Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Kelompok Hacker Iran Mengembangkan Malware Android Untuk Mencuri Kode SMS 2FA

by

Perusahaan keamanan siber Check Point menemukan grup hacker Iran yang mengembangkan malware Android khusus, malware ini mampu mencuri kode otentikasi dua faktor (2FA) yang dikirim melalui SMS.
Malware itu adalah bagian dari alat peretasan yang dikembangkan oleh grup Rampant Kitten, sebuah julukan yang diberikan oleh perusahaan itu.

Kampanye ini melibatkan penggunaan spektrum luas keluarga malware, termasuk empat varian infostealer Windows dan pintu belakang Android yang disamarkan di dalam aplikasi berbahaya.
Strain malware Windows terutama digunakan untuk mencuri dokumen pribadi korban, tetapi juga file dari klien desktop Windows Telegram, yang memungkinkan peretas mengakses akun Telegram korban.

APLIKASI ANDROID DENGAN KEMAMPUAN MENCURI 2FA

Selain memakai trojan Windows, Rampant Kitten juga mengembangkan alat serupa untuk Android.

Dalam sebuah laporan yang diterbitkan hari ini, Check Point mengatakan mereka juga menemukan backdoor Android yang kuat yang dikembangkan oleh kelompok tersebut. Backdoor dapat mencuri daftar kontak korban, pesan SMS, merekam korban melalui mikrofon, dan menampilkan halaman phishing secara diam-diam.

Skenarionya adalah, operator Rampant Kitten akan menggunakan trojan Android untuk menampilkan halaman phishing Google, menangkap kredensial akun pengguna, dan kemudian mengakses akun korban.

Jika korban mengaktifkan 2FA, fungsi penyadapan SMS 2FA dari malware akan secara diam-diam mengirimkan salinan kode SMS 2FA ke penyerang, memungkinkan mereka untuk melewati keamanan 2FA.

Untuk saat ini, Check Point mengatakan hanya menemukan malware ini dalam aplikasi Android yang menyamar sebagai aplikasi penutur bahasa Persia di Swedia untuk mendapatkan SIM mereka. Namun, malware tersebut bisa saja bersembunyi di dalam aplikasi lain yang ditujukan untuk orang Iran yang menentang rezim Teheran, yang tinggal di dalam dan di luar Iran.

Source : ZDNet

Ransomware Ini Mempunyai Trik Licik Untuk Mengirimkan Malware

by

Salah satu penjahat ransomware yang paling berbahaya merapkan taktik baru untuk membuat serangan tidak terdeteksi hingga, trik ini kemungkinan besar dipinjam dari grup ransomware lain.
Yang membuat Maze sangat berbahaya adalah selain memeras bitcoin berjumlah 6 digit untuk sebuah kunci dekripsi, mereka mengancam akan menerbitkan data internal yang dicuri jika tuntutan pemerasan mereka tidak dipenuhi.

Taktik ini sebelumnya digunakan oleh grup ransomware Ragnar Locker dan tampaknya Maze telah mengambil inspirasi dari mereka sebagai sarana untuk mengirimkan ransomware.
Peneliti keamanan siber di Sophos menemukan kesamaan antara taktik baru Maze dan teknik yang dipelopori oleh Ragnar Locker saat menyelidiki serangan ransomware Maze pada bulan Juli.

Menggunakan akses ke server file, para peretas dapat mengirimkan komponen yang diperlukan untuk serangan di dalam mesin virtual.
Cara mesin virtual diprogram menunjukkan bahwa penyerang sudah memiliki kendali yang kuat pada jaringan korban saat, tetapi dengan menyebarkan ransomware melalui mesin virtual, itu membantu mereka terdeteksi sebagai serangan sampai serangan dimulai dan jaringan dapat ditahan untuk tebusan.

“Mesin virtual memberikan penyerang mesin yang tidak terlindungi untuk menjalankan ransomware secara bebas tanpa takut terdeteksi,” kata Peter McKenzie, manajer respons insiden di Sophos.

Organisasi dapat melindungi dari serangan yang disebarkan dengan cara memblokir penggunaan aplikasi yang tidak perlu pada mesin, sehingga penyerang tidak dapat mengeksploitasinya.

Langkah-langkah lain yang dapat diambil organisasi untuk menghindari menjadi korban serangan ransomware termasuk memastikan bahwa patch keamanan diterapkan sesegera mungkin untuk mencegah peretas mengeksploitasi kerentanan yang diketahui, sorganisasi juga harus menerapkan multi- otentikasi faktor atau MFA

“Perlindungan terhadap serangan ransomware tidak hanya membutuhkan perangkat lunak keamanan canggih, tetapi juga pemburu ancaman dan tim Incident Response yang dapat melihat tanda-tanda penyusup di jaringan mereka dan mengambil tindakan yang sesuai untuk menetralkan ancaman,” kata McKenzie

Source : ZDNet

Malware Polisi Eropa Dapat Mengambil GPS, Pesan, Kata Sandi dan Lainnya

by

Malware yang disebarkan oleh penegak hukum Prancis secara massal ke perangkat Encrochat, jaringan telepon terenkripsi besar menggunakan ponsel Android, memiliki kemampuan untuk memanen “semua data yang disimpan di dalam perangkat,” termasuk pesan obrolan, data geolokasi, nama pengguna, kata sandi , dan lebih banyak lagi, menurut dokumen yang diperoleh Motherboard.

Dokumen tersebut menambahkan lebih spesifik seputar peretasan penegakan hukum dan penghapusan Encrochat berikutnya awal tahun ini.

Kelompok kejahatan terorganisir di seluruh Eropa dan seluruh dunia banyak menggunakan jaringan ini sebelum penyitaannya, dalam banyak kasus untuk memfasilitasi perdagangan narkoba skala besar.

Operasi tersebut adalah salah satu operasi peretasan massal penegakan hukum terbesar hingga saat ini, dengan penyelidik mendapatkan lebih dari seratus juta pesan terenkripsi.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Vice

Malware CDRThief baru menargetkan softswitch VoIP untuk mencuri catatan detail panggilan

by

Peneliti keamanan dari firma keamanan siber Slovakia ESET mengatakan hari ini mereka menemukan bagian yang sangat langka dari malware Linux yang menargetkan sakelar telepon Voice-over-IP (VoIP) dengan tujuan akhir mencuri metadata detail panggilan.

Untuk saat ini, para peneliti mengatakan mereka hanya melihat malware dan menganalisis perilakunya, tetapi tidak yakin 100% siapa yang mengembangkannya, dan untuk tujuan apa.

Teori yang dipertimbangkan termasuk bahwa malware, yang mereka beri nama CDRThief , dapat digunakan untuk spionase dunia maya atau untuk jenis skema penipuan telepon yang dikenal sebagai International Revenue Share Fraud (IRSF).

Tetapi terlepas dari tujuan akhirnya, kesimpulan umum dari tim ESET adalah bahwa CDRThief dikembangkan oleh aktor ancaman dengan pengetahuan mendalam tentang lanskap VoIP.

Sebagai permulaan, malware hanya menargetkan dua softswitch VoIP yang berjalan di server Linux. Softswitch VoIP adalah program perangkat lunak yang berjalan di server biasa dan dirancang untuk merutekan panggilan menggunakan perangkat lunak, bukan perangkat keras khusus.

Kedua, CDRThief hanya menargetkan dua program softswitch, yaitu sistem VOS2009 dan VOS3000 dari perusahaan China Linknat.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Prancis, Jepang, Selandia Baru memperingatkan lonjakan dalam serangan Emotet

by

Agen keamanan siber dari Prancis, Jepang, dan Selandia Baru telah menerbitkan peringatan keamanan selama seminggu terakhir yang memperingatkan tentang peningkatan besar dalam serangan malware Emotet yang menargetkan masing-masing negara.

Aktivitas Emotet yang dijelaskan dalam peringatan mengacu pada kampanye spam email yang berasal dari infrastruktur Emotet dan perusahaan yang ditargetkan serta lembaga pemerintah di tiga negara.

Joseph Roosen, anggota Cryptolaemus, kelompok peneliti keamanan yang melacak kampanye malware Emotet, mengatakan kepada ZDNet bahwa botnet Emotet sangat aktif dalam beberapa pekan terakhir, dan terutama aktif di tiga negara.

Menurut ketiga peringatan tersebut, serangannya tampak sama.

Operator emotet menggunakan trik lama mereka untuk menginfeksi satu korban dan kemudian mencuri utas email lama. Grup kemudian akan menghidupkan kembali percakapan lama ini, menambahkan file berbahaya sebagai lampiran, dan menargetkan pengguna baru dengan percakapan yang terlihat sah.

Pengguna di percakapan, atau yang ditambahkan, akan sering membuka lampiran file berbahaya yang ditambahkan ke utas email karena penasaran dan terinfeksi.

Tim analis Naga Cyber Defense sendiri telah berhasil mendeteksi adanya malware Emotet di Indonesia. Kami sangat menyarankan untuk cek alamat email pengirim dahulu sebelum membuka dan mengunduh sebuah lampiran pada email.

 
Source: ZDNet

Geng malware menggunakan library .NET untuk menghasilkan dokumen Excel yang melewati pemeriksaan keamanan

by

Geng malware yang baru ditemukan menggunakan trik cerdas untuk membuat file Excel berbahaya yang memiliki tingkat deteksi rendah dan peluang lebih tinggi untuk menghindari sistem keamanan.

Ditemukan oleh peneliti keamanan dari NVISO Labs, geng malware ini – yang mereka beri nama Epic Manchego – telah aktif sejak Juni, menargetkan perusahaan di seluruh dunia dengan email phishing yang membawa dokumen Excel berbahaya. File Excel yang berbahaya ini melewati pemindai keamanan dan memiliki tingkat deteksi yang rendah.

Menurut NVISO, ini karena dokumen tidak dikompilasi dalam perangkat lunak Microsoft Office standar, tetapi dengan library .NET yang disebut EPPlus.

Pengembang biasanya menggunakan bagian library ini dari aplikasi mereka untuk menambahkan fungsi “Ekspor sebagai Excel” atau “Simpan sebagai spreadsheet”. Library dapat digunakan untuk menghasilkan file dalam berbagai format spreadsheet, dan bahkan mendukung Excel 2019.

NVISO mengatakan bahwa geng Epic Manchego tampaknya telah menggunakan EPPlus untuk menghasilkan file spreadsheet dalam format Office Open XML (OOXML).

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Enam aplikasi yang berisi malware Joker dihapus dari Google Play Store

by

Peneliti cybersecurity telah membuka kedok enam aplikasi di Google Play store dengan total gabungan lebih dari 200.000 unduhan dalam contoh lain dari malware yang sangat persisten yang telah mengganggu pengguna Android selama tiga tahun terakhir.

Malware Joker berpura-pura menjadi aplikasi yang sah di Play Store. Namun setelah terinstall, malware tersebut melakukan penipuan penagihan dengan mengirim pesan SMS ke nomor bertarif premium atau menggunakan akun korban untuk berulang kali melakukan pembelian menggunakan tagihan WAP.

Aktivitas tersebut terjadi di belakang layar dan tanpa interaksi apapun dari pengguna. Ini berarti mereka sering tidak mengetahui bahwa mereka telah ditipu sampai mereka menerima tagihan telepon yang penuh dengan biaya tambahan.

Dari enam aplikasi yang ditemukan mengandung malware Joker, salah satunya disebut ‘Convenient Scanner 2’ telah diunduh lebih dari 100.000 kali, sementara ‘Separate Doc Scanner’ telah diunduh oleh 50.000 pengguna.

Aplikasi lain, ‘Safety AppLock’, yang mengklaim untuk ‘melindungi privasi Anda’ dan telah diinstal 10.000 kali oleh korban yang malang yang pada akhirnya akan menemukan bahwa unduhan berbahaya itu merugikan, bukan melindungi, mereka.

Dua aplikasi lainnya juga telah menerima 10.000 unduhan masing-masing – ‘Push Message-Texting & SMS’ dan ‘Emoji Wallpaper’, sementara satu aplikasi bernama Fingertip GameBox telah diunduh 1.000 kali.

Enam aplikasi tersebut kini telah dihapus dari Play Store setelah diungkapkan ke Google oleh Pradeo. Pengguna yang memiliki aplikasi yang telah di sebutkan di atas, disarankan untuk segera menghapusnya.

Source: ZDNet

Apple memerangi malware Mac yang menyamar sebagai Adobe Flash setelah disahkan secara tidak sengaja

by

Meskipun perangkat Apple biasanya lebih aman daripada yang lain, bukan berarti perangkat tersebut kebal terhadap serangan siber.

Dalam kasus Mac, sebuah laporan baru menyoroti bagaimana Apple secara tidak sengaja menyetujui salah satu ancaman malware paling umum untuk dijalankan pada versi terbaru macOS. Sementara kerentanan aslinya dengan cepat diperbaiki, kerentanan serupa lainnya telah muncul.

Dilaporkan oleh TechCrunch, peneliti keamanan Peter Dantini dan Patrick Wardle menemukan bahwa Apple secara tidak sengaja mengesahkan malware populer yang bersembunyi di dalam pembaruan Flash Player. Khususnya, malware “Shlayer” yang dianggap oleh Kaspersky sebagai ancaman yang paling mungkin dialami Mac pada tahun 2019.

Wardle percaya ini adalah pertama kalinya malware seperti ini secara keliru disetujui oleh Apple selama proses tinjauan dan itu memengaruhi versi macOS terbaru, bahkan Big Sur beta (versi beta macOS yang belum dirilis).

Setelah Dantini dan Wardle menemukan malware tersebut, Apple memperbaiki masalah tersebut pada 28 Agustus. Ancaman keamanan dari adware ini terlihat relatif rendah tetapi tentu saja, masih merupakan sesuatu yang ingin dicegah oleh Apple.

Namun, Wardle mengungkapkan pada blog nya bahwa kampanye adware tersebut masih aktif dan menyajikan muatan baru.

Ia mengatakan, “Payload lama dan “baru” tampaknya hampir identik, berisi OSX.Shlayer yang dikemas dengan adware Bundlore”.

Baca berita selengkapnya pada tautan di bawah ini;
Source: 9to5mac