Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) - page 11. (Read 136194 times)

Ane tidak tahu berita ini sudah pernah di post atau belum di board ini, tapi tidak ada salahnya ane post ulang. Beberapa hari yang lalu phishing dengan mengirimkan e-mail atas nama Trezor mulai mencuat lagi. Tidak hanya lewat e-mail, agan juga bisa mendapatkan e-mail yang berisi link dengan nama Trezor yang mengabarkan bahwa mereka mengalami kebocoran data dan perlu tindakan dari pengguna untuk mengamankan data yang bersangkutan[1].

Ane sendiri mendapatkan e-mail phishing dari Trezor yang bilang dompet ane dalam bahaya, padahal ane tidak pernah beli atau punya hardware Trezor. Kemungkinan besar data" user ini berasal dari leak Trezor itu sendiri atau dari situs lain yang mengoleksi e-mail pengguna kripto. Jangan lupa tetap waspada, staty safe.

[1] https://www.bleepingcomputer.com/news/security/trezor-warns-of-massive-crypto-wallet-phishing-campaign/

Betul. Beberapa hari yang lalu Stanfor juga kebobolan data yang cukup sensitif. Bisa jadi unversitas lain juga mengalami hal yang sama tapi ga diliput berita, atau tidak ingin memberitakannya ke publik[1]. Akhir-akhir ini sepertinya lembaga besar baik yang terlibat dalam bisnis kripto atau tidak pada mengalami kebobolan data, mungkin bisa jadi pertimbangan buat yang ingin memakai cloud provider ke depannya.

Btw, malware yang menarget pengguna Youtube dan Facebook tampaknya bertambah satu lagi. Peneliti malware dari Bitdefender menamainya S1deload Stealer. Modusnya sama dengan malware yang lain. Menawarkan wallpaper syur buat didownload, tapi nanti menginstall malware di komputer pengguna yang bersangkutan[2]. Penyebarannya lewat akun pengguna yang kredensialnya berhasil dicuri, iklan, pesan spam, dst. Tetap hari-hati dan jangan download file yang aneh". Kalau nyari wallpaper ada banyak situs alternatif yang lebih aman dan variatif.

[1] https://www.bleepingcomputer.com/news/security/stanford-university-discloses-data-breach-affecting-phd-applicants/
[2] https://www.bleepingcomputer.com/news/security/new-s1deload-stealer-malware-hijacks-youtube-facebook-accounts/

Kalau saya baca-baca dari searching di google, sesuai nomornya CVE 2017-11467, yaitu ditemukan pada yahun 2017 dimana kala itu terjadi serangan siber yang mempengaruhi ratusan ribu website di dunia.

Sekarang ini semenjak provider besar mengalami kebobolan beberapa waktu lalu, banyak kasus email-email Phising serupa yang menargetkan pengguna crypto. Tentu kita tidak heran, apa lagi market-market di dark web banyak mengobral email-email user yang aktif dalam bermain crypto, dan tentu saja pembeli email tersebut tidak lain dan bukan sebagai hacker phising untuk mengirimkan email seperti di atas.

Sayangnya ane tidak bisa mengakses link CVE yang dishare di berita tersebut, entah kenapa malah redirect ke website lain. Kalau dlihat sekilas sepertinya kasus terbaru ini berasal dari eksploit fitur" khusus dan koneksi ke publik yang seharusnya tidak dilakukan oleh server Redis (CMIIW), jadi bisa dibilang kasus terbaru ini sebagian besar berasal dari pengaturan yang tidak sesuai standar.

Btw beberapa hari yang lalu Namecheap juga mengalami hack yang membuat pengguna jasa-jasa popular seperti DHL mendapatkan e-mail phishing. Isi walletnya berkaitan dengan MetaMask, dengan isi notifikasi kalau wallet user dalam bahaya seperti phishing lainnya. Ada dugaan hacking ini berkaitan dengan provider e-mail seperti SendGrid yang sempat mengalami kebocoran API di aplikasi mobile mereka, tapi pihak Sendgrid/Twilio membantah dugaan tersebut. Yang jelas hati" kalau dapat e-mail aneh meskipun e-mail tersebut berasal dari alamat e-mail yang legit[1].

[1] https://www.bleepingcomputer.com/news/security/namecheaps-email-hacked-to-send-metamask-dhl-phishing-emails/

Saya sempat denger juga, kabarnya Redis server ini juga rawan terhadap malware, saya cek malah Malware Botnet ini hampir mendapatkan keuntungan 1 juta USD dalam mining monero pada 2018 silam. [1]. tentu ini harus jadi perhatian khusus, entah apa kerja security mereka kalau sampai kebobolan 2x ini.

[1]. https://www.bleepingcomputer.com/news/security/mining-botnet-targeting-redis-and-orientdb-servers-made-almost-1-million/

Salah satu penjelasan yang masuk akal menurut saya adalah laporan tersebut harus memenuhi beberapa kriteria, salah satunya jumlah pelapor yang melaporkan ekstensi tersebut atau jumlah laporan atas ekstensi tersebut. Agak kurang masuk akal sih karena harusnya tiap laporan ditindaklanjuti mengingat ini bukan laporan atas cuitan dari user tertentu, tapi ekstensi yang secara alamiah bisa berbahaya buat pengguna. Tapi ya entah apa alasan sebenarnya, yang jelas memang Google kurang memuaskan dalam menanggapi masalah semacam ini, baik di Play Store, iklan, ataupun ekstensi aplikasi mereka.

---

Btw berikut ini beberapa kasus malware/phishing dst yang menurut ane cukup menarik untuk di-share:
- Malware HeadCrab yang menginfeksi Redis server untuk me-mining Monero[1]. Kalau agan punya server berbasis Redis jangan lupa untuk update/melakukan mitigasi atas eksploit yang dimanfaatkan oleh malware ini. Saran yang diajukan antara lain memastikan jaringan agan ga bisa diakses dari internet publik, menonaktifkan fitur slaveof kalau tidak dipakai, mengaktifkan mode terproteksi sehingga server hanya merespons ke alamat loopback. CMIIW.
- Beberapa malware yang disebarkan lewat iklan/tawaran pekerjaan ke berbagai user[2]. Ada beberapa jenis malware serupa yang tujuan utamanya adalah melakukan pencurian data dari komputer pengguna yang terinfeksi. Kalau agan sedang mencari lowongan kerja pastikan berhati-hati, khususnya kalau agan pakai VPN dan IP dari Eropa, karena dari yang ane baca penyebaran ini menyerang pengguna internet yang berbasis di Eropa.

[1] https://www.bleepingcomputer.com/news/security/new-headcrab-malware-infects-1-200-redis-servers-to-mine-monero/
[2] https://thehackernews.com/2023/02/enigma-vector-and-tgtoxic-new-threats.html

Kadang saya bingung, buat apa google bikin opsi laporkan jika laporan yang disampaikan tidak ditanggap. Saya barusan check extension di atas, masih tetap ada di mesin pencari google. Malah sekarang, saya lihat telah bertambah jadi 5 pengguna dari awal saya lihat di OP share 2 minggu lalu (cuma 1 pengguna). Jadi ya percuma Google bikin opsi laporkan tapi tidak pernah cepat dieksekusi untuk ditutup (seperti dipelihara gitu, menampung sebanyak-banyaknya yang kena trap)

Ya, untuk mempelajari model phishing lainnya sebaiknya mengambil referensi tidak hanya dari satu sumber (terpercaya) saja sebagaimana untuk Ledger tentunya model serangannya hanya yang terkait dengan produk mereka saja, tapi juga lihat referensi lain semisal dari situs www.bleepingcomputer.com sebagaimana yang disebutkan diatas atau dari informasi pada artikel-artikel yang diulas antivirus misalnya.

---

Agan harus mengklik opsi yang ada sebagaimana disebutkan om Jon di atas.
Berikut ini hasil barusan saya mereport ekstension tersebut:

Agan perlu memilih alasan penyalahgunaan yang ada di list tersebut. Contohnya agan pilih "Berbahaya untuk komputer atau data saya" (klik bulatan putih di sebelah teks tersebut), baru nanti tombol Kirim akan aktif. Komentar tidak wajib diisi, tapi boleh saja agan tulis alasan lebih detailnya di situ, kecuali agan memilih opsi terakhir (Memiliki masalah lain dst..). Kalau agan sudah mengirim laporan akan muncul halaman kalau laporan penyalahgunaan berhasil dikirimkan.

Karena rasa penasaranku yang cukup tinggi sehingga membuatku mencari dan berkinginan untuk mencoba. Memang ini sangat beresiko, beruntungnya aku tidak menyimpannya di PC, kalau ada mungkin sudah ku copy paste.

Aku sudah melaporkan, https://chrome.google.com/webstore/report/oejpbeppmmdbgglamhnmheeconkphbdp?hl=id&gl=US
Tapi websitenya tidak responsif, tidak terlihat apa sudah terkirim apa belum. Sudah kuklik kirim 3 kali masih tetap seperti gambar di bawah,



Apa di antara kalian sama?.

Sedikit mengingatkan kalau list yang ada tidak selalu update. Terakhir di situ ada detailnya diupdate bulan Maret 2022, yang bisa dibilang sudah cukup lama berlalu. Sejauh ini ane belum nemu indeks phishing yang up to date karena phishing/malware/virus dst bisa muncul dengan cepat. Alternatifnya adalah mempelajari modus operandi phising yang ada, misalnya di link berikut ini[1]. Atau cek thread ini/forum secara berkala karena pasti bakal ada yang share berita mengenai kasus phishing terbaru.

Di bulan Januari ini, beberapa kasus ransomware yang melibatkan crypto juga cukup banyak. Ane nemu beberapa kasus yang mungkin bisa membantu agan untuk mempelajari kasus" tersebut lebih lebih jauh lagi[2], salah satunya bahkan diklaim melibatkan exchange crypto. Berikut di antaranya:
Source: Bleeping Computer

[1] https://www.investopedia.com/articles/forex/042315/beware-these-five-bitcoin-scams.asp
[2] https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-january-20th-2023-targeting-crypto-exchanges/

Sudah mendapat link dari situs resminya kenapa agan malah ujungnya mencari di mesin pencarian dan mengakses situs tidak resmi? Menurut saya upaya tersebut termasuk "nekat" dan mengundang resiko.
Tadi saya coba baca artikel di link resminya tersebut, padahal disana dijelaskan langkah demi langkahnya jika memang mau mencoba "Ledger Connect" versi Beta tersebut:

---

Bahkan di situs https://www.ledger.com/ bagian atas jelas terpampang peringatan seperti berikut ini:



Catatan:
Beberapa model phishing campaign lainnya yang berusaha menarget pengguna Ledger bisa dilihat disini:
https://www.ledger.com/phishing-campaigns-status

Beberapa hari lalu aku mau nyari extension ledger live di google karena sempat baca arttikel: https://www.ledger.com/blog-ledger-connect-browser-extension-is-coming-soon-sign-up-for-the-beta kalau akan luncur
Karena mendesak dan tidak begitu memperhatikan dampaknya, makaa aku nyari di googlee dan nnemu: setelah terinstall lalu kusambunggkan dengan ledger ku,  setelah ke detek dan ledge hidup, extension minta konek lagi ke wallet, paddahal ledgerku sudahh nyala,
yang mmebuatku tidakk lanjut lagi adalah, extension itu minta 24 passwordku, sehingga ku tutup dan tidak jadi lanjutt.

Hati-hati jika mau install extension atau sesuatu di internet, kareena sekrangg ini makin banyak scamer yang nyari duitnya nyuri punya kalian. Jika sudah connect tapi masih minta 24 kata itu, artinya website itu scam. sama seperti akun samaran bank yang minta pin dan otp pengguna ngaku-ngaku pegawai bankk.

Mohon berhati-hati kalau melihat post dan link ini di forum, khususnya yg pakai wallet MetaMask di browser.


Ini website phishing yang akan meminta akses terhadap semua NFT di wallet. Report saja kalau melihat post seperti ini. Terima kasih.

Memang katanya lebih aman pakai SMS artinya nomor tersebut belum atau tidak terdaftar di aplikasi perpesanan kayak WA dan sebagainya. Tapi ya walau pun cuma SMS tetap saja kita harus waspada, karena saya pernah denger seorang teman yang pernah membeli nomor cantik dapat semacam OTP dari bank, padahal nomor tersebut baru saja dia beli dan belum pernah sekalipun digunakan untuk daftar bank. Jadi menurut asumsi saya sih, bisa jadi nomor tersebut sudah mati atau terblokir di masa lalu dan dihidupkan lagi oleh Oknum provider telpon.

Berarti kalau model serangan malware-nya seperti disebutkan diatas, mau menggunakan 2FA sekalipun pasti dijebol juga karena aplikasinya sendiri "direkam". Mungkin aplikasi 2FA semisal google authenticator, authy dan lainnya mesti diinstal di device yang berbeda dari device yang digunakan untuk aplikasi perbankan, meskipun jadi rada kurang praktis karena mesti membawa beberapa perangkat.

Saya sendiri untuk nomor yang didaftarkan di bank, saat ini dipasangnya di HP biasa (non smartphone), setelah sebelumnya digunakan terlebih dulu di smartphone untuk instalasi aplikasi perbankan.

---

Btw, tadi saya baca malware Godfather ini dirancangnya untuk menyerang perangkat Android seperti disebutkan berikut:

Semakin populer OS yang digunakan, semakin populer juga jadi target malware.

Wah, baru tahu saya. Pengalaman saya soalnya di Android aplikasi ini masih tersedia, dan masih diupdate walupun rentang antara update satu ke yang lainnya sangat panjang. Kalau keamanan dan fitur terbaru jadi alasan agan pake Telegram, mungkin memang bukan jadi pilihan yang baik. Sementara pilihan terbaik adalah mengecek manual kalau agan tidak mau bayar. Semoga saja fitur filter voice message dan fitur" penting lainnya bisa dibuat free lagi. Signal mungkin bisa jadi pilihan, sayang pengguna Signal tidak terlalu banyak sejauh yang saya tahu.

---

Btw beberapa hari terakhir dari berbagai web terkait berita kripto kabarnya ada malware baru dengan nama Godfather yang menyerang aplikasi perbankan dan juga crypto di Jerman (mungkin penyebaran juga ke global). Kalau ane baca" dari Bitcoin.com sih, sepertinya modusnya masih sama dengan fake app lainnya, yaitu menyerupai aplikasi dari developer yang diserang untuk kemudian merekam keystroke dan 2FA yang diminta ketika user login (jadi request login dikirim ke URL yang benar, hanya saja datanya diintai agar penyerang bisa login sendiri di device yang lain)[1]. Setelah malware ini berhasil terinstall, mereka juga akan menginstall/download malware lain seperti aplikasi pengirim pesan, jadi bot untuk serangan DDoS, dsm.

Untuk melindungi devide agan dari malware ini, masih tidak jauh berbeda dengan tips" sebelumnya. Selalu download dari sumber resmi, kalau pake App Store pastikan agan mendowload aplikasi yang benar, kalau developer menyediakan hash untuk verifikasi pastikan verifikasi sebelum install, pastikan jaringan agan bebas dari DNS hijack atau serangan MITM lainnya, jangan percaya dengan hasil pencarian di Google terutama yang berasal dari iklan, dan lain sebagainya. Stay safe!

[1] https://news.bitcoin.com/germanys-financial-watchdog-warns-of-godfather-malware-attacks-on-crypto-apps/

Saya coba lihat link pada artikel referensi di atas, coba buka di App Store (macOS) tertera App not available



Kemudian coba cari di App Store (iOS) sama juga, aplikasi Telegram X tersebut tidak tersedia.

---

Opsi menghapus Cache masih bisa di setting auto remove ^[1] tapi untuk menghapus file saya lihat memang masih mesti manual ^[2].

^[1]

---

^[2]


Beberapa waktu lalu saya mendapatkan voice message yang di forward dari channel tertentu (kasusnya mirip dengan yang dialami MAAManda). Karena bahkan usernya pun tidak saya kenal, saya langsung Block User dan file voice message yang defaultnya otomatis terdownload (karena bukan user premium) turut terhapus dari storage.

Kalau tidak mau bayar atau subscribe ke premium, alternatif yang ane temukan adalah menggunakan Telegram X. Ini client alternatif buat pengguna Telegram yang dulu juga pernah ane coba. Hanya saja untuk iOS sepertinya kurang disarankan kalau user ingin performa yang optimal, setidaknya begitu kata Telegram sendiri[1]. Ane sendiri belum cek update terbaru, tapi kalau ga ada perubahan harusnya bisa diatur dengan langkah yang sama, dengan tambahan opsi untuk mematikan voice message di bagian auto-download media. Perlu diingat kalau app ini jarang diupdate, dan fitur" yang ada di app utama belum tentu tersedia.

Btw ane baca" di sosmed katanya fitur filter dan fitur" premium lainnya bisa jadi free setelah beberapa bulan, jadi kalau agan bisa nunggu mungkin sekalian nunggu saja daripada bayar dan menyia"kan uang karena ga menggunakan fitur yang lain. Tapi tentu saja, hanya sebatas rumor, bisa jadi malah makin ditambah paywallnya. Hapus file/cache berkala mungkin bisa jadi opsi terakhir untuk mewaspadai file malware yang ga sengaja terunduh oleh Telegram.

[1] https://telegram.org/blog/telegram-x

Saya juga sempat teringat kasus peretasan melalui pengiriman gambar di WA yang pernah disampaikan agan Luzin & dewo_sat sebelumnya, namun itu malah berupa file apk atau berupa link (bukan berupa gambar yang langsung bisa dilihat -semisal menggunakan opsi auto download) yang jika di tap kemungkinan memang yang terjadi adalah menginstall virus atau sejenisnya untuk meretas device korbannya.

Ya, padahal itu termasuk salah satu fitur pada Privacy and Security yang bahkan di Whatsapp pun tidak dibuat menjadi berbayar untuk mengaktifkan filternya.
Untuk user Telegram non-premium, mau tidak mau voice message yang dikirim user lain tetap otomatis terdownload (karena tidak ada opsi untuk memfilternya).