[INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA)

[Chikito]

Namanya orang indonesia, kayaknya lembaga itu kebanyakan bukan orang lulusan IT dan berkompeten. Kemudian karena bisa saja pengadaanya server juga tender bisa jadi penawaran yang murah dengankualitas keamanan rendah menjadi sangat menggiurkan. Karena banyaknya yang bukan ahli jadi ya ikut-ikut saja. Sudah saatnya milenial ahli dan bertanggung jawab ikut beraksi, bukan lagi generasi pengalaman tapi diluar bidang yang dipimpinya.

Tiap pengadaan baik itu barang atau jasa yang nominalnya di atas 200 juta wajib ditender, malah jika ditender justru bagus dan akan mempengaruhi kualitas itu sendiri dibanding penunjukan langsung oleh PPK atau KPA. Tapi ya karena ini Indonesia, bisa jadi pemenang tender sudah nyuap duluan biar perusahaan mereka menang proyek sehingga profitnya tidak maksimal dan kerjaan pun juga asal-asalan, mudah kena hack ransoware lockbit 3.0 (brain chiper) yang minta tebusan bitcoin.

[Husna QA]

Update terbaru mengenai peretasan Pusat Data Nasional:

Brain Cipher yang mengklaim bertanggungjawab dibalik peretasan Pusat Data Nasional, pada Rabu ini akan memberikan decryption key untuk membuka data yang diserang.
Pesannya cukup menohok:

We hope that our attack made it clear to you how important it is to finance the industry and recruit qualified specialists. -snip-

https://x.com/stealthmole_int/status/1807919279519813698

[Luzin]

We hope that our attack made it clear to you how important it is to finance the industry and recruit qualified specialists. -snip-

Pesan yang sangat penting untuk segera disadari dan diterapkan. Apakah ini murni diberikan secara cuma-cuma atau ada imbalan dibalik pemberian decryption key. Apakah hacker memang sengaja untuk mendapat keuntungan untuk dipercaya sebagai vendor keamanan di PDN? Nampanya mereka juga tetap membuka donasi dengan Monero walau nampaknya mereka tetap akan memberikan decryption key secara gratis. Uniknya lagi mereka bahkan meminta maaf atas kejaian ini yang merugikan banyak pihak.

[Husna QA]

We hope that our attack made it clear to you how important it is to finance the industry and recruit qualified specialists. -snip-

Pesan yang sangat penting untuk segera disadari dan diterapkan. Apakah ini murni diberikan secara cuma-cuma atau ada imbalan dibalik pemberian decryption key. Apakah hacker memang sengaja untuk mendapat keuntungan untuk dipercaya sebagai vendor keamanan di PDN? Nampanya mereka juga tetap membuka donasi dengan Monero walau nampaknya mereka tetap akan memberikan decryption key secara gratis. Uniknya lagi mereka bahkan meminta maaf atas kejaian ini yang merugikan banyak pihak.

Ya, pemerintah harusnya bisa belajar dari kasus tersebut.

Biasanya setahu saya orang-orang semacam itu (programmer) berfikir rasional, logis dan tidak banyak basa-basi. Jadi ketika mereka menjanjikan akan memberikan decryption key-nya secara gratis maka kemungkinan besar mereka memang akan berusaha menepatinya.

Penetration testing terkadang perlu dilakukan untuk mengetahui apakah masih ada celah pada sistem keamanan data, sebelum terlambat dan didahului diretas oleh yang tidak bertanggung jawab sama sekali.

Contoh lain, theymos bahkan pernah juga mengadakan security bounties dan menyiapkan reward bagi yang berhasil menemukan kerentanan keamanan di Bitcointalk.org:
https://bitcointalk.org/sbounties.php

[Chikito]

We hope that our attack made it clear to you how important it is to finance the industry and recruit qualified specialists. -snip-

Pesan yang sangat penting untuk segera disadari dan diterapkan. Apakah ini murni diberikan secara cuma-cuma atau ada imbalan dibalik pemberian decryption key. Apakah hacker memang sengaja untuk mendapat keuntungan untuk dipercaya sebagai vendor keamanan di PDN? Nampanya mereka juga tetap membuka donasi dengan Monero walau nampaknya mereka tetap akan memberikan decryption key secara gratis. Uniknya lagi mereka bahkan meminta maaf atas kejaian ini yang merugikan banyak pihak.

Hacker itu rata-rata polos, apa lagi hacker yang mempunyai komunitas untuk menguji sebuah security pemerintahan. Namun di satu sisi harus ada pembelajaran agar ke depannya tidak terulang kembali. Baiknya pemerintah mulai intens bertanya dan mengajak hacker-hacker ini berdiskusi lebih lanjut cara mengamankan situs mereka. Bila perlu dikasih reward agar hacker ini bekerja maksimal dan berusaha mencari celah bug-bug di situs pemerintahan. Dan apa salahnya juga mengajak mereka untuk menjadi bagian dari pengamanan situs, karena experience mereka lebih banyak dan paham apa-apa saja yang harus dipersiapkan supaya kejadian tidak terulang.

[Luzin]

Ya, pemerintah harusnya bisa belajar dari kasus tersebut.

Biasanya setahu saya orang-orang semacam itu (programmer) berfikir rasional, logis dan tidak banyak basa-basi. Jadi ketika mereka menjanjikan akan memberikan decryption key-nya secara gratis maka kemungkinan besar mereka memang akan berusaha menepatinya.

Akibat msalah peretasan PDN ini walau sudah dikembalikan, ada isu ini dilakukan untuk penghapusan data politik atau data kecurangan politik pemilu. Korban lain adalah Semuel Abrijani Pangarepan sebagai direktur jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika, menyatakan pengunduran diri.

Kelihatannya juga banyak msayrakat yang meminta, para pekerja di bidan PDN adalah mereka adalah seorang profesional di bidangnya. Bukan saja mementingkan urusan politik dengan mengangkat pejabat tidak berkompeten. Bahkan Kemenpan RB mengajukan usulan untuk pengelolaan PDN dibuat sebuah unit pelaksana khusus.

Sumber:
1. https://nasional.kompas.com/read/2024/06/25/17182341/belajar-dari-ransomware-pdn-pakar-sektor-kritikal-baiknya-diisi-profesional?page=all
2. https://mediaindonesia.com/politik-dan-hukum/681451/kemenpan-rb-akan-buat-unit-khusus-untuk-mengelola-pdn
3. https://kumparan.com/kumparannews/dirjen-aptika-kominfo-semuel-mundur-kasus-pdn-itu-tanggung-jawab-saya-233uI3s20Q9

[Chikito]

Bahkan Kemenpan RB mengajukan usulan untuk pengelolaan PDN dibuat sebuah unit pelaksana khusus.

Kalau saya usul sih bukan ke UPT yang masih bernaung pada kementerian eselon 1, seharusnya bidang IT di Indonesia ini tidak disatukan dengan kemenkoinfo yang kerjaannya luas sampai ke media-media. Baiknya (di zaman teknologi IT sudah semakin massive), harus dibikin badan baru (setingkat kementerian) agar fokusnya ke situ saja dan tidak meluas sampai ke sosmed-sosmed. Kalau itu terjadi, saya yakin perkembangan teknologi digital kayak blockchain akan berkembang pesat, dan Indonesia bisa jadi pioner negara lain, dan bahkan jadi kiblat dunia dalam hal crypto.

[joniboini]

Ane rasa untuk diskusi masalah kasus peretasan data itu bisa dibuatkan thread tersendiri, karena pembahasannya bisa melebar ke masalah politik dan struktur organisasi negara dan bukannya fokus ke malware/virus yang digunakan untuk menyerang komputer milik pemerintah. Mungkin bisa dibuat di sub topik lainnya kalau ga bersangkutan langsung dengan kripto.

[joniboini]

Hasil riset dari Zimperium kabarnya menemukan kalau hacker secara aktif menggunakan HP Android sebagai agen penyebaran/penyerangan malware sejak 2022[1]. Malware ini target utamanya adalah menangkap OTP/kode 2FA dan sejenisnya dan mengambil alih akses akun yang berhasil diretas. Penyebaran utamanya tampaknya dari iklan palsu yang menawarkan apk tertentu, dan juga lewat bot Telegram yang menawarkan aplikasi crack untuk Android.

Sementara itu, aplikasi malware yang juga aktif sejak 2022 baru saja diremove oleh Google setelah didownload lebih dari ribuan kali oleh penggunanya. Salah satu apps yang mengandung malware Mandrake ini adalah AirFS[2]. Buat yang hobi download aplikasi dengan jumlah download yang relatif sedikit, sebaiknya hati-hati dan double check lagi sebelum menginstall aplikasi tersebut.

[1] https://www.bleepingcomputer.com/news/security/massive-sms-stealer-campaign-infects-android-devices-in-113-countries/
[2]. https://www.bleepingcomputer.com/news/security/android-spyware-mandrake-hidden-in-apps-on-google-play-since-2022/

[Chikito]

Malware ini target utamanya adalah menangkap OTP/kode 2FA dan sejenisnya dan mengambil alih akses akun yang berhasil diretas.

Artinya jika ada OTP (misal dari exchange) lewat sms atau email, nomor OTP tersebut tidak masuk lagi ke penggunanya?, atau masuk kedua-duanya. Artinya mana yang paling cepat untuk mengakses akun antara pengguna asli dan hacker. Saya rasa virus ini cukup canggih, apa lagi jika mampu masuk ke nomor provider segala, soalnya untuk akses OTP kan melibatkan juga pihak penyedia ketiga kayak telkomsel, atau google (jika masuk gmail), ya mungkin nomor OTP yang masuk di HP yang kena virus tersebut bukan yang asli, karena yang benarnya sudah masuk dulu ke sistemnya hacker.

[joniboini]

Yang ane pahami sih masuk kedua-duanya, cuma hackernya bisa masang bot buat input lebih cepat kalau emang mau hack akun tertentu. Yang ane pahami mereka ga sampai redirect tau intercept SMS dan mengirim sms palsu sih, jadinya ya sama aja kayak malware keylogger/data stealer lain cuma lebih susah terdeteksi aja dan penyebarannya luas. Salah satu nomor HP yang ane punya juga akhir" ini sering banget dikirimi SMS scam OTP untuk akun Amazon padahal ane ga login sama sekali. Cuma ga tahu ini malware yang sama atau karena provider ane ngebocorin nomor HP ane ke pihak tertentu.

[Chikito]

Yang ane pahami sih masuk kedua-duanya, cuma hackernya bisa masang bot buat input lebih cepat kalau emang mau hack akun tertentu. Yang ane pahami mereka ga sampai redirect tau intercept SMS dan mengirim sms palsu sih, jadinya ya sama aja kayak malware keylogger/data stealer lain cuma lebih susah terdeteksi aja dan penyebarannya luas. Salah satu nomor HP yang ane punya juga akhir" ini sering banget dikirimi SMS scam OTP untuk akun Amazon padahal ane ga login sama sekali. Cuma ga tahu ini malware yang sama atau karena provider ane ngebocorin nomor HP ane ke pihak tertentu.

Yang begini biasanya ngacak mas, dulu juga saya sering dapat OTP gak jelas padahal saya sama sekali tidak punya akun ke situ. Dulu itu saya sering isi pulsa di konter HP, mungkin salah satu dampak bocornya nomor saya itu dari sana. Kalau untuk virus kemungkinan memang bukan, apa lagi kalau bersangkutan tidak punya akun sama sekali di website tersebut. Ya paling kalau beruntung si hacker akan dapat detil informasi pengguna jika diselipkan link yang berbarengan dengan nomor OTP lewat SMS.

[joniboini]

Bisa jadi begitu gan. Ane ga riset masalah itu lebih lanjut sih. Btw beberapa hari terakhir berita yang berkaitan dengan phishing crypto banyak juga. Mulai dari FBI yang mewanti" untuk hati" supaya ga ketipu scammer yang berlagak seperti pegawai exchange[1] sampai penyebaran malware lewat StackExchange[2]. Buat yang sering make SE terutama nanya" masalah Python sebaiknya hati" jangan asal klik link untuk download package. Pastikan download hanya lewat sumber yang udah terverifikasi sama komunitas. Khususnya buat yang terlibat sama development Raydium dan Solana. Dari SS yang beredar tampaknya package ini lolos deteksi Windows Defender juga. So be careful.

[1] https://www.bleepingcomputer.com/news/security/fbi-warns-of-scammers-posing-as-crypto-exchange-employees/
[2] https://www.bleepingcomputer.com/news/security/stackexchange-abused-to-spread-malicious-pypi-packages-as-answers/

[Luzin]

Baru saja baca dibinance square ditemukan virus baru bernama Styx Stealer. Perusahaan Check Point Research  yang bergerak dalam bidang keamanan windows menemukan virus ini. Styx Stealer mengincar kerentanan pada Windows Devender. Styx Stealer ini bekerja dengan mekanisme 'clipping'. Styx ini menargetkan file user, cokies, dan  tentu termasuk dompet crypto.


Sumber :
1. https://www.binance.com/id/square/post/2024-08-17-new-malware-styx-stealer-targets-cryptocurrency-12269984828770
2. https://cointelegraph.com/news/styx-stealer-malware-targets-cryptocurrency

[Chikito]

Baru saja baca dibinance square ditemukan virus baru bernama Styx Stealer. Perusahaan Check Point Research  yang bergerak dalam bidang keamanan windows menemukan virus ini. Styx Stealer mengincar kerentanan pada Windows Devender. Styx Stealer ini bekerja dengan mekanisme 'clipping'. Styx ini menargetkan file user, cokies, dan  tentu termasuk dompet crypto.

Oleh karena dicek dan recheck 2 sampai 3 kali alamat yang hendak dikirim sebelum tekan tombol sign and broadcast. Setahu saya Styx ini malware lama yang upgrade dari malware Phemedrone Stealer [1]. cuma ditambah fitur baru yaitu teknik penghindaran deteksi baru dan penambahan fungsi crypto clipper. Jadi ya, jika ada pengguna baru yang belum update windows defendernya setahun lalu, diharapkan update yang terbaru supaya terhindar malware jenis ini.

[1]. https://www.chainsightnews.com/post/malware-styx-stealer-ditemukan-di-windows-menargetkan-aset-kripto

[rat03gopoh]

Sekedar pengingat untuk Windows user yang belum notice berita forum

All versions of Windows are affected by a critical security bug; make sure you update.

Tingkat kerentanan: KRITIS

Daftar produk Microsoft yang terdampak: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38063
Dan untuk mengunduh patch updatenya: https://catalog.update.microsoft.com/Search.aspx?q=KB5041580
unduh sesuai dengan versi windowsnya ya(cek di Win+R > dxdiag), jangan unduh semua. Setelah diunduh, klik dua kali lalu tunggu prosesnya hingga selesai.

Sekian trims.

[joniboini]

unduh sesuai dengan versi windowsnya ya(cek di Win+R > dxdiag), jangan unduh semua. Setelah diunduh, klik dua kali lalu tunggu prosesnya hingga selesai.

Bisa dicek juga apakah updatenya memang belum keinstall atau belum download. Btw cek command juga bisa pake "winver" atau klik about PC sesuai Windows yang agan pake. Lebih lanjut bisa dicek ke thread update Windows yang juga udah ada di mainboard sub Indo.

[Luzin]

Tadi sempet baca di thread  Beginners & Help tentang Cthulhu Stealer Malware for macOS. Virus atau Malware ini menargetkan untuk MacOS dengan nama Cthulhu Stealer.  Targetnya juga sama mencuri data termasuk data wallet crypto.

Cthulhu Stealer is an Apple disk image (DMG) that is bundled with two binaries, depending on the architecture. The malware is written in GoLang and disguises itself as legitimate software. Once the user mounts the dmg, the user is prompted to open the software. After opening the file, osascript, the macOS command-line tool for running AppleScript and JavaScript is used to prompt the user for their password.

Sumber:

1. https://bitcointalk.org/index.php?topic=5507576.msg0#new
2. https://www.cadosecurity.com/blog/from-the-depths-analyzing-the-cthulhu-stealer-malware-for-macos

[Husna QA]

Tadi sempet baca di thread  Beginners & Help tentang Cthulhu Stealer Malware for macOS. Virus atau Malware ini menargetkan untuk MacOS dengan nama Cthulhu Stealer.  Targetnya juga sama mencuri data termasuk data wallet crypto.

Cthulhu Stealer is an Apple disk image (DMG) that is bundled with two binaries, depending on the architecture. The malware is written in GoLang and disguises itself as legitimate software. Once the user mounts the dmg, the user is prompted to open the software. After opening the file, osascript, the macOS command-line tool for running AppleScript and JavaScript is used to prompt the user for their password.

Sumber:

1. https://bitcointalk.org/index.php?topic=5507576.msg0#new
2. https://www.cadosecurity.com/blog/from-the-depths-analyzing-the-cthulhu-stealer-malware-for-macos

Cukup banyak juga data yang menjadi target pencuriannya. Saya sendiri pengguna MacOS, memang untuk aplikasi yang hendak di install pada umumnya akan dimunculkan jendela untuk meminta persetujuan install aplikasi dengan menginput password user.

Nah, input password dari Cthulhu Stealer ini rada aneh, karena yang diminta justru update system setting pada system preferences untuk bisa membuka aplikasinya.

Biasanya kalau memang diarahkan ke system preference untuk keperluan izin akses, maka untuk membuka password bukan seperti di atas, melainkan melalui proses unlock (klik icon gembok), baru kemudian men-ceklis opsi yang akan diaktifkan; Contoh:



Kemudian, hal aneh berikutnya adalah muncul second prompt yang meminta user memasukkan password Metamask;

Bagaimana kalau user tidak pernah menginstall Metamask?; Kalaupun memang sudah terinstall aplikasinya, biasanya untuk input password Metamask itu ketika add-on nya dibuka di browser, dan tidak melalui prompt seperti di atas.

Poin-nya, dalam hal ini pengguna MacOS yang menjadi target malware seperti di atas, agar ketika muncul jendela untuk input password user, minimalnya diteliti terlebih dulu tujuannya untuk apa.

[Chikito]

Bagaimana kalau user tidak pernah menginstall Metamask?; Kalaupun memang sudah terinstall aplikasinya, biasanya untuk input password Metamask itu ketika add-on nya dibuka di browser, dan tidak melalui prompt seperti di atas.

Kalau saya analisa sih tujuan awal virus ini sepertinya untuk mengumpulkan password user pengguna MacOS. Kalau pengguna kena, dan nginput password tersebut, maka data akan terekam, sehingga jika suatu waktu dibutuhkan, hacker bisa mengakses apa pun yang ada di komputer tersebut dengan password tersebut. Karena mungkin anggapan mereka, user biasanya hanya menggunakan 1 password untuk seluruh akun.

Saya akui, dulu itu saya pernah pakai akun email pakai dengan password yang sama dengan akun exchange, dan akun bitcointalk. Tujuannya supaya tidak lupa saja. Tapi hal ini jelas sangat beresiko, apa lagi jika kena malware cthulhu stealer ini sehingga hacker dapat dengan mudah mengakses apa pun login akun baik itu wallet, email dsb. Jadi, baiknya walau tidak terkan virus ini, diusahakan tiap akun dibedakan passwordnya, bila perlu dipakaikan 2fa biar keamanannya berlapis.