Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) - page 5. (Read 142953 times)

Teman saya sekantor tempo hari pernah dapat pesan WA yang menampilkan file kayak PDF. Dokumen tersebut, hampir mirip dengan dokumen kantor sehingga hampir dia klik kalau dia tidak mengkonfirmasinya terlebih dahulu di rekan sebelah. Akhir-akhir ini banyak sekali hal yang seperti ini, biasanya hacker yang menggunakan modus tersebut nyerang HP yang ada mobile internet bangkingnya sehingga ketika hendak ngirim uang ke rekening yang dituju akan berubah dan terpaste dengan nomor rekening hacker. Ya kalau tidak jeli dan dicek ulang bisa terkirim uang dengan nomor rekening berbeda.

Barusan nemu artikel yang membahas malware Bunny Loader yang baru mendapatkan update[1]. Udah didiskusikan di board luar juga. Malware ini adalah sebuah keylogger/clipper yang menargetkan serangan ke berbagai jenis data seperti address kripto (Bitcoin, Doge, Litecoin, dst), wallet kripto (MetaMask, dkk), sampai data kartu kredit. Penyebarannya sepertinya tidak beda jauh dari malware lain, melalui e-mail, aplikasi yang disusupi malware, serta pesan notifikasi yang muncul di browser/desktop agan (notifikasi kena virus, komputer sedang dalam bahaya, dst). Malware ini bukan nama baru sih, sepertinya sudah cukup popular sejak tahun lalu[3].

[1] https://unit42.paloaltonetworks.com/analysis-of-bunnyloader-malware/
[2] https://www.pcrisk.com/removal-guides/27955-bunnyloader-malware
[3] https://www.bleepingcomputer.com/news/security/new-bunnyloader-threat-emerges-as-a-feature-rich-malware-as-a-service/

Untuk kedepannya bisa bikin thread baru aja gan kalau mau nanya hal kaya gini, bisa ditempatin di sub Altcoin atau topik lainnya kalau hanya ingin fokus ke browser Bravenya saja. Jangkauannya udah terlalu jauh dengan topik yang dibahas soalnya.
Bisa, semua provider e=mail setahu ane punya fitur filter ini sendiri. Cukup membantu buat filter phising, tapi balik lagi sejauh mana membantunya tergantung database yang dipakai.

Jadi bisa disetting ya untuk filter email yang masuk mana berpotensi mengirimkan link phising atau bukan, soalnya pas awal-awal garap airdrop sekitar empat tahun yang lalu saya menggunakan email utama dan riskan juga sih karena email tersebut terpaut di beberapa akun exchange market. Fitur protonmail cukup membantu kayaknya untuk memfilter inbox yang berpotensi mengirim link spam atau link phising karena setiap hari di inbox utama selalu dikirimin baik link spam atau link phising.

Untuk pengguna browser brave dulu bakal dapat koin BAT dan dikirim setiap bulannya entah di awal bulan sudah lupa soalnya terakhir kali lihat yang dapat bayaran sudah beberapa tahun lalu. Sepertinya ada update terbaru untuk pengguna di Indonesia tidak diperbolehkan lagi entah karena reputasi buruk atau pihak browser brave sendiri kewalahan dalam membayar pengguna dari Indonesia. Dulu kalau tidak salah harus melakukan verifikasi terlebih dahulu biar bisa mendapatkan bayaran berupa koin BAT dari browser brave.

Updated gan

---

Maaf mungkin ane pertanyaanya melenceng, tapi mumpung brave dibahas jadi sekalian tanya

Jadi ane pake brave sekitar awal taun lalu saat dikasih tau teman kalo katanya bisa dapet token hanya dengan brosing brosing aja, tapi kok ane ga bisa aktifin fitur monet ya? katanya "dompet tidak di dukung di negara anda" gitu. Adakah yang pernah pake brave dan dapet BAT token?

Tapi karena ga ada iklan jadi ane masih pake mpe sekarang 

Quote post agan Luzin yang masih mencantumkan link form tersebut juga mestinya agan edit agar unclickable (saya lihat post aslinya sudah di edit), contoh menjadi:
https://forms.gle/6wCnBnc3QaLgv2aP9

Airdrop tersebut nampaknya memang scam, bahkan sudah beredar cukup lama. Berikut ini beberapa diskusi di website komunitas pengguna Brave:
- https://community.brave.com/t/report-malicious-scam-website-that-claim-to-give-free-bat/511172
- https://community.brave.com/t/1400-bat-aidrop-scam-or-not/529530

Kalau di Brave mungkin yang agan maksud itu safe browsingnya dari Google. Biasanya filter iklan yang mereka punya juga bisa memblokir situs yang dinilai phishing, tapi balik lagi semua itu tergantung di database mereka ada atau tidak. Kalau agan pake uBlock origin misalnya bisa masukin filter list sendiri yang mengandung website aneh-aneh akan diblokir semua, dan bisa agan edit juga. Yang jelas kewaspadaan individual itu paling penting untuk mengamankan diri dari serangan phising, tool cek website dan yang lain hanya sebagai alat sekunder saja.

Btw agan bisa filter manual di setingan e-mail. Sejauh ini ane pake protonmail dan setiap phishing yang masuk otomatis masuk ke spam, hanya satu atau dua e-mail aneh saja yang biasanya lolos. Seiring berjalannya waktu domain" aneh atau template yang dipake scammer untuk menyerang via e-mail juga bisa difilter otomatis (balik lagi ke database dan algoritma yang dipake).

Nampaknya memang form, tapi saya lebih milih save aja. Karena sebagai antisipasi maka saya bawa ke forum buat diskusi.


Sebenarnya udah curiga kalau ada email-email airdrop atau tidak jelas langsung saya hapus saja. Baru tau kalau ada web onlinepenyedia cek phising. Baru saja saya search di google ada beberapa saya coba 2 https://easydmarc.com/tools/phishing-url dan https://checkphish.bolster.ai/.

Coba telusuri dan hasilnya

Gan jika google form itu di anggap berbahaya, mungkin jangan dibuat menjadi tautan langsung gan. Siapa tau malah ke klik, tapi kalo link itu mengarah pada google form si harusnya aman gan, selama kita enggak memberikan informasi pribadi atau mengunduh sesuatu dari email tersebut.

Ane juga ga berani klik link itu, siapa tau juga memang berbahaya. Kalo ga salah ada web yang bisa menganalisa kemanan sebuah situs, tapi ane lupa apa nama situsnya. Ane pake brave dan keknya ga ada program kaya gitu, jadi ini fix email scam terlepas apa tujuan dari sang pengirim email tsb

Adakah yang dapet email dari Brave? kalau dibukak lebih lanjut ternyata dari [email protected]. Nampaknya kalau dilihat dari email nya ini mencurigakan, kemungkinan besar Phishing. Karena sangat menggiurkan juga ada Airdrop 1400BAT dengan registrasi nya di "ht*ps://forms.gle/6wCnBnc3QaLgv2aP9", tapi saya ga berani bukak link ini. Cuma saya klik kanan salin link saja. BTW ada yang mau analisis  .

Btw ada yang organisasinya make Ivanti Connect? Barusan ane cek berita kabarnya ada masalah kemanan yang cukup besar yang sudah dieksploitasi oleh beberapa aktor tertenteu[1]. Hacker katanya masih bisa mengakses koneksi agan meskipun sudah melakukan factory reset, jadinya harus install ulang, revoke passwords dst di semua device kalau mau sepenuhnya aman. Agak kaget juga dengan vulnerability di aplikasi yang kayaknya cukup populer di kalangan pekerja negara. Gimana dengan VPN pasaran ya? Kalau agan make VPN pastikan paham dengan risikonya, meskipun agan beli yang mahal sekalipun.

[1] https://www.bleepingcomputer.com/news/security/cisa-cautions-against-using-hacked-ivanti-vpn-gateways-even-after-factory-resets/

Pembuat aplikasi semacam ini tidak pernah bosan mencoba menemukan bug untuk lolos dari proses seleksi aplikasi di playstore, pasti salah satu strateginya sudah berhasil dengan memanfaatkan script yang tidak terdeteksi dari pemeriksaan system atau human sehingga script di itu dapat di aktifkan untuk menjalankan malware setelah aplikasi sudah di aproved dan di publish di playstore, meskipun system security-nya sudah di upgrage tapi hanya memperkecil kemungkinan adanya bug, dan yang namanya sistem tetap ada bug walaupun ruang lingkup untuk penggunaan bug sudah terbatas karena sistem security sudah bekerja optimal untuk mendeteksi ancaman dari malware.

Bukan hanya human dan system yang harus diperhatikan tapi aspek lain yang membuat lolosnya aplikasi yang mengandung malware. Biasanya si pembuat aplikasi itu sudah paham celah dan lubang untuk menyisipkannya ke playstore, mungkin sudah pernah dan berulang kali melakukan sebelumnya, tapi ya baru ketahuan sekarang-sekarang ini karena mungkin google sudah upgrade system security-nya, sedangkan si pembuat aplikasi masih pakai system malware yang lama.

Padahal pihak playstore sudah menerapkan sistem seleksi dan pemeriksaan yang ketat sesuai aturan pada pedoman konten tetapi ada pihak yang tidak bertangung jawab yang meng-submit beberapa aplikasi dari akun yang berbeda sehingga ada beberapa aplikasi yang lolos dari proses seleksi yang telah di terapkan pihak playstore, seharusnya pihak playstore meningkatkan sistem mereka untuk mengurangi potensi hal yang sama terjadi lagi di masa depan, tapi yang namanya "human erorr" dan sistem eror juga tidak bisa dipungkiri bisa saja penyebab lolosnya aplikasi malware dikarenakan ada puluhan bahkan ratusan aplikasi yang diperiksa dalam sehari, jadi yang menjadi catatan bahwa kita harus memiliki pengetahuan untuk memeriksa aplikasi sebelum menginstal pada ponsel kita, ada beberapa tips sederhana untuk mengetahui aplikasi resmi pada playstore :
- pastikan anda mengakses link playstore dari sumber web resmi, dipastikan 100% aplikasinya aman dari virus.
- pastikan juga memeriksa nama akun yang mengunggah aplikasi dari sumber yang terpercaya karena ada beberapa aplikasi tiruan yang di unggah dari akun baru atau akun palsu yang meniru nama penggunggah aplikasi resmi.
- jangan pernah menginstal .apk dari sumber manapun karena aplikasi yang telah diperiksa keamanan hanya tersedia di store resmi.
- biasakan membaca ulasan aplikasi.

Ane rasa bisa kombinasi ketiganya atau malah lebih sih om. Sejauh ini berita kaya gini juga ga sedikit, jadi sudah pasti filter dari Google sendiri kurang. Di sisi lain berita aplikasi phishing yang menyerupai apps terkenal biasanya cepat ditanggapi, bisa jadi report dari usernya lebih banyak sehingga Google lebih sigap dalam merespons. Dalam hal aplikasi yang tidak begitu terkenal dan report dari user kurang, ga ada inisiatif dari pihak Google sendiri untuk memfilter apps yang bersangkutan. Yang jelas mau ada report atau kontribusi dari user, Google sendiri harus cepat berbenah mengatasi hal tersebut.

Artinya aplikasi yang mengandung malware tersebut sudah sekitar dua tahun di Playstore; Dan dalam kurun waktu tersebut saya baca pada link di atas sudah di download sekitar 1400 kali.
Apa hal tersebut karena kurangnya report dari pengguna yang terdampak, atau memang mereka tidak begitu menyadarinya atau memang filter yang kurang ketat dari Google untuk aplikasi yang bisa tampil di PlayStore?

Kalau aplikasinya berisi malware, sekelas google tentunya memliki filter untuk mendeteksi ini, atau minimalnya sudah punya kerjasama dengan pengembang software keamanan semisal anti virus/malware sebelum benar-benar aplikasinya terdaftar di PlayStore (namun entah kebijakannya terlalu loggar atau bagaimana sehingga aplikasi tersebut muncul sekian lama disana).

Lain hal jika aplikasinya adalah berupa aplikasi Phishing yang mana dari sisi aplikasinya sendiri tidak mengandung malware/virus, contoh aplikasi fake Electrum: 'Electrum Wallet Management' yang beberapa waktu lalu bahkan ada di AppStore.

Kalau masih ada yang hobi install aplikasi dengan nama plesetan di Play Store atau store lainnya, sebaiknya segera dihentikan. Berita terakhir yang ane baca mengungkap kalau rata-rata aplikasi kaya gitu disusupi malware yang bisa merekam data yang agan kirim seperti pesan teks, riwayat browser, dst. Bukan tidak mungkin file wallet dan sejenisnya juga menjadi target[1]. Yang paling mengecewakan adalah aplikasi dengan malware ini hanya dihapus dari Google Play Store sekitar tahun lalu, padahal penyebaran udah mulai ada sejak 2021. Entah ini menunjukkan ada progress filtering di Google Play atau malah tidak sama sekali.

[1] https://www.bleepingcomputer.com/news/security/more-android-apps-riddled-with-malware-spotted-on-google-play/

Ada beberapa berita yang menarik dalam beberapa minggu terakhir. Buat yang pake Mac dan sering download aplikasi crack, sepertinya harus segera berhenti atau nyari alternatif aplikasi gratis kalau emang butuh download aplikasi baru. Aplikasi crack ada yang disusupi dengan malware yang memang dibuat untuk menarget pengguna kripto[1]. Prinsipnya ketika diinstall bakal mengedit beberapa file system agar bisa terus berjalan dibelakang layar dan download beberapa script lain untuk melakukan serangan atas device yang agan pakai. Beberapa wallet yang jadi serangan antara lain Bitcoin Core dan Exodus yang bakal meminta detail wallet ulang ketika berhasil teirnfeksi. Kabar baiknya ada list aplikasi hasil crack yang sudah dipastikan mengandung malware ini[2]. Tapi tetap saja ga menjamin aplikasi crack agan benar-benar ga ada malwarenya juga.

[1] https://www.bleepingcomputer.com/news/security/cracked-macos-apps-drain-wallets-using-scripts-fetched-from-dns-records/
[2] https://securelist.com/new-macos-backdoor-crypto-stealer/1117789

Agak heran juga kalau perusahaan kaya Ledger nge-hire orang yang ga paham tentang phishing, atau ga mengadakan edukasi sedikitpun terkait hal tersebut. Ya mau dispekulasikan kaya gimana juga kejadiannya udah terjadi, semoga aja ga keulang deh. Kalau melihat beberapa kejadian belakangan sih ini bukan yang paling mengherankan, ada juga developer yang kena scam karena mendownload software tertentu, padahal dia harusnya cukup tahu masalah kaya gini[1]. Balik lagi kebanyakan faktornya ya karena lengah, jadi hati-hati aja buat agan" lainnya.

Ini juga ada kabar exploit terbaru yang katanya bisa merecovery otentikasi Google untuk menghack akun orang[2]. Makin banyak aja faktor yang bisa dipakai untuk menyerang pengguna, walau hal ini belum dikonfirmasi oleh Google sejauh yang ane baca. Kalau beneran ada kelemahan kaya gini, orang yang sering pake fitur sinkronisasi akun Google patut hati-hati meskipun memanfaatkan 2FA. Jangan sampai download aplikasi yang aneh" dan selalu verifikasi apps yang mau agan gunakan baik di PC ataupun HP.

[1] https://www.bleepingcomputer.com/news/security/blockchain-devs-wallet-emptied-in-job-interview-using-npm-package/
[2] https://www.bleepingcomputer.com/news/security/malware-abuses-google-oauth-endpoint-to-revive-cookies-hijack-accounts/

Kalau karyawan inti seperti pada bagian pengembangan software kecil kemungkinannya tidak memiliki pengetahuan tentang phishing atau hal yang lebih bahaya dari sekedar phishing.*
Entah kalau yang dibagian 'front office', jika merujuk pada kasus marketing data breach (https://www.ledger.com/addressing-the-july-2020-e-commerce-and-marketing-data-breach).

*

Sepengetahuan saya Ledger memiliki Program Bug Bounty, dan jika memang laporan hasil penelitiannya valid akan ada reward dengan payment-nya menggunakan Bitcoin bukan berupa Dollar US. Lebih detailnya bisa dilihat di sini: https://donjon.ledger.com/bounty/