Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Grup Skimmer Kartu Pembayaran Menggunakan Raccoon Info-Stealer untuk Menyedot Data

by

Sebuah grup kejahatan siber yang dikenal karena menargetkan situs web e-commerce melepaskan “kampanye jahat multi-tahap” awal tahun ini yang dirancang dengan maksud untuk mendistribusikan info-stealer dan skimmer pembayaran berbasis JavaScript.

Dalam laporan baru yang diterbitkan, perusahaan keamanan siber yang berbasis di Singapura Group-IB mengaitkan operasi tersebut dengan grup yang sama yang telah dikaitkan dengan serangan lain yang ditujukan untuk pedagang online dan menggunakan malware pencuri kata sandi untuk menginfeksi situs web mereka dengan FakeSecurity JavaScript-sniffers (JS-sniffers).

Kampanye ini berkembang dalam empat gelombang, dimulai pada Februari dan berakhir pada September, dengan operator mengandalkan halaman phishing yang dibuat khusus dan dokumen iming-iming yang dilengkapi dengan makro berbahaya untuk mengunduh pencuri informasi Vidar dan Raccoon ke sistem korban.

Tujuan akhir dari serangan itu, catat para peneliti, adalah untuk mencuri pembayaran dan data pengguna melalui beberapa vektor serangan dan alat untuk mengirimkan malware.

Sumber: Group IB

Sementara gelombang pertama kampanye pada bulan Februari dan Maret mengirimkan pencuri kata sandi Vidar untuk mencegat kata sandi dari browser pengguna dan berbagai aplikasi, iterasi berikutnya dialihkan ke Raccoon stealer dan AveMaria RAT untuk memenuhi tujuannya.

Bersama dengan empat tahap yang dijelaskan di atas, Group-IB juga mengamati fase sementara antara Mei hingga September 2020, saat sebanyak 20 toko online terinfeksi dengan JS-sniffer yang dimodifikasi dari keluarga FakeSecurity.

Sumber: The Hacker News

Ransomware Menjadi Bisnis Serius dan Menguntungkan – Semua yang Perlu Kamu Ketahui

by

Apa itu Ransomware?

Penjahat siber menggunakan encrypted ransomware yang menjadi jenis paling umum karena sulit untuk memecahkan enkripsi dan menghapus malware.

Ransomware mengenkripsi file seolah-olah mereka secara aktif dienkripsi, tetapi sebenarnya, mereka disembunyikan dalam file terpisah, yang menunggu serangkaian kondisi yang ditentukan untuk dibuka sebelum mereka didekripsi.

Dalam kasus ransomware, virus dapat mengenkripsi file tanpa sepengetahuan atau persetujuan pengguna.

Kunci enkripsi dibuat secara offline dan disematkan di malware sebelum dikirim untuk menyerang Anda, atau tertanam di malware yang dikirim selama serangan.

Setelah file Anda dienkripsi, virus akan membuat tutorial tentang cara mendapatkan kunci dekripsi yang tersedia untuk Anda jika Anda membayar uang tebusan. Anda akan diperlihatkan tautan untuk mengunduh decoder yang diperlukan.

Jenis-jenis Ransomware

  • Encryption Ransomware
  • Screen-locking Ransomware
  • Master Boot Record (MBR) Ransomware
  • Web Servers Encrypting Ransomware
  • Mobile Ransomware

Timeline Ransomware

Vektor Serangan Ransomware

Ketika perusahaan yang telah diserang oleh ransomware selama bertahun-tahun diperiksa, serangan phishing email, remote desktop protocol (RDP), dan kerentanan keamanan adalah 3 alasan utama.

Aktor ancaman seperti REvil (Sodinokibi), Ragnarok, DoppelPaymer, Maze, CLOP, dan Nefilim telah menggunakan sistem Citrix yang rentan terhadap CVE-2019–19781 sebagai titik masuk untuk serangan ransomware.

Vektor Serangan Lainnya;

  • Penggunaan perangkat media berbahaya
  • Situs web yang disusupi
  • Download file yang terinfeksi
  • Aplikasi seluler berbahaya
  • Aplikasi pesan berbahaya
  • Penggunaan kata sandi yang lemah
  • Kebijakan keamanan yang buruk

Bagaimana Melindungi Diri Anda?

  • Tentukan inventaris aset digital kamu.
  • Sesuaikan pengaturan anti-spam kamu dengan benar dan gunakan filter spam yang kuat.
  • Jangan membuka email yang mencurigakan dan lampirannya.
  • Hindari memberikan informasi pribadi.
  • Gunakan fitur Show File Extensions.
  • Tambal perangkat lunak kamu dan perbarui terus

Dan ingat, jangan pernah membayar tebusan yang diminta oleh pelaku. Perusahaan penegak hukum dan Keamanan TI telah bergabung untuk mengganggu bisnis penjahat siber dengan koneksi ransomware. Dengan tidak membayar tebusan, kamu telah membantu mereka untuk menghentikan adanya serangan ransomware lainnya. Karena sebagian besar pelaku termotivasi secara finansial untuk menyebarkan ransomware dan mendapatkan uang secara mudah dari sana.

Sumber: Medium The Startup

Pengecer nasional Kmart mengalami serangan ransomware

by

Diberitakan oleh BleepingComputer, department store AS Kmart telah mengalami serangan ransomware yang berdampak pada layanan back-end di perusahaan tersebut.

Kmart mengalami serangan siber oleh operasi ransomware Egregor minggu ini yang mengakibatkan perangkat dan server di jaringan mereka terinkripsi.

Catatan tebusan yang dibagikan dengan BleepingComputer menunjukkan bahwa domain Windows ‘KMART’ disusupi dalam serangan itu.

Sementara toko online terus beroperasi, ‘Situs Sumber Daya Manusia Transformco,’ 88sears.com, saat ini sedang offline. Karyawan mengatakan bahwa pemadaman ini disebabkan oleh serangan ransomware baru-baru ini.

Egregor dikenal karena mencuri file yang tidak dienkripsi sebelum menyebarkan ransomware mereka. Operasi ransomware kemudian mengancam untuk memposting data di situs kebocoran data ransomware jika uang tebusan tidak dibayarkan.

Tidak diketahui apakah penyerang mencuri data, berapa banyak perangkat yang dienkripsi, atau jumlah tebusan yang diminta oleh kelompok kejahatan siber Egregor.

Sumber: Bleeping Computer

Malware pencuri kartu kredit bersembunyi di ikon berbagi media sosial

by

Malware web skimming yang baru ditemukan mampu bersembunyi di depan mata untuk menyuntikkan skrip skimmer kartu pembayaran ke toko online yang disusupi.

Pembuat malware menggunakan muatan berbahaya yang disembunyikan sebagai tombol media sosial yang meniru platform profil tinggi seperti Facebook, Twitter, dan Instagram.

Skimmer kartu kredit adalah skrip berbasis JavaScript yang disuntikkan oleh grup kejahatan siber Magecart di halaman pembayaran situs e-commerce yang disusupi.

Setelah dimuat di toko yang ditargetkan, skrip secara otomatis memanen pembayaran dan informasi pribadi yang dikirimkan oleh pelanggan dan mengekstraknya ke server di bawah kendali aktor Magecart.

Malware baru ini ditemukan oleh para peneliti di perusahaan keamanan siber Belanda Sansec yang berfokus pada pertahanan situs web e-commerce dari serangan skimming digital (juga dikenal sebagai Magecart).

Syntax untuk menyembunyikan kode sumber skimmer sebagai tombol media sosial dengan sempurna meniru elemen ‘svg’ yang diberi nama menggunakan nama platform media sosial (misalnya, facebook_full, twitter_full, instagram_full, youtube_full, pinterest_full, dan google_full).

Meskipun ini bukan pertama kalinya pelaku ancaman menggunakan skimmer yang disembunyikan dalam gambar yang tampak dengan bantuan steganografi, malware ini adalah yang pertama yang menggunakan “gambar yang benar-benar valid”.

Sumber: Bleeping Computer

8% dari semua aplikasi Google Play rentan terhadap bug keamanan lama

by

Sekitar 8% aplikasi Android yang tersedia di Google Play Store resmi rentan terhadap cacat keamanan di library Android populer, menurut pemindaian yang dilakukan musim gugur ini oleh perusahaan keamanan Check Point.

Cacat keamanan ada di versi lama Play Core, library Java yang disediakan oleh Google yang dapat disematkan oleh pengembang di dalam aplikasi mereka untuk berinteraksi dengan portal resmi Play Store.

Library Play Core sangat populer karena dapat digunakan oleh pengembang aplikasi untuk mengunduh dan menginstal pembaruan yang dihosting di Play Store, modul, paket bahasa, atau bahkan aplikasi lain.

Awal tahun ini, peneliti keamanan dari Oversecured menemukan kerentanan utama (CVE-2020-8913) di library Play Core yang dapat disalahgunakan oleh aplikasi berbahaya yang diinstal pada perangkat pengguna untuk memasukkan kode jahat ke dalam aplikasi lain dan mencuri data sensitif – seperti kata sandi, foto, kode 2FA, dan lainnya.

Google menambal bug di Play Core 1.7.2, dirilis pada bulan Maret, tetapi menurut temuan baru oleh Check Point, tidak semua pengembang telah memperbarui library Play Core yang disertakan dengan aplikasi mereka, membuat penggunanya mudah terkena serangan pencurian data dari aplikasi jahat yang dipasang di perangkat mereka.

Sumber: checkpoint

Menurut pemindaian yang dilakukan oleh Check Point pada bulan September, enam bulan setelah patch Play Core tersedia, 13% dari semua aplikasi Play Store masih menggunakan library ini, tetapi hanya 5% yang menggunakan versi yang diperbarui (aman), dengan sisanya membiarkan pengguna terkena serangan.

Di antara aplikasi dengan basis pengguna terbesar yang gagal diperbarui, Check Point mencantumkan aplikasi seperti Microsoft Edge, Grindr, OKCupid, Cisco Teams, Viber, dan Booking.com.

Sumber: ZDNet

Versi TrickBot baru dapat merusak firmware UEFI / BIOS

by

Operator botnet malware TrickBot telah menambahkan kemampuan baru yang memungkinkan mereka berinteraksi dengan firmware BIOS atau UEFI komputer yang terinfeksi.

Kemampuan baru ini terlihat di dalam bagian dari modul TrickBot baru, pertama kali terlihat pada akhir Oktober, perusahaan keamanan Advanced Intelligence dan Eclypsium mengatakan dalam joint report yang diterbitkan pada 3 Desember 2020.

Modul baru ini membuat para peneliti keamanan khawatir karena fitur-fiturnya akan memungkinkan malware TrickBot untuk membangun pijakan yang lebih gigih pada sistem yang terinfeksi, pijakan yang memungkinkan malware bertahan dari penginstalan ulang OS.

Selain itu, AdvIntel dan Eclypsium mengatakan fitur modul baru dapat digunakan lebih dari sekadar persistence yang lebih baik, seperti:

  • Melakukan bricking perangkat dari jarak jauh pada tingkat firmware melalui koneksi jarak jauh malware yang khas.
  • Melewati kontrol keamanan seperti BitLocker, ELAM, Windows 10 Virtual Secure Mode, Credential Guard, kontrol perlindungan endpoint seperti A/V, EDR, dll.
  • Menyiapkan serangan lanjutan yang menargetkan kerentanan Intel CSME, beberapa di antaranya memerlukan akses flash SPI.
  • Membalikkan ACM atau pembaruan kode mikro yang menambal kerentanan CPU seperti Spectre, MDS, dll.

Kabar baiknya adalah bahwa “sejauh ini, modul TrickBot hanya memeriksa pengontrol SPI untuk memeriksa apakah perlindungan penulisan BIOS diaktifkan atau tidak, dan belum terlihat memodifikasi firmware itu sendiri,” menurut AdvIntel dan Eclypsium.

Namun, Modul ini juga dapat digunakan dalam serangan ransomware, di mana geng TrickBot sering terlibat dengan menyewakan akses ke jaringan botnya kepada kru ransomware.

Sumber: AdvIntel

Selama beberapa minggu terakhir, operasi TrickBot telah memperlihatkan banyak pembaruan, dari teknik obfuscation baru, infrastruktur perintah dan kontrol baru, dan kampanye spam baru.

Sumber: ZDNet

Kerentanan keamanan perangkat lunak open-source ada selama lebih dari empat tahun sebelum terdeteksi

by

Diperlukan rata-rata lebih dari empat tahun untuk menemukan kerentanan dalam perangkat lunak open source, area dalam komunitas keamanan yang perlu ditangani, kata para peneliti.

Menurut laporan State of the Octoverse tahunan GitHub, yang diterbitkan pada hari Rabu, ketergantungan pada proyek open source, komponen, dan library lebih umum dari sebelumnya.

Selama tahun 2020, GitHub menghitung lebih dari 56 juta pengembang di platform, dengan lebih dari 60 juta repositori baru sedang dibuat – dan lebih dari 1,9 miliar kontribusi ditambahkan – sepanjang tahun.

Dibandingkan dengan 2019, GitHub menemukan bahwa 94% proyek sekarang mengandalkan komponen open source, dengan rata-rata hampir 700 dependensi.

Rata-rata, kerentanan bisa tidak terdeteksi selama lebih dari empat tahun dalam proyek open source sebelum pengungkapan. Perbaikan kemudian biasanya tersedia hanya dalam waktu sebulan, yang menurut GitHub “menunjukkan peluang yang jelas untuk meningkatkan deteksi kerentanan”.

Namun, mayoritas bug dalam perangkat lunak open source tidak berbahaya. Sebaliknya, 83% dari peringatan CVE yang dikeluarkan oleh GitHub disebabkan oleh kesalahan dan human error – meskipun pelaku ancaman masih dapat memanfaatkannya untuk tujuan jahat.

Secara total, 17% kerentanan dianggap berbahaya – seperti varian backdoor – tetapi ini hanya memicu 0,2% peringatan, karena paling sering ditemukan dalam paket yang ditinggalkan atau jarang digunakan.

Menurut GitHub, 59% repositori aktif di platform akan menerima peringatan keamanan di tahun mendatang. Selama tahun 2020, Ruby dan JavaScript adalah yang paling mungkin menerima peringatan.

Sumber: ZDNet

Grup peretas Rusia menggunakan Dropbox untuk menyimpan data yang dicuri malware

by

Grup peretas yang didukung Rusia, Turla, telah menggunakan malware toolset untuk menyebarkan backdoor dan mencuri dokumen sensitif dalam kampanye spionase siber yang menargetkan profil tinggi seperti Kementerian Luar Negeri sebuah negara Uni Eropa.

Malware framework yang sebelumnya tidak diketahui, dinamai Crutch oleh penulisnya, digunakan dalam kampanye mulai dari 2015 hingga setidaknya awal 2020.

Malware Crutch Turla ini dirancang untuk membantu memanen dan mengekstrak dokumen sensitif dan berbagai file menarik lainnya ke akun Dropbox yang dikendalikan oleh grup tersebut.

“Kecanggihan serangan dan detail teknis dari penemuan ini semakin memperkuat persepsi bahwa kelompok Turla memiliki sumber daya yang cukup besar untuk mengoperasikan persenjataan yang begitu besar dan beragam,” kata peneliti ESET Matthieu Faou dalam sebuah laporan yang dibagikan sebelumnya dengan BleepingComputer.

“Selanjutnya, Crutch mampu melewati beberapa lapisan keamanan dengan menyalahgunakan infrastruktur resmi – yaitu, Dropbox – untuk berbaur dengan lalu lintas jaringan normal sambil mengeksfiltrasi dokumen yang dicuri dan menerima perintah dari operatornya.”

Versi awal Crutch (antara 2015 hingga pertengahan 2019) menggunakan saluran backdoor untuk berkomunikasi dengan akun Dropbox yang di-hardcode melalui API HTTP resmi dan alat pemantauan drive tanpa kemampuan jaringan yang mencari dan mengarsipkan dokumen menarik sebagai arsip terenkripsi.

Versi yang diperbarui (dilacak sebagai ‘versi 4’ oleh ESET) menambahkan removable-drive monitor dengan kemampuan jaringan dan menghapus kemampuan backdoor.

Crutch malware architecture (ESET)

Sumber: Bleeping Computer