Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Trojan

Trojan

Cyber-Mercenaries Menargetkan Pengguna Android dengan Aplikasi VPN Palsu

by

Grup peretasan bayaran mendistribusikan aplikasi berbahaya melalui situs web SecureVPN palsu yang memungkinkan aplikasi Android diunduh dari Google Play, kata para peneliti di Eset.

Versi Trojan dari dua aplikasi sah yang digunakan oleh penyerang
Versi Trojan dari dua aplikasi sah yang digunakan oleh penyerang

Dijuluki “Bahamut,” peneliti dari perusahaan keamanan siber menemukan setidaknya delapan versi spyware. Aplikasi tersebut digunakan sebagai bagian dari kampanye jahat yang menggunakan versi Trojan dari dua aplikasi yang sah – SoftVPN dan OpenVPN. Dalam kedua kasus, aplikasi dikemas ulang dengan spyware Bahamut.

“Tujuan utama dari modifikasi aplikasi adalah untuk mengekstrak data pengguna yang sensitif dan secara aktif memata-matai aplikasi perpesanan korban,” kata para peneliti.

Eksfiltrasi data sensitif dilakukan melalui keylogging, menyalahgunakan layanan aksesibilitas Android. Itu juga dapat secara aktif memata-matai pesan obrolan yang dipertukarkan melalui aplikasi perpesanan populer termasuk Signal, Viber, WhatsApp, Telegram, dan Facebook Messenger.

Vektor serangan awalnya yaitu pesan spearphishing dan aplikasi palsu, yang tujuannya adalah untuk mencuri informasi sensitif dari korbannya.

Aplikasi jahat dikirimkan melalui situs web thiscurevpn[.]com, spoof dari situs securevpn yang sebenarnya tetapi tidak memiliki konten atau gaya layanan SecureVPN yang sah (di domain securevpn.com).

Thiscurevpn[.]com terdaftar pada 27-01-2020, tetapi tanggal distribusi awal aplikasi SecureVPN palsu tidak diketahui.

Sejak distribusi spyware Bahamut melalui situs web dimulai, delapan versi spyware telah tersedia untuk diunduh.

  • SecureVPN_104.apk;
  • SecureVPN_105.apk;
  • SecureVPN_106.apk;
  • SecureVPN_107.apk;
  • SecureVPN_108.apk;
  • SecureVPN_109.apk;
  • SecureVPN_1010.apk;
  • SecureVPN_1010b.apk.

Selengkapnya: Data Breach Today

Aplikasi File Android Menginfeksi Ribuan Orang dengan Malware Sharkbot

by

Kumpulan baru aplikasi Android berbahaya yang berpura-pura sebagai pengelola file yang tidak berbahaya telah menyusup ke toko aplikasi resmi Google Play, menginfeksi pengguna dengan trojan perbankan Sharkbot.

Aplikasi tidak membawa muatan berbahaya saat penginstalan untuk menghindari deteksi saat dikirimkan di Google Play, tetapi mengambilnya nanti dari sumber daya jarak jauh.

Karena aplikasi trojan adalah pengelola file, kecil kemungkinannya menimbulkan kecurigaan saat meminta izin berbahaya untuk memuat malware Sharkbot.

Pengelola File Palsu Menginfeksi Android
Sharkbot adalah malware berbahaya yang mencoba mencuri rekening bank online dengan menampilkan formulir login palsu melalui permintaan login yang sah di aplikasi perbankan. Saat pengguna mencoba masuk ke bank mereka menggunakan salah satu formulir palsu ini, kredensial dicuri dan dikirim ke pelaku ancaman.

Dalam laporan baru oleh Bitdefender, analis menemukan aplikasi trojan Android baru yang menyamar sebagai pengelola file dan melaporkannya ke Google. Semuanya telah dihapus dari Google Play Store.

X-File Manager di Google Play (Bitdefender)

Aplikasi ini melakukan pemeriksaan anti-emulasi untuk menghindari deteksi dan hanya akan memuat Sharkbot di SIM Britania Raya atau Italia, jadi ini adalah bagian dari kampanye yang ditargetkan.

Daftar aplikasi bank seluler yang ditargetkan oleh malware ditampilkan di bawah, tetapi seperti yang dicatat Bitdefender, pelaku ancaman dapat memperbarui daftar ini dari jarak jauh kapan saja.

Bank yang ditargetkan oleh kampanye Sharkbot ini (Bitdefender)

Aplikasi jahat meminta pengguna untuk memberikan izin berisiko seperti membaca dan menulis penyimpanan eksternal, menginstal paket baru, mengakses detail akun, menghapus paket (untuk menghapus jejak), dll.

Sharkbot diambil sebagai pembaruan program palsu, yang diminta X-File Manager untuk disetujui pengguna sebelum menginstal.

Aplikasi jahat kedua yang memasang trojan perbankan adalah ‘FileVoyager’ oleh Julia Soft Io LLC (com.potsepko9.FileManagerApp), diunduh 5.000 kali melalui Google Play.

FileVoyager menampilkan pola operasional yang sama dengan X-File Manager dan menargetkan lembaga keuangan yang sama di Italia dan Inggris.

Aplikasi pemuatan Sharkbot lain yang ditemukan oleh Bitdefender adalah ‘LiteCleaner M’ (com.ltdevelopergroups.litecleaner.m), yang mengumpulkan 1.000 unduhan sebelum ditemukan dan dihapus dari Play Store.

sumber : bleeping computer

Magento Menjadi Sasaran Besar Serangan TrojanOrders

by

Setidaknya tujuh kelompok peretas berada di balik lonjakan besar dalam serangan ‘TrojanOrders’ yang menargetkan situs web Magento 2, mengeksploitasi kerentanan yang memungkinkan pelaku ancaman untuk mengkompromikan server yang rentan.

Perusahaan keamanan situs web Sansec memperingatkan bahwa hampir 40% situs web Magento 2 menjadi sasaran serangan, dengan kelompok peretas yang saling bertarung untuk menguasai situs yang terinfeksi.

Serangan ini digunakan untuk menyuntikkan kode JavaScript berbahaya ke situs web toko online yang dapat menyebabkan gangguan bisnis yang signifikan dan pencurian kartu kredit pelanggan besar-besaran selama periode Black Friday dan Cyber Monday yang sibuk.

Diagram serangan ‘TrojanOrders’ yang terdeteksi
Sumber: Sansec

Serangan TrojanOrders
TrojanOrders adalah nama serangan yang mengeksploitasi kerentanan kritis Magento 2 CVE-2022-24086, memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode dan menyuntikkan RAT (trojan akses jarak jauh) di situs web yang belum ditambal.

Saat melakukan serangan TrojanOrders, peretas biasanya membuat akun di situs web target dan melakukan pemesanan yang berisi kode templat berbahaya di bidang nama, PPN, atau lainnya.

Setelah mendapatkan pijakan di situs web, penyerang memasang trojan akses jarak jauh untuk membuat akses permanen dan kemampuan untuk melakukan tindakan yang lebih rumit.

Penyerang akhirnya memodifikasi situs untuk menyertakan JavaScript berbahaya yang mencuri informasi pelanggan dan nomor kartu kredit saat membeli produk di toko.

Mengapa ada lonjakan setelah sekian lama?
Pertama, sejumlah besar situs Magento 2 tetap rentan terhadap serangan ini, bahkan sepuluh bulan setelah tambalan tersedia.

Kedua, eksploitasi PoC (bukti konsep) telah tersedia sejak lama, memungkinkan pembuat kit eksploit untuk memasukkannya ke dalam alat dan keuntungan mereka dengan menjualnya ke peretas berketerampilan rendah.

Eksploitasi Magento ini sangat melimpah sehingga dijual dengan harga serendah $2.500, sedangkan pada awal 2022, harganya antara $20.000 dan $30.000.

Cara melindungi situs Anda (dan pelanggan)
Jika Anda belum menerapkan pembaruan keamanan yang membahas CVE-2022-24086, Anda harus melakukannya sesegera mungkin.

Gunakan pemindai malware backend untuk menemukan potensi infeksi di masa lalu yang menyebabkan injeksi RAT di situs Anda.

Sansec mengatakan alat resmi Magento, Pemindaian Keamanan, hanya mengikis ujung depan, sehingga tidak dapat menangkap TrojanOrders.

Mendeteksi dan menghapus malware dan pintu belakang PHP hanya akan menghentikan infeksi di masa mendatang jika tambalan Magento 2 diterapkan, jadi ini masih merupakan langkah paling penting yang harus diambil.

sumber : bleeping computer

Aplikasi Google Play Store Berbahaya Terlihat Mendistribusikan Trojan Xenomorph Banking

by

Google telah menghapus dua aplikasi dropper jahat baru yang telah terdeteksi di Play Store untuk Android, salah satunya dianggap sebagai aplikasi gaya hidup dan diketahui mendistribusikan malware perbankan Xenomorph.

“Xenomorph adalah trojan yang mencuri kredensial dari aplikasi perbankan di perangkat pengguna,” kata peneliti Zscaler ThreatLabz Himanshu Sharma dan Viral Gandhi dalam analisis yang diterbitkan Kamis.

dua aplikasi malicious/berbahaya adalah sebagai berikut

  • Todo: Day manager (com.todo.daymanager)
  • 経費キーパー (com.setprice.expenses)

Xenomorph, pertama kali didokumentasikan oleh ThreatFabric awal Februari ini, diketahui menyalahgunakan izin aksesibilitas Android untuk melakukan serangan overlay, di mana layar login palsu ditampilkan di atas aplikasi bank yang sah untuk mencuri kredensial korban.

Terlebih lagi, malware memanfaatkan deskripsi saluran Telegram untuk memecahkan kode dan membangun domain command-and-control (C2) yang digunakan untuk menerima perintah tambahan.

Perkembangan tersebut mengikuti penemuan empat aplikasi jahat di Google Play yang ditemukan mengarahkan korban ke situs web jahat sebagai bagian dari kampanye pencurian informasi dan adware. Google mengatakan kepada The Hacker News bahwa sejak itu mereka telah melarang pengembang.

sumber : the hacker news

Varian Baru IceXLoader Malware Loader Menginfeksi Ribuan Korban di Seluruh Dunia

by

Versi terbaru dari pemuat malware dengan nama kode IceXLoader diduga telah menyusupkan ribuan mesin Windows pribadi dan perusahaan di seluruh dunia.

Juni lalu, Fortinet FortiGuard Labs mengatakan telah menemukan versi trojan yang ditulis dalam bahasa pemrograman Nim dengan tujuan menghindari analisis dan deteksi.

IceXLoader sebelumnya didistribusikan melalui kampanye phishing, dengan email yang berisi arsip ZIP berfungsi sebagai pemicu untuk menyebarkan malware. Rantai infeksi telah membantu IceXLoader untuk menghadirkan DarkCrystal RAT dan penambang cryptocurrency.

Dalam urutan serangan yang dirinci oleh Minerva Labs, file ZIP telah ditemukan menyimpan penetes, yang menjatuhkan pengunduh berbasis .NET yang, seperti namanya, mengunduh gambar PNG (“Ejvffhop.png”) dari hard- kode URL.

File gambar ini, penetes lain, kemudian diubah menjadi array byte, yang secara efektif memungkinkannya untuk mendekripsi dan menyuntikkan IceXLoader ke dalam proses baru menggunakan teknik yang disebut proses pengosongan.

Minerva Labs mengatakan file database SQLite yang dihosting di server command-and-control (C2) terus diperbarui dengan informasi tentang ribuan korban, menambahkannya dalam proses memberi tahu perusahaan yang terkena dampak.

sumber : the hacker news

Ekstensi berbahaya memungkinkan penyerang mengontrol Google Chrome dari jarak jauh

by

Botnet browser Cloud9 secara efektif merupakan trojan akses jarak jauh (RAT) untuk browser web Chromium, termasuk Google Chrome dan Microsoft Edge, yang memungkinkan pelaku ancaman untuk mengeksekusi perintah dari jarak jauh.

Ekstensi Chrome berbahaya diedarkan melalui saluran alternatif, seperti situs web yang mendorong pembaruan Adobe Flash Player palsu.

Ekstensi browser berbahaya di Chrome (Zimperium)

Menginfeksi browser Anda
Cloud9 adalah ekstensi browser berbahaya yang membuka pintu belakang browser Chromium untuk melakukan daftar ekstensif fungsi dan kemampuan berbahaya.

Ekstensi terdiri dari tiga file JavaScript untuk mengumpulkan informasi sistem, menambang cryptocurrency menggunakan sumber daya host, melakukan serangan DDoS, dan menyuntikkan skrip yang menjalankan eksploitasi browser.

Zimperium memperhatikan pemuatan eksploit untuk kerentanan CVE-2019-11708 dan CVE-2019-9810 di Firefox, CVE-2014-6332 dan CVE-2016-0189 untuk Internet Explorer, dan CVE-2016-7200 untuk Edge.

Kerentanan ini digunakan untuk menginstal dan mengeksekusi malware Windows secara otomatis di host, memungkinkan penyerang untuk melakukan kompromi sistem yang lebih signifikan.

Modul “clipper” juga hadir dalam ekstensi, terus memantau clipboard sistem untuk kata sandi atau kartu kredit yang disalin.


Komponen clipper Cloud9 (Zimperium)

Cloud9 juga dapat menyuntikkan iklan dengan memuat halaman web secara diam-diam untuk menghasilkan tayangan iklan dan, dengan demikian, pendapatan bagi operatornya.

Terakhir, malware dapat meminta daya tembak host untuk melakukan serangan DDoS layer 7 melalui permintaan HTTP POST ke domain target.

Operator dan target
Peretas di balik Cloud9 diyakini memiliki hubungan dengan grup malware Keksec karena domain C2 yang digunakan dalam kampanye baru-baru ini terlihat dalam serangan Keksec sebelumnya.

Keksec bertanggung jawab untuk mengembangkan dan menjalankan beberapa proyek botnet, termasuk EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC, dan Necro.

Korban Cloud9 tersebar di seluruh dunia, dan tangkapan layar yang diposting oleh aktor ancaman di forum menunjukkan bahwa mereka menargetkan berbagai browser.

sumber : bleeping computer

Ribuan repositori GitHub memberikan eksploitasi PoC palsu dengan malware

by

Para peneliti di Leiden Institute of Advanced Computer Science menemukan ribuan repositori di GitHub yang menawarkan eksploitasi proof-of-concept (PoC) palsu untuk berbagai kerentanan, beberapa di antaranya termasuk malware.

Menurut makalah teknis dari para peneliti di Leiden Institute of Advanced Computer Science, kemungkinan terinfeksi malware alih-alih mendapatkan PoC bisa mencapai 10,3%, tidak termasuk palsu dan prankware yang terbukti.

Para peneliti menganalisis sedikit lebih dari 47.300 repositori yang mengiklankan eksploitasi untuk kerentanan yang diungkapkan antara 2017 dan 2021 menggunakan tiga mekanisme berikut:

  • Analisis alamat IP: membandingkan IP penerbit PoC dengan daftar blokir publik dan VT dan AbuseIPDB.
  • Analisis biner: jalankan pemeriksaan VirusTotal pada executable yang disediakan dan hashnya.
  • Analisis heksadesimal dan Base64: memecahkan kode file yang dikaburkan sebelum melakukan pemeriksaan biner dan IP.
Metode analisis data (Arxiv.org)

Dari 150.734 IP unik yang diekstraksi, 2.864 entri daftar blokir yang cocok, 1.522 terdeteksi sebagai berbahaya dalam pemindaian antivirus di Virus Total, dan 1.069 di antaranya ada di database AbuseIPDB.

Alamat IP ditemukan di berbagai daftar blokir (Arxiv.org)

Analisis biner memeriksa satu set 6.160 executable dan mengungkapkan total 2.164 sampel berbahaya yang dihosting di 1.398 repositori.

Secara total, 4.893 repositori dari 47.313 yang diuji dianggap berbahaya, dengan sebagian besar dari mereka terkait dengan kerentanan mulai tahun 2020.

Repositori berbahaya per tahun (Arxiv.org)

Laporan tersebut berisi sekumpulan kecil repositori dengan PoC palsu yang mengirimkan malware. Namun, para peneliti berbagi setidaknya 60 contoh lain yang masih hidup dan dalam proses dihapus oleh GitHub.

Dengan melihat lebih dekat ke beberapa kasus tersebut, para peneliti menemukan sejumlah besar malware dan skrip berbahaya yang berbeda, mulai dari trojan akses jarak jauh hingga Cobalt Strike.

Satu kasus yang menarik adalah PoC untuk CVE-2019-0708, umumnya dikenal sebagai “BlueKeep”, yang berisi skrip Python base64 yang dikaburkan yang mengambil VBScript dari Pastebin.

Scriptnya adalah Houdini RAT, trojan berbasis JavaScript lama yang mendukung eksekusi perintah jarak jauh melalui CMD Windows.

Dalam kasus lain, para peneliti melihat PoC palsu yang merupakan pencuri informasi yang mengumpulkan informasi sistem, alamat IP, dan agen pengguna.

Salah satu peneliti, El Yadmani Soufian, memberikan contoh tambahan yang tidak termasuk dalam laporan teknis, yang diberikan di bawah ini:

PowerShell PoC yang berisi biner yang dikodekan dalam base64 ditandai sebagai berbahaya di Total Virus.

Powershell PoC Palsu

Python PoC berisi one-liner yang mendekode payload yang disandikan base64 yang ditandai sebagai berbahaya di Virus Total.

Eksploitasi BlueKeep palsu berisi executable yang ditandai oleh sebagian besar mesin antivirus sebagai berbahaya, dan diidentifikasi sebagai Cobalt Strike.

Skrip yang bersembunyi di dalam PoC palsu dengan komponen berbahaya yang tidak aktif yang dapat menyebabkan kerusakan jika pembuatnya menginginkannya.

Oleh karena itu mempercayai repositori di GitHub secara membabi buta dari sumber yang tidak diverifikasi akan menjadi ide yang buruk karena kontennya tidak dimoderasi, jadi pengguna harus meninjaunya sebelum menggunakannya.

Penguji perangkat lunak disarankan untuk memeriksa dengan cermat PoC yang mereka unduh dan menjalankan pemeriksaan sebanyak mungkin sebelum menjalankannya.

Soufian percaya bahwa semua penguji harus mengikuti tiga langkah berikut:

  • Baca dengan cermat kode yang akan Anda jalankan di jaringan Anda atau pelanggan Anda.
  • Jika kode terlalu dikaburkan dan membutuhkan terlalu banyak waktu untuk menganalisis secara manual, sandbox di lingkungan (mis: Mesin Virtual yang terisolasi) dan periksa jaringan Anda untuk setiap lalu lintas yang mencurigakan.
  • Gunakan alat intelijen sumber terbuka seperti VirusTotal untuk menganalisis binari.

Para peneliti telah melaporkan semua repositori berbahaya yang mereka temukan ke GitHub, tetapi akan memakan waktu sampai semuanya ditinjau dan dihapus, begitu banyak yang masih tersedia untuk umum.

Seperti yang dijelaskan Soufian, penelitian mereka bertujuan tidak hanya berfungsi sebagai tindakan pembersihan satu kali di GitHub, tetapi juga bertindak sebagai pemicu untuk mengembangkan solusi otomatis yang dapat digunakan untuk menandai instruksi berbahaya dalam kode yang diunggah.

Sumber: Bleeping Computer

Laporan Baru Mengungkap Teknik Pengiriman dan Pengelakan Emotet yang Digunakan dalam Serangan Baru-baru ini

by

Pelaku ancaman yang memiliki kaitan dengan malware Emotet yang terkenal terus-menerus mengubah taktik dan infrastruktur command-and-control (C2) mereka untuk menghindari deteksi, menurut penelitian baru dari VMware.

Kebangkitan Emotet, yang diatur oleh tim Conti yang sekarang sudah tidak aktif, telah membuka jalan bagi infeksi Cobalt Strike dan, baru-baru ini, serangan ransomware yang melibatkan Quantum dan BlackCat.

Alur serangan emotet juga ditandai dengan penggunaan vektor serangan yang berbeda dalam upaya untuk tetap terselubung untuk waktu yang lama.

Penyusupan ini biasanya bergantung pada gelombang pesan spam yang mengirimkan dokumen yang mengandung malware atau URL yang disematkan, yang ketika dibuka atau diklik, mengarah pada penyebaran malware.

Pada Januari 2022 saja, VMware mengatakan telah mengamati tiga rangkaian serangan yang berbeda di mana muatan Emotet dikirimkan melalui makro Excel 4.0 (XL4), makro XL4 dengan PowerShell, dan makro Aplikasi Visual Basic (VBA) dengan PowerShell.

Kemunculan kembali Emotet juga ditandai dengan perubahan infrastruktur C2, dengan aktor ancaman mengoperasikan dua klaster botnet baru yang dijuluki Epochs 4 dan 5. Sebelum penghapusan, operasi Emotet berjalan di atas tiga botnet terpisah yang disebut sebagai Epochs 1, 2, dan 3.

Selain itu, 10.235 muatan Emotet yang terdeteksi di alam liar antara 15 Maret 2022, dan 18 Juni 2022, menggunakan kembali server C2 milik Epoch 5.

Selengkapnya: The Hacker News