Windows

Serangan phishing baru ini menggunakan iming-iming aneh untuk mengirimkan malware trojan Windows

January 7, 2021 by Winnie the Pooh

Kampanye phishing baru mencoba memikat korban agar mengunduh malware yang memberikan kontrol penuh kepada penjahat siber atas mesin Microsoft Windows yang terinfeksi.

Quaverse Remote Access Trojan (QRat) pertama kali muncul pada tahun 2015. Malware ini sulit dideteksi di bawah beberapa lapisan obfuscation dan menyediakan akses jarak jauh bagi peretas jahat ke komputer korban yang disusupi.

Kemampuan malware trojan ini termasuk mencuri kata sandi, keylogging, penelusuran file, mengambil screenshot dan banyak lagi yang semuanya memungkinkan peretas untuk mendapatkan akses ke informasi sensitif.

Peneliti keamanan siber di Trustwave telah mengidentifikasi kampanye QRat baru yang mencoba memikat orang agar mengunduh versi terbaru dari malware tersebut, sesuatu yang mereka gambarkan sebagai “ditingkatkan secara signifikan”.

Email phishing awal mengklaim menawarkan pinjaman kepada korban dengan “laba atas investasi yang baik” yang berpotensi menarik perhatian korban. Namun, lampiran berbahaya tersebut sama sekali tidak terkait dengan subjek email phishing, melainkan mengklaim berisi video Presiden Donald Trump.

Jika lampiran dibuka, file Java Archive (JAR) – akan menjalankan penginstal malware QRat.

Prosesnya bahkan dilengkapi dengan peringatan pop-up, memberi tahu pengguna bahwa perangkat lunak yang mereka instal dapat digunakan untuk akses jarak jauh dan penetration testing – jika pengguna setuju QRat ini untuk diunduh, dengan malware diambil oleh unduhan modular untuk membantu menghindari deteksi.

Sumber: ZDNet

Google Chrome dan Microsoft Edge mendapatkan pembaruan antivirus Windows 10 utama

January 2, 2021 by Winnie the Pooh

Google Chrome, Microsoft Edge, dan browser berbasis Chromium lainnya sekarang akan berjalan dengan lancar di sistem Windows 10 yang menjalankan perangkat lunak antivirus sebagai hasil dari update Chromium baru.

Hingga saat ini, fungsi tertentu gagal berfungsi dengan baik di browser ini ketika sistem yang menjalankan Windows 10 memiliki perangkat lunak antivirus atau pemindai yang dikonfigurasi untuk mengunci file baru secara singkat.

Masalah ini bahkan lebih terlihat pada mesin tempat browser pengguna diinstal pada drive sistem mereka dan perangkat lunak antivirus mereka disiapkan untuk memindai file baru yang dibuat oleh program pihak ketiga seperti Google Chrome. Hal ini menyebabkan masalah saat pengguna mencoba menyimpan bookmark dan file lain menggunakan browser mereka.

Dalam posting baru di Chromium Gerrit, insinyur Bruce Dawson yang menjalankan tim Google Chrome untuk Windows memberikan wawasan lebih lanjut tentang komitmen baru yang dimaksudkan untuk memperbaiki masalah browser berbasis Chromium pada sistem Windows 10 dengan perangkat lunak antivirus terpasang.

sumber : TechRadar

Ransomware menyamar sebagai versi seluler Cyberpunk 2077

December 18, 2020 by Winnie the Pooh

Aktor ancaman mendistribusikan installer Windows dan Android palsu game Cyberpunk 2077 yang berisi ransomware CoderWare.

Untuk mengelabui pengguna agar memasang malware, pelaku ancaman biasanya mendistribusikannya sebagai gamer installer, cheats, dan crack untuk software copyright.

Minggu ini, analis malware Kaspersky Tatyana Shishkova menemukan ransomware Android yang menyamar sebagai versi seluler dari game Cyberpunk 2077. Game tersebut didistribusikan dari situs web palsu yang meniru Google Play Store yang sah.

Shishkova menulis di akun Twitter nya bahwa ransomware CoderWare menggunakan kunci hardcode, yang berarti decryptor dapat dibuat jika perlu untuk memulihkan file secara gratis.

Ransomware ini sama dengan yang ditemukan oleh MalwareHunterTeam pada bulan November yang menyamar sebagai installer Windows Cyberpunk 2077. Seperti versi Android, ransomware ini menyebut dirinya CoderWare tetapi merupakan varian dari ransomware BlackKingdom.

Seperti yang Anda lihat, saat mencoba menginstal perangkat lunak berhak cipta secara gratis, Anda menghadapi risiko besar adanya infeksi malware. Risiko ini bahkan lebih signifikan ketika Anda mencoba memasang aplikasi Android dari toko aplikasi pihak ketiga.

Sumber: Bleeping Computer

Trojan Windows Baru Mencuri Kredensial Browser, Outlook Files

December 15, 2020 by Winnie the Pooh

Para peneliti telah menemukan trojan pencuri informasi baru, yang menargetkan sistem Microsoft Windows dengan kemampuan eksfiltrasi data yang hebat – mulai dari mengumpulkan kredensial browser hingga menargetkan file Outlook.

Trojan, yang disebut PyMicropsia (karena dibuat dengan Python) telah dikembangkan oleh kelompok ancaman AridViper, kata peneliti, yang dikenal sering menargetkan organisasi di Timur Tengah.

“AridViper adalah kelompok ancaman aktif yang terus mengembangkan alat baru sebagai bagian dari persenjataan mereka,” kata peneliti dari tim Unit42 Palo Alto dalam sebuah analisis.

Peneliti juga mengatakan bahwa ada beberapa bagian dari malware yang belum digunaka, menandakan bahwa malware masih dalam tahap pengembangan.

Kemampuan trojan info-stealer ini mencakup pengunggahan file, pengunduhan/eksekusi muatan, pencurian kredensial browser (dan kemampuan untuk menghapus riwayat dan profil penjelajahan), mengambil tangkapan layar dan keylogging.

Selain itu, malware juga dapat mengumpulkan informasi file listing, menghapus file, menyalakan ulang mesin, mengumpulkan informasi dari drive USB dan merekam audio; serta memanen file Outlook .OST dan mematikan/menonaktifkan proses Outlook. File OST mungkin berisi pesan email, kontak, tugas, data kalender, dan informasi akun lainnya.

Meskipun PyMicropsia dirancang untuk menargetkan sistem operasi Windows saja, peneliti menemukan cuplikan dalam kode yang memeriksa sistem operasi lain (seperti “posix” atau “darwin”). Posix, atau Portable Operating System Interface, adalah keluarga standar yang digunakan untuk menjaga kompatibilitas antara sistem operasi; dan Darwin sebuah sistem operasi mirip Unix.

Sumber: The Threat Post

Bug Cisco 9.9/10-severity: Tambal kerentanan Jabber yang berbahaya ini pada Windows dan macOS

December 14, 2020 by Winnie the Pooh

Cisco telah meluncurkan patch untuk beberapa kelemahan kritis yang memengaruhi klien Jabber untuk Windows, MacOS, dan aplikasi seluler untuk iOS dan Android.

Cacatnya buruk, dengan yang terburuk memiliki peringkat keparahan 9,9. Yang lebih buruk, cacat itu dimaksudkan untuk diperbaiki tiga bulan lalu dalam pembaruan untuk Jabber, tak lama setelah para peneliti merilis kode proof-of-concept eksploitasi untuk bug wormable, yang dapat dieksploitasi melalui pesan instan.

Jabber adalah platform enterprise chat dan pesan instan Cisco yang banyak digunakan, yang diakuisisi pada tahun 2008. Aplikasi ini didasarkan pada Chromium Embedded Framework (CEF), yang memungkinkan pengembang untuk menyematkan browser web berbasis Chromium dalam sandbox asli di aplikasi mereka.

Cisco mengatakan bahwa bug ini memungkinkan penyerang untuk “mengeksekusi program apapun pada sistem operasi yang mendasarinya dengan hak istimewa yang lebih tinggi atau mendapatkan akses ke informasi sensitif”.

Cisco mencatat bahwa kerentanan penanganan pesan baru dapat dieksploitasi jika penyerang dapat mengirim pesan Extensible Messaging and Presence Protocol (XMPP) ke sistem pengguna akhir yang menjalankan Cisco Jabber.

Tiga bug yang belum diperbaiki sepenuhnya dilacak sebagai CVE-2020-26085, CVE-2020-27127, dan CVE-2020-27132.

Watchcom melaporkan empat kerentanan ke Cisco awal tahun ini, dan itu diungkapkan oleh raksasa jaringan pada bulan September. Tetapi tiga di antaranya tidak diperbaiki dengan benar dalam pembaruan pada saat itu, menurut Watchcom.

Cisco juga menemukan dua bug tambahan di Jabber selama pengujian internal. Mereka dilacak sebagai CVE-2020-27133 dan CVE-2020-27134.

Sumber: ZDNet

Peretas Rusia menyembunyikan malware Zebrocy dalam virtual disk images

December 10, 2020 by Winnie the Pooh

Peretas berbahasa Rusia di balik malware Zebrocy telah mengubah teknik mereka untuk mengirimkan malware ke korban profil tinggi dan mulai mengemas ancaman di Virtual Hard Drive (VHD) untuk menghindari deteksi.

Teknik ini terlihat dalam kampanye spear-phishing baru-baru ini dari kelompok ancaman APT28 (Fancy Bear, Sofacy, Strontium, Sednit) untuk menginfeksi sistem target dengan varian toolset Zebrocy.

Zebrocy hadir dalam banyak bahasa pemrograman (AutoIT, C ++, C #, Delphi, Go, VB.NET). Untuk kampanye baru-baru ini, pelaku ancaman memilih versi berbasis Golang daripada versi Delphi yang lebih umum.

Windows 10 mendukung file VHD secara native dan dapat memasangnya sebagai drive eksternal untuk memungkinkan pengguna melihat file di dalamnya. Tahun lalu, peneliti keamanan menemukan bahwa antivirus tidak memeriksa konten VHD sampai disk images dipasang.

Para peneliti di Intezer pada akhir November menemukan sebuah VHD yang diunggah ke platform pemindaian Virus Total. Di dalam images itu ada file PDF dan file yang dapat dieksekusi yang menyamar sebagai dokumen Microsoft Word, yaitu malware Zebrocy.

PDF tersebut adalah presentasi tentang Sinopharm International Corporation, sebuah perusahaan farmasi China yang saat ini sedang dalam uji coba fase ketiga untuk vaksin COVID-19.

Varian Zebrocy dalam file VHD adalah yang baru yang memiliki deteksi rendah pada Virus Total. Pada 30 November, hanya sembilan dari 70 mesin yang mendeteksi ini sebagai malware.

Dalam laporannya, Intezer memberikan indicators of compromise (IoC) untuk server perintah dan kontrol, file VHD, dan sampel malware Zebrocy yang digunakan dalam kampanye phishing baru-baru ini.

Sumber: Bleeping Computer

Malware Qbot beralih ke metode autostart Windows baru yang tersembunyi

December 10, 2020 by Winnie the Pooh

Versi malware Qbot baru sekarang mengaktifkan mekanisme persistensi tepat sebelum perangkat Windows yang terinfeksi dimatikan dan secara otomatis menghapus jejak apa pun saat sistem dimulai ulang atau setelah sleep.

Qbot (juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows dengan fitur worm yang aktif setidaknya sejak 2009 dan digunakan untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan.

Malware ini juga telah digunakan untuk mencatat penekanan tombol pengguna, untuk membuka backdoor pada komputer yang disusupi, dan untuk menyebarkan Cobalt Strike yang digunakan oleh operator ransomware untuk mengirimkan muatan ransomware ProLock dan Egregor.

Dimulai pada 24 November, ketika peneliti keamanan Binary Defense James Quinn mengatakan bahwa versi Qbot baru terlihat, malware tersebut menggunakan mekanisme persistensi yang lebih baru dan tersembunyi yang memanfaatkan sistem shutdown dan melanjutkan pesan untuk mengubah persistensi pada perangkat yang terinfeksi.

Qbot Window message listener (Sumber: Binary Defense)

Trojan akan menambahkan registry Run key pada sistem yang terinfeksi yang memungkinkannya untuk memulai secara otomatis saat system login dan akan mencoba untuk segera menghapusnya setelah pengguna menyalakan sistem untuk menghindari deteksi oleh solusi anti-malware atau peneliti keamanan.

Meskipun metode untuk mendapatkan persistensi ini baru untuk Qbot, malware lain telah menggunakan teknik serupa untuk menghindari deteksi di masa lalu, termasuk trojan perbankan Gozi dan Dridex.

Sumber: Bleeping Computer

Begini Cara Memperbarui Windows Kamu!

December 9, 2020 by Winnie the Pooh

Microsoft memiliki jadwal setiap bulannya untuk merilis pembaruan pada Produk dan Layanan nya. Dinamakan Patch Tuesday, pembaruan ini akan dirilis secara rutin pada hari Selasa ke-2 setiap bulannya. Saat pembaruan dirilis, IT Admin dan pengguna Produk dan Layanan Microsoft sangat disarankan untuk menerapkan pembaruan sesegera mungkin.

Namun untuk IT Admin, disarankan untuk menerapkan pembaruan pada mesin yang tidak terpakai untuk menguji pembaruan, sebelum diterapkan ke banyak sistem. Karena beberapa kasus, pembaruan Microsoft dapat menyebabkan Blue Screen of Death (BOD) atau kesalahan lainnya.

Jika kamu belum familiar dengan mesin Windows, ikuti langkah berikut untuk memperbarui Windows kamu:

Windows 10

Pada Windows PC/Laptop kamu, Klik Start
Pilih Settings
Lalu Klik Update & Security
Pilih Windows Update, dan pilih Check for updates. Jika pembaruan tersedia, lakukan instalasi

Windows 8

Pergi ke menu Settings atau dengan menekan tombol Windows+I
Lalu klik Change PC settings
Kemudian pilih Windows Update, dan pilih Check for updates. Jika pembaruan tersedia, lakukan instalasi

Windows 7

Klik Start
Pilih Control Pane
Lalu pilih System and Security
Kemudian klik Windows Update, dan pilih Check for updates. Jika pembaruan tersedia, lakukan instalasi

Pastikan Windows kamu selalu terkini untuk menjaga PC/Laptop kamu tetap aman!

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Windows

Cookies Settings