Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Trojan

Trojan

Trojan Anatsa Banking Menargetkan Pengguna di AS, Inggris, Jerman, Austria, dan Swiss

by

Sejak awal Maret 2023, kampanye malware Android baru telah diamati mendorong trojan perbankan Anatsa untuk menargetkan pelanggan perbankan di AS, Inggris, Jerman, Austria, dan Swiss.

Anatsa, dikenal dengan nama TeaBot dan Balita, adalah sebuah malware perbankan yang bertujuan mencuri kredensial pengguna dalam aplikasi mobile banking dan melakukan penipuan pengambilalihan perangkat (DTO) untuk memulai transaksi penipuan.

Dalam analisis oleh ThreatFabric, perusahaan keamanan cyber Belanda menyatakan bahwa aplikasi dropper Anatsa telah terinfeksi dan berhasil memperoleh lebih dari 30.000 instalasi melalui Google Play Store.

Anatsa pertama kali muncul pada awal tahun 2021 dan sering menyamar sebagai aplikasi utilitas yang tampaknya tidak berbahaya, seperti pembaca PDF, pemindai kode QR, dan aplikasi autentikasi dua faktor (2FA) di Google Play. Diam-diam Anatsa mengambil kredensial pengguna, dan kini telah menargetkan lebih dari 400 lembaga keuangan di seluruh dunia.

Anatsa mencatat aktivitas pengguna dengan menyalahgunakan izin aksesibilitas Android, serta dapat melewati mekanisme kontrol penipuan yang ada untuk melakukan transfer dana yang tidak sah.

Sulit bagi sistem anti-penipuan perbankan untuk mendeteksi serangan ini karena transaksi dilakukan dari perangkat yang sama yang biasa digunakan oleh nasabah bank sasaran, menurut ThreatFabric.

Dalam kampanye terbaru, Anatsa setelah terpasang membuat permintaan ke halaman GitHub yang mengarah ke URL GitHub lain yang menyimpan muatan berbahaya untuk mengelabui korban dengan menyamar sebagai add-on aplikasi.

Aspek penting dari dropper adalah penggunaan izin “REQUEST_INSTALL_PACKAGES” yang dibatasi, berulang kali dieksploitasi oleh aplikasi jahat melalui Google Play Store untuk menginstal malware tambahan pada perangkat yang terinfeksi. Berikut nama aplikasi selengkapnya.

Kelima aplikasi dropper itu telah diperbarui setelah publikasi awal mereka, diduga dilakukan secara diam-diam untuk menyelipkan fungsionalitas berbahaya setelah melewati proses peninjauan aplikasi saat pengiriman awal.

ThreatFabric menyatakan bahwa kampanye terbaru oleh Anatsa mengungkapkan ancaman yang berkembang yang dihadapi oleh bank dan lembaga keuangan dalam era digital saat ini. Mereka juga menekankan perlunya tindakan proaktif untuk melawan ancaman semacam itu.

Selengkapnya: The Hacker News

Game Super Mario yang Disisipi Trojan Digunakan Untuk Memasang Malware Windows

by

Sebuah installer yang terinfeksi Trojan untuk permainan populer Super Mario 3: Mario Forever untuk Windows telah menginfeksi pemain yang tidak curiga dengan beberapa infeksi malware.

Para peneliti dari Cyble menemukan bahwa pelaku ancaman sedang mendistribusikan sampel yang dimodifikasi dari installer Super Mario 3: Mario Forever, yang didistribusikan sebagai arsip eksekutor ekstraksi diri melalui saluran yang tidak diketahui.

Permainan yang terinfeksi trojan ini kemungkinan dipromosikan di forum game, grup media sosial, atau diberikan kepada pengguna melalui malvertizing, Black SEO, dan sebagainya.

diagram
diagram

Arsip ini berisi tiga file eksekutor, satu yang menginstal permainan Mario yang sah (“super-mario-forever-v702e.exe”) dan dua lainnya, “java.exe” dan “atom.exe,” yang secara diam-diam diinstal ke direktori AppData korban selama proses instalasi permainan tersebut.

Setelah file eksekutor jahat berada di dalam disk, installer menjalankannya untuk menjalankan penambang XMR (Monero) dan klien penambangan SupremeBot.

File “java.exe” adalah penambang Monero yang mengumpulkan informasi tentang perangkat keras korban dan terhubung ke server penambangan di “gulf[.]moneroocean[.]stream” untuk memulai penambangan.

SupremeBot (“atom.exe”) membuat duplikat dari dirinya sendiri dan menempatkan salinan tersebut di folder tersembunyi di direktori instalasi permainan.

Selanjutnya, ia membuat tugas terjadwal untuk menjalankan salinan tersebut setiap 15 menit secara tidak terbatas, menyembunyikan dirinya dengan nama proses yang sah.

Proses awal diakhiri dan file asli dihapus untuk menghindari deteksi. Kemudian, malware ini membentuk koneksi C2 untuk mengirimkan informasi, mendaftarkan klien, dan menerima konfigurasi penambangan untuk memulai penambangan Monero.

Terakhir, SupremeBot mengambil muatan tambahan dari C2, yang tiba sebagai file eksekutor bernama “wime.exe.”

Selengkapnya: Bleeping Computer

Pakar Mengungkap Serangan Cyber Selama Setahun di Perusahaan IT yang Memanfaatkan Malware Khusus RDStealer

by

Serangan cyber yang sangat bertarget terhadap perusahaan TI Asia Timur melibatkan penyebaran malware khusus yang ditulis dalam bahasa Golang yang disebut RDStealer.

operasi tersebut mengandalkan trojan akses jarak jauh yang tersedia seperti AsyncRAT dan Cobalt Strike, sebelum beralih ke malware yang dipesan lebih dahulu pada akhir 2021 atau awal 2022 dalam upaya untuk menggagalkan deteksi.

Taktik penghindaran utama menyangkut penggunaan folder Microsoft Windows yang cenderung dikecualikan dari pemindaian oleh perangkat lunak keamanan (misalnya, System32 dan Program Files) untuk menyimpan muatan backdoor.

Salah satu sub-folder yang dimaksud adalah “C:\Program Files\Dell\CommandUpdate,” yang merupakan direktori untuk aplikasi resmi Dell bernama Dell Command | Memperbarui.

Bitdefender mengatakan semua mesin yang terinfeksi selama insiden tersebut diproduksi oleh Dell, menunjukkan bahwa pelaku ancaman sengaja memilih folder ini untuk menyamarkan aktivitas berbahaya.

Garis penalaran ini didukung oleh fakta bahwa aktor ancaman mendaftarkan domain perintah-dan-kontrol (C2) seperti “dell-a[.]ntp-update[.]com” dengan tujuan menyatu dengan lingkungan target .

Kumpulan intrusi ditandai dengan penggunaan pintu belakang sisi server yang disebut RDStealer, yang berspesialisasi dalam mengumpulkan konten clipboard dan data keystroke terus menerus dari host.

Namun yang membuatnya menonjol adalah kemampuannya untuk “memantau koneksi RDP [Remote Desktop Protocol] yang masuk dan membahayakan mesin jarak jauh jika pemetaan drive klien diaktifkan.”

Jadi, ketika koneksi klien RDP baru terdeteksi, perintah dikeluarkan oleh RDStealer untuk mengekstraksi data sensitif, seperti riwayat penelusuran, kredensial, dan kunci pribadi dari aplikasi seperti mRemoteNG, KeePass, dan Google Chrome.

“Penjahat dunia cyber terus berinovasi dan mengeksplorasi metode baru untuk meningkatkan keandalan dan kerahasiaan aktivitas jahat mereka,” kata Zugec.

“Serangan ini berfungsi sebagai bukti meningkatnya kecanggihan serangan dunia cyber modern, tetapi juga menggarisbawahi fakta bahwa pelaku ancaman dapat memanfaatkan kecanggihan baru mereka untuk mengeksploitasi teknologi lama yang diadopsi secara luas.”

sumber : thehackernews.com

Spyware Ditemukan di Aplikasi Google Play dengan Unduhan Lebih dari 420 Juta

by

Perusahaan antivirus Doctor Web baru-baru ini mengungkapkan adanya spyware di lebih dari 100 aplikasi Android di Google Play. Total unduhan dari aplikasi-aplikasi ini mencapai lebih dari 420 juta.

Spyware ini disebut SpinOk dan tersebar dalam bentuk SDK pemasaran. Pada perangkat korban, SpinOk dapat mengumpulkan informasi file, mengirim file kepada penyerang, dan mencuri konten clipboard.

Modul jahat ini menawarkan permainan mini, tugas, dan hadiah palsu untuk menjaga minat pengguna terhadap aplikasi-aplikasi tersebut.

SpinOk terhubung ke server command-and-control (C&C) setelah dieksekusi. Ia mengirim informasi perangkat, termasuk data dari sensor, yang digunakan untuk mendeteksi lingkungan emulator. Server merespons dengan sejumlah URL yang digunakan untuk menampilkan iklan melalui WebView.

Selain itu, SpinOk dapat mengumpulkan daftar file dalam direktori tertentu, memeriksa keberadaan file dan direktori spesifik, mengunggah file dari perangkat, dan mengganti konten clipboard.

Dengan kemampuannya yang berbahaya, modul trojan ini memungkinkan para penyerang untuk mendapatkan informasi dan file rahasia dari perangkat pengguna. Untuk melakukan ini, penyerang perlu menambahkan kode tertentu ke halaman iklan.

Doctor Web telah melaporkan temuannya kepada Google, dan beberapa aplikasi sudah dihapus. Namun, perlu diingat bahwa tidak semua versi aplikasi mengandung SDK jahat tersebut.

Beberapa aplikasi populer yang terdampak meliputi Noizz dengan lebih dari 100 juta unduhan, Zapya dengan lebih dari 100 juta unduhan (versi 6.3.3 hingga 6.4), VFly dengan lebih dari 50 juta unduhan, MVBit dengan lebih dari 50 juta unduhan, dan Biugo dengan lebih dari 50 juta unduhan. Doctor Web telah merilis daftar lengkap aplikasi yang terinfeksi untuk informasi lebih lanjut.

Sumber: Securityweek

Aplikasi Fake Steam Desktop Authenticator mendistribusikan DarkCrystal RAT

by

Baru-baru ini saya menemukan kampanye menarik yang menggunakan situs web palsu untuk mendistribusikan malware. Meski TTP ini bukan barang baru, namun sepertinya sedang naik daun. Secara anekdot, saya telah melihatnya dalam banyak kasus di tahun 2023 lebih dari sebelumnya. Sulit untuk mengukur tanpa melakukan penelitian ekstensif, setidaknya ini adalah sesuatu yang harus diperhatikan oleh analis lain.

Tersangka penjahat dunia maya yang berbasis di Rusia memutuskan untuk mengkloning situs web aplikasi desktop sumber terbuka yang sah (lihat di sini) yang disebut Steam Desktop Authenticator (SDA) yang merupakan versi desktop yang nyaman dari aplikasi autentikator seluler. Namun, untuk kenyamanan itu, ada harga – penipuan peniruan dan pembajakan akun. Repo GitHub dari aplikasi SDA juga memiliki peringatan kepada orang lain tentang versi palsu yang beredar.

Pelaku ancaman yang mendistribusikan SDA versi palsu menggunakan dua teknik yang efektif jika dipasangkan bersama: Kloning Situs dan Typosquatting.

Kloning Situs melibatkan penyalinan semua HTML, CSS, JavaScript, PHP, dll, kode dari satu situs web dan menghostingnya kembali di server web Anda sendiri. Oleh karena itu terlihat sama dan bertindak sama. Semua tombol di situs itu juga berfungsi seperti aslinya dan akan mengarahkan Anda dari situs palsu ke halaman lain di situs asli.

Typosquatting melibatkan pendaftaran domain yang mirip dengan target. Oleh karena itu, ketika pengguna mengunjungi situs atau disajikan dengan URL, mereka kemudian harus secara sadar memperhatikan domain di URL untuk mengetahui bahwa itu bukan yang asli, misalnya, github.com.

selengkapnya : blog.bushidotoken.net

Serangan Inaudible Ultrasound Diam-diam Dapat Mengontrol Ponsel Anda, Smart Speaker

by

Peneliti Universitas Amerika telah mengembangkan serangan baru yang “Near-Ultrasound Inaudible Trojan” (NUIT) yang dapat meluncurkan serangan senyap terhadap perangkat yang diberdayakan oleh asisten suara, seperti smartphone, smart speaker, dan IoT lainnya.

Tim peneliti mendemonstrasikan serangan NUIT terhadap asisten suara modern yang ditemukan dalam jutaan perangkat, termasuk Siri Apple, Asisten Google, Cortana Microsoft, dan Alexa Amazon, menunjukkan kemampuan untuk mengirim perintah berbahaya ke perangkat tersebut.

Serangan Inaudible
Prinsip utama yang membuat NUIT efektif dan berbahaya adalah mikrofon di perangkat pintar dapat merespons gelombang mendekati ultrasound yang tidak dapat dilakukan telinga manusia, sehingga melakukan serangan dengan risiko paparan minimal sambil tetap menggunakan teknologi speaker konvensional.

Para peneliti mengatakan serangan NUIT dapat dilakukan dengan menggunakan dua metode berbeda. Metode NUIT-1, adalah saat perangkat menjadi sumber sekaligus target serangan.

Diagram Serangan NUIT-1
Diagram Serangan NUIT-1

Sedangkan metode NUIT-2, adalah ketika serangan diluncurkan oleh perangkat dengan speaker ke perangkat lain dengan mikrofon, seperti situs web ke speaker pintar.

Diagram Serangan NUIT-2
Diagram Serangan NUIT-2

Skenario serangan yang ditunjukkan oleh para peneliti melibatkan pengiriman perintah ke IoT yang terhubung ke smartphone dengan sedikit risiko korban menyadari aktivitas ini sedang berlangsung.

Penyerang juga dapat mengarahkan ponsel cerdas ke sebuah situs web untuk menjatuhkan malware dengan mengeksploitasi kerentanan di browser tanpa interaksi oleh korban.

Chen menyarankan untuk mengautentikasi perangkat pintar menggunakan sidik jari vokal dan memantau perangkat dengan cermat untuk aktivasi mikrofon, yang telah mendedikasikan indikator di layar pada smartphone iOS dan Android.

Selengkapnya: BleepingComputer

Peretas StrongPity Mendistribusikan Aplikasi Telegram yang Di-Trojan untuk Menargetkan Pengguna Android

by

Grup ancaman persisten tingkat lanjut (APT) yang dikenal sebagai StrongPity telah menargetkan pengguna Android dengan versi trojan dari aplikasi Telegram melalui situs web palsu yang menyamar sebagai layanan obrolan video bernama Shagle.

“Situs peniru, meniru layanan Shagle, digunakan untuk mendistribusikan aplikasi backdoor seluler StrongPity,” peneliti malware ESET. StrongPity, juga dikenal dengan nama APT-C-41 dan Promethium, adalah kelompok cyberespionage yang aktif setidaknya sejak tahun 2012, dengan mayoritas operasinya berfokus pada Suriah dan Turki. Keberadaan grup tersebut pertama kali dilaporkan ke publik oleh Kaspersky pada Oktober 2016.

StrongPity diamati menyebarkan malware Android untuk pertama kalinya dengan kemungkinan membobol portal e-government Suriah dan mengganti file APK Android resmi dengan mitra nakal.

Temuan terbaru dari ESET menyoroti modus operandi serupa yang dirancang untuk mendistribusikan versi terbaru dari muatan pintu belakang Android, yang dilengkapi untuk merekam panggilan telepon, melacak lokasi perangkat, dan mengumpulkan pesan SMS, log panggilan, daftar kontak, dan file.

Perusahaan cybersecurity Slovakia menggambarkan implan sebagai modular dan mampu mengunduh komponen tambahan dari server perintah-dan-kontrol (C2) jarak jauh untuk mengakomodasi tujuan kampanye StrongPity yang terus berkembang.

Juga tidak ada bukti (“video.apk”) bahwa aplikasi tersebut dipublikasikan di Google Play Store resmi. Saat ini tidak diketahui bagaimana calon korban dibujuk ke situs web palsu, dan apakah itu memerlukan teknik seperti rekayasa sosial, peracunan mesin pencari, atau iklan penipuan.

Aspek penting lainnya dari serangan itu adalah bahwa versi Telegram yang dirusak menggunakan nama paket yang sama dengan aplikasi Telegram asli, yang berarti varian backdoor tidak dapat diinstal pada perangkat yang sudah menginstal Telegram.

sumber : thehackernews

Mata-mata Rusia yang Terkenal Membonceng Infeksi USB Peretas Lain

by

Kelompok CYBERESPIONAGE RUSIA yang dikenal sebagai Turla tampaknya sedang mencoba trik baru: membajak infeksi USB dari peretas lain untuk membonceng infeksi mereka dan secara diam-diam memilih target mata-mata mereka.

Teknik baru Turla pertama kali terungkap pada bulan September tahun lalu, ketika responden insiden perusahaan menemukan pelanggaran jaringan yang aneh di Ukraina, negara yang menjadi fokus utama dari semua layanan intelijen Kremlin setelah bencana invasi Rusia Februari lalu. Beberapa komputer di jaringan itu telah terinfeksi setelah seseorang memasukkan drive USB ke salah satu port mereka dan mengklik dua kali pada file berbahaya di drive yang telah disamarkan sebagai folder, menginstal malware yang disebut Andromeda.

Andromeda adalah trojan perbankan yang relatif umum digunakan penjahat dunia maya untuk mencuri kredensial korban sejak awal 2013.

satu contoh di Ukraina dari infeksi Andromeda yang dibajak yang mendistribusikan malware Turla. Tetapi perusahaan menduga kemungkinan ada lebih banyak. Hultquist memperingatkan bahwa tidak ada alasan untuk percaya bahwa target mata-mata diam-diam yang membonceng infeksi USB Andromeda akan terbatas hanya pada satu target, atau bahkan hanya Ukraina. “Turla memiliki mandat pengumpulan intelijen global,” katanya.

Penemuan Mandiant atas teknik peretasan berbasis USB lainnya yang lebih tersembunyi di tangan Turla harus menjadi pengingat bahwa bahkan sekarang, 15 tahun kemudian, vektor intrusi berbasis USB hampir tidak menghilang. Tancapkan drive yang terinfeksi ke port USB Anda hari ini, tampaknya, dan Anda mungkin menawarkan undangan tidak hanya kepada penjahat dunia maya yang tidak cerdas, tetapi juga jenis operasi yang jauh lebih canggih yang bersembunyi di belakang mereka.

sumber: wired