Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Malware untuk Penipuan Iklan Menjadi Lebih Canggih

by

Minggu lalu, Facebook mengungkapkan bahwa perusahaan telah menemukan serangan luas pada penggunanya yang telah membobol akun, mengumpulkan kredensial dan token sesi, dan menggunakan akses untuk membeli iklan, barang palsu, dan untuk membuat ulasan produk palsu.

Disebut SilentFade – yang menurut perusahaan adalah singkatan dari “Diam-diam Menjalankan Iklan Facebook dengan Eksploitasi” – sistem pengguna yang terinfeksi malware dan mengakibatkan biaya lebih dari $4 juta, Facebook menyatakan dalam analisisnya.

Kampanye ini – yang ditemukan Facebook pada Desember 2018 dan telah mengambil tindakan pada dua bulan kemudian, menghindari deteksi ancaman dengan mencuri cookie sesi dari pengguna dan masuk dari alamat IP yang secara geografis dekat dengan korban.

SilentFade juga menonaktifkan banyak peringatan dan pemberitahuan keamanan dan menggunakan exploit untuk mencegah pengguna membatalkan perubahan, menurut peneliti perusahaan.

Selain itu, SilentFade mencuri cookie yang berisi token sesi, yang sering dianggap lebih berharga daripada sandi, karena cookie merupakan bukti pasca-otentikasi bahwa pengguna memberikan kredensial yang benar. Dengan menggunakan cookie alih-alih mencuri nama pengguna dan kata sandi, penyerang sering menghindari otentikasi dua faktor.

Komponen pencuri cookie dari SilentFade menargetkan sejumlah besar browser, termasuk Chrome, Opera, Internet Explorer, Edge, dan lainnya.

Facebook telah memperkuat layanannya terhadap SilentFade dan serangan grup lainnya, tetapi menekankan bahwa platform media sosial lainnya mungkin masih terpengaruh oleh kampanye penipuan iklan.

Berita selengkapnya dapat di baca pada tautan di bawah ini;
Source: Dark Reading

Lonjakan ancaman ransomware, Ryuk menyerang sekitar 20 org per minggu

by

Peneliti malware yang memantau ancaman ransomware melihat peningkatan tajam dalam beberapa serangan ransomware selama beberapa bulan terakhir dibandingkan dengan enam bulan pertama tahun 2020.

Di bagian atas daftar adalah keluarga ransomware Maze, Ryuk, dan REvil (Sodinokibi), menurut data yang baru-baru ini diterbitkan dari Check Point dan tim IBM Security X-Force Incident Response.

Data dari Check Point mengacu pada kuartal ketiga tahun ini menunjukkan bahwa Maze dan Ryuk adalah keluarga ransomware yang paling umum, dengan ransomware menyerang rata-rata 20 perusahaan per minggu.

Perusahaan mengatakan bahwa serangan ransomware meningkat sebesar 50% pada tingkat global pada kuartal ketiga tahun 2020, Ryuk dan Maze adalah ancaman yang paling umum.

Di Amerika, serangan ini hampir dua kali lipat pada kuartal ketiga, menempatkannya di lima besar negara yang paling terpengaruh di Q3:

  • Amerika Serikat (98,1% meningkat)
  • India (39,2% meningkat)
  • Sri Lanka (436% meningkat)
  • Rusia (57,9% meningkat)
  • Turki (32,5% meningkat)

Serangan ransomware sangat menguntungkan bagi penjahat siber sehingga hampir tidak ada peluang ancaman ini menghilang dalam waktu dekat, terutama dengan taktik yang berkembang (mencuri data dan membocorkan atau menjualnya di web gelap) yang dirancang untuk memaksa membayar tebusan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Botnet HEH baru dapat menghapus router dan perangkat IoT

by

Dinamakan HEH, botnet ini menyebar dengan meluncurkan serangan brute force terhadap sistem yang terhubung ke internet yang memiliki port SSH (23 dan 2323) yang terbuka secara online.

Jika perangkat menggunakan kredensial SSH default atau yang mudah ditebak, botnet mendapatkan akses ke sistem, di mana ia segera mengunduh salah satu dari tujuh binary yang kemudian dapat menginstal malware HEH.

Malware HEH ini tidak mengandung fitur ofensif.

Satu-satunya fitur yang ada adalah fungsi yang menjerat perangkat yang terinfeksi dan memaksa mereka untuk melakukan serangan brute force SSH di internet untuk membantu memperkuat botnet; fitur yang memungkinkan penyerang menjalankan perintah Shell pada perangkat yang terinfeksi; dan variasi dari fitur kedua ini yang menjalankan daftar operasi Shell yang telah ditentukan sebelumnya yang menghapus semua partisi perangkat.

HEH ditemukan oleh peneliti keamanan dari Netlab, divisi keamanan jaringan raksasa teknologi China Qihoo 360, dan dirinci untuk pertama kalinya dalam laporan yang diterbitkan pada 6 Oktober 2020.

Karena ini adalah botnet yang relatif baru, peneliti Netlab tidak dapat mengetahui apakah operasi penghapusan perangkat disengaja atau apakah itu hanya rutinitas penghancuran diri dengan kode yang buruk.

Saat ini, Netlab mengatakan telah mendeteksi sampel HEH yang dapat dijalankan pada arsitektur CPU berikut x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III), dan PPC.

Botnet ini masih menyebar. HEH, meskipun belum memblokir perangkat apa pun, tidak akan menjadi botnet pertama yang menghapus perangkat IoT. Dua yang pertama adalah BirckerBot dan Silex.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

MosaicRegressor: Rootkit UEFI kedua ditemukan di alam liar

by

Rootkit UEFI kedua yang digunakan di alam liar ditemukan oleh peneliti keamanan selama investigasi seputar serangan dari tahun 2019 terhadap dua organisasi non-pemerintah (LSM).

Firmware UEFI (Unified Extensible Firmware Interface) memungkinkan malware yang sangat persisten mengingat bahwa itu diinstal dalam penyimpanan flash SPI yang disolder ke motherboard komputer sehingga tidak mungkin untuk dihilangkan melalui instalasi ulang OS atau penggantian hard drive.

Bootkit UEFI, dijuluki MosaicRegressor oleh peneliti Kaspersky Mark Lechtik dan Igor Kuznetsov yang menemukannya, adalah kerangka kerja malware modular dan multi-stage yang digunakan oleh peretas berbahasa Mandarin dalam operasi pencurian data dan spionase.

Hanya satu contoh lain dari bootkit UEFI yang digunakan di alam liar yang diketahui, yaitu LoJax, rootkit yang ditemukan oleh ESET pada tahun 2018.

LoJax disuntikkan oleh kelompok peretas APT28 berbahasa Rusia dalam perangkat lunak anti-theft LoJack yang sah dalam bentuk modul UEFI yang ditambal.

MosaicRegressor mempunyai beberapa downloader dan, terkadang, beberapa pemuat perantara yang tujuan akhirnya adalah mengunduh dan mengeksekusi muatan berbahaya pada mesin target.

Laporan lengkap Kaspersky (termasuk detail teknis) tentang bootkit MosaicRegressor UEFI multi-stage dan modular dapat ditemukan di sini (PDF).

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Grup peretas menyerang penyedia seluler untuk mencuri kartu kredit

by

Grup skimming kartu kredit Fullz House telah menyusupi dan menginjeksi situs web operator jaringan virtual seluler AS (MVNO) Boom! Seluler dengan skrip pencuri kartu kredit.

Jenis penyusupan ini dikenal sebagai serangan MageCart (alias web skimming atau e-skimming), yang terdiri dari pelaku ancaman yang menyuntikkan skrip JavaScript berbahaya dalam satu atau beberapa bagian situs web yang disusupi.

Skrip ini kemudian digunakan oleh peretas untuk mencuri pembayaran atau info pribadi yang dikirimkan oleh pelanggan situs.

Seperti yang ditemukan oleh Tim Intelijen Ancaman Malwarebytes, penyerang memasukkan satu baris kode yang memuat pustaka JavaScript eksternal dari paypal-debit[.]Com/cdn/ga.js, yang disamarkan sebagai skrip Google Analytics.

Skimmer kartu bekerja dengan mengumpulkan informasi kartu pembayaran dari bidang input setiap kali mendeteksi perubahan apa pun, segera mengeksfiltrasi data yang dipanen sebagai permintaan GET yang dikodekan menggunakan Base64.

Meskipun metode pasti yang digunakan oleh grup Fullz House Magecart untuk menyusup ke situs web Boom tidak diketahui, Malwarebytes mengamati bahwa situs perusahaan tersebut menjalankan PHP versi 5.6.40, sebuah versi yang tidak didukung sejak Januari 2019.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Peringatan! Steker pintar ini dapat diretas dan menyalakan api

by

Sebuah studi baru-baru ini menemukan beberapa kelemahan keamanan utama dengan steker pintar yang diuji. Jika Anda menggunakan steker pintar di rumah, Anda mungkin ingin mencatat masalahnya.

Organisasi yang berbasis di Inggris, Which?, baru-baru ini menyelesaikan studi tentang steker pintar, dan apa yang ditemukan cukup mengganggu.

Ternyata beberapa steker pintar murah yang ditemukan di pasar online dapat datang dengan masalah keamanan kritis yang membuat Anda rentan terhadap peretas. Lebih buruk lagi? Beberapa kekurangan desain bahkan dapat memicu kebakaran.

Sebagai bagian dari studi, Which? membeli 10 steker pintar dari pengecer online populer untuk pengujian.

Mulai dari merek populer seperti TP-Link dan Hive hingga merek yang kurang terkenal seperti Hictkon, Meross, dan Ajax Online. Sembilan dari 10 steker pintar yang diuji memiliki masalah, dan total 13 kerentanan ditemukan secara bersamaan.

Steker pintar dengan masalah keamanan:
  • Hictkon Smart Plug

    • Masalah utamanya adalah steker yang dirancang dengan buruk menimbulkan risiko kebakaran, terutama untuk rumah dengan kabel yang lebih tua. Jika Anda menggunakan steker pintar ini, Which? merekomendasikan Anda untuk mencabutnya dan segera berhenti menggunakannya.

Steker pintar dengan masalah keamanan:
  • TP Link Kasa Smart Plug

    • Masalah utama adalah Cacat keamanan kritis dapat memungkinkan peretas untuk mengambil kendali penuh atas steker dan daya yang mengalir ke perangkat yang terhubung. Kerentanan khusus ini adalah hasil dari enkripsi yang lemah. Menurut Which?, TP-Link telah mengembangkan perbaikan untuk masalah dengan steker pintar Kasa. Patch akan diluncurkan bulan ini (Oktober).

  • Meross Smart Plug

    • Masalah utama yang diidentifikasi Which? adalah bahwa sandi Wi-Fi pengguna tidak dienkripsi selama penyiapan steker pintar. Itu berarti seorang peretas dapat, secara teori, mencuri mereka dan menggunakan koneksi Wi-Fi atau membahayakan perangkat lain. Meross memberi tahu Which? bahwa mereka akan bekerja untuk memperbaiki masalah tersebut, tetapi belum ada tanggal untuk perbaikan yang telah dicatat.

Untuk beberapa kerentanan pada steker pintar yang lain dapat di baca pada tautan di bawah ini;
Source: Komando

Layanan avatar online Gravatar memungkinkan pengumpulan informasi pengguna secara massal

by

Teknik enumerasi pengguna yang ditemukan oleh peneliti keamanan Carlo Di Dato menunjukkan bagaimana Gravatar dapat disalahgunakan untuk pengumpulan data massal profilnya oleh web crawlers dan bots.

Gravatar adalah layanan avatar online yang memungkinkan pengguna mengatur dan menggunakan gambar profil (avatar) di beberapa situs web yang mendukung Gravatar.

Menurut dokumentasi resmi Gravatar, struktur URL profil Gravatar terdiri dari nama pengguna atau hash MD5 dari alamat email yang terkait dengan profil itu.

Peneliti keamanan Italia Carlo Di Dato dalam menemukan kemungkinan ini menghubungi BleepingComputer minggu ini setelah gagal mendapatkan tindakan konkret dari Gravatar.

Rute API tersembunyi di dalam layanan memungkinkan siapa saja untuk mendapatkan data JSON pengguna hanya dengan menggunakan bidang “id” profil.

“Jika Anda melihat file JSON, Anda akan menemukan banyak informasi menarik. Bahaya dari masalah semacam ini adalah bahwa pengguna jahat dapat mengunduh data dalam jumlah besar dan melakukan segala jenis serangan social engineering terhadap pengguna yang sah,” kata Di Dato.

Dalam pengujian yang dilakukan BleepingComputer, mereka dapat mengonfirmasi profil pengguna tertentu memiliki lebih banyak data publik daripada yang lain, misalnya, alamat dompet BitCoin, nomor telepon, lokasi, dll.

Pengguna yang membuat profil publik di Gravatar setuju untuk membuat data ini tersedia untuk umum, jadi ini bukan kebocoran data atau masalah privasi dalam hal itu.

Dulu, penjahat telah mengumpulkan data profil Facebook secara massal menggunakan API-nya dan menjualnya di dark web untuk mendapatkan keuntungan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Egregor Ransomware Mengancam Akan Merilis Data Perusahaan ke Media Massa

by

Sebuah keluarga ransomware yang baru ditemukan bernama Egregor telah ditemukan, menggunakan taktik mencuri informasi perusahaan dan mengancam akan merilisnya ke “media massa” sebelum mengenkripsi semua file.

Menurut analisis dari Appgate, kode tersebut tampaknya merupakan spin-off dari Sekhmet ransomware – sebuah tautan yang juga dicatat oleh peneliti lain.

“Sampel yang kami analisis memiliki banyak teknik anti-analisis, seperti obfuscation code dan muatan yang dikemas,” menurut penelitian perusahaan, yang diumumkan hari Jumat.

“Selain itu, dalam salah satu tahapan eksekusi, muatan Egregor hanya dapat didekripsi jika kunci yang benar diberikan dalam baris perintah proses, yang berarti bahwa file tidak dapat dianalisis, baik secara manual atau menggunakan sandbox, jika sama persis baris perintah yang digunakan penyerang untuk menjalankan ransomware tidak tersedia.”

“Kami telah menemukan bahwa Egregor dapat menerima parameter tambahan melalui baris perintah, seperti ‘nomimikatz,’ ‘killrdp,’ ‘norename,’ antara lain,” kata Gustavo Palazolo, peneliti keamanan di Appgate.

“Saat ini, tim kami masih merekayasa balik malware untuk mendapatkan gambaran keseluruhan.”

Peneliti Appgate juga menemukan bahwa catatan tebusan menuntut pembayaran dalam waktu tiga hari – jika tidak, data sensitif akan bocor.

“Pada saat perilisan advisory, setidaknya ada 13 perusahaan berbeda yang terdaftar di ‘hall of shame’ mereka, termasuk perusahaan logistik global GEFCO, yang mengalami serangan cyber minggu lalu,” menurut perusahaan tersebut.

“Apa artinya? Artinya, segera setelah bocor di media massa, mitra dan klien Anda AKAN TAHU MASALAH Anda.”

“Sayangnya, tidak ada rincian tentang [jumlah pembayaran tebusan] dalam catatan tebusan atau di situs web Egregor,” kata peneliti tersebut kepada Threatpost.

“Untuk mendapatkan detail pembayaran, korban perlu membuka tautan yang menuju ke deep web yang disediakan Egregor dan mendapatkan instruksi dari penyerang melalui obrolan langsung.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post