[INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA)

[joniboini]

-snip-

Model distribusinya ane lihat serupa dengan malware lain, yaitu menyerupai aplikasi popular kayak Adobe, GTA dkk. Ga tau apakah disebarin juga lewat phishing atau e-mail spam, tapi kalau agan download dari situs official kemungkinan bisa menghindari malware ini. Harusnya kalau usernya agak jeli dikit bisa dengan mudah mengantisipasi DMG yang mengandung image berbahaya begini. Ane sendiri pengguna MacOS yang pernah nyoba nyari aplikasi crack dkk juga tapi tahu kalau aplikasi yang ane download aneh kalau minta info" aneh lewat window kaya di atas.

[algi32]

Apa ada update virus terbaru ndak?

[Husna QA]

Apa ada update virus terbaru ndak?

Mengenai informasi virus ataupun terkait berita keamanan web dan semisalnya, antara lain agan bisa lihat juga di www.bleepingcomputer.com.

Dulu ketika PC kantor terkena virus Grovat (https://bitcointalk.org/index.php?topic=5090319.msg50516790#msg50516790), saya pernah juga konsultasi dengan salah satu kontributornya, Michael Gillespie (@demonslay335).

Informasi terbaru mengenai virus/malware yang terkait cryptocurrency, saya lihat ada malware android: SpyAgent.
https://www.bleepingcomputer.com/news/security/spyagent-android-malware-steals-your-crypto-recovery-phrases-from-images/

Malware ini menggunakan teknologi optical character recognition (OCR) untuk membaca screenshot yang berisi seed phrase dan tersimpan di smartphone.
Jika user yang tidak sembarang menyimpan data penting seperti seed phrase dalam bentuk gambar ataupun teks di smartphone mungkin lebih sedikit terdampaknya meskipun ada juga beberapa resiko lainnya jika smartphone android-nya sudah terinfeksi malware ini.

Once it infects a new device, SpyAgent begins sending the following sensitive information to its command and control (C2) server:

• Victim’s contact list, likely for distributing the malware via SMS originating from trusted contacts.
• Incoming SMS messages, including those containing one-time passwords (OTPs).
• Images stored on the device to use for OCR scanning.
• Generic device information, likely for optimizing the attacks.

SpyAgent can also receive commands from the C2 to change the sound settings or send SMS messages, likely used to send phishing texts to distribute the malware.

[joniboini]

Apa ada update virus terbaru ndak?

Seperti yang dibilang sama om Husna di atas, agan bisa cek manual kalau belum ada yang post di sini. Toh kebanyakan member yang post update kan juga nyantumin linknya. Ini beberapa berita yang menurut ane menarik misalnya:

- Kabar kalau hacker dari Korea Utara memanfaatkan eksploit zero-day di aplikasi WPS versi Windows sejak 2023. Aplikasi yang punya kelemahan ini adalah versi 12.2.0.13110 (rilis Agustus 2023) sampai 12.1.0.16412 (rilis Maret 2024)[1]. Kingsoft, developer dari aplikasi ini mengklaim sudah memperbaiki masalah keamanan ini tapi ga pernah mempulikasikannya secara terbuka. Analisis lebih detail tentang model serangan yang pake eksploit ini bisa dibaca lebih lanjut disini[2]. Salah satu problem yang bisa muncul dari eksploit ini adalah hacker bisa mencuri file dari komputer kita, meremote komputer kita, dll. Walau ga secara eksplisit menargetkan pengguna kripto, ga ada salahnya kita waspada khususnya yang make aplikasi WPS dan berada di lingkungan enterprise/pemerintahan.

- Peningkatan aktivitas phishing via komen GitHub yang kalau ga salah udah pernah dibahas juga di forum ini[3]. Singkatnya jangan pernah download atau klik link yang aneh", apalagi kalau komennya bilang file itu adalah fix atau kode yang agan perlu untuk memperbaiki masalah di aplikasi agan.

- FBI lagi" memberikan peringatan buat mereka yang bekerja di sektor kripto agar hati" dengan serangan phishing. Kata mereka makin banyak upaya phishing baik untuk mencuri aset kripto dari perusahaan atau dari pekerja itu sendiri[4]. Secara tidak langsung ini berarti serangan dengan model social engineering merupakan salah satu model serangan paling efektif yang dipake sama hacker untuk mencuri kripto kita. Ga ada salahnya buat hati" juga walau kita ga kerja di perusahaan kripto sekalipun, apalagi kalau sebagian data kita udah tersebar di internet. Misalnya e-mail yang kita pake untuk daftar di exchange tertentu, dsj.

[1] https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-exploited-wps-office-zero-day-to-deploy-spyglace-malware/
[2] https://threatbook.io/blog/Analysis-of-APT-C-60-Attack-on-South-Korea
[3] https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/
[4] https://www.bleepingcomputer.com/news/security/fbi-warns-crypto-firms-of-aggressive-social-engineering-attacks/

[Luzin]

Hacker tidak kehabisan akal mereka memnfaatkan kekuatan hukum dari SEC untuk mendapat keuntungan dalam platform gemini kepada para penggunanya. Kemaren saya sempet baca di board Beginners & Help jika mereka menebar phinsing dan memanfaatkan kepanikan para pengguna gemini. Mereka mengincar seed phrase untuk menguras seluruh  isi wallet dengan mengirim email.

https://www.reddit.com/r/Bitcoin/comments/1fcw50v/psa_do_not_fall_for_this/

Sumber: https://bitcointalk.org/index.php?topic=5508815.msg64516098#msg64516098

[joniboini]

Berikut ini beberapa berita seputar malware dkk menarik yang ane baca di Bleepingcomputer:
1. Kabarnya ada kampanye khusus yang menargetkan pengguna kripto dengan melakukan berbagai serangan mulai dari meniru website apps tertentu, menipu user dengan aplikasi palsu, dan seterusnya. Dari berbagai macam model serangan ini mereka juga berusaha untuk mengunggah pencuri data yang khusus menarget wallet kripto kita, mengambil cookie browser, mengambil data browsing, dkk[1].
2. Di sisi lain kabarnya hacker berhasil memperbarui model serangan mereka untuk menyerang proteksi cookie di browser Chrome versi 129. Serangan ini bertujuan untuk mengambil cookie yang terproteksi jadi data login dkk bisa mereka ambil. Ada baiknya untuk segera memperbarui browser agan kalau agan make Chrome atau browser berbasis Chrome lainnya[2].
3. Seperti biasa, aplikasi android yang menyerupai aplikasi official untuk mencuri data kita terus saja bertebaran. Yang masuk berita ini kabarnya berkamuflase jadi berbagai macam apps kaya NordVPN, Google Chrome, dkk. Sekilas ane baca sih ga masuk Play Store, jadi kemungkinan yang kena serangan adalah kita yang sering download di situs pihak ketiga[3].

[1] https://www.bleepingcomputer.com/news/security/global-infostealer-malware-operation-targets-crypto-users-gamers/
[2] https://www.bleepingcomputer.com/news/security/infostealer-malware-bypasses-chromes-new-cookie-theft-defenses/
[3] https://www.bleepingcomputer.com/news/security/new-octo-android-malware-version-impersonates-nordvpn-google-chrome/

[taufik123]

3. Seperti biasa, aplikasi android yang menyerupai aplikasi official untuk mencuri data kita terus saja bertebaran. Yang masuk berita ini kabarnya berkamuflase jadi berbagai macam apps kaya NordVPN, Google Chrome, dkk. Sekilas ane baca sih ga masuk Play Store, jadi kemungkinan yang kena serangan adalah kita yang sering download di situs pihak ketiga[3].

Sama kayak kasus Malware yang nyusup jadi aplikasi Keyboard yang didalamnya ada malware Xenomorph dan parahnya lagi itu masuk ke di google playstore.
Tapi sekarang mungkin Google Playstore udah berbenah diri, Udah memperbarui Goolge Play Protect sehingga lebih selektif pada pendeteksian aplikasi yang menyamar.

Sekarang malware emang udah canggih-canggih, dan seperti yang sampean bahas itu mengenai Malware ExobotCompact (Octo2) yang menyamar jadi aplikasi  NordVPN, Google Chrome, dkk.

Octo2 lebih powerfull karena bisa melakukan peningkatan pada stabilitas sesi kendali jarak jauh ( RAT) saat melakukan serangan Pengambil alihan Perangkat,
dan meningkatkan teknik anti-deteksi dan anti-analisis.

Sekarang sebagai pengguna smartphone harus lebih aware sama keamanan dan jangan menginstal aplikasi yang gak jelas.
Atau pastikan semua keamanan perangkat update dan terkendali.

https://www.threatfabric.com/blogs/octo2-european-banks-already-under-attack-by-new-malware-variant

[Luzin]

Nampaknya keterbatasan akses aplikasi Binance di beberapa negara membuat para Hacker mencoba memanfaatkan keadaan untuk mencuri aset crypto. Saya barusan membaca di  Beginners & Help dengan judul Beware: Fake Binance desktop app. Mereka menyebarkan link tautan untuk download aplikasi Binance Desktop bahkan hebatnya nampaknya mereka berani mengeluarkan uang untuk situs itu untuk dipromosikan.

Code:

https://binance-desktop.com/en/downloads

Sumber: https://bitcointalk.org/index.php?topic=5511323.msg0#new

[Husna QA]

Nampaknya keterbatasan akses aplikasi Binance di beberapa negara membuat para Hacker mencoba memanfaatkan keadaan untuk mencuri aset crypto. Saya barusan membaca di  Beginners & Help dengan judul Beware: Fake Binance desktop app. Mereka menyebarkan link tautan untuk download aplikasi Binance Desktop bahkan hebatnya nampaknya mereka berani mengeluarkan uang untuk situs itu untuk dipromosikan.

Code:

https://binance-desktop.com/en/downloads

Sumber: https://bitcointalk.org/index.php?topic=5511323.msg0#new

Modus phishing dengan membuat nama domain yang hampir mirip dengan yang website official asli sudah seringkali terjadi. Point-nya user memang mesti jeli membaca address dari website yang dikunjunginya, terlebih kalau ada aktifitas download aplikasi dan semisalnya.

Mengenai keterbatasan akses Binance, mungkin bisa disiasati dengan menggunakan VPN, Tor browser, dll.
Di Binance sendiri setahu saya ada fitur "Binance Verify" untuk memeriksa link URL tertentu apakah terverifikasi dan resmi dari Binance atau tidak.

https://www.binance.com/en/official-verification; https://www.binance.info/en/official-verification

[joniboini]

Di Binance sendiri setahu saya ada fitur "Binance Verify" untuk memeriksa link URL tertentu apakah terverifikasi dan resmi dari Binance atau tidak.

Agak ngeri juga kalau link ini yang jadi sasaran DNS hijack atau sejenisnya. Kalau user ga punya kesadaran untuk verifikasi lewat berbagai metode ngeri juga kalau scammer nipu user dengan berlagak seolah situs verifikasi resmi tapi redirect link ke situs phishing lainnya.
Btw sehari setelah ane post beberapa berita di atas, ternyata ada berita baru yang berkaitan dengan penyebaran aplikasi WalletConnect palsu di Google Play Store[1]. Aplikasi ini udah terdownload lebih dari sepuluh ribu kali, tapi untungnya udah ditakedown setelah dilaporkan sama salah satu researcher keamanan. Keknya masih lemah aja itu fitur filter aplikasi di Google, sampai aplikasi palsu bertahan sampe berbulan-bulan.

[1] https://www.bleepingcomputer.com/news/security/fake-walletconnect-app-on-google-play-steals-android-users-crypto/

[Husna QA]

Di Binance sendiri setahu saya ada fitur "Binance Verify" untuk memeriksa link URL tertentu apakah terverifikasi dan resmi dari Binance atau tidak.

Agak ngeri juga kalau link ini yang jadi sasaran DNS hijack atau sejenisnya. Kalau user ga punya kesadaran untuk verifikasi lewat berbagai metode ngeri juga kalau scammer nipu user dengan berlagak seolah situs verifikasi resmi tapi redirect link ke situs phishing lainnya.

Ya juga. Maka dari itu, link untuk verifikasi yang disediakan Binance tersebut harus sudah cukup tangguh dari sasaran semisal DNS hijack seperti disebutkan di atas.
Btw, barusan saya coba cek link situs https://binance-desktop.com/en/downloads sebagaimana yang dibagikan agan Luzin di atas, berikut ini hasilnya:



Dengan kata lain, langkah verifikasi tersebut cukup efektif untuk langkah awal memeriksa link apakah memang resmi dari Binance atau tidak. Tentunya kalau mau lebih yakin lagi, verifikasi dengan cara lain semisal konfirmasi langsung ke pihak Binance.

Note: Perhatikan juga beberapa tips sederhana pada screenshot tersebut untuk menghindari situs penipuan.