[INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA)

[joniboini]

Ada yang pernah jadi korban malware DanaBot disini? Dari berita yang ane baca kabarnya malware ini mulai aktif menginfeksi sistem Windows lagi setelah sempat dilumpuhkan selama beberapa waktu[1]. Malware ini mencuri kripto dan penyebarannya lewat phishing seperti banyak malware lainnya. Selain email, iklan juga dipake untuk menyebar malware ke user yang tidak waspada.

Selain malware Windows, kabarnya ada aplikasi Android yang lagi-lagi jadi sumber penyebaran malware atau kode berbahaya yang bisa didownload secara bebas lewat play store dan app store[2]. Kabarnya developernya sudah dikontak untuk memperbaiki exploit yang ada, tapi ga jelas apakah ini murni hacker yang memanfaatkan keadaan atau devnya emang sengaja.

[1] https://www.bleepingcomputer.com/news/security/danabot-malware-is-back-to-infecting-windows-after-6-month-break/
[2] https://www.bleepingcomputer.com/news/security/popular-android-based-photo-frames-download-malware-on-boot/

[Luzin]

Kabar terbaru mengenai Malware Eternidade Stealer yang menargetkjan aset crypto dan aplikasi perbankan di daerah Brasil. Eternidade Stealer ini secara spesifik disebarkan melalui WhatsApp. Seperti biasa mereka memanfaatkan kelemahan pengguna dengan mengirimkan pesan berisi lampiran berisi Malware. Modusnya nampaknya mirip seperti OCR dengan merekam layar aktifitas  untuk mencuri kata sandi atau seed phrase. Walau menurut kabar target ini hanya untuk daerah potugis dan Brazil dan ini dideteksi dari bahasa perangkat. Kabarnya mereka memiliki program menonaktifkan sendiri jika bukan merupakan daerah target.  .

Sumber: https://thehackernews.com/2025/11/python-based-whatsapp-worm-spreads.html

[joniboini]

Beberapa hari sebelumnya ane juga share malware yang memakai WhatsApp untuk melakukan serangan ke device pengguna. Keknya ini app popular bener ya buat nyebarin malware. Bahkan ada laporan yang bilang ada malware yang bisa mengintersep pesan terenkripsi di apps WA, Signal, dkk[1].

Eniwei, pengguna Windows juga sering dapat serangan social engineering, salah satunya lewat pesan falsu via browser kek gini[2]. Kalau agan pernah mengunjungi website terus ada jendela baru fullscreen yang isinya iklan, keknya modusnya sama cuma pagenya diganti berisi instruksi untuk mengeksekusi kode tertentu. Kodenya berbahaya tentunya. Untuk menghindarinya untungnya tidak terlalu sulit, alias jangan pernah mengunjungi website mencurigakan dan kopas instruksi aneh kek gini. Kalaupun ada update pastikan update lewat settings.

[1] https://www.bleepingcomputer.com/news/security/multi-threat-android-malware-sturnus-steals-signal-whatsapp-messages/
[2] https://www.bleepingcomputer.com/news/security/clickfix-attack-uses-fake-windows-update-screen-to-push-malware/

[joniboini]

Dari berita keamanan yang ane baca hari ini, tampaknya kasus developer yang jadi korban peretasan dan mengakibatkan hacker mengupload app versi malware masih ada, dengan kasus terbaru datang dari app SmartTube buat TV Android[1]. Dari artikel yang ane baca, untungnya beberapa user mengaktifkan PlayProtect yang menilai kalau app terbaru berbahaya, jadi ga jadi korban secara langsung.

Selain itu, malware yang menarget developer lewat marketplace kode juga ditemukan[2]. Kabarnya ini kelas malware yang diketahui sebelumnya, cuma penyebarannya lebih baru dan menyebar lewat berbagai packages code baru. Kalau agan sering make atau downlaod tools kek gini jangan lupa buat selalu verifikasi kodenya aman dan ga asal run aja.

[1] https://www.bleepingcomputer.com/news/security/smarttube-youtube-app-for-android-tv-breached-to-push-malicious-update/
[2] https://www.bleepingcomputer.com/news/security/glassworm-malware-returns-in-third-wave-of-malicious-vs-code-packages/

[Luzin]

Saya tidak memahmi pasti virus ini lama atau baru tapi berita ini baru dibuat 8 desember. Peneliti keamanan siber telah mengungkap rincian dua keluarga malware Android baru yang dijuluki FvncBot dan SeedSnatcher. Peneliti menemukan virus ini berasal dari Intel 471 , CYFIRMA , dan Zimperium. FvncBot dibuat dengan menyamar sebagai aplikasi keamanan yang dibuat oleh mBank, targetnya adalah mobile banking di Polandia. Sedangkan untuk  SeedSnatcher disebarkan melalui telegram yang bertujuan untuk mencuri Sheed, memblokir sms untuk mencuri kode 2fa.  Virus SeedSnatcher ini diperkirakan berbasis di Tiongkok.

Sumber: https://thehackernews.com/2025/12/android-malware-fvncbot-seedsnatcher.html

[Luzin]

Saya tidak membayangkan jika pengisian daya ponsel bdi tempat umum bisa menjadi jalan masuknya virus. Baru saja saya membaca di https://www.idntimes.com bahwa statsiun pengisian daya dimanfaatkan orang jahat untuk mengambil data korban. Belum banyak berita mengenai kasus ini tapi setidaknya ini bisa membuat kita terbuka untuk mengantisipasi dengan membawa charge sendiri dan mencari sumber daya listrik langsung bukan hanya melalui USB yang tersedia di stasiun pengisian daya.

CMIIW

Sumber: https://www.idntimes.com/tech/trend/isi-daya-lewat-usb-publik-jadi-jalan-masuk-malware-apakah-bahaya-00-6kn2w-2gyvl1

[joniboini]

Pemilik kripto tampaknya masih jadi target besar pembuat malware. Dari berita yang ane baca, kabarnya penyedia malware as a service akhir" ini mengiklankan produk mereka bernama SantaStealer[1]. Malware ini bisa mencuri data dari browser dan wallet kripto yang kita punyai. Selain itu, app lain yang juga jadi sasaran adalah Telegram, Discord, dst. Dengan kata lain aplikasi dan situs yang sering diakses pemilik kripto adalah target mereka.

Selain malware, ane juga baca kalau scammer berhasil mengirim email palsu lewat domain email yang secara resmi dikelola oleh PayPal[2]. Sepertinya mereka memanfaatkan eksploit tertentu dan PayPal sedang berusaha memperbaikinya. Kalau agan dapet email mencurigakan meski domainnya terlihat resmi, sebaiknya jangan klik atau download attachment yang diikutsertakan lewat email tersebut.

Berita yang menurut ane cukup unik adalah penggunaan subtitle untuk menyebarkan malware[3]. Buat yang hobi download sub, sebaiknya lebih berhati", apalagi kalau agan download sub dari uploader yang ga ada jejaknya sama sekali.

[1] https://www.bleepingcomputer.com/news/security/new-santastealer-malware-steals-data-from-browsers-crypto-wallets/
[2] https://www.bleepingcomputer.com/news/security/beware-paypal-subscriptions-abused-to-send-fake-purchase-emails/
[3] https://www.bleepingcomputer.com/news/security/fake-one-battle-after-another-torrent-hides-malware-in-subtitles/

[joniboini]

Tiada hari tanpa varian malware baru ditemukan oleh researcher. Barusan ane baca kalau varian malware yang menargetkan pengguna Mac telah ditemukan oleh peneliti keamanan[1]. Target dari malware ini adalah pencurian data sensitif seperti password yang kita simpan di keychain, data wallet crypto, dan lain-lain.

Selain kabar diatas, berita seputar extensi berbahaya juga masih terus bermunculan. Salah satunya extensi yang bisa dengan mudah kita download dari Google Store seperti misalnya yang satu ini[2]. Bisa jadi pengingat buat yang hobi customize browser seperti ane (apalagi karena masih belum nemu setup buat kebutuhan baru yang ok).

[1] https://www.bleepingcomputer.com/news/security/new-macsync-malware-dropper-evades-macos-gatekeeper-checks/
[2] https://www.bleepingcomputer.com/news/security/malicious-extensions-in-chrome-web-store-steal-user-credentials/

[Husna QA]

Tiada hari tanpa varian malware baru ditemukan oleh researcher. Barusan ane baca kalau varian malware yang menargetkan pengguna Mac telah ditemukan oleh peneliti keamanan[1]. Target dari malware ini adalah pencurian data sensitif seperti password yang kita simpan di keychain, data wallet crypto, dan lain-lain.
-snip-
[1] https://www.bleepingcomputer.com/news/security/new-macsync-malware-dropper-evades-macos-gatekeeper-checks/
-snip-

Di MacOS memang ada fitur Gatekeeper dimana user tidak bisa sembarangan menginstall aplikasi karena harus melalui pemeriksaan keamanan otomatis terlebih dulu melalui fitur tersebut.

Bahkan pada macOS sekarang fitur install aplikasi melalui opsi "Anywhere" secara default disembunyikan (bagi user basic) sehingga user perlu memodifikasi sendiri untuk menginstall aplikasi non-standar seperti contoh ketika saya install Bitcoin Core.

Secara default sejak macOS versi 10.12 (Sierra) apple menyembunyikan opsi Anywhere pada pilihan "Allow apps download from" pada settingan Security & Privacy > General, artinya hanya aplikasi yang berasal dari apple store dan juga aplikasi dari developer yang sudah teridentifikasi pihak apple yang bebas dan bisa langsung diinstall di macOS, fitur ini dikenal dengan Gatekeeper.



Agar bisa menginstall Bitcoin Core maka opsi Allow apps download from Anywhere terlebih dulu mesti dimunculkan. -snip-

Nah, malware MacSync (dulu dikenalnya dengan nama Mac.C) yang saya baca pada link di atas terlihat sah secara digital sehingga bisa melewati fitur keamanan Gatekeeper sehingga otomatis diperbolehkan diinstall di macOS.

Dampaknya cukup mengkhawatirkan juga itu bisa mencuri akun iCloud. Dulu saya hampir terkena phising email terkait akun iCloud ini sehingga buru-buru merubah password dan data penting lainnya pada akun tersebut.

[joniboini]

Ada yang sering meeting pake apps Zoom dkk disini? Barusan ane baca malware yang nargetin apps kaya gitu bertebaran di Google Chrome store[1]. Sekilas ane baca targetnya lebih ke pegawai korporat sih daripada end user biasa. Beberapa extension juga punya jumlah download yang lumayan besar kalau ane lihat. Coba agan cek dan pastikan menghindari extensi" yang mencurigakan.

Selain itu, buat yang ga asing dengan KMS activator dan sejenisnya, kabarnya ada hacker yang telah ditangkap gara" mereka nyebarin malware berkedok activator Windows[2].

[1] https://www.bleepingcomputer.com/news/security/zoom-stealer-browser-extensions-harvest-corporate-meeting-intelligence/
[2] https://www.bleepingcomputer.com/news/security/hacker-arrested-for-kmsauto-malware-campaign-with-28-million-downloads/

[Luzin]

Ada yang sering meeting pake apps Zoom dkk disini? Barusan ane baca malware yang nargetin apps kaya gitu bertebaran di Google Chrome store[1].

Saya sering, semenjak Covid Appk Zoom tentu menjadi aplikasi favorit untuk kegiatan rapat rapat. Tapi saya mencermati, kalau tidak salah berarti mereka menargetkan zoom dengan aplikasi lain sebagi alat perekam layar atau yang lainnya bukan dari zoomnya? Sejauh ini saya tidak pernah memakai aplikasi2 lain saat zoom, bahkan saya sering join zoom dengan browser jadi tidak unduh aplikasi zoom bawaan. Tapi saya juga sering beli paket zoom karena bawaannya kadang dilimit berapa menit. Apakah ini juga beresiko berbahaya?

[Chikito]

Ada yang sering meeting pake apps Zoom dkk disini? Barusan ane baca malware yang nargetin apps kaya gitu bertebaran di Google Chrome store[1]. Sekilas ane baca targetnya lebih ke pegawai korporat sih daripada end user biasa.

Selagi tidak ngehack wallet dan private key sih gak masalah, ya namanya indonesia, kalau masalah KTP dan identitas saya rasa sangat gampang untuk ngehack itu semua. Saya yakin kalau seluruh data orang indonesia ini banyak yg jual di black market.

Selain itu, buat yang ga asing dengan KMS activator dan sejenisnya, kabarnya ada hacker yang telah ditangkap gara" mereka nyebarin malware berkedok activator Windows[2].

Dulu sih ketika masih windows 7, KMS activator jadi aplikasi utama saya untuk mengaktifkan windows, namun semenjak sudah migrasi windows 10 sekarang, agak sulit, karena katanya windows 10 yang mengaktifkan pake activator akan balik lagi kekunci.

Saran sih, kalau PC-nya ada aplikasi wallet, mending main aman saja untuk tidak pakai aplikasi activator. Ya kalau pun kepepet, mending pakai booting flashdisk dan simpan walletnya untuk bertansaksi di linux yang free.

[Husna QA]

Ada yang sering meeting pake apps Zoom dkk disini? Barusan ane baca malware yang nargetin apps kaya gitu bertebaran di Google Chrome store[1]. Sekilas ane baca targetnya lebih ke pegawai korporat sih daripada end user biasa.

Selagi tidak ngehack wallet dan private key sih gak masalah, ya namanya indonesia, kalau masalah KTP dan identitas saya rasa sangat gampang untuk ngehack itu semua. Saya yakin kalau seluruh data orang indonesia ini banyak yg jual di black market.

File yang berharga kan tidak hanya wallet dan private key, bisa pusing juga kalau file penting pekerjaan yang lain terkena malware gara-gara kena hack melalui aplikasi yang ditarget tersebut.

Kalau yang ditarget adalah pegawai korporat, setahu saya biasanya mereka tidak terlalu mendetail mengetahui bagaimana cara mengamankan file atau OS dari malware/virus. Bahkan untuk install OS dan aplikasi yang digunakan pun kemungkinan besar menyuruh orang lain semisal tim IT kantor, dll., yang entah aplikasinya aman atau tidak (OS dan aplikasinya original atau bajakan).


Btw, terkait isu malware yang menarget aplikasi meeting online semisal zoom, ada beberapa kekhawatiran yang saya ringkas dari video pada channel salah satu media nasional berikut:
Waspada Bahaya Siber, Cerdas Pakai Aplikasi Meeting Virtual - Metro TV

- Sambungan panggilan video tidak menggunakan enkripsi, sehingga pihak lain bisa mengintip isi pembicaraan yang seharusnya untuk kalangan terbatas.
- Data pribadi seperti alamat email, no telepon dan data-data pribadi lain berpotensi dicuri.

Tapi jika dilihat dari sisi keamanan, semua itu balik lagi dari sisi pengguna.

Beberapa tips yang saya coba ringkas dari sumber di atas:
- Download aplikasi meeting online dari link resmi.
- Lebih disarankan untuk menggunakan versi yang berbayar (cukup host-nya saja), karena fitur control security-nya lebih banyak dibandingkan dengan versi gratisan.
- Menggunakan meeting ID yang di-generate secara berubah-ubah.
- Jangan sharing meeting ID dan password di media sosial/tempat publik.
- Pastikan menjalankan fitur waiting room agar host bisa memeriksa peserta yang ikut meeting adalah benar peserta yang diundang.

[Luzin]

Phising melalui email nampaknya menjadi sasaran yang terus dipakai. Baru saja saya membaca, para pengguna MetaMask mendapat email phising yang didalamnya berisi verifikasi keamanan otentikasi dua faktor (2FA) melalui email. Link tersebut mengarah ke domain MetaMask palsu yang didalamnya berisi pemulihan keamanan untuk melakukan pengisian seed.



Sumber:
1. https://cointelegraph.com/news/fake-metamask-2fa-security-checks-lure-users-into-sharing-recovery-phrases
2. https://bitcointalk.org/index.php?topic=5570580.0

[joniboini]

Keknya berita ini masih berhubungan dengan apa yang pernah ane share sebelumnya, berkaitan dengan malware GlassWorm yang kabarnya juga menyerang ekosistem Mac secara khusus[1]. Salah satu penyebarannya melalui extensi openvsx yang dipake sama Visual Studio Code. Dari yang ane baca sih targetnya apps" penting termasuk wallet kripto, password yang disimpan dikeychain, dst.

Selain itu berkaitan dengan hacking yang dialami TrustWallet kemaren, kabarnya dari developernya bilang kalau sebab utamanya adalah karena mereka terkena serangan supply chain NPM yang terjadi beberapa minggu sebelumnya[2]. Intinya scammer berhasil mendapatkan kredensi yang bisa digunakan untuk mempublish update tanpa ada konfirmasi. Sepertinya beberapa bulan terakhir banyak sekali serangan supply chain kayak gini (kalau analisis ini benar).

[1] https://www.bleepingcomputer.com/news/security/new-glassworm-malware-wave-targets-macs-with-trojanized-crypto-wallets/
[2] https://www.bleepingcomputer.com/news/security/trust-wallet-links-85-million-crypto-theft-to-shai-hulud-npm-attack/

[Luzin]

Yang suka ngecheat, mod dan crack game hati hati, barusan saya baca ada varian virus bernama stealka. Kalau dalam berita sih ini ditulis 18 desember lalu, semoga saya tidak mengulang post. Stealka ini targetnya sama data yang tersimpan di dalam peramban, aplikasi yang terinstal secara lokal, dan dompet kripto. Stealka sendiri disebarkan melalui platform populer seperti GitHub, SourceForge, Softpedia, sites.google.com. Hebatnya lagi akun yan telah diretas oleh Stealka digunakan kembali untuk menyebarkan tautan milik penjahat itu.

Sumber: https://www.kaspersky.com/blog/windows-stealer-stealka/55058/