Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Botnet Emotet telah mulai menggunakan template ‘Red Dawn’ baru

by

Trojan Emotet yang telah berbulan-bulan tidak aktif telah melonjak kembali pada bulan Juli dengan kampanye spam besar-besaran baru yang menargetkan pengguna di seluruh dunia.

Trojan perbankan Emotet telah aktif setidaknya sejak 2014, botnet dioperasikan oleh pelaku ancaman yang dilacak sebagai TA542. Pada pertengahan Agustus, malware Emotet digunakan dalam kampanye spam baru bertema COVID19.

Kampanye spam baru-baru ini menggunakan pesan dengan dokumen Word berbahaya, atau tautan ke sana, berpura-pura menjadi faktur, informasi pengiriman, informasi COVID-19, resume, dokumen keuangan, atau dokumen yang telah discan.

Setelah membuka dokumen, mereka akan meminta pengguna untuk ‘Mengaktifkan Konten’ untuk menjalankan makro tersemat yang berbahaya yang akan memulai proses infeksi.

Untuk mengelabui pengguna agar mengaktifkan makro, operator botnet Emotet menggunakan template dokumen yang memberi tahu mereka bahwa dokumen tersebut dibuat di iOS dan tidak dapat dilihat dengan benar kecuali tombol ‘Aktifkan Konten’ diklik.

“Pada 25 Agustus, botnet beralih ke templat baru yang oleh pakar Emotet Joseph Roosen dinamai ‘Red Dawn’ karena warna aksen merahnya.” BleepingComputer melaporkan.

Template Red Dawn menampilkan pesan “Dokumen ini dilindungi” dan memberi tahu pengguna bahwa pratinjau tidak tersedia dalam upaya untuk mengelabui mereka agar mengklik ‘Aktifkan Pengeditan’ dan ‘Aktifkan Konten’ untuk mengakses konten.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Security Affairs

Aplikasi Google Play menjanjikan sepatu gratis, tetapi pengguna malah mendapatkan malware penipuan iklan

by

Google telah menghapus sejumlah aplikasi Android dari Google Play Store resmi yang menurut perusahaan merupakan bagian dari botnet penipuan iklan.

Dinamakan Terracotta, botnet ini ditemukan oleh tim keamanan seluler Satori di White Ops, sebuah firma keamanan yang berspesialisasi dalam mengidentifikasi perilaku bot. Peneliti White Ops mengatakan mereka telah melacak Terracotta sejak akhir 2019.

Menurut para peneliti, Terracotta beroperasi dengan mengunggah aplikasi di Google Play Store yang menjanjikan pengguna fasilitas gratis jika mereka menginstal aplikasi di perangkat mereka.

Aplikasi-aplikasi tersebut biasanya menawarkan sepatu gratis, sepatu kets, sepatu bot, dan terkadang tiket, kupon, dan perawatan gigi yang mahal. Pengguna diberitahu untuk menginstal aplikasi dan kemudian menunggu dua minggu untuk menerima produk gratis, selama itu mereka harus membiarkan aplikasi tersebut terinstal di smartphone mereka.

Geng Terracotta lalu meluncurkan browser WebView yang dimodifikasi, disembunyikan dari pandangan pengguna, dan melakukan penipuan iklan dengan memuat iklan dan memperoleh pendapatan dari tayangan iklan palsu.

Untuk peneliti keamanan, pengembang aplikasi Android, dan engineer perangkat lunak, White Ops telah menerbitkan laporan teknis mendalam yang merinci cara kerja Terracotta pada tautan di bawah ini;

Source: White Ops | ZDNet

Trik Baru Sebuah Bot Tua Berbahaya: Menjelajahi Metode Serangan Terbaru Qbot

by

Trojan perbankan terkenal Qbot telah menjalankan bisnisnya selama lebih dari satu dekade.

Malware, yang juga dijuluki Qakbot dan Pinkslipbot, ditemukan pada 2008 dan dikenal karena mengumpulkan data penjelajahan dan mencuri kredensial perbankan dan informasi keuangan lainnya dari para korban.

Bot ini sangat terstruktur, berlapis-lapis, dan terus dikembangkan dengan fitur-fitur baru untuk memperluas kemampuannya. ‘Trik’ baru ini berarti bahwa terlepas dari usianya, Qbot masih merupakan ancaman berbahaya bagi organisasi.

Kampanye malspam Qbot kembali pada awal Agustus, menyebar secara global dan menginfeksi target baru. Salah satu trik baru Qbot sangat berbahaya, karena setelah mesin terinfeksi, ia mengaktifkan ‘modul kolektor email’ khusus yang mengekstrak semua utas email dari klien Outlook korban, dan mengunggahnya ke server jarak jauh.

Email yang dicuri ini kemudian digunakan untuk kampanye malspam di masa mendatang. Memudahkan mereka menipu pengguna untuk mengklik lampiran yang terinfeksi karena email spam tersebut tampaknya melanjutkan percakapan email sah yang ada.

Peneliti dari Check Point telah melihat contoh utas email yang ditargetkan dan dibajak dengan subjek yang terkait dengan Covid-19, pengingat pembayaran pajak, dan perekrutan pekerjaan.

 
Baca laporan selengkapnya dari Check Point pada tautan berikut ini;
Source: Check Point Research

DDoS Aktor jahat menargetkan NZX, Moneygram, Braintree, dan jasa keuangan lainnya

by

Selama beberapa minggu terakhir, geng kriminal telah meluncurkan serangan DDoS terhadap beberapa penyedia layanan keuangan terbesar di dunia itu menuntut pembayaran Bitcoin sebagai biaya menghentikan serangan mereka.

Grup tersebut menyerang layanan pengiriman uang MoneyGram, YesBank India, Worldpay, PayPal, Braintree, dan Venmo. Bursa Selandia Baru (NZX) yang diserang selama tiga hari berturut-turut ini juga menjadi salah satu korban grup.

Para penyerang telah diidentifikasi sebagai kelompok yang sama dalam laporan Akamai yang diterbitkan 17 Agustus lalu.

Grup tersebut menggunakan nama lain seperti Armada Collective dan Fancy Bear. keduanya dipinjam dari grup peretas yang lebih terkenal untuk mengirim email ke perusahaan dan mengancam serangan DDoS yang dapat melumpuhkan operasi dan meminta para korban membayar permintaan tebusan yang sangat besar dalam Bitcoin .

Jenis serangan semacam itu disebut “pemerasan DDoS” atau “DDoS-for-Bitcoin” dan pertama kali terlihat pada musim panas 2016.

Selama beberapa tahun terakhir, kelompok pemeras DDoS menyampaikan ancaman mereka dan menyerang korban, tetapi sebagian besar dari upaya pemerasan ini hanya memberikan ancaman palsu.

Namun, grup yang aktif bulan ini adalah salah satu yang paling berbahaya yang terlihat sejak awal tren ini di tahun 2016.

Bursa Efek Selandia Baru Mengalami Gangguan Selama 4 Hari Akibat Serangan DDoS

by

Bursa Efek Selandia Baru (NZX) terkena serangan Distributed Denial of Service (DDoS) awal pekan ini.Pada Jumat pagi, NZX mengatakan akan buka seperti biasa, dengan menerapkan langkah-langkah tambahan untuk menjaga konektivitas sistem dan mengatasi serangan DDoS .Namun, dua jam kemudian, NZX mengalami masalah konektivitas serupa dengan serangan DDoS awal pekan ini.

Mereka berkata “Mengingat masalah saat ini, kami telah memperpanjang pra-pembukaan untuk dewan utama NZX dan pasar pemegang saham Fonterra. Pasar utang NZX dihentikan pada pukul 9:58 pagi [NZST],”Situs web pertukaran saat ini sedang offline. NZX pada hari Selasa dihantam serangan DDoS, mengakibatkan bursa menghentikan operasionalnya dari pukul 15.57 NZST.

Narasumber berkata Serangan DDoS datang dari lepas pantai, melalui jaringan Spark, untuk memengaruhi konektivitas sistem NZX. NZX mengatakan pihaknya terus bekerja dengan Spark, dan mitra keamanan siber nasional dan internasional, termasuk GCSB, untuk mengatasi serangan tersebut

Sumber : ZDnet

Mengurangi Resiko Serangan Ransomware

by

Dikonfirmasi oleh Elon Musk, ada upaya serangan Ransomware pada Tesla, yang berakhir dengan pelaku dari Rusia ditangkap oleh FBI setelah seorang karyawan perusahaan menolak tawaran 1 Juta Dollar untuk meretas sistem perusahaan, Peristiwa iini diiringi dengan peningkatan profesionalisme penjahat yang didedikasikan untuk kejahatan dunia maya, menggunakan serangan yang direncanakan dengan rekayasa sosial, mereka mencoba berkolaborasi dengan sesama karyawan dari Rusia di salah satu perusahaan paling terkenal di dunia saat itu.

Bagaimana perusahaan melindungi diri kejadian serupa? Hal pertama adalah dengan memahami bahwa ancaman itu nyata dan ada kemungkinan besar bahwa seseorang merancang serangan khusus terhadap perusahaan. Serangan dengan spear phishing atau whaling ini jauh lebih sulit untuk ditangkal karena melibatkan karywan, bukan komputer.

Setiap orang dalam organisasi harus memahami jika mereka bekerja sama dengan penjahat, hampir tidak ada keuntungan positifnya. Dalam banyak kasus, penjahat umumnya mengincar karywan yang tidak puas dan tidak bahagia di perusahaan. Mereka mencari menggunakan LinkedIn mereka, apakah karyawan tersebut sedang mencari pekerjaan lain. Sangat penting bagi karyawan untuk memahami bahwa bekerja sama dengan penjahat tidak akan adalah itikad yang tidak baik.

Selain itu harus dilakukan pelatihan, semua karyawan harus memahami tindak pencegahan yang harus diambil saat membuka email, beserta tautan file yang disertakan di dalamnya. Melalui latihan atau simulasi. Jejaring sosial seperti WhatsApp, umumnya digunakan untuk komunikasi internal di banyak perusahaan tetapi tidak dapat dikendalikan oleh departemen TI, hal ini menjadi sasaran utama penjahat untuk menghubungi calon potensial, karena yang dibutuhkan untuk memulai percakapan hanyalah nomor ponsel. Semua orang harus memahami bahwa tautan dalam email bisa jadi berbahaya, atau lampiran bisa jadi berisi file yang dapat di ekseskusi di komputer walaupun terlihat seperti foto, dokumen Word biasa, atau spreadsheet.

Bug pada Android memungkinkan aplikasi berbahaya mengambil data pribadi pengguna

by

Kerentanan pada Android memungkinkan aplikasi berbahaya untuk menyedot data sensitif dari aplikasi lain di perangkat yang sama.

Oversecured menemukan kelemahan ini di library Play Core yang banyak digunakan oleh Google untuk memfasilitasi pengembang memasukkan pembaruan dalam aplikasi dan fitur baru ke aplikasi Android mereka, seperti bahasa atau level game.

Aplikasi berbahaya di perangkat Android yang sama dapat mengeksploitasi kerentanan dengan menyuntikkan modul berbahaya ke aplikasi lain yang mengandalkan library untuk mencuri informasi pribadi, seperti kata sandi dan nomor kartu kredit.

Sergey Toshin, pendiri Oversecured, mengatakan kepada TechCrunch bahwa mengeksploitasi bug tersebut “cukup mudah”.

Perusahaan tersebut membuat aplikasi untuk membuktikannya, menggunakan beberapa baris kode untuk menguji kerentanan di Google Chrome Android, serta menggunakan versi pustaka Play Core yang rentan. Toshin mengatakan bahwa aplikasi tadi mampu mencuri riwayat penjelajahan korban, sandi, dan cookie.

Toshin juga mengatakan bug itu mempengaruhi beberapa aplikasi populer di Play Store Android.

Google telah mengonfirmasi bahwa bug tersebut berperingkat 8,8 dari 10,0, dan sekarang telah diperbaiki. “Kami menghargai peneliti yang melaporkan masalah ini kepada kami, dan hasilnya bug ini diperbaiki pada bulan Maret,” kata juru bicara Google.

Toshin mengatakan pengembang aplikasi harus memperbarui aplikasi mereka dengan library Play Core terbaru untuk menghilangkan ancaman.

Source : Techcrunch

CyberNews Meretas 28.000 Printer Yang Tidak Diamankan Untuk Meningkatkan Kesadaran Akan Masalah Keamanan Printer

by

Untuk membantu sebanyak mungkin orang mengamankan perangkat mereka dari potensi serangan cyber, tim keamanan CyberNews membajak 27.944 printer di seluruh dunia. Mereka memaksa perangkat printer yang merek bajak untuk mencetak panduan 5 langkah singkat tentang cara mengamankan printer.

Sebelum melakukan serangan, langkah awal mereka adalah mengumpulkan jumlah total target yang tersedia. Untuk mengetahui berapa banyak printer yang ada di menu untuk percobaan, mereka mencari alamat IP dengan port terbuka di mesin pencari IoT khusus, seperti Shodan dan Censys.

Dari 800.000+ printer yang tersedia, tim CyberNews memilih sampel 50.000 perangkat yang akan coba mereka akses dan paksa untuk mencetak panduan tentang keamanan printer.

Pada akhirnya, mereka berhasil membajak 27.944 printer dari 50.000 perangkat yang mereka targetkan, yang berarti tingkat keberhasilan 56%. Dengan mempertimbangkan persentase ini, mereka dapat berasumsi bahwa dari 800.000 printer yang tersambung ke internet di seluruh dunia, setidaknya 447.000 tidak diamankan.

 
Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Cyber News