Trojan

Malware Trojan baru mencuri jutaan kredensial login

July 9, 2021 by Winnie the Pooh

Peneliti cybersecurity telah mengungkapkan malware jenis Trojan kustom baru yang berhasil menyusup ke lebih dari tiga juta komputer Windows dan mencuri hampir 26 juta kredensial login untuk sekitar satu juta situs web.

Temuan dari Nord Security mengklasifikasikan situs web ke dalam selusin kategori, yang mencakup hampir semua layanan email populer, platform media sosial, penyimpanan file dan layanan berbagi, platform e-niaga, platform keuangan, dan banyak lagi.

Secara keseluruhan, malware yang tidak disebutkan namanya berhasil menyedot 1,2 terabyte data pribadi termasuk lebih dari satu juta alamat email unik, lebih dari dua miliar cookie, dan lebih dari enam juta file lainnya.

selengkapnya : www.techradar.com

WildPressure APT Muncul Dengan Malware Baru yang Menargetkan Windows dan macOS

July 8, 2021 by Winnie the Pooh

Kampanye jahat yang menargetkan entitas terkait industri di Timur Tengah sejak 2019 telah muncul kembali dengan perangkat malware yang ditingkatkan untuk menyerang sistem operasi Windows dan macOS, yang melambangkan ekspansi baik pada targetnya maupun strateginya dalam mendistribusikan ancaman.

Perusahaan keamanan siber Rusia mengaitkan serangan itu dengan advanced persistent threat (APT) yang dilacaknya sebagai “WildPressure”, dengan korban diyakini berada di industri minyak dan gas.

WildPressure pertama kali terungkap pada Maret 2020 berdasarkan operasi malware yang mendistribusikan Trojan C++ berfitur lengkap yang dijuluki “Milum” yang memungkinkan pelaku ancaman untuk mendapatkan kendali jarak jauh dari perangkat yang disusupi. Serangan itu dikatakan telah dimulai pada awal Agustus 2019.

Sejak itu, sampel malware baru yang digunakan dalam kampanye WildPressure telah digali, termasuk versi terbaru dari C++ Milum Trojan, varian VBScript yang sesuai dengan nomor versi yang sama, dan skrip Python bernama “Guard” yang berfungsi di Windows dan macOS.

Trojan multi-OS berbasis Python, yang secara ekstensif membuat kode pihak ketiga yang tersedia untuk umum, direkayasa untuk memberi isyarat nama host mesin korban, arsitektur mesin, dan nama rilis OS ke server jarak jauh dan memeriksa produk anti-malware yang diinstal, berikutnya ia menunggu perintah dari server yang memungkinkannya mengunduh dan mengunggah file, menjalankan perintah, memperbarui Trojan, dan menghapus jejaknya dari host yang terinfeksi.

Versi VBScript dari malware, bernama “Tandis,” memiliki kemampuan yang mirip dengan Guard dan Milum, sambil memanfaatkan XML terenkripsi melalui HTTP untuk komunikasi command-and-control (C2). Secara terpisah, Kaspersky mengatakan telah menemukan sejumlah plugin C++ yang sebelumnya tidak dikenal yang telah digunakan untuk mengumpulkan data pada sistem yang terinfeksi, termasuk merekam penekanan tombol dan menangkap tangkapan layar.

Selengkapnya: The Hacker News

Evolusi ransomware JSWorm

May 26, 2021 by Winnie the Pooh

Keluarga JSWorm telah berkembang selama dua tahun dan selama waktu ini telah mengubah model distribusi dan Trojan telah mengalami beberapa pengembangan ulang lengkap.

Sejak kemunculan awal pada tahun 2019, ini telah berubah dari ancaman ransomware skala massal yang memengaruhi sebagian besar pengguna individu menjadi ancaman ransomware pemburu game besar yang menyerang target profil tinggi dan menuntut pembayaran tebusan besar-besaran.

Seperti ancaman ransomware bertarget lainnya saat ini, kunci untuk mencegah insiden infeksi JSWorm adalah pendekatan kompleks untuk mengamankan jaringan organisasi. Kelemahan apa pun dapat menjadi titik masuk bagi pelaku ancaman, baik itu versi perangkat lunak sisi server yang rentan, karyawan yang mengklik tautan berbahaya, kata sandi yang lemah untuk sistem kendali jarak jauh, dan sebagainya.

Untuk meningkatkan pertahanan terhadap ransomware pemburu game besar, sebaiknya lakukan audit keamanan jaringan Anda untuk menemukan dan secara proaktif memperbaiki kelemahan keamanan apa pun.

Rekomendasi lain untuk memaksimalkan keamanan organisasi Anda:

Jangan memaparkan layanan desktop jarak jauh (seperti RDP) ke jaringan publik kecuali benar-benar diperlukan dan selalu gunakan kata sandi yang kuat untuk mereka.
Pastikan solusi VPN komersial dan perangkat lunak sisi server lainnya selalu diperbarui karena eksploitasi perangkat lunak jenis ini adalah vektor infeksi umum untuk ransomware. Selalu perbarui aplikasi sisi klien.
Fokuskan strategi pertahanan Anda untuk mendeteksi pergerakan lateral dan eksfiltrasi data ke internet. Berikan perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi penjahat dunia maya. Cadangkan data secara teratur. Pastikan Anda dapat mengaksesnya dengan cepat dalam keadaan darurat saat dibutuhkan. Gunakan informasi Threat Intelligence terbaru untuk tetap mengetahui TTP aktual yang digunakan oleh pelaku ancaman.

Selengkapnya : Secure List Kaspersky

Malware Dridex Kembali Dalam Kampanye Malspam QuickBooks Global Baru

April 27, 2021 by Winnie the Pooh

Serangan phishing yang menyamar sebagai faktur QuickBooks menargetkan pengguna perangkat lunak akuntansi populer dalam upaya menginfeksi perangkat korban dengan Trojan perbankan Dridex yang terkenal.

Ditemukan oleh Bitdefender Antispam Lab, kampanye malspam bertema Intuit yang baru ini menarik pengguna QuickBooks dengan pemberitahuan dan faktur pembayaran palsu.

Kampanye phishing yang sedang berlangsung dimulai pada 19 April, menargetkan pengguna QuickBooks dari seluruh dunia. Secara keseluruhan, 14% email berbahaya mencapai Amerika Serikat, 11% di Korea Selatan, Jerman, dan India, 7% di Inggris dan Prancis, 4% di Italia, 3% di Swedia, dan 2% di Kanada, Belgia, Austria, Swiss, dan Belanda.

Dridex adalah Trojan perbankan, biasanya dikirimkan melalui email phishing yang berisi dokumen Microsoft Word dan Excel yang berbahaya.

Perangkat lunak berbahaya ini mencuri informasi rahasia dari para korban, termasuk kredensial perbankan yang dapat digunakan pelaku ancaman untuk mengakses rekening bank dan melakukan transaksi penipuan.

Pengguna yang ceroboh dapat berakhir dengan biaya penipuan pada kartu kredit, transfer wire yang tidak biasa dari akun perusahaan, dan bahkan pelanggaran data yang dapat membahayakan seluruh jaringan dan basis pelanggan organisasi.

Selengkapnya: Hot For Security

Malware WhatsApp Pink sekarang dapat membalas pesan Signal dan Telegram Anda secara otomatis

April 22, 2021 by Winnie the Pooh

Malware WhatsApp yang dijuluki WhatsApp Pink kini telah diperbarui dengan kemampuan canggih yang memungkinkan aplikasi Android palsu ini secara otomatis merespons pesan Signal, Telegram, Viber, dan Skype Anda.

WhatsApp Pink mengacu pada aplikasi palsu yang muncul minggu ini, terutama menargetkan pengguna WhatsApp di India.

Aplikasi ini menyebut dirinya sebagai versi bertema “merah muda” dari aplikasi WhatsApp yang berwarna hijau, tetapi berisi trojan yang mengambil alih perangkat Android Anda, dan menyebar ke pengguna lain.

Selama akhir pekan, peneliti keamanan Rajshekhar Rajaharia memperingatkan pengguna WhatsApp tentang malware baru yang beredar melalui pesan grup WhatsApp yang berisi tautan ke situs scam.

Mengklik tautan membawa pengguna ke halaman tempat mereka dapat mengunduh APK WhatsApp Pink yang berbahaya.

Seperti yang dilihat oleh BleepingComputer, tautan mengarah ke halaman web berikut. Tombol “unduh” mengarahkan pengguna ke aplikasi, WhatsappPink.apk.

WhatsApp Pink sebenarnya adalah varian dari malware lain, aplikasi Huawei palsu, yang telah dianalisis para peneliti awal tahun ini.

Minggu ini, demonstrasi video yang diposting oleh peneliti ESET menunjukkan bahwa pembaruan baru yang didorong ke aplikasi WhatsApp Pink yang berbahaya mampu merespons pesan Anda secara otomatis dari berbagai aplikasi termasuk Signal, Viber, Telegram, dan Skype.

The “#WhatsApp Pink” trojan can now auto-reply to received messages not only on WhatsApp, but also Signal, Skype, Viber and Telegram. The replies link to a malicious website further distributing the malware. #ESETresearch @LukasStefanko 1/3 pic.twitter.com/B5X0DEQTx2

— ESET research (@ESETresearch) April 19, 2021

Selengkapnya: Bleeping Computer

Penjahat menyebarkan malware menggunakan formulir kontak situs web dengan URL Google

April 13, 2021 by Winnie the Pooh

Microsoft memperingatkan bisnis untuk berhati-hati terhadap penjahat dunia maya yang menggunakan formulir kontak situs web perusahaan untuk mengirimkan trojan perbankan pencuri info IcedID dalam email dengan URL Google kepada karyawan.

Formulir ‘hubungi kami’ situs web perusahaan adalah pintu terbuka di internet dan penjahat baru-baru ini mulai menggunakannya untuk menjangkau pekerja yang menerima permintaan kontak dari publik.

Fitur penting dari serangan tersebut adalah bahwa penjahat menggunakan formulir kontak untuk mengirim URL Google yang sah kepada karyawan yang mengharuskan pengguna untuk masuk dengan nama pengguna dan sandi Google mereka.

Microsoft menganggap ancaman tersebut cukup serius dan melaporkan serangan tersebut ke tim keamanan Google untuk memperingatkan mereka bahwa penjahat dunia maya menggunakan URL Google yang sah untuk mengirimkan malware.

URL Google berguna bagi penyerang karena mereka akan melewati filter keamanan email. Para penyerang tampaknya juga telah melewati tantangan CAPTCHA yang digunakan untuk menguji apakah pengiriman kontak tersebut dari manusia.

Ini adalah serangan yang rumit untuk dideteksi oleh perusahaan dan lembaga pemerintah karena email masuk ke karyawan dari formulir kontak dan sistem pemasaran email mereka sendiri.

Selengkapnya: ZDNet

Penipu memanfaatkan Clubhouse yang sedang populer untuk mendorong aplikasi Android berbahaya

March 20, 2021 by Winnie the Pooh

Sebuah aplikasi jahat baru sedang berputar-putar dengan berpura-pura menjadi versi Android Clubhouse yang paling banyak dicari.

Clubhouse adalah aplikasi obrolan audio khusus undangan yang memungkinkan pengguna mendengarkan percakapan secara real-time. Perhatian di sekitar aplikasi meledak setelah Elon Musk men-tweet tentang aplikasi tersebut, tetapi sebagai layanan gratis yang hanya tersedia saat ini di iOS, pemegang perangkat Android mungkin merasa agak ketinggalan.

Startup tersebut belum meluncurkan Clubhouse versi Android, tetapi hingga saat itu, para penipu berharap untuk dapat menipu pengguna agar mengunduh perangkat lunak berbahaya.

Pada hari Jumat, ESET mengungkapkan penemuan aplikasi Android yang disajikan dari tiruan situs web Clubhouse. Meskipun untungnya tidak ditemukan telah terselip pada jaring keamanan di Google Play – gudang resmi untuk aplikasi Android – peneliti Lukas Stefanko mengatakan situs web tersebut menggunakan tombol “Dapatkan di Google Play” untuk mencoba dan membodohi pengunjung agar percaya bahwa aplikasi itu sah.

Jika diunduh dan dijalankan, .APK berbahaya akan menyebarkan BlackRock, Trojan perbankan yang mampu melakukan pencurian data ekstensif.

Dalam hal pencurian informasi, BlackRock tidak hanya dapat mencuri informasi perangkat / OS dan pesan teks. Sebaliknya, ESET mengatakan malware tersebut dilengkapi untuk mencuri konten dari 458 layanan online.

Selengkapnya: ZDNet

Aplikasi berbahaya di Google Play menjatuhkan Trojan perbankan di perangkat pengguna

March 10, 2021 by Winnie the Pooh

Google telah menghapus 10 aplikasi dari Play Store yang berisi dropper untuk Trojan keuangan.

Pada hari Selasa, Check Point Research (CPR) mengatakan dalam sebuah posting blog bahwa aplikasi Android tampaknya telah dikirimkan oleh pelaku ancaman yang sama yang membuat akun pengembang baru untuk setiap aplikasi.

Dropper dimuat ke dalam perangkat lunak yang tampak tidak bersalah dan masing-masing dari 10 aplikasi adalah utilitas, termasuk Cake VPN, Pacific VPN, BeatPlayer, QR/Barcode Scanner MAX, dan QRecorder.

Fungsionalitas utilitas diambil dari aplikasi Android sumber terbuka resmi yang ada.

Untuk menghindari deteksi oleh perlindungan keamanan standar Google, Firebase digunakan sebagai platform untuk komunikasi perintah dan kontrol (C2) dan GitHub disalahgunakan untuk mengunduh payload.

Menurut para peneliti, infrastruktur C2 dropper tersembunyi berisi parameter – aktifkan atau nonaktifkan – untuk ‘memutuskan’ apakah akan memicu fungsi jahat aplikasi atau tidak. Parameter disetel ke “false” hingga Google telah memublikasikan aplikasi, dan kemudian perangkap muncul.

Dijuluki Clast82, CPR mengatakan dropper yang baru ditemukan telah dirancang untuk mengirimkan malware finansial. Setelah dipicu, muatan tahap kedua ditarik dari GitHub termasuk mRAT dan AlienBot.

MRAT digunakan untuk menyediakan akses jarak jauh ke perangkat seluler yang disusupi, sedangkan AlienBot memfasilitasi injeksi kode berbahaya ke dalam aplikasi keuangan yang sah dan ada. Penyerang dapat membajak aplikasi perbankan untuk mendapatkan akses ke akun pengguna dan mencuri data keuangan mereka, dan malware juga akan mencoba mencegat kode otentikasi dua faktor (2FA).

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Trojan

Cookies Settings