[INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA)

[joniboini]

Berikut beberapa berita terkait malware yang menurut ane cukup menarik dalam beberapa minggu terakhir:
1. Malware Wpeeper yang menyerang pengguna Android dengan menyamar sebagai apps lain dimana penyebarannya dilakukan melalui appstore pihak ketiga[1]. Tidak jelas targetnya pengguna kripto atau bukan, tapi dari hasil analisis mereka punya kemampuan untuk mengambil data yang ada di device kita jadi tidak menutup kemungkinan file wallet juga termasuk didalamnya. Hati-hati buat yang sering make appstore pihak ketiga, jangan lupa verifikasi app yang mau agan download.
2. Dropbox mengalami security breach lagi di platform esignaturenya. Kalau agan sering pake Dropbox buat tanda-tangan dokumen, sebaiknya segera dicek dan ganti semua data sensitif agan (password dst) karena bisa jadi hacker masih menyimpan datanya (walau dari pihak Dropbox katanya sudah direset secara default)[2]. Data yang kemungkinan diambil dari data breach ini meliputi info pengguna, password yang sudah ter-hash, token login, dst.

[1] https://www.bleepingcomputer.com/news/security/new-wpeeper-android-malware-hides-behind-hacked-wordpress-sites/
[2] https://www.bleepingcomputer.com/news/security/dropbox-says-hackers-stole-customer-data-auth-secrets-from-esignature-service/

[Chikito]

Berikut beberapa berita terkait malware yang menurut ane cukup menarik dalam beberapa minggu terakhir:
1. Malware Wpeeper yang menyerang pengguna Android dengan menyamar sebagai apps lain dimana penyebarannya dilakukan melalui appstore pihak ketiga[1]. Tidak jelas targetnya pengguna kripto atau bukan, tapi dari hasil analisis mereka punya kemampuan untuk mengambil data yang ada di device kita jadi tidak menutup kemungkinan file wallet juga termasuk didalamnya. Hati-hati buat yang sering make appstore pihak ketiga, jangan lupa verifikasi app yang mau agan download.

Bisa jadi peringatan bagi user yang sering nyimpen private key dan seed di notepad atau catatan di Hapenya. Kalau memang mendesak, semaksimal mungkin gunakan password atau PIN di file dan folder catatan/notepad yang menyimpan catatan yang sensitif di atas.

2. Dropbox mengalami security breach lagi di platform esignaturenya. Kalau agan sering pake Dropbox buat tanda-tangan dokumen, sebaiknya segera dicek dan ganti semua data sensitif agan (password dst) karena bisa jadi hacker masih menyimpan datanya (walau dari pihak Dropbox katanya sudah direset secara default)[2]. Data yang kemungkinan diambil dari data breach ini meliputi info pengguna, password yang sudah ter-hash, token login, dst.

Dalam hal ini, password untuk sign tanda tangan elektroniknya juga kena masalah?, soalnya ada juga teman kantor yang pakai dropbox untuk tanda tangan elektronik.

[joniboini]

Dalam hal ini, password untuk sign tanda tangan elektroniknya juga kena masalah?, soalnya ada juga teman kantor yang pakai dropbox untuk tanda tangan elektronik.

Dari yang ane pahami, sepertinya password yang dimaksud ini adalah password akun penggunanya, alias password login. Ane ga tahu kalau ada password khusus untuk tanda tangan yang beda dengan password login karena ane bukan pengguna Dropbox, tapi emang lebih aman buat ganti password aja gan. Belum tentu juga data yang dishare sama Dropbox ini transparan, jadi ga ada salahnya buat lebih berhati-hati lagi. Ane baca di komen juga ada yang belum dapet notif dari Dropbox, dan baru tahu dari berita yang beredar.

[Husna QA]

Dalam hal ini, password untuk sign tanda tangan elektroniknya juga kena masalah?, soalnya ada juga teman kantor yang pakai dropbox untuk tanda tangan elektronik.

Dari yang ane pahami, sepertinya password yang dimaksud ini adalah password akun penggunanya, alias password login. -snip-

Bukankah di dropbox ada fitur two-factor authentication (2FA) kan ya? Kalaupun misalkan password memang diduga 'bocor' sekalipun, mestinya masih mesti melewati fitur tersebut lebih dulu untuk sign in.

Mengenai layanan sign e-signature Dropbox ini, saya baca pada tulisan respon dari Dropbox* mengenai kasus tersebut di https://sign.dropbox.com/blog/a-recent-security-incident-involving-dropbox-sign, ternyata user yang mengaktifkan 2FA pun mesti mereset ulang kecuali yang menggunakan metode sms.

*

When we became aware of this issue, we launched an investigation with industry-leading forensic investigators to understand what happened and mitigate risks to our users. 

Based on our investigation, a third party gained access to a Dropbox Sign automated system configuration tool. The actor compromised a service account that was part of Sign’s back-end, which is a type of non-human account used to execute applications and run automated services. As such, this account had privileges to take a variety of actions within Sign’s production environment. The threat actor then used this access to the production environment to access our customer database.

In response, our security team reset users’ passwords, logged users out of any devices they had connected to Dropbox Sign, and is coordinating the rotation of all API keys and OAuth tokens. We reported this event to data protection regulators and law enforcement.

Customers who use an authenticator app for multi-factor authentication should reset it. Please delete your existing entry and then reset it. If you use SMS you do not need to take any action.

[Chikito]

Dalam hal ini, password untuk sign tanda tangan elektroniknya juga kena masalah?, soalnya ada juga teman kantor yang pakai dropbox untuk tanda tangan elektronik.

Dari yang ane pahami, sepertinya password yang dimaksud ini adalah password akun penggunanya, alias password login. Ane ga tahu kalau ada password khusus untuk tanda tangan yang beda dengan password login karena ane bukan pengguna Dropbox, tapi emang lebih aman buat ganti password aja gan. Belum tentu juga data yang dishare sama Dropbox ini transparan, jadi ga ada salahnya buat lebih berhati-hati lagi. Ane baca di komen juga ada yang belum dapet notif dari Dropbox, dan baru tahu dari berita yang beredar.

Kalau saya dulu pernah pakai e-sign di aplikasi Privy ada password khusus lagi sebelum kita menandatangani sebuah dokumen. Kalau kena yang ini bisa bahaya juga, apa lagi kalau disposisi-nya atasan atau pejabat yang memang penting dalam hal sangkut pautnya dengan uang. Tapi ya kalau ada yang bermasalah dengan aplikasi lain, biasanya akan ada peringatan juga untuk pemakai yang lain untuk lebih berhati-hati soal ini.

[Husna QA]

-snip-

Kalau saya dulu pernah pakai e-sign di aplikasi Privy ada password khusus lagi sebelum kita menandatangani sebuah dokumen. Kalau kena yang ini bisa bahaya juga, apa lagi kalau disposisi-nya atasan atau pejabat yang memang penting dalam hal sangkut pautnya dengan uang. Tapi ya kalau ada yang bermasalah dengan aplikasi lain, biasanya akan ada peringatan juga untuk pemakai yang lain untuk lebih berhati-hati soal ini.

Dari yang saya baca, yang dicuri justru database informasi lainnya seperti: username, email, nomor telepon, password, dll.
https://www.kaspersky.com/blog/dropbox-sign-breach/51159/

Sementara itu, dari klaimnya Dropbox, tidak ditemukan tanda-tanda akses tidak sah ke konten akun user, seperti dokumen dan perjanjian, ataupun informasi pembayaran:

Dropbox claims that it found no signs of unauthorized access to the contents of user accounts, that is – documents and agreements, as well as payment information.

Meskipun Dropbox Sign ini terpisah dengan Dropbox cloud, tapi kalau misal data-data login yang digunakan user sama juga, maka hemat saya perlu diperbaharui juga informasi yang di cloud-nya apalagi jika disana disimpan data-data yang bersifat penting.

[joniboini]

Meskipun Dropbox Sign ini terpisah dengan Dropbox cloud, tapi kalau misal data-data login yang digunakan user sama juga, maka hemat saya perlu diperbaharui juga informasi yang di cloud-nya apalagi jika disana disimpan data-data yang bersifat penting.

Memang lebih baik lebih berhati-hati dan jangan terlalu percaya sama corporate speak, istilah yang dipakai kan "no signs have been found", yang bisa diartikan juga bisa aja udah diakses tapi ga ada lognya aja.

Btw akhir" ini banyak juga kasus ransomware atau databreach di berbagai perusahaan. Tapi yang mungkin patut difollow-up lebih lanjut sama pengguna individu kayak ane adalah fitur" kayak peningkatan Google Play Protect yang diklaim bakal lebih baik dalam mengantisipasi dan mengatasi serangan malware[1]. Sekilas ane baca banyak fitur yang cukup okelah, walau beberapa juga bersifat sebagai notifikasi doang jadi ga jelas apakah bisa menangkal serangan dari jaringan yang tidak terenkripsi atau tidak.

[1] https://www.bleepingcomputer.com/news/google/android-15-google-play-protect-get-new-anti-malware-and-anti-fraud-features/

[joniboini]

Mungkin beberapa user udah familiar dengan model serangan phishing lewat iklan Google, cuma entah kenapa akhir-akhir ini sampai ada report mengenai serangan yang dikhususkan untuk admin jaringan[1]. Ga berhubungan dengan kripto secara langsung, tapi aplikasi kayak Putty dan Winscp ane rasa cukup populer sebagai opsi untuk mengelola SSH, jadi kalau agan sering make ini ada baiknya lebih hati-hati. Siapa tahu yang kerja dan sering berhubungan dengan jaringan LAN kantor atau perlu konek SSH pastikan download aplikasi yang bener, daripada kehilangan data karena dicolong sama ransomware.

[1] https://www.bleepingcomputer.com/news/security/ransomware-gang-targets-windows-admins-via-putty-winscp-malvertising/

[Chikito]

Mungkin beberapa user udah familiar dengan model serangan phishing lewat iklan Google, cuma entah kenapa akhir-akhir ini sampai ada report mengenai serangan yang dikhususkan untuk admin jaringan[1]. Ga berhubungan dengan kripto secara langsung, tapi aplikasi kayak Putty dan Winscp ane rasa cukup populer sebagai opsi untuk mengelola SSH,

Saya inget dulu waktu mining crypto pake VPS ngeremotenya pakai putty, entah kalau sekarang masih banyak gak yang pakai aplikasi tersebut. Kalau iya ya berbahaya, bisa-bisa (kalau dipakai mining) segala usahanya bisa diambil hacker semua jika tahu semua detil password dan segala hal. Kalau saya baca sekilas link ngedownload putty-nya sudah disusupi Trojan, ya semacam phising gitu, situs yang diberikan palsu bukan link putty yang asli.

[joniboini]

Kabarnya malware Anatsa akhir" ini mengalami peningkatan distribusi dengan banyaknya apps berisi malware yang terdapat di Google[1]. Malware ini fokusnya menyerang aplikasi perbankan berdasarkan report yang ane baca, tapi ga menutup kemungkinan turunannya mengincar kripto juga, CMIIW. Selain malware Anatsa ini juga ada banyak malware lain, yang secara keseluruhan sudah diinstall lebih dari jutaan kali lewat Google Play. Jumlah yang sangat membingungkan kalau sistem anti-malware Google benar-benar aktif, dan masih jadi pertanyaan sampai sekarang gimana bisa lolos verifikasi hingga bertahan sampai terdownload jutaan kali. Google sih sudah merespons kalau developer dan apps yang berisi malware udah dihapus, tapi ga ada kejelasan lanjut gimana mereka bakal meningkatan sistem filter apps mereka.

[1] https://www.bleepingcomputer.com/news/security/over-90-malicious-android-apps-with-55m-installs-found-on-google-play/

[Luzin]

Baru saja saya baca, virus yang memanfaatkan kelemahan pengguna chrome. Saya baru saja membaca di Fake Google Chrome Update deliver crypto stealing malware dan Beware: Fake Browser Updates Deliver BitRAT and Lumma Stealer Malware. Nampaknya mereka menargetkan untuk mencuri crypto dengan mengirimkan modus pembaharuan extensi Google Chrome. Hacker ini mengirimkan  BitRAT dan Malware Lumma Stealer.

BitRAT is a feature-rich RAT that allows attackers to harvest data, mine cryptocurrency, download more binaries, and remotely commandeer the infected hosts. Lumma Stealer, a commodity stealer malware available for $250 to $1,000 per month since August 2022, offers the ability to capture information from web browsers, crypto wallets, and other sensitive details.

Dari masalah ini apakah Web Chrome menyediakan pembaruan otomatis? Saya mencoba mencari di bagian Setting belum menemukan fitur ini. Bagaimana penggunaan Adblok untuk pop up pembaharuan ini palsu apakah efektif?

Sumber: https://thehackernews.com

[Husna QA]

Baru saja saya baca, virus yang memanfaatkan kelemahan pengguna chrome. Saya baru saja membaca di Fake Google Chrome Update deliver crypto stealing malware dan Beware: Fake Browser Updates Deliver BitRAT and Lumma Stealer Malware. Nampaknya mereka menargetkan untuk mencuri crypto dengan mengirimkan modus pembaharuan extensi Google Chrome. Hacker ini mengirimkan  BitRAT dan Malware Lumma Stealer.
-snip-
Dari masalah ini apakah Web Chrome menyediakan pembaruan otomatis? Saya mencoba mencari di bagian Setting belum menemukan fitur ini. Bagaimana penggunaan Adblok untuk pop up pembaharuan ini palsu apakah efektif?

Coba lihat di chrome://settings/help pada About Chrome, setahu saya proses pembaruannya dari sana; klik Relaunch untuk menerapkan pembaruan setelah update



Penggunaan Adblock mestinya bisa meminimalisir popup iklan (berupa malware ataupun iklan biasa), tapi ini tergantung dari adblock yang digunakan dan seberapa efektif malware tersebut bisa melewati filternya.

[joniboini]

Bagaimana penggunaan Adblok untuk pop up pembaharuan ini palsu apakah efektif?

Perlindungan terbaik ane rasa tetap kesadaran pengguna terhadap bahaya download/klik yang menyerupai perusahaan tertentu padahal jelas agan tidak mengunjungi web tersebut. Kalau mau menggunakan adblocker pastikan filter listnya selalu up-to-date (walau tetap bakal susah karena website phishing bisa muncul kapan saja dan update list tidak bisa lebih cepat dari mereka). Alternatif lain menggunakan DNS tertentu atau VPN yang menyediakan fitur filter website scam, walau balik lagi ga bisa menjamin lebih efektif dari sekedar waspada dan menghindari hal" aneh aja.

[joniboini]

Ternyata modus penyebaran scam lewat iklan WFH masih jadi trend, sampai FBI mengeluarkan peringatan akan bahaya model serangan kaya gini[1]. Uniknya lagi ini eksplisit memanfaatkan kripto sebagai media scam. Walau ga eksplisit melibatkan malware, beberapa tips yang dikasih sama FBI mengindikasikan kemungkinan adanya malware atau virus yang digunakan penyerang untuk mencuri data dari korban. Di sisi lain malware yang terang"an disebar lewat iklan job palsu juga ditemukan akhir" ini[2]. Sejauh yang ane baca ini disebar untuk menarget pekerja korporat sih, jadi hati" aja kalau agan" kerja di bidang kaya gini.

[1] https://www.bleepingcomputer.com/news/security/fbi-warns-of-fake-remote-work-ads-used-for-cryptocurrency-fraud/
[2] https://www.bleepingcomputer.com/news/security/new-warmcookie-windows-backdoor-pushed-via-fake-job-offers/

[joniboini]

Tampaknya hacker masih menggunakan model serangan menampilkan window dengan pesan yang mendorong user untuk meng-klik tombol tertentu yang menyerupai apps Chrome, Microsoft Word, OneDrive, dst[1]. Berita lama sih, cuma malware atau kode yang dipush ada aja yang baru. Di sisi lain Android masih terus jadi sasaran empuk serangan malware, baik yang udah berumur[2] atau yang balik ngetren setelah lama vakum[3]. Walau ga secara langsung menarget kripto yang kita miliki, ada kemungkinan bakal mempersulit akses wallet kripto juga atau malah jadi media private key kita terekspos ke internet karena adanya keylogging, dkk. Tetap berhati-hati, khususnya kalau agan menggunakan HP untuk mengelola kripto.

[1] https://www.bleepingcomputer.com/news/security/fake-google-chrome-errors-trick-you-into-running-malicious-powershell-scripts/
[2] https://www.bleepingcomputer.com/news/security/rafel-rat-targets-outdated-android-phones-in-ransomware-attacks/
[3] https://www.bleepingcomputer.com/news/security/new-medusa-malware-variants-target-android-users-in-seven-countries/

[Luzin]

Bagaimana dengan kabar pusat data nasional yang diserang hacker? Kabarnya hacker memakai ransomware brain cipher yang merupakan jenis terbaru dari ransomware lockbit 3.0. Kabarnya pusat data nasional diminta uang tebusan 8 juta dolar AS 131 miliar. Kondisi ini menyebabkan layanan publik bagian Imigrasi menjadi terkendala.

aktivitas malicious mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB, diantaranya melakukan instalasi file malicious, menghapus filesystem penting, dan menonaktifkan service yang sedang berjalan. File yang berkaitan dengan storage, seperti: VSS, HyperV Volume, VirtualDisk, dan Veeam vPower NFS mulai di-disable dan crash.

Sumber:
1. https://www.kompas.tv/nasional/517429/pusat-data-nasional-diserang-ransomware-pelaku-minta-tebusan-rp131-miliar
2. https://www.bssn.go.id/bssn-identifikasi-pusat-data-nasional-sementara-diserang-ransomware/
3. https://www.cnbcindonesia.com/tech/20240624141641-37-548835/pusat-data-nasional-diserang-sampai-down-ini-kondisi-sekarang

[Husna QA]

Bagaimana dengan kabar pusat data nasional yang diserang hacker? Kabarnya hacker memakai ransomware brain cipher yang merupakan jenis terbaru dari ransomware lockbit 3.0. Kabarnya pusat data nasional diminta uang tebusan 8 juta dolar AS 131 miliar. Kondisi ini menyebabkan layanan publik bagian Imigrasi menjadi terkendala.

aktivitas malicious mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB, diantaranya melakukan instalasi file malicious, menghapus filesystem penting, dan menonaktifkan service yang sedang berjalan. File yang berkaitan dengan storage, seperti: VSS, HyperV Volume, VirtualDisk, dan Veeam vPower NFS mulai di-disable dan crash.

-snip-

Tadi saya coba membaca dari sumber lainnya di:
- https://news.detik.com/berita/d-7410051/data-di-pusat-data-nasional-yang-kena-ransomware-tak-bisa-dipulihkan?
- https://inet.detik.com/security/d-7410447/server-pdns-2-kok-pakai-windows-bukan-linux?

Ada beberapa kejanggalan yang cukup membuat miris jika memang benar keadaannya seperti yang diberitakan:

- Sekelas Pusat Data Nasional "Sementara" tidak bisa merecovery data ketika terjadi sesuatu seperti serangan ransomware; Harusnya hal seperti ini sudah diantisipasi sedini mungkin dengan menyediakan backup data beberapa lapis, sehingga ketika data utama mengalami kerusakan (file, hardware, dll.) ada mirror backup yang bisa digunakan untuk recovery.

- OS yang digunakan adalah Windows OS dan menggunakan Windows Defender sebagai pertahanannya.

Sudah menjadi 'rahasia umum' kalau malware itu banyak ditujukan ke OS Window daripada ke OS lainnya yang secara pengoperasian mungkin masih belum populer bagi sebagian orang. Kenapa tidak memakai Linux yang meskipun tidak 100% tapi masih lebih tahan daripada Windows.

Kemudian kenapa pula mengandalkan Windows Defender yang merupakan fitur bawaan dan tidak menggunakan antivirus dari vendor lain yang sekiranya lebih baik?

[joniboini]

Kemudian kenapa pula mengandalkan Windows Defender yang merupakan fitur bawaan dan tidak menggunakan antivirus dari vendor lain yang sekiranya lebih baik?

Dari berita" yang ane baca tampaknya sumber serangan dari ransomware ini juga masih belum ditemukan. Kalau dibaca dari analisis software" Lockbit pada umumnya kemungkinan sih serangan memanfaatkan RDP, serangan phishing, dst. Heran juga lembaga penting kaya gini terserang ransomware Lockbit yang setahu ane udah cukup populer baik yang menyerang individu atau server organisasi tertentu. Sejak 2019 udah banyak perusahaan luar yang terserang juga, yang paling besar setahu ane kasusnya Continental. Untuk pengguna komputer rumahan macam kita" yang sering memanfaatkan fitur remote desktop, apalagi yang lewat public network bisa lebih hati" lagi.