[INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA)

[joniboini]

Sepertinya trik nipu user pake iming" "leaked code" masih ada juga. Dari yang ane baca ada penyebaran serangan baru dimana scammer mendistribusikan kode JS berbahaya dengan klaim leaked code swap platform tertentu dimana user bisa mendapatkan ribuan USD kalau mengaktifkan kode tersebut di browser mereka[1]. Tentunya kodenya berbahaya dan targetnya adalah membuat korban ngirim koinnya ke alamat exchange palsu yang mereka siapkan.

Di sisi lain, scammer juga memanfaatkan Google Group untuk menyebarkan malware Lumma Stealer dan Ninja Browser yang target utamanya adalah mencuri data pengguna[2]. Data yang diincar adalah password yang kita simpan di browser, cookies, dan data sensitif lainnya. Tetap waspada dan jangan asal download software yang bersebaran di sosial media, apalagi kalau linknya pake banyak redirector.

[1] https://www.bleepingcomputer.com/news/security/pastebin-comments-push-clickfix-javascript-attack-to-hijack-crypto-swaps/
[2] https://www.bleepingcomputer.com/news/security/ctm360-lumma-stealer-and-ninja-browser-malware-campaign-abusing-google-groups/

[Husna QA]

Hati-Hati!

Situs Phising Electrum Core

Berikut ini beberapa link terkait:

electrumcore.org
t.me/electrumcore
github.com/michaeltrevino800/electrum
https://www.youtube.com/watch?v=VLLcCKGnbnQ




Hati-hati juga pada aplikasi Electrum yang ada di AppStore, karena hingga saat ini Electrum belum merilis untuk versi iOS*.
Jangan sampai kejadian seperti yang dialami user berikut ini:

-snip-
On February 1, 2026, I downloaded the Electrum Wallet app from the App Store.
When I launched the app, it asked for my seed phrase. I already had a wallet on Android and merely wanted to access my account. I entered the seed phrase, but nothing happened.
The next day, I checked my Android device again and discovered that all my funds were gone.

Pastikan gunakan direct link yang ada di situs resmi Electrum (https://electrum.org/#download) dan tidak mencari manual aplikasinya langsung di PlayStore ataupun AppStore


*

-snip-

Sebenarnya saya lebih suka kalau mereka itu bikin aplikasi electrum untuk IOS dari pada coinjoin.

Entah kapan Electrum tersedia untuk iOS mengingat statusnya masih "coming soon" sedari 2016 lalu sejak Electrum versi Android sudah terlebih dulu hadir.

Electrum, Bitcoin's popular lightweight wallet, launched a new version of its software this week. Apart from a desktop client, Electrum 2.6 is now available on Android as well, with an iOS version soon to come.

Saya coba dengarkan wawancara Thomas Voegtlin di podcast https://btcpodcasting.com/@anitaposch/episodes/thomas-voegtlin mulai menit 29.45 "Differences between desktop and smartphone Electrum wallet" bahkan plan untuk Electrum versi iOS tidak disinggung sama sekali.

[Luzin]

Pastikan gunakan direct link yang ada di situs resmi Electrum (https://electrum.org/#download) dan tidak mencari manual aplikasinya langsung di PlayStore ataupun AppStore

Saya malah baru membaca jika ada electrum core, setahu saya electrum belum ada versi electrum core. Mirip dengan Electrum aslinya untuk logonya, pastinya untuk orang awam dan pengguna baru nampak seperti asli. Bisa jadi ini memanfaatkan momen juga untuk para pengguna IOS karena saya pikir mereka sedang menunggu. Jadi nampaknya penting sekali direct link pada setiap aplikasi. Ini agar tidak salah mengunduh aplikasi aplikasi palsu yang berhubungan dengan crypto. Maaf OOT om @Husna apakah di Board Utama ini sudah pernah ada topik kumpulan direct link ke aplikasi aplikasi yang berhubungan dengan crypto?   

[Husna QA]

Pastikan gunakan direct link yang ada di situs resmi Electrum (https://electrum.org/#download) dan tidak mencari manual aplikasinya langsung di PlayStore ataupun AppStore

Saya malah baru membaca jika ada electrum core, setahu saya electrum belum ada versi electrum core. Mirip dengan Electrum aslinya untuk logonya, pastinya untuk orang awam dan pengguna baru nampak seperti asli. Bisa jadi ini memanfaatkan momen juga untuk para pengguna IOS karena saya pikir mereka sedang menunggu. Jadi nampaknya penting sekali direct link pada setiap aplikasi. Ini agar tidak salah mengunduh aplikasi aplikasi palsu yang berhubungan dengan crypto. Maaf OOT om @Husna apakah di Board Utama ini sudah pernah ada topik kumpulan direct link ke aplikasi aplikasi yang berhubungan dengan crypto?   

Saya tidak tahu om, apakah sudah ada yang membuat thread seperti itu—mengumpulkan link resmi dari berbagai aplikasi terkait kripto—mungkin bisa di search menggunakan tool https://ninjastic.space/search.

Menggunakan direct link dari situs resmi aplikasi bisa meminimalisir kejadian user menemukan aplikasi palsu.
Contoh, Electrum Android, meskipun bisa saja mengetik langsung di Playstore dengan kata kunci "Electrum" (dulu saya pernah mendapati beberapa aplikasi Electrum palsu), akan jauh lebih aman jika yang digunakan pertama kali adalah link yang disediakan dari official websitenya yang kemudian mengarahkan ke aplikasi di Playstore.

[joniboini]

Buat pengguna iOS, apakah familiar dengan malware Predator? Yang ane baca malware ini cukup sulit untuk dideteksi orang awam karena bisa menonaktifkan indikasi recording kamera usernya[1]. Model operasinya adalah mengumpulkan data lewat kamera dan mic tanpa ada indikasi kalau perangkat agan sedang merekam sama sekali. Dari yang ane baca sih exploit ini memanfaatkan kernel-level access dan sebelumnya dipake untuk mengeksploitasi zero-day attacks di iOS.

Di tempat lain, kabarnya AI juga udah mulai dipake untuk mengembangkan malware dan serangan phishing lainnya. Salah satunya adalah hasil temuan Amazon yang mengklaim kalau firewall Fortinet telah berhasil ditembus oleh hacker dengan bantuan AI dalam 5 minggu terakhir[2]. Malware Android juga kabarnya memanfaatkan Gemini untuk meningkatkan survivabilitas[3]. Agak kaget sih karena yang dipake Gemini (rate APInya sangat terbatas padahal). CMIIW.

[1] https://www.bleepingcomputer.com/news/security/predator-spyware-hooks-ios-springboard-to-hide-mic-camera-activity/
[2] https://www.bleepingcomputer.com/news/security/amazon-ai-assisted-hacker-breached-600-fortigate-firewalls-in-5-weeks/
[3] https://www.bleepingcomputer.com/news/security/promptspy-is-the-first-known-android-malware-to-use-generative-ai-at-runtime/

[joniboini]

Beberapa hari terakhir keknya berita seputar databreach makin banyak, sebagian diantaranya berkaitan dengan ransomware dan sejenisnya. Misalnya yang satu ini[1]. Agak disayangkan karena kalau ane ga salah baca, target yang satu ini juga pernah jadi korban serangan ransomware beberapa tahun sebelumnya (walau jumlah korbannya lebih sedikit.

Di sisi lain serangan phishing atau app palsu juga bermunculan dari laporan minggu kemarin. Misalnya extension QuickLens yang kabarnya mencuri kripto penggunanya[2]. Dari yang ane baca sepertinya model serangannya mirip dengan kasus chain attack yang pernah terjadi sebelumnya, dimana developer mempublish app yang berisi malware. Walau untuk kasus ini sepertinya devnya sendiri sudah berganti sebelum serangan ini terjadi, jadi ga tahu ini dev baru emang sengaja melakukan serangan kayak gini atau tidak.

Bicara soal kelalain, ada keteledoran baru lagi di badan perpajakan Korea Selatan yang mengekspos seed phrase di laporan pajak. Jadinya aset kripto sitaan mereka dicuri orang deh[3]. Jadi ingat kabar sebelumnya seputar keamanan HW yang diragukan karena kasus serupa yang terjadi di Korsel juga. Buat agan" jangan sampe mengulangi kesalahan fatal kek gini, apalagi hal ini mudah banget dihindari selama orangnya ga ngantuk 24/7.

[1] https://www.bleepingcomputer.com/news/security/university-of-hawaii-cancer-center-ransomware-attack-affects-nearly-12-million-people/
[2] https://www.bleepingcomputer.com/news/security/quicklens-chrome-extension-steals-crypto-shows-clickfix-attack/
[3] https://www.bleepingcomputer.com/news/security/48m-in-crypto-stolen-after-korean-tax-agency-exposes-wallet-seed/

[joniboini]

Beberapa hari terakhir ane sering baca seputar phishing yang kabarnya makin banyak, khususnya yang menargetkan pekerja di lingkungan pemerintahan, security system, cloud, jurnalis, dll. Misalnya ini[1] dan ini[2]. Di sisi lain dari laporan stats yang ada, jumlah serangan yang memanfaatkan kredensi yang dicuri vs akses dari pihak ketiga menunjukkan kalau scammer lebih banyak memanfaatkan kelemahan dari akses pihak ketiga baik itu apps atau bukan untuk mengakses data sensitif konsumen/perusahaan.

Setidaknya dari narasi yang ada kelihatan kalau kombinasi phishing dan hijacking punya tingkat kesuksesan yang lumayan sehingga scammer sering memanfaatkan kombinasi tersebut. Buat agan" yang bekerja di lingkungan pemerintahan atau sering berinteraksi dengan device/akun/apps pihak ketiga jangan lupa tetap waspada.

[1] https://www.bleepingcomputer.com/news/security/dutch-govt-warns-of-signal-whatsapp-account-hijacking-attacks/
[2] https://www.bleepingcomputer.com/news/security/microsoft-teams-phishing-targets-employees-with-backdoors/

[Luzin]

Baru saja baca tentang virus BeatBanker. Ini nampaknya sama sejenis torjan yang menyerang android dan saat ini targetnya user Brazil dan kemungkinan bisa menyebar level internasional. BeatBanker ini menyamar menjadi seperti Play Store, layanan pemerintahan di Brasil dan aplikasi Starlink. Apa yang akan mereka lakukan setelah berhasil terinstal di Android?

The trojan features an advanced remote control system and is capable of executing many other commands:

Intercepting one-time codes from Google Authenticator
Recording audio from the microphone
Streaming the screen in real-time
Monitoring the clipboard and intercept keystrokes
Sending SMS messages
Simulating taps on specific areas of the screen and text input according to a script sent by the attacker, and much more

Sumber: https://www.kaspersky.com/blog/beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso/55401/

[joniboini]

BeatBanker ini menyamar menjadi seperti Play Store, layanan pemerintahan di Brasil dan aplikasi Starlink.

Dari yang ane baca, keknya target penyamaran ini aplikasi" popular layaknya model scam malware sebelum"nya. Bisa jadi memakai modus mengganti app yang udah terverifikasi lalu mengupload versi yang berisi malware.
Eniwei, bicara soal model serangan malware yang lagi trend, sepertinya dari hasil riset model serangan clickfix lagi ngetren sekarang[1]. Dari laporan tersebut narasi yang dibangun adalah scammer mulai memanfaatkan kelemahan browser untuk mendorong user melakukan kesalahan" tertentu. Seperti auto-update extension yang ujungnya menginstall extension berisi malware (karena devnya kena serangan malware, dst). Baik user atau developer sepertinya sama" jadi target serangan ini[2].

[1] https://pushsecurity.com/resources/browser-attacks-report
[2] https://www.bleepingcomputer.com/news/security/leaknet-ransomware-uses-clickfix-and-deno-runtime-for-stealthy-attacks/

[Luzin]

Seperti auto-update extension yang ujungnya menginstall extension berisi malware (karena devnya kena serangan malware, dst). Baik user atau developer sepertinya sama" jadi target serangan ini[2].

Jadi attackernya nyusupnya via aplikasi update dari developernya gitu ya om? Ini baru ane dengar, semoga aja memang bukan kesengajaan dari dev yang nakal ingin mengambil keuntungan berlebih. Kalau udah dari dev updatenya yang kena hack kita menghindarnya juga susah.

[Husna QA]

Seperti auto-update extension yang ujungnya menginstall extension berisi malware (karena devnya kena serangan malware, dst). Baik user atau developer sepertinya sama" jadi target serangan ini[2].

Jadi attackernya nyusupnya via aplikasi update dari developernya gitu ya om? Ini baru ane dengar, semoga aja memang bukan kesengajaan dari dev yang nakal ingin mengambil keuntungan berlebih. Kalau udah dari dev updatenya yang kena hack kita menghindarnya juga susah.

Tadi saya coba baca kedua link tersebut:

[1] https://pushsecurity.com/resources/browser-attacks-report
[2] https://www.bleepingcomputer.com/news/security/leaknet-ransomware-uses-clickfix-and-deno-runtime-for-stealthy-attacks/

Dan coba baca juga penjelasan lebih lanjut dari sini:
https://reliaquest.com/blog/threat-spotlight-casting-a-wider-net-clickfix-deno-and-leaknets-scaling-threat

Yang saya pahami—dan sebagaimana yang disiratkan om Jon diatas, dimana developer juga menjadi target serangan—, yang menjadi target serangan pertamanya adalah website terpercaya terlebih dulu sehingga user cenderung tidak menyadari kalau disana sudah terpasang semacam jebakan yang akan mengarahkannya ke ClickFix. Nah, masalah berikutnya muncul setelah user terjebak pada ransomware-nya.

Ransomware operator “LeakNet” has added “ClickFix” lures delivered through compromised legitimate websites as a newly confirmed initial access method.

[mu_enrico]

Baru-baru ini ane mengalami serangan spam email dari mailer firebaseapp.com



Hati-hati untuk agan yang mengelola hosting, server, cloud, dan yang sejenisnya karena ini email mirip seperti yang dikirim mailer untuk reporting atau billing. Modusnya ini tetap menggunakan efek urgency macam "akun anda diblokir, lakukan ini sekarang" sehingga mungkin ada korban yang tidak sempat mengecek alamat email pengirim lalu kena jebakan.

Auto spam aja dari domain ini, karena memang sudah banyak yang protes: https://www.trustpilot.com/review/firebaseapp.com

[joniboini]

Selain banyaknya laporan seputar data breach minggu" ini, sepertinya serangan supply chain attack yang disebut beberapa post diatas terjadi lagi ke salah satu supply chain populer, Trivy[1]. Seperti serangan supply chain pada umumnya, scammer memanfaatkan akses ini untuk menyebarkan malware ke berbagai repository GitHub. Kalau user ga hati-hati dan asal percaya selama devnya sama, bisa jadi korban nantinya. Sepertinya scammer mendapatkan akses setelah berhasil menyerang pihak ketiga yang punya akses ke forked reponya Aqua Security, kalau ane ga salah baca.

[1] https://www.bleepingcomputer.com/news/security/trivy-supply-chain-attack-spreads-to-docker-github-repos/