Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Telegram

Telegram

Platform blogging Telegram disalahgunakan dalam serangan phishing

by

Platform blogging anonim Telegram, Telegraph, secara aktif dieksploitasi oleh pelaku phishing yang memanfaatkan kebijakan lemah platform untuk menyiapkan halaman arahan sementara yang mengarah pada pencurian kredensial akun.

Telegraph adalah platform blogging yang memungkinkan siapa pun mempublikasikan apa pun tanpa membuat akun atau memberikan detail identifikasi apa pun.

Postingan Telegraph yang diterbitkan menghasilkan tautan yang dapat didistribusikan oleh pelaku ancaman dengan cara apa pun yang mereka pilih, tetapi tidak ada lokasi pusat untuk mempromosikan postingan ini ke komunitas. Oleh karena itu, Telegraph cepat, sederhana, dan anonim.

Selain itu, karena editor Telegraph mendukung penambahan gambar, tautan, dan menawarkan opsi pemformatan teks, seseorang dapat membuat posting blog tampak seperti halaman web, termasuk formulir login.

Menurut laporan INKY pelaku phishing menggunakan Telegraph secara ekstensif untuk membuat situs phishing yang terlihat seperti halaman arahan situs web atau portal masuk.

Data INKY dari akhir 2019 hingga Mei 2022 menunjukkan bahwa penyertaan tautan Telegraph dalam email phishing telah mengalami peningkatan yang tajam baru-baru ini, karena lebih dari 90% dari semua deteksi terjadi tahun ini.

Tingkat pengiriman email phishing sangat baik karena tautan ini dihosting di Telegraph, platform yang tidak ditandai sebagai berbahaya atau mencurigakan oleh solusi keamanan email apa pun.

Dalam banyak kasus, INKY memperhatikan bahwa email phishing berasal dari akun email yang dibajak, sehingga daftar blokir pada alamat scam yang diketahui akan dilewati.

Dalam sebagian besar kasus yang tercatat, tujuan pelaku phishing adalah melakukan penipuan cryptocurrency atau memanen kredensial akun target mereka.

Kasus-kasus yang dilihat oleh INKY sangat bervariasi, menunjukkan bahwa penyalahgunaan Telegraph berasal dari beberapa kelompok/pelaku, bukan kelompok ancaman tertentu.

Salah satu contohnya adalah pemberitahuan OneDrive yang mengarah ke halaman masuk Microsoft yang tampak realistis di mana korban diminta untuk memasukkan kredensial akun mereka.

Peringatan OneDrive yang dipalsukan di Telegraph (INKY)
Portal phishing akun Microsoft (INKY)

Dalam kasus lain, INKY melihat pesan pemerasan yang mengancam akan membocorkan file pribadi jika penerima tidak membayar uang tebusan. Portal pembayaran di-host langsung di Telegraph, menawarkan beberapa opsi pembayaran untuk korban penipuan.

Pembayaran penipuan Cryptocurrency di Telegraph (INKY)

Pelaku phishing terus-menerus bereksperimen dengan cara baru yang dapat meningkatkan peluang keberhasilan mereka. Mereka sering mencapai tujuan ini dengan menggabungkan akun email curian dan situs gratis seperti Telegraph.

Untuk alasan ini, pengguna tidak boleh mempercayai email hanya karena melewati perlindungan. Jika mendapat tautan arahkan kursor ke atasnya untuk melihat ke mana arahnya sebelum mengklik.

Setiap kali Anda tiba di situs yang meminta kredensial akun Anda, konfirmasikan bahwa Anda telah masuk ke portal masuk resmi sebelum mengetik apa pun di dalam kotak.

Sumber: Bleeping Computer

Deteksi trojan seluler meningkat saat tingkat distribusi malware menurun

by

Laporan triwulanan Kaspersky tentang distribusi malware seluler mencatat tren penurunan yang dimulai pada akhir tahun 2020. Terlepas dari penurunan volume malware secara keseluruhan, perusahaan keamanan melaporkan lonjakan distribusi trojan, termasuk trojan generik, trojan perbankan, dan spyware.

Perkembangan yang mengkhawatirkan ini menggarisbawahi peningkatan fokus pada operasi yang lebih canggih dan merusak yang secara bertahap menggantikan adware dan “alat risiko” dengan hasil rendah.

Adware dan “alat risiko” tetap menjadi yang paling umum dalam hal volume distribusi, dengan yang terakhir menyumbang hampir setengah dari semua upaya infeksi malware seluler yang terdeteksi oleh Kaspersky pada Q1 2022.

Jenis malware yang didistribusikan pada kuartal terakhir (Kaspersky)

Deteksi trojan mobile banking telah meningkat sekitar 40% dibandingkan dengan kuartal sebelumnya, dan jumlahnya dua kali lipat dibandingkan dengan data Q1 2021.

Jenis malware ini biasanya melapisi layar login di atas aplikasi perbankan atau manajemen cryptocurrency yang sah untuk mencuri kredensial akun orang.

Trojan perbankan menjadi lebih luas dan murah tersedia di forum peretasan dan saluran Telegram, sehingga adopsi mereka oleh penjahat cyber berketerampilan rendah meningkat.

Menurut Kaspersky, keluarga baru yang mendorong angka distribusi ke atas pada kuartal ini adalah yang mereka lacak sebagai “Trojan-Banker.AndroidOS.Bray”, yang menyumbang 81% dari semua deteksi trojan seluler pada kuartal pertama tahun ini.

Kaspersky telah memperhatikan beberapa tren menarik di awal tahun ini, yang paling menonjol adalah peningkatan aplikasi penipuan yang didorong melalui saluran toko aplikasi resmi seperti Google Play Store.

Pada kuartal pertama tahun 2022, scammers mengeksploitasi invasi Rusia ke Ukraina untuk menawarkan aplikasi manfaat publik palsu yang menjanjikan bantuan keuangan sebagai tanggapan terhadap sanksi dan pembatasan transaksi. Namun, aplikasi ini hanya mencuri uang pengguna dengan mengarahkan mereka ke situs web eksternal yang berbahaya.

Aplikasi penipuan terlihat di Play Store pada bulan-bulan sebelumnya (Kaspersky)

Ancaman lain yang disorot adalah aplikasi pinjaman bayaran agresif yang menargetkan sebagian besar pengguna di India, Brasil, dan Meksiko.

Kaspersky mengklasifikasikan ini sebagai “RiskTool.AndroidOS.SpyLoan”, dan mengatakan aplikasi ini meminta akses ke daftar kontak pengguna, SMS, dan foto selama instalasi. Jika pembayaran terlambat, informasi ini digunakan untuk pemerasan.

Aplikasi pinjaman bayaran dilaporkan terlibat dalam pemerasan (Kaspersky)

Dalam beberapa kasus, telah dilaporkan bahwa agen penagih utang yang bekerja untuk platform ini memanggil orang-orang dari daftar kontak pengguna untuk mengekspos mereka dan meningkatkan tekanan untuk membayar utang.

Dalam kasus lain, bahkan lebih ekstrim, pengguna aplikasi ini terkunci dari ponsel mereka jika mereka melewatkan pembayaran, menggemakan ancaman ransomware.

Perkembangan dan kondisi yang memicu tren yang berlangsung pada kuartal terakhir tetap tidak berubah, sehingga distribusi trojan diperkirakan akan terus menggantikan ancaman yang ditandai sebagai adware dan riskware.

Sumber:

Saat Perang Dimulai, Ukraina Beralih ke Telegram

by

Setiap hari selama dua tahun terakhir, ribuan orang Ukraina membuka saluran resmi Telegram Covid-19 untuk berita pandemi terbaru. Akun @COVID19_Ukraine membagikan angka kasus harian, jumlah orang yang meninggal, dan saran kesehatan terbaru dari pemerintah. Jutaan orang membaca saluran tersebut selama krisis kesehatan global.

Tetapi ketika pasukan Rusia berbaris menuju perbatasan Ukraina, saluran itu merespons. Saluran tersebut menanyakan apakah anggota menginginkan update tentang berita “sosial-politik” terbaru? Orang-orang sangat memilih untuk adanya perubahan. Sejak itu saluran Telegram telah membagikan berita perang terbaru 24 jam sehari—mengubah nama tampilannya menjadi @UkraineNOW—dan menjadi sumber penting informasi terverifikasi bagi warga Ukraina.

Pada hari-hari sejak perang dimulai, WIRED telah meninjau ratusan posting Telegram dari akun dan politisi pemerintah Ukraina yang diverifikasi. Pesan mereka membantu menjaga orang tetap aman, menghilangkan prasangka disinformasi Rusia, dan melawan ancaman yang muncul.

Dengan hampir 500.000 anggota sebelum invasi Rusia, UkrainaNOW sudah menjadi salah satu saluran Telegram terbesar di negara itu. Sekarang satu juta orang bergantung padanya untuk mendapatkan informasi terbaru tentang perang.

Selain mempromosikan pesan resmi, pemerintah Ukraina juga menggunakan Telegram untuk meminta bantuan dari warganya. Fedorov membentuk “Tentara TI” yang didukung pemerintah dari peretas sukarelawan menggunakan Telegram; lebih dari 200.000 orang telah mendaftar.

Selengkapnya: Wired

Rootkit Purple Fox ditemukan di penginstal Telegram jahat

by

Tim keamanan siber Minerva Labs, yang bekerja dengan MalwareHunterTeam, mengatakan bahwa Purple Fox sedang disamarkan melalui file bernama “Telegram Desktop.exe.” yang mereka percaya bahwa mereka menginstal layanan perpesanan populer, sebaliknya, menjadi sarat dengan malware dan proses infeksi membuatnya lebih sulit untuk dideteksi.

Pertama kali ditemukan pada tahun 2018, Purple Fox telah menyebar melalui berbagai cara, termasuk email phishing, tautan berbahaya, dan kit eksploitasi. Namun, dalam beberapa tahun terakhir, metode distribusi telah diperluas untuk mencakup kompromi layanan yang rentan terhadap internet, layanan UKM yang terbuka, dan penginstal palsu.

Pemasang Telegram berbahaya telah dikembangkan sebagai skrip AutoIt yang dikompilasi. Setelah dieksekusi, penginstal Telegram yang sah akan dihapus tetapi tidak pernah digunakan bersama dengan pengunduh berbahaya bernama TextInputh.exe.

Serangan tersebut kemudian dipisahkan menjadi beberapa file kecil, sebuah teknik yang menurut Minerva memungkinkan pelaku ancaman untuk tetap berada di bawah radar dan sebagian besar file “memiliki tingkat deteksi yang sangat rendah oleh mesin AV, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox. .”

TextInputh.exe membuat folder baru dan menghubungkan ke server command-and-control (C2) malware. Dua file baru kemudian diunduh dan dieksekusi, yang membongkar arsip .RAR dan file yang digunakan untuk memuat reflektif berbahaya.DLL.

Kunci registri dibuat untuk mengaktifkan kegigihan pada mesin yang terinfeksi, dan lima file selanjutnya dimasukkan ke folder ProgramData untuk menjalankan fungsi, termasuk mematikan berbagai proses antivirus sebelum Purple Fox akhirnya disebarkan.

Trojan Purple Fox hadir dalam varian Windows 32-bit dan 64-bit. Pada bulan Maret tahun lalu, Guardicore Labs menemukan kemampuan worm baru telah diintegrasikan ke dalam malware, dan ribuan server yang rentan telah dibajak untuk menampung muatan Purple Fox.

Pada bulan Oktober, Trend Micro menemukan backdoor .net baru, dijuluki FoxSocket, yang diyakini sebagai tambahan baru untuk kemampuan malware yang ada.

Mengingat bahwa malware sekarang berisi rootkit, fungsionalitas worm, dan telah ditingkatkan dengan pintu belakang yang lebih kuat, dimasukkannya proses infeksi yang lebih tersembunyi berarti bahwa peneliti keamanan siber kemungkinan akan terus mengawasi perkembangan malware ini di masa depan.

Sumber : ZDnet

Installer Telegram Menjatuhkan Rootkit Purple Fox

by

Kami sering mengamati aktor ancaman menggunakan perangkat lunak yang sah untuk menjatuhkan file berbahaya. Namun kali ini berbeda. Aktor ancaman ini mampu meninggalkan sebagian besar serangan di bawah radar dengan memisahkan serangan ke dalam beberapa file kecil, yang sebagian besar memiliki tingkat deteksi yang sangat rendah oleh mesin AV, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox.

Berkat MalwareHunterTeam, kami dapat menggali lebih dalam ke dalam Telegram Installer yang berbahaya. Installer ini adalah autoit dikompilasi (freeware BASIC-seperti scripting bahasa yang dirancang untuk mengotomatisasi Windows GUI dan scripting umum) script yang disebut “Telegram Desktop.exe”:

Skrip AutoIt ini adalah tahap pertama dari serangan yang menciptakan folder baru bernama “TextInputh” di bawah C:UsersUsernameAppDataLocalTemp dan menjatuhkan penginstal Telegram yang sah (yang bahkan tidak dieksekusi) dan pengunduh berbahaya (TextInputh.exe).

Saat dijalankan, TextInputh.exe membuat folder baru bernama “1640618495” di bawah direktori C:UsersPublicVideos. TextInputh.exe file digunakan sebagai pengunduh untuk tahap berikutnya dari serangan. Ini menghubungi server C&C dan mengunduh dua file ke folder yang baru dibuat:

  • 1.rar – yang berisi file untuk tahap berikutnya. 7zz.exe – archiver 7z yang sah.
  • 7zz.exe digunakan untuk unarchive 1.rar, yang berisi file-file berikut:

Selanjutnya, TextInputh.exe melakukan tindakan berikut:

  • Menyalin 360.tct dengan nama “360.dll”, rundll3222.exe dan svchost.txt ke folder ProgramData
  • Mengeksekusi ojbk.exe dengan baris perintah “ojbk.exe -a”
  • Menghapus 1.rar dan 7zz.exe dan keluar dari proses

ojbk.exe
Ketika dijalankan dengan argumen “-a”, file ini hanya digunakan untuk secara reflektif memuat file berbahaya 360.dll:

DLL ini bertanggung jawab untuk membaca file svchost.txt yang dijatuhkan. Setelah itu, kunci registri HKEY_LOCAL_MACHINESYSTEMSelectMarkTime baru dibuat, yang nilainya sama dengan waktu svchost saat ini.exe dan kemudian, muatan svchost.txt dieksekusi.

svchost.txt
Saat aliran serangan berlanjut, file ini tampaknya berisi kode byte dari tahap berikutnya dari muatan berbahaya yang dieksekusi oleh 360.dll. Sebagai tindakan pertama svchost.txt, ia memeriksa keberadaan HKLM SOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exePath registry key. Jika kunci registri ditemukan, aliran serangan akan melakukan langkah tambahan sebelum melanjutkan ke tahap berikutnya:

Serangan tersebut menjatuhkan lima file lagi ke dalam folder ProgramData:

  • Calldriver.exe – file ini digunakan untuk mematikan dan memblokir inisiasi 360 AV
  • Driver.sys – setelah file ini dijatuhkan, layanan driver sistem baru bernama “Driver” dibuat dan dimulai pada PC dan BMD yang terinfeksi.txt dibuat dalam folder ProgramData
  • dll.dll – dieksekusi setelah bypass UAC. Teknik bypass UAC yang digunakan oleh svchost.txt adalah “bypass UAC menggunakan antarmuka CMSTPLUA COM” dan dijelaskan dengan baik di sini. Teknik ini umumnya digunakan oleh penulis ransomware LockBit dan BlackMatter. Dll.dll dijalankan dengan baris perintah “C:ProgramDatadll.dll, luohua”.
  • kill.bat – skrip batch yang dieksekusi setelah drop file berakhir. Naskahnya adalah:
  • speedmem2.hg – SQLite file

Semua file ini bekerja sama untuk mematikan dan memblokir inisiasi 360 proses AV dari ruang kernel, sehingga memungkinkan alat serangan tahap berikutnya (Purple Fox Rootkit, dalam kasus kami) berjalan tanpa terdeteksi.

Setelah file drop dan eksekusi, payload bergerak ke langkah berikutnya, yaitu komunikasi C &C. Seperti disebutkan di atas, jika HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exePath registry key tidak ditemukan, alurnya hanya melompat ke langkah ini.

Pertama, alamat C &C hardcoded ditambahkan sebagai mutex. Selanjutnya, informasi korban berikut dikumpulkan:

  • Nama host
  • CPU – dengan mengambil nilai HKLMHARDWAREDESCRIPTIONSystemCentralProcessor0 ~MHz registry key
  • Status memori
  • Tipe Kandar
  • Tipe Prosesor – dengan memanggil GetNativeSystemInfo dan memeriksa nilai wProcessorArchitecture.

Selanjutnya, malware memeriksa apakah ada proses berikut yang berjalan di PC korban:

  • 360tray.exe – 360 Total Security
  • 360sd.exe – 360 Total Security
  • kxetray.exe – Kingsoft Internet Security
  • KSafeTray.exe – Kingsoft Internet Security
  • QQPCRTP.exe – Tencent
  • HipsTray.exe – HeroBravo System Diagnostics
  • BaiduSd.exe – Baidu Anti-Virus
  • baiduSafeTray.exe – Baidu Anti-Virus
  • KvMonXP.exe – Jiangmin Anti-Virus
  • RavMonD.exe – Rising Anti-Virus
  • QUHLPSVC.EXE – Quick Heal Anti-Virus
  • mssecess.exe – Microsoft MSE
  • cfp.exe – COMODO Internet Security
  • SPIDer.exe
  • acs.exe
  • V3Svc.exe – AhnLab V3 Internet Security
  • AYAgent.aye – ALYac Software
  • avgwdsvc.exe – AVG Internet Security
  • f-secure.exe – F‑Secure Anti‑Virus
  • avp.exe – Kaspersky Anti-Virus
  • Mcshield.exe – McAfee Anti-Virus
  • egui.exe – ESET Smart Security
  • knsdtray.exe
  • TMBMSRV.exe – Trend Micro Internet Security
  • avcenter.exe – Avira Anti-Virus
  • ashDisp.exe – Avast Anti-Virus
  • rtvscan.exe – Symantec Anti-Virus
  • remupd.exe – Panda software
  • vsserv.exe – Bitdefender Total Security
  • PSafeSysTray.exe – PSafe System Tray
  • ad-watch.exe
  • K7TSecurity.exe – K7Security Suite
  • UnThreat.exe – UnThreat Anti-Virus

Tampaknya setelah pemeriksaan ini selesai, semua informasi yang dikumpulkan, termasuk produk keamanan mana yang berjalan, dikirim ke server C &C.

Pada saat penyelidikan, server C&C sudah down, tetapi pemeriksaan cepat dari alamat IP dan file terkait lainnya semua menunjukkan bahwa tahap terakhir dari serangan ini adalah download dan eksekusi dari Purple Fox Rootkit. Purple Fox menggunakan fungsi msi.dll, ‘MsiInstallProductA’, untuk mengunduh dan menjalankan muatannya. Payload adalah file .msi yang berisi shellcode terenkripsi termasuk versi 32-bit dan 64-bit. Setelah dijalankan, sistem akan dimulai ulang dengan registri ‘PendingFileRenameOperations’ untuk mengganti nama komponennya. Dalam kasus kami, Purple Fox Rootkit diunduh dari hxxp://144.48.243[.] 79:17674/C558B828.Png.

Dll.dll
DLL ini hanya digunakan untuk menonaktifkan UAC dengan mengatur tiga kunci registri berikut ke 0:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop

Calldriver.exe
Digunakan untuk mematikan dan memblokir inisiasi 360 proses AV dari ruang kernel. Teknik yang digunakan dijelaskan di sini di bawah paragraf “The ProcessKiller rootkit vs. produk keamanan”.

Kami menemukan sejumlah besar installer berbahaya yang memberikan versi rootkit Purple Fox yang sama menggunakan rantai serangan yang sama. Sepertinya beberapa dikirim melalui email, sementara yang lain kami anggap diunduh dari situs web phishing. Keindahan serangan ini adalah bahwa setiap tahap dipisahkan ke file yang berbeda yang tidak berguna tanpa seluruh set file. Ini membantu penyerang melindungi file-nya dari deteksi AV.

Minerva Labs mendeteksi hubungan proses berbahaya dan mencegah malware menulis dan mengeksekusi muatan berbahaya:

IOC’s
Hash:

  • 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1 – Telegram Desktop.exe
  • BAE1270981C0A2D595677A7A1FEFE8087B07FFEA061571D97B5CD4C0E3EDB6E0 – TextInputh.exe
  • af8eef9df6c1f5645c95d0e991d8f526fbfb9a368eee9ba0b931c0c3df247e41 – legitimate telegram installer
  • 797a8063ff952a6445c7a32b72bd7cd6837a3a942bbef01fc81ff955e32e7d0c – 1.rar
  • 07ad4b984f288304003b080dd013784685181de4353a0b70a0247f96e535bd56 – 7zz.exe
  • 26487eff7cb8858d1b76308e76dfe4f5d250724bbc7e18e69a524375cee11fe4 – 360.tct
  • b5128b709e21c2a4197fcd80b072e7341ccb335a5decbb52ef4cee2b63ad0b3e – ojbk.exe
  • 405f03534be8b45185695f68deb47d4daf04dcd6df9d351ca6831d3721b1efc4 – rundll3222.exe – legitimate rundll32.exe
  • 0937955FD23589B0E2124AFEEC54E916 – svchost.txt
  • e2c463ac2d147e52b5a53c9c4dea35060783c85260eaac98d0aaeed2d5f5c838 – Calldriver.exe
  • 638fa26aea7fe6ebefe398818b09277d01c4521a966ff39b77035b04c058df60 – Driver.sys
  • 4bdfa7aa1142deba5c6be1d71c3bc91da10c24e4a50296ee87bf2b96c731b7fa – dll.dll
  • 24BCBB228662B91C6A7BBBCB7D959E56 – kill.bat
  • 599DBAFA6ABFAF0D51E15AEB79E93336 – speedmem2.hg

IP’s:

  • 193.164.223[.]77 – second stage C&C server.
  • 144.48.243[.]79 – last stage C&C server.

Url:

  • hxxp://193.164.223[.]77:7456/h?=1640618495 – contains 1.rar file
  • hxxp://193.164.223[.]77:7456/77 – contain 7zz.exe file
  • hxxp://144.48.243[.]79:17674/C558B828.Png – Purple Fox Rootkit

Sumber daya:
https://malpedia.caad.fkie.fraunhofer.de/details/win.purplefox

Sumber: Minerva

Telegram menambahkan dukungan perlindungan konten untuk grup dan channel

by

Telegram telah menambahkan dukungan perlindungan konten untuk memungkinkan pengguna memblokir orang lain dari menyimpan atau meneruskan posting yang dibagikan dalam grup dan channel.

Ini memungkinkan untuk memastikan bahwa media yang diposting di Telegram hanya akan tetap tersedia untuk audiens yang Anda bagikan.

Untuk mengaktifkan perlindungan konten, pemilik Grup dan Channel harus membatasi forwarding pesan dalam obrolan mereka, juga memblokir tangkapan layar melalui kebijakan keamanan Android (tangkapan layar kemungkinan masih merupakan opsi pada klien desktop dan iOS) dan menghapus kemampuan untuk menyimpan media dari pos.

Menonaktifkan forwarding pesan memerlukan pembukaan halaman Info Grup atau Channel, masuk ke Group / Channel Type, dan beralih pada opsi ‘Restrict Saving Content’.

Pembaruan juga hadir dengan cara baru untuk menghapus posting berdasarkan tanggal (untuk menghapus riwayat obrolan untuk rentang tanggal tertentu), mengelola perangkat yang terhubung (dengan toggle untuk membatasi panggilan atau Obrolan Rahasia baru), dan memposting secara anonim (sebagai channel) di grup publik dan komentar channel.

Beberapa pengguna ponsel juga akan ditawarkan untuk menerima panggilan masuk dari Telegram mulai hari ini alih-alih kode SMS untuk mengonfirmasi identitas mereka dengan memasukkan beberapa digit nomor telepon yang dipanggil.

Selengkapnya: Bleeping Computer

Telegram muncul sebagai Dark Web baru untuk penjahat siber

by

Sebuah penelitian baru menunjukkan bahwa Telegram telah meledak sebagai pusat bagi penjahat dunia maya yang ingin membeli, menjual, dan berbagi data curian dan alat peretasan, ketika aplikasi perpesanan muncul sebagai alternatif dari dark web.

Investigasi oleh kelompok intelijen siber Cyberint, bersama dengan Financial Times, menemukan jaringan besar peretas yang berbagi kebocoran data di platform perpesanan populer, terkadang di channel dengan puluhan ribu pelanggan.

Dalam banyak kasus, kontennya mirip dengan pasar yang ditemukan di dark web, sekelompok situs web tersembunyi yang populer di kalangan peretas dan diakses menggunakan software anonim tertentu.

“Kami baru-baru ini menyaksikan peningkatan 100 persen lebih dalam penggunaan Telegram oleh penjahat siber,” kata Tal Samra, analis ancaman siber di Cyberint.

“Layanan pesan terenkripsinya semakin populer di kalangan pelaku ancaman yang melakukan aktivitas penipuan dan menjual data curian . . . karena lebih nyaman digunakan daripada dark web.”

Meningkatnya aktivitas jahat datang ketika pengguna berbondong-bondong menggunakan aplikasi obrolan terenkripsi awal tahun ini setelah perubahan kebijakan privasi saingan milik Facebook, WhatsApp, mendorong banyak orang untuk mencari alternatif lain.

Menurut Cyberint, jumlah penyebutan di Telegram tentang “Email: pass” dan “Combo” – bahasa peretas yang digunakan untuk menunjukkan bahwa daftar email dan kata sandi curian dibagikan – naik empat kali lipat selama setahun terakhir menjadi hampir 3.400.

Dalam satu channel Telegram publik yang disebut “combolist”, yang memiliki lebih dari 47.000 pelanggan, peretas menjual atau hanya mengedarkan dump data besar dari ratusan ribu nama pengguna dan kata sandi yang bocor.

Jenis data lain yang diperdagangkan termasuk data keuangan seperti informasi kartu kredit, salinan paspor dan kredensial untuk rekening bank dan situs seperti Netflix, menurut penelitian tersebut. Penjahat online juga membagikan perangkat lunak berbahaya, eksploitasi, dan panduan peretasan melalui aplikasi, kata Cyberint.

Selengkapnya: Financial Times

Apakah Telegram menjadi alternatif baru untuk Dark Web?

by

Investigasi oleh peneliti keamanan siber terhadap Telegram telah mengungkapkan bahwa data pribadi jutaan orang dibagikan secara terbuka di grup dan saluran aplikasi dengan ribuan anggota.

Penelitian dari penyedia VPN vpnMentor semakin memperkuat posisi Telegram sebagai tempat berlindung yang aman bagi penjahat dunia maya, menemukan penjahat dunia maya menggunakan platform komunikasi terenkripsi yang populer untuk berbagi dan mendiskusikan kebocoran data besar-besaran yang membuat jutaan orang terpapar pada tingkat penipuan, peretasan, dan serangan online yang belum pernah terjadi sebelumnya.

Baru-baru ini, penyelidikan serupa oleh NortonLifeLock menemukan bukti pasar ilegal yang berkembang pesat di Telegram di mana pengguna yang tidak bermoral menjajakan segalanya mulai dari vaksin Covid-19 dan informasi pribadi, hingga perangkat lunak bajakan dan ID palsu.

Para peneliti vpnMentor telah merinci temuan mereka dalam sebuah laporan di mana mereka memeriksa tren yang berkembang dari penjahat dunia maya yang membagikan data bocor di Telegram.

Tim mereka bergabung dengan beberapa grup dan saluran Telegram yang berfokus pada kejahatan dunia maya untuk mengalami pertukaran ilegal antara pelaku kejahatan untuk diri mereka sendiri.

Yang mengejutkan, mereka menemukan peretas secara terbuka memposting dump data di grup, beberapa dengan lebih dari 10.000 anggota. Lebih mengkhawatirkan, pengguna yang tidak bermoral bahkan tidak menghindar dari diskusi tentang cara mengeksploitasi tempat pembuangan data di berbagai perusahaan kriminal.

Selengkapnya: Tech Radar