Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) - page 3. (Read 153849 times)

Ya juga. Maka dari itu, link untuk verifikasi yang disediakan Binance tersebut harus sudah cukup tangguh dari sasaran semisal DNS hijack seperti disebutkan di atas.
Btw, barusan saya coba cek link situs https://binance-desktop.com/en/downloads sebagaimana yang dibagikan agan Luzin di atas, berikut ini hasilnya:



Dengan kata lain, langkah verifikasi tersebut cukup efektif untuk langkah awal memeriksa link apakah memang resmi dari Binance atau tidak. Tentunya kalau mau lebih yakin lagi, verifikasi dengan cara lain semisal konfirmasi langsung ke pihak Binance.

Note: Perhatikan juga beberapa tips sederhana pada screenshot tersebut untuk menghindari situs penipuan.

Agak ngeri juga kalau link ini yang jadi sasaran DNS hijack atau sejenisnya. Kalau user ga punya kesadaran untuk verifikasi lewat berbagai metode ngeri juga kalau scammer nipu user dengan berlagak seolah situs verifikasi resmi tapi redirect link ke situs phishing lainnya.

---

Btw sehari setelah ane post beberapa berita di atas, ternyata ada berita baru yang berkaitan dengan penyebaran aplikasi WalletConnect palsu di Google Play Store[1]. Aplikasi ini udah terdownload lebih dari sepuluh ribu kali, tapi untungnya udah ditakedown setelah dilaporkan sama salah satu researcher keamanan. Keknya masih lemah aja itu fitur filter aplikasi di Google, sampai aplikasi palsu bertahan sampe berbulan-bulan.

[1] https://www.bleepingcomputer.com/news/security/fake-walletconnect-app-on-google-play-steals-android-users-crypto/

Modus phishing dengan membuat nama domain yang hampir mirip dengan yang website official asli sudah seringkali terjadi. Point-nya user memang mesti jeli membaca address dari website yang dikunjunginya, terlebih kalau ada aktifitas download aplikasi dan semisalnya.

Mengenai keterbatasan akses Binance, mungkin bisa disiasati dengan menggunakan VPN, Tor browser, dll.
Di Binance sendiri setahu saya ada fitur "Binance Verify" untuk memeriksa link URL tertentu apakah terverifikasi dan resmi dari Binance atau tidak.

https://www.binance.com/en/official-verification; https://www.binance.info/en/official-verification

Nampaknya keterbatasan akses aplikasi Binance di beberapa negara membuat para Hacker mencoba memanfaatkan keadaan untuk mencuri aset crypto. Saya barusan membaca di  Beginners & Help dengan judul Beware: Fake Binance desktop app. Mereka menyebarkan link tautan untuk download aplikasi Binance Desktop bahkan hebatnya nampaknya mereka berani mengeluarkan uang untuk situs itu untuk dipromosikan.


Sumber: https://bitcointalksearch.org/topic/--5511323

Sama kayak kasus Malware yang nyusup jadi aplikasi Keyboard yang didalamnya ada malware Xenomorph dan parahnya lagi itu masuk ke di google playstore.
Tapi sekarang mungkin Google Playstore udah berbenah diri, Udah memperbarui Goolge Play Protect sehingga lebih selektif pada pendeteksian aplikasi yang menyamar.

Sekarang malware emang udah canggih-canggih, dan seperti yang sampean bahas itu mengenai Malware ExobotCompact (Octo2) yang menyamar jadi aplikasi  NordVPN, Google Chrome, dkk.

Octo2 lebih powerfull karena bisa melakukan peningkatan pada stabilitas sesi kendali jarak jauh ( RAT) saat melakukan serangan Pengambil alihan Perangkat,
dan meningkatkan teknik anti-deteksi dan anti-analisis.

Sekarang sebagai pengguna smartphone harus lebih aware sama keamanan dan jangan menginstal aplikasi yang gak jelas.
Atau pastikan semua keamanan perangkat update dan terkendali.

https://www.threatfabric.com/blogs/octo2-european-banks-already-under-attack-by-new-malware-variant

Berikut ini beberapa berita seputar malware dkk menarik yang ane baca di Bleepingcomputer:
1. Kabarnya ada kampanye khusus yang menargetkan pengguna kripto dengan melakukan berbagai serangan mulai dari meniru website apps tertentu, menipu user dengan aplikasi palsu, dan seterusnya. Dari berbagai macam model serangan ini mereka juga berusaha untuk mengunggah pencuri data yang khusus menarget wallet kripto kita, mengambil cookie browser, mengambil data browsing, dkk[1].
2. Di sisi lain kabarnya hacker berhasil memperbarui model serangan mereka untuk menyerang proteksi cookie di browser Chrome versi 129. Serangan ini bertujuan untuk mengambil cookie yang terproteksi jadi data login dkk bisa mereka ambil. Ada baiknya untuk segera memperbarui browser agan kalau agan make Chrome atau browser berbasis Chrome lainnya[2].
3. Seperti biasa, aplikasi android yang menyerupai aplikasi official untuk mencuri data kita terus saja bertebaran. Yang masuk berita ini kabarnya berkamuflase jadi berbagai macam apps kaya NordVPN, Google Chrome, dkk. Sekilas ane baca sih ga masuk Play Store, jadi kemungkinan yang kena serangan adalah kita yang sering download di situs pihak ketiga[3].

[1] https://www.bleepingcomputer.com/news/security/global-infostealer-malware-operation-targets-crypto-users-gamers/
[2] https://www.bleepingcomputer.com/news/security/infostealer-malware-bypasses-chromes-new-cookie-theft-defenses/
[3] https://www.bleepingcomputer.com/news/security/new-octo-android-malware-version-impersonates-nordvpn-google-chrome/

Hacker tidak kehabisan akal mereka memnfaatkan kekuatan hukum dari SEC untuk mendapat keuntungan dalam platform gemini kepada para penggunanya. Kemaren saya sempet baca di board Beginners & Help jika mereka menebar phinsing dan memanfaatkan kepanikan para pengguna gemini. Mereka mengincar seed phrase untuk menguras seluruh  isi wallet dengan mengirim email.


Sumber: https://bitcointalksearch.org/topic/--5508815

Seperti yang dibilang sama om Husna di atas, agan bisa cek manual kalau belum ada yang post di sini. Toh kebanyakan member yang post update kan juga nyantumin linknya. Ini beberapa berita yang menurut ane menarik misalnya:

- Kabar kalau hacker dari Korea Utara memanfaatkan eksploit zero-day di aplikasi WPS versi Windows sejak 2023. Aplikasi yang punya kelemahan ini adalah versi 12.2.0.13110 (rilis Agustus 2023) sampai 12.1.0.16412 (rilis Maret 2024)[1]. Kingsoft, developer dari aplikasi ini mengklaim sudah memperbaiki masalah keamanan ini tapi ga pernah mempulikasikannya secara terbuka. Analisis lebih detail tentang model serangan yang pake eksploit ini bisa dibaca lebih lanjut disini[2]. Salah satu problem yang bisa muncul dari eksploit ini adalah hacker bisa mencuri file dari komputer kita, meremote komputer kita, dll. Walau ga secara eksplisit menargetkan pengguna kripto, ga ada salahnya kita waspada khususnya yang make aplikasi WPS dan berada di lingkungan enterprise/pemerintahan.

- Peningkatan aktivitas phishing via komen GitHub yang kalau ga salah udah pernah dibahas juga di forum ini[3]. Singkatnya jangan pernah download atau klik link yang aneh", apalagi kalau komennya bilang file itu adalah fix atau kode yang agan perlu untuk memperbaiki masalah di aplikasi agan.

- FBI lagi" memberikan peringatan buat mereka yang bekerja di sektor kripto agar hati" dengan serangan phishing. Kata mereka makin banyak upaya phishing baik untuk mencuri aset kripto dari perusahaan atau dari pekerja itu sendiri[4]. Secara tidak langsung ini berarti serangan dengan model social engineering merupakan salah satu model serangan paling efektif yang dipake sama hacker untuk mencuri kripto kita. Ga ada salahnya buat hati" juga walau kita ga kerja di perusahaan kripto sekalipun, apalagi kalau sebagian data kita udah tersebar di internet. Misalnya e-mail yang kita pake untuk daftar di exchange tertentu, dsj.

[1] https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-exploited-wps-office-zero-day-to-deploy-spyglace-malware/
[2] https://threatbook.io/blog/Analysis-of-APT-C-60-Attack-on-South-Korea
[3] https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/
[4] https://www.bleepingcomputer.com/news/security/fbi-warns-crypto-firms-of-aggressive-social-engineering-attacks/

Mengenai informasi virus ataupun terkait berita keamanan web dan semisalnya, antara lain agan bisa lihat juga di www.bleepingcomputer.com.

Dulu ketika PC kantor terkena virus Grovat (https://bitcointalksearch.org/topic/m.50516790), saya pernah juga konsultasi dengan salah satu kontributornya, Michael Gillespie (@demonslay335).

---

Informasi terbaru mengenai virus/malware yang terkait cryptocurrency, saya lihat ada malware android: SpyAgent.
https://www.bleepingcomputer.com/news/security/spyagent-android-malware-steals-your-crypto-recovery-phrases-from-images/

Malware ini menggunakan teknologi optical character recognition (OCR) untuk membaca screenshot yang berisi seed phrase dan tersimpan di smartphone.
Jika user yang tidak sembarang menyimpan data penting seperti seed phrase dalam bentuk gambar ataupun teks di smartphone mungkin lebih sedikit terdampaknya meskipun ada juga beberapa resiko lainnya jika smartphone android-nya sudah terinfeksi malware ini.

Apa ada update virus terbaru ndak?

Model distribusinya ane lihat serupa dengan malware lain, yaitu menyerupai aplikasi popular kayak Adobe, GTA dkk. Ga tau apakah disebarin juga lewat phishing atau e-mail spam, tapi kalau agan download dari situs official kemungkinan bisa menghindari malware ini. Harusnya kalau usernya agak jeli dikit bisa dengan mudah mengantisipasi DMG yang mengandung image berbahaya begini. Ane sendiri pengguna MacOS yang pernah nyoba nyari aplikasi crack dkk juga tapi tahu kalau aplikasi yang ane download aneh kalau minta info" aneh lewat window kaya di atas.

Kalau saya analisa sih tujuan awal virus ini sepertinya untuk mengumpulkan password user pengguna MacOS. Kalau pengguna kena, dan nginput password tersebut, maka data akan terekam, sehingga jika suatu waktu dibutuhkan, hacker bisa mengakses apa pun yang ada di komputer tersebut dengan password tersebut. Karena mungkin anggapan mereka, user biasanya hanya menggunakan 1 password untuk seluruh akun.

Saya akui, dulu itu saya pernah pakai akun email pakai dengan password yang sama dengan akun exchange, dan akun bitcointalk. Tujuannya supaya tidak lupa saja. Tapi hal ini jelas sangat beresiko, apa lagi jika kena malware cthulhu stealer ini sehingga hacker dapat dengan mudah mengakses apa pun login akun baik itu wallet, email dsb. Jadi, baiknya walau tidak terkan virus ini, diusahakan tiap akun dibedakan passwordnya, bila perlu dipakaikan 2fa biar keamanannya berlapis.

Cukup banyak juga data yang menjadi target pencuriannya. Saya sendiri pengguna MacOS, memang untuk aplikasi yang hendak di install pada umumnya akan dimunculkan jendela untuk meminta persetujuan install aplikasi dengan menginput password user.

Nah, input password dari Cthulhu Stealer ini rada aneh, karena yang diminta justru update system setting pada system preferences untuk bisa membuka aplikasinya.


Biasanya kalau memang diarahkan ke system preference untuk keperluan izin akses, maka untuk membuka password bukan seperti di atas, melainkan melalui proses unlock (klik icon gembok), baru kemudian men-ceklis opsi yang akan diaktifkan; Contoh:



Kemudian, hal aneh berikutnya adalah muncul second prompt yang meminta user memasukkan password Metamask;


Bagaimana kalau user tidak pernah menginstall Metamask?; Kalaupun memang sudah terinstall aplikasinya, biasanya untuk input password Metamask itu ketika add-on nya dibuka di browser, dan tidak melalui prompt seperti di atas.

---

Poin-nya, dalam hal ini pengguna MacOS yang menjadi target malware seperti di atas, agar ketika muncul jendela untuk input password user, minimalnya diteliti terlebih dulu tujuannya untuk apa.

Tadi sempet baca di thread  Beginners & Help tentang Cthulhu Stealer Malware for macOS. Virus atau Malware ini menargetkan untuk MacOS dengan nama Cthulhu Stealer.  Targetnya juga sama mencuri data termasuk data wallet crypto.



Sumber:

1. https://bitcointalksearch.org/topic/warning-cthulhu-stealer-malware-for-macos-5507576
2. https://www.cadosecurity.com/blog/from-the-depths-analyzing-the-cthulhu-stealer-malware-for-macos

Bisa dicek juga apakah updatenya memang belum keinstall atau belum download. Btw cek command juga bisa pake "winver" atau klik about PC sesuai Windows yang agan pake. Lebih lanjut bisa dicek ke thread update Windows yang juga udah ada di mainboard sub Indo.

Sekedar pengingat untuk Windows user yang belum notice berita forum

Tingkat kerentanan: KRITIS

Daftar produk Microsoft yang terdampak: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38063
Dan untuk mengunduh patch updatenya: https://catalog.update.microsoft.com/Search.aspx?q=KB5041580
unduh sesuai dengan versi windowsnya ya(cek di Win+R > dxdiag), jangan unduh semua. Setelah diunduh, klik dua kali lalu tunggu prosesnya hingga selesai.

Sekian trims.

Oleh karena dicek dan recheck 2 sampai 3 kali alamat yang hendak dikirim sebelum tekan tombol sign and broadcast. Setahu saya Styx ini malware lama yang upgrade dari malware Phemedrone Stealer [1]. cuma ditambah fitur baru yaitu teknik penghindaran deteksi baru dan penambahan fungsi crypto clipper. Jadi ya, jika ada pengguna baru yang belum update windows defendernya setahun lalu, diharapkan update yang terbaru supaya terhindar malware jenis ini.

[1]. https://www.chainsightnews.com/post/malware-styx-stealer-ditemukan-di-windows-menargetkan-aset-kripto

Baru saja baca dibinance square ditemukan virus baru bernama Styx Stealer. Perusahaan Check Point Research  yang bergerak dalam bidang keamanan windows menemukan virus ini. Styx Stealer mengincar kerentanan pada Windows Devender. Styx Stealer ini bekerja dengan mekanisme 'clipping'. Styx ini menargetkan file user, cokies, dan  tentu termasuk dompet crypto.


Sumber :
1. https://www.binance.com/id/square/post/2024-08-17-new-malware-styx-stealer-targets-cryptocurrency-12269984828770
2. https://cointelegraph.com/news/styx-stealer-malware-targets-cryptocurrency

Bisa jadi begitu gan. Ane ga riset masalah itu lebih lanjut sih. Btw beberapa hari terakhir berita yang berkaitan dengan phishing crypto banyak juga. Mulai dari FBI yang mewanti" untuk hati" supaya ga ketipu scammer yang berlagak seperti pegawai exchange[1] sampai penyebaran malware lewat StackExchange[2]. Buat yang sering make SE terutama nanya" masalah Python sebaiknya hati" jangan asal klik link untuk download package. Pastikan download hanya lewat sumber yang udah terverifikasi sama komunitas. Khususnya buat yang terlibat sama development Raydium dan Solana. Dari SS yang beredar tampaknya package ini lolos deteksi Windows Defender juga. So be careful.

[1] https://www.bleepingcomputer.com/news/security/fbi-warns-of-scammers-posing-as-crypto-exchange-employees/
[2] https://www.bleepingcomputer.com/news/security/stackexchange-abused-to-spread-malicious-pypi-packages-as-answers/

Yang begini biasanya ngacak mas, dulu juga saya sering dapat OTP gak jelas padahal saya sama sekali tidak punya akun ke situ. Dulu itu saya sering isi pulsa di konter HP, mungkin salah satu dampak bocornya nomor saya itu dari sana. Kalau untuk virus kemungkinan memang bukan, apa lagi kalau bersangkutan tidak punya akun sama sekali di website tersebut. Ya paling kalau beruntung si hacker akan dapat detil informasi pengguna jika diselipkan link yang berbarengan dengan nomor OTP lewat SMS.