Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Malware ‘Alien’ baru dapat mencuri kata sandi dari 226 aplikasi Android

by

Peneliti keamanan telah menemukan dan menganalisis jenis baru malware Android yang hadir dengan beragam fitur yang memungkinkannya mencuri kredensial dari 226 aplikasi.

Dinamakan Alien, trojan baru ini telah aktif sejak awal tahun dan telah ditawarkan sebagai Malware-as-a-Service (MaaS) di forum peretasan bawah tanah.

Menurut peneliti ThreatFabric, Alien bukanlah benar-benar potongan kode baru tetapi sebenarnya didasarkan pada kode sumber dari geng malwar bernama Cerberus.

Alien tidak hanya dapat menampilkan layar login palsu dan mengumpulkan kata sandi untuk berbagai aplikasi dan layanan, tetapi juga dapat memberikan akses peretas ke perangkat untuk menggunakan kredensial tersebut atau bahkan melakukan tindakan lain.

Malware ini dilengkapi dengan kemampuan untuk memberikan akses jarak jauh ke perangkat setelah menginstal TeamViewer, memanen, mengirim, atau meneruskan pesan SMS, mencuri kontak, mengumpulkan detail perangkat dan daftar aplikasi, mengumpulkan data geo-lokasi, memasang dan memulai aplikasi lain dan masih banyak lagi.

Sebagian besar dari halaman login palsu yang dibuat ditujukan untuk mencegat kredensial untuk aplikasi e-banking, jelas ini adalah target utama mereka.

“Metode lain yang diamati untuk digunakan adalah SMS, setelah mereka menginfeksi perangkat mereka mengumpulkan daftar kontak yang kemudian mereka gunakan kembali untuk menyebarkan kampanye malware mereka ke lebih banyak korban,” kata peneliti.

Para peneliti memperkirakan lebih banyak keluarga malware baru, berdasarkan kode Cerberus, akan muncul pada kuartal terakhir tahun 2020.

Kami menyarankan kepada pengguna ponsel pintar untuk tidak mengunduh aplikasi dari sumber pihak ketiga dan tidak memberikan akses admin kepada aplikasi tersebut.

Source: ZDNet

Pengguna Mac dan Linux Ditargetkan oleh Varian Baru FinSpy

by

Spyware komersial FinSpy kembali dalam kampanye yang baru-baru ini diamati terhadap organisasi dan aktivis di Mesir.

Sementara spyware sebelumnya menargetkan pengguna Windows, iOS, dan Android, para peneliti telah menemukan kampanye ini menggunakan varian baru yang menargetkan pengguna macOS dan Linux.

FinSpy adalah rangkaian perangkat lunak pengawasan lengkap, yang memiliki kemampuan untuk mencegat komunikasi korban, mengakses data pribadi, dan merekam audio dan video, menurut Amnesty International, yang mengungkap varian baru ini. Dan telah digunakan oleh penegak hukum dan lembaga pemerintah di seluruh dunia sejak 2011.

Namun, para peneliti baru-baru ini menemukan sampel FinSpy yang belum pernah dilihat sebelumnya yang telah digunakan dalam kampanye sejak Oktober 2019. Sampel ini mencakup “Jabuka.app,” varian FinSpy untuk macOS, dan “PDF”, varian FinSpy untuk Linux. Keduanya diungkapkan kepada publik Jumat lalu untuk pertama kalinya.

Peneliti mengatakan bahwa sampel FinSpy untuk macOS “menggunakan rantai yang cukup kompleks untuk menginfeksi sistem, dan pengembang mengambil tindakan untuk memperumit analisisnya.”

Sementara muatan Linux sangat mirip dengan versi macOS, yang menurut para peneliti menunjukkan potensi basis kode bersama. Namun, launcher dan rantai infeksi disesuaikan untuk bekerja pada sistem Linux, dengan file “PDF” yang diperoleh dari server menjadi skrip pendek yang berisi binari yang dikodekan untuk Linux 32bit dan 64bit.

Varian malware untuk macOS dan Linux menyertakan modul dengan kemampuan keylogging, penjadwalan, dan perekaman layar. Mereka juga memiliki kemampuan untuk mencuri email dengan memasang add-on berbahaya ke Apple Mail dan Thunderbird, yang mengirimkan email untuk dikumpulkan oleh FinSpy, dan kemampuan mengumpulkan informasi tentang jaringan Wi-Fi.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Google menghapus 17 aplikasi Android yang tertangkap terlibat dalam penipuan penagihan WAP

by

Google telah menghapus 17 aplikasi Android dari Play Store resmi.

17 aplikasi, yang ditemukan oleh peneliti keamanan dari Zscaler, terinfeksi malware Joker (alias Bread).

“Spyware ini dirancang untuk mencuri pesan SMS, daftar kontak, dan informasi perangkat, bersama dengan diam-diam mendaftarkan korban untuk layanan wireless application protocol (WAP) premium,” kata peneliti keamanan Zscaler Viral Gandhi.

17 aplikasi berbahaya diunggah di Play Store bulan ini dan telah diunduh lebih dari 120.000 kali sebelum terdeteksi.

Aplikasi tersebut adalah:

  • All Good PDF Scanner
  • Mint Leaf Message-Your Private Message
  • Unique Keyboard – Fancy Fonts & Free Emoticons
  • Tangram App Lock
  • Direct Messenger
  • Private SMS
  • One Sentence Translator – Multifunctional Translator
  • Style Photo Collage
  • Meticulous Scanner
  • Desire Translate
  • Talent Photo Editor – Blur focus
  • Care Message
  • Part Message
  • Paper Doc Scanner
  • Blue Scanner
  • Hummingbird PDF Converter – Photo to PDF
  • All Good PDF Scanner

Cara aplikasi yang terinfeksi ini berhasil menyelinap melewati pertahanan Google dan mencapai Play Store adalah melalui teknik yang disebut “droppers”, di mana perangkat korban terinfeksi dalam proses multi-tahap.

Pembuat malware mulai dengan mengkloning fungsionalitas aplikasi yang sah dan mengunggahnya di Play Store. Aplikasi ini berfungsi penuh, meminta akses ke izin berbahaya, tetapi juga tidak melakukan tindakan berbahaya saat pertama kali dijalankan.

Karena tindakan jahat biasanya tertunda selama berjam-jam atau berhari-hari, pemindaian keamanan Google tidak menemukan kode berbahaya tersebut, dan Google biasanya mengizinkan aplikasi tersebut untuk dicantumkan di Play Store.

Namun, begitu berada di perangkat pengguna, aplikasi tersebut akhirnya mendownload dan “menjatuhkan” komponen atau aplikasi lain di perangkat yang berisi malware Joker atau jenis malware lainnya.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Pastebin menambah fitur ‘Burn After Read’ dan ‘Password Protected Pastes’ yang berpotensi memudahkan hacker dalam beraksi

by

Pastebin, situs web paling populer tempat pengguna dapat berbagi potongan kecil teks, telah menambahkan dua fitur baru yang diyakini para peneliti keamanan siber akan disalahgunakan secara luas dan liar oleh operator malware.

Dinamakan “Burn After Read” dan “Password Protected Pastes,” dua fitur baru ini memungkinkan pengguna Pastebin untuk membuat paste (potongan teks) yang akan kedaluwarsa setelah satu kali baca atau pastes yang dilindungi oleh kata sandi.

Tak satu pun dari kedua fitur tersebut asli, karena telah ada di banyak situs paste selama bertahun-tahun.

Namun, mereka baru pada portal Pastebin, yang sejauh ini merupakan portal paste paling populer.

Sementara beberapa orang menggunakannya untuk menghosting potongan kode atau teks yang ingin mereka bagikan dengan kolega, selama dekade terakhir, Pastebin juga telah berubah menjadi layanan hosting de-facto untuk kode berbahaya.

Peneliti keamanan berpendapat bahwa dengan menambahkan dua fitur baru hari ini, Pastebin memblokir upaya niat baik mereka untuk mendeteksi operasi malware dan lebih melayani sekelompok malware daripada pengguna sebenarnya dan orang baik.

Namun, Pastebin mengatakan bahwa meskipun dua fitur baru tersebut mungkin disalahgunakan, perusahaan tersebut juga memiliki fitur untuk membantu orang baik.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Microsoft, Italia, dan Belanda memperingatkan peningkatan aktivitas Emotet

by

Dua minggu setelah agen keamanan siber dari Prancis, Jepang, dan Selandia Baru menerbitkan peringatan tentang peningkatan aktivitas Emotet, peringatan baru telah diterbitkan minggu lalu oleh lembaga di Italia dan Belanda, dan juga oleh Microsoft.

Peringatan baru ini muncul karena aktivitas Emotet terus meningkat, mengerdilkan operasi malware lain yang aktif saat ini.

“Akhir-akhir ini sangat banyak spam [Emotet],” kata Joseph Roosen, anggota Cryptolaemus, sekelompok peneliti keamanan yang melacak kampanye malware Emotet, kepada ZDNet.

“Saya menerima sekitar 400 email di [pekerjaan harian] saya pada hari Senin ketika biasanya hanya sekitar selusin atau kurang dari 100 pada hari yang baik,” kata Roosen, menempatkan lonjakan baru-baru ini dalam perspektif.

“Ini telah terjadi dalam dua minggu terakhir.”

Peringatan dari Microsoft dan otoritas Italia juga memperingatkan tentang perubahan terbaru lainnya dalam kampanye spam Emotet, yang sekarang juga memanfaatkan file ZIP yang dilindungi kata sandi daripada dokumen Office.

Roosen memberi tahu ZDNet bahwa Emotet telah menggunakan teknik ini sejak pertengahan 2019, tetapi baru-baru ini mereka mulai meningkatkan prevalensinya di antara kampanye spam Emotet, oleh karena itu mengapa Microsoft dan yang lainnya sekarang bereaksi terhadap kemunculannya yang tiba-tiba.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

CISA memperingatkan peningkatan yang signifikan dalam malware LokiBot

by

Cybersecurity and Infrastructure Security Agency (CISA) mengatakan bahwa platform keamanan in-house (EINSTEIN Intrusion Detection System) telah mendeteksi aktivitas berbahaya yang terus-menerus terkait infeksi LokiBot.

Lonjakan Juli dalam aktivitas LokiBot yang dilihat oleh CISA juga dikonfirmasi oleh tim Malwarebytes Threat Intelligence, yang mengatakan kepada ZDNet dalam sebuah wawancara bahwa mereka juga telah melihat lonjakan serupa pada infeksi LokiBot selama tiga bulan terakhir.

Ini adalah penyebab kekhawatiran karena LokiBot adalah salah satu jenis malware paling berbahaya dan tersebar luas saat ini. Juga dikenal sebagai Loki atau Loki PWS, trojan LokiBot adalah apa yang disebut sebagai “pencuri informasi”.

Ia bekerja dengan menginfeksi komputer dan kemudian menggunakan kemampuan bawaannya untuk mencari aplikasi yang diinstal secara lokal dan mengekstrak kredensial dari database internal mereka.

Secara default, LokiBot dapat menargetkan browser, klien email, aplikasi FTP, dan dompet cryptocurrency.

Security Advisory CISA mengenai LokiBot yang diterbitkan berisi saran deteksi dan mitigasi untuk menangani serangan dan infeksi LokiBot.

Security Advisory dapat diakses melalui link di bawah;
Source: CISA Advisory | ZDNet

Security Minggu ini: Active Directory telah berakhir, Authentikasi Dua Factor Tidak Sempurna, dan Politisi sebagai Peretas

by

Berita paling besar minggu ini adalah kelemahan besar pada Active Directory Microsoft, CVE-2020-1472 (whitepaper). Netlogon adalah bagian dari skema domain Windows, dan digunakan untuk mengotentikasi pengguna tanpa benar-benar mengirim sandi melalui jaringan. Versi Windows modern menggunakan AES-CFB8 sebagai mesin kriptografi yang mendukung otentikasi Netlogon. Mode khusus AES ini mengambil vektor inisialisasi (IV) bersama dengan kunci dan teks biasa. Kelemahannya di sini adalah bahwa implementasi Microsoft menetapkan IV ke semua nol.

Proses enkripsi AES dasar memiliki dua input: teks biasa 128 bit (16 byte), dan kunci 128, 192, atau 256 bit. Plaintext dan key yang sama akan menghasilkan output ciphertext yang sama setiap saat. Mengenkripsi lebih dari 128 bit data dengan pendekatan naif ini akan segera mengungkap masalah – Sangat mungkin untuk menemukan pola dalam keluaran. Lebih buruk lagi, pemeriksaan pola yang cerdas dapat membangun buku decoding. Pola 16 byte yang paling sering muncul akan ditebak terlebih dahulu. Ini akan menjadi seperti teka-teki silang raksasa, mencoba mengisi kekosongan.

Netlogon, di sisi lain, menggunakan mode Cipher FeedBack (CFB8) dari AES. Mode ini membutuhkan 16 byte IV, dan menambahkan nilai itu ke data yang akan dienkripsi. Operasi AES dasar dilakukan pada 16 byte pertama dari pesan ini (hanya IV). Byte pertama dari output adalah XOR dengan byte ke-17 dari string gabungan, dan kemudian jendela 16 byte bergeser satu byte ke kanan. Ketika byte terakhir dari pesan teks biasa telah di-XOR, IV dijatuhkan dan proses selesai. Konstruksi khusus AES-CFB8 berarti IV acak jauh lebih penting untuk enkripsi yang kuat.

Ingat kelemahannya? Implementasi Microsoft menetapkan nilai IV itu sebagai nol semua. Kunci enkripsi dihasilkan dari kata sandi, tetapi teks biasa yang akan dienkripsi dapat ditentukan oleh penyerang. Cukup mudah untuk memanipulasi situasi sedemikian rupa sehingga seluruh string IV + Plaintext terdiri dari nol. Dalam keadaan ini, 1-dalam-256 kunci akan menghasilkan ciphertext nol. Dengan kata lain, keamanan 128-bit AES dikurangi menjadi 8-bit. Hanya dalam beberapa tebakan, penyerang dapat menggunakan Netlogon untuk mengotentikasi sebagai pengguna mana pun.

Microsoft telah memperbaiki masalah ini dalam pembaruan keamanan Agustus mereka. Meskipun benar bahwa mengeksploitasi masalah ini membutuhkan pijakan di jaringan, eksploitasinya sederhana dan bukti kode konsep sudah tersedia. Ini jelas merupakan masalah untuk segera dipatch.

Lihat Artikel lebih lanjut disini

Ketika 2FA Membuat Anda Kurang Aman

Beberapa tindakan keamanan bersifat universal seperti “Aktifkan autentikasi dua faktor”. Ada sedikit celah di sana. sebenarnya, 2FA menambahkan permukaan serangan ekstra. Palo Alto menemukan ini dengan cara yang sulit dengan sistem PAN-OS mereka. Dengan 2FA atau captive portal diaktifkan, dimungkinkan untuk mengeksploitasi buffer overflow dan mengeksekusi kode sebagai root. Karena antarmuka yang akan dieksploitasi sering diekspos ke publik, kerentanan ini mendapat skor kritis 9,8.

Skimmer Kartu Virtual CardBleed

Magento adalah platform e-niaga yang dimiliki oleh Adobe sejak 2018. Sederhananya, ini adalah sistem keranjang belanja untuk situs web. Dalam beberapa hari terakhir, tampaknya hampir 2.000 instans Magento v1 telah disusupi, dengan skimmer digital dipasang di situs tersebut. Eksploitasi yang cepat akan menunjukkan bahwa seseorang memiliki database situs bertenaga Magento, dan memperoleh eksploitasi zero-day yang dapat diotomatiskan.

Hacking Politicians for Fun and Profit

Trio peretas Belanda berhasil membobol akun twitter Donald Trump pada tahun 2016, tepat sebelum pemilihan. Bagaimana? Kisah yang sama yang kita semua kenal: penggunaan ulang kata sandi dan dump database LinkedIn. Fakta mengejutkan, kata sandi favorit Donald Trump adalah “yourefired” (“anda dipecat”).

Dalam cerita serupa, mantan perdana menteri Australia memposting gambar online yang berisi boarding pass-nya, dan seorang peneliti yang banyak akal berhasil menggunakan informasi itu untuk mendapatkan kembali paspor dan nomor teleponnya. Tahukah Anda bahwa boarding pass dianggap sebagai informasi sensitif? Untuk mengotentikasi dengan maskapai penerbangan, yang diperlukan hanyalah nama belakang dan nomor referensi pemesanan yang cocok. Ini memberi Anda akses ke laman yang sangat tidak menarik, tetapi ketika Anda memiliki akses ke 1337 alat peretas, langit adalah batasnya. Rupanya backend situs web Qantas mengirimkan semua yang ada di database tentang pelanggan tertentu, dan hanya sedikit dari informasi itu yang ditampilkan kepada pengguna. Jauh lebih banyak informasi yang menunggu untuk diendus.

Tor 0-Day?

[Dr. Neal Krawetz] menjalankan layanan tersembunyi TOR, dan mendapati dirinya menjadi korban serangan DDoS melalui jaringan TOR. Dia menelepon seorang teman yang melakukan keamanan jaringan secara profesional, dan meminta bantuan. Setelah membaca setengah dari alamat IP publik tempat tinggal server hosting, temannya memberi tahu alamat lainnya. Mari kita pikirkan proses itu. Layanan TOR tersembunyi sedang diserang, seseorang dengan akses ke Network Operations Center (NOC) yang cukup besar dapat mengetahui apa alamat IP Publik dari layanan itu. Ini adalah jeda mendasar dalam tujuan TOR.

Source : Hackday

Maze Ransomware Mengadopsi Teknik Virtual Machine Ragnar Locker

by

Penjahat Ransomware, Maze, telah menambahkan teknik baru: Mendistribusikan ransomware melalui mesin virtual (VM). Ini adalah pendekatan yang cukup “radikal”, menurut peneliti, hal ini dimaksudkan untuk membantu ransomware melewati pertahanan terakhir.

Menurut peneliti dari Sophos Managed Threat Response (MTR) pelaku baru-baru ini terlihat menyebarkan malware dalam bentuk gambar disk virtual VirtualBox (file VDI). File VDI itu sendiri dikirim di dalam file MSI Windows, yang merupakan format yang digunakan untuk penginstalan, penyimpanan, dan penghapusan program. “penyerang juga menggabungkan salinan VirtualBox hypervisor berusia 11 tahun yang telah dipreteli di dalam file .MSI, yang menjalankan VM sebagai perangkat ‘headless’, tanpa perlu menggunakan UI, ”kata peneliti.

Peneliti Sophos, menambahkan, “Ragnar Locker dipasang di dalam mesin virtual Oracle VirtualBox Windows XP. dengan file installer sebesar 122 MB dan image virtual 282 MB, semuanya untuk menyembunyikan ransomware 49 KB yang dapat dieksekusi.”

Detail Teknis

Dalam insiden ransomware Maze, File installer sebesar 733 MB dengan image virtual Windows 7 sebesar 1,9 GB, kedua file itu untuk menyembunyikan ransomware 494 KB yang dapat dieksekusi.

Sumber dari disk virtual berisi tiga file yang terkait dengan ransomware Maze: preload.bat, vrun.exe (VM itu sendiri) dan file yang bernama payload (tanpa ekstensi), yang merupakan muatan Maze DLL yang sebenarnya.

Untuk persistensi, mereka menambahkan file bernama startup_vrun.bat ke menu Start Windows.

“Skrip ini menyalin tiga file yang sama yang ditemukan di root disk VM (biner vrun.exe dan payload DLL, serta skrip batch preload.bat) ke disk lain, lalu menjalankan perintah untuk segera mematikan komputer,” menurut analisis. “Saat seseorang menyalakan komputer lagi, skrip mengeksekusi vrun.exe.”

Saat file MSI pertama kali dijalankan, VM membuat lokasi folder C:\SDRSMLINK\, yang bertindak sebagai clearinghouse untuk folder tertentu yang ingin dilacak malware – Labirin melakukannya menggunakan tautan simbolis (symlink), yang bertindak sebagai pintasan ke folder di hard drive lokal. Folder ini dibagikan dengan seluruh jaringan.

Pada akhirnya, skrip batch yang disebut starter.bat digunakan untuk meluncurkan muatan ransomware dari dalam VM.

Source : Threatpost