[INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA)

[Husna QA]

-snip- Target mereka menyerang Autentikator dan wallet. Sedangkan untuk pesebaran sementara terdeteksi belum sampai di indonesia, tapi kita tetap harus waspada.

And so far this is the countries that have been affected by this malware:

Sumber lain secara lengkap bisa di baca di: https://blog.cluster25.duskrise.com/2022/09/15/erbium-stealer-a-new-infostealer

Zaman susah lepas dari internet, saya baca tulisan di duskrise dari link diatas, setelah malware berhasil di inject ke PC korban, upaya berikutnya adalah mencoba melakukan koneksi HTTP ke domain Command-and-Control (C&C).

Di HTTP request nya saya lihat ada baris "Connection: Keep-Alive". Ketika user yang PC nya sudah terkena malware tersebut sementara didalamnya ada wallet, authenticator dan data lainnya, maka ketika terhubung ke internet data-data sistem yang ada di PC korban bisa diambil informasinya.

Dan lagi-lagi nampaknya targetnya adalah pengguna OS Windows (jika dilihat dari beberapa screenshot dari blog duskrise tersebut).




Sumber gambar: https://blog.cluster25.duskrise.com/2022/09/15/erbium-stealer-a-new-infostealer

[1714265993]

1714265993

[1714265993]

1714265993

[1714265993]

1714265993

[1714265993]

1714265993

[1714265993]

1714265993

[1714265993]

1714265993

[Chikito]

Kalau saya tidak salah menerjemahkan virus ini disisipkan dalam aplikasi gratisan beserta crack, sepertinya hampir sama dengan metode phising yang sudah ada.

Aplikasi crack-an adalah pintu masuk paling mudah dan banyak dilakukan scammer untuk masuk ke windows orang lain. Kalau kita cari di google, semisal : crack key windows 10 atau crack aplikasi semacam adobe akan banyak kita temukan di urutan teratas. Cara kerjanya hampir sama, yaitu kita harus mematikan windows security sebelum menginstallnya.

Artinya apa?, artinya mereka, scammer akan mengijeksi dan menaruh semacam malware pengintai ke Komputer dengan leluasa jika mematikan defender bawaan, sehingga jika sewaktu-waktu komputer kita menginstall wallet crypto atau menyimpan private key, seed dalam bentuk .txt akan terdeteksi dengan mudah oleh malware tersebut dan menyampaikannya langsung ke scammer jika terkoneksi internet.

Jadi setidaknya, jika memang terpaksa dan punya 1 pc saja, baiknya mulai belajar linux untuk spesial menyimpan crypto, bisa pakai live linux di cd/HD, Tails OS atau membuat dual OS dengan men-shrink volume HD yang ada. Apalagi linux sekarang UI-nya sudah kayak windows, Ubuntu dan Mint satunya terbaik, kalau pakai dual OS tidak begitu banyak makan HD, 15-20 GB pun cukup jika hanya wallet.

[dewo_sat]

Saya kurang mengetahui apakah postingan saya berada di tempat yang betul.
Jika salah, mohon koreksi dan saya harus meletakan dimana.

Ada berita dari radartech.com tentang tiruan google translate (impersonate).
Bahkan ada yang menyebut di bajak (hijack) untuk mencuri data pengguna.

Sumber: https://www.techradar.com/news/google-translate-is-being-hijacked-by-phishers-to-steal-your-data (published 5 days ago)

Saya melihat banyak user di bitcointalk.org yang mempergunakan fasilitas google tersebut untuk beraktivitas di forum.
Terutama para translator, peserta lomba, dan lain-lain

[Husna QA]

Saya kurang mengetahui apakah postingan saya berada di tempat yang betul.
Jika salah, mohon koreksi dan saya harus meletakan dimana.

Ya, informasi mengenai phishing dan semisalnya ditempatkan di thread ini agar lebih mudah diketahui member lainnya.

Ada berita dari radartech.com tentang tiruan google translate (impersonate).
Bahkan ada yang menyebut di bajak (hijack) untuk mencuri data pengguna.

Sumber: https://www.techradar.com/news/google-translate-is-being-hijacked-by-phishers-to-steal-your-data (published 5 days ago)

Saya baru mengetahuinya beberapa hari lalu dari https://inet.detik.com/security/d-6355821/awas-ada-google-translate-palsu-bisa-curi-data metode penyebarannya lebih kurang sama dengan yang lainnya, yaitu melalui email yang didalamnya ada link ke situs yang mirip layanan google translate.

Hal sederhana yang mungkin bisa dilakukan adalah teliti lebih dulu sumber pengirim email sekalipun informasi yang terdapat didalamnya seolah adalah benar-benar resmi dari situs aslinya.

[Chikito]

Saya melihat banyak user di bitcointalk.org yang mempergunakan fasilitas google tersebut untuk beraktivitas di forum.
Terutama para translator, peserta lomba, dan lain-lain

Entah kemungkinannya gimana, kalau google translate tiruan tersebut nyoba ngambil hal penting lainnya kayak password atau private key bitcoin, kayaknya gak mungkin, karena memang jarang ada yang sampai ekstrem begitu (mencoba translate private key ke bahasa lain, mungkin). Tapi kemungkinan besar tiruan ini ngambil password lewat pop up login, atau bisa jadi ngambil karya orang lain, copy paste, dan plagiarism lewat translator langsung dari aplikasi phising ini.

[Husna QA]

Saya melihat banyak user di bitcointalk.org yang mempergunakan fasilitas google tersebut untuk beraktivitas di forum.
Terutama para translator, peserta lomba, dan lain-lain

Entah kemungkinannya gimana, kalau google translate tiruan tersebut nyoba ngambil hal penting lainnya kayak password atau private key bitcoin, kayaknya gak mungkin, karena memang jarang ada yang sampai ekstrem begitu (mencoba translate private key ke bahasa lain, mungkin). Tapi kemungkinan besar tiruan ini ngambil password lewat pop up login, atau bisa jadi ngambil karya orang lain, copy paste, dan plagiarism lewat translator langsung dari aplikasi phising ini.

Kalau prediksi saya, yang jadi incarannya adalah akun google (email, drive*, dan layanan google yang terhubung lainnya) milik si korban, lebih luas lagi dari sekedar semisal untuk tujuan plagiarisme karya orang lain. Terlepas apakah dalam email phising tersebut tersemat juga link untuk mem-bypass 2fa akun-akun tersebut selain password atau tidak.

* Dari salah satu contoh kasus, bahkan masih ada juga user yang menyimpan private key/seed phrase di google drive.

[Chikito]

Kalau prediksi saya, yang jadi incarannya adalah akun google (email, drive*, dan layanan google yang terhubung lainnya) milik si korban,

Yang paling banyak digunakan orang, akan paling banyak juga upaya hacker untuk mencoba membuat celah mendapatkan informasi detail pemilik seperti password. Kayak windows saja, tentu paling banyak virusnya dibanding linux karena target hacker lebih luas, begitu juga Google, tentu kalau user tahu begini akan tidak mungkin lagi menyimpan private key-nya ke drive.

Karena hal sensitif kayak gitu, makin mudah diakses makin mudah pula dibobol, begitu juga sebaliknya, tentu tidak ada gunanya perusahaan security membuat tool atau alat penyimpanan offline jika cloud itu aman.

Spidark - spesialis pembobol cloud telah ditangkap, hacker ini ahli dalam membobol cloud atau penyimpanan online, kebetulan aja dia nemu lagu (yang belum dirilis), kalau nemu private key atau mnemonic seed bitcoin, tentu lebih kaya lagi.

[Husna QA]

28 Oktober 2022 yang lalu Threat fabric dalam blog-nya (Malware wars: the attack of the droppers) mengangkat catatan beberapa malware/malicious dropper di Google Play Store yang mendistribusikan banking Trojan, diantaranya yang ini:



Cara kerja dari Vultur Android Banking Trojan dijelaskan secara ringkas dalam tulisan pada link blog Threat fabric di atas.
Dan berikut ini sebagian list target dari vultur tersebut yang diantaranya menarget beberapa wallet cryptocurrency:



Detail informasi dan list lainnya bisa dilihat pada referensi berikut: https://www.threatfabric.com/blogs/the-attack-of-the-droppers.

[elda34b]

Setelah kemarin ada Harly Malware, masih ada juga malware di Google Play Store yang berhubungan dengan banking. Sepertinya Google belum juga memperbaiki filter listing aplikasi yang mereka miliki. Bahkan developer yang ketahuan ngirimin adware juga bisa listing lagi (malah bikin app yang nebar phising)[1]. Kalau agan butuh download apps baru sebisa mungkin hindari yang jumlah downloadnya kecil atau baru dilist, atau gunakan marketplace lain yang hanya list app open source jadi bisa diverifikasi dulu build kodenya kayak F-Droid.
[1] https://www.bleepingcomputer.com/news/security/malicious-android-apps-with-1m-plus-installs-found-on-google-play/

[Husna QA]

Sepertinya Google belum juga memperbaiki filter listing aplikasi yang mereka miliki. Bahkan developer yang ketahuan ngirimin adware juga bisa listing lagi (malah bikin app yang nebar phising)[1] -snip-
[1] https://www.bleepingcomputer.com/news/security/malicious-android-apps-with-1m-plus-installs-found-on-google-play/

Salah satu poin yang saya tangkap dari link tersebut diatas antara lain:
Pihak Google belum sampai ketingkat membekukan akun Google Play Developer yang sebelumnya sudah ketahuan mendistribusikan adware di Play store, dan tetap mengizikan aplikasinya namun dengan versi yang sudah clean dari masalah adware tersebut.

Namun fakta di lapangan berdasarkan review dari salah satu penggunanya sekitar Oktober lalu, masalah adware yang mengarah ke phising masih ada dan salah satu aplikasinya pun saya lihat masih bisa diakses di play store.

Tips lain untuk menghindari aplikasi semacam itu, antara lain dengan memeriksa beberapa review dari user sebelumnya seperti di atas (kalau saya biasanya melihat-lihat terlebih dulu review dari user yang memberikan rating paling rendah). Manfaatkan fitur Google play protect dan pasang Anti virus. Dan btw, biasanya setahu saya kalau aplikasi yang banyak adware nya seperti itu cenderung untuk mengarahkan agar user membeli versi premium-nya. Kalau memang dirasa bermanfaat dan tidak berbahaya sebaiknya beli versi premiumnya untuk menghindari iklan yang malah berpotensi mengarahkan ke situs phishing.

[elda34b]

Jenis phishingnya memang ada beberapa macam om. Yang saya tahu selain untuk pembelian versi premium, mereka juga bisa nyisiphin link phishing khusus yang bakal nginstall malware lain atau keylogger dengan menampilkan app premium untuk jadi jebakannya. Jadi alih-alih install versi premium user malah download malware. Praktik kayak gini juga ane temui di beberapa app phishing kripto, sayang pihak Google lambat dalam menindaklanjuti. Kalau agan pake app yang selalu nampilih iklan yang mencurigakan mending diuninstall saja, apalagi kalau app itu juga mengoleksi data pribadi agan. Rating dari user kadang bisa menyesatkan meskipun nilainya rendah, karena bisa juga datang dari kompetitornya, jadi jangan lupa cek dua kali.

[dewo_sat]

--- jadi jangan lupa cek dua kali.

Barangkali bu Elda bisa memberikan contoh cara cek dua kali (double check)?

Jadi meskipun saya menggunakan Eset Smart Security Premium (saya membeli dari official shop tokped), saya biasanya melihat perijinan default dari apk sebelum install. Apakah masih memerlukan hal yang lain lagi?

[Husna QA]

Rating dari user kadang bisa menyesatkan meskipun nilainya rendah, karena bisa juga datang dari kompetitornya, jadi jangan lupa cek dua kali.

Yup, tentunya bukan hanya melihat atau bahkan langsung percaya begitu saja terhadap rating yang ada. Fake rating seringkali ada juga yang membagus-baguskan suatu produk diluar kenyataannya bahkan ada juga yang malah menawarkan jasa seperti ini: https://belifollowers.com/produk/android-app-rating-play-store/. Melihat hasil review itu hanya langkah kecil yang mungkin bisa dilakukan sebagai gambaran awal sebelum lanjut dengan cara lainnya untuk lebih memastikan app nya aman atau tidak, termasuk sebelumnya sudah lebih dulu mengamankan device semisal dengan anti virus.

Praktik kayak gini juga ane temui di beberapa app phishing kripto, sayang pihak Google lambat dalam menindaklanjuti.

Saya kurang tahu persis kebijakan Google seperti apa dalam menangani kasus aplikasi yang seperti itu, termasuk jika ada yang mereport, minimalnya harus sampai jumlah berapa agar aplikasi di play store tersebut ditinjau ulang.

[Chikito]

Setelah kemarin ada Harly Malware, masih ada juga malware di Google Play Store yang berhubungan dengan banking.

Malware yang berhubungan dengan duit pasti gak bakal ada habisnya, sudah kayak jamur di musim hujan, kalau pun dibinasakan satu akan tumbuh seribu, karena memang peluang ngasilin duitnya gede dibanding dengan inject virus yang lain. Ya salah satu solusinya ke pengguna itu sendiri, dengan memberikan semacam warning oleh google di playstore khususnya untuk aplikasi menyangkut uang, misal;

"Hati-hati resiko malware atau virus jika mendownload aplikasi ini" dsb

Barangkali bu Elda bisa memberikan contoh cara cek dua kali (double check)?

Lebih tepatnya Mas Joni

[elda34b]

Jadi meskipun saya menggunakan Eset Smart Security Premium (saya membeli dari official shop tokped), saya biasanya melihat perijinan default dari apk sebelum install. Apakah masih memerlukan hal yang lain lagi?

Kalau khusus untuk apk di Google/Android, setidaknya ada beberapa hal yang bisa dilakukan:
1. Pastikan publishernya sesuai dengan perusahaan yang agan kenal. Misalnya Tokopedia perusahaannya Tokopedia. Biasanya bisa dicek kok developernya siapa dan link webnya dst. Kalau appnya Tokopedia misalnya tapi developernya beda bisa jadi itu malware.
2. Check link download appnya dari web resmi apk terkait. Misalnya mau download Electrum cek di webnya dulu sama ga link apknya dengan yang agan mau download.
3. Kalau agan make F-Droid atau mau install apk open source, bisa lihat source codenya dulu kalau agan bisa verifikasi sendiri atau build sendiri biar lebih aman.
4. Bikin post di forum atau sosmed lain buat nanya apakah apk yang mau agan download aman atau tidak, kalau agan masih ragu juga, dan semacamnya.

[Chikito]

Sudah 2x ini saya dapat email seperti di atas yang dapat saya yakini jika kita klik link dan file yang disematkan itu akan kena virus atau malware.
Padahal, email saya itu sangat pribadi dan hanya saya daftarkan untuk hal-hal yang sangat penting seperti daftar exchange ber-KYC, untuk akun bank, daftar PLN, indihome, tokped dan e-wallet.

Kalau saya baca dan cari-cari, file-file berekstensi PDF mulai ramai dipakai karena mungkin anggapan mereka dapat mengelabuhi dan mereka leluasa menyusupi virus seperti: Snake keylogger (mencuri data-data pribadi di handphone, password, pin dll)

[1]. https://www.republika.co.id/berita/rcfclm368/waspada-penyebaran-malware-baru-dari-file-pdf

[joniboini]

Setahu ane Tokped dan beberapa platform merchant Indo (dan lembaga perbankan/BUMN) beberapa kali mengalami data leak. Sempat ada berita data" ini dijual di darknet beberapa bulan lalu, dan mungkin bukan yang pertama atau terakhir kalinya. Ane juga dapet e-mail serupa di e-mail pribadi ane. Solusinya yang ada hanya filter mereka sebagai spam ke depannya (mungkin provider e-mail agan bakal secepatnya menambah filter otomatis untuk e-mail" sejenis ini, tapi ga tahu kapan).

[Chikito]

Setahu ane Tokped dan beberapa platform merchant Indo (dan lembaga perbankan/BUMN) beberapa kali mengalami data leak. Sempat ada berita data" ini dijual di darknet beberapa bulan lalu, dan mungkin bukan yang pertama atau terakhir kalinya. Ane juga dapet e-mail serupa di e-mail pribadi ane. Solusinya yang ada hanya filter mereka sebagai spam ke depannya (mungkin provider e-mail agan bakal secepatnya menambah filter otomatis untuk e-mail" sejenis ini, tapi ga tahu kapan).

Kemungkinan dari sana, soalnya istri saya juga dapat email serupa yang bahkan hanya dipakai untuk merchant online shopee dan tokped. Dan, kedua email tersebut dari provider sama yaitu google. sayangnya saya hanya bisa menfilter spam dengan memblok nama pengirim dimana jika masih sama akan terblok otomatis, namun jika berbeda pengirim file yang sama maka akan tetap muncul di inbox.

[joniboini]

Saran ane agan pindah provider aja ke Proton atau Tutanota untuk email yang sensitif, setidaknya sampai saat ini e-mail ane di platform tersebut bisa mefilter dengan baik kalau ada pesan spam. Privasinya juga bisa dibilang lebih baik daripada Gmail. Spam fiter phishing kripto setidaknya sejauh yang ane rasain lebih oke.

[Luzin]

Kemungkinan dari sana, soalnya istri saya juga dapat email serupa yang bahkan hanya dipakai untuk merchant online shopee dan tokped.

Kemaren saya juga sempet dapat WA ada lowongan kerja part time gaji 3-5 juta dan ada link tautan. Saya sudah print screen tapi lupa save. Saya abaikan saja karena pernah baca di media sosial, bahwa dari link pesan WA mereka bisa mengguras Rekening Bank.

Teman salah satu Medsos dan Excahnger juga, yang dikirim ke no WA Istrinya. Dia mendapat WA tracking paket setelah diklik tidak ada permintaan memasukan sandi dll. Tapi setelah itu dapet sms OTP BRI dan kemudian ada notif uang keluar dari rekening.



Sumber