Windows

WildPressure APT Muncul Dengan Malware Baru yang Menargetkan Windows dan macOS

July 8, 2021 by Winnie the Pooh

Kampanye jahat yang menargetkan entitas terkait industri di Timur Tengah sejak 2019 telah muncul kembali dengan perangkat malware yang ditingkatkan untuk menyerang sistem operasi Windows dan macOS, yang melambangkan ekspansi baik pada targetnya maupun strateginya dalam mendistribusikan ancaman.

Perusahaan keamanan siber Rusia mengaitkan serangan itu dengan advanced persistent threat (APT) yang dilacaknya sebagai “WildPressure”, dengan korban diyakini berada di industri minyak dan gas.

WildPressure pertama kali terungkap pada Maret 2020 berdasarkan operasi malware yang mendistribusikan Trojan C++ berfitur lengkap yang dijuluki “Milum” yang memungkinkan pelaku ancaman untuk mendapatkan kendali jarak jauh dari perangkat yang disusupi. Serangan itu dikatakan telah dimulai pada awal Agustus 2019.

Sejak itu, sampel malware baru yang digunakan dalam kampanye WildPressure telah digali, termasuk versi terbaru dari C++ Milum Trojan, varian VBScript yang sesuai dengan nomor versi yang sama, dan skrip Python bernama “Guard” yang berfungsi di Windows dan macOS.

Trojan multi-OS berbasis Python, yang secara ekstensif membuat kode pihak ketiga yang tersedia untuk umum, direkayasa untuk memberi isyarat nama host mesin korban, arsitektur mesin, dan nama rilis OS ke server jarak jauh dan memeriksa produk anti-malware yang diinstal, berikutnya ia menunggu perintah dari server yang memungkinkannya mengunduh dan mengunggah file, menjalankan perintah, memperbarui Trojan, dan menghapus jejaknya dari host yang terinfeksi.

Versi VBScript dari malware, bernama “Tandis,” memiliki kemampuan yang mirip dengan Guard dan Milum, sambil memanfaatkan XML terenkripsi melalui HTTP untuk komunikasi command-and-control (C2). Secara terpisah, Kaspersky mengatakan telah menemukan sejumlah plugin C++ yang sebelumnya tidak dikenal yang telah digunakan untuk mengumpulkan data pada sistem yang terinfeksi, termasuk merekam penekanan tombol dan menangkap tangkapan layar.

Selengkapnya: The Hacker News

Game bajakan ini akan menginfeksi PC Anda dengan malware yang sangat sulit untuk dihapus

June 28, 2021 by Winnie the Pooh

Jika Anda mengunduh dan menginstal game PC bajakan, perangkat lunak antivirus Anda dapat dimatikan, pembaruan keamanan Windows dapat dihentikan dan GPU kesayangan Anda dapat dibajak untuk menambang cryptocurrency.

Jadi memperingatkan laporan baru dari perusahaan antivirus Avast, yang mengatakan bahwa malware penambangan koin baru yang disebut “Crackonosh” telah menginfeksi lebih dari 200.000 PC Windows sejak 2018, penjahat di belakangnya menjaring sekitar $ 2 juta dalam cryptocurrency Monero.

“Crackonosh didistribusikan bersama dengan salinan ilegal dari perangkat lunak populer dan mencari dan menonaktifkan banyak program antivirus populer sebagai bagian dari taktik anti-deteksi dan anti-forensiknya,” tulis peneliti Avast Daniel Benes.

Unduhan terinfeksi yang mengandung Crackonosh termasuk installer “bajakan” dari edisi Fallout 4 Game of the Year, Far Cry 5, Grand Theft Auto V, NBA 2K19, Pro Evolution Soccer 2018 dan The Sims 4 dan The Sims 4 Seasons.

Setelah game bajakan diinstal, malware membuat beberapa perubahan Registry Windows dan menginstal beberapa executable yang memiliki nama yang terdengar seperti layanan Windows biasa: winrmsrv.exe, winscomrssrv.dll dan winlogui.exe. (Yang terakhir adalah bagian penambangan koin.) Malware akan menunggu beberapa saat, dan kemudian pada restart ketujuh atau ke-10 setelah instalasi, malware akan menjalankan PC ke Safe Mode.

Karena perangkat lunak antivirus tidak beroperasi dalam Safe Mode — bahkan Antivirus Microsoft Defender Windows sendiri, alias Windows Defender — memulai PC ke Safe Mode memberi Crackonosh kesempatan untuk menyerang.

Jika mesin Anda tiba-tiba memiliki banyak malware, perangkat lunak antivirus Anda tidak dapat ditemukan di mana pun dan Anda belum menerima pembaruan Windows selama berbulan-bulan, Anda mungkin telah terinfeksi Crackonosh.

Menyingkirkannya tidak mudah — Avast memiliki serangkaian instruksi lengkap dalam laporannya, tetapi cukup teknis dan sebaiknya diserahkan kepada seseorang yang mengetahui seluk-beluk Windows Registry.

Yang terbaik adalah menghindari infeksi dengan tidak menginstal perangkat lunak bajakan. Jika Anda merasa benar-benar harus, maka pindai setiap penginstal perangkat lunak dengan perangkat lunak antivirus sebelum Anda menjalankannya.

Selengkapnya: Tom’s Guide

Malware yang Sangat Invasif Ini Mencuri Data dari 3,25 Juta Komputer Windows

June 12, 2021 by Winnie the Pooh

Antara 2018 dan 2020, jenis malware misterius menginfeksi dan mencuri data sensitif dari sekitar 3,25 juta komputer berbasis Windows—dengan membawa sejumlah besar informasi intim yang mengerikan tentang pengguna perangkat tersebut.

Data tersebut mencakup kredensial login—nama pengguna dan sandi—untuk lusinan platform online, serta miliaran cookie browser, jutaan file pengguna yang dicuri langsung dari desktop yang terinfeksi dan, dalam beberapa kasus, gambar pengguna perangkat yang diambil dengan komputer kamera web sendiri.

Epidemi berbahaya itu terungkap baru-baru ini ketika database besar dari informasi yang dicuri terlihat di web gelap, lapor NordLocker dalam analisis baru atas insiden tersebut.

Perusahaan tersebut mencirikan virus tersebut sebagai malware bergaya Trojan yang disebarkan ke komputer melalui email dan oleh perangkat lunak ilegal, seperti versi game bajakan dan Adobe Photoshop, serta alat-alat “Windows cracking”. Malware itu tidak disebutkan namanya dan kemungkinan merupakan varian yang murah dan dapat disesuaikan yang dapat dibeli dengan mudah di web gelap.

selengkapnya : gizmodo.com

Microsoft Juni 2021 Patch Tuesday memperbaiki 6 zero-day yang sudah dieksploitasi dan 50 kelemahan

June 9, 2021 by Winnie the Pooh

Hari ini adalah Patch Selasa Microsoft Juni 2021, dan dengan itu datang perbaikan untuk tujuh kerentanan zero-day dan total 50 kelemahan, sehingga admin Windows akan berebut untuk mengamankan perangkat.

Microsoft telah memperbaiki 50 kerentanan dengan pembaruan hari ini, dengan lima diklasifikasikan sebagai Kritis dan empat puluh lima sebagai Penting.

Sebagai bagian dari Patch Tuesday hari ini, Microsoft telah memperbaiki tujuh kerentanan zero-day, dengan enam di antaranya diketahui pernah dieksploitasi di masa lalu.

Enam kerentanan zero-day yang dieksploitasi secara aktif adalah:

CVE-2021-31955 – Windows Kernel Information Disclosure Vulnerability
CVE-2021-31956 – Windows NTFS Elevation of Privilege Vulnerability
CVE-2021-33739 – Microsoft DWM Core Library Elevation of Privilege Vulnerability
CVE-2021-33742 – Windows MSHTML Platform Remote Code Execution Vulnerability
CVE-2021-31199 – Microsoft Enhanced Cryptographic Provider Elevation of Privilege Vulnerability
CVE-2021-31201 – Microsoft Enhanced Cryptographic Provider Elevation of Privilege Vulnerability

Selain itu, ‘CVE-2021-31968 – Windows Remote Desktop Services Denial of Service Vulnerability’ diungkapkan kepada publik tetapi tidak terlihat dalam serangan.

Untuk mengakses deskripsi lengkap setiap kerentanan dan sistem yang terpengaruh, Anda dapat melihat laporan lengkapnya di sini.

Selengkapnya: Bleeping Computer

Lokasi yang tepat untuk file yang dapat dieksekusi dan Mengapa kami memblokir file yang tidak berjalan dari lokasi yang disetujui Microsoft

June 3, 2021 by Winnie the Pooh

Instalasi dan folder data sementara untuk Aplikasi Windows seperti program lama, Windows menggunakan folder yang berbeda untuk menyimpan file instalasi aplikasi dan data (seperti sessions, in-app downloads; dan lain-lain). Berikut rinciannya:

Folder instalasi – Aplikasi diinstal ke folder WindowsApps.
Dapat ditemukan di lokasi ini – C:\Program Files.
Folder data sementara (Temporary Folder)
Aplikasi modern menyimpan datanya di lokasi berikut – C:\Users\\AppData\Local\Packages.

Perhatikan bahwa kedua folder disembunyikan. Mereka tidak akan ditampilkan atau terlihat di bawah daftar folder kecuali Anda mengaktifkan tampilan file tersembunyi di Windows 10. Jika Anda telah mengaktifkan item tersembunyi (hidden files), maka folder akan muncul dalam warna yang lebih terang, yang menunjukkan bahwa itu adalah item tersembunyi.

NCD melakukan pemblokiran pada file yang mulai berjalan tidak pada lokasi yang disetujui oleh Microsoft.

selengkapnya : www.microsoft.com

Microsoft menggoda dengan pengumuman ‘generasi berikutnya dari Windows’ ‘segera’

May 27, 2021 by Winnie the Pooh

Microsoft tidak membicarakan rencana Windows yang besar pada Build 2021 minggu ini, dan itu karena perusahaan sedang mempersiapkan untuk merinci apa yang akan terjadi selanjutnya untuk sistem operasi PC-nya secara terpisah.

CEO Microsoft Satya Nadella menggoda pengumuman ini selama keynote Build-nya pagi ini, mengungkapkan bahwa dia telah menguji “Windows generasi berikutnya” dalam beberapa bulan terakhir.

Microsoft telah mengerjakan toko aplikasi baru untuk Windows dalam beberapa bulan terakhir, bersama dengan beberapa perubahan UI yang signifikan pada sistem operasi. Nadella tampaknya merujuk pada perubahan toko di sini, dengan janji untuk membuka ekonomi yang lebih baik bagi developers dan creators di dalam Windows itu sendiri.

Ini kemungkinan akan mencakup beberapa perubahan signifikan pada Windows Store, memungkinkan developers untuk mengirimkan aplikasi Windows apa pun – termasuk browser seperti Chrome atau Firefox.

Desas-desus menunjukkan bahwa Microsoft bahkan mungkin mengizinkan platform perdagangan pihak ketiga dalam aplikasi, sehingga developers dapat menghindari pemotongan 15 persen Microsoft pada aplikasi dan 12 persen pada permainan.

Selengkapnya : The Verge

Kerentanan Wormable Windows HTTP juga mempengaruhi server WinRM

May 24, 2021 by Winnie the Pooh

Kerentanan wormable dalam Protokol Stack HTTP dari server Windows IIS juga dapat digunakan untuk menyerang sistem Windows 10 dan Server yang belum ditambal yang secara publik mengekspos layanan WinRM (Windows Remote Management).

Microsoft telah menambal bug kritis yang dilacak sebagai CVE-2021-31166 selama May Patch Tuesday.

Untungnya, meskipun dapat disalahgunakan oleh ancaman dalam serangan eksekusi kode jarak jauh (RCE), kerentanan HANYA memengaruhi versi 2004 dan 20H2 dari Windows 10 dan Windows Server.

Microsoft merekomendasikan untuk memprioritaskan patch semua server yang terpengaruh karena kerentanan dapat memungkinkan penyerang yang tidak berkepentingan untuk mengeksekusi kode dari jarak jauh “dalam kebanyakan situasi” pada komputer yang rentan.

Selain itu, selama akhir pekan, peneliti keamanan Axel Souchet telah menerbitkan kode eksploitasi bukti konsep yang dapat digunakan untuk merusak sistem yang belum ditambal menggunakan paket jahat dengan memicu blue screens of death (BSOD).

Bug ditemukan di HTTP Protocol Stack (HTTP.sys) yang digunakan sebagai pendengar protokol oleh server web Windows IIS untuk memproses permintaan HTTP.

Namun, seperti yang ditemukan oleh peneliti keamanan Jim DeVries, ini juga memengaruhi perangkat Windows 10 dan Server yang menjalankan layanan WinRM (kependekan dari Windows Remote Management), komponen dari rangkaian fitur Manajemen Perangkat Keras Windows yang juga memanfaatkan HTTP.sys yang rentan.

Selengkapnya: Bleeping Computer

Pembaruan kumulatif Windows 10 KB5003169 & KB5003173 telah dirilis

May 12, 2021 by Winnie the Pooh

Sebagai bagian dari siklus Patch Mei, Microsoft meluncurkan pembaruan kumulatif baru untuk semua versi Windows yang didukung.

Pembaruan kumulatif dengan perbaikan keamanan diluncurkan ke PC dengan Pembaruan Oktober 2020 dan Pembaruan Mei 2020. Dalam pembaruan bulan ini, hanya ada peningkatan keamanan untuk sistem, browser, komponen inti, dan fungsi dasar lainnya.

Pembaruan kumulatif untuk Windows 10, versi 2004 dan 20H2 adalah KB5003173 dan dilengkapi dengan perbaikan berikut:

Pembaruan keamanan untuk Windows App Platform and Frameworks, Windows Kernel, Windows Media, Microsoft Scripting Engine, dan Windows Silicon Platform.
Pembaruan untuk meningkatkan keamanan ketika Windows melakukan operasi dasar.
Pembaruan untuk meningkatkan keamanan Windows OLE (dokumen majemuk).
Memperbarui keamanan untuk driver Bluetooth.

Windows 10 KB5003169 untuk versi 1909 hadir dengan serangkaian perbaikan yang sama.

Pembaruan ini juga dilengkapi dengan feed News dan Interests.

Fitur ini secara resmi disebut “News and Interests” dan akan memberikan berita, skor olahraga, keuangan dan informasi cuaca.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Windows

Cookies Settings