Telegram

Telegram Kini Menjadi Tempat Tujuan Untuk Menjual Alat dan Layanan Phishing

April 7, 2023 by Eevee

Telegram telah menjadi tempat bagi pembuat bot dan kit phishing yang ingin memasarkan produk mereka kepada audiens yang lebih besar atau merekrut pekerja yang tidak dibayar.

Peneliti dari Kaspersky telah mengamati sebuah tren di mana sebuah komunitas telah terbentuk di sekitar topik phishing yang semakin populer di Telegram.

Pelaku phishing sangat aktif di Telegram, menawarkan layanan mulai dari menjual kit siap pakai, halaman palsu, langganan alat, panduan, hingga dukungan teknis kepada pembeli yang tertarik.

Menurut laporan dari Kaspersky, layanan phishing berikut ini ditawarkan melalui Telegram saat ini:

kit phishing gratis dengan alat pra-paket yang memungkinkan pengguna membuat halaman phishing yang meniru merek terkenal.
Pembuatan halaman phishing otomatis (berbasis bot) dan pengumpulan data pengguna dilakukan secara otomatis menggunakan bot.
Halaman phishing dan scam premium menawarkan antarmuka yang dapat disesuaikan, sistem anti-bot, blokir geografis, enkripsi URL, dan elemen rekayasa sosial. Biaya kit ini bervariasi antara $10 hingga $300, tergantung pada fiturnya.
Data pribadi yang dicuri meliputi kredensial perbankan online yang sering diverifikasi.
Langganan Phishing-as-a-service (PhaaS) menyediakan akses ke alat, panduan pemula, dukungan teknis, dan pembaruan rutin untuk sistem anti-deteksi yang disediakan. Layanan ini ditawarkan pada model langganan dengan harga sekitar $130/minggu, atau $500/bulan untuk penerapan khusus.
Bot kata sandi satu kali (OTP) membantu phisher melewati perlindungan 2FA (autentikasi dua faktor) secara otomatis.

Beberapa vendor menjual kit yang mengenkripsi data yang dicuri, sehingga operator dan vendor tidak dapat mengakses informasi korban tanpa membayar.

Telegram menjadi tempat bagi calon penipu untuk belajar bisnis phishing gratis. Phisher yang berpengalaman membuat saluran Telegram dengan bot yang memberikan petunjuk langkah demi langkah untuk membuat halaman phishing.

Kaspersky telah mendeteksi lebih dari 2,5 juta URL jahat yang dihasilkan menggunakan kit phishing dan mencegah 7,1 upaya akses oleh pengguna produknya dalam enam bulan terakhir. Proliferasi kit dan layanan di Telegram telah memungkinkan pertumbuhan operasi phishing yang besar.

Selengkapnya: Bleeping Computer

Perpesanan yang tidak terlalu pribadi: Aplikasi WhatsApp dan Telegram yang di-Trojan mengejar dompet mata uang kripto

March 18, 2023 by Søren

Peneliti ESET telah menemukan lusinan peniru Telegram dan situs web WhatsApp yang menargetkan terutama pengguna Android dan Windows dengan versi trojan dari aplikasi pesan instan ini. Sebagian besar aplikasi jahat yang kami identifikasi adalah pemangkas – jenis malware yang mencuri atau mengubah konten papan klip.

Semuanya mengejar dana cryptocurrency korban, dengan beberapa dompet cryptocurrency penargetan. Ini adalah pertama kalinya peneliti melihat gunting Android yang berfokus secara khusus pada perpesanan instan.

Selain itu, beberapa aplikasi ini menggunakan pengenalan karakter optik (OCR) untuk mengenali teks dari tangkapan layar yang disimpan di perangkat yang disusupi, yang merupakan yang pertama untuk malware Android.

Sebelum pembentukan Aliansi Pertahanan Aplikasi, peneliti menemukan pemangkas Android pertama di Google Play, yang membuat Google meningkatkan keamanan Android dengan membatasi operasi papan klip di seluruh sistem untuk aplikasi yang berjalan di latar belakang untuk Android versi 10 dan lebih tinggi.

Seperti yang sayangnya ditunjukkan oleh temuan terbaru peneliti, tindakan ini tidak berhasil menghilangkan masalah sepenuhnya: peneliti tidak hanya mengidentifikasi pemotong pesan instan pertama, peneliti menemukan beberapa kelompoknya.

Tujuan utama clippers yang peneliti temukan adalah untuk mencegat komunikasi perpesanan korban dan mengganti alamat dompet cryptocurrency yang dikirim dan diterima dengan alamat milik penyerang. Selain aplikasi Android WhatsApp dan Telegram yang di-trojan, peneliti juga menemukan versi Windows yang di-trojan dari aplikasi yang sama.

Tentu saja, ini bukan satu-satunya aplikasi peniru yang mengejar mata uang kripto – baru pada awal tahun 2022, peneliti mengidentifikasi pelaku ancaman yang berfokus pada pengemasan ulang aplikasi mata uang kripto sah yang mencoba mencuri frase pemulihan dari dompet korban mereka.

Selengkapnya: We Live Security

Peretas StrongPity Mendistribusikan Aplikasi Telegram yang Di-Trojan untuk Menargetkan Pengguna Android

January 11, 2023 by Coffee Bean

Grup ancaman persisten tingkat lanjut (APT) yang dikenal sebagai StrongPity telah menargetkan pengguna Android dengan versi trojan dari aplikasi Telegram melalui situs web palsu yang menyamar sebagai layanan obrolan video bernama Shagle.

“Situs peniru, meniru layanan Shagle, digunakan untuk mendistribusikan aplikasi backdoor seluler StrongPity,” peneliti malware ESET. StrongPity, juga dikenal dengan nama APT-C-41 dan Promethium, adalah kelompok cyberespionage yang aktif setidaknya sejak tahun 2012, dengan mayoritas operasinya berfokus pada Suriah dan Turki. Keberadaan grup tersebut pertama kali dilaporkan ke publik oleh Kaspersky pada Oktober 2016.

StrongPity diamati menyebarkan malware Android untuk pertama kalinya dengan kemungkinan membobol portal e-government Suriah dan mengganti file APK Android resmi dengan mitra nakal.

Temuan terbaru dari ESET menyoroti modus operandi serupa yang dirancang untuk mendistribusikan versi terbaru dari muatan pintu belakang Android, yang dilengkapi untuk merekam panggilan telepon, melacak lokasi perangkat, dan mengumpulkan pesan SMS, log panggilan, daftar kontak, dan file.

Perusahaan cybersecurity Slovakia menggambarkan implan sebagai modular dan mampu mengunduh komponen tambahan dari server perintah-dan-kontrol (C2) jarak jauh untuk mengakomodasi tujuan kampanye StrongPity yang terus berkembang.

Juga tidak ada bukti (“video.apk”) bahwa aplikasi tersebut dipublikasikan di Google Play Store resmi. Saat ini tidak diketahui bagaimana calon korban dibujuk ke situs web palsu, dan apakah itu memerlukan teknik seperti rekayasa sosial, peracunan mesin pencari, atau iklan penipuan.

Aspek penting lainnya dari serangan itu adalah bahwa versi Telegram yang dirusak menggunakan nama paket yang sama dengan aplikasi Telegram asli, yang berarti varian backdoor tidak dapat diinstal pada perangkat yang sudah menginstal Telegram.

sumber : thehackernews

Telegram Menjual Nomor Telepon Palsu untuk Crypto

December 9, 2022 by Coffee Bean

Telegram telah memfasilitasi penjualan nama pengguna senilai lebih dari $50 juta dalam lelang crypto, dan sekarang ingin melelang nomor telepon palsu untuk memungkinkan akses ke platform.

Telegram mengatakan itu memungkinkan untuk mengakses aplikasi dengan “menggunakan nomor anonim bertenaga blockchain” yang sekarang dilelang untuk crypto di platform crypto Fragment perusahaan sendiri. Meskipun pengguna dapat mengakses Telegram dengan nomor telepon terenkripsi, itu sekarang memberi pengguna aplikasi cara untuk melakukannya secara lebih anonim, selama mereka bersedia membuka dompet crypto mereka.

Perlu dicatat bahwa pasar Fragmen tidak tersedia di A.S. Setelah terhubung ke layanan dengan VPN, ini menunjukkan beberapa nomor hanya di bawah $40 dengan enam hari tersisa untuk menawar, sementara nomor lain, seperti 888-8 -888, terjual lebih dari $61.850 dengan dua minggu tersisa dalam proses penawaran. Masalahnya, Anda tidak dapat menggunakan nomor-nomor itu untuk apa pun selain mendaftar ke Telegram, yang membuat gagasan “lelang” menjadi lebih gila.

Telegram telah secara agresif memonetisasi platformnya selama setahun terakhir untuk menghasilkan lebih banyak uang dari 700 juta pengguna aktif globalnya. Pada hari Selasa, CEO Telegram Pavel Durov mengatakan di saluran resminya bahwa perusahaannya memiliki lebih dari 1 juta orang yang membayar Telegram Premium, yang dirilis hanya lima bulan lalu, meskipun pelanggan premium hanya mewakili “sebagian kecil” dari keseluruhan pendapatan mereka.

Fragmen juga merupakan tempat Telegram menjual nama pengguna populer untuk mendapatkan sedikit uang kripto tambahan. Tampaknya Telegram dan kecintaannya yang baru terhadap crypto tidak cocok dengan regulator AS, seperti yang telah terbukti di masa lalu.

Pada 30 November, CEO mengklaim di halamannya bahwa Fragment telah menjual nama pengguna senilai $50 juta dalam waktu kurang dari sebulan. Dia mengatakan dia memiliki tujuan untuk menambahkan dompet kripto dan pertukaran kripto yang “terdesentralisasi” ke dalam platform Fragmen, tampaknya mengabaikan apa yang terjadi terakhir kali ketika perusahaannya dipukul terbalik oleh SEC. Meskipun dunia crypto telah diguncang oleh korupsi yang dirinci oleh ledakan pertukaran crypto FTX, Durov secara terbuka menyerukan manfaat “desentralisasi” dalam crypto dan bagaimana teknologi blockchain “akhirnya harus dapat memenuhi misi intinya – memberikan kekuasaan kembali kepada rakyat.”

sumber : gizmodo

Ukraina Mengatakan Peretas Rusia Menggunakan Ransomware Somnia Baru

November 15, 2022 by Coffee Bean

Peretas Rusia telah menginfeksi banyak organisasi di Ukraina dengan jenis ransomware baru yang disebut ‘Somnia’, yang mengenkripsi sistem mereka dan menyebabkan masalah operasional.

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) telah mengonfirmasi wabah tersebut melalui pengumuman di portalnya, menghubungkan serangan tersebut dengan ‘From Russia with Love’ (FRwL), juga dikenal sebagai ‘Z-Team,’ yang mereka lacak sebagai UAC-0118.

Detail serangan FRwL

Situs web palsu yang untuk menjatuhkan Vidar Stealer (CERT-UA)

penginstal menginfeksi sistem dengan pencuri Vidar, yang mencuri data sesi Telegram korban untuk mengambil kendali akun mereka.

Selanjutnya, CERT-UA mengatakan bahwa pelaku ancaman menyalahgunakan akun Telegram korban dengan cara yang tidak ditentukan untuk mencuri data koneksi VPN (otentikasi dan sertifikat).

Jika akun VPN tidak dilindungi oleh otentikasi dua faktor, peretas menggunakannya untuk mendapatkan akses tidak sah ke jaringan perusahaan majikan korban.

Selanjutnya, penyusup menyebarkan suar Cobalt Strike, mengekstrak data, dan menggunakan Netscan, Rclone, Anydesk, dan Ngrok, untuk melakukan berbagai aktivitas pengawasan dan akses jarak jauh.

CERT-UA melaporkan bahwa sejak musim semi 2022, dengan bantuan broker akses awal, FRwL telah melakukan beberapa serangan terhadap komputer milik organisasi Ukraina.

Jenis file (ekstensi) yang ditargetkan oleh ransomware Somnia ditunjukkan di bawah ini, termasuk dokumen, gambar, database, arsip, file video, dan lainnya, yang mencerminkan kehancuran yang ingin ditimbulkan oleh ketegangan ini.

Jenis file yang dienkripsi oleh ransomware Somnia (CERT-UA)

Somnia tidak meminta korban untuk membayar uang tebusan sebagai ganti dekripsi yang berfungsi, karena operatornya lebih tertarik mengganggu operasi target daripada menghasilkan pendapatan.

Oleh karena itu, malware ini harus dianggap sebagai penghapus data daripada serangan ransomware tradisional.

sumber : bleeping computer

Jerman memberikan Telegram denda sebesar $ 5 juta

October 19, 2022 by Eevee

Jerman mengumumkan bahwa mereka mengeluarkan denda 5,125 juta euro ($ 5 juta) terhadap operator aplikasi perpesanan Telegram karena gagal mematuhi hukum Jerman.

Kantor Kehakiman Federal mengatakan Telegram FZ-LLC belum menetapkan cara yang sah untuk melaporkan konten ilegal atau menyebut entitas di Jerman untuk menerima komunikasi resmi. Keduanya diwajibkan berdasarkan undang-undang Jerman yang mengatur platform online besar.

Pejabat Jerman mengatakan mereka telah berulang kali gagal dalam upaya mereka untuk mengirimkan surat ke Telegram yang berbasis di Dubai, meskipun ada dukungan dari pihak berwenang di Uni Emirat Arab.

Sebuah firma hukum yang berbasis di Jerman telah menyatakan bahwa itu mewakili Telegram, tetapi ini tidak cukup untuk mencegah denda dikeluarkan, kata Kantor Kehakiman Federal.

Polisi federal Jerman memperingatkan awal tahun ini bahwa aplikasi tersebut menjadi “media radikalisasi”, yang digunakan oleh beberapa orang untuk menargetkan politisi, ilmuwan, dan dokter atas peran mereka dalam menangani pandemi virus corona.

“Operator layanan pesan dan jejaring sosial memikul tanggung jawab khusus untuk bertindak melawan hasutan kebencian dan kekerasan di platform mereka,” kata Menteri Kehakiman Marco Buschmann dalam sebuah pernyataan. “Persyaratan hukum dan tanggung jawab ini tidak dapat dihindari dengan mencoba untuk tidak terjangkau.”

Sumber: AP News

Malware Escanor dikirimkan dalam dokumen Microsoft Office yang dipersenjatai

August 23, 2022 by Eevee

Resecurity, sebuah perusahaan keamanan siber berbasis di Los Angeles yang melindungi Fortune 500 di seluruh dunia, mengidentifikasi RAT (Alat Administrasi Jarak Jauh) baru yang diiklankan di Dark Web dan Telegram bernama Escanor.

Pelaku ancaman menawarkan RAT versi Android dan berbasis PC, bersama dengan modul HVNC dan pembuat eksploitasi untuk mempersenjatai dokumen Microsoft Office dan Adobe PDF untuk mengirimkan kode berbahaya.

Alat ini telah dirilis untuk dijual pada tanggal 26 Januari tahun ini pada awalnya sebagai implan HVNC kompak yang memungkinkan untuk mengatur koneksi jarak jauh senyap ke komputer korban, dan kemudian diubah menjadi RAT komersial skala penuh dengan rangkaian fitur yang kaya.

Escanor telah membangun reputasi yang kredibel di Dark Web, dan menarik lebih dari 28.000 pelanggan di saluran Telegram. Di masa lalu, aktor dengan moniker yang persis sama merilis versi ‘crack’ dari alat Web Gelap lainnya, termasuk Venom RAT, 888 RAT, dan Pandora HVNC yang kemungkinan digunakan untuk memperkaya fungsionalitas Escanor lebih lanjut.

Escanor versi seluler (juga dikenal sebagai “Esca RAT”) secara aktif digunakan oleh penjahat dunia maya untuk menyerang pelanggan perbankan online dengan mencegat kode OTP. Alat ini dapat digunakan untuk mengumpulkan koordinat GPS korban, memantau penekanan tombol, mengaktifkan kamera tersembunyi, dan menelusuri file di perangkat seluler jarak jauh untuk mencuri data.

Sebagian besar sampel yang terdeteksi baru-baru ini telah dikirim menggunakan Escanor Exploit Builder. Para aktor menggunakan dokumen umpan yang meniru faktur dan pemberitahuan dari layanan online populer.

Khususnya, nama domain ‘escanor[.]live’ sebelumnya telah diidentifikasi sehubungan dengan infrastruktur AridViper (APT-C-23 / GnatSpy). APT-C-23 sebagai kelompok aktif di kawasan Timur Tengah, yang dikenal secara khusus menargetkan aset militer Israel. Setelah laporan dirilis oleh Qihoo 360, aktor Escanor RAT telah merilis video yang merinci bagaimana alat tersebut dapat digunakan untuk melewati deteksi AV.

Mayoritas korban yang terinfeksi oleh Escanor telah diidentifikasi di AS, Kanada, UEA, Arab Saudi, Kuwait, Bahrain, Mesir, Israel, Meksiko, dan Singapura dengan beberapa infeksi di Asia Tenggara.

Sumber: Bleeping Computer

Penjahat siber menggunakan messaging apps untuk meluncurkan skema malware

August 11, 2022 by Eevee

Peneliti Intel 471 melaporkan bahwa penjahat siber memanfaatkan bot di dalam aplikasi perpesanan berbasis cloud populer seperti Discord dan Telegram untuk menyebarkan malware.

Bot biasanya digunakan untuk berbagi media, bermain game, saluran moderat, atau tugas otomatis lainnya yang dapat dibuat oleh pengembang.

Para peneliti mengatakan penjahat siber menggunakan platform tersebut untuk meng-host, mendistribusikan, dan menjalankan berbagai fungsi yang pada akhirnya memungkinkan mereka untuk mencuri kredensial atau informasi lain dari pengguna yang tidak sadar

Peneliti Intel 471 juga menemukan beberapa alat pencuri informasi yang tersedia secara bebas untuk diunduh yang mengandalkan Discord atau Telegram untuk fungsionalitasnya.

Salah satunya Blitzed Grabber, mereka menggunakan fitur webhook Discord sebagai cara untuk menyimpan data yang dieksfiltrasi melalui malware. Webhook menyediakan cara mudah untuk mengirim pesan otomatis dan pembaruan data dari mesin korban ke saluran pesan tertentu.

Pencuri ini dapat mencuri semua jenis informasi, termasuk data isi otomatis, bookmark, cookie browser, kredensial dari klien jaringan pribadi virtual (VPN), informasi kartu pembayaran, dompet cryptocurrency, informasi sistem operasi, kata sandi, dan kunci produk Microsoft Windows. Beberapa grabber, termasuk Blitzed Grabber, Mercurial Grabber, dan 44Caliber, juga menargetkan kredensial untuk platform game Minecraft dan Roblox.

Satu bot khusus Telegram, yang dikenal sebagai X-Files, memiliki fungsionalitas yang dapat diakses melalui perintah bot di dalam Telegram. Setelah malware dimuat ke sistem korban, pelaku jahat dapat menggesek kata sandi, cookie sesi, kredensial login, dan detail kartu kredit, dengan mengarahkan informasi itu ke saluran Telegram yang mereka pilih. X-Files dapat mengambil informasi dari berbagai browser, termasuk Google Chrome, Chromium, Opera, Slimjet, dan Vivaldi.

Peneliti Intel 471 juga telah mengamati pelaku ancaman yang menyalahgunakan infrastruktur cloud yang digunakan oleh aplikasi perpesanan untuk mendukung kampanye penyebaran malware. Banyak pelaku ancaman saat ini menggunakan jaringan pengiriman konten (CDN) Discord untuk meng-host muatan malware.

Sistem pengumpulan Intelijen Malware kami pertama kali mengamati teknik ini pada tahun 2019, tetapi berbagai pelaku ancaman masih menggunakannya. Operator malware tampaknya tidak menghadapi batasan apa pun saat mengunggah muatan berbahaya mereka ke CDN Discord untuk hosting file. Tautan terbuka untuk pengguna mana pun tanpa autentikasi, memberikan aktor ancaman domain web bereputasi tinggi untuk meng-host muatan berbahaya.

Keluarga malware yang diamati menggunakan Discord CDN untuk meng-host muatan berbahaya meliputi:

PrivateLoader
Discoloader
Colibri
Warzone RAT
Modi loader
Raccoon stealer
Smokeloader
Amadey
Agent Tesla stealer
GuLoader
Autohotkey
njRAT

Sebelumnya, Intel 471 telah mengamati peningkatan layanan di bawah tanah kejahatan dunia maya yang memungkinkan penyerang memanfaatkan bot Telegram dalam upaya untuk mencegat token kata sandi satu kali (OTP). Pelaku kejahatan terus membangun layanan ini, menjual aksesnya di berbagai forum kejahatan dunia maya.

Satu bot yang diamati oleh peneliti Intel 471 pada bulan April, yang dikenal sebagai Astro OTP, memungkinkan operator untuk mendapatkan kode verifikasi OTP dan layanan pesan singkat (SMS). Operator diduga dapat mengontrol bot secara langsung melalui antarmuka Telegram dengan menjalankan perintah sederhana.

Akses ke bot sangat murah, langganan satu hari dapat dibeli seharga US $25, dengan langganan seumur hidup tersedia seharga US $300.

Otomatisasi di platform perpesanan populer menurunkan bar-of-entry untuk aktor jahat. Sementara pencuri informasi saja tidak menyebabkan jumlah kerusakan yang sama seperti malware seperti penghapus data atau ransomware, mereka dapat menjadi langkah pertama dalam meluncurkan serangan yang ditargetkan terhadap perusahaan.

Sumber: Intel 471

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Telegram

Cookies Settings