Taidoor diyakini sebagai jenis malware terbaru yang sebenarnya telah digunakan oleh kelompok hacker yang didukung pemerintah (APT) China sejak tahun 2008. Taidoor masuk kedalam kategori trojan akses jarak jauh (RAT/Remote Access Trojan).

DHS CISA, DoD, dan FBI sepakat mengatakan malware baru Taidoor memiliki versi untuk OS Windows 32bit dan 64bit. Biasanya mereka dimuat dalam file ekstensi .DLL (dynamic link library) yang didalamnya terdiri dari dua file/kode berbahaya.

“File pertama adalah loader yang dimulai sebagai layanan. Loader mendekripsi file kedua dan mengeksekusinya dalam memori yang merupakan trojan akses jarak jauh (RAT) utama,” kata CISA dalam laporan terbarunya seperti dikutip dari ZDNet, Selasa (4 Agustus 2020).

RAT Taidoor memiliki fungsi pada umumnya yaitu untuk memungkinkan kelompok APT China mengakses sistem yang terinfeksi dan mengekstrak data atau menyebarkan malware lainnya. Menurut FBI, Taidoor biasanya digunakan bersama dengan server proxy untuk menyembunyikan titik asal asli dari operator trojan tersebut.

Sedangkan US Cyber Command mengatakan malware #Taidoor Cina telah meretas sistem sejak 2008.

Ketiganya tidak secara eksplisit mengungkapkan bagaimana dengan pendistribusian malware Taidoor, tetapi malware ini diyakini telah disebar melalui berbagai cara, termasuk melalui email berisikan tautan berbahaya.

Baik DHS CISA, DoD, dan FBI juga telah merilis Malware Analysis Report (MAR) – laporan yang menginformasikan kepada organisasi/perusahaan – tentang tindakan/respons yang disarankan hingga rekomendasi tentang teknik mitigasi yang tepat. Diantaranya memperbarui patch sistem operasi, menggunakan mesin antivirus terbaru, berhati-hati saat membuka lampiran email bahkan jika lampiran tersebut tampak sah.

Selain itu, US Cyber Command DoD telah mengunggah empat sampel malware Taidoor di portal VirusTotal. VirusTotal adalah platform yang membantu perusahaan keamanan siber dan analis malware independen untuk mengunduh file guna menganalisa lebih lanjut, mempelajari, dan mencari informasi tambahan.

(Cyberthreat/PARADE.ID)

Artikel Waspadai Strain Malware Baru Asal China yang Disebut Taidoor pertama kali tampil pada Parade.id.

Netwalker menggunakan model bisnis Ransomware-as-a-Service (RaaS) dimana pembuat atau operatornya menjual atau menyewakan kit malware yang meng-enkripsi kepada individu maupun kelompok yang ingin melakukan serangan cyber.

Selain menginfeksi secara langsung, pembuat Netwalker juga menerapkan skema RaaS dengan imbalan potongan pembayaran 60-70 persen dari uang tebusan.

Serangan Netwalker pada awalnya akan meretas ke dalam jaringan organisasi/perusahaan. Kemudian, secara diam-diam mendapatkan kendali untuk mencuri data dan informasi yang penting guna mengenkripsi file itu. Selanjutnya, penjahat cyber akan meminta sejumlah uang tebusan kepada para korbannya.

Ransomware Netwalker memang dikenal menargetkan perusahaan/organisasi berprofil tinggi. Antara lain, insiden pada perusahaan logistik raksasa asal Australia Toll Group, serangan ke generator dan distributor listrik Kanada Northwest Territories Power Corporation (NTPC), serangan ke Michigan State University dan masih banyak lagi.

Akhir Juni lalu, University of California San Fransisco (UCSF) juga dipaksa membayar $ 1,14 juta (Rp 16,3 miliar) kepada operator ransomware Netwalker. Uang tebusan baru dibayarkan awal bulan ini. Netwalker berhasil meretas beberapa server penting di Fakultas Kedokteran UCSF yang kemudian mengenkripsi server dan data untuk mencegah akses oleh administrator UCSF.

McAfee menemukan 23 transaksi pembayaran tebusan ransomware dalam bentuk Bitcoin dari berbagai operasi serangan Netwalker. Temuan berdasarkan analisis terhadap alamat Bitcoin lengkap yang sejatinya dicantumkan dalam gambar atau teks pemberitahuan ketika perangkat yang digunakan terinfeksi ransomware.

Dengan mengikuti transaksi pada alamat Bitcoin, McAfee mengidentifikasi ada 2.795 bitcoin yang ditransfer terkait dengan Netwalker. Dalam lima bulan beroperasi, setidaknya operator dibalik Netwalker telah mengantongi sekitar $ 25 juta. Jumlah yang luar biasa.

“Total Bitcoin yang diperas dan telah ditemukan dengan melacak transaksi ke alamat terkait Netwalker adalah 2.795 BTC (bitcoin) berlangsung antara 1 Maret dan 27 Juli 2020.”

“Dengan menggunakan Bitcoin yang dikonversikan ke nilai tukar USD, kami memperkirakan total 25 juta USD transaksi terkait Netwalker,” tulis McAfee dalam sebuah laporan.

McAfee mengingatkan upaya pemerasan ransomware Netwalker berjalan efektif dan membuat banyak korban tidak punya pilihan selain menyerah hingga berakhir membayar uang tebusan.

Untuk itu, sangat penting bagi organisasi/perusahaan untuk melakukan langkah-langkah pencegahan daripada memulihkan sistem yang terinfeksi serangan ransomware dengan menerapkan sejumlah protokol keamanan yang kuat dan ketat.

(Cyberthreat/PARADE.ID)

Artikel McAfee: Dalam Lima Bulan, Kerugian Ransomware Netwalker Rp364 Miliar pertama kali tampil pada Parade.id.

Keberadaan malware tersebut diungkap oleh para peneliti keamanan siber di Cybereason. Menurut mereka, ada serentetan insiden ini akhir-akhir ini dan melibatkan semua hal dari aplikasi yang tidak jelas di Play Store.

Bahkan, seperti dikutip Telset.id dari New York Post, Minggu (19/7/2020), kasus ini juga melibatkan data dan aplikasi yang tidak terhapus dan berbahaya di dalam perangkat Android. Lantas, apa temuan mereka?

Tim Cybereason mendapati bahwa hal tersebut adalah ulah kelompok peretas berbahasa China yang beroperasi di bawah panji “Roaming Mantis”. Mereka beraksi di balik apa yang disebut kampanye malwareFakeSpy.

“FakeSpy telah berada di alam liar sejak 2017. Kampanye terbaru itu menjadi lebih kuat. Peningkatan kode, kemampuan baru, teknik anti-emulasi, dan target global baru dipelihara dengan baik,” terang tim Cybereason.

Menurut penelitian, FakeSpy dapat mengeksfiltrasi dan mengirim SMS, selain mencuri data keuangan, membaca informasi akun, dan daftar kontak. Pengguna diperdaya untuk mengklik teks “Pengiriman telah lewat”.

Direktur senior Cybereason, Assaf Dahan, mengatakan, pengguna harus curiga terhadap SMS berisi tautan dengan teks Missed Delivery.

“Jika mengklik tautan, mereka perlu memeriksa keaslian halaman situs,” demikian sarannya kepada pengguna.

Sebelumnya, Trend Micro menemukan aplikasi Android berbahaya yang disusupi oleh malware. Mereka menemukan total sembilan aplikasi Android mengandung malware berbahaya, yang justru sudah diunduh hingga 470 ribu kali.

Sebagaimana dikutip Telset.id dari Gizchina, Senin (10/2), Trend Micro menerbitkan laporan berisi aplikasi berisi malware yang menargetkan para pengguna Android.

Malware berbahaya itu disembunyikan dalam aplikasi-aplikasi tools, seperti “Speed Clean” atau “Super Clean”.

Malware ini juga dibuat seolah merupakan aplikasi yang sanggup mengoptimalkan kinerja smartphone dengan membersihkan file–file sampah yang tak dibutuhkan.

Bukannya mengoptimalkan kinerja smartphone, aplikasi malah memiliki protokol untuk mengunduh sekitar 3.000 malware ke smartphone pengguna yang terjangkiti.

Belum selesai sampai di situ, malwaretersebut pun bakal mengakses akun Google dan Facebook milik pengguna.

(telset/PARADE.ID)

Artikel Awas Modus Baru, Peretas Kirim Teks “Missed Delivery” pertama kali tampil pada Parade.id.

Dikutip dari Phone Arena, Senin, BlackRock menargetkan aplikasi populer, mulai dari PayPal hingga Gmail, Yahoo Mail, Uber, Netflix, eBay, Amazon, Telegram, WhatsApp, Twitter, Snapchat, Skype, Instagram, Facebook, Youtube, Reddit, TikTok, Tumblr, Pinterest, Tinder, Grindr, dan bahkan Google Play Store sendiri.

Secara total, ada sekitar 337 aplikasi yang menjadi target malware BlackRock.

Karena jumlahnya yang begitu banyak, dan mungkin hampir semua orang menggunakannya, solusi untuk masalah ini jelas tidak dengan menghapus aplikasi-aplikasi tersebut.

Aplikasi-aplikasi itu sendiri tidak berbahaya. Dengan kata lain, pengguna tidak perlu khawatir jika mengunduh dari sumber resmi. Bahaya akan muncul ketika diminta untuk menginstal “pembaruan Google” dari sumber pihak ketiga.

Cara kerja BlackRock, menurut Threat Fabric, akan bersembunyi di dalam aplikasi yang membuatnya tidak terlihat oleh pengguna. Selanjutnya, malware Trojan tersebut akan meminta korban untuk mengakses Layanan Aksesibilitas, lalu menyamar sebagai pembaruan Google.

Malware BlackRock akan dengan cepat menyebar ke seluruh sistem tanpa meninggalkan jejak. Hal itu karena Trojan akan mencegah kerja sebagian besar program antivirus, dan mulali bekerja untuk mencuri informasi finansial hingga nama pengguna dan kata sandi media sosial.

Tujuan utama BlackRock adalah mencuri data-data kredensial, bahkan dapat membajak pesan teks.

Pada dasarnya, BlackRock fokus pada hal mencuri informasi pribadi, dengan memanfaatkan aplikasi populer yang terhubung dengan institusi keuangan.

Namun, menurut Threat Fabric, cara paling sederhana, paling aman dan paling mudah untuk tetap terlindung dari ancaman semacam ini adalah dengan tidak bergantung pada toko aplikasi pihak ketiga, serta menginstal solusi antiviras yang dapat diandalkan yang dapat mencurigai serangan siber sebelum terjadi.

Pengguna ponsel juga disarankan untuk secara berkala memeriksa izin aplikasi, serta memeriksa daftar pengeluaran kartu kredit untuk memastikan tidak ada transaksi yang tidak sah.

(Antara/PARADE.ID)

Artikel Awas, Malware BlackRock Incar Ratusan Aplikasi Populer Android pertama kali tampil pada Parade.id.

Perusahaan penyedia layanan keamanan siber Palo Alto Networks menyebutkan, ada tiga jenis serangan siber yang marak terjadi saat pandemi corona. Ketiganya yakni melalui tautan, aplikasi, dan situs web. Systems Engineer Indonesia Palo Alto Networks Yudi Arijanto mengatakan, malware dapat disematkan pada lampiran dokumen maupun tautan melalui email. Temanya bisa disesuaikan dengan minat pengguna, termasuk virus corona.

Contohnya Coronavirus COVID-19 upadte.xlsx, CORONA VIRUS1.uue, covid19.ZIP, dan sebagainya. Sedangkan pada email, biasanya berjudul UNICEF COVID-19 TIPS APP, Latest corona-virus updates, dan sebagainya.  “Lampiran atau tautan berisi malware itu ketika dibuka berisi malware,” ujar Yudi saat konferensi pers secara virtual, kemarin (15/7).

Lalu, ada aplikasi dan situs web yang menggunakan nama terkait Covid-19. Kedua platform ini biasanya disusupi virus atau malware untuk mengambil data pengguna. Perusahaan mengidentifikasi 116.357 domain yang baru terdaftar dengan nama terkait virus corona sepanjang Januari hingga Maret lalu. Sebanyak 2.022 di antaranya diklasifikasikan sebagai malicious atau ‘jahat’. Lalu, lebih dari 40 ribu di antaranya dianggap ‘berisiko tinggi’.

Country Manager Indonesia Palo Alto Networks Surung Sinamo mengatakan, umumnya muncul notifikasi tidak dikenal ketika akun digital maupun ponsel diretas. “Jangan abaikan. Justru harus mencari tahu siapa yang menggunakan akun kita,” ujar dia Untuk mengetahui akun digital diretas atau tidak, bisa menggunakan beberapa situs pelacak. Contohnya haveibeenpwned, monitor firefox, dan avast. Namun, pengguna harus memastikan domain situs pelacaknya tepat, agar tidak masuk ke platform palsu yang mengandung malware.

Jika benar akun digital diretas, pengguna harus segera mengubah password dengan kata, angka maupun tanda baca yang sulit ditebak. Lalu, menerapkan autentikasi dua faktor (two-factor authentication) melalui pengaturan pada platform. “Dengan fitur itu, pengguna perlu memasukan password-nya,” ujar Systems Engineer Indonesia Palo Alto Networks Yudi Arijanto. Fitur ini dapat mengamankan akun dari peretasan atau kejahatan siber. Selain itu, fitur kode one time password (OTP), khususnya di platform layanan pembayaran dapat membantu pengguna mengidentifikasi akunnya diretas atau tidak. OTP biasanya dikirimkan melalui SMS atau panggilan telepon.

(katadata/PARADE.ID)

Artikel Pakar: Jenis Serangan Siber yang Marak Saat Pandemi Corona pertama kali tampil pada Parade.id.

Peneliti keamanan siber Avast menemukan, Cerberus menyaru sebagai aplikasi convertermata uang yang ditargetkan pengguna dari Spanyol.

Aplikasi bernama Calculadora de Moneda(kalkulator mata uang) itu telah diunduh lebih dari 10.000 kali, menurut laporan ZDNet, diakses Jumat (10 Juli 2020),

Cerberus terkenal sebagai malware trojan yang menargetkan sektor finansial—makanya populer dengan sebutan “trojan perbankan”. Istilah trojan diadopsi dari taktik penyamaran “kuda troya” dalam kisah Perang Kota Troya di mitologi Yunani.

Menurut peneliti, tampaknya aplikasi jahat tersebut tidak langsung menunjukkan diri sebagai malware saat terdaftar di Google Play Store.

“Aplikasi tersebut berjalan layakanya sebagai aplikasi yang sah untuk beberapa pekan setelah diterima di Play Store,” kata peneliti.

Namun, ketika pengguna mulai mengunduh aplikasi pada Maret lalu, aplikasi itu awalnya tidak menimbulkan bahaya. Hanya, tanpa disadari pengguna, aplikasi kemudian memicu kode aktif layaknya “dropper” (penginstal malware secara diam-diam) untuk trojan Cerberus.

Kode yang menghubungkan Calculadora de Moneda ke server perintah-dan-kontrol (C2) milik penjahat diaktifkan beberapa pekan kemudian, memerintahkan aplikasi untuk mengunduh Paket Aplikasi Android (APK) tambahan ke perangkat.

Setelah dieksekusi, APK menjatuhkan Cerberus, trojan yang relatif baru dan baru beredar sejak Juni 2019.

Malware lalu “menyelimuti” seluruh aplikasi palsu tersebut Cerberus akan bersembunyi di latar belakang, menunggu pengguna untuk memasukkan kredensial akun daringnya, kemudian dicuri dan dikirim ke C2 penjahat.

Avast mencatat bahwa malware itu cukup canggih. Memiliki kemampuan: membaca pesan teks/SMS  (untuk membaca kode OTP) dan mengambil detail otentikasi dua faktor (2FA) yang dipakai pengguna.

Meski saat ini server yang terkoneksi dengan aplikasi dan Cerberus telah menghilang dari aplikasi, peneliti mengatakan, jangan mengabaikan malware tersebut.

“Meskipun ini hanya periode singkat, itu adalah taktik penipu yang sering digunakan untuk bersembunyi dari deteksi keamanan,” kata Avast.

(cyberthreat/PARADE.ID)

Artikel Cerberus Terdeteksi Lagi, Bersembunyi di Aplikasi pertama kali tampil pada Parade.id.

“Seringkali, kasus malware tinggi berkorelasi dengan tingkat pembajakan dan keamanan dunia maya secara keseluruhan, yang mencakup patching dan pembaruan perangkat lunak secara berkala,” kata Presiden Direktur Microsoft Indonesia, Haris Izmee, dalam keterangan resmi, dikutip Minggu.

Temuan tersebut berdasarkan riset Security Endpoint Threat Report 2019 bahwa kasus malware di Indonesia tertinggi di kawasan Asia Pasifik. Indonesia tercatat memiliki tingkat kasus malware 10,68 persen pada 2019.

Kondisi tersebut dua kali lebih tinggi dari rata-rata regional, meski pun sudah mengalami penurunan 39 persen pada 2019 lalu.

Sementara kasus ransomware Indonesia pada 2019 menduduki posisi kedua tertinggi di Asia Pasifik, sebesar 0,14 persen atau 2,8 kali lebih tinggi dari rata-rata regional.

Kasus ransomware tahun lalu juga turun sebesar 46 persen dibandingkan 2018.

Haris menyatakan negara yang memiliki tingkat pembajakan lebih tinggi dan pengetahuan keamanan siber yang lebih rendah cenderung terdampak lebih besar ancaman siber.

Indonesia juga mengalami kasus penambangan mata uang kripto, atau cryptomining, yang tinggi sebanyak 0,10 persen. Kasus tersebut dua kali lebih tinggi dari rata-rata regional.

“Dengan fluktuasi nilai cryptocurrency sekarang serta meningkatnya waktu yang diperlukan untuk menghasilkan uang digital ini, para penjahat kembali memfokuskan upaya mereka untuk terus mengeksploitasi pasar yang memiliki kesadaran dan adopsi praktik keamanan dunia maya yang rendah,” kata Haris.

Berkaitan dengan keamanan siber terkini, Microsoft melihat pandemi virus corona juga menimbulkan serangan di dunia maya. Tim Microsoft Intelligence Protection menemukan setiap negara setidaknya memiliki satu serangan bertema COVID-19.

Serangan tersebut sebenarnya merupakan cara lama, namun, penjahat siber mengubahnya sedikit dengan tema COVID-19. Mereka menyerang dengan mengirim malware, phishing maupun ransomware yang memuat kata COVID-19.

Microsoft menyarankan untuk mengurangi serangan siber, pengguna individu maupun perusahaan perlu menggunakan perangkat lunak yang sah, patching perangkat lunak, serta memastikan perangkat lunak selalu diperbarui.

(Antara/PARADE.ID)

Artikel Kasus Malware Indonesia Lebih Tinggi dari Rata-rata di Asia Pasifik pertama kali tampil pada Parade.id.

Untuk mengetahui bagaimana pelaku kejahatan siber menargetkan lingkungan cloud, para ahli X-Force IRIS incident response juga melakukan analisa mendalam tentang kasus-kasus terkait cloud yang telah diteliti selama setahun terakhir. Temuan dari penelitian ini antara lain.

Artikel Lima Ancaman Utama di Cloud, dari Pencurian Data sampai Ransomware pertama kali tampil pada Parade.id.

Operasi trickbot phishing ditemukan marak di tengah-tengah protes luas yang terjadi di Amerika Serikat (AS). Protes dipicu oleh kematian seorang pria kulit hitam George Floyd sehingga menggoncang khalayak di dunia Maya dan dunia nyata secara bersamaan.

Pada Juni 2020, operasi tersebut memikat orang-orang di AS dengan berpura-pura berasal dari “Administrasi Negara,” dan meminta penerima untuk “Memilih (voting) secara anonim tentang Black Lives Matter”. Sebuah skenario yang sangat cerdas memanfaatkan situasi terkini.

Modusnya adalah dengan mengirim email kepada korban. Email itu meminta penerima untuk mengisi dan mengembalikan dokumen yang dilampirkan. Dokumen inilah yang menipu korban karena meminta penerima mengaktifkan makro yang mengunduh dan mengeksekusi DLL jahat untuk trojan TrickBot.

Lebih lanjut, Trojan itu mengunduh modul untuk mencuri file dan password, lalu menyebar secara lateral ke seluruh jaringan. Tak sampai disitu, penyebaran trickbot juga memungkinkan hacker lainnya untuk memasang malware tambahan.

Tampilan email spear-phishing beserta muatan dokumen berbahaya bertajuk BlackLivesMatter | Foto: Hackreports

Dilansir Cyware Hacker News, berikut beberapa serangan trickbot yang menyita perhatian baru-baru ini:

1. Pada Juni 2020, Panda Security menemukan operasi phishing terbaru. Trojan TrickBot menggunakan modul baru yang disebut ‘BazarBackdoor’ untuk meretas dan mendapatkan akses penuh ke jaringan perusahaan.

2. Pada bulan Mei 2020, Palo Alto Networks mengamati TrickBot sedang memperbarui salah satu modul propagasinya yang dikenal sebagai “mworm” ke modul penyebaran malware tersembunyi yang disebut “nworm” yang membantu menghindari deteksi.

3. Pada bulan April 2020, Microsoft mengumumkan bahwa berdasarkan data Office 365 ATP, Trickbot adalah operasi malware yang paling produktif menggunakan umpan bertema Covid-19.

4. Pada bulan April 2020, IBM X-Force mengungkap kampanye Trickbot baru yang menargetkan penerima email dengan pesan palsu yang mengaku berasal dari Departemen Tenaga Kerja AS (DoL), memanfaatkan Family and Medical Leave Act (FMLA).

Bagaimana agar tetap aman?

Fakta menyatakan bahwa sebagian besar serangan siber dimulai dengan email spear-phishing. Kemudian, sebagian besar dari email yang ditargetkan ini menggunakan lampiran file jahat yang mengandung/memberikan muatan berbahaya.

Pengguna harus menggunakan filter spam, otentikasi multi-faktor (MFA), menyiapkan data cadangan, dan menerapkan pembaruan perangkat lunak otomatis untuk menghadapi ancaman keamanan baru dan terus berkembang.

(cyberthreat/PARADE.ID)

Artikel Malware Trickbot Menyebar Via Spear-phishing Bertajuk BlackLivesMatter pertama kali tampil pada Parade.id.