Malware

Malware Baru “Mass Logger” Ini Dapat Menjadi Sangat Besar Penyebarannya

June 17, 2020 by Mally

Keylogger baru, “Mass Logger”, saat ini sedang dilacak oleh Cofense Intelligence. Mereka percaya bahwa malware tersebut dapat secara signifikan mempengaruhi pasar keylogger yang lebih besar serta lanskap ancaman phishing.

Alasan mengapa Cofense begitu khawatir tentang Mass Logger adalah karena seberapa cepat malware tersebut diperbarui. Pembuatnya secara konsisten memperbarui dan meningkatkan Mass Logger dan memungkinkan penjahat siber menyebarkan malware ini untuk mengatasi deteksi dari software keamanan. Perkembangan yang cepat ini juga memungkinkan pembuat Mass Logger untuk dengan cepat menambahkan fitur baru sebagai tanggapan terhadap feedback pelanggan.

Pencipta Mass Logger, yang dikenal sebagai NYANxCAT, juga bertanggung jawab atas beberapa jenis malware terkenal lainnya termasuk LimeRAT, AsyncRAT dan remote access trojan (RAT) lainnya. Malware NYANxCAT biasanya kaya akan fitur dan mudah digunakan yang memungkinkan penggunaan yang mudah oleh aktor ancaman amatir. Namun, banyak fitur yang tergabung dalam Mass Logger cukup canggih seperti kemampuan penyebaran USB-nya.

NYANxCAT terus meningkatkan fungsi Mass Logger melalui pembaruan dan baru-baru ini, 13 pembaruan dirilis hanya dalam periode tiga minggu. Dalam catatan pembaruan, NYANxCAT menjelaskan bahwa target baru telah ditambahkan untuk fungsi pencurian kredensial keylogger dan bahwa langkah-langkah telah diambil untuk mengurangi deteksi otomatis.

Fitur-fitur canggih membantu membedakan Mass Logger dari malware umum lainnya. Misalnya, fungsi yang memungkinkan penjahat siber untuk mencari file dengan ekstensi file tertentu dan mengambilnya.

Untuk bertahan melawan Mass Logger dan ancaman serupa lainnya, Cofense merekomendasikan agar admin jaringan mengawasi sesi FTP atau email yang dikirim dari jaringan lokal yang tidak sesuai dengan standar organisasi mereka.

Source: Tech Radar

Grup Hacker Turla Menggunakan Inbox Gmail Untuk Mengirim Perintah Kepada Malware

May 27, 2020 by Mally

Peneliti keamanan dari ESET telah menemukan serangan baru yang dilakukan oleh Turla, salah satu kelompok peretasan yang disponsori negara paling maju di Rusia.

Serangan-serangan baru itu terjadi pada Januari 2020. Para peneliti ESET mengatakan serangan itu menargetkan tiga entitas terkenal, seperti parlemen nasional di Kaukasus dan dua Kementerian Luar Negeri di Eropa Timur.

Serangan ini, menurut ESET, menggunakan versi terbaru dari malware ComRAT, yang berisi beberapa fitur baru yang cukup pintar.

Malware ComRAT, juga dikenal sebagai Agent.BTZ, adalah salah satu senjata tertua Turla, dan yang mereka gunakan untuk menyedot data dari jaringan Pentagon pada 2008.

Versi terbaru, yang dikenal sebagai ComRAT v4, pertama kali terlihat pada tahun 2017, namun, dalam sebuah laporan yang diterbitkan kemarin, ESET mengatakan mereka telah melihat variasi ComRAT v4 yang mencakup dua fitur baru, seperti kemampuan untuk mengambil log antivirus dan kemampuan untuk mengendalikan malware menggunakan kotak masuk Gmail.

Fitur pertama adalah kemampuan malware untuk mengumpulkan log antivirus dari host yang terinfeksi dan mengunggahnya ke salah satu server perintah dan kontrolnya. Matthieu Faou, peneliti ESET yang menganalisis malware ini, mengatakan kepada ZDNet bahwa operator Turla mungkin mengumpulkan log antivirus agar “memungkinkan mereka untuk lebih memahami jika dan salah satu sampel malware mereka terdeteksi.” Jika operator Turla melihat deteksi, mereka kemudian dapat mengubah malware mereka dan menghindari deteksi di masa depan pada sistem lain, di mana mereka kemudian dapat beroperasi tanpa terdeteksi.

Yang kedua, dan yang baru, adalah penggunaan antarmuka web Gmail. Faou mengatakan bahwa ComRAT v4 terbaru mengambil alih salah satu browser korban, memuat file cookie yang telah ditentukan, dan kemudian memulai sesi ke dasbor web Gmail. Di sini, malware membaca email terbaru di kotak masuk, mengunduh lampiran file, dan kemudian membaca instruksi yang terkandung di dalam file.

Idenya adalah bahwa setiap kali operator Turla ingin mengeluarkan perintah baru untuk instance ComRAT yang berjalan di host yang terinfeksi, peretas hanya perlu mengirim email ke alamat Gmail.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Ribuan Sistem Perusahaan Terinfeksi Oleh Malware Blue Mockingbird Baru

May 27, 2020 by Mally

Ribuan sistem perusahaan diyakini telah terinfeksi dengan malware penambangan cryptocurrency yang dioperasikan oleh kelompok yang dilacak dengan nama Blue Mockingbird.

Ditemukan awal bulan ini oleh analis malware dari perusahaan keamanan cloud Red Canary, kelompok Blue Mockingbird diyakini telah aktif sejak Desember 2019. Para peneliti mengatakan Blue Mockingbird menyerang public-facing server yang menjalankan aplikasi ASP.NET yang menggunakan kerangka Telerik untuk komponen antarmuka pengguna (UI) mereka.

Peretas mengeksploitasi kerentanan CVE-2019-18935 untuk menanam web shell di server yang diserang. Mereka kemudian menggunakan versi teknik Juicy Potato untuk mendapatkan akses tingkat admin dan mengubah pengaturan server untuk mendapatkan (re)boot persistence.

Begitu mereka mendapatkan akses penuh ke suatu sistem, mereka mengunduh dan menginstal XMRRig, aplikasi penambangan cryptocurrency populer untuk cryptocurrency Monero (XMR).

Analis Red Canary mengatakan bahwa jika server IIS yang menghadap publik terhubung ke jaringan internal perusahaan, grup tersebut juga berupaya menyebar secara internal melalui koneksi RDP (Remote Desktop Protocol) atau SMB (Server Message Block) yang tidak diamankan dengan maksimal.

Dalam wawancara email awal bulan ini, Red Canary mengatakan kepada ZDNet bahwa mereka tidak memiliki pandangan penuh tentang operasi botnet ini, tetapi mereka percaya bahwa botnet setidaknya telah membuat 1.000 infeksi sejauh ini, hanya dari jarak pandang terbatas yang mereka miliki. Namun, Red Canary mengatakan jumlah perusahaan yang terkena dampak bisa jauh lebih tinggi, dan bahkan perusahaan yang percaya bahwa mereka aman berisiko terkena serangan.

Baca berita selengkapnya pada link di bawah ini:
Source: ZDNet | Red Canary

Kaiji: Botnet Yang Menargetkan Server dan Perangkat IoT Melalui SSH

May 6, 2020 by Mally

Intezer, sebuah perusahaan keamanan cyber, mengidentifikasi kampanye botnet baru yang berasal dari Cina dan menargetkan server berbasis linux dan perangkat IoT melalui SSH brute force.

Botnet yang diberi nama Kaiji ini, dibangun dari awal menggunakan bahasa pemrograman Golang, yang jarang ada di lanskap botnet IoT. Dan sama sekali tidak menggunakan kode atau modul dari Botnet terkenal lainnya.

“Ekosistem botnet Internet of things (IoT) relatif terdokumentasi dengan baik oleh spesialis keamanan, jarang ditemukan tool botnet yang ditulis dari awal.” kata Paul Litvak, seorang analis malware di Intezer, yang menganalisis kode tersebut dalam sebuah laporan yang diterbitkan hari Senin kemarin.

Ia juga mengatakan bahwa untuk saat ini, botnet tidak dapat menggunakan eksploit untuk menginfeksi perangkat yang tidak ditambal. Sebaliknya, botnet Kaiji mengeksekusi serangan brute-force terhadap perangkat IoT dan server Linux yang membiarkan port SSH mereka terbuka di internet.

Hanya akun “root” yang ditargetkan, kata Litvak. Alasannya adalah bahwa botnet memerlukan akses root ke perangkat yang terinfeksi untuk memanipulasi paket jaringan mentah untuk serangan DDoS yang ingin mereka lakukan, dan operasi lain yang ingin mereka lakukan.

Lebih lengkapnya dapat dibaca pada artikel di bawah ini:
Source: ZDNet | Intezer

Hacker Menargetkan Pekerja Jarak Jauh Dengan Installer Zoom Palsu

May 5, 2020 by Mally

Kebutuhan untuk bekerja dari rumah adalah sesuatu yang penjahat cyber coba manfaatkan baru-baru ini. Para peneliti di perusahaan cybersecurity TrendMicro telah mengungkap kampanye penjahat cyber baru yang mencoba mengelabui pekerja untuk memasang RevCode WebMonitor RAT, bukannya aplikasi Zoom.

Para peneliti menekankan bahwa perangkat lunak yang dikompromikan itu tidak berasal dari pusat unduhan Zoom sendiri atau toko aplikasi resmi – melainkan unduhan yang berasal dari situs web pihak ketiga yang berbahaya. Kemungkinan korban tertarik untuk mengunduh tautan jahat yang dikirim dalam email phising dan pesan lainnya.

Setelah file diunduh, ia menjalankan installer yang akan menginstall software konferensi video, serta mengeksekusi alat akses jarak jauh WebMonitor. Namun, WebMonitor akan berakhir dengan sendirinya jika dijalankan di virtual machine – metode pertahanan dalam upaya mencegah deteksi dan pemeriksaan oleh peneliti keamanan.

Cara terbaik agar pengguna tidak menjadi korban dalam serangan semacam ini adalah dengan hanya mengunduh installer dari sumber resmi – dan jika seseorang mengirim email berisi tautan untuk mengunduh aplikasi kepada Anda, sebaiknya kunjungi situs web resminya dan unduh sendiri.

Baca cerita selengkapnya pada tautan di bawah ini:
Source: ZDNet

EventBot, Malware Android Baru Yang Mencuri Kata Sandi Perbankan Dan Kode Dua Faktor

May 3, 2020 by Mally

Peneliti keamanan telah menemukan malware Android baru yang menargetkan aplikasi perbankan dan dompet cryptocurrency.

Malware, yang diberi nama EventBot oleh peneliti di perusahaan keamanan Cybereason, menyamar sebagai aplikasi Android yang sah – seperti Adobe Flash atau Microsoft Word untuk Android – yang menyalahgunakan fitur aksesibilitas bawaan Android untuk mendapatkan akses yang dalam sistem operasi perangkat.

Setelah diinstal, aplikasi palsu yang terinfeksi EventBot secara diam-diam mencuri kata sandi pada lebih dari 200 aplikasi perbankan dan cryptocurrency – termasuk PayPal, Coinbase, CapitalOne dan HSBC – dan penyadapan pesan teks yang berisikan kode otentikasi dua faktor.

Dengan kata sandi korban dan kode dua faktor, peretas dapat membobol rekening bank, aplikasi dan dompet digital, dan mencuri uang korban.

Malware Android bukanlah hal baru, tetapi penyebarannya sedang meningkat. Peretas dan operator malware semakin menargetkan pengguna ponsel pintar karena banyak pemilik perangkat tersebut memiliki aplikasi perbankan, media sosial, dan layanan sensitif lainnya pada perangkat mereka.

Cybereason mengatakan belum melihat EventBot di toko aplikasi Android atau digunakan secara aktif dalam kampanye malware, membatasi paparan kepada calon korban – untuk saat ini.

Tetapi para peneliti mengatakan pengguna harus menghindari aplikasi yang tidak terpercaya dari situs dan toko pihak ketiga, banyak di antaranya tidak menyaring aplikasi mereka untuk malware.

Baca berita selengkapnya pada tautan di bawah ini:
Source: Tech Crunch

Waspadai Ancaman Android Baru Dari Malware Berbahaya

April 30, 2020 by Mally

Tim peneliti keamanan di Check Point membahas mengenai malware family ‘Black Rose Lucy’ yang menyerang Android pada Blog yang diterbitkannya pada hari Selasa lalu.

Awalnya ditemukan pada bulan September 2018 oleh Check Point, Lucy adalah botnet dan dropper Malware-as-a-Service (MaaS) untuk perangkat Android. Namun, hampir dua tahun kemudian, Lucy kembali dengan kemampuan baru, yang memungkinkannya mengendalikan perangkat korban untuk melakukan berbagai perubahan dan memasang aplikasi jahat.

Lucy dibagikan melalui social messaging dan menyamar sebagai aplikasi pemutar media video. Saat diluncurkan, aplikasi meminta pengguna untuk mengaktifkan “pengoptimal streaming video.” Ini adalah senjatanya. Pengguna tidak boleh mengaktifkan layanan tersebut. Trik ini digunakan untuk memberikan malware akses ke layanan aksesibilitas perangkat. Lucy kemudian menggunakan akses ini untuk memberikan dirinya sendiri hak administratif pada perangkat. Setelahnya, Lucy memulai mengenkripsi file pengguna.

Saat malware selesai mengenkripsi, ia menampilkan catatan tebusan di jendela browser yang mengklaim sebagai pesan resmi dari FBI, menuduh korban memiliki konten porno di perangkatnya. Akibatnya, semua konten pada perangkat dienkripsi dan dikunci. Pesan itu juga menyatakan bahwa selain mengunci perangkat, detail pengguna telah diunggah ke Pusat Data Departemen Kejahatan Dunia Maya FBI, disertai dengan daftar pelanggaran hukum yang dituduhkan. Korban kemudian diinstruksikan untuk membayar “denda” US $500 melalui informasi kartu kredit yang mereka berikan, dan tidak menggunakan BitCoin seperti pada umumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Forbes

Malware Pembajakan Clipboard Ditemukan Pada 725 Ruby Library

April 19, 2020 by Mally

Peneliti keamanan dari ReversingLabs telah menemukan 725 library Ruby yang berisi malware dan bertujuan untuk membajak clipboard pengguna.

Paket jahat tersebut diunggah di RubyGems antara 16 dan 25 Februari oleh dua akun – JimCarrey dan PeterGibbons.

725 library telah dihapus dua hari kemudian pada tanggal 27 Februari setelah tim ReversingLabs memberi tahu tim keamanan RubyGems. Semua library Ruby tersebut adalah salinan dari library yang sah, menggunakan nama yang mirip, berfungsi sebagaimana dimaksud, tetapi juga berisi file berbahaya tambahan.

File tambahan yang dimasukkan ke dalam setiap paket diberi nama aaa.png. Namun, ReversingLabs mengatakan file ini bukan gambar PNG, tetapi sebaliknya adalah file executable Windows PE.

Info lebih lengkap dapat dibaca pada tautan di bawah:

Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings