Website

42.000 Situs Digunakan Untuk Skema Peniruan Identitas Merek

November 15, 2022 by Coffee Bean

Grup nirlaba jahat bernama ‘Fangxiao’ telah membuat jaringan besar-besaran dengan lebih dari 42.000 domain web yang menyamar sebagai merek terkenal untuk mengarahkan pengguna ke situs yang mempromosikan aplikasi adware, situs kencan, atau hadiah ‘gratis’.

Domain penipu digunakan sebagai bagian dari apa yang tampaknya merupakan skema penghasil lalu lintas besar-besaran yang menghasilkan pendapatan iklan untuk situs Fangxiao sendiri atau lebih banyak pengunjung untuk ‘pelanggan’ yang membeli lalu lintas dari grup.

Ancaman berbasis di China. Mereka telah beroperasi sejak 2017, memalsukan lebih dari 400 merek terkenal dari sektor ritel, perbankan, perjalanan, farmasi, transportasi, keuangan, dan energi.

faktor keuntungan
Untuk menghasilkan keramaian besar bagi pelanggan dan situsnya sendiri, Fangxiao mendaftarkan sekitar 300 domain peniruan merek baru setiap hari.

Sebagian besar situs ini menggunakan TLD “.top”, diikuti oleh “.cn”, “.cyou”, “.xyz”, “.work”, dan “.tech”. Situs tersebut tersembunyi di balik Cloudflare dan terdaftar melalui GoDaddy, Namecheap, dan Wix.

Pengguna tiba di situs ini melalui iklan seluler atau setelah menerima pesan WhatsApp yang berisi tautan, biasanya membuat penawaran khusus atau memberi tahu penerima bahwa mereka memenangkan sesuatu.

Dalam beberapa kasus, menyelesaikan survei mengarah pada pengunduhan aplikasi, yang diminta oleh korban untuk diluncurkan dan tetap terbuka setidaknya selama tiga puluh detik, kemungkinan akan memberikan cukup waktu untuk mendaftarkan pengguna baru dari rujukan Fangxiao.

Tujuan lain yang diamati dari kampanye Fangxiao adalah halaman Play Store dari aplikasi ‘App Booster Lite – RAM Booster’, penguat kinerja untuk perangkat Android dengan lebih dari 10 juta unduhan.

Investigasi Cyjax menghasilkan beberapa indikasi bahwa Fangxiao adalah operator Cina, seperti menggunakan bahasa Mandarin di salah satu panel kontrol yang terbuka.

sumber : bleeping computer

Penipuan pemerasan baru mengancam merusak reputasi situs, membocorkan data

November 14, 2022 by Coffee Bean

Penipuan pemerasan aktif menargetkan pemilik situs web dan admin di seluruh dunia, mengklaim telah meretas server mereka dan menuntut $2.500 agar tidak membocorkan data.

Para penyerang (dijuluki sendiri Tim Montesano) mengirim email dengan subjek “Situs web, basis data, dan email Anda telah diretas”.

Email tersebut tampaknya tidak ditargetkan, dengan penerima permintaan tebusan dari semua vertikal, termasuk blogger pribadi, lembaga pemerintah, dan perusahaan besar.

Penipuan ini begitu tersebar luas sehingga reporter kami sendiri Axe Sharma dan Apakah Saya Telah Dilanggar menciptakan Troy Hunt juga telah menerima upaya pemerasan ini.

Pesan spam memperingatkan bahwa peretas akan membocorkan data yang dicuri, merusak reputasi mereka, dan membuat situs tersebut masuk daftar hitam spam jika target tidak melakukan pembayaran sebesar $2.500.

Email pemerasan reputasi situs web (Ax Sharma)

untuk email yang lengkap dapat dilihat dari

email lengkap : bleeping computer

Dari email pemerasan yang dilihat oleh BleepingComputer, pelaku ancaman saat ini menggunakan dua alamat bitcoin.

3Fyjqj5WutzSVJ8DnKrLgZFEAxVz6Pddn7
3PmYSqtG5x5bGNrsYUy5DGtu93qNtsaPRH

Sayangnya, transaksi bitcoin ke dompet 3Fyjqj5WutzSVJ8DnKrLgZFEAxVz6Pddn7 menunjukkan bahwa seseorang mungkin telah membayar permintaan pemerasan tersebut.

Meskipun email ini bisa menakutkan bagi pemilik situs web yang menerimanya, penting untuk diingat bahwa itu hanyalah penipuan.

Sejak musim panas 2018, ketika BleepingComputer mulai melaporkan penipuan ini, pelaku ancaman berada di balik berbagai macam penipuan pemerasan email.

sumber : bleeping computer

15.000 situs diretas untuk kampanye peracunan besar-besaran Google SEO

November 10, 2022 by Coffee Bean

Serangan pertama kali ditemukan oleh Sucuri, yang mengatakan bahwa setiap situs yang disusupi berisi sekitar 20.000 file yang digunakan sebagai bagian dari kampanye spam mesin pencari, dengan sebagian besar situs adalah WordPress.

Para peneliti percaya bahwa tujuan pelaku ancaman adalah untuk menghasilkan halaman yang cukup diindeks untuk meningkatkan otoritas situs Q&A palsu dan dengan demikian peringkat lebih baik di mesin pencari.

Kampanye tersebut kemungkinan akan menjadikan situs-situs tersebut untuk digunakan di masa mendatang sebagai situs penetes malware atau situs phishing, karena bahkan operasi jangka pendek di halaman pertama Google Penelusuran, akan mengakibatkan banyak infeksi. Atau dengan file ‘ads.txt’

Menargetkan situs WordPress
Sucuri melaporkan bahwa peretas sedang memodifikasi file WordPress PHP, seperti ‘wp-singup.php’, ‘wp-cron.php’, ‘wp-settings.php’, ‘wp-mail.php’, dan ‘wp-blog -header.php’, untuk menyuntikkan pengalihan ke forum diskusi Tanya Jawab palsu.

Kode berbahaya di salah satu file yang terinfeksi (Sucuri)

File yang terinfeksi atau disuntikkan berisi kode berbahaya yang memeriksa apakah pengunjung situs web masuk ke WordPress, dan jika tidak, mengarahkan mereka ke URL https://ois.is/images/logo-6.png.

Sucuri tidak dapat mengidentifikasi bagaimana pelaku ancaman melanggar situs web yang digunakan untuk pengalihan. Namun, kemungkinan itu terjadi dengan mengeksploitasi plugin yang rentan atau memaksa kata sandi admin WordPress.

Oleh karena itu, rekomendasinya adalah untuk meningkatkan semua plugin WordPress dan CMS situs web ke versi terbaru dan mengaktifkan otentikasi dua faktor (2FA) di akun admin.

sumber : bleeping computer

Malaysia menangkap 11 tersangka karena meretas situs pemerintah

February 20, 2021 by Winnie the Pooh

Pejabat Malaysia pada Kamis mengumumkan penangkapan 11 tersangka yang diyakini sebagai bagian dari kelompok peretas yang merusak situs web pemerintah selama akhir Januari.

Kelompok itu, menamakan dirinya Anonymous Malaysia, merusak 17 situs web untuk pemerintah daerah dan universitas, menurut postingan yang mereka buat di halaman Facebook awal bulan ini.

Perusakan adalah bagian dari kampanye yang disebut grup # OpsWakeUp21, di mana mereka ingin menyoroti buruknya keamanan situs web pemerintah dengan memposting pesan peringatan di halaman depan mereka.

Pihak berwenang Malaysia memulai penyelidikan setelah serangan terjadi pada akhir Januari, dan 11 tersangka ditangkap pada hari Rabu.

Menurut laporan lokal, para tersangka berusia antara 22 dan 40 tahun, dan dari daerah Pahang, Johor, Perak, dan Lembah Klang.

selengkapnya : ZDNET

Botnet secara diam-diam telah memindai internet secara massal untuk mencari file ENV yang tidak aman

November 22, 2020 by Winnie the Pooh

Beberapa pelaku ancaman telah menghabiskan dua-tiga tahun terakhir memindai internet secara massal untuk mencari file ENV yang tidak sengaja diunggah dan dibiarkan terbuka di server web.

File ENV, atau file lingkungan, adalah jenis file konfigurasi yang biasanya digunakan oleh alat pengembangan. Kerangka kerja seperti Docker, Node.js, Symfony, dan Django menggunakan file ENV untuk menyimpan variabel lingkungan, seperti token API, kata sandi, dan login database. Karena sifat data yang disimpannya, file ENV harus selalu disimpan di folder yang dilindungi.

“Saya membayangkan botnet sedang memindai file-file ini untuk menemukan kredensial tersimpan yang memungkinkan penyerang berinteraksi dengan database seperti Firebase, atau instance AWS, dll.,” Daniel Bunce, Principal Security Analyst for SecurityJoes, mengatakan kepada ZDNet. “Jika penyerang bisa mendapatkan akses ke kunci API pribadi, mereka dapat menyalahgunakan perangkat lunak,” tambah Bunce.

Pelaku ancaman yang mengidentifikasi file ENV pada akhirnya akan mengunduh file tersebut, mengekstrak kredensial sensitif apa pun, dan kemudian membobol infrastruktur backend perusahaan. Tujuan akhir dari serangan selanjutnya ini bisa apa saja mulai dari pencurian kekayaan intelektual dan rahasia bisnis, hingga serangan ransomware, atau pemasangan malware penambangan kripto yang tersembunyi.

sumber : ZDNET

DigiCert Mencabut 50.000 Sertifikat Keamanan Web

July 14, 2020 by Winnie the Pooh

DigiCert mengeluarkan pemberitahuan mendesak, memperingatkan administrator situs web bahwa mereka memiliki waktu hingga 11 Juli 2020 untuk mengganti sertifikat EV (extended validation) mereka dengan yang baru dan valid.

Meskipun tidak ada ancaman keamanan yang telah diidentifikasi saat ini, sertifikat ini dicabut karena proses audit yang buruk yang dipakai oleh beberapa perantara CA DigiCert. Termasuk sertifikat yang ditandatangani oleh GeoTrust, Thawte, CertCentral, dan Symantec.

Untuk alasan skala, CA biasanya tidak menandatangani sertifikat situs web secara langsung, tetapi menandatanganinya menggunakan sertifikat perantara (intermediate certificate) yang ditandatangani oleh sertifikat root (root certificate) yang memang dimiliki langsung oleh CA itu sendiri.

Sertifikat situs web umumnya dikenal sebagai leaf certificates, karena sertifikat itu ada di akhir rantai signature, urutan rantai kepercayaannya seperti ini:

Leaf certificate dijamin oleh intermediate certificate yang dimiliki CA atau mitra bisnis resmi.
Intermediate certificate dijamin oleh root certificate, yang dimiliki langsung oleh CA.
Root certificate ditandatangani sendiri, tetapi browser Anda memercayainya karena itu merupakan bagian dari daftar kecil, root certificate yang disetujui yang dibangun di browser Anda atau dipegang oleh sistem operasi Anda.

Digicert menjelaskan masalahnya sebagai berikut:

DigiCert telah mengidentifikasi masalah di mana beberapa intermediate CA (ICA) kami tidak terdaftar sebagai bagian dari audit EV WebTrust terbaru kami.

Penjelasan: sebagai bagian dari proses audit komunitas reguler, CA seharusnya menyerahkan daftar anak perusahaan dan mitra bisnis yang berwenang untuk menandatangani extended validation certificates (EV) sebagai perantara atas nama CA.

Dengan kata lain, jika ada perusahaan X yang memiliki sertifikat EV yang dijamin oleh perusahaan perantara Y yang selanjutnya dijamin oleh sertifikat CA root tepercaya dari perusahaan Z, maka Z harus memastikan perusahaan Y terdaftar kapan pun ia mengajukan dokumen audit validasi yang diperpanjang – demi kepentingan transparansi yang dapat dipahami.

Karena masalah proses audit ini, DigiCert harus mencabut 50.000 sertifikat EV.

ICA yang terkena dampak:

DigiCert Global CA G2
GeoTrust TLS RSA CA G1
Thawte TLS RSA CA G1
Secure Site CA
NCC Group Secure Server CA G2
TERENA SSL High Assurance CA 3

Keenam nama CA di atas tidak akan digunakan untuk menandatangani sertifikat lagi, jadi jika Anda memiliki sertifikat EV yang dicabut yang perlu diterbitkan kembali, itu akan berasal dari salah satu perantara baru ini sebagai gantinya:

DigiCert EV RSA CA G2
GeoTrust EV RSA CA G2
Thawte EV RSA CA G2

Cara memperbarui dan mengganti sertifikat yang dicabut dijelaskan dalam link ini.

Berita selengkapnya:
Source: Sophos | Technadu

NullSweep: Mengapa Port Situs Web Ini Memindai saya?

May 26, 2020 by Winnie the Pooh Leave a Comment

Seorang Peneliti Keamanan, menulis dalam blog nya mengenai mengapa sebuah situs web melakukan port scanning terhadap pengunjungnya.

Port scan dapat memberikan informasi kepada sebuah situs web tentang perangkat lunak apa yang Anda jalankan. Daftar port terbuka memberikan tampilan aplikasi apa saja yang sedang berjalan.

Charlie Belmer, seorang Peneliti Keamanan mengatakan bahwa ia menemukan tingkah laku mencurigakan saat ia mengunjungi situs web eBay. Ia menemukan bahwa eBay akan melakukan pemindaian port (port scanning) pada perangkat seseorang saat mengunjungi situsnya.

Tidak hanya eBay, telah dilaporkan beberapa kali bahwa beberapa situs bank juga melakukan port scanning ke pengunjung.

Melihat daftar port yang eBay pindai, salah satunya mencari layanan VNC yang dijalankan pada host, yang merupakan hal yang sama yang dilaporkan pada situs bank.

VNC terkadang dijalankan sebagai bagian dari bot net atau virus sebagai cara untuk login dari jarak jauh ke komputer pengguna. Ada beberapa layanan malware yang memanfaatkan VNC untuk tujuan ini. Namun itu juga merupakan alat yang valid yang digunakan oleh administrator untuk akses jarak jauh ke mesin, atau oleh beberapa perangkat lunak pendukung end user.

Jadi apakah pemindaian port digunakan sebagai bagian dari infeksi atau bagian dari e-commerce atau “pemeriksaan keamanan” bank, itu jelas merupakan perilaku berbahaya dan mungkin jatuh pada sisi hukum yang salah.

Belmer mendorong pengguna untuk melakukan komplain kepada lembaga yang melakukan pemindaian port jika melihat perilaku seperti ini. Ia juga menyarankan untuk memasang ekstensi yang dapat mencoba untuk memblokir fenomena semacam ini di browser Anda.

Selengkapnya:
Source: NullSweep

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Website

Cookies Settings