Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Dua merchant perhotelan Amerika Utara diretas pada bulan Mei dan Juni

by

Dalam peringatan keamanan yang diterbitkan pada hari Kamis, Visa mengungkapkan bahwa dua merchant perhotelan Amerika Utara diretas dan sistem mereka terinfeksi malware point-of-sale (POS) awal tahun ini.

Malware POS dirancang untuk menginfeksi sistem Windows, mencari aplikasi POS, kemudian mencari dan memantau memori komputer untuk detail kartu pembayaran yang sedang diproses di dalam aplikasi pembayaran POS.

PERETASAN BULAN JUNI: HACKERS MENGGUNAKAN TIGA STRAIN POS MALWARE YANG BERBEDA

Dari kedua insiden tersebut, insiden kedua yang terjadi pada bulan Juni adalah yang paling menarik dilihat dari sudut pandang insiden respon (IR).

Visa mengatakan telah menemukan tiga jenis malware POS di jaringan korban – yaitu RtPOS, MMon (alias Kaptoxa), dan PwnPOS. Alasan mengapa geng malware menyebarkan tiga jenis malware tidak diketahui, tetapi bisa jadi penyerang ingin memastikan mereka mendapatkan semua data pembayaran dari berbagai sistem.

PERETASAN BULAN MEI: MENGGUNAKAN EMAIL PHISHING SEBAGAI TITIK MASUK

Malware POS yang digunakan dalam insiden ini diidentifikasi sebagai versi strain TinyPOS.

Dua serangan baru-baru ini menunjukkan bahwa terlepas dari peningkatan dan perhatian baru-baru ini bahwa insiden skimming web (magecart) dan ransomware semakin meningkat di media, geng-geng kejahatan siber tidak melupakan penargetan sistem POS.

“Serangan baru-baru ini menunjukkan minat terus-menerus pelaku ancaman dalam menargetkan sistem POS merchant untuk mengambil data rekening pembayaran saat ini,” kata Visa.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Malware NodeJS mengambil informasi IP, nama pengguna, dan nama perangkat di GitHub

by

Beberapa paket NodeJS yang sarat dengan kode berbahaya telah terlihat di registri npm.

Paket “typosquatting” ini tidak memiliki tujuan selain mengumpulkan data dari perangkat pengguna dan menyiarkannya di halaman GitHub publik.
Penemuan ini ditemukan oleh sistem deteksi malware otomatis Sonatype dan diselidiki lebih lanjut oleh tim Riset Keamanan perusahaan yang termasuk saya.
Paket yang sebelumnya ada di registry npm open source termasuk:

1. electorn (kesalahan eja yang disengaja dari paket “electron” yang sah)
2. loadyaml
3. loadyml.dll
4. lodashs (kesalahan eja yang disengaja dari paket “lodash” yang sah)

Keempat paket diterbitkan oleh pengguna yang sama “simplelive12” dan sekarang telah dihapus, dengan dua paket pertama telah dihapus oleh npm per 1 Oktober 2020. Dua paket sebelumnya tidak dipublikasikan oleh pembuatnya sendiri.

Setelah instal, electron menjalankan skrip di latar belakang setiap jam yang mengumpulkan IP pengguna yang masuk, data geolokasi, nama pengguna, jalur ke direktori home, dan informasi model CPU.

Sampai saat ini, keempat paket telah mencetak lebih dari 400 total unduhan.

Tidak jelas apa tujuan pengumpulan data ini dan mengapa itu dipublikasikan di web agar dunia dapat melihatnya, namun, insiden seperti ini menyoroti potensi serangan typosquatting pada ekosistem open-source.

Ada Serangan Ditujukan untuk Mengganggu Botnet Trickbot

by

Pada 22 September, seseorang mengupload file konfigurasi baru ke komputer Windows yang saat ini terinfeksi Trickbot. Penjahat yang menjalankan botnet Trickbot biasanya menggunakan file konfigurasi ini untuk menyampaikan instruksi baru ke PC mereka lainnya yang terinfeksi, seperti alamat Internet di mana sistem yang diretas harus mengunduh pembaruan baru untuk malware.

Tetapi file konfigurasi baru yang diupload pada 22 September memberi tahu semua sistem yang terinfeksi Trickbot bahwa server kontrol malware baru mereka memiliki alamat 127.0.0.1, yang merupakan alamat “localhost” yang tidak dapat dijangkau melalui Internet publik, menurut analisis oleh perusahaan intelijen dunia maya Intel 471.

“Tak lama setelah konfigurasi palsu dikeluarkan, semua pengontrol Trickbot berhenti merespons dengan benar permintaan bot,” tulis Intel 471 dalam sebuah catatan kepada pelanggannya. “Ini mungkin berarti controller pusat Trickbot terganggu. Waktu penutupan kedua peristiwa tersebut menunjukkan gangguan yang disengaja pada operasi botnet Trickbot. ”

Cuplikan teks dari salah satu pembaruan konfigurasi Trickbot palsu. Sumber: Intel 471

CEO Intel 471, Mark Arena, mengatakan pada saat ini siapa pun yang bertanggung jawab.

“Jelas, seseorang mencoba menyerang Trickbot,” kata Arena. “Bisa saja seseorang di komunitas riset keamanan, pemerintah, orang dalam yang tidak puas, atau grup kejahatan dunia maya saingan. Kami hanya tidak tahu saat ini. ”

Alex Holden adalah chief technology officer dan pendiri Hold Security, sebuah firma intelijen dunia maya yang berbasis di Milwaukee yang membantu memulihkan data yang dicuri. Holden mengatakan pada akhir September Trickbot menyimpan kata sandi dan data keuangan yang dicuri dari lebih dari 2,7 juta PC Windows.

“Pemantauan kami menemukan setidaknya satu pernyataan dari salah satu kelompok ransomware yang mengandalkan Trickbot yang mengatakan ini membuat mereka kesal, dan mereka akan menggandakan tebusan yang mereka minta dari korban,” kata Holden. “Kami belum dapat mengonfirmasi apakah mereka benar-benar menindaklanjuti hal itu, tetapi serangan ini jelas mengganggu bisnis mereka.”

Intel 471’s Arena mengatakan ini bisa menjadi bagian dari kampanye yang sedang berlangsung untuk membongkar atau merebut kendali atas botnet Trickbot. Upaya seperti itu tidak akan pernah terjadi sebelumnya. Pada tahun 2014, misalnya, lembaga penegak hukum AS dan internasional bekerja sama dengan beberapa firma keamanan dan peneliti swasta untuk mengambil alih Gameover Zeus Botnet, jenis malware yang sangat agresif dan canggih yang telah menyerang hingga 1 juta PC Windows secara global.

Peretas membocorkan file yang dicuri dalam serangan ransomware K-Electric Pakistan

by

Minggu ini, Netwalker telah merilis arsip file berukuran 8,5 GB yang diduga dicuri dari K-Electric selama serangan ransomware pada September lalu.

Perusahaan keamanan siber Pakistan, Rewterz, yang memeriksa isi arsip, mengatakan kepada BleepingComputer bahwa arsip itu berisi informasi sensitif seperti data keuangan, informasi pelanggan, laporan teknik, catatan pemeliharaan, dan banyak lagi.
Data yang dibocorkan
Data ini mencakup laporan laba rugi yang tidak diaudit, diagram teknik untuk turbin, dan gambar pernyataan pelanggan yang ditandai dari K-Electric.

Daata Pelanggan K-Electric

Dengan beragam informasi yang diungkapkan sebagai bagian dari serangan ini, pelanggan harus berhati-hati bahwa informasi pribadi mereka mungkin telah tersebar.
Penting juga bagi K-Electric untuk bersikap transparan tentang info yang dibuka sehingga karyawan dan pelanggan dapat melindungi diri mereka sendiri dengan memadai.
BleepingComputer telah menghubungi K-Electric untuk pernyataan lebih lanjut namun belum menerima balasan.

Source : Bleeping Computer

Spammer Menyelundupkan LokiBot Melalui Taktik Obfuscation URL

by

Pelaku spam mulai menggunakan teknik penyamaran URL rumit untuk menghindari deteksi – dan pada akhirnya menginfeksi korban dengan trojan LokiBot.

Taktik itu ditemukan dalam email spear-phishing baru-baru ini dengan lampiran PowerPoint, yang berisi makro berbahaya.

Saat file PowerPoint dibuka, dokumen mencoba mengakses URL melalui binary Windows (mshta.exe), dan ini menyebabkan berbagai malware diinstal ke sistem.

Proses ini bukan hal baru untuk pengunduh makro. Namun, karena domain yang terkait dengan kampanye telah diketahui menghosting file dan data berbahaya, penyerang menggunakan serangan semantik unik pada URL kampanye untuk mengelabui penerima email dan menghindari dideteksi oleh email dan AV.

Serangan URL semantik adalah ketika klien secara manual menyesuaikan parameter permintaannya dengan mempertahankan sintaks URL – tetapi mengubah arti semantiknya.

Email berbahaya yang diamati oleh peneliti berjudul: “URGENT: REQUEST FOR OFFER (University of Auckland)” dan PowerPoint terlampir berjudul “Request For Offer.”

Para spammer di balik serangan ini telah menerobos salah satu komponen skema URI yang disebut komponen Authority, yang memegang bagian informasi pengguna opsional.

Contoh dari struktur Authority ini adalah sebagai berikut: otoritas=[userinfo @]host[:port].

Karena “userinfo” tidak umum digunakan, kadang-kadang diabaikan oleh server, kata peneliti. Dalam kampanye khusus ini, penyerang memanfaatkan fakta ini, memanfaatkan apa yang oleh peneliti disebut sebagai userinfo “dummy” untuk menyembunyikan maksud sebenarnya.

Dalam kampanye khusus ini, URL yang digunakan (j [.] Mp / kassaasdskdd) sebenarnya menggunakan layanan pemendekan URL Bit.ly dan mengarah ke Pastebin. Untuk menghindari deteksi, penyerang berulang kali menggunakan string pendek acak (“% 909123id”) di bagian userinfo di URL mereka.

“Aktor siber mencoba membuat domain tidak terlalu mencolok namun tetap sesuai dengan sintaks URI generik,” kata peneliti.

Credit: Trustwave

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Bagaimana geng malware Cina menipu pengguna Facebook

by

Pada konferensi keamanan Virus Bulletin 2020, anggota tim keamanan Facebook telah mengungkapkan detail mengenai salah satu operasi malware paling canggih yang pernah menargetkan pengguna Facebook.

Dikenal sebagai SilentFade, geng malware ini aktif antara akhir 2018 dan Februari 2019, ketika tim keamanan Facebook mendeteksi keberadaan mereka dan turun tangan untuk menghentikan serangan mereka.

SilentFade menggunakan kombinasi trojan Windows, injeksi browser, scripting cerdik, dan bug di platform Facebook, menunjukkan modus operandi canggih yang jarang terlihat dengan geng malware yang menargetkan platform Facebook.

Tujuan operasi SilentFade adalah untuk menginfeksi pengguna dengan trojan, membajak browser pengguna, dan mencuri kata sandi dan cookie browser sehingga mereka dapat mengakses akun Facebook.

Setelah memiliki akses, grup tersebut menelusuri akun yang memiliki jenis metode pembayaran apa pun yang dilampirkan ke profil mereka. Untuk akun ini, SilentFade membeli iklan Facebook dengan dana korban.

Meskipun beroperasi hanya selama beberapa bulan, Facebook mengatakan grup tersebut berhasil menipu pengguna yang terinfeksi lebih dari $4 juta, yang mereka gunakan untuk memposting iklan Facebook berbahaya di seluruh jejaring sosial.

Geng malware ini menyebarkan versi modern SilentFade dengan menggabungkannya dengan perangkat lunak resmi yang mereka tawarkan untuk diunduh secara online.

Setelah pengguna terinfeksi, trojan SilentFade akan mengambil kendali atas komputer Windows korban, namun alih-alih menyalahgunakan sistem untuk operasi yang lebih mengganggu, malware hanya mengganti file DLL yang sah di dalam instalasi browser dengan versi jahat dari DLL yang sama yang memungkinkan geng SilentFade untuk mengontrol browser.

Browser yang ditargetkan termasuk Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa, dan Browser Yandex.

Facebook juga mengatakan SilentFade adalah bagian dari tren yang lebih besar dan generasi baru pelaku kejahatan siber yang tampaknya tinggal di China dan terus-menerus menargetkan platformnya.

Berita selengkapnya dapat dilihat di tautan di bawah ini;
Source: ZDNet

Varian Spyware Android Mengintai di WhatsApp dan Telegram

by

Para peneliti mengatakan mereka telah menemukan varian spyware Android baru dengan strategi komunikasi perintah-dan-kontrol yang diperbarui dan kemampuan pengawasan yang diperluas yang dapat mengintip aplikasi media sosial WhatsApp dan Telegram.

Malware, Android/SpyC32.A, saat ini sedang digunakan dalam kampanye aktif yang menargetkan korban di Timur Tengah oleh kelompok ancaman APT-C-23 (juga dikenal sebagai Two-Tailed Scorpion dan Desert Scorpion).

Versi yang diperbarui, Android/SpyC23.A, telah ada sejak Mei 2019 dan pertama kali terdeteksi oleh para peneliti pada Juni 2020.

Versi terdokumentasi sebelumnya dari spyware ini memiliki berbagai kemampuan, termasuk kemampuan untuk mengambil gambar, merekam audio, mengeluarkan log panggilan, pesan SMS dan kontak, dan banyak lagi. Mereka akan melakukannya dengan meminta sejumlah izin invasif, menggunakan teknik mirip manipulasi psikologis untuk menipu pengguna yang tidak berpengalaman secara teknis.

Versi terbaru ini memiliki kemampuan pengawasan yang lebih luas, khususnya menargetkan informasi yang dikumpulkan dari media sosial dan aplikasi perpesanan. Spyware ini sekarang mampu merekam layar korban dan mengambil tangkapan layar, merekam panggilan masuk dan keluar di WhatsApp dan membaca teks pemberitahuan dari aplikasi media sosial, termasuk WhatsApp, Facebook, Skype dan Messenger.

Untuk menghindari menjadi korban spyware, peneliti menyarankan pengguna Android untuk hanya menginstal aplikasi dari toko aplikasi Google Play resmi dan untuk memeriksa izin aplikasi.

“Pada kasus dimana privasi, masalah akses, atau batasan lain yang menghalangi pengguna untuk mengikuti saran ini, pengguna harus lebih berhati-hati saat mengunduh aplikasi dari sumber tidak resmi,” kata peneliti.

“Kami merekomendasikan untuk memeriksa pengembang aplikasi, memeriksa ulang izin yang diminta, dan menggunakan solusi keamanan seluler yang tepercaya dan mutakhir.”

Naga Cyber Defense memiliki layanan mobile protection yang dapat melindungi Anda dari spyware. Hubungi kami atau cek daftar layanan kami untuk lebih datailnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Adware Linkury tertangkap sedang mendistribusikan malware

by

Sebuah keluarga adware yang dikenal terutama karena mendistribusikan pembajak browser telah tertangkap sedang menyebarkan malware besar-besaran.

Sementara perusahaan keamanan siber seperti Malwarebytes, Microsoft, atau Trend Micro saat ini mendeteksi operasi Linkury sebagai “adware,” Sundaram dan Ravichandran berpendapat bahwa “kasus ini ditandai sebagai malware kuat berdasarkan bukti yang disajikan dalam makalah [mereka].”

APA ITU LINKURY?

Sebelum presentasi VirusBulletin K7 hari ini, Linkury dulunya dikenal sebagai operasi adware.
Metode distribusinya yang utama adalah widget SafeFinder, sebuah ekstensi browser yang secara ironis diiklankan sebagai cara untuk melakukan pencarian yang aman di internet.

Tetapi para peneliti K7 mengatakan bahwa dalam kasus baru-baru ini yang mereka analisis, widget SafeFinder kini juga mulai menginstal malware resmi yang lengkap, seperti trojan infostealer Socelars dan Kpot.

Dalam kasus lain, operasi Linkury juga menjatuhkan versi browser Opera pada host yang terinfeksi, yang mereka mulai secara diam-diam di latar belakang sistem operasi untuk menampilkan iklan pop-up dan menghasilkan keuntungan bagi operator Linkury.

K7 melaporkan Linkury secara paksa memasang ekstensi di Chrome dan Firefox, untuk pengguna Windows; dan Safari, Chrome, dan Firefox, untuk pengguna Mac.

Selain itu, peneliti K7 juga mencatat bahwa installer SafeFinder juga berisi banyak fitur khusus untuk malware, seperti skrip PowerShell untuk menonaktifkan Windows Defender, dan berfungsi untuk mendeteksi kapan installer dijalankan di dalam mesin virtual dan sandbox, lingkungan yang biasanya digunakan untuk analisis malware – yang mana itu jelas ingin dihindari.

Dan yang tak kalah pentingnya, widget SafeFinder Linkury tidak memiliki niatan untuk menghormati pilihan pengguna, dengan installernya yang dirancang khusus untuk menginstal muatannya bahkan jika pengguna mencoba menghindari proses instalasi, seperti menekan “Tidak” seperti pada gambar di bawah.

sumber: ZDNet

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet