Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Trojan

Trojan

BazarLoader digunakan untuk menyebarkan ransomware Ryuk pada target bernilai tinggi

by

Operator geng TrickBot semakin menargetkan target bernilai tinggi dengan trojan BazarLoader siluman baru sebelum menyebarkan ransomware Ryuk.

Selama bertahun-tahun, geng TrickBot telah menggunakan trojan mereka untuk menyusupi jaringan perusahaan dengan mengunduh modul perangkat lunak berbeda yang digunakan untuk perilaku tertentu seperti mencuri kata sandi, menyebarkan ke komputer lain, atau bahkan mencuri domain database Active Directory.

Karena modul-modul ini telah banyak dianalisis dari waktu ke waktu, solusi keamanan menjadi lebih baik dalam mendeteksi modul-modul ini sebelum digunakan.

Dalam laporan baru, peneliti keamanan Advanced Intel menjelaskan bahwa alih-alih menyerang korban dengan trojan TrickBot yang sangat tinggi potensinya untuk terdeteksi, pelaku ancaman sekarang lebih memilih BazarBackdoor sebagai alat pilihan mereka untuk target perusahaan bernilai tinggi.

Penyusupan BazarLoader dimulai dengan serangan phishing yang ditargetkan, seperti yang ditunjukkan oleh email phishing yang diterima oleh BleepingComputer pada bulan April.

Sumber: BleepingComputer

Setelah menginfeksi komputer, BazarLoader akan menggunakan proses hollowing untuk menyuntikkan komponen BazarBackdoor ke dalam proses Windows yang sah seperti cmd.exe, explorer.exe, dan svchost.exe. Sebuah scheduled task dibuat untuk memuat BazarLoader setiap kali pengguna masuk ke sistem.

Akhirnya, BazarBackdoor akan menyebarkan suar Cobalt Strike, yang menyediakan akses jarak jauh ke pelaku ancaman yang memasang alat pasca-eksploitasi seperti BloodHound dan Lasagne untuk memetakan domain Windows dan mengekstrak kredensial.

Pada akhirnya, serangan tersebut mengarah pada pelaku ancaman yang menyebarkan ransomware Ryuk di seluruh jaringan dan menuntut tebusan besar-besaran.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Ada Serangan Ditujukan untuk Mengganggu Botnet Trickbot

by

Pada 22 September, seseorang mengupload file konfigurasi baru ke komputer Windows yang saat ini terinfeksi Trickbot. Penjahat yang menjalankan botnet Trickbot biasanya menggunakan file konfigurasi ini untuk menyampaikan instruksi baru ke PC mereka lainnya yang terinfeksi, seperti alamat Internet di mana sistem yang diretas harus mengunduh pembaruan baru untuk malware.

Tetapi file konfigurasi baru yang diupload pada 22 September memberi tahu semua sistem yang terinfeksi Trickbot bahwa server kontrol malware baru mereka memiliki alamat 127.0.0.1, yang merupakan alamat “localhost” yang tidak dapat dijangkau melalui Internet publik, menurut analisis oleh perusahaan intelijen dunia maya Intel 471.

“Tak lama setelah konfigurasi palsu dikeluarkan, semua pengontrol Trickbot berhenti merespons dengan benar permintaan bot,” tulis Intel 471 dalam sebuah catatan kepada pelanggannya. “Ini mungkin berarti controller pusat Trickbot terganggu. Waktu penutupan kedua peristiwa tersebut menunjukkan gangguan yang disengaja pada operasi botnet Trickbot. ”

Cuplikan teks dari salah satu pembaruan konfigurasi Trickbot palsu. Sumber: Intel 471

CEO Intel 471, Mark Arena, mengatakan pada saat ini siapa pun yang bertanggung jawab.

“Jelas, seseorang mencoba menyerang Trickbot,” kata Arena. “Bisa saja seseorang di komunitas riset keamanan, pemerintah, orang dalam yang tidak puas, atau grup kejahatan dunia maya saingan. Kami hanya tidak tahu saat ini. ”

Alex Holden adalah chief technology officer dan pendiri Hold Security, sebuah firma intelijen dunia maya yang berbasis di Milwaukee yang membantu memulihkan data yang dicuri. Holden mengatakan pada akhir September Trickbot menyimpan kata sandi dan data keuangan yang dicuri dari lebih dari 2,7 juta PC Windows.

“Pemantauan kami menemukan setidaknya satu pernyataan dari salah satu kelompok ransomware yang mengandalkan Trickbot yang mengatakan ini membuat mereka kesal, dan mereka akan menggandakan tebusan yang mereka minta dari korban,” kata Holden. “Kami belum dapat mengonfirmasi apakah mereka benar-benar menindaklanjuti hal itu, tetapi serangan ini jelas mengganggu bisnis mereka.”

Intel 471’s Arena mengatakan ini bisa menjadi bagian dari kampanye yang sedang berlangsung untuk membongkar atau merebut kendali atas botnet Trickbot. Upaya seperti itu tidak akan pernah terjadi sebelumnya. Pada tahun 2014, misalnya, lembaga penegak hukum AS dan internasional bekerja sama dengan beberapa firma keamanan dan peneliti swasta untuk mengambil alih Gameover Zeus Botnet, jenis malware yang sangat agresif dan canggih yang telah menyerang hingga 1 juta PC Windows secara global.

Bagaimana geng malware Cina menipu pengguna Facebook

by

Pada konferensi keamanan Virus Bulletin 2020, anggota tim keamanan Facebook telah mengungkapkan detail mengenai salah satu operasi malware paling canggih yang pernah menargetkan pengguna Facebook.

Dikenal sebagai SilentFade, geng malware ini aktif antara akhir 2018 dan Februari 2019, ketika tim keamanan Facebook mendeteksi keberadaan mereka dan turun tangan untuk menghentikan serangan mereka.

SilentFade menggunakan kombinasi trojan Windows, injeksi browser, scripting cerdik, dan bug di platform Facebook, menunjukkan modus operandi canggih yang jarang terlihat dengan geng malware yang menargetkan platform Facebook.

Tujuan operasi SilentFade adalah untuk menginfeksi pengguna dengan trojan, membajak browser pengguna, dan mencuri kata sandi dan cookie browser sehingga mereka dapat mengakses akun Facebook.

Setelah memiliki akses, grup tersebut menelusuri akun yang memiliki jenis metode pembayaran apa pun yang dilampirkan ke profil mereka. Untuk akun ini, SilentFade membeli iklan Facebook dengan dana korban.

Meskipun beroperasi hanya selama beberapa bulan, Facebook mengatakan grup tersebut berhasil menipu pengguna yang terinfeksi lebih dari $4 juta, yang mereka gunakan untuk memposting iklan Facebook berbahaya di seluruh jejaring sosial.

Geng malware ini menyebarkan versi modern SilentFade dengan menggabungkannya dengan perangkat lunak resmi yang mereka tawarkan untuk diunduh secara online.

Setelah pengguna terinfeksi, trojan SilentFade akan mengambil kendali atas komputer Windows korban, namun alih-alih menyalahgunakan sistem untuk operasi yang lebih mengganggu, malware hanya mengganti file DLL yang sah di dalam instalasi browser dengan versi jahat dari DLL yang sama yang memungkinkan geng SilentFade untuk mengontrol browser.

Browser yang ditargetkan termasuk Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa, dan Browser Yandex.

Facebook juga mengatakan SilentFade adalah bagian dari tren yang lebih besar dan generasi baru pelaku kejahatan siber yang tampaknya tinggal di China dan terus-menerus menargetkan platformnya.

Berita selengkapnya dapat dilihat di tautan di bawah ini;
Source: ZDNet

Malware ‘Alien’ baru dapat mencuri kata sandi dari 226 aplikasi Android

by

Peneliti keamanan telah menemukan dan menganalisis jenis baru malware Android yang hadir dengan beragam fitur yang memungkinkannya mencuri kredensial dari 226 aplikasi.

Dinamakan Alien, trojan baru ini telah aktif sejak awal tahun dan telah ditawarkan sebagai Malware-as-a-Service (MaaS) di forum peretasan bawah tanah.

Menurut peneliti ThreatFabric, Alien bukanlah benar-benar potongan kode baru tetapi sebenarnya didasarkan pada kode sumber dari geng malwar bernama Cerberus.

Alien tidak hanya dapat menampilkan layar login palsu dan mengumpulkan kata sandi untuk berbagai aplikasi dan layanan, tetapi juga dapat memberikan akses peretas ke perangkat untuk menggunakan kredensial tersebut atau bahkan melakukan tindakan lain.

Malware ini dilengkapi dengan kemampuan untuk memberikan akses jarak jauh ke perangkat setelah menginstal TeamViewer, memanen, mengirim, atau meneruskan pesan SMS, mencuri kontak, mengumpulkan detail perangkat dan daftar aplikasi, mengumpulkan data geo-lokasi, memasang dan memulai aplikasi lain dan masih banyak lagi.

Sebagian besar dari halaman login palsu yang dibuat ditujukan untuk mencegat kredensial untuk aplikasi e-banking, jelas ini adalah target utama mereka.

“Metode lain yang diamati untuk digunakan adalah SMS, setelah mereka menginfeksi perangkat mereka mengumpulkan daftar kontak yang kemudian mereka gunakan kembali untuk menyebarkan kampanye malware mereka ke lebih banyak korban,” kata peneliti.

Para peneliti memperkirakan lebih banyak keluarga malware baru, berdasarkan kode Cerberus, akan muncul pada kuartal terakhir tahun 2020.

Kami menyarankan kepada pengguna ponsel pintar untuk tidak mengunduh aplikasi dari sumber pihak ketiga dan tidak memberikan akses admin kepada aplikasi tersebut.

Source: ZDNet

Geng ransomware menargetkan bisnis Rusia dalam serangan terkoordinasi yang jarang terjadi

by

Perusahaan keamanan Group-IB mengatakan telah mengidentifikasi grup kejahatan siber baru yang, selama enam bulan terakhir, telah berulang kali dan dengan sengaja menargetkan bisnis Rusia dengan serangan malware dan ransomware.

Dinamakan OldGremlin, Group-IB mengatakan para peretas berada di balik serangan yang ditargetkan dengan ransomware strain baru yang disebut TinyCryptor (alias decr1pt).

“Mereka telah mencoba untuk menargetkan hanya perusahaan Rusia sejauh ini,” Oleg Skulkin, analis DFIR senior Grup-IB, mengatakan kepada ZDNet minggu ini.

“Ini sangat tidak biasa bagi geng berbahasa Rusia yang memiliki aturan tak terucapkan tentang tidak menargetkan Rusia dan negara-negara pasca-Soviet.”

Serangan OldGremlin biasanya dimulai dengan email spear-phishing yang membawa file ZIP yang mengandung malware, yang biasanya akan menginfeksi korban dengan trojan backdoor bernama TinyNode.

Ini memberi penyerang pijakan awal di jaringan perusahaan, di mana para peretas menyebar secara lateral ke sistem lain dan kemudian menyebarkan ransomware pada tahap akhir serangan mereka.

Setelah jaringan dienkripsi, kru OldGremlin biasanya meminta pembayaran tebusan sekitar $50.000 menggunakan pesan yang ditinggalkan di sistem yang terinfeksi dan mengarah kembali ke alamat ProtonMail.

Skulkin mengatakan Group-IB telah mengidentifikasi grup OldGremlin pada bulan Agustus, tetapi serangan grup tersebut dimulai pada bulan Maret, dengan email phishing mereka menggunakan berbagai macam umpan, mulai dari menyamar sebagai jurnalis yang mencari wawancara hingga menggunakan demonstrasi anti-pemerintah di Belarusia sebagai pembuka percakapan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Maze Ransomware Mengadopsi Teknik Virtual Machine Ragnar Locker

by

Penjahat Ransomware, Maze, telah menambahkan teknik baru: Mendistribusikan ransomware melalui mesin virtual (VM). Ini adalah pendekatan yang cukup “radikal”, menurut peneliti, hal ini dimaksudkan untuk membantu ransomware melewati pertahanan terakhir.

Menurut peneliti dari Sophos Managed Threat Response (MTR) pelaku baru-baru ini terlihat menyebarkan malware dalam bentuk gambar disk virtual VirtualBox (file VDI). File VDI itu sendiri dikirim di dalam file MSI Windows, yang merupakan format yang digunakan untuk penginstalan, penyimpanan, dan penghapusan program. “penyerang juga menggabungkan salinan VirtualBox hypervisor berusia 11 tahun yang telah dipreteli di dalam file .MSI, yang menjalankan VM sebagai perangkat ‘headless’, tanpa perlu menggunakan UI, ”kata peneliti.

Peneliti Sophos, menambahkan, “Ragnar Locker dipasang di dalam mesin virtual Oracle VirtualBox Windows XP. dengan file installer sebesar 122 MB dan image virtual 282 MB, semuanya untuk menyembunyikan ransomware 49 KB yang dapat dieksekusi.”

Detail Teknis

Dalam insiden ransomware Maze, File installer sebesar 733 MB dengan image virtual Windows 7 sebesar 1,9 GB, kedua file itu untuk menyembunyikan ransomware 494 KB yang dapat dieksekusi.

Sumber dari disk virtual berisi tiga file yang terkait dengan ransomware Maze: preload.bat, vrun.exe (VM itu sendiri) dan file yang bernama payload (tanpa ekstensi), yang merupakan muatan Maze DLL yang sebenarnya.

Untuk persistensi, mereka menambahkan file bernama startup_vrun.bat ke menu Start Windows.

“Skrip ini menyalin tiga file yang sama yang ditemukan di root disk VM (biner vrun.exe dan payload DLL, serta skrip batch preload.bat) ke disk lain, lalu menjalankan perintah untuk segera mematikan komputer,” menurut analisis. “Saat seseorang menyalakan komputer lagi, skrip mengeksekusi vrun.exe.”

Saat file MSI pertama kali dijalankan, VM membuat lokasi folder C:\SDRSMLINK\, yang bertindak sebagai clearinghouse untuk folder tertentu yang ingin dilacak malware – Labirin melakukannya menggunakan tautan simbolis (symlink), yang bertindak sebagai pintasan ke folder di hard drive lokal. Folder ini dibagikan dengan seluruh jaringan.

Pada akhirnya, skrip batch yang disebut starter.bat digunakan untuk meluncurkan muatan ransomware dari dalam VM.

Source : Threatpost

Peretas Memanfaatkan Celah Autodesk untuk Serangan Cyberespionage

by

Aktor jahat mengeksploitasi kerentanan dalam perangkat lunak Autodesk, sebuah software grafis 3D populer, untuk meluncurkan serangan spionase terhadap sebuah perusahaan produksi arsitektur dan video internasional tersebut.

Para peneliti mengatakan bahwa analisis lebih lanjut dari serangan tersebut mengarah ke kelompok APT yang memiliki pengetahuan sebelumnya tentang sistem keamanan dan software perusahaan, mereka merencanakan serangan untuk menyusup ke perusahaan dan mengekstrak data tanpa terdeteksi. Mereka diketahui telah berkolaborasi dalam proyek real estat bernilai miliaran dolar di New York, London, Australia, dan Oman.

Ciri khas serangan mereka menggunakan plugin berbahaya untuk Autodesk 3ds Max, program grafis yang digunakan oleh organisasi teknik, arsitektur, ataupun modeling 3D game, yang dikembangkan oleh Autodesk Media and Entertainment.

File berbahaya menyamar sebagai plugin untuk Autodesk 3ds Max. Pada kenyataannya, plugin tersebut adalah varian dari eksploitasi MAXScript dari Autodesk 3ds Max, yang disebut “PhysXPluginMfx”.

Eksploitasi ini dapat merusak pengaturan perangkat lunak 3ds Max untuk menjalankan kode berbahaya, dan akhirnya menyebar ke file lain di sistem Windows.

Source : threatpost.com

Trojan IcedID Diperbarui dengan Dengan Taktik Baru Untuk Menghindari Deteksi Software Keamanan

by

Aktor siber telah meningkatkan trojan perbankan yang telah banyak digunakan selama pandemi COVID-19 dengan fitur baru untuk membantunya menghindari deteksi dari perlindungan keamanan standar.

Menurut laporan baru oleh peneliti keamanan Juniper Networks, Paul Kimayong, penyerang telah menerapkan beberapa fitur baru – termasuk lampiran yang dilindungi katasandi, kebingungan kata kunci, dan kode makro minimalis – dalam kampanye phishing baru-baru ini menggunakan dokumen yang di-trojankan oleh trojan perbankan IcedID yang banyak digunakan.

Kampanye ini, yang ditemukan para peneliti pada bulan Juli, juga menggunakan dynamic link library (DLL) – library Microsoft yang berisi kode dan data yang dapat digunakan oleh lebih dari satu program pada waktu yang bersamaan – sebagai pengunduh tahap kedua. Ini “menunjukkan” tingkat kedewasaan baru dari pelaku ancaman ini.

Versi terbaru IcedID yang diidentifikasi oleh tim Juniper sedang didistribusikan menggunakan akun bisnis yang disusupi dengan si penerimanya adalah pelanggan dari bisnis yang sama. Ini meningkatkan kemungkinan keberhasilan kampanye, karena pengirim dan penerima sudah memiliki hubungan bisnis yang mapan, kata Kimayong.

Berita selengkpanya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post