Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) - page 10. (Read 136184 times)

Kelengahan dan keteledoran orang Indonesia itu banyak dimanfaatkan scammer untuk nyuri hal penting di HP mereka. Oleh karena itu kalau ada member sering teledor atau lali hal yang seperti ini, ada baiknya untuk tidak menginstall wallet atau exchange crypto di HP-nya. Karena, jangankan orang awam, terkadang masyarakat yang tech savvy pun kena juga akibat kelupaan warning hal semacam ini.

Bisa jadi timingnya memang sedang nunggu paket, lalu dapat WA seperti ini, dan Lali kalau itu virus yang kemungkinan besar dapat menyusup ke wallet dan penyimpanan cryptonya. Saya pun (karena sering kelupaan), tidak pernah menginstall wallet atau exchange di HP yang sering saya pakai untuk berkomunikasi,

Saya memang ada HP khusus yang saya pakai untuk wallet, itu pun untuk penyimpanan btc yang di bawah nominal 2-3 juta, dan jarang juga terkonekasi Internet kalau tidak saya pakai untuk bertransaksi bitcoin.

Besar kemungkinan cara kerja penipuan model begitu adalah dengan memanfaatkan kode Unicode U+202E, yang mana dapat digunakan sebagai "The Right-To-Left Override character can be used to force a right-to-left direction withing a text. This is often abused by hackers to disguise file extensions: when using it in the file name my-text.'U+202E'cod.exe, the file name is actually displayed as my-text.exe.doc - so it seems to be a .doc file while in reality it is an .exe file."

Jadi sebenarnya file tersebut merupakan file ekstensi lain, misal .apk, akan tetapi, tampilan pada pengguna seperti file dengan bentuk PDF. Kasus yang saya lihat sedang ramai ternyata memang menargetkan pengguna Android untuk memasang aplikasi terkait.

Informasi lain yang menjelaskan lebih jauh tentang unicode tersebut:
https://arenpedia.com/berita/modus-penipuan-file-pdf-tapi-isinya-apk-kok-bisa-ya/
https://galogetlatorre.blogspot.com/2013/07/how-can-you-be-fooled-by-u202e-trick.html

Sebelumnya ada beberapa phising yang memanfaatkan kelengahan dari user via pesan WhatsApp. Kalau tidak salah melalui cek kiriman paket dari kurir online shop.  Kali ini saya mendapat kabar dari teman, yang saya angap modus baru melalui file PDF yang disamarkan. Sepertinya kita harus teliti melihat betuk filenya dengan melihat ciri tulisan pdf dibelakang nama file. Tulisan dibelakang nama file selalu berhuruf kecil semua.

Berikut ini berita malware/virus terbaru seminggu terakhir yang menurut ane cukup menarik:
1. Adanya tool terbaru yang bisa dimanfaatkan hacker untuk mengelabui pengguna dengan memanfaatkan domain .zip yang akhir' ini mulai populer. Tool ini memanfaatkan kelengahan user yang mengklik file/link berakhir zip, kemudian memunculkan window yang menyerupai aplikasi WinRAR[1].
2. Malware QBot ditemukan memanfaatkan file DLL notepad Windows 10 untuk menginfeksi komputer pengguna yang menjadi target serangan malware. Salah satu penyebaran malware ini melalui e-mail. Seperti biasa, jangan klik e-mail sembarangan dan pastikan agan rutin mengecek keamanan komputer agan dengan aplikasi semacam Malwarebytes dsm [2].
3. Adanya model baru serangan phishing yang memanfaatkan e-mail terenkripsi yang disediakan oleh Microsoft 365. Ane pribadi tidak tahu apakah fitur semacam ini ada di layanan e-mail lainnya, yang jelas hati-hati kalau dikirim e-mail yang meminta informasi login[3]. CMIIW.

[1] https://www.bleepingcomputer.com/news/security/clever-file-archiver-in-the-browser-phishing-trick-uses-zip-domains/
[2] https://www.bleepingcomputer.com/news/security/qbot-malware-abuses-windows-wordpad-exe-to-infect-devices/
[3] https://www.bleepingcomputer.com/news/security/microsoft-365-phishing-attacks-use-encrypted-rpmsg-messages/

Baru dengar ane tentang berita ini. Tapi ga terlalu kaget sih karena beberapa kali perusahaan Indo baik swasta atau milik negara juga pernah mengalami kebocoran data.

---

Beberapa info malware/virus/eksploit di beberapa hari terakhir yang ane temukan antara lain:
1. Kebocoran data konsumen milik Luxottica yang akhirnya dikonfirmasi oleh perusahaan terkait[1]. Jumlah info konsumen yang dibocorkan tidak main-main, sekitar 70 juta berdasarkan laporan yang beredar.
2. Buat pengguna KeePass, model serangan terbaru berhasil ditemukan yang bisa membuat attacker mencuri master password dengan mengakses memory dump[2]. Berdasarkan artikel yang ane cantumin, eksploit ini membutuhkan akses ke perangkat yang menggunakan KeePass atau infeksi malware. Semua fork KeePass juga kemungkinan memiliki bug yang sama. Kalau ada rilis terbaru sebaiknya segera update (versi yang sudah ada patchnya sudah tersedia, hanya saja masih dalam tahap alpha/beta, CMIIW).

[1] https://www.bleepingcomputer.com/news/security/luxottica-confirms-2021-data-breach-after-info-of-70m-leaks-online/
[2] https://www.bleepingcomputer.com/news/security/keepass-exploit-helps-retrieve-cleartext-master-password-fix-coming-soon/

Yang lagi rame khususnya di Indonesia itu kebocoran data BSI karena ransomware Lockbit. Berbagai hal tersebut memang di luar kendali karena faktor eksternal. Beberapa hal yang sangat disarankan adalah memakai aplikasi password manager dan juga mengaktifkan autentikasi 2/multi faktor.

Password manager akan memudahkan setiap orang untuk mengorganisir berbagai kredensial akun dan dapat digunakan untuk meng-generate password yang kuat, karena percuma jika passwordnya berbeda-beda akan tetapi password terkait tidak kuat. Sedangkan untuk 2/MFA hal ini dapat menambah lapisan pengamanan kalaupun password pengguna sudah dijebol.

Berikut ini beberapa berita di dunia keamanan digital beberapa hari terakhir yang menurut ane menarik dan harus jadi perhatian buat agan yang hampir tiap hari online:
1. Malware RapperBot yang menambahkan fitur cryptojacking sehingga komputer yang terinfeksi akan memining crypto XMR dibalik layar[1]. Malware ini kebanyakan menyerang komputer server, walaupun begitu tidak ada salahnya untuk tetap berhati-hati meskipun agan tidak menjalankan server sama sekali.
2. Blug di plugin Wordpress yang membuat attacker bisa mengubah password pengguna tanpa perlu mengetahui password sebelumnya[2]. Kalau agan menggunakan plug-in ini di situs agan sebaiknya segara diupdate dan kalau perlu ubah password dan username akun yang agan gunakan di website tersebut.
3. Banyaknya data leak dari berbagai sektor, mulai dari SchoolDude[3], Toyota[4], dan Discord[5]. Agak sulit mengantisipasi hal ini karena kita tidak punya kendali sama sekali atas data yang ada di jasa yang kita gunakan. Yang jelas jangan sampai data sensitif di berbagai situs (username, password dst) sama semua agar dampak yang agan rasakan tidak terlalu besar ketika salah satu jasa yang agan gunakan mengalami data leak. CMIIW.

[1] https://www.bleepingcomputer.com/news/security/rapperbot-ddos-malware-adds-cryptojacking-as-new-revenue-stream/
[2] https://www.bleepingcomputer.com/news/security/wordpress-elementor-plugin-bug-let-attackers-hijack-accounts-on-1m-sites/
[3] https://www.bleepingcomputer.com/news/security/brightly-warns-of-schooldude-data-breach-exposing-credentials/
[4] https://www.bleepingcomputer.com/news/security/toyota-car-location-data-of-2-million-customers-exposed-for-ten-years/
[5] https://www.bleepingcomputer.com/news/security/discord-discloses-data-breach-after-support-agent-got-hacked/

Saran yang bagus. Walau perlindungan terbaik ya tentunya mewaspadai aplikasi/file" aneh yang dikirim ke e-mail/akun sosial media agan". Kalau malware yang menarget Windows ane rasa sudah banyak sekali gan, ga akan kaget ane kalau malware serupa menyebar di Windows dengan nama lain.

Btw, kalau agan punya HP Android mungkin ada baiknya memeriksa apakah ada update security terbaru atau tidak karena salah satu bug zero day baru saja diperbaiki beberapa hari lalu[1]. Sekilas ane baca sih banyak bug ini banyak dieksploitasi untuk menyerang HP Samsung.

[1] https://www.bleepingcomputer.com/news/security/new-android-updates-fix-kernel-bug-exploited-in-spyware-attacks/

Ini yang saya takutkan, karena beberapa hacker yang sudah paham crypto khususnya bitcoin akan tahu dimana user melakukan penempatan penyimpanan default wallet electrum yang berada di AppData\Roaming\Electrum\wallets, Oleh karena itu ada baiknya bagi yang belum paham soal ini untuk sesegera mungkin memindahkan wallet yang sering dipakai di folder default electrum ke USB stick atau external HD, jadi kalau pun ada hacker mengakses ke folder wallet, yang ditemui itu kosong, atau bisa dikamuflase dengan default wallet.

Ini sebagai antisipasi saja, Ya siapa tahu kedepan mereka akan menyasar ke user windows.

Berikut ini beberapa berita terkait malware/virus di beberapa hari terakhir yang menurut ane menarik:
1. Adanya malware baru yang menarget pengguna MacOS bernama Atomic[1]. Ringkasnya malware ini menarget MacOS dan berusaha mencuri data dari keychain, cookies, password yang tersimpan di browser, dst. Salah satu targetnya juga dompet kripto seperti Electrum. Kabar baiknya untuk saat ini malware ini masih belum bisa membypass proteksi data yang ada di folder Desktop dan Documents user, tapi tentu saja agan jangan menggunakan proteksi itu sebagai perlindungan utama karena bisa saja ada eksploit lain ke depannya.
2. Maraknya hijack website jual beli online oleh hacker untuk mendapatkan informasi kartu kredit pengguna atau pembayaran lainnya[2]. Kalau agan sering mengakses situs marketplace internasional (termasuk situs yang berbasis CMS marketplace seperti PrestaShop), jangan lupa untuk double check alamat website yang agan kunjungi. CMIIW.
3. Malware ViperSoftX melebarkan target serangannya ke password manager seperti Keepass[3]. Malware ini dikabarkan sering menempel ke aplikasi activator, crack, dan aplikasi sejenis lainnya untuk mengelabui user. Untuk menghindari malware ini, sebaiknya agan tidak menginstall aplikasi yang kodenya tidak bisa diverifikasi sama sekali.

[1] https://www.bleepingcomputer.com/news/security/new-atomic-macos-info-stealing-malware-targets-50-crypto-wallets/
[2] https://www.bleepingcomputer.com/news/security/hackers-swap-stealth-for-realistic-checkout-forms-to-steal-credit-cards/
[3] https://www.bleepingcomputer.com/news/security/vipersoftx-info-stealing-malware-now-targets-password-managers/

Betul om. Jadi model kerjanya tidak berubah jauh, walau itu semua masih sekedar dugaan ane sih. Kalau ad network berbayar kripto banyak dan bayarannya gedhe, mungkin bakal lebih popular model serangan semacam ini ke depannya.
Sepertinya ane salah translate mengenai Chromium ini gan. Yang ane maksud bukan Chromium browser, tapi browser berbasis Chromium (jadi termasuk Chrome, Brave, Vivaldi, dst). Dengan kata lain, sistem operasi yang dipake user ga begitu berpengaruh dalam penyebaran malware ini. Selama mereka menggunakan browser berbasis Chromium risikonya selalu ada. CMIIW.

---

Berikut beberapa berita/informasi mengenai malware/virus dsm di beberapa hari terakhir:
1. Google telah merilis patch untuk mengatasi backdoor yang dibuat GhostToken. Backdoor ini membuat aplikasi malware yang terinstall lewat marketplace pihak ketiga maupun Google Playstore bisa aktif secara permanen di perangkat user tanpa bisa dihapus. Patch ini membuat user bisa menghapus aplikasi tersebut, walau sepertinya tidak bisa menjadi perlindungan untuk data yang sudah terekspos ketika malware tersebut terinstall di perangkat agan[1].
2. Tersebarnya malware Bumblebee lewat iklan Google. Modus penyebarannya mirip dengan iklan bermalware pada umumnya. Agan bakal diredirect ke situs yang terlihat legit supaya agan mendownload aplikasi malware yang telah disiapkan sebelumnya. Salah satu website/app yang menjadi sasaran phishing adalah Zoom, ChatGPT, dsm[2]. Jadi seperti biasa, jangan percaya dengan iklan Google.

[1] https://www.bleepingcomputer.com/news/security/ghosttoken-gcp-flaw-let-attackers-backdoor-google-accounts/
[2] https://www.bleepingcomputer.com/news/security/google-ads-push-bumblebee-malware-used-by-ransomware-gangs/

Kalau seingat saya dulu, browser chromium ini cukup familiar bagi pengguna linux, saya dulu ketika masih suka-sukanya main di linux sering pakai browser ini karena memang tampilannya cukup familiar dengan chrome. Tentunya agak jarang juga terdengar kalau target hacker sekarang ini beralih ke pengguna linux, atau memang pengguna linux sudah banyak, sehingga hacker sekarang fokus ke sana.

Oalah itu yang saya pahami juga kemarin dari kalimat yang saya quote berikut:


Jadi user tidak menyadari kalau dia dimanfaatkan untuk "meng-klik" ads secara otomatis karena malware tersebut, sehingga menguntungkan bagi si pembuat malware dengan memanfaatkan device korban.

Ternyata yang dimaksud:

bayaran dari adsense nya itu yang berupa kripto, semula saya kira wallet si target yang di eksploitasi untuk itu.

Yang saya maksud bukanlah exploit pada wallet/penyimpanan kripto yang dimiliki pengguna om, tapi target klik iklan yang ada di background tersebut adalah jaringan iklan yang membayar dengan kripto. Sejauh yang ane pahami, klik iklan di belakang layar ini tidak memerlukan input dari user, jadi bisa saja malware ini mengklik iklan yang ada di jaringan iklan kripto sebagaimana yang ane maksudkan. Sejauh ini sih memang belum ada kejelasan mengenai ad fraud ini menargetkan iklan di luar kripto atau tidak, tapi ane rasa kemungkinan itu ada. Yang jelas, mau kripto atau tidak, device pengguna dimanfaatkan sebagai botnet supaya penyebar malware ini bisa mendapatkan keuntungan atas klik iklan tersebut. CMIIW.

Source: https://www.bleepingcomputer.com/news/security/android-malware-infiltrates-60-google-play-apps-with-100m-installs/]

Tadi saya coba membaca artikel pada link yang pertama diatas, namun belum menemukan penjelasan yang cukup mengenai kemungkinan adanya pengubahan pada target klik adsense menjadi berbayar dengan kripto. Setidaknya kalimat berikut yang saya temui:


Dari yang saya ketahui untuk menjadikannya berbayar dengan kripto tentunya melalui tahapan persetujuan seperti sign pada transaksi aset kripto yang dimiliki user, tanpa itu kemungkinan tidak akan ada transaksi membayar dengan kripto tersebut.

---

Sementara itu jika device pengguna dimanfaatkan menjadi penambangan kripto tanpa diketahui target, ini lebih berpeluang terjadi, dengan beberapa tanda seperti perangkat cepat memanas, baterai cepat habis secara tidak normal ataupun penggunaan data internet melonjak sekalipun user tidak sedang menggunakannya.

Berikut ini beberapa kasus menarik di dunia malware/phishing selama beberapa minggu terakhir yang menurut ane menarik untuk di share:

1. Malware yang tersebar lewat app yang popular karena developer tidak sengaja memasukkan library yang bermasalah ke app mereka[1]. Walau tidak menarget kripto secara spesifik, kemungkinan exploit serupa bisa dimanfaatkan oleh cracker tertentu untuk melakukan penambangan kripto secara tersembunyi, atau bisa juga mengubah target klik adsense menjadi adsense network yang membayar dengan kripto.

2. Software marketplace popular yang diklaim melakukan user surveillance dan mengoleksi file personal user juga ditemukan di bulan ini[2]. Laporan yang dilampirkan di Bleeping Computer menyebutkan mereka menyebarkan malware ini di apk yang tersebar di play store alternative selain Google. Kalau agan sering mendowload apk di situs" pihak ketiga, ada baiknya hati" karena tidak menutup kemungkinan ada aplikasi lain yang serupa.

3. Malware Rilide yang bisa menipu user dengan bypass 2FA untuk mencuri kripto dan informasi personal lainnya[3]. Malware ini menarget browser Chromium dan tersebar lewat iklan, Aurora Stealer, dikemas di atas ekstensi lain seperti ekstensi Google Drive, dan sejenisnya. Cara menghindari yang paling mudah adalah jangan klik/install ekstensi dari link yang mencurigakan, dan kalaupun agan mencari ekstensi browser lewat Chrome Store, pastikan ekstensinya tidak berasal dari developer yang tidak dikenal/mencurigakan.

[1] https://www.bleepingcomputer.com/news/security/android-malware-infiltrates-60-google-play-apps-with-100m-installs/
[2] https://www.bleepingcomputer.com/news/security/cisa-warns-of-android-bug-exploited-by-chinese-app-to-spy-on-users/
[3] https://www.bleepingcomputer.com/news/security/hackers-use-rilide-browser-extension-to-bypass-2fa-steal-crypto/

Sayangnya meskipun @Luzin sudah menghapus gambar dan mengedit postingan beliau, bahkan saya yang baru membaca post setelah di edit tersebut masih bisa mendapatkan detail gambar yang diposting sebelumnya melalui arsip forum bitcointalk, seperti berikut (link dan data saya blur):



Saya coba tampilkan (sebagian data samarkan) antara lain untuk edukasi perihal data baik berupa tulisan ataupun gambar yang hendak di upload ke internet agar sudah benar-benar diperiksa terutama terkait informasi yang tertera disana yang bisa saja disalahgunakan pihak lain.

@Luzin perihal Poloniex Fair Fund, coba lihat juga informasi pada link berikut ini: https://www.sec.gov/litigation/admin/2023/34-96779-dp.pdf

kalau setahu saya sih email=email .edu (contoh:@stanford.edu.) itu sangat rawarn di hack, karena tanpa email bocor pun, hacker sudah bakal tahu dan mudah untuk menyusupinya, soalnya nama-nama siswa dan guru sangat mudah diakses publik dengan melihat profil universitas di website, misal gurunya bernama; andi noya, maka bisa ditebak email guru tersebut adalah [email protected], jadi ya tidak heran, apa lagi di luar sono banyak yang jual akun edu dosen.

Agan @Luzin, sebaiknya untuk gambar di atas dihapus, di post maupun di web ibb-nya, karena infomasi yang tertera bisa digunakan untuk melihat alamat dan nama yang mungkin informasi asli dari akun agan.

Mengenai itu asli atau bukan, bisa agan coba cek-cek mengenai informasi-informasi berikut.

https://www.reddit.com/r/PoloniexFairFund/comments/11frxd1/the_united_states_securities_and_exchange/
https://www.reddit.com/r/Bitcoin/comments/11fpnf7/poloniex_fair_fundlegit/
https://twitter.com/C4YPTO/status/1631732747923324946

Kalau saya coba lihat sekilas, ada kemungkinan email itu legit. Silakan agan bisa coba cari tahu sendiri, mengenai emailnya dalam rangka apa, bisa coba lihat di https://www.poloniexfairfund.com/frequently-asked-questions.aspx.

Ada yang masih menggunakan Poloniex?
Beberapa  hari lalu cek-cek email ada notif dari [email protected]. Saya tidak mencoba untuk mengakses link ini, karena saya curiga ini adalah phising untuk akun.
Link yang tercantum dalam email:
web: www.poloniexfairfund.com.
Mail: [email protected].