Trojan

Bagaimana geng malware Cina menipu pengguna Facebook

October 2, 2020 by Winnie the Pooh

Pada konferensi keamanan Virus Bulletin 2020, anggota tim keamanan Facebook telah mengungkapkan detail mengenai salah satu operasi malware paling canggih yang pernah menargetkan pengguna Facebook.

Dikenal sebagai SilentFade, geng malware ini aktif antara akhir 2018 dan Februari 2019, ketika tim keamanan Facebook mendeteksi keberadaan mereka dan turun tangan untuk menghentikan serangan mereka.

SilentFade menggunakan kombinasi trojan Windows, injeksi browser, scripting cerdik, dan bug di platform Facebook, menunjukkan modus operandi canggih yang jarang terlihat dengan geng malware yang menargetkan platform Facebook.

Tujuan operasi SilentFade adalah untuk menginfeksi pengguna dengan trojan, membajak browser pengguna, dan mencuri kata sandi dan cookie browser sehingga mereka dapat mengakses akun Facebook.

Setelah memiliki akses, grup tersebut menelusuri akun yang memiliki jenis metode pembayaran apa pun yang dilampirkan ke profil mereka. Untuk akun ini, SilentFade membeli iklan Facebook dengan dana korban.

Meskipun beroperasi hanya selama beberapa bulan, Facebook mengatakan grup tersebut berhasil menipu pengguna yang terinfeksi lebih dari $4 juta, yang mereka gunakan untuk memposting iklan Facebook berbahaya di seluruh jejaring sosial.

Geng malware ini menyebarkan versi modern SilentFade dengan menggabungkannya dengan perangkat lunak resmi yang mereka tawarkan untuk diunduh secara online.

Setelah pengguna terinfeksi, trojan SilentFade akan mengambil kendali atas komputer Windows korban, namun alih-alih menyalahgunakan sistem untuk operasi yang lebih mengganggu, malware hanya mengganti file DLL yang sah di dalam instalasi browser dengan versi jahat dari DLL yang sama yang memungkinkan geng SilentFade untuk mengontrol browser.

Browser yang ditargetkan termasuk Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa, dan Browser Yandex.

Facebook juga mengatakan SilentFade adalah bagian dari tren yang lebih besar dan generasi baru pelaku kejahatan siber yang tampaknya tinggal di China dan terus-menerus menargetkan platformnya.

Berita selengkapnya dapat dilihat di tautan di bawah ini;
Source: ZDNet

Malware ‘Alien’ baru dapat mencuri kata sandi dari 226 aplikasi Android

September 30, 2020 by Winnie the Pooh

Peneliti keamanan telah menemukan dan menganalisis jenis baru malware Android yang hadir dengan beragam fitur yang memungkinkannya mencuri kredensial dari 226 aplikasi.

Dinamakan Alien, trojan baru ini telah aktif sejak awal tahun dan telah ditawarkan sebagai Malware-as-a-Service (MaaS) di forum peretasan bawah tanah.

Menurut peneliti ThreatFabric, Alien bukanlah benar-benar potongan kode baru tetapi sebenarnya didasarkan pada kode sumber dari geng malwar bernama Cerberus.

Alien tidak hanya dapat menampilkan layar login palsu dan mengumpulkan kata sandi untuk berbagai aplikasi dan layanan, tetapi juga dapat memberikan akses peretas ke perangkat untuk menggunakan kredensial tersebut atau bahkan melakukan tindakan lain.

Malware ini dilengkapi dengan kemampuan untuk memberikan akses jarak jauh ke perangkat setelah menginstal TeamViewer, memanen, mengirim, atau meneruskan pesan SMS, mencuri kontak, mengumpulkan detail perangkat dan daftar aplikasi, mengumpulkan data geo-lokasi, memasang dan memulai aplikasi lain dan masih banyak lagi.

Sebagian besar dari halaman login palsu yang dibuat ditujukan untuk mencegat kredensial untuk aplikasi e-banking, jelas ini adalah target utama mereka.

“Metode lain yang diamati untuk digunakan adalah SMS, setelah mereka menginfeksi perangkat mereka mengumpulkan daftar kontak yang kemudian mereka gunakan kembali untuk menyebarkan kampanye malware mereka ke lebih banyak korban,” kata peneliti.

Para peneliti memperkirakan lebih banyak keluarga malware baru, berdasarkan kode Cerberus, akan muncul pada kuartal terakhir tahun 2020.

Kami menyarankan kepada pengguna ponsel pintar untuk tidak mengunduh aplikasi dari sumber pihak ketiga dan tidak memberikan akses admin kepada aplikasi tersebut.

Source: ZDNet

Geng ransomware menargetkan bisnis Rusia dalam serangan terkoordinasi yang jarang terjadi

September 25, 2020 by Winnie the Pooh

Perusahaan keamanan Group-IB mengatakan telah mengidentifikasi grup kejahatan siber baru yang, selama enam bulan terakhir, telah berulang kali dan dengan sengaja menargetkan bisnis Rusia dengan serangan malware dan ransomware.

Dinamakan OldGremlin, Group-IB mengatakan para peretas berada di balik serangan yang ditargetkan dengan ransomware strain baru yang disebut TinyCryptor (alias decr1pt).

“Mereka telah mencoba untuk menargetkan hanya perusahaan Rusia sejauh ini,” Oleg Skulkin, analis DFIR senior Grup-IB, mengatakan kepada ZDNet minggu ini.

“Ini sangat tidak biasa bagi geng berbahasa Rusia yang memiliki aturan tak terucapkan tentang tidak menargetkan Rusia dan negara-negara pasca-Soviet.”

Serangan OldGremlin biasanya dimulai dengan email spear-phishing yang membawa file ZIP yang mengandung malware, yang biasanya akan menginfeksi korban dengan trojan backdoor bernama TinyNode.

Ini memberi penyerang pijakan awal di jaringan perusahaan, di mana para peretas menyebar secara lateral ke sistem lain dan kemudian menyebarkan ransomware pada tahap akhir serangan mereka.

Setelah jaringan dienkripsi, kru OldGremlin biasanya meminta pembayaran tebusan sekitar $50.000 menggunakan pesan yang ditinggalkan di sistem yang terinfeksi dan mengarah kembali ke alamat ProtonMail.

Skulkin mengatakan Group-IB telah mengidentifikasi grup OldGremlin pada bulan Agustus, tetapi serangan grup tersebut dimulai pada bulan Maret, dengan email phishing mereka menggunakan berbagai macam umpan, mulai dari menyamar sebagai jurnalis yang mencari wawancara hingga menggunakan demonstrasi anti-pemerintah di Belarusia sebagai pembuka percakapan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Maze Ransomware Mengadopsi Teknik Virtual Machine Ragnar Locker

September 20, 2020 by Winnie the Pooh

Penjahat Ransomware, Maze, telah menambahkan teknik baru: Mendistribusikan ransomware melalui mesin virtual (VM). Ini adalah pendekatan yang cukup “radikal”, menurut peneliti, hal ini dimaksudkan untuk membantu ransomware melewati pertahanan terakhir.

Menurut peneliti dari Sophos Managed Threat Response (MTR) pelaku baru-baru ini terlihat menyebarkan malware dalam bentuk gambar disk virtual VirtualBox (file VDI). File VDI itu sendiri dikirim di dalam file MSI Windows, yang merupakan format yang digunakan untuk penginstalan, penyimpanan, dan penghapusan program. “penyerang juga menggabungkan salinan VirtualBox hypervisor berusia 11 tahun yang telah dipreteli di dalam file .MSI, yang menjalankan VM sebagai perangkat ‘headless’, tanpa perlu menggunakan UI, ”kata peneliti.

Peneliti Sophos, menambahkan, “Ragnar Locker dipasang di dalam mesin virtual Oracle VirtualBox Windows XP. dengan file installer sebesar 122 MB dan image virtual 282 MB, semuanya untuk menyembunyikan ransomware 49 KB yang dapat dieksekusi.”

Detail Teknis

Dalam insiden ransomware Maze, File installer sebesar 733 MB dengan image virtual Windows 7 sebesar 1,9 GB, kedua file itu untuk menyembunyikan ransomware 494 KB yang dapat dieksekusi.

Sumber dari disk virtual berisi tiga file yang terkait dengan ransomware Maze: preload.bat, vrun.exe (VM itu sendiri) dan file yang bernama payload (tanpa ekstensi), yang merupakan muatan Maze DLL yang sebenarnya.

Untuk persistensi, mereka menambahkan file bernama startup_vrun.bat ke menu Start Windows.

“Skrip ini menyalin tiga file yang sama yang ditemukan di root disk VM (biner vrun.exe dan payload DLL, serta skrip batch preload.bat) ke disk lain, lalu menjalankan perintah untuk segera mematikan komputer,” menurut analisis. “Saat seseorang menyalakan komputer lagi, skrip mengeksekusi vrun.exe.”

Saat file MSI pertama kali dijalankan, VM membuat lokasi folder C:\SDRSMLINK\, yang bertindak sebagai clearinghouse untuk folder tertentu yang ingin dilacak malware – Labirin melakukannya menggunakan tautan simbolis (symlink), yang bertindak sebagai pintasan ke folder di hard drive lokal. Folder ini dibagikan dengan seluruh jaringan.

Pada akhirnya, skrip batch yang disebut starter.bat digunakan untuk meluncurkan muatan ransomware dari dalam VM.

Source : Threatpost

Peretas Memanfaatkan Celah Autodesk untuk Serangan Cyberespionage

August 30, 2020 by Winnie the Pooh

Aktor jahat mengeksploitasi kerentanan dalam perangkat lunak Autodesk, sebuah software grafis 3D populer, untuk meluncurkan serangan spionase terhadap sebuah perusahaan produksi arsitektur dan video internasional tersebut.

Para peneliti mengatakan bahwa analisis lebih lanjut dari serangan tersebut mengarah ke kelompok APT yang memiliki pengetahuan sebelumnya tentang sistem keamanan dan software perusahaan, mereka merencanakan serangan untuk menyusup ke perusahaan dan mengekstrak data tanpa terdeteksi. Mereka diketahui telah berkolaborasi dalam proyek real estat bernilai miliaran dolar di New York, London, Australia, dan Oman.

Ciri khas serangan mereka menggunakan plugin berbahaya untuk Autodesk 3ds Max, program grafis yang digunakan oleh organisasi teknik, arsitektur, ataupun modeling 3D game, yang dikembangkan oleh Autodesk Media and Entertainment.

File berbahaya menyamar sebagai plugin untuk Autodesk 3ds Max. Pada kenyataannya, plugin tersebut adalah varian dari eksploitasi MAXScript dari Autodesk 3ds Max, yang disebut “PhysXPluginMfx”.

Eksploitasi ini dapat merusak pengaturan perangkat lunak 3ds Max untuk menjalankan kode berbahaya, dan akhirnya menyebar ke file lain di sistem Windows.

Source : threatpost.com

Trojan IcedID Diperbarui dengan Dengan Taktik Baru Untuk Menghindari Deteksi Software Keamanan

August 19, 2020 by Winnie the Pooh

Aktor siber telah meningkatkan trojan perbankan yang telah banyak digunakan selama pandemi COVID-19 dengan fitur baru untuk membantunya menghindari deteksi dari perlindungan keamanan standar.

Menurut laporan baru oleh peneliti keamanan Juniper Networks, Paul Kimayong, penyerang telah menerapkan beberapa fitur baru – termasuk lampiran yang dilindungi katasandi, kebingungan kata kunci, dan kode makro minimalis – dalam kampanye phishing baru-baru ini menggunakan dokumen yang di-trojankan oleh trojan perbankan IcedID yang banyak digunakan.

Kampanye ini, yang ditemukan para peneliti pada bulan Juli, juga menggunakan dynamic link library (DLL) – library Microsoft yang berisi kode dan data yang dapat digunakan oleh lebih dari satu program pada waktu yang bersamaan – sebagai pengunduh tahap kedua. Ini “menunjukkan” tingkat kedewasaan baru dari pelaku ancaman ini.

Versi terbaru IcedID yang diidentifikasi oleh tim Juniper sedang didistribusikan menggunakan akun bisnis yang disusupi dengan si penerimanya adalah pelanggan dari bisnis yang sama. Ini meningkatkan kemungkinan keberhasilan kampanye, karena pengirim dan penerima sudah memiliki hubungan bisnis yang mapan, kata Kimayong.

Berita selengkpanya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Malware Android BlackRock Dapat Mencuri Kata Sandi Dan Data Kartu Dari 337 Aplikasi

July 17, 2020 by Winnie the Pooh

Dilansir dari ZDNet, sebuah jenis baru malware Android telah ditemukan yang dilengkapi dengan berbagai kemampuan pencurian data yang memungkinkannya menargetkan 337 aplikasi Android.

Dinamai BlackRock, ancaman baru ini muncul pada Mei tahun ini dan ditemukan oleh perusahaan keamanan seluler ThreatFabric.

Para peneliti mengatakan bahwa malware ini didasarkan pada kode sumber yang bocor dari strain malware lain (Xerxes, yang juga bersumber dari malware strain lain) tetapi ditingkatkan dengan fitur tambahan, terutama pada sisi yang berkaitan dengan pencurian kata sandi pengguna dan informasi kartu kredit.

BlackRock masih berfungsi seperti kebanyakan trojan perbankan Android, kecuali, ia menargetkan lebih banyak aplikasi daripada sebagian besar pendahulunya.

Trojan ini akan mencuri kredensial login (nama pengguna dan kata sandi), jika tersedia, tetapi juga meminta korban untuk memasukkan detail kartu pembayaran jika aplikasi mendukung transaksi keuangan.

Menurut ThreatFabric, pengumpulan data dilakukan melalui teknik yang disebut “overlay,” yaitu teknik yang terdiri dari pendeteksian saat pengguna mencoba berinteraksi dengan aplikasi yang sah dan memperlihatkan jendela palsu di atasnya yang dapat mengumpulkan detail login korban dan data kartu sebelum mengizinkan pengguna untuk memasuki aplikasi yang sah.

Daftar lengkap aplikasi yang ditargetkan dirinci dalam laporan BlackRock.

Setelah diinstal pada perangkat, aplikasi jahat yang tercemar dengan trojan BlackRock meminta pengguna untuk memberikannya akses ke fitur Aksesibilitas telepon.

Fitur Aksesibilitas Android adalah salah satu fitur sistem operasi yang paling kuat, karena dapat digunakan untuk mengotomatiskan tugas dan bahkan melakukan taps (klik) atas nama pengguna.

BlackRock menggunakan fitur Aksesibilitas untuk memberikan dirinya akses ke izin Android lainnya dan kemudian menggunakan DPC Android (pengontrol kebijakan perangkat, alias work profile) untuk memberikan sendiri akses admin ke perangkat.

Kemudian menggunakan akses ini untuk menampilkan overlay berbahaya, tetapi ThreatFabric mengatakan trojan juga dapat melakukan operasi mengganggu lainnya, seperti:

Menyadap pesan SMS
Melakukan SMS Floods
Melakukan Spam Kontak dengan SMS yang telah ditentukan
Memulai aplikasi tertentu
Menyimpan log key taps(fungsionalitas keylogger)
Menampilkan push notification yang telah dicustom
Menyabotase aplikasi antivirus seluler, dan banyak lagi

Saat ini, BlackRock didistribusikan dengan menyamar sebagai paket pembaruan Google palsu yang ditawarkan di situs pihak ketiga, dan trojan tersebut belum terlihat di Play Store resmi.

Sangat disarankan kepada seluruh pengguna Android untuk tidak mengunduh aplikasi Android di luar Google PlayStore dan tetap waspada sebelum mengunduh sesuatu, baik itu dari toko resmi Google atau tidak.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Banking Trojan Cerberus Disebar Melalui Google Play

July 8, 2020 by Winnie the Pooh

Aplikasi Android berbahaya telah ditemukan di toko aplikasi Google Play yang mendistribusikan trojan perbankan, Cerberus. Aplikasi ini telah memiliki 10.000 unduhan.

Peneliti keamanan mengatakan bahwa trojan ini disebar melalui aplikasi konverter mata uang Spanyol bernama “Calculadora de Moneda”, yang telah tersedia untuk pengguna Android di Spanyol sejak Maret. Setelah dieksekusi, malware memiliki kemampuan untuk mencuri kredensial rekening bank korban dan memotong langkah-langkah keamanan, termasuk otentikasi dua faktor (2FA).

Ondrej David, Peneliti keamanan Avast, mengatakan dalam analisis nya “Yang tidak umum adalah trojan perbankan berhasil menyelinap ke Google Play Store.”

Pada beberapa minggu pertama saat tersedia di Google Play, Aplikasi ini bertindak secara normal sebagai konverter yang sah dan tidak mencuri data apa pun atau menyebabkan kerusakan apa pun. Pada pertengahan Juni, versi yang lebih baru dari konverter mata uang dirilis termasuk apa yang oleh peneliti keamanan disebut sebagai “kode dropper,” tetapi masih belum diaktifkan. Kemudian, pada 1 Juli, aplikasi melakukan tahap kedua di mana ia menjadi dropper.

Cerberus memiliki berbagai macam fungsi mata-mata dan pencurian kredensial. Trojan ini dapat duduk di atas aplikasi perbankan yang ada dan menunggu pengguna untuk login ke rekening bank mereka. Kemudian, trojan membuat lapisan baru di layar login korban, dan mencuri kredensial perbankan mereka. Selain itu, trojan memiliki kemampuan untuk mengakses pesan teks korban, artinya trojan dapat melihat kode otentikasi dua faktor (2FA) yang dikirim melalui pesan.

Para peneliti mengatakan bahwa server C2 dan muatan yang terkait dengan kampanye itu aktif hingga Senin pekan ini. Kemudian, pada Senin malam, server C2 menghilang dan konverter mata uang di Google Play tidak lagi berisi malware trojan.

David mengatakan bahwa pengguna Android dapat melindungi diri mereka sendiri dengan memperhatikan izin yang diminta aplikasi dan memeriksa peringkat pengguna suatu aplikasi. “Jika Anda merasa bahwa aplikasi tersebut meminta lebih dari yang dijanjikan, tandai ini sebagai red flags,” katanya.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Trojan

Detail Teknis

Cookies Settings