[INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA)

[joniboini]

-snip-

Model distribusinya ane lihat serupa dengan malware lain, yaitu menyerupai aplikasi popular kayak Adobe, GTA dkk. Ga tau apakah disebarin juga lewat phishing atau e-mail spam, tapi kalau agan download dari situs official kemungkinan bisa menghindari malware ini. Harusnya kalau usernya agak jeli dikit bisa dengan mudah mengantisipasi DMG yang mengandung image berbahaya begini. Ane sendiri pengguna MacOS yang pernah nyoba nyari aplikasi crack dkk juga tapi tahu kalau aplikasi yang ane download aneh kalau minta info" aneh lewat window kaya di atas.

[algi32]

Apa ada update virus terbaru ndak?

[Husna QA]

Apa ada update virus terbaru ndak?

Mengenai informasi virus ataupun terkait berita keamanan web dan semisalnya, antara lain agan bisa lihat juga di www.bleepingcomputer.com.

Dulu ketika PC kantor terkena virus Grovat (https://bitcointalk.org/index.php?topic=5090319.msg50516790#msg50516790), saya pernah juga konsultasi dengan salah satu kontributornya, Michael Gillespie (@demonslay335).

Informasi terbaru mengenai virus/malware yang terkait cryptocurrency, saya lihat ada malware android: SpyAgent.
https://www.bleepingcomputer.com/news/security/spyagent-android-malware-steals-your-crypto-recovery-phrases-from-images/

Malware ini menggunakan teknologi optical character recognition (OCR) untuk membaca screenshot yang berisi seed phrase dan tersimpan di smartphone.
Jika user yang tidak sembarang menyimpan data penting seperti seed phrase dalam bentuk gambar ataupun teks di smartphone mungkin lebih sedikit terdampaknya meskipun ada juga beberapa resiko lainnya jika smartphone android-nya sudah terinfeksi malware ini.

Once it infects a new device, SpyAgent begins sending the following sensitive information to its command and control (C2) server:

• Victim’s contact list, likely for distributing the malware via SMS originating from trusted contacts.
• Incoming SMS messages, including those containing one-time passwords (OTPs).
• Images stored on the device to use for OCR scanning.
• Generic device information, likely for optimizing the attacks.

SpyAgent can also receive commands from the C2 to change the sound settings or send SMS messages, likely used to send phishing texts to distribute the malware.

[joniboini]

Apa ada update virus terbaru ndak?

Seperti yang dibilang sama om Husna di atas, agan bisa cek manual kalau belum ada yang post di sini. Toh kebanyakan member yang post update kan juga nyantumin linknya. Ini beberapa berita yang menurut ane menarik misalnya:

- Kabar kalau hacker dari Korea Utara memanfaatkan eksploit zero-day di aplikasi WPS versi Windows sejak 2023. Aplikasi yang punya kelemahan ini adalah versi 12.2.0.13110 (rilis Agustus 2023) sampai 12.1.0.16412 (rilis Maret 2024)[1]. Kingsoft, developer dari aplikasi ini mengklaim sudah memperbaiki masalah keamanan ini tapi ga pernah mempulikasikannya secara terbuka. Analisis lebih detail tentang model serangan yang pake eksploit ini bisa dibaca lebih lanjut disini[2]. Salah satu problem yang bisa muncul dari eksploit ini adalah hacker bisa mencuri file dari komputer kita, meremote komputer kita, dll. Walau ga secara eksplisit menargetkan pengguna kripto, ga ada salahnya kita waspada khususnya yang make aplikasi WPS dan berada di lingkungan enterprise/pemerintahan.

- Peningkatan aktivitas phishing via komen GitHub yang kalau ga salah udah pernah dibahas juga di forum ini[3]. Singkatnya jangan pernah download atau klik link yang aneh", apalagi kalau komennya bilang file itu adalah fix atau kode yang agan perlu untuk memperbaiki masalah di aplikasi agan.

- FBI lagi" memberikan peringatan buat mereka yang bekerja di sektor kripto agar hati" dengan serangan phishing. Kata mereka makin banyak upaya phishing baik untuk mencuri aset kripto dari perusahaan atau dari pekerja itu sendiri[4]. Secara tidak langsung ini berarti serangan dengan model social engineering merupakan salah satu model serangan paling efektif yang dipake sama hacker untuk mencuri kripto kita. Ga ada salahnya buat hati" juga walau kita ga kerja di perusahaan kripto sekalipun, apalagi kalau sebagian data kita udah tersebar di internet. Misalnya e-mail yang kita pake untuk daftar di exchange tertentu, dsj.

[1] https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-exploited-wps-office-zero-day-to-deploy-spyglace-malware/
[2] https://threatbook.io/blog/Analysis-of-APT-C-60-Attack-on-South-Korea
[3] https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/
[4] https://www.bleepingcomputer.com/news/security/fbi-warns-crypto-firms-of-aggressive-social-engineering-attacks/

[Luzin]

Hacker tidak kehabisan akal mereka memnfaatkan kekuatan hukum dari SEC untuk mendapat keuntungan dalam platform gemini kepada para penggunanya. Kemaren saya sempet baca di board Beginners & Help jika mereka menebar phinsing dan memanfaatkan kepanikan para pengguna gemini. Mereka mengincar seed phrase untuk menguras seluruh  isi wallet dengan mengirim email.

https://www.reddit.com/r/Bitcoin/comments/1fcw50v/psa_do_not_fall_for_this/

Sumber: https://bitcointalk.org/index.php?topic=5508815.msg64516098#msg64516098

[joniboini]

Berikut ini beberapa berita seputar malware dkk menarik yang ane baca di Bleepingcomputer:
1. Kabarnya ada kampanye khusus yang menargetkan pengguna kripto dengan melakukan berbagai serangan mulai dari meniru website apps tertentu, menipu user dengan aplikasi palsu, dan seterusnya. Dari berbagai macam model serangan ini mereka juga berusaha untuk mengunggah pencuri data yang khusus menarget wallet kripto kita, mengambil cookie browser, mengambil data browsing, dkk[1].
2. Di sisi lain kabarnya hacker berhasil memperbarui model serangan mereka untuk menyerang proteksi cookie di browser Chrome versi 129. Serangan ini bertujuan untuk mengambil cookie yang terproteksi jadi data login dkk bisa mereka ambil. Ada baiknya untuk segera memperbarui browser agan kalau agan make Chrome atau browser berbasis Chrome lainnya[2].
3. Seperti biasa, aplikasi android yang menyerupai aplikasi official untuk mencuri data kita terus saja bertebaran. Yang masuk berita ini kabarnya berkamuflase jadi berbagai macam apps kaya NordVPN, Google Chrome, dkk. Sekilas ane baca sih ga masuk Play Store, jadi kemungkinan yang kena serangan adalah kita yang sering download di situs pihak ketiga[3].

[1] https://www.bleepingcomputer.com/news/security/global-infostealer-malware-operation-targets-crypto-users-gamers/
[2] https://www.bleepingcomputer.com/news/security/infostealer-malware-bypasses-chromes-new-cookie-theft-defenses/
[3] https://www.bleepingcomputer.com/news/security/new-octo-android-malware-version-impersonates-nordvpn-google-chrome/

[taufik123]

3. Seperti biasa, aplikasi android yang menyerupai aplikasi official untuk mencuri data kita terus saja bertebaran. Yang masuk berita ini kabarnya berkamuflase jadi berbagai macam apps kaya NordVPN, Google Chrome, dkk. Sekilas ane baca sih ga masuk Play Store, jadi kemungkinan yang kena serangan adalah kita yang sering download di situs pihak ketiga[3].

Sama kayak kasus Malware yang nyusup jadi aplikasi Keyboard yang didalamnya ada malware Xenomorph dan parahnya lagi itu masuk ke di google playstore.
Tapi sekarang mungkin Google Playstore udah berbenah diri, Udah memperbarui Goolge Play Protect sehingga lebih selektif pada pendeteksian aplikasi yang menyamar.

Sekarang malware emang udah canggih-canggih, dan seperti yang sampean bahas itu mengenai Malware ExobotCompact (Octo2) yang menyamar jadi aplikasi  NordVPN, Google Chrome, dkk.

Octo2 lebih powerfull karena bisa melakukan peningkatan pada stabilitas sesi kendali jarak jauh ( RAT) saat melakukan serangan Pengambil alihan Perangkat,
dan meningkatkan teknik anti-deteksi dan anti-analisis.

Sekarang sebagai pengguna smartphone harus lebih aware sama keamanan dan jangan menginstal aplikasi yang gak jelas.
Atau pastikan semua keamanan perangkat update dan terkendali.

https://www.threatfabric.com/blogs/octo2-european-banks-already-under-attack-by-new-malware-variant

[Luzin]

Nampaknya keterbatasan akses aplikasi Binance di beberapa negara membuat para Hacker mencoba memanfaatkan keadaan untuk mencuri aset crypto. Saya barusan membaca di  Beginners & Help dengan judul Beware: Fake Binance desktop app. Mereka menyebarkan link tautan untuk download aplikasi Binance Desktop bahkan hebatnya nampaknya mereka berani mengeluarkan uang untuk situs itu untuk dipromosikan.

Code:

https://binance-desktop.com/en/downloads

Sumber: https://bitcointalk.org/index.php?topic=5511323.msg0#new

[Husna QA]

Nampaknya keterbatasan akses aplikasi Binance di beberapa negara membuat para Hacker mencoba memanfaatkan keadaan untuk mencuri aset crypto. Saya barusan membaca di  Beginners & Help dengan judul Beware: Fake Binance desktop app. Mereka menyebarkan link tautan untuk download aplikasi Binance Desktop bahkan hebatnya nampaknya mereka berani mengeluarkan uang untuk situs itu untuk dipromosikan.

Code:

https://binance-desktop.com/en/downloads

Sumber: https://bitcointalk.org/index.php?topic=5511323.msg0#new

Modus phishing dengan membuat nama domain yang hampir mirip dengan yang website official asli sudah seringkali terjadi. Point-nya user memang mesti jeli membaca address dari website yang dikunjunginya, terlebih kalau ada aktifitas download aplikasi dan semisalnya.

Mengenai keterbatasan akses Binance, mungkin bisa disiasati dengan menggunakan VPN, Tor browser, dll.
Di Binance sendiri setahu saya ada fitur "Binance Verify" untuk memeriksa link URL tertentu apakah terverifikasi dan resmi dari Binance atau tidak.

https://www.binance.com/en/official-verification; https://www.binance.info/en/official-verification

[joniboini]

Di Binance sendiri setahu saya ada fitur "Binance Verify" untuk memeriksa link URL tertentu apakah terverifikasi dan resmi dari Binance atau tidak.

Agak ngeri juga kalau link ini yang jadi sasaran DNS hijack atau sejenisnya. Kalau user ga punya kesadaran untuk verifikasi lewat berbagai metode ngeri juga kalau scammer nipu user dengan berlagak seolah situs verifikasi resmi tapi redirect link ke situs phishing lainnya.
Btw sehari setelah ane post beberapa berita di atas, ternyata ada berita baru yang berkaitan dengan penyebaran aplikasi WalletConnect palsu di Google Play Store[1]. Aplikasi ini udah terdownload lebih dari sepuluh ribu kali, tapi untungnya udah ditakedown setelah dilaporkan sama salah satu researcher keamanan. Keknya masih lemah aja itu fitur filter aplikasi di Google, sampai aplikasi palsu bertahan sampe berbulan-bulan.

[1] https://www.bleepingcomputer.com/news/security/fake-walletconnect-app-on-google-play-steals-android-users-crypto/

[Husna QA]

Di Binance sendiri setahu saya ada fitur "Binance Verify" untuk memeriksa link URL tertentu apakah terverifikasi dan resmi dari Binance atau tidak.

Agak ngeri juga kalau link ini yang jadi sasaran DNS hijack atau sejenisnya. Kalau user ga punya kesadaran untuk verifikasi lewat berbagai metode ngeri juga kalau scammer nipu user dengan berlagak seolah situs verifikasi resmi tapi redirect link ke situs phishing lainnya.

Ya juga. Maka dari itu, link untuk verifikasi yang disediakan Binance tersebut harus sudah cukup tangguh dari sasaran semisal DNS hijack seperti disebutkan di atas.
Btw, barusan saya coba cek link situs https://binance-desktop.com/en/downloads sebagaimana yang dibagikan agan Luzin di atas, berikut ini hasilnya:



Dengan kata lain, langkah verifikasi tersebut cukup efektif untuk langkah awal memeriksa link apakah memang resmi dari Binance atau tidak. Tentunya kalau mau lebih yakin lagi, verifikasi dengan cara lain semisal konfirmasi langsung ke pihak Binance.

Note: Perhatikan juga beberapa tips sederhana pada screenshot tersebut untuk menghindari situs penipuan.

[Luzin]

Mengenai keterbatasan akses Binance, mungkin bisa disiasati dengan menggunakan VPN, Tor browser, dll.
Di Binance sendiri setahu saya ada fitur "Binance Verify" untuk memeriksa link URL tertentu apakah terverifikasi dan resmi dari Binance atau tidak.

https://www.binance.com/en/official-verification; https://www.binance.info/en/official-verification

Saya malah baru dengar mengenai verifikasi Link dari Binance. Saya belum juga mencobanya, tentunya banyak manfaat untuk para member Binance. Sedangkan untuk Tor saat ini memang saya belum mencoba, karena saya kebanyakan pakai HP jika melakukan transaksi. Untuk laptop atau PC biasanya untuk mempermudah visualisasi.
Kabar lain mengenai penangkapan Anggota LockBit Ransomware dan Evil Corp yang ditangkap dan Dikenai Sanksi. Mereka nampaknya sedang dalam misi bersama pengembangan ransomeware baru yang disebut Operasi Cronos.

Sumber: https://thehackernews.com/2024/10/lockbit-ransomware-and-evil-corp.html

[joniboini]

Buat agan" yang jadi pengelola server atau menjalankan server rumahan berbasis Linux ga ada salahnya untuk memastikan server agan ga terkena malware crypto miner yang baru saja teridentifikasi meski penyebarannya udah berlangsung selama kurang lebih tiga tahun[1]. Malware ini menargetkan berbagai macam opsi untuk menginfeksi server, mulai dari login, file config, dkk. Dampak yang paling kelihatan dari serangan ini sih komputer jadi mining bot untuk menambang Monero, walau bisa aja malware ini melakukan aksi lainnya dibalik layar.

[1] https://www.bleepingcomputer.com/news/security/linux-malware-perfctl-behind-years-long-cryptomining-campaign/

[joniboini]

Berikut berita beberapa hari terakhir yang menurut ane cukup menarik:

1. Banyaknya korban malware kripto di area Eurasia[1] yang menunjukkan banyaknya orang yang masih belum sepenuhnya waspada terkait serangan malware kripto yang didistribusikan lewat stream aplikasi palsu lewat Youtube, iklan, repo Github,download aplikasi dengan crack, dkk. Di Indo sendiri keknya banyak website download crack dan semacamnya, jadi selalu waspada dan jangan lengah meskipun agan udah sering download dari situs tertentu dan ga pernah kenapa" sebelumnya.
2. Malware TrickMo yang mulai ngetren lagi karena salah satu serangannya adalah upaya untuk mencuri PIN pengguna lewat lockscreen palsu[2]. Model serangan kaya gini keknya pernah juga dishare sebelumnya dan malware TrickMo sendiri udah terdeteksi sejak 2019. Dari heatmap yang ada Indonesia termasuk negara dengan korban yang cukup banyak sepertinya, jadi kita harus lebih hati". Metode penyebaran malware ini sendiri tampaknya melalui phising, jadi hati" kalau dapet link aneh baik dari user yang agan kenal atau engga entah di forum atau WA/apps lain.
3. Google Play Store tampaknya butuh kerja lebih keras untuk memfilter malware yang bisa didownload secara resmi lewat store mereka, karena salah satu data menunjukkan lebih dari 200 aplikasi berbahaya sudah didownload ratusan kali oleh pengguna Android[3]. Target utama aplikasi malware ini tampaknya di US dan Canada, walau bisa jadi ini bias karena kurang sampel dari negara lain saja. Yang penting stay safe dan selalu double check kalau mau download aplikasinya, meski developernya terlihat terpercaya sekalipun. CMIIW.

[1] https://www.bleepingcomputer.com/news/cryptocurrency/crypto-stealing-malware-campaign-infects-28-000-people/
[2] https://www.bleepingcomputer.com/news/security/trickmo-malware-steals-android-pins-using-fake-lock-screen/
[3] https://www.bleepingcomputer.com/news/security/over-200-malicious-apps-on-google-play-downloaded-millions-of-times/

[joniboini]

Berikut beberapa berita seputar malware/breach/exploit yang menurut ane menarik. Kebanyakan ga berkaitan langsung dengan kripto sih tapi ane rasa peluang eksploit dan malware serupa menargetkan kripto cukup besar:

1. Peneliti keamanan dari ETH Zurich telah menerbitkan hasil riset mereka yang mengatakan kalau beberapa provider penyimpanan data cloud memiliki kelemahan dalam enkripsi end-to-end yang mereka pakai untuk mengamankan data pelanggan. Beberapa cloud storage yang dimaksud ada yang sudah memberikan respons akan melakukan update ada juga yang belum berkomentar apa". Untuk listnya bisa agan cek langsung disini, jujur ane belum pernah dengar nama cloud provider ini sekalipun tapi keknya pelanggannya cukup banyak juga. Barang kali agan" ada yang make[1]. Walau harusnya seed/private key ga disimpan di cloud kadang kan masih aja ada yang bandel.
2. Ribuan situs wordpress kabarnya jadi media hacker untuk melakukan serangan phishing atau mencuri data pelanggan.[2] Eksploit ini memanfaatkan plugin yang berhasil dihack oleh hacker, jadi kalau agan ada yang punya situs wordpress ga ada salahnya buat cek apakah plugin yang agan download itu termasuk yang dieksploitasi atau tidak. Ada beberapa nama yang familiar sih buat ane, khususnya yang bersangkutan sama SEO". Bisa bahaya kalau situs agan jadi media penyebaran phishing untuk nyuri password atau private key misalnya.
3. Beberapa aplikasi Android dan iOS ternyata memiliki auth keys yang digunakan sama developernya.[3] Hal ini sangat riskan karena hacker bisa saja memanfaatkan hal tersebut untuk login dan mengakses data pengguna. Sejauh yang ane pahami adanya auth keys ini bukan berarti data agan udah pasti dicuri orang, tapi ada baiknya nyari aplikasi alternatif yang punya prosedur pengamanan auth keys lebih baik. CMIIW.

[1] https://www.bleepingcomputer.com/news/security/severe-flaws-in-e2ee-cloud-storage-platforms-used-by-millions/
[2] https://www.bleepingcomputer.com/news/security/over-6-000-wordpress-hacked-to-install-plugins-pushing-infostealers/
[3] https://www.bleepingcomputer.com/news/security/aws-azure-auth-keys-found-in-android-and-ios-apps-used-by-millions/

[joniboini]

Berikut berita seputar kemanan seminggu terakhir yang menurut ane cukup penting buat agan" baca:

1. Hacker Lazarus kabarnya memanfaatkan tren game defi untuk menyerang kelemahan browser berbasis Google Chrome[1]. Kelemahan ini kabarnya sudah diperbaiki di update Maret 2024, tapi tidak ada salahnya untuk agan" memastikan apakah browser Chrome agan sudah punya patch yang mengatasi masalah ini atau tidak (CVE-2024-4947).
2. Masih buat pengguna Google Chrome, harus lebih hati" dalam menginstall ekstensi atau tools tertentu yang membutuhkan akses admin ke folder Google Chrome agan. Peneliti keamanan baru" ini merilis sebuah tools yang bisa membypass proteksi keamanan Google Chrome untuk membaca banyak hal seperti kuki, password, informasi pembayaran dkk[2]. Hal ini menunjukkan kemungkinan malware memanfaatkan celah yang sama untuk menyerang browser agan.
3. Di sisi lain, QNAP baru saja merilis update untuk aplikasi backup NAS mereka setelah sebelumnya tim hacker berhasil menemukan celah di aplikasi tersebut di event Pwn2Own 2024. Kalau agan pake NAS dari QNAP, khususnya yang menggunakan aplikasi HBS 3 Backup Sync pastikan agan udah update ke versi terbaru[3].

[1] https://www.bleepingcomputer.com/news/security/lazarus-hackers-used-fake-defi-game-to-exploit-google-chrome-zero-day/
[2] https://www.bleepingcomputer.com/news/security/new-tool-bypasses-google-chromes-new-cookie-encryption-system/
[3] https://www.bleepingcomputer.com/news/security/qnap-fixes-nas-backup-software-zero-day-exploited-at-pwn2own/

[Luzin]

Saya baru mendengar virus kucing hitam  . Virus ini dari rusia yang disebut BlackCat atau Noberus atau ALPHV ransomware. Meski dari tahun 2021 dan sampai saat ini terus berkembang lebih luas. BlackCat tahun 2023 berhasil menyerang Reddit dan Change Healthcare pada tahun 2024. Dalam Artikel yang saya baca BlackCat ini mampu menyesuaikan kerentanan yang dimiliki target. Bahkan BlackCat dianggap memiliki pegodean yang canggih. Mereka bahkan merekrut dengan model afiliasi yang terdesentralisasi, mereka merekrut peretas dari berbagai penjuru dunia. Sistem kerja mereka sebenarnya sama dengan masuk dalam sistem-mengenkripsi data, dan meminta tebusan dalam bentuk kripto.

Sumber: https://cointelegraph.com/explained/what-is-blackcat-ransomware-in-crypto