[INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA)

[Krislaw]

Awas, Hati-hati telah ditemukan web yang menyerupai alamat website electrum
Asli    :  www.electrum.org
Palsu  :  www.electum.org
Cuma hilang huruf r, kalau sekilas memang akan tampak sama tiada beda. Harap teliti sebelum klik atau mau download sesuatu
Info lengkap di sini : https://bitcointalk.org/index.php?topic=5197078.0

[1713519924]

1713519924

[1713519924]

1713519924

[1713519924]

1713519924

[1713519924]

1713519924

[1713519924]

1713519924

[Chikito]

Hati-hati Website Palsu Binance DEX :

Website Palsu: http://btnance.org  << Jangan Klik Sembarangan!!, Gunakan Sandboxie tuk ngecek
Website Asli: https://Binance.org

Tampilan Binance Dex Palsu menyerupai persis dengan asli:



Sudah discan pakai virus total hasilnya:

https://www.virustotal.com/gui/url/59f1b305abfa2f8bcd731738ce2294bc5dc47e0d5e1f8283f6575092e616f5da/detection



Informasi Domain

Code:

IP Address: 104.31.82.27
Domain Name: BTNANCE.ORG
Registry Domain ID: D402200000011772190-LROR
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2019-10-31T13:03:54Z
Creation Date: 2019-10-30T18:07:49Z
Registry Expiry Date: 2020-10-30T18:07:49Z
Registrar Registration Expiration Date:
Registrar: NameCheap, Inc.

>>Harap Waspada!! Kawan-kawan<<

[pandukelana2712]

Mungkin diantara teman2 ada yang mendapatkan email dengan judul topik: Brave Software: We Launched a Bounty Program! You can get 1,500 BAT
Pengirim email adalah Fake Siacoin official karena sejauh yg saya tau siacoin pasti menggunakan domain "sia.tech" untuk mengirimkan email.

Dalam email tsb Fake siacoin official menggunakan domain "yahoo.com" dan bukan domain "sia.tech"
Berikut ini adalah screenshootnya:


Juga didalam email tsb disebutkan untuk berpartisipasi dlm bounty untuk mengisi formulir pada google form.
https://docs.google.com/forms/d/e/1FAIpQLSdxYwdX7f1AA8KdcqY4sHvHt-kvNPAzkQpBZdjVoe0AtC0Ffw/viewform

Pada G-form akan nampat spt ini:


Pelaku akan mengarahkan kita untuk melakukan download brave kepada link https://brave-drop.info/ (fake brave website)
Tampilan fake brave:


Download button pada fake web tsb mempunyai link: https://yip.su/2Aywx5 dan oleh TotalVirus terdeteksi memiliki malware: https://www.virustotal.com/gui/url/12322e193dda741bf0e7d6e5944b2d736c7f5fee9a625f5e3a2efa81823c4c2e/detection

Sebagai informasi:
Official website brave: https://brave.com/
Salah satu link download official yg muncul pada web: https://laptop-updates.brave.com/latest/winx64 (website akan mendeteksi perangkat yg kita pergunakan)
Tampilan official brave website:

[joniboini]

Btw, e-mail phising tentang Brave airdrop datang dari berbagai sumber, tidak hanya yang disebutkan di atas. Sepertinya ada banyak penyerang atau kalau tidak demikian, ada satu penyerang yang menggunakan banyak mail provider untuk membombardir email target.

E-mail dummy ane dikirimin 2 spam per hari dengan isi yang sama persis tapi dari e-mail provider yang berbeda. Bukan masalah besar selama agan ga ngeklik link" yang aneh.

[pandukelana2712]

Btw, e-mail phising tentang Brave airdrop datang dari berbagai sumber.

Bener om...
Makanya fokus saya adalah kepada shortener link https://yip.su/2Aywx5, bukan pada sendernya.
Sender mungkin juga bisa menggunakan username lain (yg tentunya hampir identik) dengan official platform.
Dan kebanyakan dari membuka email dari hape, dimana tampilannya seringkali tidak menunjukkan real domain pengirimnya.

Contoh:

[joniboini]

Shortener link yang dipakai juga bisa berbeda-beda om. Tapi yang sejauh ini saya amati, e-mail phishing rendahan semacam ini udah otomatis masuk ke bagian spam kalau agan menggunakan provider yang cukup bagus (ex: Gmail, Protonmail, Tutanota dst). Sepertinya pola phishing yang dipakai udah masuk ke database provider" itu, atau kalau nggak, sendernya udah masuk daftar blacklist.

Eniwei, yang punya akun Bitmex juga lagi kena serangan phishing gara" database leak. Be careful.

[kaneki007]

Btw, e-mail phising tentang Brave airdrop datang dari berbagai sumber, tidak hanya yang disebutkan di atas. Sepertinya ada banyak penyerang atau kalau tidak demikian, ada satu penyerang yang menggunakan banyak mail provider untuk membombardir email target.

E-mail dummy ane dikirimin 2 spam per hari dengan isi yang sama persis tapi dari e-mail provider yang berbeda. Bukan masalah besar selama agan ga ngeklik link" yang aneh.

Tapi lama kelamaan agak risih juga om dan sering banget dapet email kaya gitu tapi ngga masuk ke spam, apa mungkin pengaruh dari mailer kaya SMTP sama letter juga?

Oiya buat informasi aja,ane baru nyadar kaya nya si scammer dapet email kita bisa jadi dari spreadsheet bounty yg berisikan email (ngga dihidden sama yg pegang spreadsheet nya)

[Husna QA]

Tapi lama kelamaan agak risih juga om dan sering banget dapet email kaya gitu tapi ngga masuk ke spam, apa mungkin pengaruh dari mailer kaya SMTP sama letter juga?

Coba pakai fitur filter email om..

Oiya buat informasi aja,ane baru nyadar kaya nya si scammer dapet email kita bisa jadi dari spreadsheet bounty yg berisikan email (ngga dihidden sama yg pegang spreadsheet nya)

Untuk itulah email-email yang digunakan untuk bounty jangan gunakan email utama... btw kalau menemukan data email pada spreadsheet dapat dilihat publik begitu baiknya segera dilaporkan ke BM nya om.
btw, saya baca-baca informasi di reuters aplikasi WhatsApp di'jebol' lagi sistem keamanannya.
https://www.reuters.com/article/facebook-cyber-whatsapp-nsogroup-israel/no-israeli-government-involvement-in-alleged-nso-whatsapp-hack-minister-idUSJ7N235000

Salah satu cara hacking nya melalui celah keamanan dari fitur video call

A user would receive what appeared to be a video call, but this was not a normal call. After the phone rang, the attacker secretly transmitted malicious code in an effort to infect the victim’s phone with spyware. The person did not even have to answer the call.

The spyware allegedly allows compromised devices to give access to phone's camera, mic, messages, e-mails and even location data. Put simply, the hackers could have access to contents of the entire device.

[kaneki007]

-snip-

Siap om, ane usahakan kalau ada waktu mau check bounty2 lama yg spreadsheet email nya ke public terus lapor ke BM

Coba pakai fitur filter email om..

Udah om hehe ane sempet nemu artikel medium yg seperti nya kasus nya mirip kaya kasus di atas link artikel : https://medium.com/@zerobyte.id/web-security-no-spoofing-protection-on-email-domain-54159f0ef742
*mohon dikoreksi kalau salah pengertian

[joniboini]

Buat yang make Windows, sebaiknya mulai berhati-hati dengan malware BlueKeep. Memang serangannya belum masif, tapi kalau udah kena kayaknya bisa berbahaya (selain komputer jadi bot mining, bisa juga data dicuri).

Ane pribadi menggunakan Malwarebytes + Defender, tapi yang lebih penting adalah berhati-hati berselancar di internet.

Bahan bacaan:
https://threatpost.com/bluekeep-attacks-have-arrived-are-initially-underwhelming/149829/
https://www.engadget.com/2019/11/03/first-wild-bluekeep-attack/
https://www.forbes.com/sites/daveywinder/2019/11/03/windows-bluekeep-attack-that-us-government-warned-about-is-happening-right-now/

[kaneki007]

Coot crypto Ransomware

Menyebar : File/pesan yg dikirim lewat email

Pencegahan : - Jangan download file sembarangan jika ada email masuk berisikan file
                    - Selalu berhati-hati jika ada email masuk dari orang yg tidak dikenal
                    - Pakai fitur filter email
                    - Update selalu antivirus dan jangan sesekali matikan windows defender



Bacaan : http://www.removespywar.com/id/bagaimana-menghapus-coot-ransomware/
https://www.pcrisk.com/removal-guides/16199-coot-ransomware
https://bestsecuritysearch.com/remove-coot-virus-ransomware-restore-files/

[anu1908]

Bacaan : http://www.removespywar.com/id/bagaimana-menghapus-coot-ransomware/

kalau bisa link bacaannya yang agak kredibel gan, jangan post blog yang isinya google translate.

[Husna QA]

-snip-  https://www.2-spyware.com/remove-nemty-ransomware.html  -snip-

-snip-  https://www.pcrisk.com/removal-guides/15964-badut-clowns-ransomware

-snip-  Coba Pakai metode restore :
-snip-  Sumber : http://www.cyber-technews.com/id/bagaimana-menghapus-badutclowns-virus/

-snip-  Bacaan : http://www.removespywar.com/id/bagaimana-menghapus-coot-ransomware/   -snip-

Artikelnya rata-rata sama, yakni menganjurkan dengan cara merestore OS ke restore point sebelumnya.
Tentunya hal tersebut bisa digunakan bila sebelumnya si 'korban' pernah membuat backup sebelum terkena ransomware.

Selain upaya restore diatas, bisa juga melaporkan/upload data yang dienkripsi malware tersebut di
https://www.nomoreransom.org/en/index.html
di web tersebut disediakan tools untuk mendeteksi dan men-decrypt ransomware, sehingga pengguna/'korban' bisa mencari tahu apakah ransomware yang menyerang OS nya bisa dihapus atau tidak.

Note:
Website tersebut diinisiasi oleh :
Europol dan Intel Security, Dutch National Police, McAfee, Kaspersky Lab.
Referensi:
https://www.nomoreransom.org/
https://inet.detik.com/security/d-3316408/terlanjur-jadi-korban-ransomware-ini-solusinya

[kaneki007]

New WhatsApp Bug Could Have Let Hackers Secretly Install Spyware On Your Devices
Lagi2 Whatsapp ada bug baru yaitu dengan cara ngirim mp4 file ke target, saat ini sarannya selalu menggunakan whatsapp versi terbaru

[anu1908]

New WhatsApp Bug Could Have Let Hackers Secretly Install Spyware On Your Devices
Lagi2 Whatsapp ada bug baru yaitu dengan cara ngirim mp4 file ke target, saat ini sarannya selalu menggunakan whatsapp versi terbaru

bug yang baru ini yang mana ya? ane agak bingung dengan beritanya kok kayaknya cuma report perkembangan dari bug lama dan menghimbau pembaca untuk update aja. apa WhatsApp RCE flaw itu beda dengan CVE-2019-11931?

[Husna QA]

-snip- apa WhatsApp RCE flaw itu beda dengan CVE-2019-11931?

Kalau saya nangkepnya pada bagian tulisan update di artikel tersebut, WhatsApp RCE flaw di maksudkan ke CVE-2019-11931.

Sementara dari yang saya baca-baca, WhatsApp RCE (Remote Code Execution) / CVE-2019-3568 modus yang diserangnya, yakni memanfaatkan celah dari bug WhatsApp VOIP (Voice over Internet Protocol) stack.

WhatsApp RCE

Remote code execution vulnerability has been discovered on WhatsApp which can be exploited by sending malicious packets to a targeted phone number. This vulnerability allows attackers to compromise devices using an advanced version of Pegasus spyware.

CVE-2019-3568

A buffer overflow vulnerability in WhatsApp VOIP stack allowed remote code execution via specially crafted series of RTCP packets sent to a target phone number.

Sementara CVE-2019-11931 bug nya pada masalah penanganan file metadata MP4 yang digunakan pada Whatsapp

The issue was present in parsing the elementary stream metadata of an MP4 file and could result in a DoS or RCE.
-snip-
The issue could trigger a DoS condition or it could exploit by a remote attacker to execute arbitrary code on the target devices.

Koreksi saya jika keliru.

[joniboini]

IMO berita itu memang bisa membingungkan, karena RCE itu merujuk pada eksekusi kode jarak jauh yang bisa disebabkan bug tertentu. CVE 3568 & 11931 juga bisa disebut dengan bug RCE karena seperti definisinya sendiri, itu bug yang "allowed remote code execution". CMIIW. Disebut 'baru' juga agak relatif karena bugnya ditrack sejak 14 November dan beritanya 16 November. Yah gitulah situs berita.

[50 Cent]

Bagus ini threadd, sangat bermanfaat. Hati hati kalau download file apapun khususnya di telegram. Karna bisa disusupin virus, gambarpun begitu.

Harusnya elu posting beserta bukti dan file apa yang harus dihati-hatikan untuk di download dari telegram. Karena kalau elu liat komen dari halaman 1 - 7 semua berisi informasi jenis, file dan nama virus. kalau cuma ngomong "hati-hati" doang, toh banyak file dari telegram kiriman dari teman berupa file poto, gif atau sticker yang gue rasa aman dari virus.

[50 Cent]

Bagi yang menggunakan browser firefox, gue sarankan untuk segera update ke versi 72.0.1 karena pada update sebelumnya ditemukan celah zero-day exploit yang mana dapat memungkinkan hacker untuk mengambil kendali terhadap sistem.
https://winpoin.com/mozilla-merilis-update-penting-di-firefox-72-0-1-update-sekarang/
https://www.us-cert.gov/ncas/current-activity/2020/01/08/mozilla-patches-critical-vulnerability
untuk update firefox klik help di seting browser lalu klik about firefox

[Husna QA]

Bagi yang menggunakan browser firefox, gue sarankan untuk segera update ke versi 72.0.1 karena pada update sebelumnya ditemukan celah zero-day exploit yang mana dapat memungkinkan hacker untuk mengambil kendali terhadap sistem.
-snip- untuk update firefox klik help di seting browser lalu klik about firefox

Keterangan resmi dari firefoxnya bisa di lihat disini:
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/

btw, firefox versi 72.0.1 itu rilis hanya berselang sehari setelah versi 72.0.0.
Saya pribadi lebih memilih untuk mengaktifkan opsi: Automatically install updates.
Kalau manual ada kemungkinan delay informasi. Ketika ada bug/celah keamanan yang implikasinya cukup serius bisa beresiko.