Malware

Avast menonaktifkan mesin JavaScript di antivirusnya setelah terdapat bug di dalam nya

March 16, 2020 by Winnie the Pooh

Avast telah mengambil langkah ekstrim untuk menonaktifkan komponen utama produk antivirusnya setelah seorang peneliti keamanan menemukan kerentanan berbahaya yang menempatkan semua penggunanya dalam risiko.

Kelemahan keamanan ditemukan di mesin JavaScript Avast, komponen internal antivirus Avast yang menganalisis kode JavaScript untuk malware sebelum mengizinkannya dieksekusi di browser atau klien email.

Tavis Ormandy, seorang peneliti keamanan di Google mengatakan, “Meskipun sangat istimewa dan didesain untuk memproses input yang tidak terpercaya, itu tidak dijalankan di dalam sandbox dan memiliki cakupan mitigasi yang buruk.”

“Setiap kerentanan dalam proses ini sangat penting, dan mudah diakses oleh penyerang jarak jauh,” kata Ormandy menambahkan.

Ormandy berpendapat bahwa begitu antivirus Avast mengunduh dan menjalankan kode JavaScript berbahaya di dalam mesin kustomnya sendiri, operasi berbahaya dapat dijalankan di komputer pengguna, dengan akses tingkat SISTEM.

Misalnya, dengan menggunakan bug ini, penyerang akan memiliki kemampuan untuk menginstal malware pada perangkat pengguna Avast.

Baca berita selanjutnya pada tautan di bawah ini;

Source: ZDNet

Cynet: Emotet vs Trump – Analisis Mendalam dari Info-Stealer Berbahaya

March 7, 2020 by Winnie the Pooh

Emotet adalah trojan pencurian data banker modular terluas yang tersebar dalam dua tahun terakhir. Trojan ini mempunyai tujuan untuk mendapatkan akses jarak jauh pada host yang dikompromikan untuk mencuri kredensial perbankan, data keuangan dan bahkan dompet Bitcoin. Juga digunakan sebagai pengunduh untuk malware terkenal lainnya seperti TrickBot (Trojan banker) dan Ryuk (Ransomware).

Emotet pertama kali ditemukan pada Mei 2014 untuk memata-matai lingkungan yang dikompromikan, mencuri kredensial untuk penyimpanan cloud, data email, dan mengunggah informasi ini ke server mereka.

Versi sebelumnya dari serangan itu ditemukan dalam file JavaScript berbahaya, tetapi kemudian, para penyerang meningkatkan serangan dengan mempersenjatai dokumen Office dengan skrip makro VBA berbahaya.

Cynet telah menganalisis serangan tersebut lebih dalam lagi dalam blog nya. Analisis dapat dibaca pada tautan di bawah;

Source: Cynet

Penjahat siber dan kartel narkoba menyebarkan malware dan mencuri informasi keuangan di Amerika Latin

March 6, 2020 by Winnie the Pooh

Penjahat siber kini bekerjasama dengan kartel narkoba di seluruh Amerika Latin untuk menyerang lembaga keuangan dan pemerintah, meningkatkan berbagai macam penipuan dan penyebaran malware untuk menghasilkan jutaan uang, menurut laporan baru dari perusahaan cybersecurity IntSights.

Karena penegakan hukum polisi yang relatif lemah, banyak dari penjahat siber ini beroperasi di tempat terbuka dan di dark web, berbagi taktik dengan yang lain dan bekerja sama dengan entitas kriminal untuk meningkatkan keluasan dan kekuatan serangan. Mereka menggunakan WhatsApp, Telegram dan Facebook Messenger untuk mengkoordinasikan serangan.

Laporan itu menyebutkan “Bergabungnya geng narkoba dan komunitas peretas adalah ancaman yang muncul secara signifikan seiring kita melangkah ke 2020. Kedua dunia menggabungkan pengaruh, keterampilan, dan pengalaman mereka untuk mencapai tujuan bersama, terutama dari variasi keuangan.”

Laporan ini juga menyoroti penggunaan trojan perbankan dan ransomware sebagai ancaman malware paling populer yang melanda Amerika Latin.

Baca artikel selengkapnya pada tautan di bawah ini;

Source: Tech Republic

Grup APT Kimsuky Korea Utara terus mengancam Korea Selatan dengan mengembangkan TTP-nya

March 5, 2020 by Winnie the Pooh

Tim peneliti keamanan di Cybaze-Yoroi ZLab baru-baru ini menganalisis salah satu grup APT Korea Utara yang dijuluki Kimsuky. Grup APT Kimsuky telah dianalisis oleh beberapa tim keamanan. Grup ini pertama kali ditemukan oleh peneliti Kaspersky pada tahun 2013, baru-baru ini aktivitasnya dirinci oleh ESTsurity.

Tidak seperti kelompok APT lain yang menggunakan rantai infeksi yang panjang dan kompleks, kelompok Kimsuky memanfaatkan rantai serangan yang lebih pendek, dipercaya bahwa cara ini sangat efektif dalam mencapai tingkat deteksi yang rendah.

Infeksi dimulai dengan file executable dengan ekstensi “scr”, ekstensi yang digunakan oleh Windows untuk mengidentifikasi artefak Screensaver. Berakhir dengan, setiap 15 menit malware yang berhasil ditanam menghubungi pusat data C2 (suzuki.].Pe.]Hu) dan mengirimkan kembali informasi tentang mesin yang dikompromikan.

Baca analisis selengkapnya pada tautan di bawah ini;

Source: Yoroi

Seorang Mantan Hacker memperlihatkan cara Mencuri malware Mac dari negara-negara maju

March 3, 2020 by Winnie the Pooh

Pada konferensi Keamanan RSA minggu lalu, Patrick Wardle, yang sekarang menjadi peneliti keamanan di perusahaan manajemen macOS dan iOS, Jamf, menunjukkan bagaimana menggunakan kembali malware Mac lama bisa menjadi pendekatan yang lebih cerdas untuk menyebarkan ransomware, alat mata-mata akses jarak jauh, dan jenis kode berbahaya lainnya.

Wardle mengatakan, “Ada kelompok peretas yang didanai dengan sangat baik dengan sumber daya yang baik, dan sangat termotivasi di lembaga tiga huruf yang menciptakan malware luar biasa yang memiliki banyak fitur dan juga sepenuhnya diuji. Idenya adalah: mengapa tidak membiarkan grup-grup di agensi-agensi ini menciptakan malware mereka dan jika Anda seorang hacker pergunakanlah kembali hanya untuk misi Anda sendiri.”

Untuk membuktikan maksudnya, Wardle menggambarkan bagaimana ia mengubah empat bagian malware Mac yang telah digunakan dalam sebuah serangan selama beberapa tahun terakhir. Repurposing menyebabkan malware melaporkan ke server perintah milik Wardle daripada server yang ditunjuk oleh pengembang. Dari sana, Wardle memiliki kendali penuh atas malware yang telah ia didaur ulang.

Wardle menggunakan teknik yang sama untuk ketiga malware lainnya. Malware tersebut termasuk Fruitfly, alat akses jarak jauh yang mencuri jutaan gambar pengguna, banyak di antaranya gambar telanjang, lebih dari 13 tahun sebelum akhirnya ditutup, sebuah aplikasi ransomware yang ditemukan pada tahun 2016, dan Windtail, yang menargetkan sebagian besar lembaga pemerintah dan perusahaan di Timur Tengah.

Baca berita selengkapnya pada link di bawah ini;

Source: Ars Technica

Malware Raccoon menargetkan sejumlah besar browser untuk mencuri data dan cryptocurrency korbannya

February 27, 2020 by Winnie the Pooh

Raccoon mungkin bukan pilihan termurah di pasaran tetapi malware ini telah mendapatkan popularitas di kalangan penjahat siber karena kemampuannya menargetkan setidaknya 60 aplikasi dan banyak di antaranya adalah browser yang kita gunakan saat ini, termasuk Mozilla dan Chrome.

Infostealer Raccoon, juga dikenal sebagai Racealer, ditawarkan dengan harga $ 200 sebulan dan pertama kali ditemukan oleh para peneliti dari perusahaan cybersecurity Cybereason pada tahun 2019. Raccoon dapat mencuri informasi keuangan, kredensial online, data PC – seperti jenis dan versi sistem operasi, bahasa yang digunakan, dan daftar aplikasi yang terinstal – dompet cryptocurrency, dan informasi browser termasuk cookie, log riwayat, dan konten pengisian otomatis. Setelah Raccoon mencuri data yang diperlukannya, informasi ini dikompilasi ke dalam file arsip .zip dan dikirim ke server command and control (C2). Malware ini juga dapat bertindak sebagai dropper untuk muatan malware tambahan.

Raccoon terus didukung oleh tim dan pengembangannya sedang berlangsung. Baru-baru ini, Raccoon juga diberi kemampuan untuk mencuri kredensial server FTP dari FileZilla, kesalahan UI sudah diselesaikan, dan penulis juga membuat opsi untuk mengenkripsi pembuatan malware kustom dari UI untuk diunduh sebagai DLL.

Untuk berita selengkapnya dapat dibaca pada tautan dibawah ini;

Source: ZDNet

Malware Mozart Baru Mendapat Perintah dan Menyembunyikan Lalu Lintas Menggunakan DNS

February 26, 2020 by Winnie the Pooh

Malware backdoor baru bernama Mozart, yang ditemukan oleh MalwareHunterTeam, menggunakan protokol DNS untuk berkomunikasi jarak jauh dengan operatornya untuk menghindari deteksi antivirus dan sistem deteksi intrusi.

DNS adalah nama protokol resolusi yang digunakan untuk mengonversi nama host, seperti www.example.com, ke alamat IP-nya, 93.184.216.34, sehingga perangkat lunak dapat terhubung ke komputer jarak jauh. Selain mengonversi nama host ke alamat IP, protokol DNS juga memungkinkan Anda untuk meminta data TXT yang berisi data dalam bentuk teks.

Operator Mozart menggunakan dokumen TXT DNS ini untuk menyimpan perintah yang akan diambil oleh malware dan dieksekusi di komputer yang terinfeksi.

Malware Mozart diyakini didistribusikan melalui email phishing yang berisi PDF yang tertaut ke file ZIP yang berlokasi di https://masikini[.]Com/CarlitoRegular[.]Zip. File zip ini berisi file JScript yang ketika dieksekusi akan mengekstrak executable yang disandikan menggunakan base64 yang disimpan ke komputer sebagai %Temp%\calc.exe dan dieksekusi.

Untuk mengetahui bagaimana cara mengatasinya, baca berita selengkapnya pada link dibawah ini;

Source: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings