Pages:
Author

Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) - page 21. (Read 147957 times)

hero member
Activity: 994
Merit: 593
aka JAGEND.
MALWARE

Fake Corona AntiVirus
Website :
Code:
http://antivirus-covid19.site/

Slogan :
"Download Our AI Corona Antivirus For The Best Possible Protection Against The Corona COVID-19 Virus" (BULLSHIT)

Status :
Sudah diblock oleh Firefox dan Google.

Info lengkap :
https://blog.malwarebytes.com/threat-analysis/2020/03/fake-corona-antivirus-distributes-blacknet-remote-administration-tool/


hero member
Activity: 994
Merit: 593
aka JAGEND.
Pishing website & telegram :
Website : https://bloomextra.com/
Telegram : https://t.me/ExtraEth

Code:
NameNAMECHEAP INC
Whois Serverwhois.namecheap.com
Referral URLhttp://www.namecheap.com
Expires On2021-03-02
Registered On2020-03-02
Updated On0001-01-01


Original Link :
Website : https://bloom.co/
Telegram : https://t.me/bloomprotocol
Code:
Registrar Info
Name : eNom, LLC
Whois Server : whois.enom.com
Referral URL : whois.enom.com
Status : clientTransferProhibited https://icann.org/epp#clientTransferProhibited

Important Dates
Expires On : 2020-07-19
Registered On : 2010-07-20
Updated On : 2020-03-05

Thread :
https://bitcointalksearch.org/topic/m.54088735

hero member
Activity: 994
Merit: 593
aka JAGEND.
Ledger Live Fake Chrome Extension.
Sumber Thread : https://bitcointalksearch.org/topic/m.54080137

Extensions:

Code:
https://chrome.google.com/webstore/detail/ledger-live/pedoikjokpjgkpmideineekfbclpnfjg
Code:
https://chrome.google.com/webstore/detail/ledger-live/bhkcgfbaokmhglgipbppoobmoblcomhh
Code:
https://chrome.google.com/webstore/detail/ledger-live/dehindejipifeaikcgbkdijgkbjliojc
Code:
https://chrome.google.com/webstore/detail/ledger-live/lfaahmcgahoalphllknbfcckggddoffj
Code:
https://chrome.google.com/webstore/detail/ledger-wallet/pbilbjpkfbfbackdcejdmhdfgeldakkn



Link : https://zeldacoin.club/
Thread : https://bitcointalksearch.org/topic/m.54079254
Sudah di cek oleh :
I just installed it (didn't run it) and I noticed that at the last step, you are asked to run a file called null.exe (which is not inside the installed folder)



I searched for the file and found it in the following paths:

Code:
%AppData%/WinUpdate/
%AppData%/WinUpdate/ZLCWallet/4/

Scanning results: https://www.virustotal.com/gui/file/c8425cf994f02784d3f8eeb570b6ac1edc5876908b64b40b532e2534a84a19ad/detection



So as OP said, this will allow the attacker to take control over your computer.


legendary
Activity: 2296
Merit: 2892
#SWGT CERTIK Audited
Hati-Hati adalagi website phising/kloningan dari chipmixer
Original Link: https://chipmixer.com
Fake: https://cnipmixer.com/

Note:
Sepertinya web tersebut sudah di takedown




-snip-
Archived: http://web.archive.org/save/https://cnipmixer.com/
-snip-
Quote
Domain Name: CNIPMIXER.COM
Registry Domain ID: 2498265037_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.registrar.eu
Registrar URL: http://www.openprovider.com
Updated Date: 2020-03-08T20:43:35Z
Creation Date: 2020-02-29T08:47:40Z
Registry Expiry Date: 2021-02-28T08:47:40Z
Registrar: Hosting Concepts B.V. d/b/a Openprovider
Registrar IANA ID: 1647
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +31.104482297
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: MEERA.NS.CLOUDFLARE.COM
Name Server: PHIL.NS.CLOUDFLARE.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2020-03-18T21:30:01Z <<<
-snip-

legendary
Activity: 2324
Merit: 1604
hmph..
Barusan nyoba cek harga Bitcoin dengan memanfaatkan layanan Google search dan saya mendapatkan phishing OKEX.com ads ini:





Informasi websites:
Code:
https://www.iokex.com/

Domain Name: iokex.com
Registry Domain ID: 2222639617_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.registrar.amazon.com
Registrar URL: https://registrar.amazon.com
Updated Date: 2020-02-25T05:28:54.983Z
Creation Date: 2018-02-03T03:10:58Z
Registrar Registration Expiration Date: 2023-02-03T03:10:58Z
Registrar: Amazon Registrar, Inc.
Registrar IANA ID: 468


dukung saya untuk melaporkan domain IOKEX.com : https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en
legendary
Activity: 2170
Merit: 1789
Aplikasi map penyebaran Covid-19 terdeteksi mengandung malware yang bisa mencuri data-data agan[1], termasuk data kripto. Hati-hati dalam mendownload file, kalau mau mengakses penyebaran covid silakan cek lewat sumber seperti ini[2].

[1] https://blog.reasonsecurity.com/2020/03/09/covid-19-info-stealer-the-map-of-threats-threat-analysis-report/
[2] https://www.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6
legendary
Activity: 2366
Merit: 2054
Hati-hati terhadap fake/phishing coinomi wallet extension di chrome [1].
Team dari coinomi menemukan extension palsu menyerupai coinomi wallet yang pasti akan mengambil kunci private key dan seed anda.



Saya juga menemukan fake/phishing "extension coinomi yang lain" menyerupai [2].



Harap hati-hati, jangan install sembarangan, selalu gunakan link download official dari coinomi [3].

[1]. https://twitter.com/CoinomiWallet/status/1235275933260681221
[2]. https://chrome.google.com/webstore/detail/coinomi-dev/pfedffefbgajikmhocoecakjjpbgegcd [Jangan diinstall !!]
[3]. https://www.coinomi.com [Official]
legendary
Activity: 2170
Merit: 1789
Ada informasi tentang critical bug di pppd yang bisa menyebabkan serangan remote-attack pada komputer target[1]. Serangan ini bisa aja digunakan untuk mengambil/mencuri data-data seperti wallet. Kalau agan make Linux segera update ketika ada security patch terbaru.

[1] https://www.kb.cert.org/vuls/id/782301/
legendary
Activity: 2296
Merit: 2892
#SWGT CERTIK Audited
Hati-hati terutama jika mendapatkan kiriman email yang menyertakan link sepintas mirip dari https://www.blockchain.com/
seperti yang diterima oleh salah satu member bitcointalk berikut:
https://bitcointalksearch.org/topic/warningfake-blockchain-app-support-and-phishing-website-5230995

Original link:
https://login.blockchain.com/#/login

Fake:
https://login.blorckhain.com/en/password_update/token=nD7sYfshLxV8Sv2/?login=gmaill



Pada https://www.whois.com/whois/blorckhain.com tertera Registered On: 2020-03-05




legendary
Activity: 2170
Merit: 1789
Untuk pengguna chrome, potensi pelanggaran privacy sudah terdeteksi.

Sejauh yang ane pahami, ini diluar topik karena ga menyangkut phishing/malware/dkk. Melainkan, seperti yang agan bilang sendiri, masalah Chrome dan kebijakan privasi mereka.

Next time dibuat topik baru saja.
hero member
Activity: 994
Merit: 593
aka JAGEND.
Untuk pengguna chrome, potensi pelanggaran privacy sudah terdeteksi.
Informasi selengkapnya dapat agan baca disini :
1. https://www.forbes.com/sites/gordonkelly/2020/02/23/google-chrome-80-upgrade-deep-linking-update-chrome-browser/amp/
2. https://www.reddit.com/r/OutOfTheLoop/comments/f7cdd8/whats_up_with_everyone_freaking_out_about/

I'm not a chrome fan anymore since 2017
legendary
Activity: 2170
Merit: 1789
Udah ada yang share di sub English, barang kali ada yang belum baca, ada varian malware baru (baca: udah lama ada tapi mulai rame sekarang) yang targetnya adalah 'mencuri' / bypass 2FA di Android. Namanya Cerberus[1].

Simpelnya, malware ini memanfaatkan vulnerability di Android accessibility services, yang kemudian akan mengintercept data 2FA baik offline ataupun sms, lalu dikirim ke sebuah server. Buat yang sering mengakses exchange atau wallet ber-2FA, harap hati-hati.

Antisipasinya:
- Jangan install apps sembarangan.
- Update Android agan ke security patch terbaru jika ada pembaruan.
- Gunakan hape yang koneksi internetnya terputus untuk 2FA (hape khusus).
- Kalau hape agan di root, coba cek priviledge apps dan matikan/blok aplikasi gaje yang minta akses root.

[1] https://www.threatfabric.com/blogs/cerberus-a-new-banking-trojan-from-the-underworld.html
legendary
Activity: 2254
Merit: 2253
From Zero to 2 times Self-Made Legendary
Ada laporan tentang malware Raccoon yang menargetkan browser-browser populer (cookies, history, user data, etc) dan file wallet. Penyebarannya melalui e-mail phishing dan berbagai exploit pada masing-masing browser[1]. Pencegahannya ga jauh beda dengan malware pada umumnya: jangan klik sembarang link, update browser kalau ada patch terbaru, selalu waspada dan jangan menggampangkan keamanan walau agan browsing di komputer sendiri yang letaknya 100 meter di bawah tanah.

[1] https://www.zdnet.com/article/raccoon-malware-targets-massive-browser-range-to-steal-your-data-and-cryptocurrency/

Mencegah memang lebih baik daripada harus mengobati ... Selain melalui email phising dan exploit code (website), biasanya malware seperti ini seringkali dipaketkan kedalam sebuah Bundle App/software atau sering disebut dengan istilah "Bundleware". Sehingga secara tidak langsung perangkat korban akan terinfeksi pada saat mereka melakukan installasi App yang ingin digunakan (tanpa menyadari adanya proses instalasi malware didalam langkah-langkah instalasi tersebut).

Selain menghindari akftifitas yang bisa memberi jalan malware untuk masuk kedalam perangkat, penggunaan anti-virus/anti-malware (uptodate) adalah langkah yang tepat untuk menghindari serangan malware-malware seperti ini. Dan untuk memastikan apakah malware tersebut berada didalam sistem atau tidak, hendaknya dilakukan Full-Scan atau jika sekiranya anti-virus/malware tidak mengenali variant malware tersebut, maka pengguna harus mendeteksi secara manual (jenis file, nama, model eksekusi dan behavior-nya).

Malware : Raccoon Stealer
Executable : 2.exe ; myfile.exe
Jenis File : Win32 EXE

Source https://www.virustotal.com/gui/file/bbe8c7ab32f09ef6ad4c11fc19105b6cdcfdc4929630f5e1b039936d38c9283f/details
legendary
Activity: 2170
Merit: 1789
Ada laporan tentang malware Raccoon yang menargetkan browser-browser populer (cookies, history, user data, etc) dan file wallet. Penyebarannya melalui e-mail phishing dan berbagai exploit pada masing-masing browser[1]. Pencegahannya ga jauh beda dengan malware pada umumnya: jangan klik sembarang link, update browser kalau ada patch terbaru, selalu waspada dan jangan menggampangkan keamanan walau agan browsing di komputer sendiri yang letaknya 100 meter di bawah tanah.

[1] https://www.zdnet.com/article/raccoon-malware-targets-massive-browser-range-to-steal-your-data-and-cryptocurrency/
legendary
Activity: 2324
Merit: 1604
hmph..
Terima kasih mas Joniboini sudah membuka thread. Ini saya menemukan beberapa website phishing Chipmixer.


DomainPunycodeStatusIP
chipmixeŗ.comxn--chipmixe-sub.comDapat diakses199.188.206.8
chìpmixer.comxn--chpmixer-31a.comDapat diakses198.54.115.205
chipmixers.comDapat diakses185.212.128.125
chip-mixer.comDapat diakses199.188.206.78

Code:
https://chipmixeŗ.com
https://chìpmixer.com
https://chipmixers.com
https://chip-mixer.com



Yang menarik dari semua domain di atas tidak menggunakan domain gratis seperti Let'sEncrypt, tetapi menggunakan SSL SectiGo yang merupakan layanan SSL berbayar dan hanya memberikan trial 30 hari gratis. FYI domain juga sudah saya laporkan, semoga segera di takedown.
legendary
Activity: 2170
Merit: 1789
Tadi saya coba klik link nya apakah benar langsung download, ternyata di saya tidak langsung terdownload namun lebih dulu muncul jendela seperti berikut (artinya masih ada opsi pada user apakah lanjut download/save file atau cancel).

Sedikit catatan: bisa jadi pengaturan di tiap user berbeda (ada yang mengatur akan download otomatis). Mau otomatis atau tidak, adalah tanggung jawab masing-masing untuk waspada.

Saya kunci dulu agar pembahasan tidak terlalu melebar.
legendary
Activity: 2296
Merit: 2892
#SWGT CERTIK Audited
kalau enggak linknya dibikin unclickable aja
https://stellar-claim.com
https://yip.su/2ic7s5

soalnya link tersebut jika diklik langsung download file stellarairdrop.exe
Tadi saya coba klik link nya apakah benar langsung download, ternyata di saya tidak langsung terdownload namun lebih dulu muncul jendela seperti berikut (artinya masih ada opsi pada user apakah lanjut download/save file atau cancel).



Penasaran akhirnya tadi saya coba lanjut download/save file Smiley



Note: bagi pengguna OS Windows apalagi tidak memasang Antivirus, mohon tidak mendownload/install file dari fake link seperti yang saya coba diatas.

Saya coba upload file tersebut ke www.virustotal.com, bisa lihat hasilnya disini:
https://www.virustotal.com/gui/file/4788d3e48dbad6a274a2ed844c76e9e770029e404ab6f72eb4eb8cd8a23fb265/detection
--No engines detected this file--

Kesimpulan:
Sekalipun misalkan file tidak terdeteksi sebagai virus/malware oleh antivirus manapun, tetap waspada dan pastikan downloadnya di situs official/resminya.

legendary
Activity: 2366
Merit: 2054
Code:
https://stellar-claim.com 
ke link https://yip.su/2ic7s5
Maaf sebelumnya, saya kira itu link itu sangat berbahaya kalau tidak diantisipasi dengan menggunakan kode seperti yang saya quoted atau kalau enggak linknya dibikin unclickable aja. soalnya link tersebut jika diklik langsung download file stellarairdrop.exe, dimana link tersebut banyak sekali virusnya.

https://www.virustotal.com/gui/url/7dea2d1b1afe2fcf6653397c9b72dddc39c9ec6a610cf7aae26bf8ca6462aaf8/detection



IP Conected dengan : https://www.virustotal.com/gui/ip-address/88.99.66.31/relations



Mohon @TedMosby untuk segera mengedit postnya agar tidak bisa langsung diklik linknya tersebut.
sr. member
Activity: 1120
Merit: 438
https://bitcointalk.org/index.php?topic=5274318.0
Dapat email airdrop stellar 2 hari lalu.
Orangnya ngaku representative of the marketing department of Stellar.
Email jg dikirim pake yahoo  Grin.
standar email basa basi formal airdrop dan dengan 1 link mengarah ke form
https://docs.google.com/forms/d/e/1FAIpQLSecFRulFcKzbGVmjIAkyU5w3G2EIGaL5MGnWQP_C1j1EEgOMA/viewform?fbzx=6166147120937766159

Di bagian official linknya, nyelip 1 link aneh.
Pinter jg nyelipin link diantara link2 legit.


https://stellar-claim.com sepintas legit karena hampir semua link yg berada di menu header hingga footer mengarah ke official link https://stellar.org.
Hanya saja, bagian claim dan download mengarah ke link https://yip.su/2ic7s5, yg bener harusnya ke https://www.stellar.org/developers/software/. Sepertinya sama kayak model2 yg dibahas sebelumnya. linknya pake yip.su jg.


Sebelumnya ada jg https://stellar-claim.info, tapi udah gak aktif.

Mirip2 kayak yg di post om @pandukelana2712
https://bitcointalk.org/index.php?topic=5090319.msg52964043;topicseen#msg52964043
legendary
Activity: 2366
Merit: 2054
Saya pernah ngepost alat atau tool untuk mencari phishing, ini sangat berguna untuk antisipasi atau bagi Phishing hunter yang suka mereport web palsu tersebut.

https://dnstwister.report/

Saya contohkan mencari web yang mirip dengan indodax : https://dnstwister.report/search?ed=696e646f6461782e636f6d

Ini penampakannya:



Tapi rata-rata udah offline/mati dan ada beberapa yang dijualin.

contoh yang udah direport


Kalau mau lebih banyak lagi, nangkapnya pake script. https://bitcointalksearch.org/topic/m.53566053
Pages:
Jump to: