Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Trojan

Trojan

Mod WhatsApp berbahaya menginfeksi perangkat Android dengan malware

by

Versi jahat dari mod FMWhatsappWhatsApp memberikan muatan Triadatrojan, kejutan buruk yang menginfeksi perangkat mereka dengan malware tambahan, termasuk trojan xHelper yang sangat sulit dihapus.

FMWhatsApp berjanji untuk meningkatkan pengalaman pengguna WhatsApp dengan fitur tambahan seperti privasi yang lebih baik, tema obrolan khusus, akses ke paket emoji jejaring sosial lain, dan penguncian aplikasi menggunakan PIN, kata sandi, atau touch ID.

Namun, seperti yang ditemukan oleh peneliti Kaspersky, versi FMWhatsapp 16.80.0 juga akan menginstall trojan Triada di perangkat pengguna dengan bantuan SDK iklan.

“Aplikasi ini tersedia di beberapa situs distribusi mod WhatsApp populer. Kami tidak dapat membagikan tautan ke sana,” kata pakar keamanan Kaspersky Igor Golovin kepada BleepingComputer.

“Untuk [kloning FMWhatsApp] di Google Play – aplikasi ini biasanya hanya berisi berbagai iklan dan menginstruksikan pengguna tentang cara mengunduh dan menginstal mod, sementara sebenarnya tidak mengandung mod jahat itu sendiri.”

Setelah diinstal, Triada mulai mengumpulkan informasi perangkat dan mengirimkannya ke server perintah-dan-kontrolnya, yang membalas dengan tautan ke muatan tambahan yang akan diunduh dan diluncurkan trojan pada perangkat Android yang disusupi.

Malware yang dijatuhkan oleh Triada di perangkat Android pengguna FMWhatsApp dapat dengan mudah mendaftarkan mereka ke langganan premium mengingat aplikasi tersebut meminta akses ke pesan teks korban saat diinstal.

Di antara malware yang dikirimkan oleh Triada, xHelper sangat menonjol melalui kemampuannya yang luar biasa untuk menginfeksi ulang perangkat Android beberapa jam setelah dihapus atau setelah perangkat yang terinfeksi direset ke pengaturan pabrik.

Selengkapnya: Bleeping Computer

Awas! Malware Android Baru Meretas Ribuan Akun Facebook

by

Sebuah trojan Android baru telah ditemukan menyusupi akun Facebook lebih dari 10.000 pengguna di setidaknya 144 negara sejak Maret 2021 melalui aplikasi penipuan yang didistribusikan melalui Google Play Store dan pasar aplikasi pihak ketiga lainnya.

Dijuluki “FlyTrap,” malware yang sebelumnya tidak terdokumentasi ini diyakini sebagai bagian dari keluarga trojan yang menggunakan trik rekayasa sosial untuk membobol akun Facebook sebagai bagian dari kampanye pembajakan sesi yang diatur oleh aktor jahat yang beroperasi di luar Vietnam, menurut sebuah laporan yang diterbitkan oleh zLabs Zimperium dan dibagikan dengan The Hacker News.

Meskipun sembilan aplikasi yang melanggar telah ditarik dari Google Play, mereka terus tersedia di toko aplikasi pihak ketiga, “menyoroti risiko aplikasi sideloaded untuk endpoint seluler dan data pengguna,” kata peneliti malware Zimperium Aazim Yaswant. Daftar aplikasi adalah sebagai berikut:

  • GG Voucher (com.luxcarad.cardid)
  • Vote European Football (com.gardenguides.plantingfree)
  • GG Coupon Ads (com.free_coupon.gg_free_coupon)
  • GG Voucher Ads (com.m_application.app_moi_6)
  • GG Voucher (com.free.voucher)
  • Chatfuel (com.ynsuper.chatfuel)
  • Net Coupon (com.free_coupon.net_coupon)
  • Net Coupon (com.movie.net_coupon)
  • EURO 2021 Official (com.euro2021)

Aplikasi jahat mengklaim menawarkan kode kupon Netflix dan Google AdWords dan memungkinkan pengguna memilih tim dan pemain favorit mereka di UEFA EURO 2020, yang berlangsung antara 11 Juni dan 11 Juli 2021, hanya dengan syarat mereka masuk dengan akun Facebook mereka untuk memberikan suara mereka, atau mengumpulkan kode kupon atau kredit.

Setelah pengguna masuk ke akun, malware dilengkapi untuk mencuri ID Facebook, lokasi, alamat email, alamat IP, dan cookie serta token yang terkait dengan akun Facebook korban, sehingga memungkinkan pelaku ancaman untuk melakukan kampanye disinformasi menggunakan detail geolokasi korban atau menyebarkan malware lebih lanjut melalui teknik rekayasa sosial dengan mengirimkan pesan pribadi yang berisi tautan ke trojan.

Selengkapnya: The Hacker News

Malware Trojan baru mencuri jutaan kredensial login

by

Peneliti cybersecurity telah mengungkapkan malware jenis Trojan kustom baru yang berhasil menyusup ke lebih dari tiga juta komputer Windows dan mencuri hampir 26 juta kredensial login untuk sekitar satu juta situs web.

Temuan dari Nord Security mengklasifikasikan situs web ke dalam selusin kategori, yang mencakup hampir semua layanan email populer, platform media sosial, penyimpanan file dan layanan berbagi, platform e-niaga, platform keuangan, dan banyak lagi.

Secara keseluruhan, malware yang tidak disebutkan namanya berhasil menyedot 1,2 terabyte data pribadi termasuk lebih dari satu juta alamat email unik, lebih dari dua miliar cookie, dan lebih dari enam juta file lainnya.

selengkapnya : www.techradar.com

WildPressure APT Muncul Dengan Malware Baru yang Menargetkan Windows dan macOS

by

Kampanye jahat yang menargetkan entitas terkait industri di Timur Tengah sejak 2019 telah muncul kembali dengan perangkat malware yang ditingkatkan untuk menyerang sistem operasi Windows dan macOS, yang melambangkan ekspansi baik pada targetnya maupun strateginya dalam mendistribusikan ancaman.

Perusahaan keamanan siber Rusia mengaitkan serangan itu dengan advanced persistent threat (APT) yang dilacaknya sebagai “WildPressure”, dengan korban diyakini berada di industri minyak dan gas.

WildPressure pertama kali terungkap pada Maret 2020 berdasarkan operasi malware yang mendistribusikan Trojan C++ berfitur lengkap yang dijuluki “Milum” yang memungkinkan pelaku ancaman untuk mendapatkan kendali jarak jauh dari perangkat yang disusupi. Serangan itu dikatakan telah dimulai pada awal Agustus 2019.

Sejak itu, sampel malware baru yang digunakan dalam kampanye WildPressure telah digali, termasuk versi terbaru dari C++ Milum Trojan, varian VBScript yang sesuai dengan nomor versi yang sama, dan skrip Python bernama “Guard” yang berfungsi di Windows dan macOS.

Trojan multi-OS berbasis Python, yang secara ekstensif membuat kode pihak ketiga yang tersedia untuk umum, direkayasa untuk memberi isyarat nama host mesin korban, arsitektur mesin, dan nama rilis OS ke server jarak jauh dan memeriksa produk anti-malware yang diinstal, berikutnya ia menunggu perintah dari server yang memungkinkannya mengunduh dan mengunggah file, menjalankan perintah, memperbarui Trojan, dan menghapus jejaknya dari host yang terinfeksi.

Versi VBScript dari malware, bernama “Tandis,” memiliki kemampuan yang mirip dengan Guard dan Milum, sambil memanfaatkan XML terenkripsi melalui HTTP untuk komunikasi command-and-control (C2). Secara terpisah, Kaspersky mengatakan telah menemukan sejumlah plugin C++ yang sebelumnya tidak dikenal yang telah digunakan untuk mengumpulkan data pada sistem yang terinfeksi, termasuk merekam penekanan tombol dan menangkap tangkapan layar.

Selengkapnya: The Hacker News

Evolusi ransomware JSWorm

by

Keluarga JSWorm telah berkembang selama dua tahun dan selama waktu ini telah mengubah model distribusi dan Trojan telah mengalami beberapa pengembangan ulang lengkap.

Sejak kemunculan awal pada tahun 2019, ini telah berubah dari ancaman ransomware skala massal yang memengaruhi sebagian besar pengguna individu menjadi ancaman ransomware pemburu game besar yang menyerang target profil tinggi dan menuntut pembayaran tebusan besar-besaran.

Seperti ancaman ransomware bertarget lainnya saat ini, kunci untuk mencegah insiden infeksi JSWorm adalah pendekatan kompleks untuk mengamankan jaringan organisasi. Kelemahan apa pun dapat menjadi titik masuk bagi pelaku ancaman, baik itu versi perangkat lunak sisi server yang rentan, karyawan yang mengklik tautan berbahaya, kata sandi yang lemah untuk sistem kendali jarak jauh, dan sebagainya.

Untuk meningkatkan pertahanan terhadap ransomware pemburu game besar, sebaiknya lakukan audit keamanan jaringan Anda untuk menemukan dan secara proaktif memperbaiki kelemahan keamanan apa pun.

Rekomendasi lain untuk memaksimalkan keamanan organisasi Anda:

  • Jangan memaparkan layanan desktop jarak jauh (seperti RDP) ke jaringan publik kecuali benar-benar diperlukan dan selalu gunakan kata sandi yang kuat untuk mereka.
  • Pastikan solusi VPN komersial dan perangkat lunak sisi server lainnya selalu diperbarui karena eksploitasi perangkat lunak jenis ini adalah vektor infeksi umum untuk ransomware. Selalu perbarui aplikasi sisi klien.
  • Fokuskan strategi pertahanan Anda untuk mendeteksi pergerakan lateral dan eksfiltrasi data ke internet. Berikan perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi penjahat dunia maya. Cadangkan data secara teratur. Pastikan Anda dapat mengaksesnya dengan cepat dalam keadaan darurat saat dibutuhkan. Gunakan informasi Threat Intelligence terbaru untuk tetap mengetahui TTP aktual yang digunakan oleh pelaku ancaman.

Selengkapnya : Secure List Kaspersky

Malware Dridex Kembali Dalam Kampanye Malspam QuickBooks Global Baru

by

Serangan phishing yang menyamar sebagai faktur QuickBooks menargetkan pengguna perangkat lunak akuntansi populer dalam upaya menginfeksi perangkat korban dengan Trojan perbankan Dridex yang terkenal.

Ditemukan oleh Bitdefender Antispam Lab, kampanye malspam bertema Intuit yang baru ini menarik pengguna QuickBooks dengan pemberitahuan dan faktur pembayaran palsu.

Kampanye phishing yang sedang berlangsung dimulai pada 19 April, menargetkan pengguna QuickBooks dari seluruh dunia. Secara keseluruhan, 14% email berbahaya mencapai Amerika Serikat, 11% di Korea Selatan, Jerman, dan India, 7% di Inggris dan Prancis, 4% di Italia, 3% di Swedia, dan 2% di Kanada, Belgia, Austria, Swiss, dan Belanda.

Dridex adalah Trojan perbankan, biasanya dikirimkan melalui email phishing yang berisi dokumen Microsoft Word dan Excel yang berbahaya.

Perangkat lunak berbahaya ini mencuri informasi rahasia dari para korban, termasuk kredensial perbankan yang dapat digunakan pelaku ancaman untuk mengakses rekening bank dan melakukan transaksi penipuan.

Pengguna yang ceroboh dapat berakhir dengan biaya penipuan pada kartu kredit, transfer wire yang tidak biasa dari akun perusahaan, dan bahkan pelanggaran data yang dapat membahayakan seluruh jaringan dan basis pelanggan organisasi.

Selengkapnya: Hot For Security

Malware WhatsApp Pink sekarang dapat membalas pesan Signal dan Telegram Anda secara otomatis

by

Malware WhatsApp yang dijuluki WhatsApp Pink kini telah diperbarui dengan kemampuan canggih yang memungkinkan aplikasi Android palsu ini secara otomatis merespons pesan Signal, Telegram, Viber, dan Skype Anda.

WhatsApp Pink mengacu pada aplikasi palsu yang muncul minggu ini, terutama menargetkan pengguna WhatsApp di India.

Aplikasi ini menyebut dirinya sebagai versi bertema “merah muda” dari aplikasi WhatsApp yang berwarna hijau, tetapi berisi trojan yang mengambil alih perangkat Android Anda, dan menyebar ke pengguna lain.

Selama akhir pekan, peneliti keamanan Rajshekhar Rajaharia memperingatkan pengguna WhatsApp tentang malware baru yang beredar melalui pesan grup WhatsApp yang berisi tautan ke situs scam.

Mengklik tautan membawa pengguna ke halaman tempat mereka dapat mengunduh APK WhatsApp Pink yang berbahaya.

Seperti yang dilihat oleh BleepingComputer, tautan mengarah ke halaman web berikut. Tombol “unduh” mengarahkan pengguna ke aplikasi, WhatsappPink.apk.

Sumber: Bleeping Computer

WhatsApp Pink sebenarnya adalah varian dari malware lain, aplikasi Huawei palsu, yang telah dianalisis para peneliti awal tahun ini.

Minggu ini, demonstrasi video yang diposting oleh peneliti ESET menunjukkan bahwa pembaruan baru yang didorong ke aplikasi WhatsApp Pink yang berbahaya mampu merespons pesan Anda secara otomatis dari berbagai aplikasi termasuk Signal, Viber, Telegram, dan Skype.

Selengkapnya: Bleeping Computer

Penjahat menyebarkan malware menggunakan formulir kontak situs web dengan URL Google

by

Microsoft memperingatkan bisnis untuk berhati-hati terhadap penjahat dunia maya yang menggunakan formulir kontak situs web perusahaan untuk mengirimkan trojan perbankan pencuri info IcedID dalam email dengan URL Google kepada karyawan.

Formulir ‘hubungi kami’ situs web perusahaan adalah pintu terbuka di internet dan penjahat baru-baru ini mulai menggunakannya untuk menjangkau pekerja yang menerima permintaan kontak dari publik.

Fitur penting dari serangan tersebut adalah bahwa penjahat menggunakan formulir kontak untuk mengirim URL Google yang sah kepada karyawan yang mengharuskan pengguna untuk masuk dengan nama pengguna dan sandi Google mereka.

Microsoft menganggap ancaman tersebut cukup serius dan melaporkan serangan tersebut ke tim keamanan Google untuk memperingatkan mereka bahwa penjahat dunia maya menggunakan URL Google yang sah untuk mengirimkan malware.

URL Google berguna bagi penyerang karena mereka akan melewati filter keamanan email. Para penyerang tampaknya juga telah melewati tantangan CAPTCHA yang digunakan untuk menguji apakah pengiriman kontak tersebut dari manusia.

Ini adalah serangan yang rumit untuk dideteksi oleh perusahaan dan lembaga pemerintah karena email masuk ke karyawan dari formulir kontak dan sistem pemasaran email mereka sendiri.

Selengkapnya: ZDNet