[INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA)

[joniboini]

Barusan ane membaca adanya malware yang secara khusus menargetkan pengguna Android dan kartu kredit. Walau model serangannya secara umum melibatkan social engineering, adanya aplikasi yang berperan menduplikasi data kartu secara remote (kalau ane ga salah baca) menurut ane perlu diwaspadai[1]. Sepertinya aplikasi ini belum tersebar luas di marketplace sih, karena penyebaran utamanya lewat scammer yang ngasih link ke target scam yang dianggap bisa ditipu. Walau ga secara khusus menargetkan pemilik kripto, buat agan yang pake debit card yang bisa top-up lewat kripto ga ada salahnya berhati".

Di sisi lain, kabarnya salah satu library yang sering dipake buat program Ripple sempat kena hack beberapa waktu yang lalu. Versi yang punya kode berbahaya ini bisa membuat user kehilangan duit kayak hijack yang sudah-sudah[2]. Buat agan yang punya aset Ripple dan beberapa hari terakhir sempat mengakses/mengupdatenya, bisa dicek ulang apakah termasuk salah satu target update berbahaya ini atau tidak. CMIIW.

[1] https://www.bleepingcomputer.com/news/security/supercard-x-android-malware-use-stolen-cards-in-nfc-relay-attacks/
[2] https://www.bleepingcomputer.com/news/security/ripples-recommended-xrp-library-xrpljs-hacked-to-steal-wallets/

[Luzin]

Beberapa minggu lalu saya kehilangan sekitar 0.003xx di electrum. Sekitar akhir -akhir puasa ramadahan itu ditransfer ke wallet pencuri tapi baru ketahuan setelah 1 minggu pembayaran sigcam baru dan untuk hacker itu belum sempet menarik itu. Dugaan saya adalah kesalahan saya menyimpan poto sheed prase di hp saya yang jarang online. Tapi mungkin saya juga lupa mematikan fitur backup google foto juga.

Opsi saya itu kemudian saya agak kawatir jadi saya reset semua device saya harapan saya sudah tidak ada malware yang masuk ke device saya ini. Kemudian saya instal electrum baru dan dengan sengaja menyimpan seed dalam bentuk lain non online. Apakah metode reset device ini sudah efektif untuk menghilangkan virus hack ini? Ada saran dari temen untuk beli anvir yang berbayar juga.

[Husna QA]

Beberapa minggu lalu saya kehilangan sekitar 0.003xx di electrum. Sekitar akhir -akhir puasa ramadahan itu ditransfer ke wallet pencuri tapi baru ketahuan setelah 1 minggu pembayaran sigcam baru dan untuk hacker itu belum sempet menarik itu. Dugaan saya adalah kesalahan saya menyimpan poto sheed prase di hp saya yang jarang online. Tapi mungkin saya juga lupa mematikan fitur backup google foto juga.

Opsi saya itu kemudian saya agak kawatir jadi saya reset semua device saya harapan saya sudah tidak ada malware yang masuk ke device saya ini. Kemudian saya instal electrum baru dan dengan sengaja menyimpan seed dalam bentuk lain non online. Apakah metode reset device ini sudah efektif untuk menghilangkan virus hack ini? Ada saran dari temen untuk beli anvir yang berbayar juga.

Diatas disebutkan 'bakcup Google foto', apakah akun google agan sendiri saat ini cukup aman, dalam artian tidak ada hal aneh lain yang juga mengeksploitasi akun tersebut?

Reset device bisa saja efektif untuk menghilangkan malware tertentu (tidak semua), namun saya sarankan untuk tidak menggunakan akun yang sama dengan sebelumnya ketika setting awal lagi.
Kemudian perihal penyimpanan seed di media non online, jika yang dimaksud berupa fisik semisal ditulis di benda metal, dll. saya kira itu bisa meminimalisir kasus peretasan dibanding dengan menyimpannya dalam bentuk foto digital.

[Luzin]

Diatas disebutkan 'bakcup Google foto', apakah akun google agan sendiri saat ini cukup aman, dalam artian tidak ada hal aneh lain yang juga mengeksploitasi akun tersebut?

Dugaan saya sementara itu om, memang device itu beda mail dari akun saya yang sering saya gunakan. Setelah saya telusur kok ga da yang jangal, memang akun itu terhubung ke beberpa aplikasi pihak ke 3. Tapi saya udah setel untuk 2fa juga untuk akun itu. Saya cek histori aktifitasnya juga tidak ada yang mencurigakan.

Kemudian perihal penyimpanan seed di media non online, jika yang dimaksud berupa fisik semisal ditulis di benda metal, dll. saya kira itu bisa meminimalisir kasus peretasan dibanding dengan menyimpannya dalam bentuk foto digital.

Ya om saya coba beberapa alternatif penyimpanan yang juga pernah dibahas di board SFI ini. Tapi saya akan menghindari meyimpan secara bentuk file.

[joniboini]

Opsi saya itu kemudian saya agak kawatir jadi saya reset semua device saya harapan saya sudah tidak ada malware yang masuk ke device saya ini. Kemudian saya instal electrum baru dan dengan sengaja menyimpan seed dalam bentuk lain non online. Apakah metode reset device ini sudah efektif untuk menghilangkan virus hack ini? Ada saran dari temen untuk beli anvir yang berbayar juga.

Apakah ga ada opsi untuk menggunakan device yang lain gan? Dari cerita agan sepertinya sebab pasti gimana hacker bisa nyuri duit agan masih belum pasti. Agak aneh juga sampe ada delay trasnfer hasil sigcamp agan kalau dia punya akses ke wallet agan. Kalau akun Google agan ga ada indikasi aneh", apakah perangkat agan ada apps lain yang baru aja diinstall? Kalau ga salah beberapa news belakangan penyebaran malware lewat aplikasi Android masih cukup rame (walau aplikasinya official sekalipun, karena yang jadi target hack akun developernya).

[Luzin]

apakah perangkat agan ada apps lain yang baru aja diinstall? Kalau ga salah beberapa news belakangan penyebaran malware lewat aplikasi Android masih cukup rame (walau aplikasinya official sekalipun, karena yang jadi target hack akun developernya).

Untuk device yang saya gunakan sebenarnya aplikasi aplikasi standar saja, tiktok, capcut, ig bahkan saya memang sengaja tidak download game di device saya. Tapi untuk device 1nya memang kemarin itu sempet dipinjam untuk download game anak saya dan memainkanya, saya tidak mencermati detail gamenya tapi ada game mewarnai, game tayo. Karena cukup panik ane langsung reset aja om. Memang jarang online bang, tapi mungkin kesalahan saya ngebolehin dipinjam anak waktu itu berakibat fatal.

[misbakhudin2004]

Terima kasih atas informasi detailnya gan. Saya baru tahu ternyata serangan phishing Electrum bisa terjadi lewat manipulasi server seperti ini.

Saya sempat baca juga bahwa mulai versi 4.x sampai terbaru, Electrum menggunakan fitur server whitelist dan signature untuk memverifikasi update. Apakah benar ini sudah cukup efektif mencegah serangan seperti yang digambarkan di atas?

Selain itu, kalau misalnya kita ingin lebih aman, apakah lebih disarankan menjalankan Electrum di sistem operasi khusus seperti Tails atau menggunakan air-gapped wallet?

Saya rasa informasi ini sangat penting buat user pemula, mungkin ke depannya bisa ditambahkan juga semacam "checklist aman pakai Electrum" agar gampang dipahami.

Mohon pencerahan dan tanggapannya gan.

[Husna QA]

-snip-

Untuk device yang saya gunakan sebenarnya aplikasi aplikasi standar saja, tiktok, capcut, ig bahkan saya memang sengaja tidak download game di device saya. Tapi untuk device 1nya memang kemarin itu sempet dipinjam untuk download game anak saya dan memainkanya, saya tidak mencermati detail gamenya tapi ada game mewarnai, game tayo. Karena cukup panik ane langsung reset aja om. Memang jarang online bang, tapi mungkin kesalahan saya ngebolehin dipinjam anak waktu itu berakibat fatal.

Kedua device tersebut apakah memiliki akun yang saling terhubung dan menggunakan penyimpanan cloud yang sama, dimana screenshot seed phrase yang ter-upload kesana bisa diakses dari kedua device-nya?
Kalau sekiranya agan masih ingat nama aplikasi game yang diinstal tersebut, mungkin berikutnya bisa dicari tahu apakah memang aplikasinya tersusupi malware semisal dengan memeriksa app nya melalui www.virustotal.com atau tools sejenis lainnya.

Kemudian, ketika install aplikasi biasanya kan ada 'app permissions', nah dari sini juga bisa jadi celah ketika misalkan akses ke folder gambar, photo diizinkan bagi aplikasi tersebut.

Terima kasih atas informasi detailnya gan. Saya baru tahu ternyata serangan phishing Electrum bisa terjadi lewat manipulasi server seperti ini.

Saya sempat baca juga bahwa mulai versi 4.x sampai terbaru, Electrum menggunakan fitur server whitelist dan signature untuk memverifikasi update. Apakah benar ini sudah cukup efektif mencegah serangan seperti yang digambarkan di atas?
-snip-

Saya belum 'ngeh' dengan fitur yang disebutkan di atas. Dulu memang sempat ada issue perihal server 'jahat', berikut ini diantara daftarnya: https://github.com/spesmilo/electrum/issues/4968#issuecomment-450046206. Agan bisa mengganti server yang digunakan di Electrum secara manual dan memilih server yang aman (tidak termasuk ke dalam daftar server 'jahat'), caranya antara lain bisa lihat pada postingan saya di https://bitcointalk.org/index.php?topic=3664755.msg49195920#msg49195920

Btw, pertanyaan spesifik terkait wallet tertentu, mungkin bisa ditanyakan pada thread yang lebih relevan.

[joniboini]

Tapi untuk device 1nya memang kemarin itu sempet dipinjam untuk download game anak saya dan memainkanya, saya tidak mencermati detail gamenya tapi ada game mewarnai, game tayo. Karena cukup panik ane langsung reset aja om.

Mungkin kalau ada waktu, bisa agan ingat" lagi list aplikasinya apa aja dan apakah masih ada di Google store atau tidak. Dari beberapa berita malware apks yang pernah ane share, memang pernah ada aplikasi game yang dipakai untuk menyebar malware, cuma dari list yang pernah ane baca kebanyakan aplikasinya udah di-take down sama Google atau Apple. Cuma ya balik lagi aplikasi jahat kek gitu tiap hari bisa masuk ke store karena filter yang jelek dari Google/Apple, bahkan ada yang sampe di-list bertahun" baru dihapus 1 tahun belakangan ini. Belum lagi zero-day exploit yang dimanfaatkan dan belum kepatch[1].

[1] https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-freetype-flaw-on-android/

[Husna QA]

-snip- Cuma ya balik lagi aplikasi jahat kek gitu tiap hari bisa masuk ke store karena filter yang jelek dari Google/Apple, bahkan ada yang sampe di-list bertahun" baru dihapus 1 tahun belakangan ini. Belum lagi zero-day exploit yang dimanfaatkan dan belum kepatch[1].

[1] https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-freetype-flaw-on-android/

Saya baca pada link di atas, pengguna Android 12 besar kemungkinan tidak mendapat notifikasi untuk perbaikan sistemnya terhadap bug yang muncul dari exploitasi tersebut, dan ini cukup beresiko terutama bagi pengguna device yang 'mentok' tidak bisa update versi Android diatasnya.

Disebutkan pula perihal dampak lain dari kerentanan tersebut yang bisa mengakibatkan arbitrary code execution (ACE).
Dari definisi yang saya baca di https://en.wikipedia.org/wiki/Arbitrary_code_execution, eksploitasi ACE ini bisa jadi pemicu remote code execution (RCE atau RCX). Dengan kata lain (yang saya pahami), peretas sudah bisa dengan mudah mengontrol secara penuh device korban dari jarak jauh.

Kemudian, beberapa komponen inti Android disebutkan juga cukup parah;

The rest of the flaws fixed by Google this month concern problems in Framework, System, Google Play, and the Android Kernel, as well as security gaps in proprietary components from MediaTek, Qualcomm, Arm, and Imagination Technologies.

All the flaws in core Android components are rated high severity, with most being elevation of privilege problems.

[joniboini]

Bicara tentang Android, sepertinya Android 16 menawarkan banyak upgrade di masalah keamanan untuk usernya[1]. Walau sayang keknya ga semua vendor bakal mengupdate device mereka ke versi tersebut dan hanya fokus ke lineup device paling baru atau setidaknya 1 tahun kebelakang doang.

Btw buat yang suka make AI atau lihat iklan AI di sosmed bisa waspada karena penyebaran malware via iklan AI juga makin banyak. Di berita terbaru tampaknya iklan AI itu dimanfaatkan untuk menyebarkan malware/infostaler yang menargetkan data yang disimpan oleh browser kita[2]. Ane belum pernah nemuin iklan kek gini di sosmed yang masih ane kunjungi sih, tapi ga ada salahnya berhati".

[1] https://www.bleepingcomputer.com/news/security/android-16-expands-advanced-protection-with-device-level-security/
[2] https://www.bleepingcomputer.com/news/security/fake-ai-video-generators-drop-new-noodlophile-infostealer-malware/

[joniboini]

Seminggu terakhir ini ternyata banyak berita keamanan yang cukup menarik. Di antaranya adalah ditemukannya tool yang bisa menonaktifkan Windows Defender meskipun tidak ada antivirus yang terinstall di komputer kita. Tool ini memanfaatkan kelemahan di API Windows Defender[1]. Walau tool ini butuh izin admin untuk menjalankan triknya, ada kemungkinan developer malware membungkusnya dengan aplikasi lain kayak yang sudah". Semoga kelemahannya segera diperbaiki sama Windows (walau keknya Windows banyak problem juga sekarang).

Selain masalah diatas, masalah penyebaran lewat phishing dan malware yang tercantum di toko extension Google masih terus berlangsung[2]. Modus operandinya mirip seperti yang sudah", dengan menyamar layaknya platform tertentu dan mendorong user untuk menginstall extension Chrome tertentu. Selain kasus ini, ditemukan juga campaign yang berusaha menyebarkan versi Keepas yang disusupi trojan[3]. Seperti biasa, pastikan agan memverifikasi file yang agan download sebelum menginstallnya, apalaig untuk aplikasi yang sensitif sepreti manajer password.

[1] https://www.bleepingcomputer.com/news/microsoft/new-defendnot-tool-tricks-windows-into-disabling-microsoft-defender/
[2] https://www.bleepingcomputer.com/news/security/data-stealing-chrome-extensions-impersonate-fortinet-youtube-vpns/
[3] https://www.bleepingcomputer.com/news/security/fake-keepass-password-manager-leads-to-esxi-ransomware-attack/

[elda34b]

Beberapa hari yang lalu ada report yang mendeskripsikan detail bagaimana sebuah malware bernama .Net Chihuahua yang memanfaatkan Google drive dan penyimpanan online lainnya untuk menyebarkan payloadnya. Infostealer/malware ini menyebar lewat social engineering dan memanfaatkan tools bawaan Windows seperti PowerShell, Windows Scheduler dan tools lain untuk mencuri data yang sudah dienkripsi dari komputer yang diserang[1]. Infostealer ini akan menghapus jejak aktivitasnya untuk menyulitkan pengguna atau software keamanan untuk mendeteksi adanya aktivitas berbahaya di komputer mereka.

Selain penyebaran infostealer ini, tampaknya pengguna MacOS harus makin berhati-hati karena ditemukan aplikasi palsu yang menyamar menjadi aplikasi Ledger Live untuk mencuri seed phrases pengguna[2]. Selalu pastikan agan mendowload aplikasi yang sesuai dan verifikasi file sebelum install/setelah download.

[1] https://cybersecuritynews.com/net-based-chihuahua-infostealer-exploit-google-drive-steals-browser-credentials-and-crypto-wallets/
[2] https://www.bleepingcomputer.com/news/security/hackers-use-fake-ledger-apps-to-steal-mac-users-seed-phrases/

[Chikito]

Beberapa hari yang lalu ada report yang mendeskripsikan detail bagaimana sebuah malware bernama .Net Chihuahua yang memanfaatkan Google drive dan penyimpanan online lainnya untuk menyebarkan payloadnya. Infostealer/malware ini menyebar lewat social engineering dan memanfaatkan tools bawaan Windows seperti PowerShell, Windows Scheduler dan tools lain untuk mencuri data yang sudah dienkripsi dari komputer yang diserang[1]. Infostealer ini akan menghapus jejak aktivitasnya untuk menyulitkan pengguna atau software keamanan untuk mendeteksi adanya aktivitas berbahaya di komputer mereka.

.net?, agak asing terdengar malware yang memakai ekstensi tersebut. Biasanya file berekstensi .exe, .bat, .scr, .js, .zip, atau .apk, dll yang menyamar sebagai invoice, atau urgent untuk mengelabuhi user. File .net sendiri biasanya dari microsoft, kayak framework gitu, jadi ya mungkin agak dipercaya user jika landing di email dan Google Drive. Jadi sebaiknya user men-scan dulu file yang dimaksud pake virus total, atau https://www.hybrid-analysis.com, ya walau gak presisi banget, dan mesti hati-hati, setidaknya ada step yang harus pengguna lakukan demi perlindungan PC-nya.

[Luzin]

Akses premium yang ditawarkan gratis menjadi celah yang mudah bagi hacker untuk mengambil data penginstal aplikasi. Saya baru saja membaca layanan seperti  premium Spotify, Windows, dan Microsoft Office365 ditawarkan dengan akses gratis di media sosial toktok. Jadi korban merasa tidak sadar telah menginstal program berisi perintah untuk mengambil data pribadi termasuk crypto. Kondisi ini hampir sulit diketahui sebelum korban merasa kehilangan assetnya.

Akses premium premium Spotify, Windows, dan Microsoft Office365 menjadi gratis hanya dengan mengetikkan perintah (command) di PowerShell Windows.  Korban diarahkan dalam perintah atau intruksi video dan secara tidak sadar mereka mengunduh malware. Perkembangan teknologi AI nampaknya juga menjadi alat para hacker untuk membuat video serupa dan disebarkan melalui media sosial. Beberapa korban mengaku kehilangan data di HD, akun media sosial tidka bisa diakses, dan kehilangan crypto. Jadi nampaknya bagi para maniak gratisan harus berhati-hati dan wajib curiga lebih baik tidak menginstalnya.

Sumber: https://cyberhub.id/tips-trik/spotify-gratis-tiktok-kena-malware

[joniboini]

.net?, agak asing terdengar malware yang memakai ekstensi tersebut. Biasanya file berekstensi .exe, .bat, .scr, .js, .zip, atau .apk, dll yang menyamar sebagai invoice, atau urgent untuk mengelabuhi user. File .net sendiri biasanya dari microsoft, kayak framework gitu, jadi ya mungkin agak dipercaya user jika landing di email dan Google Drive.

Kalau ane baca dari beritanya sih namanya lebih mengarah ke payload yang didownload ketika sudah terinfeksi sih. Untuk penyebaran malwarenya salah satu kasusnya malah lewat dokumen di Google Drive, jadi masih mirip" sama penyebaran malware yang lain. Walau tentunya file dokumen itu ternyata menyimpan script berbahaya yang bakal tereksekusi ketika filenya dibuka.

Btw bicara soal extension, kabarnya tim Mozilla telah meluncurkan fitur deteksi crypto drainer[1]. Targetnya jelas user yang ga familiar dengan extension berbahaya dan sering kali mendownload atau menginstall ekstensi baru. Semoga saja bisa mengurangi penyebaran crypto drainer, walau tentunya edukasi harus terus dilakukan karena ada kasus juga developernya kena hack dan malah mempublikasi update yang berbahaya, ga cuma drainer saja.

[1] https://www.bleepingcomputer.com/news/security/mozilla-launches-new-system-to-detect-firefox-crypto-drainer-add-ons/

[Luzin]

Hari ini saya membaca artikel di cointelegraph dengan judul "A crypto scam that doesn’t need private keys: How does zero-value transfer work?"
Korban mengalami phising onchain sebesar $2,6 juta. Para pelaku memanfaatkan momen histori transaksi alamat yang berinteraksi dan pada akhirnya membuat alamat yang mirip bagian depan dan belakangnya. Setelah itu mengirimkan bertransaksi tanpa memiliki value. Kondisi ini adalah memungkinkan alamat palsu itu digunakan oleh pemilik untuk mengirim dengan alamat palsu itu dengan melihat histori transaksi.

Sumber:
1. https://cointelegraph.com/explained/a-crypto-scam-that-doesnt-need-private-keys-how-does-zero-value-transfer-work
2. https://bitcointalk.org/index.php?topic=5546252.msg65466657#msg65466657

[joniboini]

-snip-

Sepertinya ini berhubungan dengan kasus dust attack dan sejenisnya, jadi ga secara khusus melibatkan malware, virus dan sejenisnya. Sepertinya pernah dibahas juga dithread lain, walau jumlah scam dengan modus semacam ini keknya makin banyak diberitakan beberapa bulan terakhir. Entah apakah ini berarti banyak user baru join yang belum tahu kripto atau user lama yang makin sembrono karena belum pernah kena scam seperti ini.