Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Pihak berwenang berencana untuk menghapus Emotet secara massal dari host yang terinfeksi pada 25 April 2021

by

Petugas penegak hukum di Belanda sedang dalam proses mengirimkan pembaruan Emotet yang akan menghapus malware dari semua komputer yang terinfeksi pada 25 April 2021.

Pembaruan ini terjadi setelah lembaga penegak hukum dari delapan negara mengatur penghapusan terkoordinasi minggu ini untuk menyita server dan menangkap individu di belakang Emotet, yang dianggap sebagai botnet malware terbesar saat ini.

Sementara server terletak di beberapa negara, pejabat Belanda mengatakan bahwa dua dari tiga server komando dan kendali utama (C&C) Emotet terletak di dalam perbatasannya.

Pejabat polisi Belanda mengatakan bahwa mereka menggunakan akses mereka ke dua server penting ini untuk menyebarkan pembaruan Emotet yang di-boobytrap ke semua host yang terinfeksi.

Menurut laporan publik, juga dikonfirmasi oleh ZDNet dengan dua firma keamanan siber yang secara historis melacak operasi Emotet, pembaruan ini berisi kode seperti bom waktu yang akan menghapus malware Emotet pada 25 April 2021, pada pukul 12:00, waktu lokal setiap komputer.

Selengkapnya: ZDNet

Italy CERT Memperingatkan adanya Kredensial Baru yang Mencuri Malware Android

by

Para peneliti telah mengungkap keluarga baru malware Android yang menyalahgunakan layanan aksesibilitas di perangkat untuk membajak kredensial pengguna dan merekam audio dan video.

Dijuluki “Oscorp” oleh CERT-AGID Italia dan ditemukan oleh AddressIntel, malware “mendorong pengguna untuk menginstal layanan aksesibilitas yang dengannya [penyerang] dapat membaca apa yang ada dan apa yang diketik di layar.”

Dinamakan demikian karena judul halaman login dari server command-and-control (C2), APK berbahaya (disebut “Assistenzaclienti.apk” atau “Perlindungan Pelanggan”) didistribusikan melalui domain bernama “supportoapp [.] Com , “yang setelah penginstalan, meminta izin mengganggu untuk mengaktifkan layanan aksesibilitas dan menjalin komunikasi dengan server C2 untuk mengambil perintah tambahan.

Selain itu, malware berulang kali membuka kembali layar Pengaturan setiap delapan detik hingga pengguna mengaktifkan izin untuk aksesibilitas dan statistik penggunaan perangkat, sehingga menekan pengguna agar memberikan hak istimewa ekstra.

Setelah akses diberikan, malware mengeksploitasi izin untuk mencatat penekanan tombol, mencopot aplikasi di perangkat, melakukan panggilan, mengirim pesan SMS, mencuri cryptocurrency dengan mengarahkan pembayaran yang dilakukan melalui aplikasi Dompet Blockchain.com, dan mengakses kode otentikasi dua faktor dari Google Aplikasi Authenticator.

Pada langkah terakhir, malware mengeksfiltrasi data yang diambil – bersama dengan informasi sistem (misalnya, aplikasi yang diinstal, model ponsel, operator) – ke server C2, selain mengambil perintah dari server yang memungkinkannya meluncurkan aplikasi Google Authenticator , mencuri pesan SMS, menghapus aplikasi, meluncurkan URL tertentu, dan merekam audio dan video layar melalui WebRTC.

selengkapnya : TheHackerNews

Laptop yang diberikan ke sekolah-sekolah Inggris sudah ditanami dengan worm remote-access

by

Sebuah pengiriman laptop yang dipasok ke sekolah-sekolah Inggris oleh Departemen Pendidikan untuk membantu anak-anak belajar karena lockdown telah ditanami dengan malware, The Register mengungkapkan.

Laptop yang terpengaruh, didistribusikan ke sekolah-sekolah di bawah skema Get Help With Technology (GHWT) pemerintah Inggris, yang dimulai tahun lalu, dibundel dengan Gamarue – worm remote-access lama dari tahun 2010-an. Perangkat lunak jahat ini tidak hanya menyebar dari komputer ke komputer, tetapi juga mencoba untuk terhubung ke server luar untuk instruksi yang harus dilakukan.

Register melaporkan bahwa sekumpulan 23.000 komputer, GeoBook 1E yang menjalankan Windows 10, yang dibuat oleh Tactus Group yang bermarkas di Shenzhen, berisi unit yang dimuat dengan malware. 77.000 unit Geo telah dikirim sejauh ini di bawah GHWT, dengan beberapa ribu tersisa untuk dikirimkan.

The Register telah diperlihatkan email yang dikirim ke dan dari Departemen Pendidikan (DfE), yang mengawasi skema GHWT, menandai kekhawatiran tentang laptop. Tampaknya setidaknya satu sekolah memformat dan menginstal ulang laptop dari awal yang diketahui sebagai akibat infeksi sebelum memberikannya kepada siswa.

Sumber: The Register

Situs web baru diluncurkan untuk mendokumentasikan kerentanan pada jenis malware

by

Seorang peneliti keamanan meluncurkan bulan ini portal web yang mencantumkan kerentanan dalam kode strain malware umum. Peneliti berharap profesional keamanan lainnya akan menggunakan bug untuk merusak, menonaktifkan, dan menghapus malware pada host yang terinfeksi sebagai bagian dari operasi respons insiden.

Dibuat dan diluncurkan oleh pemburu bug John Page, portal MalVuln baru tersedia di malvuln.com.

Situs itu sendiri adalah portal pengungkapan kerentanan khas Anda. Ini mencantumkan nama perangkat lunak (dalam hal ini, nama malware), menjelaskan kerentanan secara detail teknis, dan memberikan kode eksploitasi bukti konsep (PoC) sehingga orang lain dapat mereproduksi masalah tersebut.

Page memberi tahu ZDNet bahwa dia membuat situs karena bosan selama penguncian COVID-19 baru-baru ini.

selengkapnya : ZDNET

sLoad geng malware kembali: Microsoft mendeteksi dengan cepat versi 2.0 yang dirubah

by

Raksasa teknologi Microsoft telah mendeteksi aktivitas berbahaya pada bulan Desember oleh geng malware, yang dikenal sebagai sLoad.

Namun pada awal bulan ini perusahaan mengungkapkan bahwa sLoad malware telah kembali dengan versi 2.0, yang disebut Starslord. Meskipun versi baru tidak menunjukkan perubahan besar-besaran, kecepatan peluncuran versi malware baru menunjukkan seberapa cepat geng tersebut beroperasi.

Malware sLoad ini telah ada selama bertahun-tahun. Ini adalah apa yang seseorang sebut sebagai “malware downloader” atau “malware dropper” yang memiliki empat tujuan utama untuk dipenuhi yaitu:

  • Menginfeksi sistem Windows,
  • Mengumpulkan informasi tentang sistem yang terinfeksi
  • Mengirim semua informasi ke server perintah dan kontrol (C&C)
  • Menunggu instruksi untuk mengunduh dan memasang muatan malware kedua

Microsoft mengatakan bahwa sLoad adalah salah satu dari sedikit malware downloader yang ada karena tingkat kecanggihan yang tidak diperlukan dan penggunaan teknik yang tidak standar.

Setelah sebelumnya tertangkap oleh Microsoft, geng sLoad mengubah kode mereka dan mengubah beberapa hal, mengeluarkan versi baru 2.0 tahun ini.

SLoad v2.0 masih berfungsi sebagai malware downloader untuk kelompok kriminal lainnya, kata Microsoft. Tapi ada satu hal yang telah diubah oleh aktor ancaman. Sekarang alih-alih menggunakan skrip VB selama proses infeksi, versi baru menggunakan skrip WSF.

Sumber: IBTimes

Malware FreakOut mengeksploitasi bug penting untuk menginfeksi host Linux

by

Kampanye berbahaya aktif saat ini menargetkan perangkat Linux yang menjalankan perangkat lunak dengan kerentanan kritis yang mendukung perangkat penyimpanan yang terpasang ke jaringan (NAS) atau untuk mengembangkan aplikasi web dan portal.

Tujuannya adalah untuk menginfeksi mesin dengan versi rentan dari sistem operasi TerraMaster yang populer, Zend Framework (Laminas Project), atau Liferay Portal dengan malware FreakOut, yang dapat membantu menyebarkan berbagai macam serangan siber.

Peneliti keamanan di Check Point menemukan serangan FreakOut dan mengatakan bahwa perangkat Linux yang terinfeksi bergabung dengan botnet yang dapat membantu menyebarkan serangan siber lainnya.

Mereka mengatakan bahwa controller dapat menggunakan mesin yang terinfeksi untuk menambang cryptocurrency, untuk menyebar secara lateral di seluruh jaringan perusahaan, atau untuk membidik target lain sambil menyamar sebagai perusahaan yang dikompromikan.

Malware FreakOut ini baru dan dapat berfungsi untuk pemindaian port, mengumpulkan informasi, network sniffing, atau meluncurkan serangan distributed denial-of-service (DDoS).

Rantai infeksi dimulai dengan mengeksploitasi salah satu dari tiga (CVE-2021-3007, CVE-2020-7961, CVE-2020-28188) kerentanan kritis dan berlanjut dengan mengunggah skrip Python (out.py) pada mesin yang disusupi.

Penyerang mencoba menjalankan skrip menggunakan Python 2, yang berakhir masa pakainya pada tahun 2020. Check Point percaya bahwa ini adalah indikasi pelaku ancaman dengan asumsi bahwa mesin yang disusupi sudah usang dan masih menginstal Python 2.

Sumber: BleepingComputer

Check Point menemukan serangan itu pada 8 Januari 2021, ketika mereka melihat skrip berbahaya sedang diunduh dari hxxp://gxbrowser[.]Net. Sejak itu para peneliti mengamati ratusan upaya untuk mengunduh kode tersebut.

Sumber: Bleeping Computer

Perintah Windows Finger disalahgunakan oleh phishing untuk mengunduh malware

by

Penyerang menggunakan perintah Windows Finger yang biasanya tidak berbahaya untuk mengunduh dan memasang backdoor berbahaya pada perangkat korban.

Perintah ‘Finger’ adalah utilitas yang berasal dari sistem operasi Linux/Unix yang memungkinkan pengguna lokal untuk mengambil daftar pengguna pada mesin jarak jauh atau informasi tentang pengguna jarak jauh tertentu. Selain Linux, Windows menyertakan perintah finger.exe yang menjalankan fungsi yang sama.

Minggu ini, peneliti keamanan Kirk Sayre menemukan kampanye phishing yang menggunakan perintah Finger untuk mengunduh malware backdoor MineBridge.

FireEye pertama kali melaporkan malware MineBridge setelah menemukan banyak kampanye phishing yang menargetkan organisasi Korea Selatan. Email phishing ini berisi dokumen Word berbahaya yang menyamar sebagai resume pelamar kerja yang menginstal malware MineBridge.

Seperti kampanye MineBridge sebelumnya yang dilihat oleh FireEye, yang ditemukan oleh Sayre juga berpura-pura menjadi resume dari pelamar kerja, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Ketika korban mengklik tombol ‘Enabled Editing’ atau ‘Enable Content’, macro yang dilindungi kata sandi akan dijalankan untuk mengunduh malware MineBridge dan menjalankannya.

Setelah MineBridge terpasang, pelaku ancaman jarak jauh akan mendapatkan akses penuh ke komputer dan memungkinkan mereka untuk mendengarkan melalui mikrofon perangkat yang terinfeksi, dan melakukan aktivitas berbahaya lainnya.

Karena Finger jarang digunakan saat ini, disarankan agar administrator memblokir perintah Finger di jaringan mereka, baik melalui AppLocker atau metode lain.

Sumber: Bleeping Computer

Gambaran Umum tentang DoppelPaymer Ransomware

by

Pada awal Desember 2020, FBI mengeluarkan peringatan terkait DoppelPaymer, keluarga ransomware yang pertama kali muncul pada 2019 ketika meluncurkan serangan terhadap organisasi di industri kritis. Aktivitasnya terus berlanjut sepanjang tahun 2020, termasuk serangkaian insiden di paruh kedua tahun ini yang membuat para korbannya kesulitan untuk menjalankan operasi mereka dengan baik.

DoppelPaymer diyakini didasarkan pada ransomware BitPaymer (yang pertama kali muncul pada tahun 2017) karena kesamaan dalam kode, catatan tebusan, dan portal pembayaran mereka. Namun, penting untuk diperhatikan bahwa ada beberapa perbedaan antara DoppelPaymer dan BitPaymer. DoppelPaymer menggunakan 2048-bit RSA + 256-bit AES untuk enkripsi, sedangkan BitPaymer menggunakan 4096-bit RSA + 256-bit AES, Perbedaan lain antara keduanya adalah bahwa sebelum DoppelPaymer mengeksekusi rutinitas jahatnya, ia harus memiliki parameter baris perintah yang benar, teknik ini digunakan untuk menghindari analisis sandbox.

Seperti banyak keluarga ransomware modern, permintaan tebusan DoppelPaymer untuk dekripsi file sangat besar, berkisar antara US $ 25.000 hingga US $ 1,2 juta.

https://www.trendmicro.com/content/dam/trendmicro/global/en/research/21/a/an-overview-of-the-doppelpaymer-ransomware/DoppelPaymer-1.jpg

DoppelPaymer menggunakan rutinitas yang cukup canggih, dimulai dengan infiltrasi jaringan melalui email spam berbahaya yang berisi tautan spear-phishing atau lampiran yang dirancang untuk memikat pengguna yang tidak menaruh curiga agar menjalankan kode berbahaya yang biasanya disamarkan sebagai dokumen asli. Kode ini bertanggung jawab untuk mengunduh malware lain dengan kemampuan yang lebih canggih (seperti Emotet) ke dalam sistem korban.

Setelah Emotet diunduh, Emotet akan berkomunikasi dengan server command-and-control (C&C) untuk menginstal berbagai modul serta mengunduh dan menjalankan malware lainnya. server C&C digunakan untuk mengunduh dan menjalankan keluarga malware Dridex, yang kemudian digunakan untuk mengunduh DoppelPaymer secara langsung atau alat seperti PowerShell Empire, Cobalt Strike, PsExec, dan Mimikatz. Masing-masing alat ini digunakan untuk berbagai aktivitas, seperti mencuri kredensial, bergerak secara lateral di dalam jaringan, dan menjalankan perintah yang berbeda, seperti menonaktifkan perangkat lunak keamanan.

Setelah Dridex memasuki sistem, pelaku jahat tidak segera menyebarkan ransomware. Sebaliknya, ia mencoba untuk berpindah secara lateral dalam jaringan sistem yang terpengaruh untuk menemukan target bernilai tinggi untuk mencuri informasi penting. Setelah target ini ditemukan, Dridex akan melanjutkan menjalankan muatan terakhirnya, DoppelPaymer. DoppelPaymer mengenkripsi file yang ditemukan di jaringan serta drive tetap dan yang dapat dilepas di sistem yang terpengaruh. Terakhir, DoppelPaymer akan mengubah sandi pengguna sebelum memaksa sistem memulai ulang ke mode aman untuk mencegah masuknya pengguna dari sistem. Itu kemudian mengubah teks pemberitahuan yang muncul sebelum Windows melanjutkan ke layar login.

Teks pemberitahuan baru sekarang menjadi catatan tebusan DoppelPaymer, yang memperingatkan pengguna untuk tidak menyetel ulang atau mematikan sistem, serta tidak menghapus, mengganti nama, atau memindahkan file yang dienkripsi. Catatan itu juga berisi ancaman bahwa data sensitif mereka akan dibagikan kepada publik jika mereka tidak membayar tebusan yang diminta dari mereka.

Menurut pemberitahuan FBI, target utama DoppelPaymer adalah organisasi dalam perawatan kesehatan, layanan darurat, dan pendidikan. Ransomware telah terlibat dalam sejumlah serangan pada tahun 2020, termasuk gangguan pada community college serta polisi dan layanan darurat di sebuah kota di AS selama pertengahan tahun.

Agar terhindar dari malware ini, anda dapat melakukan beberapa upaya berikut :
Menahan diri dari membuka email yang tidak diverifikasi dan mengklik link atau lampiran yang disematkan di pesan ini.
Mencadangkan file penting secara teratur menggunakan aturan 3-2-1: Buat tiga salinan cadangan dalam dua format file berbeda, dengan salah satu cadangan di lokasi fisik terpisah.
Memperbarui perangkat lunak dan aplikasi dengan tambalan terbaru sesegera mungkin untuk melindunginya dari kerentanan.
Memastikan bahwa cadangan aman dan terputus dari jaringan pada akhir setiap sesi pencadangan.
Mengaudit akun pengguna secara berkala – khususnya akun yang dapat diakses publik, seperti akun Pemantauan dan Manajemen Jarak Jauh.
Memantau lalu lintas jaringan masuk dan keluar, dengan peringatan untuk eksfiltrasi data.
Menerapkan otentikasi dua faktor (2FA) untuk kredensial login pengguna, karena ini dapat membantu memperkuat keamanan untuk akun pengguna
Menerapkan prinsip hak istimewa paling rendah untuk izin file, direktori, dan jaringan berbagi.

Source : trendmicro