Malware

Google menandai aplikasi yang dibuat oleh raksasa e-commerce China yang populer sebagai Malware

March 24, 2023 by Coffee Bean

Google telah menandai beberapa aplikasi yang dibuat oleh raksasa e-commerce China sebagai malware, memperingatkan pengguna yang menginstalnya, dan menangguhkan aplikasi resmi perusahaan.

Dalam beberapa minggu terakhir, beberapa peneliti keamanan China menuduh Pinduoduo, raksasa e-commerce yang sedang naik daun dengan hampir 800 juta pengguna aktif, membuat aplikasi untuk Android yang berisi malware yang dirancang untuk memantau pengguna.

Secara efektif, Google telah menetapkan Google Play Protect, mekanisme keamanan Android-nya, untuk memblokir pengguna agar tidak menginstal aplikasi berbahaya ini, dan memperingatkan mereka yang sudah menginstalnya, meminta mereka untuk menghapus aplikasi tersebut.

Meminta anonimitas, seorang peneliti keamanan memberi tahu TechCrunch tentang klaim terhadap aplikasi tersebut, dan mengatakan analisis mereka juga menemukan bahwa aplikasi tersebut mengeksploitasi beberapa eksploitasi zero-day untuk meretas pengguna.

Sebagai pengujian, TechCrunch memasang salah satu aplikasi yang dicurigai, yang memicu peringatan bahwa aplikasi tersebut mungkin berbahaya.

Penting untuk dicatat bahwa Google Play tidak tersedia di China, dan menurut peneliti keamanan, aplikasi tersebut hadir di toko aplikasi khusus Samsung, Huawei, Oppo, dan Xiaomi.

selengkapnya : techcrunch.com

Botnet Baru ‘Hinatabot’ Dapat Meluncurkan Serangan DDOS 3,3 Tbps yang Sangat Besar

March 24, 2023 by Flamango

Botnet malware baru ditemukan menargetkan Realtek SDK, router Huawei, dan server Hadoop Yarn untuk merekrut perangkat ke DDOS (Denial of Service) yang didistribusikan dengan potensi serangan besar-besaran.

Ditemukan oleh para peneliti di Akamai pada awal tahun, menangkapnya di honeypots HTTP dan SSH mereka, terlihat mengeksploitasi kelemahan lama seperti CVE-2014-8361 dan CVE-2017-17215.

Operator Hinatabot awalnya mendistribusikan binari Mirai, sementara Hinatabot pertama kali muncul pada pertengahan Januari 2023. Tampaknya didasarkan pada Mirai dan merupakan varian berbasis GO dari ketegangan terkenal.

Setelah menangkap beberapa sampel dari kampanye aktif baru-baru ini pada Maret 2023, para peneliti Akamai menyimpulkan bahwa malware sedang dalam pengembangan aktif, menampilkan peningkatan fungsional dan penambahan anti-analisis.

Kekuatan DDOS yang Signifikan
Malware didistribusikan oleh titik akhir SSH yang memuat brute atau menggunakan skrip infeksi dan muatan RCE untuk kerentanan yang diketahui.

Setelah menginfeksi perangkat, malware akan berjalan diam-diam, menunggu perintah untuk dieksekusi dari server perintah dan kontrol.

Hinatabot masih dalam pengembangan dan mungkin menerapkan lebih banyak eksploitasi dan memperluas ruang lingkup penargetan kapan saja. Selain itu, fakta bahwa perkembangannya sangat aktif meningkatkan kemungkinan melihat versi yang lebih kuat beredar di alam liar segera.

Selengkapnya: BleepingComputer

Malware Pesanan ‘NapListener’, Sebuah Mimpi Buruk untuk Deteksi Berbasis Jaringan

March 24, 2023 by Flamango

Aktor ancaman menggunakan aset jaringan yang sah dan kode open-source untuk terbang di bawah radar dalam serangan mencuri data menggunakan serangkaian malware kustom yang ditekuk pada penghindaran.

Peneliti mengamati Naplistener dalam bentuk baru yang dapat dieksekusi, dibuat dan diinstal pada jaringan korban sebagai layanan Windows pada 20 Januari. Aktor ancaman menciptakan yang dapat dieksekusi, wmdtc.exe, menggunakan konvensi penamaan yang mirip dengan biner sah yang digunakan oleh tersebut Layanan Koordinator Transaksi Terdistribusi Microsoft.

Fokus pada penghindaran deteksi
Menurut King, Naplistener adalah yang terbaru dari serangkaian jenis malware pesanan baru yang telah diamati oleh para peneliti elastis Ref2924 dalam serangannya yang mendukung fokus khusus pada menghindari deteksi berbasis jaringan. Kesamaan yang dimiliki keluarga malware baru ini yaitu mereka menggunakan aset jaringan yang akrab dan sah untuk menutupi kegiatan mereka.

Sementara kelompok ancaman lain juga mengadopsi pendekatan ini dengan malware pesanan, mereka melakukannya lebih jarang, dan kurang konsisten daripada ref2924. Catatannya menunjukkan bahwa Ref2924 bertaruh berat untuk menghindari deteksi untuk sukses.

Menurut para peneliti, secara khusus NapListener membuat pendengar permintaan HTTP yang dapat memproses permintaan yang masuk dari Internet, membaca data apa pun yang dikirimkan, memecahkan kode dari format Base64, dan menjalankannya dalam memori.

Melampaui deteksi tingkat jaringan
Perusahaan dalam garis silangnya dapat menghindari kompromi oleh kelompok terutama dengan memprioritaskan teknologi deteksi berbasis titik akhir, lebih dikenal sebagai deteksi dan respons titik akhir (EDR), karena REF2024 sangat fokus pada menghindari metode deteksi berbasis jaringan.

Teknologi lain yang dapat digunakan organisasi untuk memerangi malware yang dapat menghindari deteksi berbasis jaringan adalah penyaringan keluar, atau membatasi jenis komunikasi jaringan keluar yang diizinkan.

Selengkapnya: DARKReading

Geng Ransomware BianLian Mengalihkan Fokus ke Pemerasan Data Murni

March 18, 2023 by Coffee Bean

Laporan yang disunting bahwa operator BianLian tetap mempertahankan akses awal dan teknik gerakan lateral yang sama dan terus menerapkan backdoor berbasis Go kustom yang memberi mereka akses jarak jauh pada perangkat yang disusupi, meskipun versinya sedikit lebih baik.

Pelaku ancaman memposting korban mereka dalam bentuk topeng secepat 48 jam setelah pelanggaran di situs pemerasan mereka, memberi mereka kira-kira sepuluh hari untuk membayar uang tebusan.

Pada 13 Maret 2023, BianLian telah mendaftarkan total 118 organisasi korban di portal pemerasan mereka, dengan sebagian besar (71%) adalah perusahaan yang berbasis di A.S.

Perbedaan utama yang terlihat dalam serangan baru-baru ini adalah bahwa BianLian berupaya memonetisasi pelanggarannya tanpa mengenkripsi file korban. Sebaliknya, sekarang hanya mengandalkan ancaman untuk membocorkan data yang dicuri.

“Grup berjanji bahwa setelah mereka dibayar, mereka tidak akan membocorkan data yang dicuri atau mengungkap fakta bahwa organisasi korban telah mengalami pelanggaran. BianLian menawarkan jaminan ini berdasarkan fakta bahwa “bisnis” mereka bergantung pada reputasi mereka,” sebut Disunting dalam laporan.

Tidak diketahui apakah BianLian mengabaikan taktik enkripsi karena Avast merusak enkripsi mereka atau karena peristiwa ini membantu mereka menyadari bahwa mereka tidak memerlukan bagian rantai serangan itu untuk memeras korban agar membayar uang tebusan.

Perlu disebutkan bahwa ketika Avast merilis decryptor gratisnya, BianLian meremehkan pentingnya, mengatakan itu hanya akan bekerja pada versi awal “musim panas 2022” dari ransomware dan akan merusak file yang dienkripsi oleh semua build berikutnya.

selengkapnya : bleepingcomputer

Perpesanan yang tidak terlalu pribadi: Aplikasi WhatsApp dan Telegram yang di-Trojan mengejar dompet mata uang kripto

March 18, 2023 by Søren

Peneliti ESET telah menemukan lusinan peniru Telegram dan situs web WhatsApp yang menargetkan terutama pengguna Android dan Windows dengan versi trojan dari aplikasi pesan instan ini. Sebagian besar aplikasi jahat yang kami identifikasi adalah pemangkas – jenis malware yang mencuri atau mengubah konten papan klip.

Semuanya mengejar dana cryptocurrency korban, dengan beberapa dompet cryptocurrency penargetan. Ini adalah pertama kalinya peneliti melihat gunting Android yang berfokus secara khusus pada perpesanan instan.

Selain itu, beberapa aplikasi ini menggunakan pengenalan karakter optik (OCR) untuk mengenali teks dari tangkapan layar yang disimpan di perangkat yang disusupi, yang merupakan yang pertama untuk malware Android.

Sebelum pembentukan Aliansi Pertahanan Aplikasi, peneliti menemukan pemangkas Android pertama di Google Play, yang membuat Google meningkatkan keamanan Android dengan membatasi operasi papan klip di seluruh sistem untuk aplikasi yang berjalan di latar belakang untuk Android versi 10 dan lebih tinggi.

Seperti yang sayangnya ditunjukkan oleh temuan terbaru peneliti, tindakan ini tidak berhasil menghilangkan masalah sepenuhnya: peneliti tidak hanya mengidentifikasi pemotong pesan instan pertama, peneliti menemukan beberapa kelompoknya.

Tujuan utama clippers yang peneliti temukan adalah untuk mencegat komunikasi perpesanan korban dan mengganti alamat dompet cryptocurrency yang dikirim dan diterima dengan alamat milik penyerang. Selain aplikasi Android WhatsApp dan Telegram yang di-trojan, peneliti juga menemukan versi Windows yang di-trojan dari aplikasi yang sama.

Tentu saja, ini bukan satu-satunya aplikasi peniru yang mengejar mata uang kripto – baru pada awal tahun 2022, peneliti mengidentifikasi pelaku ancaman yang berfokus pada pengemasan ulang aplikasi mata uang kripto sah yang mencoba mencuri frase pemulihan dari dompet korban mereka.

Selengkapnya: We Live Security

Bagaimana FBI membuktikan bahwa alat admin jarak jauh sebenarnya adalah malware

March 11, 2023 by Søren

Pada hari Kamis, pemerintah AS mengumumkan telah menyita situs web yang digunakan untuk menjual malware yang dirancang untuk memata-matai komputer dan ponsel.

Malware tersebut disebut NetWire, dan selama bertahun-tahun beberapa perusahaan keamanan siber, dan setidaknya satu lembaga pemerintah, telah menulis laporan yang merinci bagaimana peretas menggunakan malware tersebut. Sementara NetWire juga dilaporkan diiklankan di forum peretasan, pemilik malware memasarkannya di situs web yang membuatnya terlihat seperti alat administrasi jarak jauh yang sah.

“NetWire dirancang khusus untuk membantu bisnis menyelesaikan berbagai tugas yang berhubungan dengan pemeliharaan infrastruktur komputer. Ini adalah ‘pusat komando’ tunggal di mana Anda dapat menyimpan daftar semua komputer jarak jauh Anda, memantau status dan inventarisnya, dan menghubungkannya ke salah satu dari mereka untuk tujuan pemeliharaan, ”baca versi situs yang diarsipkan.

Dalam siaran pers yang mengumumkan penyitaan situs web tersebut, yang dihosting di worldwiredlabs.com, Kantor Kejaksaan AS di Distrik Tengah California mengatakan bahwa FBI memulai penyelidikan terhadap situs tersebut pada tahun 2020. FBI menuduh situs tersebut digunakan untuk melakukan pencucian uang internasional, penipuan dan kejahatan komputer.

Seorang juru bicara Kantor Kejaksaan AS memberi TechCrunch salinan surat perintah yang digunakan untuk merebut situs web, yang merinci bagaimana FBI menentukan bahwa NetWire sebenarnya adalah Trojan Akses Jarak Jauh — atau RAT — malware dan bukan aplikasi yang sah untuk dikelola komputer jarak jauh.

Surat perintah tersebut berisi pernyataan tertulis yang ditulis oleh petugas Satuan Tugas FBI yang tidak disebutkan namanya, yang menjelaskan bahwa anggota atau agen Tim Investigasi FBI membeli lisensi NetWire, mengunduh malware, dan memberikannya kepada ilmuwan komputer FBI-LA, yang menganalisisnya pada bulan Oktober. 5 Januari 2020 dan 12 Januari 2021.

Selengkapnya: TechCrunch

Dugaan Kampanye Tiongkok untuk Bertahan di Perangkat SonicWall, Menyoroti Pentingnya Perangkat Tepi Pemantauan

March 10, 2023 by Søren

Mandiant, bekerja dalam kemitraan dengan Tim Keamanan Produk dan Respons Insiden SonicWall (PSIRT), telah mengidentifikasi dugaan kampanye China yang melibatkan pemeliharaan persistensi jangka panjang dengan menjalankan malware pada alat SonicWall Secure Mobile Access (SMA) yang belum ditambal. Malware memiliki fungsi untuk mencuri kredensial pengguna, menyediakan akses shell, dan bertahan melalui peningkatan firmware. Mandiant saat ini melacak aktor ini sebagai UNC4540.

Analisis perangkat yang disusupi mengungkapkan kumpulan file yang memberi penyerang akses yang sangat istimewa dan tersedia ke alat tersebut. Malware terdiri dari serangkaian skrip bash dan biner ELF tunggal yang diidentifikasi sebagai varian TinyShell. Perilaku keseluruhan rangkaian skrip bash berbahaya menunjukkan pemahaman mendetail tentang alat dan disesuaikan dengan baik ke sistem untuk memberikan stabilitas dan kegigihan.

Penyerang berusaha keras untuk stabilitas dan kegigihan perkakas mereka. Ini memungkinkan akses mereka ke jaringan untuk bertahan melalui pembaruan firmware dan mempertahankan pijakan di jaringan melalui Perangkat SonicWall.

Mandiant tidak dapat menentukan asal infeksi, namun malware, atau pendahulunya, kemungkinan besar digunakan pada tahun 2021. Mandiant percaya bahwa akses penyerang tetap ada melalui beberapa pembaruan firmware.

Selengkapnya: Mandiant

Peretas Menyerang Karyawan dari Enam Firma Hukum dengan Malware GootLoader Menggunakan Perjanjian Hukum Palsu dan Lubang Air Berbahaya, lapor eSentire

March 3, 2023 by Coffee Bean

GootLoader adalah malware populer yang memberi pelaku ancaman akses awal ke lingkungan TI korban. Begitu berada di komputer korban, GootLoader diketahui mengunduh GootKit Remote Access Trojan (RAT), ransomware REvil, atau Cobalt Strike, alat populer yang digunakan untuk mendapatkan pijakan di lingkungan target dan memperluas jaringan target.

Sepanjang tahun 2022, sementara infeksi GootLoader terus meningkat menjadi intrusi langsung, tidak ada ransomware yang diamati bahkan ketika penyusup diizinkan untuk memerintah hampir bebas. Dalam kasus tersebut, hanya Koleksi yang diamati. Mengingat target utama GootLoader adalah firma hukum, TRU mengakui kemungkinan bahwa GootLoader telah beralih ke operasi spionase dan eksfiltrasi. Untuk mencapai akses awal, seperti dalam kampanye GootLoader sebelumnya, pelaku ancaman menggunakan peracunan Search Engine Optimization (SEO) untuk memikat dan menginfeksi korban dengan malware GootLoader.

Dalam kampanye ini, cybercriminal mengkompromikan situs web WordPress yang sah (tetapi rentan) dan tanpa sepengetahuan pemilik situs web, menambahkan posting blog baru ke situs tersebut. Judul yang efektif untuk mengelabui karyawan firma hukum termasuk “perjanjian lisan antara pembeli dan penjual real estat dipertimbangkan” (Gambar 1) dan “perjanjian bersama asosiasi petugas pemadam kebakaran profesional.”

rekomendasi
GootLoader: Jangan percayai dokumen yang diposting di forum acak. Memiliki proses bagi karyawan untuk mengunduh dokumen hanya dari sumber tepercaya.

selengkaspnya : esentire

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings