RAT

WolfRAT Menargetkan Pengguna Aplikasi WhatsApp, Facebook Messenger di perangkat Android

May 20, 2020 by Winnie the Pooh

Trojan baru telah tertangkap menargetkan pengguna Whatsapp, Facebook Messenger, dan aplikasi perpesanan Line Thailand di platform Android mobile.

Pada hari Selasa, peneliti Cisco Talos mengatakan malware itu, yang diberi nama WolfRAT, adalah varian baru dari DenDroid, Trojan Remote Access (RAT) seluler yang kode sumbernya bocor pada tahun 2015.

WolfRAT memulai rantai infeksinya melalui pembaruan palsu yang menyalahgunakan layanan yang sah termasuk Flash dan Google Play. Jika seorang korban jatuh dalam taktik ini, RAT akan menginstal dirinya pada perangkat Android korban dan melakukan fungsi mata-mata, termasuk mengumpulkan data perangkat, mengambil foto dan video, mengkompromikan pesan SMS, merekam audio, dan mencuri serta mentransfer file ke C2 server.

Beberapa C2 server terletak di Thailand dan domain menggunakan referensi makanan Thailand. Perintah JavaScript yang ditulis dalam bahasa Thailand juga telah ditemukan.

Selengkapnya, dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Hacker Menargetkan Pekerja Jarak Jauh Dengan Installer Zoom Palsu

May 5, 2020 by Winnie the Pooh

Kebutuhan untuk bekerja dari rumah adalah sesuatu yang penjahat cyber coba manfaatkan baru-baru ini. Para peneliti di perusahaan cybersecurity TrendMicro telah mengungkap kampanye penjahat cyber baru yang mencoba mengelabui pekerja untuk memasang RevCode WebMonitor RAT, bukannya aplikasi Zoom.

Para peneliti menekankan bahwa perangkat lunak yang dikompromikan itu tidak berasal dari pusat unduhan Zoom sendiri atau toko aplikasi resmi – melainkan unduhan yang berasal dari situs web pihak ketiga yang berbahaya. Kemungkinan korban tertarik untuk mengunduh tautan jahat yang dikirim dalam email phising dan pesan lainnya.

Setelah file diunduh, ia menjalankan installer yang akan menginstall software konferensi video, serta mengeksekusi alat akses jarak jauh WebMonitor. Namun, WebMonitor akan berakhir dengan sendirinya jika dijalankan di virtual machine – metode pertahanan dalam upaya mencegah deteksi dan pemeriksaan oleh peneliti keamanan.

Cara terbaik agar pengguna tidak menjadi korban dalam serangan semacam ini adalah dengan hanya mengunduh installer dari sumber resmi – dan jika seseorang mengirim email berisi tautan untuk mengunduh aplikasi kepada Anda, sebaiknya kunjungi situs web resminya dan unduh sendiri.

Baca cerita selengkapnya pada tautan di bawah ini:
Source: ZDNet

Malware LimeRAT sedang disebarkan melalui teknik enkripsi VelvetSweatshop Excel

April 2, 2020 by Winnie the Pooh

Kampanye baru sedang menyebarkan LimeRAT Remote Access Trojan dengan memanfaatkan teknik enkripsi lama dalam file Excel.

LimeRAT adalah Trojan sederhana yang dirancang untuk mesin Windows. Malware ini dapat menginstal backdoors pada mesin yang terinfeksi dan mengenkripsi file dengan cara yang sama seperti strain ransomware biasa, menambahkan PC ke botnet, dan menginstal cryptocurrency miner.

Selain itu, Trojan modular juga dapat menyebar melalui drive USB yang terhubung, menghapus instalannya sendiri jika mesin virtual (VM) terdeteksi – praktik umum bagi peneliti keamanan yang mencoba untuk merekayasa balik malware – mengunci layar, dan mencuri berbagai data yang kemudian dikirim ke server perintah-dan-kontrol (C2) melalui enkripsi AES.

Dalam kampanye baru yang diamati oleh Mimecast, Trojan disembunyikan sebagai muatan dalam dokumen Excel read-only yang menyebar melalui email phishing. Dokumen Excel tersebut adalah dokumen read-only yang mengenkripsi file tanpa membuat pengguna mengetik kata sandi.

Untuk mendekripsi file, saat terbuka, Excel akan berusaha menggunakan kata sandi bawaan yang disematkan, “VelvetSweatshop,” yang telah diterapkan bertahun-tahun yang lalu oleh programmer Microsoft. Jika berhasil, ini akan mendekripsi file dan memungkinkan makro onboard dan muatan berbahaya untuk diluncurkan, sementara juga menjaga dokumen tetap read-only.

Kampanye baru yang dirancang untuk menyebarkan LimeRAT ini memanfaatkan teknik yang pertama kali terlihat pada tahun 2013 dan dipresentasikan pada konferensi Buletin Virus. Untuk melakukan serangan yang berhasil, kata sandi hardcoded – CVE-2012-0158 – dieksploitasi.

Baca berita selanjutnya pada tautan di bawah ini;

Source: ZDNet

Trojan NetWire menyembunyikan diri mereka di dalam File IMG

January 23, 2020 by Winnie the Pooh

Kampanye baru NetWire RAT telah terlihat, mereka menggunakan lampiran file IMG palsu yang dimuat dengan malware dalam penipuan email bisnis. Menurut peneliti IBM X-Force Megan Roddie dan Limor Kessem, Trojan telah terhubung ke berbagai kampanye, dari upaya cybercrime oleh scammers Nigeria hingga serangan advanced persistent ancaman (APT).

Dalam sebuah posting blog pada hari Selasa, tim mengatakan file .img dikirim dari sejumlah kecil aktor yang tampaknya berasal dari Jerman. Dalam satu kasus, file itu bernama “Sales_Quotation_SQUO00001760.img,” dan setelah dibuka, itu akan mengekstrak executable yang berisi NetWire.

Setelah dieksekusi, tugas pertama pada daftar NetWire adalah untuk mempertahankan kegigihan, dicapai dengan penjadwalan tugas. Kunci registri juga disimpan untuk memfasilitasi transfer informasi yang dicuri ke server perintah-dan-kontrol (C2) malware melalui TCP port 3012.

Malware ini dapat mencuri informasi sistem, mengunduh dan mengeksekusi muatan tambahan, membaca sejarah Internet, mencuri kredensial termasuk yang digunakan oleh browser dan klien email, memasang keyloggers, dan mensimulasikan operasi keyboard dan mouse.

Klik link di bawah ini untuk mengetahui berita selengkapnya!

Source: ZDNet

Hacker Uses Drake’s “Kiki Do You Love Me” In Their Script

January 13, 2020 by Winnie the Pooh

Seperti diungkapkan oleh AppRiver, sebuah perusahaan cybersecurity, kampanye malware yang menyebar melalui Powerpoint memiliki lirik lagu Drake – “In My Feelings” yang tersembunyi di dalam perintah Powershell.

Peretas tersebut menggunakan alias “Master X”, dia menjatuhkan malware Lokibot atau malware Azorult tergantung pada pengguna yang ia targetkan. Lokibot adalah pencuri informasi, sedangkan Azorult adalah trojan akses jarak jauh (RAT) yang menginfeksi komputer.

Klik link dibawah ini untuk berita selengkapnya:

Source: Fossbytes

Chinese-linked Hacking Group Uses Phising Email for The Initial Attack

January 2, 2020 by Winnie the Pooh

Rancor, kelompok mata-mata dunia maya yang aktif setidaknya sejak 2017, terus melakukan serangan yang menargetkan Asia Tenggara. Lusinan email yang dikirim dari pejabat pemerintah dan berisi dokumen yang sebenarnya adalah umpan bertema politik diharapkan mampu menipu korban agar mereka membukanya dan memuat komponen jahat yang dapat menyediakan akses penuh ke mesin korban.

Klik link dibawah ini untuk membaca report selengkapnya dari Unit42 Palo Alto dan Check Point Research.

Source: Unit42 Palo Alto | Check Point Research

7 Types of Malware

December 29, 2019 by Winnie the Pooh

Naked Security by Sophos telah membuat list tujuh kategori malware yang memberi anda gambaran luas dan dalamnya risiko yang bisa ditimbulkan malware pada organisasi anda.

1. KEYLOGGERS

Keyloggers sangat sederhana, dan dapat diimplementasikan dengan berbagai cara.

Sederhananya, mereka terhubung ke aliran data yang berasal dari keyboard korban, memungkinkan mereka untuk mengetahui apa yang korban ketik dan kapan, seperti kata sandi korban.

2. DATA STEALERS

Seperti namanya, malware ini mencuri data korban, mencari di sekitar hard disk korban, dan mungkin bahkan jika bisa di seluruh jaringan korban, mencari file yang berisi data yang bernilai uang bagi para penjahat.

Saat ini, para penjahat tertarik pada lebih dari sekadar mencuri alamat email – mereka mencuri apa pun yang mudah diburu dan dicuri, termasuk detail rekening bank, nomor ID, data paspor, kartu kredit dan kata sandi akun.

3. RAM SCRAPERS

Malware tidak selalu dapat menemukan apa yang diinginkan dalam file di komputer korban, bahkan jika malware itu sendiri sudah memiliki akses administrator atau tingkat root. Itu karena beberapa data hanya tersimpan sementara di memori, dan kemudian dihapus tanpa pernah mencapai disk.

Tetapi dengan RAM scraping malware yang mengawasi data saat disimpan sementara di memori, penjahat mungkin dapat mengidentifikasi data penting seperti CVV dan informasi kartu kredit lengkap dan “mengorek” langsung dari RAM.

4. BOTS, aka ZOMBIES

Bot, kependekan dari robot program, adalah malware yang membuka pintu belakang (backdoor) ke komputer Anda sehingga penjahat dapat mengirimnya perintah jarak jauh. Bot juga umumnya dikenal sebagai zombie, karena mereka bertindak sedikit seperti “agen tidur” yang sewaktu-waktu dapat diubah untuk melawan anda berdasarkan perintah dari penjahat.

5. BANKING TROJANS

Ini adalah istilah umum untuk malware yang mengejar informasi tentang perbankan online Anda. Seperti yang dapat Anda bayangkan, trojan perbankan biasanya menyertakan komponen keylogger, untuk mengendus kata sandi saat Anda mengetiknya.

6. RATS (Remote Access Trojans)

Nama RAT adalah kependekan dari Remote Access Trojan, semacam alat akses jarak jauh yang memungkinkan pelaku memata-matai korban dengan mengambil tangkapan layar atau menyalakan webcam korban secara diam-diam.

7. RANSOMWARE

Ini mungkin jenis malware yang paling ditakuti dalam dekade terakhir: secara umum, ransomware mengunci semua file korban, mengunggah satu-satunya salinan kunci dekripsi kepada pelaku, dan kemudian menawarkan untuk menjual kembali kunci dekripsi kepada korban sehingga korban dapat membuka kunci dan memulihkan komputer mereka.

Buka link dibawah ini untuk mengetahui apa yang harus dilakukan untuk mencegah malware-malware tersebut menginfeksi jaringan anda.

Source: Naked Security

Palo Alto: Imminent Monitor – a RAT Down Under

December 3, 2019 by Winnie the Pooh

Source: Unit 42 Palo Alto

Ahli keamanan Unit42 Palo Alto baru baru ini merilis blog tentang penelitian mereka mengenai Imminent Monitor Remote Access Trojan (IM-RAT) dan bagaimana mereka telah membantu upaya penegakan hukum dalam menuntut para penulis dan pelanggan malware.

Klik link di atas untuk laporan lebih lengkapnya.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

RAT

Cookies Settings