunduhan drive-by klasik. Pengguna biasanya dialihkan dari situs sah ke shady domain tempat mereka tertipu untuk memasang perangkat lunak berbahaya.

Boobytrapped software menginstal malware Androzek, yang kemudian melanjutkan untuk mendapatkan persistensi booting ulang dengan bantuan registry key. Setelah persistensi terjamin, malware akan mencari peramban yang dipasang secara lokal seperti Microsoft Edge, Google Chrome, Mozilla Firefox, atau Peramban Yandex.

Adrozek juga memodifikasi beberapa file DLL browser untuk mengubah pengaturan browser dan menonaktifkan fitur keamanan untuk menghindari deteksi.

Sumber: Microsoft

Microsoft mengatakan bahwa di Firefox, Adrozek juga berisi fitur sekunder yang mengekstrak kredensial dari browser dan mengunggah data ke server penyerang.

Sumber: ZDNet

Peretas Rusia menyembunyikan malware Zebrocy dalam virtual disk images

by

Peretas berbahasa Rusia di balik malware Zebrocy telah mengubah teknik mereka untuk mengirimkan malware ke korban profil tinggi dan mulai mengemas ancaman di Virtual Hard Drive (VHD) untuk menghindari deteksi.

Teknik ini terlihat dalam kampanye spear-phishing baru-baru ini dari kelompok ancaman APT28 (Fancy Bear, Sofacy, Strontium, Sednit) untuk menginfeksi sistem target dengan varian toolset Zebrocy.

Zebrocy hadir dalam banyak bahasa pemrograman (AutoIT, C ++, C #, Delphi, Go, VB.NET). Untuk kampanye baru-baru ini, pelaku ancaman memilih versi berbasis Golang daripada versi Delphi yang lebih umum.

Windows 10 mendukung file VHD secara native dan dapat memasangnya sebagai drive eksternal untuk memungkinkan pengguna melihat file di dalamnya. Tahun lalu, peneliti keamanan menemukan bahwa antivirus tidak memeriksa konten VHD sampai disk images dipasang.

Para peneliti di Intezer pada akhir November menemukan sebuah VHD yang diunggah ke platform pemindaian Virus Total. Di dalam images itu ada file PDF dan file yang dapat dieksekusi yang menyamar sebagai dokumen Microsoft Word, yaitu malware Zebrocy.

PDF tersebut adalah presentasi tentang Sinopharm International Corporation, sebuah perusahaan farmasi China yang saat ini sedang dalam uji coba fase ketiga untuk vaksin COVID-19.

Varian Zebrocy dalam file VHD adalah yang baru yang memiliki deteksi rendah pada Virus Total. Pada 30 November, hanya sembilan dari 70 mesin yang mendeteksi ini sebagai malware.

Dalam laporannya, Intezer memberikan indicators of compromise (IoC) untuk server perintah dan kontrol, file VHD, dan sampel malware Zebrocy yang digunakan dalam kampanye phishing baru-baru ini.

Sumber: Bleeping Computer