Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) (Read 139642 times)

Dari beberapa berita yang ane baca kemaren, sepertinya ada hacker yang sedang berusaha untuk menyerang pengguna MacOS. Sejauh ini berhasil ditemukan upaya untuk memanfaatkan extended attributes yang ada di MacOS untuk menyembunyikan kode yang berbahaya[1]. Belum ada serangan yang memanfaatkan teknik ini, khususnya yang menyerang pengguna kripto, tapi ga ada salahnya untuk berhati" khususnya bagi yang sering berinteraksi dengan file PDF. Apalagi karena sudah ada grup yang secara khusus berusaha untuk mencuri kripto di MacOS seperti BlueNoroff[2]. Kalau agan pernah pake cracked apps juga ga ada salahnya makin waspada karena kasus aplikasi yang disusupi malware di MacOS tampaknya makin sering diberitakan dimedia[3].

[1] https://www.bleepingcomputer.com/news/security/hackers-use-macos-extended-file-attributes-to-hide-malicious-code/
[2] https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-new-macos-malware-against-crypto-firms/
[3] https://www.bleepingcomputer.com/news/security/north-korean-hackers-create-flutter-apps-to-bypass-macos-security/

Berikut ini beberapa berita seputar phishing dan malware yang cukup menarik untuk dibaca:

1. Masih ada yang pake LastPass buat nyimpen password/informasi sensitif lainnya? Kemaren mereka baru saja memberikan informasi baru kalau pengguna mereka sedang jadi serangan phishing besar-besaran. Serangan ini utamanya dari komentar user anonim yang mencamtumkan link call center yang jika agan telpon bakal mengarahkan ke situs phishing LastPass, bukan situs official mereka[1]. Serangan ini terjadi di kolom komentar ekstensi Chrome dan sosial media lainnya. Kalau agan masih pake, lebih baik double check setiap komen dan hanya hubungi mereka lewat channel resmi yang tersedia di situs LastPass. Lebih baik lagi kalau nyari alternatif yang decentralized.
2. Windows juga jadi serangan phishing lewat e-mail yang jika agan buka bakal menginstall virtual machine Linux yang udah disusupi backdoor tertentu[2]. Akses ini bisa membuat hacker mengambil file" dari komputer agan jadi pastikan jangan asal install/unduh file yang sumbernya ga jelas baik agan dapet lewat e-mail atau tidak. Walau ga khusus menyerang kripto ada kemungkinan model ini dipake sama penjahat untuk mencuri file dompet kita.

[1] https://www.bleepingcomputer.com/news/security/lastpass-warns-of-fake-support-centers-trying-to-steal-customer-data/
[2] https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/

Saya baru mendengar virus kucing hitam  . Virus ini dari rusia yang disebut BlackCat atau Noberus atau ALPHV ransomware. Meski dari tahun 2021 dan sampai saat ini terus berkembang lebih luas. BlackCat tahun 2023 berhasil menyerang Reddit dan Change Healthcare pada tahun 2024. Dalam Artikel yang saya baca BlackCat ini mampu menyesuaikan kerentanan yang dimiliki target. Bahkan BlackCat dianggap memiliki pegodean yang canggih. Mereka bahkan merekrut dengan model afiliasi yang terdesentralisasi, mereka merekrut peretas dari berbagai penjuru dunia. Sistem kerja mereka sebenarnya sama dengan masuk dalam sistem-mengenkripsi data, dan meminta tebusan dalam bentuk kripto.


Sumber: https://cointelegraph.com/explained/what-is-blackcat-ransomware-in-crypto

Berikut berita seputar kemanan seminggu terakhir yang menurut ane cukup penting buat agan" baca:

1. Hacker Lazarus kabarnya memanfaatkan tren game defi untuk menyerang kelemahan browser berbasis Google Chrome[1]. Kelemahan ini kabarnya sudah diperbaiki di update Maret 2024, tapi tidak ada salahnya untuk agan" memastikan apakah browser Chrome agan sudah punya patch yang mengatasi masalah ini atau tidak (CVE-2024-4947).
2. Masih buat pengguna Google Chrome, harus lebih hati" dalam menginstall ekstensi atau tools tertentu yang membutuhkan akses admin ke folder Google Chrome agan. Peneliti keamanan baru" ini merilis sebuah tools yang bisa membypass proteksi keamanan Google Chrome untuk membaca banyak hal seperti kuki, password, informasi pembayaran dkk[2]. Hal ini menunjukkan kemungkinan malware memanfaatkan celah yang sama untuk menyerang browser agan.
3. Di sisi lain, QNAP baru saja merilis update untuk aplikasi backup NAS mereka setelah sebelumnya tim hacker berhasil menemukan celah di aplikasi tersebut di event Pwn2Own 2024. Kalau agan pake NAS dari QNAP, khususnya yang menggunakan aplikasi HBS 3 Backup Sync pastikan agan udah update ke versi terbaru[3].

[1] https://www.bleepingcomputer.com/news/security/lazarus-hackers-used-fake-defi-game-to-exploit-google-chrome-zero-day/
[2] https://www.bleepingcomputer.com/news/security/new-tool-bypasses-google-chromes-new-cookie-encryption-system/
[3] https://www.bleepingcomputer.com/news/security/qnap-fixes-nas-backup-software-zero-day-exploited-at-pwn2own/

Berikut beberapa berita seputar malware/breach/exploit yang menurut ane menarik. Kebanyakan ga berkaitan langsung dengan kripto sih tapi ane rasa peluang eksploit dan malware serupa menargetkan kripto cukup besar:

1. Peneliti keamanan dari ETH Zurich telah menerbitkan hasil riset mereka yang mengatakan kalau beberapa provider penyimpanan data cloud memiliki kelemahan dalam enkripsi end-to-end yang mereka pakai untuk mengamankan data pelanggan. Beberapa cloud storage yang dimaksud ada yang sudah memberikan respons akan melakukan update ada juga yang belum berkomentar apa". Untuk listnya bisa agan cek langsung disini, jujur ane belum pernah dengar nama cloud provider ini sekalipun tapi keknya pelanggannya cukup banyak juga. Barang kali agan" ada yang make[1]. Walau harusnya seed/private key ga disimpan di cloud kadang kan masih aja ada yang bandel.
2. Ribuan situs wordpress kabarnya jadi media hacker untuk melakukan serangan phishing atau mencuri data pelanggan.[2] Eksploit ini memanfaatkan plugin yang berhasil dihack oleh hacker, jadi kalau agan ada yang punya situs wordpress ga ada salahnya buat cek apakah plugin yang agan download itu termasuk yang dieksploitasi atau tidak. Ada beberapa nama yang familiar sih buat ane, khususnya yang bersangkutan sama SEO". Bisa bahaya kalau situs agan jadi media penyebaran phishing untuk nyuri password atau private key misalnya.
3. Beberapa aplikasi Android dan iOS ternyata memiliki auth keys yang digunakan sama developernya.[3] Hal ini sangat riskan karena hacker bisa saja memanfaatkan hal tersebut untuk login dan mengakses data pengguna. Sejauh yang ane pahami adanya auth keys ini bukan berarti data agan udah pasti dicuri orang, tapi ada baiknya nyari aplikasi alternatif yang punya prosedur pengamanan auth keys lebih baik. CMIIW.

[1] https://www.bleepingcomputer.com/news/security/severe-flaws-in-e2ee-cloud-storage-platforms-used-by-millions/
[2] https://www.bleepingcomputer.com/news/security/over-6-000-wordpress-hacked-to-install-plugins-pushing-infostealers/
[3] https://www.bleepingcomputer.com/news/security/aws-azure-auth-keys-found-in-android-and-ios-apps-used-by-millions/

Berikut berita beberapa hari terakhir yang menurut ane cukup menarik:

1. Banyaknya korban malware kripto di area Eurasia[1] yang menunjukkan banyaknya orang yang masih belum sepenuhnya waspada terkait serangan malware kripto yang didistribusikan lewat stream aplikasi palsu lewat Youtube, iklan, repo Github,download aplikasi dengan crack, dkk. Di Indo sendiri keknya banyak website download crack dan semacamnya, jadi selalu waspada dan jangan lengah meskipun agan udah sering download dari situs tertentu dan ga pernah kenapa" sebelumnya.
2. Malware TrickMo yang mulai ngetren lagi karena salah satu serangannya adalah upaya untuk mencuri PIN pengguna lewat lockscreen palsu[2]. Model serangan kaya gini keknya pernah juga dishare sebelumnya dan malware TrickMo sendiri udah terdeteksi sejak 2019. Dari heatmap yang ada Indonesia termasuk negara dengan korban yang cukup banyak sepertinya, jadi kita harus lebih hati". Metode penyebaran malware ini sendiri tampaknya melalui phising, jadi hati" kalau dapet link aneh baik dari user yang agan kenal atau engga entah di forum atau WA/apps lain.
3. Google Play Store tampaknya butuh kerja lebih keras untuk memfilter malware yang bisa didownload secara resmi lewat store mereka, karena salah satu data menunjukkan lebih dari 200 aplikasi berbahaya sudah didownload ratusan kali oleh pengguna Android[3]. Target utama aplikasi malware ini tampaknya di US dan Canada, walau bisa jadi ini bias karena kurang sampel dari negara lain saja. Yang penting stay safe dan selalu double check kalau mau download aplikasinya, meski developernya terlihat terpercaya sekalipun. CMIIW.

[1] https://www.bleepingcomputer.com/news/cryptocurrency/crypto-stealing-malware-campaign-infects-28-000-people/
[2] https://www.bleepingcomputer.com/news/security/trickmo-malware-steals-android-pins-using-fake-lock-screen/
[3] https://www.bleepingcomputer.com/news/security/over-200-malicious-apps-on-google-play-downloaded-millions-of-times/

Buat agan" yang jadi pengelola server atau menjalankan server rumahan berbasis Linux ga ada salahnya untuk memastikan server agan ga terkena malware crypto miner yang baru saja teridentifikasi meski penyebarannya udah berlangsung selama kurang lebih tiga tahun[1]. Malware ini menargetkan berbagai macam opsi untuk menginfeksi server, mulai dari login, file config, dkk. Dampak yang paling kelihatan dari serangan ini sih komputer jadi mining bot untuk menambang Monero, walau bisa aja malware ini melakukan aksi lainnya dibalik layar.

[1] https://www.bleepingcomputer.com/news/security/linux-malware-perfctl-behind-years-long-cryptomining-campaign/

Saya malah baru dengar mengenai verifikasi Link dari Binance. Saya belum juga mencobanya, tentunya banyak manfaat untuk para member Binance. Sedangkan untuk Tor saat ini memang saya belum mencoba, karena saya kebanyakan pakai HP jika melakukan transaksi. Untuk laptop atau PC biasanya untuk mempermudah visualisasi.

---

Kabar lain mengenai penangkapan Anggota LockBit Ransomware dan Evil Corp yang ditangkap dan Dikenai Sanksi. Mereka nampaknya sedang dalam misi bersama pengembangan ransomeware baru yang disebut Operasi Cronos.

Sumber: https://thehackernews.com/2024/10/lockbit-ransomware-and-evil-corp.html

Ya juga. Maka dari itu, link untuk verifikasi yang disediakan Binance tersebut harus sudah cukup tangguh dari sasaran semisal DNS hijack seperti disebutkan di atas.
Btw, barusan saya coba cek link situs https://binance-desktop.com/en/downloads sebagaimana yang dibagikan agan Luzin di atas, berikut ini hasilnya:



Dengan kata lain, langkah verifikasi tersebut cukup efektif untuk langkah awal memeriksa link apakah memang resmi dari Binance atau tidak. Tentunya kalau mau lebih yakin lagi, verifikasi dengan cara lain semisal konfirmasi langsung ke pihak Binance.

Note: Perhatikan juga beberapa tips sederhana pada screenshot tersebut untuk menghindari situs penipuan.

Agak ngeri juga kalau link ini yang jadi sasaran DNS hijack atau sejenisnya. Kalau user ga punya kesadaran untuk verifikasi lewat berbagai metode ngeri juga kalau scammer nipu user dengan berlagak seolah situs verifikasi resmi tapi redirect link ke situs phishing lainnya.

---

Btw sehari setelah ane post beberapa berita di atas, ternyata ada berita baru yang berkaitan dengan penyebaran aplikasi WalletConnect palsu di Google Play Store[1]. Aplikasi ini udah terdownload lebih dari sepuluh ribu kali, tapi untungnya udah ditakedown setelah dilaporkan sama salah satu researcher keamanan. Keknya masih lemah aja itu fitur filter aplikasi di Google, sampai aplikasi palsu bertahan sampe berbulan-bulan.

[1] https://www.bleepingcomputer.com/news/security/fake-walletconnect-app-on-google-play-steals-android-users-crypto/

Modus phishing dengan membuat nama domain yang hampir mirip dengan yang website official asli sudah seringkali terjadi. Point-nya user memang mesti jeli membaca address dari website yang dikunjunginya, terlebih kalau ada aktifitas download aplikasi dan semisalnya.

Mengenai keterbatasan akses Binance, mungkin bisa disiasati dengan menggunakan VPN, Tor browser, dll.
Di Binance sendiri setahu saya ada fitur "Binance Verify" untuk memeriksa link URL tertentu apakah terverifikasi dan resmi dari Binance atau tidak.

https://www.binance.com/en/official-verification; https://www.binance.info/en/official-verification

Nampaknya keterbatasan akses aplikasi Binance di beberapa negara membuat para Hacker mencoba memanfaatkan keadaan untuk mencuri aset crypto. Saya barusan membaca di  Beginners & Help dengan judul Beware: Fake Binance desktop app. Mereka menyebarkan link tautan untuk download aplikasi Binance Desktop bahkan hebatnya nampaknya mereka berani mengeluarkan uang untuk situs itu untuk dipromosikan.


Sumber: https://bitcointalksearch.org/topic/--5511323

Sama kayak kasus Malware yang nyusup jadi aplikasi Keyboard yang didalamnya ada malware Xenomorph dan parahnya lagi itu masuk ke di google playstore.
Tapi sekarang mungkin Google Playstore udah berbenah diri, Udah memperbarui Goolge Play Protect sehingga lebih selektif pada pendeteksian aplikasi yang menyamar.

Sekarang malware emang udah canggih-canggih, dan seperti yang sampean bahas itu mengenai Malware ExobotCompact (Octo2) yang menyamar jadi aplikasi  NordVPN, Google Chrome, dkk.

Octo2 lebih powerfull karena bisa melakukan peningkatan pada stabilitas sesi kendali jarak jauh ( RAT) saat melakukan serangan Pengambil alihan Perangkat,
dan meningkatkan teknik anti-deteksi dan anti-analisis.

Sekarang sebagai pengguna smartphone harus lebih aware sama keamanan dan jangan menginstal aplikasi yang gak jelas.
Atau pastikan semua keamanan perangkat update dan terkendali.

https://www.threatfabric.com/blogs/octo2-european-banks-already-under-attack-by-new-malware-variant

Berikut ini beberapa berita seputar malware dkk menarik yang ane baca di Bleepingcomputer:
1. Kabarnya ada kampanye khusus yang menargetkan pengguna kripto dengan melakukan berbagai serangan mulai dari meniru website apps tertentu, menipu user dengan aplikasi palsu, dan seterusnya. Dari berbagai macam model serangan ini mereka juga berusaha untuk mengunggah pencuri data yang khusus menarget wallet kripto kita, mengambil cookie browser, mengambil data browsing, dkk[1].
2. Di sisi lain kabarnya hacker berhasil memperbarui model serangan mereka untuk menyerang proteksi cookie di browser Chrome versi 129. Serangan ini bertujuan untuk mengambil cookie yang terproteksi jadi data login dkk bisa mereka ambil. Ada baiknya untuk segera memperbarui browser agan kalau agan make Chrome atau browser berbasis Chrome lainnya[2].
3. Seperti biasa, aplikasi android yang menyerupai aplikasi official untuk mencuri data kita terus saja bertebaran. Yang masuk berita ini kabarnya berkamuflase jadi berbagai macam apps kaya NordVPN, Google Chrome, dkk. Sekilas ane baca sih ga masuk Play Store, jadi kemungkinan yang kena serangan adalah kita yang sering download di situs pihak ketiga[3].

[1] https://www.bleepingcomputer.com/news/security/global-infostealer-malware-operation-targets-crypto-users-gamers/
[2] https://www.bleepingcomputer.com/news/security/infostealer-malware-bypasses-chromes-new-cookie-theft-defenses/
[3] https://www.bleepingcomputer.com/news/security/new-octo-android-malware-version-impersonates-nordvpn-google-chrome/

Hacker tidak kehabisan akal mereka memnfaatkan kekuatan hukum dari SEC untuk mendapat keuntungan dalam platform gemini kepada para penggunanya. Kemaren saya sempet baca di board Beginners & Help jika mereka menebar phinsing dan memanfaatkan kepanikan para pengguna gemini. Mereka mengincar seed phrase untuk menguras seluruh  isi wallet dengan mengirim email.


Sumber: https://bitcointalksearch.org/topic/--5508815

Seperti yang dibilang sama om Husna di atas, agan bisa cek manual kalau belum ada yang post di sini. Toh kebanyakan member yang post update kan juga nyantumin linknya. Ini beberapa berita yang menurut ane menarik misalnya:

- Kabar kalau hacker dari Korea Utara memanfaatkan eksploit zero-day di aplikasi WPS versi Windows sejak 2023. Aplikasi yang punya kelemahan ini adalah versi 12.2.0.13110 (rilis Agustus 2023) sampai 12.1.0.16412 (rilis Maret 2024)[1]. Kingsoft, developer dari aplikasi ini mengklaim sudah memperbaiki masalah keamanan ini tapi ga pernah mempulikasikannya secara terbuka. Analisis lebih detail tentang model serangan yang pake eksploit ini bisa dibaca lebih lanjut disini[2]. Salah satu problem yang bisa muncul dari eksploit ini adalah hacker bisa mencuri file dari komputer kita, meremote komputer kita, dll. Walau ga secara eksplisit menargetkan pengguna kripto, ga ada salahnya kita waspada khususnya yang make aplikasi WPS dan berada di lingkungan enterprise/pemerintahan.

- Peningkatan aktivitas phishing via komen GitHub yang kalau ga salah udah pernah dibahas juga di forum ini[3]. Singkatnya jangan pernah download atau klik link yang aneh", apalagi kalau komennya bilang file itu adalah fix atau kode yang agan perlu untuk memperbaiki masalah di aplikasi agan.

- FBI lagi" memberikan peringatan buat mereka yang bekerja di sektor kripto agar hati" dengan serangan phishing. Kata mereka makin banyak upaya phishing baik untuk mencuri aset kripto dari perusahaan atau dari pekerja itu sendiri[4]. Secara tidak langsung ini berarti serangan dengan model social engineering merupakan salah satu model serangan paling efektif yang dipake sama hacker untuk mencuri kripto kita. Ga ada salahnya buat hati" juga walau kita ga kerja di perusahaan kripto sekalipun, apalagi kalau sebagian data kita udah tersebar di internet. Misalnya e-mail yang kita pake untuk daftar di exchange tertentu, dsj.

[1] https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-exploited-wps-office-zero-day-to-deploy-spyglace-malware/
[2] https://threatbook.io/blog/Analysis-of-APT-C-60-Attack-on-South-Korea
[3] https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/
[4] https://www.bleepingcomputer.com/news/security/fbi-warns-crypto-firms-of-aggressive-social-engineering-attacks/

Mengenai informasi virus ataupun terkait berita keamanan web dan semisalnya, antara lain agan bisa lihat juga di www.bleepingcomputer.com.

Dulu ketika PC kantor terkena virus Grovat (https://bitcointalksearch.org/topic/m.50516790), saya pernah juga konsultasi dengan salah satu kontributornya, Michael Gillespie (@demonslay335).

---

Informasi terbaru mengenai virus/malware yang terkait cryptocurrency, saya lihat ada malware android: SpyAgent.
https://www.bleepingcomputer.com/news/security/spyagent-android-malware-steals-your-crypto-recovery-phrases-from-images/

Malware ini menggunakan teknologi optical character recognition (OCR) untuk membaca screenshot yang berisi seed phrase dan tersimpan di smartphone.
Jika user yang tidak sembarang menyimpan data penting seperti seed phrase dalam bentuk gambar ataupun teks di smartphone mungkin lebih sedikit terdampaknya meskipun ada juga beberapa resiko lainnya jika smartphone android-nya sudah terinfeksi malware ini.

Apa ada update virus terbaru ndak?

Model distribusinya ane lihat serupa dengan malware lain, yaitu menyerupai aplikasi popular kayak Adobe, GTA dkk. Ga tau apakah disebarin juga lewat phishing atau e-mail spam, tapi kalau agan download dari situs official kemungkinan bisa menghindari malware ini. Harusnya kalau usernya agak jeli dikit bisa dengan mudah mengantisipasi DMG yang mengandung image berbahaya begini. Ane sendiri pengguna MacOS yang pernah nyoba nyari aplikasi crack dkk juga tapi tahu kalau aplikasi yang ane download aneh kalau minta info" aneh lewat window kaya di atas.

Kalau saya analisa sih tujuan awal virus ini sepertinya untuk mengumpulkan password user pengguna MacOS. Kalau pengguna kena, dan nginput password tersebut, maka data akan terekam, sehingga jika suatu waktu dibutuhkan, hacker bisa mengakses apa pun yang ada di komputer tersebut dengan password tersebut. Karena mungkin anggapan mereka, user biasanya hanya menggunakan 1 password untuk seluruh akun.

Saya akui, dulu itu saya pernah pakai akun email pakai dengan password yang sama dengan akun exchange, dan akun bitcointalk. Tujuannya supaya tidak lupa saja. Tapi hal ini jelas sangat beresiko, apa lagi jika kena malware cthulhu stealer ini sehingga hacker dapat dengan mudah mengakses apa pun login akun baik itu wallet, email dsb. Jadi, baiknya walau tidak terkan virus ini, diusahakan tiap akun dibedakan passwordnya, bila perlu dipakaikan 2fa biar keamanannya berlapis.