Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) - page 8. (Read 99945 times)

Sayangnya ane tidak bisa mengakses link CVE yang dishare di berita tersebut, entah kenapa malah redirect ke website lain. Kalau dlihat sekilas sepertinya kasus terbaru ini berasal dari eksploit fitur" khusus dan koneksi ke publik yang seharusnya tidak dilakukan oleh server Redis (CMIIW), jadi bisa dibilang kasus terbaru ini sebagian besar berasal dari pengaturan yang tidak sesuai standar.

Btw beberapa hari yang lalu Namecheap juga mengalami hack yang membuat pengguna jasa-jasa popular seperti DHL mendapatkan e-mail phishing. Isi walletnya berkaitan dengan MetaMask, dengan isi notifikasi kalau wallet user dalam bahaya seperti phishing lainnya. Ada dugaan hacking ini berkaitan dengan provider e-mail seperti SendGrid yang sempat mengalami kebocoran API di aplikasi mobile mereka, tapi pihak Sendgrid/Twilio membantah dugaan tersebut. Yang jelas hati" kalau dapat e-mail aneh meskipun e-mail tersebut berasal dari alamat e-mail yang legit[1].

[1] https://www.bleepingcomputer.com/news/security/namecheaps-email-hacked-to-send-metamask-dhl-phishing-emails/

Saya sempat denger juga, kabarnya Redis server ini juga rawan terhadap malware, saya cek malah Malware Botnet ini hampir mendapatkan keuntungan 1 juta USD dalam mining monero pada 2018 silam. [1]. tentu ini harus jadi perhatian khusus, entah apa kerja security mereka kalau sampai kebobolan 2x ini.

[1]. https://www.bleepingcomputer.com/news/security/mining-botnet-targeting-redis-and-orientdb-servers-made-almost-1-million/

Salah satu penjelasan yang masuk akal menurut saya adalah laporan tersebut harus memenuhi beberapa kriteria, salah satunya jumlah pelapor yang melaporkan ekstensi tersebut atau jumlah laporan atas ekstensi tersebut. Agak kurang masuk akal sih karena harusnya tiap laporan ditindaklanjuti mengingat ini bukan laporan atas cuitan dari user tertentu, tapi ekstensi yang secara alamiah bisa berbahaya buat pengguna. Tapi ya entah apa alasan sebenarnya, yang jelas memang Google kurang memuaskan dalam menanggapi masalah semacam ini, baik di Play Store, iklan, ataupun ekstensi aplikasi mereka.

---

Btw berikut ini beberapa kasus malware/phishing dst yang menurut ane cukup menarik untuk di-share:
- Malware HeadCrab yang menginfeksi Redis server untuk me-mining Monero[1]. Kalau agan punya server berbasis Redis jangan lupa untuk update/melakukan mitigasi atas eksploit yang dimanfaatkan oleh malware ini. Saran yang diajukan antara lain memastikan jaringan agan ga bisa diakses dari internet publik, menonaktifkan fitur slaveof kalau tidak dipakai, mengaktifkan mode terproteksi sehingga server hanya merespons ke alamat loopback. CMIIW.
- Beberapa malware yang disebarkan lewat iklan/tawaran pekerjaan ke berbagai user[2]. Ada beberapa jenis malware serupa yang tujuan utamanya adalah melakukan pencurian data dari komputer pengguna yang terinfeksi. Kalau agan sedang mencari lowongan kerja pastikan berhati-hati, khususnya kalau agan pakai VPN dan IP dari Eropa, karena dari yang ane baca penyebaran ini menyerang pengguna internet yang berbasis di Eropa.

[1] https://www.bleepingcomputer.com/news/security/new-headcrab-malware-infects-1-200-redis-servers-to-mine-monero/
[2] https://thehackernews.com/2023/02/enigma-vector-and-tgtoxic-new-threats.html

Kadang saya bingung, buat apa google bikin opsi laporkan jika laporan yang disampaikan tidak ditanggap. Saya barusan check extension di atas, masih tetap ada di mesin pencari google. Malah sekarang, saya lihat telah bertambah jadi 5 pengguna dari awal saya lihat di OP share 2 minggu lalu (cuma 1 pengguna). Jadi ya percuma Google bikin opsi laporkan tapi tidak pernah cepat dieksekusi untuk ditutup (seperti dipelihara gitu, menampung sebanyak-banyaknya yang kena trap)

Ya, untuk mempelajari model phishing lainnya sebaiknya mengambil referensi tidak hanya dari satu sumber (terpercaya) saja sebagaimana untuk Ledger tentunya model serangannya hanya yang terkait dengan produk mereka saja, tapi juga lihat referensi lain semisal dari situs www.bleepingcomputer.com sebagaimana yang disebutkan diatas atau dari informasi pada artikel-artikel yang diulas antivirus misalnya.

---

Agan harus mengklik opsi yang ada sebagaimana disebutkan om Jon di atas.
Berikut ini hasil barusan saya mereport ekstension tersebut:

Agan perlu memilih alasan penyalahgunaan yang ada di list tersebut. Contohnya agan pilih "Berbahaya untuk komputer atau data saya" (klik bulatan putih di sebelah teks tersebut), baru nanti tombol Kirim akan aktif. Komentar tidak wajib diisi, tapi boleh saja agan tulis alasan lebih detailnya di situ, kecuali agan memilih opsi terakhir (Memiliki masalah lain dst..). Kalau agan sudah mengirim laporan akan muncul halaman kalau laporan penyalahgunaan berhasil dikirimkan.

Karena rasa penasaranku yang cukup tinggi sehingga membuatku mencari dan berkinginan untuk mencoba. Memang ini sangat beresiko, beruntungnya aku tidak menyimpannya di PC, kalau ada mungkin sudah ku copy paste.

Aku sudah melaporkan, https://chrome.google.com/webstore/report/oejpbeppmmdbgglamhnmheeconkphbdp?hl=id&gl=US
Tapi websitenya tidak responsif, tidak terlihat apa sudah terkirim apa belum. Sudah kuklik kirim 3 kali masih tetap seperti gambar di bawah,



Apa di antara kalian sama?.

Sedikit mengingatkan kalau list yang ada tidak selalu update. Terakhir di situ ada detailnya diupdate bulan Maret 2022, yang bisa dibilang sudah cukup lama berlalu. Sejauh ini ane belum nemu indeks phishing yang up to date karena phishing/malware/virus dst bisa muncul dengan cepat. Alternatifnya adalah mempelajari modus operandi phising yang ada, misalnya di link berikut ini[1]. Atau cek thread ini/forum secara berkala karena pasti bakal ada yang share berita mengenai kasus phishing terbaru.

Di bulan Januari ini, beberapa kasus ransomware yang melibatkan crypto juga cukup banyak. Ane nemu beberapa kasus yang mungkin bisa membantu agan untuk mempelajari kasus" tersebut lebih lebih jauh lagi[2], salah satunya bahkan diklaim melibatkan exchange crypto. Berikut di antaranya:
Source: Bleeping Computer

[1] https://www.investopedia.com/articles/forex/042315/beware-these-five-bitcoin-scams.asp
[2] https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-january-20th-2023-targeting-crypto-exchanges/

Sudah mendapat link dari situs resminya kenapa agan malah ujungnya mencari di mesin pencarian dan mengakses situs tidak resmi? Menurut saya upaya tersebut termasuk "nekat" dan mengundang resiko.
Tadi saya coba baca artikel di link resminya tersebut, padahal disana dijelaskan langkah demi langkahnya jika memang mau mencoba "Ledger Connect" versi Beta tersebut:

---

Bahkan di situs https://www.ledger.com/ bagian atas jelas terpampang peringatan seperti berikut ini:



Catatan:
Beberapa model phishing campaign lainnya yang berusaha menarget pengguna Ledger bisa dilihat disini:
https://www.ledger.com/phishing-campaigns-status

Beberapa hari lalu aku mau nyari extension ledger live di google karena sempat baca arttikel: https://www.ledger.com/blog-ledger-connect-browser-extension-is-coming-soon-sign-up-for-the-beta kalau akan luncur
Karena mendesak dan tidak begitu memperhatikan dampaknya, makaa aku nyari di googlee dan nnemu: setelah terinstall lalu kusambunggkan dengan ledger ku,  setelah ke detek dan ledge hidup, extension minta konek lagi ke wallet, paddahal ledgerku sudahh nyala,
yang mmebuatku tidakk lanjut lagi adalah, extension itu minta 24 passwordku, sehingga ku tutup dan tidak jadi lanjutt.

Hati-hati jika mau install extension atau sesuatu di internet, kareena sekrangg ini makin banyak scamer yang nyari duitnya nyuri punya kalian. Jika sudah connect tapi masih minta 24 kata itu, artinya website itu scam. sama seperti akun samaran bank yang minta pin dan otp pengguna ngaku-ngaku pegawai bankk.

Mohon berhati-hati kalau melihat post dan link ini di forum, khususnya yg pakai wallet MetaMask di browser.


Ini website phishing yang akan meminta akses terhadap semua NFT di wallet. Report saja kalau melihat post seperti ini. Terima kasih.

Memang katanya lebih aman pakai SMS artinya nomor tersebut belum atau tidak terdaftar di aplikasi perpesanan kayak WA dan sebagainya. Tapi ya walau pun cuma SMS tetap saja kita harus waspada, karena saya pernah denger seorang teman yang pernah membeli nomor cantik dapat semacam OTP dari bank, padahal nomor tersebut baru saja dia beli dan belum pernah sekalipun digunakan untuk daftar bank. Jadi menurut asumsi saya sih, bisa jadi nomor tersebut sudah mati atau terblokir di masa lalu dan dihidupkan lagi oleh Oknum provider telpon.

Berarti kalau model serangan malware-nya seperti disebutkan diatas, mau menggunakan 2FA sekalipun pasti dijebol juga karena aplikasinya sendiri "direkam". Mungkin aplikasi 2FA semisal google authenticator, authy dan lainnya mesti diinstal di device yang berbeda dari device yang digunakan untuk aplikasi perbankan, meskipun jadi rada kurang praktis karena mesti membawa beberapa perangkat.

Saya sendiri untuk nomor yang didaftarkan di bank, saat ini dipasangnya di HP biasa (non smartphone), setelah sebelumnya digunakan terlebih dulu di smartphone untuk instalasi aplikasi perbankan.

---

Btw, tadi saya baca malware Godfather ini dirancangnya untuk menyerang perangkat Android seperti disebutkan berikut:

Semakin populer OS yang digunakan, semakin populer juga jadi target malware.

Wah, baru tahu saya. Pengalaman saya soalnya di Android aplikasi ini masih tersedia, dan masih diupdate walupun rentang antara update satu ke yang lainnya sangat panjang. Kalau keamanan dan fitur terbaru jadi alasan agan pake Telegram, mungkin memang bukan jadi pilihan yang baik. Sementara pilihan terbaik adalah mengecek manual kalau agan tidak mau bayar. Semoga saja fitur filter voice message dan fitur" penting lainnya bisa dibuat free lagi. Signal mungkin bisa jadi pilihan, sayang pengguna Signal tidak terlalu banyak sejauh yang saya tahu.

---

Btw beberapa hari terakhir dari berbagai web terkait berita kripto kabarnya ada malware baru dengan nama Godfather yang menyerang aplikasi perbankan dan juga crypto di Jerman (mungkin penyebaran juga ke global). Kalau ane baca" dari Bitcoin.com sih, sepertinya modusnya masih sama dengan fake app lainnya, yaitu menyerupai aplikasi dari developer yang diserang untuk kemudian merekam keystroke dan 2FA yang diminta ketika user login (jadi request login dikirim ke URL yang benar, hanya saja datanya diintai agar penyerang bisa login sendiri di device yang lain)[1]. Setelah malware ini berhasil terinstall, mereka juga akan menginstall/download malware lain seperti aplikasi pengirim pesan, jadi bot untuk serangan DDoS, dsm.

Untuk melindungi devide agan dari malware ini, masih tidak jauh berbeda dengan tips" sebelumnya. Selalu download dari sumber resmi, kalau pake App Store pastikan agan mendowload aplikasi yang benar, kalau developer menyediakan hash untuk verifikasi pastikan verifikasi sebelum install, pastikan jaringan agan bebas dari DNS hijack atau serangan MITM lainnya, jangan percaya dengan hasil pencarian di Google terutama yang berasal dari iklan, dan lain sebagainya. Stay safe!

[1] https://news.bitcoin.com/germanys-financial-watchdog-warns-of-godfather-malware-attacks-on-crypto-apps/

Saya coba lihat link pada artikel referensi di atas, coba buka di App Store (macOS) tertera App not available



Kemudian coba cari di App Store (iOS) sama juga, aplikasi Telegram X tersebut tidak tersedia.

---

Opsi menghapus Cache masih bisa di setting auto remove ^[1] tapi untuk menghapus file saya lihat memang masih mesti manual ^[2].

^[1]

---

^[2]


Beberapa waktu lalu saya mendapatkan voice message yang di forward dari channel tertentu (kasusnya mirip dengan yang dialami MAAManda). Karena bahkan usernya pun tidak saya kenal, saya langsung Block User dan file voice message yang defaultnya otomatis terdownload (karena bukan user premium) turut terhapus dari storage.

Kalau tidak mau bayar atau subscribe ke premium, alternatif yang ane temukan adalah menggunakan Telegram X. Ini client alternatif buat pengguna Telegram yang dulu juga pernah ane coba. Hanya saja untuk iOS sepertinya kurang disarankan kalau user ingin performa yang optimal, setidaknya begitu kata Telegram sendiri[1]. Ane sendiri belum cek update terbaru, tapi kalau ga ada perubahan harusnya bisa diatur dengan langkah yang sama, dengan tambahan opsi untuk mematikan voice message di bagian auto-download media. Perlu diingat kalau app ini jarang diupdate, dan fitur" yang ada di app utama belum tentu tersedia.

Btw ane baca" di sosmed katanya fitur filter dan fitur" premium lainnya bisa jadi free setelah beberapa bulan, jadi kalau agan bisa nunggu mungkin sekalian nunggu saja daripada bayar dan menyia"kan uang karena ga menggunakan fitur yang lain. Tapi tentu saja, hanya sebatas rumor, bisa jadi malah makin ditambah paywallnya. Hapus file/cache berkala mungkin bisa jadi opsi terakhir untuk mewaspadai file malware yang ga sengaja terunduh oleh Telegram.

[1] https://telegram.org/blog/telegram-x

Saya juga sempat teringat kasus peretasan melalui pengiriman gambar di WA yang pernah disampaikan agan Luzin & dewo_sat sebelumnya, namun itu malah berupa file apk atau berupa link (bukan berupa gambar yang langsung bisa dilihat -semisal menggunakan opsi auto download) yang jika di tap kemungkinan memang yang terjadi adalah menginstall virus atau sejenisnya untuk meretas device korbannya.

Ya, padahal itu termasuk salah satu fitur pada Privacy and Security yang bahkan di Whatsapp pun tidak dibuat menjadi berbayar untuk mengaktifkan filternya.
Untuk user Telegram non-premium, mau tidak mau voice message yang dikirim user lain tetap otomatis terdownload (karena tidak ada opsi untuk memfilternya).

Mungkin kasusnya sama dengan fenomena hacking dengan mengirim gambar di WA yang pernah trending dulu om, memanfaatkan eksploit ketika aplikasi WA/Android pada umumnya membaca file gambar atau audio. Terlepas ini bug app atau Android itu sendiri, paling aman ya menghindari membuka file dari orang asing daripada gambling dengan kemungkinan file yang dikirim malware atau bukan.

Saya coba cari update terbaru sepertinya masih simpang siur. Ada yang bilang bug atau fitur yang dieksploitasi oleh hacker tersebut sudah diatasi, ada juga yang bilang tidak.

Agak kecewa juga dengan Telegram mengenai paywall filter pesan ini, karena saya rasa ini bukan hal yang seharusnya opsional tapi wajib mengingat penyebaran malware sangat mudah dilakukan. Untungnya fitur nonaktifkan auto-download masih free jadi masih bisa diakali. Kalau fitur itu juga dijadikan paywall saya rasa waktunya pindah dari Telegram tiba.

Maksud saya ketika ada yang mengirimi link, baik itu di telegram, email atau lainnya terutama dari orang asing atau bahkan orang yang kita kenal sekalipun yang mem-forward link dari orang lain lagi, setidaknya lebih aware untuk tidak terlalu "kepo" ingin tahu itu isinya apa, terlebih kalau kita tidak merasa meminta atau memerlukan link tersebut.

Salah satu pesan yang masih saya ingat dari Michael Gillespie* (id-ransomware.malwarehunterteam.com) perihal link-link semacam itu adalah:



* Dulu pernah konsultasi mengenai masalah ransomware *.grovat yang menyerang PC ditempat kerja saya (https://bitcointalksearch.org/topic/m.50516790).

---

Saya pribadi sebenarnya rada kurang yakin kalau Voice Message yang dikirim melalui telegram bisa sampai sejauh itu ketika di tap untuk didengarkan bisa menyebarkan virus. Namun jika memang sampai benar ada yang demikian saya kira akan banyak user telegram non premium yang bakal kena, karena tidak bisa mengatur opsi restrict receiving voice messages. Mungkin solusinya (bagi user non-premium) ya tinggal langsung di delete saja jika mendapat lagi message serupa itu.

Kebetulan saya belum mematikan auto-download yang ada di Telegram saya om, dan sudah terlanjur terbaca pesannya, kemudian saya sudah mencari file yang dikirim ke saya itu di storage, tapi tidak ketemu juga, waduh gawat ini .


Tentang mekanisme juga sebenarnya saya masih bingung, apa harus di dengar ya voice note-nya baru bisa masuk virus/malware tersebut. Saya juga sudah bertanya kepada orang yang share mengenai hal ini di grup telegram, tapi tidak ada balasan yang cukup memuaskan.


Sip, sudah saya implementasikan om, thanks in advance.