Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Staf GoDaddy menjadi korban penipuan rekayasa sosial dalam serangan pertukaran mata uang kripto

by

Karyawan GoDaddy dieksploitasi untuk memfasilitasi serangan terhadap berbagai pertukaran mata uang kripto melalui rekayasa sosial dan phishing.

Staf di pencatatan nama domain menjadi sasaran penipuan manipulasi psikologis yang menipu mereka untuk mengubah email dan catatan pendaftaran, yang digunakan untuk melakukan serangan terhadap organisasi lain.

Seperti yang dilaporkan oleh pakar keamanan Brian Krebs minggu lalu, GoDaddy mengonfirmasi bahwa penipuan tersebut menyebabkan “sejumlah kecil” nama domain pelanggan ‘diubah’ awal bulan ini.

Mulai pertengahan November, penipu memastikan bahwa email dan lalu lintas web yang ditujukan untuk pertukaran mata uang kripto telah dialihkan. Liquid.com dan pos perdagangan mata uang kripto NiceHash terkena dampaknya, dan diduga pertukaran lain mungkin juga terpengaruh.

Liquid.com berisi serangan setelah penemuan, dan sementara penyerang mungkin telah mengakses email pengguna, nama, alamat, dan kata sandi terenkripsi, dana klien telah diperhitungkan.

Dalam kasus NiceHash, perusahaan menyalahkan “masalah teknis” di GoDaddy yang mengakibatkan “akses tidak sah” ke pengaturan domain, yang menyebabkan data DNS untuk nicehash.com diubah.

Menurut Krebs, pendiri NiceHash Matjaz Skorjanc menambahkan bahwa para penyerang berusaha untuk memaksa pengaturan ulang kata sandi pada layanan pihak ketiga, termasuk Slack, tetapi NiceHash mampu menangkis upaya ini.

Sumber: ZDNet

Malware membuat toko online palsu di atas situs WordPress yang diretas

by

Geng kejahatan siber baru terlihat mengambil alih situs WordPress yang rentan untuk memasang toko e-commerce tersembunyi dengan tujuan membajak peringkat dan reputasi search engine situs asli serta mempromosikan penipuan online.

Serangan tersebut ditemukan awal bulan ini dengan menargetkan honeypot WordPress yang disiapkan dan dikelola oleh Larry Cashdollar, seorang peneliti keamanan untuk tim keamanan Akamai.

Para penyerang memanfaatkan serangan brute-force untuk mendapatkan akses ke akun admin situs, setelah itu mereka menimpa file indeks utama situs WordPress dan menambahkan kode berbahaya.

Sementara kode itu sangat disamarkan, Cashdollar mengatakan peran utama malware adalah bertindak sebagai proxy dan mengarahkan semua lalu lintas masuk ke server command-and-control (C&C) jarak jauh yang dikelola oleh peretas.

Di server inilah seluruh “logika bisnis” serangan terjadi. Menurut Cashdollar, tipikal serangan adalah sebagai berikut:

  1. Pengguna mengunjungi situs WordPress yang diretas.
  2. Situs WordPress yang diretas mengalihkan permintaan pengguna untuk melihat situs tersebut ke server C&C malware.
  3. Jika pengguna memenuhi kriteria tertentu, server C&C memberi tahu situs tersebut untuk membalas dengan file HTML berisi toko online yang menjajakan berbagai macam objek duniawi.
  4. Situs yang diretas menanggapi permintaan pengguna dengan toko online palsu alih-alih situs asli yang ingin dilihat pengguna.

Cashdollar mengatakan bahwa selama peretas memiliki akses ke honeypot nya, para penyerang menampung lebih dari 7.000 toko e-commerce yang mereka maksudkan untuk melayani pengunjung yang datang.

Selain itu, para peneliti Akamai mengatakan para peretas juga membuat peta situs XML untuk situs WordPress yang diretas yang berisi entri untuk toko online palsu bersama dengan halaman asli situs tersebut. Ini berakibat meracuni kata kuncinya dengan entri yang tidak terkait dan palsu yang menurunkan peringkat halaman hasil mesin pencari (SERP) situs web.

Sumber: ZDNet

Layanan gratis Google sekarang menjadi sahabat kampanye phishing

by

Pelaku ancaman menyalahgunakan alat dan layanan produktivitas gratis Google untuk membuat kampanye phishing yang meyakinkan yang dapat mencuri kredensial Anda atau mengelabui Anda agar memasang malware.

Dalam laporan baru oleh firma keamanan email Armorblox, peneliti menggambarkan bagaimana pelaku ancaman membuat kampanye phishing yang rumit menggunakan layanan Google yang tidak hanya terlihat meyakinkan tetapi juga menghindari deteksi.

Salah satunya adalah layanan pembuatan formulir gratis yang disebut Google Form yang memungkinkan siapa saja membuat survei online gratis yang kemudian dapat dikirim ke pengguna lain.

Namun, pelaku ancaman menyalahgunakan Google Form untuk membuat formulir yang rumit yang berupaya mencuri kredensial Anda, seperti formulir pemulihan akun American Express palsu pada contoh berikut. Pelaku ancaman kemudian dapat mengumpulkan informasi yang diserahkan di kemudian hari.

Sumber: Armorblox

Selain itu, layanan Google yang paling umum digunakan dalam penipuan phishing adalah Google Documents. Layanan ini tidak hanya digunakan untuk mengarahkan penerima ke pencurian kredensial dan penipuan akuntansi, tetapi juga untuk mengirimkan malware.

Karena Google Docs sangat banyak digunakan, hampir semua dokumen baru akan melewati gerbang email yang aman sampai mereka diidentifikasi sebagai berbahaya.

Google Docs juga banyak digunakan dalam kampanye malware BazarLoader sebagai halaman perantara untuk mendownload malware yang menyamar sebagai invoice, informasi COVID-19, dan jenis dokumen lainnya.

Baca berita selengkapnya pada tautan di bawah ini;
Sumber: Bleeping Computer

Egregor ransomware membombardir printer korban dengan catatam tebusan

by

Ransomware Egregor menggunakan pendekatan baru untuk menarik perhatian korban setelah serangan – ambil catatan tebusan dari semua printer yang tersedia.

Geng ransomware tahu bahwa banyak bisnis lebih suka menyembunyikan serangan ransomware daripada mempublikasikannya, termasuk kepada karyawan, karena takut akan berita yang memengaruhi harga saham dan reputasi mereka.

Untuk meningkatkan kesadaran publik atas serangan tersebut dan menekan korban agar membayar, operasi Egregor diketahui berulang kali mencetak catatan tebusan dari semua jaringan dan printer lokal yang tersedia setelah serangan terjadi.

Menurut BleepingComputer, mereka dapat mengonfirmasi bahwa itu bukan ransomware yang dapat menjalankan pencetakan catatan tebusan.

Sebaliknya, diyakini bahwa penyerang ransomware menggunakan skrip di akhir serangan untuk mencetak catatan tebusan ke semua printer yang tersedia.

Skrip ini belum ditemukan pada saat penulisan.

Sumber: Bleeping Computer

Berikut adalah kata sandi paling umum pada tahun 2020

by

Kembali ke tahun 2015, kata sandi terburuk yang masih umum digunakan termasuk “123456” dan “password.” Lima tahun berlalu, dan contoh-contoh ini masih banyak digunakan.

Setelah menganalisis 275.699.516 kata sandi yang bocor selama pelanggaran data tahun 2020, NordPass dan mitranya menemukan bahwa kata sandi yang paling umum sangat mudah ditebak – dan mungkin perlu waktu kurang dari satu atau dua detik bagi penyerang untuk membobol akun menggunakan kredensial ini. Hanya 44% dari yang tercatat dianggap “unik”.

Pada hari Rabu, penyedia solusi pengelola kata sandi menerbitkan laporan tahunannya tentang keadaan keamanan kata sandi, menemukan bahwa opsi yang paling populer adalah “123456”, “123456789”, “picture1”, “password”, dan “12345678.”

Dengan pengecualian “picture1”, yang akan membutuhkan waktu sekitar tiga jam untuk dipecahkan menggunakan serangan brute-force, setiap sandi memerlukan hanya beberapa detik saja menggunakan dictionary scripts – yang mengumpulkan frasa umum dan kombinasi numerik untuk dicoba – atau lebih sederhana, tebakan manusia.

Sebagai salah satu peserta dalam daftar 200-strong menggambarkan keadaan dalam hal keamanan kata sandi, “whatever”, tampaknya banyak dari kita masih enggan menggunakan kata sandi yang kuat dan sulit untuk dipecahkan – dan sebaliknya, kita malah menggunakan opsi termasuk “football”, “iloveyou”, “letmein”, dan “pokemon”.

10 kata sandi paling umum tahun 2020, berdasarkan kumpulan data NordPass, tercantum di bawah ini:

sumber: ZDNet

Sumber: ZDNet

Malware Chaes menyerang pelanggan platform e-commerce terbesar di Amerika Latin

by

Malware yang sebelumnya tidak dikenal telah terdeteksi dalam serangan yang meluas terhadap pelanggan e-commerce di Amerika Latin.

Malware, yang dijuluki Chaes oleh para peneliti Cybereason Nocturnus, digunakan oleh pelaku ancaman di seluruh wilayah LATAM (Latin America) untuk mencuri informasi keuangan.

Dalam sebuah posting blog, tim keamanan siber mengatakan pelanggan Brasil dari perusahaan e-commerce terbesar di kawasan itu, MercadoLivre, adalah fokus dari malware infostealing tersebut.

Pertama kali terdeteksi pada akhir tahun 2020 oleh Cybereason, Chaes disebarkan melalui kampanye phishing, di mana email mengklaim bahwa pembelian di platform MercadoLivre telah berhasil. Untuk mencoba dan meningkatkan tampilan email agar terlihat sah, pelaku ancaman juga menambahkan “dipindai oleh Avast” pada footer.

Pesan tersebut berisi lampiran file .docx berbahaya. Assaf Dahan, Kepala Peneliti di Cybereason, mengatakan kepada ZDNet bahwa lampiran tersebut memanfaatkan “teknik injeksi template, menggunakan fitur bawaan Microsoft Word untuk mengambil muatan dari server jarak jauh.”

Jika korban mengklik file tersebut, kerentanan digunakan untuk membuat sambungan dengan server command-and-control (C2) penyerang, serta mendownload muatan berbahaya pertama, file .msi.

File ini kemudian menyebarkan file .vbs yang digunakan untuk menjalankan proses lain, serta uninstall.dll dan engine.bin, yang keduanya bertindak sebagai “engine” malware. Trio file yang lain – hhc.exe, hha.dll dan chaes1.bin – diinstal yang menyatukan komponen utama Chaes. Modul penambangan cryptocurrency juga dicatat.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Pompa infus Alaris milik BD ditandai karena adanya kerentanan keamanan siber

by

Unit pompa infus Alaris BD telah menjadi subjek pemberitahuan penarikan di bawah keputusan persetujuan yang diubah dengan FDA. Penasihat Medis ICS yang dikeluarkan oleh DHS pada hari Kamis tidak terkait dengan masalah tersebut. Sebaliknya, pemberitahuan tersebut berkaitan dengan kerentanan sesi jaringan yang memengaruhi proses otentikasi antara versi tertentu dari Unit PC Alaris dan Manajer Sistem.

Penyerang dengan akses ke jaringan yang terkait dengan perangkat BD yang terpengaruh dapat mengeksploitasi kerentanan untuk membuat sesi jaringan langsung antara Alaris PC Unit dan Manajer Sistem, asalkan mereka dapat mengarahkan permintaan otentikasi dan menyelesaikan jabat tangan otentikasi, sejenis pemeriksaan identitas.

Eksploitasi yang berhasil memungkinkan serangan DoS yang menyebabkan penurunan fungsi nirkabel Unit PC. Pengguna kemudian perlu mengoperasikan Unit PC secara manual tetapi akan terus berfungsi seperti yang diprogram.

Mungkin tidak ada pengguna yang akan menghadapi masalah tersebut. BD belum menerima laporan serangan dunia nyata dan telah mengatasi kerentanan di lebih dari 60% penginstalan Manajer Sistem melalui peningkatan server normalnya. Sebuah patch untuk perangkat lunak Unit PC direncanakan. Untuk sementara, BD menyarankan pengguna untuk mempertimbangkan mitigasi termasuk penggunaan firewall dan penonaktifan protokol dan layanan akun yang tidak perlu.

Dukungan Firefox untuk Flash berakhir pada 26 Januari

by

Mozilla menjelaskan pada hari Selasa bahwa Firefox 85 akan dirilis tanpa ada dukungan untuk Adobe Flash.

“Firefox versi 84 akan menjadi versi terakhir yang mendukung Flash. Pada 26 Januari 2021 ketika kami merilis Firefox versi 85, akan dikirimkan tanpa dukungan Flash, meningkatkan kinerja dan keamanan kami,” kata Mozilla dalam sebuah posting.

“Tidak akan ada setelan untuk mengaktifkan kembali dukungan Flash. Plugin Adobe Flash akan berhenti memuat konten Flash setelah 12 Januari 2021.”

Mozilla mengatakan jika sebuah perusahaan memerlukan dukungan lisensi Flash setelah masa berakhir, mereka harus menghubungi Harman Samsung untuk mendapatkan dukungan yang didukung Adobe.

Berita selengkapnya:
Sumber: ZDNet