Ada laporan tentang malware Raccoon yang menargetkan browser-browser populer (cookies, history, user data, etc) dan file wallet. Penyebarannya melalui e-mail phishing dan berbagai exploit pada masing-masing browser[1]. Pencegahannya ga jauh beda dengan malware pada umumnya: jangan klik sembarang link, update browser kalau ada patch terbaru, selalu waspada dan jangan menggampangkan keamanan walau agan browsing di komputer sendiri yang letaknya 100 meter di bawah tanah.
[1] https://www.zdnet.com/article/raccoon-malware-targets-massive-browser-range-to-steal-your-data-and-cryptocurrency/
Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) - page 22. (Read 152315 times)
Terima kasih mas Joniboini sudah membuka thread. Ini saya menemukan beberapa website phishing Chipmixer.
Yang menarik dari semua domain di atas tidak menggunakan domain gratis seperti Let'sEncrypt, tetapi menggunakan SSL SectiGo yang merupakan layanan SSL berbayar dan hanya memberikan trial 30 hari gratis. FYI domain juga sudah saya laporkan, semoga segera di takedown.
| Domain | Punycode | Status | IP |
| chipmixeŗ.com | xn--chipmixe-sub.com | Dapat diakses | 199.188.206.8 |
| chìpmixer.com | xn--chpmixer-31a.com | Dapat diakses | 198.54.115.205 |
| chipmixers.com | Dapat diakses | 185.212.128.125 | |
| chip-mixer.com | Dapat diakses | 199.188.206.78 |
Code:
https://chipmixeŗ.com
https://chìpmixer.com
https://chipmixers.com
https://chip-mixer.com
https://chìpmixer.com
https://chipmixers.com
https://chip-mixer.com
Yang menarik dari semua domain di atas tidak menggunakan domain gratis seperti Let'sEncrypt, tetapi menggunakan SSL SectiGo yang merupakan layanan SSL berbayar dan hanya memberikan trial 30 hari gratis. FYI domain juga sudah saya laporkan, semoga segera di takedown.
Tadi saya coba klik link nya apakah benar langsung download, ternyata di saya tidak langsung terdownload namun lebih dulu muncul jendela seperti berikut (artinya masih ada opsi pada user apakah lanjut download/save file atau cancel).
Sedikit catatan: bisa jadi pengaturan di tiap user berbeda (ada yang mengatur akan download otomatis). Mau otomatis atau tidak, adalah tanggung jawab masing-masing untuk waspada.
Saya kunci dulu agar pembahasan tidak terlalu melebar.
kalau enggak linknya dibikin unclickable aja
httpshttps
soalnya link tersebut jika diklik langsung download file stellarairdrop.exe
Tadi saya coba klik link nya apakah benar langsung download, ternyata di saya tidak langsung terdownload namun lebih dulu muncul jendela seperti berikut (artinya masih ada opsi pada user apakah lanjut download/save file atau cancel).
Penasaran akhirnya tadi saya coba lanjut download/save file
Note: bagi pengguna OS Windows apalagi tidak memasang Antivirus, mohon tidak mendownload/install file dari fake link seperti yang saya coba diatas.
Saya coba upload file tersebut ke www.virustotal.com, bisa lihat hasilnya disini:
https://www.virustotal.com/gui/file/4788d3e48dbad6a274a2ed844c76e9e770029e404ab6f72eb4eb8cd8a23fb265/detection
--No engines detected this file--
Kesimpulan:
Sekalipun misalkan file tidak terdeteksi sebagai virus/malware oleh antivirus manapun, tetap waspada dan pastikan downloadnya di situs official/resminya.
Code:
https://stellar-claim.com
ke link https://yip.su/2ic7s5
ke link https://yip.su/2ic7s5
https://www.virustotal.com/gui/url/7dea2d1b1afe2fcf6653397c9b72dddc39c9ec6a610cf7aae26bf8ca6462aaf8/detection
IP Conected dengan : https://www.virustotal.com/gui/ip-address/88.99.66.31/relations
Mohon @TedMosby untuk segera mengedit postnya agar tidak bisa langsung diklik linknya tersebut.
Dapat email airdrop stellar 2 hari lalu.
Orangnya ngaku representative of the marketing department of Stellar.
Email jg dikirim pake yahoo
.
standar email basa basi formal airdrop dan dengan 1 link mengarah ke form
https://docs.google.com/forms/d/e/1FAIpQLSecFRulFcKzbGVmjIAkyU5w3G2EIGaL5MGnWQP_C1j1EEgOMA/viewform?fbzx=6166147120937766159
Di bagian official linknya, nyelip 1 link aneh.
Pinter jg nyelipin link diantara link2 legit.
https://stellar-claim.com sepintas legit karena hampir semua link yg berada di menu header hingga footer mengarah ke official link https://stellar.org.
Hanya saja, bagian claim dan download mengarah ke link https://yip.su/2ic7s5, yg bener harusnya ke https://www.stellar.org/developers/software/. Sepertinya sama kayak model2 yg dibahas sebelumnya. linknya pake yip.su jg.
Sebelumnya ada jg https://stellar-claim.info, tapi udah gak aktif.
Mirip2 kayak yg di post om @pandukelana2712
https://bitcointalk.org/index.php?topic=5090319.msg52964043;topicseen#msg52964043
Orangnya ngaku representative of the marketing department of Stellar.
Email jg dikirim pake yahoo
.standar email basa basi formal airdrop dan dengan 1 link mengarah ke form
https://docs.google.com/forms/d/e/1FAIpQLSecFRulFcKzbGVmjIAkyU5w3G2EIGaL5MGnWQP_C1j1EEgOMA/viewform?fbzx=6166147120937766159
Di bagian official linknya, nyelip 1 link aneh.
Pinter jg nyelipin link diantara link2 legit.
https://stellar-claim.com sepintas legit karena hampir semua link yg berada di menu header hingga footer mengarah ke official link https://stellar.org.
Hanya saja, bagian claim dan download mengarah ke link https://yip.su/2ic7s5, yg bener harusnya ke https://www.stellar.org/developers/software/. Sepertinya sama kayak model2 yg dibahas sebelumnya. linknya pake yip.su jg.
Sebelumnya ada jg https://stellar-claim.info, tapi udah gak aktif.
Mirip2 kayak yg di post om @pandukelana2712
https://bitcointalk.org/index.php?topic=5090319.msg52964043;topicseen#msg52964043
Saya pernah ngepost alat atau tool untuk mencari phishing, ini sangat berguna untuk antisipasi atau bagi Phishing hunter yang suka mereport web palsu tersebut.
https://dnstwister.report/
Saya contohkan mencari web yang mirip dengan indodax : https://dnstwister.report/search?ed=696e646f6461782e636f6d
Ini penampakannya:
Tapi rata-rata udah offline/mati dan ada beberapa yang dijualin.
contoh yang udah direport
Kalau mau lebih banyak lagi, nangkapnya pake script. https://bitcointalksearch.org/topic/m.53566053
https://dnstwister.report/
Saya contohkan mencari web yang mirip dengan indodax : https://dnstwister.report/search?ed=696e646f6461782e636f6d
Ini penampakannya:
Tapi rata-rata udah offline/mati dan ada beberapa yang dijualin.
contoh yang udah direport
Kalau mau lebih banyak lagi, nangkapnya pake script. https://bitcointalksearch.org/topic/m.53566053
apa ada cara untuk mengatasi phising seperti ini ??
Sebenarnya akan lebih efektif jika ada pencegahan sebelum terjadi terkena phising.Jika sudah terjadi terkena phising, menurut saya install ulang OS (clean install) bisa dijadikan salah satu alternatif pilihan.
Berikut ini beberapa cara yang bisa agan lakukan untuk pencegahan/meminimalisir terkena phising:
- Update OS secara berkala
- Pasang Antivirus, dan update secara rutin
- Jangan klik sembarangan link
- Jika agan menggunakan wallet cryptocurrency (desktop, mobile, dsm) pastikan download dari official website dan verifikasi keasliannya.
btw, ini sejatinya thread untuk informasi Phishing, Malware, Virus, jika OP kurang berkenan dengan jawaban saya atas pertanyaan member di atas silahkan dipertimbangkan jika ingin dihapus.
Kalo gak di hapus gak apa apa juga kah?
apa ada cara untuk mengatasi phising seperti ini ??
Sebenarnya akan lebih efektif jika ada pencegahan sebelum terjadi terkena phising.Jika sudah terjadi terkena phising, menurut saya install ulang OS (clean install) bisa dijadikan salah satu alternatif pilihan.
Berikut ini beberapa cara yang bisa agan lakukan untuk pencegahan/meminimalisir terkena phising:
- Update OS secara berkala
- Pasang Antivirus, dan update secara rutin
- Jangan klik sembarangan link
- Jika agan menggunakan wallet cryptocurrency (desktop, mobile, dsm) pastikan download dari official website dan verifikasi keasliannya.
btw, ini sejatinya thread untuk informasi Phishing, Malware, Virus, jika OP kurang berkenan dengan jawaban saya atas pertanyaan member di atas silahkan dipertimbangkan jika ingin dihapus.
Thread ini (yang awalnya hanya berisi informasi seputar phising Electrum) telah saya perbarui menjadi thread kumpulan serangan phising, malware dst yang berhubungan dengan Bitcoin dan kriptokurensi pada umumnya. Member-member bisa menambahkan informasi seputar phishing dst, kecuali (dugaan) scam karena hal tersebut terwakili dengan red trust dan ada sub scam accusations. Mohon kerja samanya, indeks akan diperbarui secara berkala dan siapa saja boleh menambahkan informasi. Post-post yang saya persepsi berkualitas rendah, tidak sesuai topik atau lebih pantas dibuat thread tersendiri dan seterusnya akan saya hapus dengan mencantumkan alasannya. Terima kasih, kritik dan saran ditunggu.
apa ada cara untuk mengatasi phising seperti ini ??
Bagi yang menggunakan browser firefox, gue sarankan untuk segera update ke versi 72.0.1 karena pada update sebelumnya ditemukan celah zero-day exploit yang mana dapat memungkinkan hacker untuk mengambil kendali terhadap sistem.
-snip- untuk update firefox klik help di seting browser lalu klik about firefox
Keterangan resmi dari firefoxnya bisa di lihat disini:-snip- untuk update firefox klik help di seting browser lalu klik about firefox
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
btw, firefox versi 72.0.1 itu rilis hanya berselang sehari setelah versi 72.0.0.
Saya pribadi lebih memilih untuk mengaktifkan opsi: Automatically install updates.
Kalau manual ada kemungkinan delay informasi. Ketika ada bug/celah keamanan yang implikasinya cukup serius bisa beresiko.
Bagi yang menggunakan browser firefox, gue sarankan untuk segera update ke versi 72.0.1 karena pada update sebelumnya ditemukan celah zero-day exploit yang mana dapat memungkinkan hacker untuk mengambil kendali terhadap sistem.
https://winpoin.com/mozilla-merilis-update-penting-di-firefox-72-0-1-update-sekarang/
https://www.us-cert.gov/ncas/current-activity/2020/01/08/mozilla-patches-critical-vulnerability
untuk update firefox klik help di seting browser lalu klik about firefox
https://winpoin.com/mozilla-merilis-update-penting-di-firefox-72-0-1-update-sekarang/
https://www.us-cert.gov/ncas/current-activity/2020/01/08/mozilla-patches-critical-vulnerability
untuk update firefox klik help di seting browser lalu klik about firefox
Bagus ini threadd, sangat bermanfaat. Hati hati kalau download file apapun khususnya di telegram. Karna bisa disusupin virus, gambarpun begitu.
Harusnya elu posting beserta bukti dan file apa yang harus dihati-hatikan untuk di download dari telegram. Karena kalau elu liat komen dari halaman 1 - 7 semua berisi informasi jenis, file dan nama virus. kalau cuma ngomong "hati-hati" doang, toh banyak file dari telegram kiriman dari teman berupa file poto, gif atau sticker yang gue rasa aman dari virus.
IMO berita itu memang bisa membingungkan, karena RCE itu merujuk pada eksekusi kode jarak jauh yang bisa disebabkan bug tertentu. CVE 3568 & 11931 juga bisa disebut dengan bug RCE karena seperti definisinya sendiri, itu bug yang "allowed remote code execution". CMIIW. Disebut 'baru' juga agak relatif karena bugnya ditrack sejak 14 November dan beritanya 16 November. Yah gitulah situs berita.
-snip- apa WhatsApp RCE flaw itu beda dengan CVE-2019-11931?
Kalau saya nangkepnya pada bagian tulisan update di artikel tersebut, WhatsApp RCE flaw di maksudkan ke CVE-2019-11931.Sementara dari yang saya baca-baca, WhatsApp RCE (Remote Code Execution) / CVE-2019-3568 modus yang diserangnya, yakni memanfaatkan celah dari bug WhatsApp VOIP (Voice over Internet Protocol) stack.
WhatsApp RCE
Quote from: https://cyberonsecurity.com/no/threats/whatsapp-remote-code-execution-rce-vulnerability/
Remote code execution vulnerability has been discovered on WhatsApp which can be exploited by sending malicious packets to a targeted phone number. This vulnerability allows attackers to compromise devices using an advanced version of Pegasus spyware.
CVE-2019-3568A buffer overflow vulnerability in WhatsApp VOIP stack allowed remote code execution via specially crafted series of RTCP packets sent to a target phone number.
Sementara CVE-2019-11931 bug nya pada masalah penanganan file metadata MP4 yang digunakan pada Whatsapp
The issue was present in parsing the elementary stream metadata of an MP4 file and could result in a DoS or RCE.
-snip-
The issue could trigger a DoS condition or it could exploit by a remote attacker to execute arbitrary code on the target devices.
-snip-
The issue could trigger a DoS condition or it could exploit by a remote attacker to execute arbitrary code on the target devices.
Koreksi saya jika keliru.
New WhatsApp Bug Could Have Let Hackers Secretly Install Spyware On Your Devices
Lagi2 Whatsapp ada bug baru yaitu dengan cara ngirim mp4 file ke target, saat ini sarannya selalu menggunakan whatsapp versi terbaru
Lagi2 Whatsapp ada bug baru yaitu dengan cara ngirim mp4 file ke target, saat ini sarannya selalu menggunakan whatsapp versi terbaru
bug yang baru ini yang mana ya? ane agak bingung dengan beritanya kok kayaknya cuma report perkembangan dari bug lama dan menghimbau pembaca untuk update aja. apa WhatsApp RCE flaw itu beda dengan CVE-2019-11931?
New WhatsApp Bug Could Have Let Hackers Secretly Install Spyware On Your Devices
Lagi2 Whatsapp ada bug baru yaitu dengan cara ngirim mp4 file ke target, saat ini sarannya selalu menggunakan whatsapp versi terbaru
Lagi2 Whatsapp ada bug baru yaitu dengan cara ngirim mp4 file ke target, saat ini sarannya selalu menggunakan whatsapp versi terbaru
-snip- https://www.2-spyware.com/remove-nemty-ransomware.html -snip-
-snip- Coba Pakai metode restore :
-snip- Sumber : http://www.cyber-technews.com/id/bagaimana-menghapus-badutclowns-virus/
-snip- Sumber : http://www.cyber-technews.com/id/bagaimana-menghapus-badutclowns-virus/
-snip- Bacaan : http://www.removespywar.com/id/bagaimana-menghapus-coot-ransomware/ -snip-
Artikelnya rata-rata sama, yakni menganjurkan dengan cara merestore OS ke restore point sebelumnya.
Tentunya hal tersebut bisa digunakan bila sebelumnya si 'korban' pernah membuat backup sebelum terkena ransomware.
Selain upaya restore diatas, bisa juga melaporkan/upload data yang dienkripsi malware tersebut di
https://www.nomoreransom.org/en/index.html
di web tersebut disediakan tools untuk mendeteksi dan men-decrypt ransomware, sehingga pengguna/'korban' bisa mencari tahu apakah ransomware yang menyerang OS nya bisa dihapus atau tidak.
Note:
Website tersebut diinisiasi oleh :
Europol dan Intel Security, Dutch National Police, McAfee, Kaspersky Lab.
Referensi:
https://www.nomoreransom.org/
https://inet.detik.com/security/d-3316408/terlanjur-jadi-korban-ransomware-ini-solusinya
kalau bisa link bacaannya yang agak kredibel gan, jangan post blog yang isinya google translate.
Coot crypto Ransomware
Menyebar : File/pesan yg dikirim lewat email
Pencegahan : - Jangan download file sembarangan jika ada email masuk berisikan file
- Selalu berhati-hati jika ada email masuk dari orang yg tidak dikenal
- Pakai fitur filter email
- Update selalu antivirus dan jangan sesekali matikan windows defender
Bacaan : http://www.removespywar.com/id/bagaimana-menghapus-coot-ransomware/
https://www.pcrisk.com/removal-guides/16199-coot-ransomware
https://bestsecuritysearch.com/remove-coot-virus-ransomware-restore-files/
Menyebar : File/pesan yg dikirim lewat email
Pencegahan : - Jangan download file sembarangan jika ada email masuk berisikan file
- Selalu berhati-hati jika ada email masuk dari orang yg tidak dikenal
- Pakai fitur filter email
- Update selalu antivirus dan jangan sesekali matikan windows defender
Bacaan : http://www.removespywar.com/id/bagaimana-menghapus-coot-ransomware/
https://www.pcrisk.com/removal-guides/16199-coot-ransomware
https://bestsecuritysearch.com/remove-coot-virus-ransomware-restore-files/
Jump to: