Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for RAT

RAT

Seorang Pria Menunjukkan Apa yang Dilihat Peretas Saat Mereka Mengakses Komputer Anda

by

Matthew Linkert, dari Kanada, memposting klip ke akunnya yang menjelaskan seberapa besar kebebasan yang berpotensi dimiliki peretas jika mereka masuk ke perangkat Anda.

Dalam klip tersebut, dia menjelaskan bahwa dia menggunakan program yang sekarang sudah tidak berfungsi bernama Orcus, yang memungkinkan seseorang meretas komputer dan melakukan apa yang mereka inginkan – bahkan mengakses kamera Anda.

Menunjukkan bahwa ini untuk ‘tujuan pendidikan saja’, Matt mengatakan: “Program khusus ini disebut ‘Orcus’, ini adalah RAT, yang merupakan singkatan dari ‘Remote Administration Tool’ (Alat Administrasi Jarak Jauh), dan digunakan untuk mengakses komputer Anda, melihat semua file Anda , kamera web Anda, ketukan keyboard, semuanya.

Dalam video selanjutnya, Matt menunjukkan bahwa Anda tidak bisa benar-benar mendapatkan Orcus lagi, dan Anda tidak boleh mencobanya.

Video tersebut dapat Anda lihat pada link ini.

Sumber: Lad Bible

Malware Android ini mengklaim memberi peretas kendali penuh atas ponsel pintar Anda

by

Kombinasi baru dari dua jenis malware yang lebih lama, yang memberi peretas akses ke hampir semua yang dilakukan pengguna di smartphone Android, dijual di forum bawah tanah hanya dengan $29,99 – bahkan menyediakan kemampuan untuk penjahat siber tingkat rendah sekalipun untuk mencuri data pribadi yang sensitif.

Remote administration tool (RAT) ‘Rogue’ menginfeksi korban dengan keylogger, memungkinkan penyerang untuk dengan mudah memantau penggunaan situs web dan aplikasi untuk mencuri nama pengguna dan kata sandi, serta data keuangan.

Malware tersebut mengancam spionase skala penuh pada perangkat dengan memantau lokasi GPS target, mengambil tangkapan layar, menggunakan kamera untuk mengambil gambar, secara diam-diam merekam audio dari panggilan dan banyak lagi.

Rogue telah dirinci oleh para peneliti keamanan siber di Check Point, yang mengatakan itu bukan bentuk malware yang sepenuhnya baru, melainkan kombinasi dari dua keluarga Android RAT sebelumnya – Cosmos dan Hawkshaw – dan mendemonstrasikan evolusi pengembangan malware di dark web.

Agar peretas berhasil menginstal Rogue, mereka dapat memilih metode infeksi, baik dengan phishing, melalui aplikasi jahat atau yang lainnya.

Setelah terpasang, Rogue akan mendaftarkan dirinya sebagai administrator perangkat dan menyembunyikan ikonnya dari layar beranda. Jika pengguna mencoba untuk mencabut kredensial administrator ini, sebuah pesan menanyakan “Apakah Anda yakin untuk menghapus semua data?”, sesuatu yang dapat membuat takut banyak orang untuk mencoba menghapus instalasi, takut mereka akan menghapus seluruh perangkat mereka.

Sumber: ZDNet

Malware Backdoor Tor ‘off the shelf’ sekarang menjadi favorit oleh perusahaan operator ransomware

by

Trojan Remote Access Trojan (RAT) yang dijual di forum bawah tanah telah berevolusi untuk menyalahgunakan Tor saat mempertahankan persistensi pada mesin yang terinfeksi.

Dijuluki SystemBC, RAT telah berevolusi dari bertindak sebagai jaringan pribadi virtual (VPN) melalui proxy SOCKS5 menjadi pintu belakang yang memanfaatkan jaringan Tor untuk membangun persistensi dan membuat pelacakan server perintah dan kontrol (C2) yang terhubung menjadi tugas yang lebih sulit. Menurut para peneliti, malware SystemBC berbasis Windows mampu menjalankan perintah Windows, penyebaran skrip, mengimplementasikan DLL berbahaya, administrasi dan pemantauan jarak jauh, dan membangun pintu belakang bagi operator untuk menghubungkan malware ke C2 untuk menerima perintah.

Sophos Labs mengatakan bahwa selama tahun ini, SystemBC telah berkembang dan fitur telah ditingkatkan, yang mengarah pada peningkatan popularitas dengan pembeli termasuk operator ransomware.

sumber : ZDNET

RAT Windows baru dapat dikendalikan melalui saluran Telegram

by

Peneliti keamanan telah menemukan trojan akses jarak jauh (RAT) baru yang diiklankan di forum peretasan bawah tanah berbahasa Rusia.

Dinamakan T-RAT, malware ini tersedia hanya dengan $45, dan nilai jual utamanya adalah kemampuan untuk mengontrol sistem yang terinfeksi melalui saluran Telegram, daripada panel administrasi berbasis web.

Penulisnya mengklaim ini memberi pembeli akses yang lebih cepat dan lebih mudah ke komputer yang terinfeksi dari lokasi mana pun, memungkinkan pelaku ancaman untuk mengaktifkan fitur pencurian data segera setelah korban terinfeksi, sebelum kehadiran RAT ditemukan.

Untuk ini, saluran Telegram RAT mendukung 98 perintah yang, ketika diketik di dalam jendela obrolan utama, memungkinkan pemilik RAT untuk mengambil kata sandi dan cookie browser, menavigasi sistem file korban dan mencari data sensitif, menggunakan keylogger, merekam audio melalui mikrofon, mengambil tangkapan layar dari desktop korban, mengambil gambar melalui webcam, dan mengambil konten clipboard.

Sistem perintah dan kontrol sekunder tersedia melalui RDP atau VNC, tetapi fitur Telegram adalah yang diiklankan kepada pembeli, terutama karena kemudahan pemasangan dan penggunaan.

Penggunaan Telegram sebagai sistem komando dan kontrol telah menjadi tren dalam beberapa tahun terakhir, dan T-RAT bahkan bukan RAT pertama yang menerapkan model seperti itu.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

National Guard dipanggil untuk menggagalkan serangan dunia maya di Louisiana beberapa minggu sebelum eleksi.

by

Pejabat senior keamanan AS telah memperingatkan di sini setidaknya sejak 2019 bahwa ransomware berisiko bagi pemilu AS, yaitu serangan terhadap kantor pemerintah negara bagian tertentu di sekitar pemilu dapat mengganggu sistem yang diperlukan untuk mengelola aspek pemungutan suara.

Para ahli yang menyelidiki insiden Louisiana menemukan alat yang digunakan oleh peretas yang sebelumnya terkait dengan kelompok yang terkait dengan pemerintah Korea Utara, menurut seseorang yang mengetahui penyelidikan tersebut.

Alat itu digambarkan kepada Reuters sebagai Remote Access Trojan, atau RAT, yang digunakan untuk menyusup ke jaringan komputer. Tetapi analis keamanan siber yang telah memeriksa RAT ini – yang dikenal sebagai “KimJongRat” – mengatakan beberapa kodenya telah dipublikasikan di gudang virus komputer, di mana peretas dapat menyalinnya; membuat atribusi ke Korea Utara kurang pasti.

Satu orang yang mengetahui peristiwa tersebut mengatakan bahwa mereka menilai tujuan peretas adalah menginfeksi komputer dengan ransomware, tetapi menambahkan bahwa sulit untuk menentukannya karena serangan telah dihentikan pada fase awal.

Jika demikian, Louisiana bukan yang pertama. Selama setahun terakhir, beberapa kota AS telah menjadi korban ransomware, termasuk: insiden di Baltimore, Maryland, dan Durham, North Carolina.

Pertanyaan Besar

Jen Miller Osborn, wakil direktur intelijen ancaman untuk perusahaan keamanan siber AS Palo Alto Networks, melacak kelompok peretas tahun lalu yang menggunakan KimJongRat. Dia mengatakan akan menjadi “tidak biasa” bagi grup yang dia pelajari untuk melakukan operasi dunia maya demi keuntungan finansial

Pada 6 Oktober, divisi keamanan siber Departemen Keamanan Dalam Negeri, yang dikenal sebagai CISA, menerbitkan peringatan yang mengatakan bahwa Emotet digunakan untuk menargetkan banyak kantor pemerintah lokal di seluruh negeri.

Dalam kasus baru-baru ini di mana penjahat dunia maya mengejar kantor pemerintah lokal saat pemilihan mendekat, seperti di Washington, pejabat AS bersama dengan perusahaan teknologi seperti Microsoft Corp berlomba untuk lebih memahami jika peretas berbagi koneksi dengan badan intelijen asing dari Rusia, Iran, Cina dan Korea Utara.

“Ini adalah pertanyaan yang sangat menarik dan sesuatu yang kami gali dan coba temukan data, informasi, dan kecerdasan yang akan membantu kami memahami itu dengan lebih baik,” kata Wakil Presiden Microsoft Tom Burt dalam wawancara baru-baru ini.

Source : Reuters

Malware baru ini menggunakan serangan overlay jarak jauh untuk membajak rekening bank Anda

by

Para peneliti telah menemukan bentuk baru sebuah malware menggunakan serangan overlay jarak jauh untuk menyerang pemegang rekening bank Brasil.

Varian malware baru, yang dijuluki Vizom oleh IBM, sedang digunakan dalam kampanye aktif di seluruh Brasil yang dirancang untuk menyusupi rekening bank melalui layanan keuangan online.

Pada hari Selasa, peneliti keamanan IBM Chen Nahman, Ofir Ozer, dan Limor Kessem mengatakan malware tersebut menggunakan taktik yang menarik untuk tetap tersembunyi dan membahayakan perangkat pengguna secara real-time – yaitu, teknik overlay jarak jauh dan pembajakan DLL.

Vizom menyebar melalui kampanye phishing berbasis spam dan menyamar sebagai perangkat lunak konferensi video populer, alat yang telah menjadi sangat penting keberadaanya untuk bisnis dan acara sosial karena pandemi virus corona.

Setelah malware mendarat di PC Windows yang rentan, Vizom pertama-tama akan menyerang direktori AppData untuk memulai rantai infeksi. Dengan memanfaatkan pembajakan DLL, malware akan mencoba memaksa pemuatan DLL berbahaya dengan menamai varian berbasis Delphi miliknya sendiri dengan nama yang diharapkan oleh perangkat lunak yang sah di direktori mereka.

Dengan membajak “logika inheren” sistem, IBM mengatakan sistem operasi tersebut tertipu untuk memuat malware Vizom sebagai child proses dari file konferensi video yang sah. DLL bernama Cmmlib.dll, file yang terkait dengan Zoom.

Sebuah dropper kemudian akan meluncurkan zTscoder.exe melalui command prompt dan muatan kedua, sebuah Remote Access Trojan (RAT), diekstrak dari server jarak jauh – dengan trik pembajakan yang sama dilakukan pada browser Internet Vivaldi.

Karena Vizom telah menerapkan kemampuan RAT, penyerang dapat mengambil alih sesi yang dikompromikan dan overlay konten untuk mengelabui korban agar mengirimkan akses dan kredensial akun untuk rekening bank mereka. Vizom juga dapat mengambil tangkapan layar melalui fungsi cetak dan kaca pembesar Windows.

Berita selengkapnya:
Source: ZDNet

Botnet IoT Ttint baru tertangkap basah mengeksploitasi dua zero-day di router Tenda

by

Dinamakan Ttint, botnet ini pertama kali dirinci dalam sebuah laporan yang diterbitkan pada hari Jumat oleh Netlab, divisi keamanan jaringan dari raksasa teknologi China Qihoo 360.

Tidak hanya menginfeksi perangkat untuk melakukan serangan DDoS, tetapi juga menerapkan 12 metode akses jarak jauh yang berbeda ke router yang terinfeksi, menggunakan router sebagai proxy untuk menyampaikan lalu lintas, merusak firewall router dan pengaturan DNS, dan bahkan memberi penyerang kemampuan untuk menjalankan perintah jarak jauh pada perangkat yang terinfeksi.

Menurut laporan perusahaan, botnet tampaknya telah digunakan tahun lalu, pada November 2019, ketika Netlab mengatakan mendeteksi Ttint menyalahgunakan Tenda zero-day pertamanya untuk mengambil alih router yang rentan.

Botnet terus mengeksploitasi zero-day ini (dilacak sebagai CVE-2020-10987) hingga Juli 2020, ketika Sanjana Sarda, Analis Keamanan Junior di Penilai Keamanan Independen, menerbitkan laporan terperinci tentang kerentanan tersebut dan empat lainnya.

Tenda tidak merilis patch firmware untuk menangani temuan Sarda, tetapi operator Ttint tidak menunggu untuk mengetahui apakah vendor akan memperbaiki bugnya nanti.

Netlab mengatakan bahwa router Tenda yang menjalankan versi firmware antara AC9 hingga AC18 dianggap rentan.

Karena Ttint terlihat mengubah pengaturan DNS pada router yang terinfeksi, kemungkinan besar mengarahkan pengguna ke situs jahat, menggunakan salah satu dari router ini tidak disarankan.

Pemilik router Tenda yang ingin mengetahui apakah mereka menggunakan router yang rentan dapat menemukan informasi versi firmware di panel administrasi router.

Setelah dianalisis, Ttint dibangun di atas Mirai, keluarga malware IoT yang kodenya bocor secara online pada 2016. Sejak bocor secara online, ada banyak botnet yang merupakan cabang dari basis kode asli ini.

Setiap operator botnet mencoba berinovasi dan menambahkan sesuatu yang berbeda, tetapi Ttint tampaknya telah mengguanakan sesuatu dari masing-masing botnet untuk membangun versi Mirai yang lebih kompleks daripada sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Malware Baru “Mass Logger” Ini Dapat Menjadi Sangat Besar Penyebarannya

by

Keylogger baru, “Mass Logger”, saat ini sedang dilacak oleh Cofense Intelligence. Mereka percaya bahwa malware tersebut dapat secara signifikan mempengaruhi pasar keylogger yang lebih besar serta lanskap ancaman phishing.

Alasan mengapa Cofense begitu khawatir tentang Mass Logger adalah karena seberapa cepat malware tersebut diperbarui. Pembuatnya secara konsisten memperbarui dan meningkatkan Mass Logger dan memungkinkan penjahat siber menyebarkan malware ini untuk mengatasi deteksi dari software keamanan. Perkembangan yang cepat ini juga memungkinkan pembuat Mass Logger untuk dengan cepat menambahkan fitur baru sebagai tanggapan terhadap feedback pelanggan.

Pencipta Mass Logger, yang dikenal sebagai NYANxCAT, juga bertanggung jawab atas beberapa jenis malware terkenal lainnya termasuk LimeRAT, AsyncRAT dan remote access trojan (RAT) lainnya. Malware NYANxCAT biasanya kaya akan fitur dan mudah digunakan yang memungkinkan penggunaan yang mudah oleh aktor ancaman amatir. Namun, banyak fitur yang tergabung dalam Mass Logger cukup canggih seperti kemampuan penyebaran USB-nya.

NYANxCAT terus meningkatkan fungsi Mass Logger melalui pembaruan dan baru-baru ini, 13 pembaruan dirilis hanya dalam periode tiga minggu. Dalam catatan pembaruan, NYANxCAT menjelaskan bahwa target baru telah ditambahkan untuk fungsi pencurian kredensial keylogger dan bahwa langkah-langkah telah diambil untuk mengurangi deteksi otomatis.

Fitur-fitur canggih membantu membedakan Mass Logger dari malware umum lainnya. Misalnya, fungsi yang memungkinkan penjahat siber untuk mencari file dengan ekstensi file tertentu dan mengambilnya.

Untuk bertahan melawan Mass Logger dan ancaman serupa lainnya, Cofense merekomendasikan agar admin jaringan mengawasi sesi FTP atau email yang dikirim dari jaringan lokal yang tidak sesuai dengan standar organisasi mereka.

Source: Tech Radar