Halaman

    Social Items

Visit WPN

 


Sebuah toolkit yang baru ditemukan bernama DKnife telah digunakan sejak tahun 2019 untuk membajak lalu lintas di tingkat edge-device dan menyebarkan malware dalam kampanye spionase.


Framework ini berfungsi sebagai framework post-compromise untuk pemantauan lalu lintas dan aktivitas adversary-in-the-middle (AitM). Ia dirancang untuk mencegat dan memanipulasi lalu lintas yang ditujukan untuk endpoint (komputer, perangkat seluler, IoT) di jaringan.


Para peneliti di Cisco Talos mengatakan bahwa DKnife adalah framework ELF dengan tujuh komponen berbasis Linux yang dirancang untuk Deep Packet Inspection (DPI), manipulasi lalu lintas, pengumpulan kredensial, dan pengiriman malware.


Malware ini menampilkan artefak bahasa Simplified Chinese dalam nama komponen dan komentar kode, dan secara eksplisit menargetkan layanan Tiongkok seperti penyedia email, aplikasi seluler, domain media, dan pengguna WeChat.


Peneliti Talos menilai dengan keyakinan tinggi bahwa operator DKnife adalah aktor ancaman China-nexus.


Para peneliti tidak dapat menentukan bagaimana peralatan jaringan tersebut disusupi, tetapi menemukan bahwa DKnife mengirimkan dan berinteraksi dengan backdoor ShadowPad dan DarkNimbus, keduanya terkait dengan pelaku ancaman dari Tiongkok.


DKnife terdiri dari tujuh modul, masing-masing bertanggung jawab atas aktivitas spesifik yang terkait dengan komunikasi dengan server C2, meneruskan atau mengubah lalu lintas, dan menyembunyikan asal lalu lintas berbahaya:

  • dknife.bin - bertanggung jawab atas inspeksi paket dan logika serangan, juga melaporkan status serangan, aktivitas pengguna, dan mengirimkan data yang dikumpulkan.
  • postapi.bin - komponen relay antara DKnife.bin dan server C2.
  • sslmm.bin - server proxy reverse kustom yang berasal dari HAProxy.
  • yitiji.bin - membuat antarmuka Ethernet virtual (TAP) pada router dan menjembataninya ke LAN untuk merutekan lalu lintas penyerang.
  • remote.bin - klien VPN peer-to-peer menggunakan perangkat lunak n2n VPN.
  • mmdown.bin - pengunduh dan pembaru malware untuk file APK Android.
  • dkupdate.bin - Komponen unduhan, penyebaran, dan pembaruan DKnife.


"Kemampuan utama [DKnife] meliputi penyediaan C2 pembaruan untuk backdoor, pembajakan DNS, pembajakan pembaruan aplikasi Android dan unduhan biner, penyebaran backdoor ShadowPad dan DarkNimbus, secara selektif mengganggu lalu lintas produk keamanan dan mengeksfiltrasi aktivitas pengguna ke server C2 jarak jauh," kata para peneliti dalam sebuah laporan minggu ini.


Setelah terinstal, DKnife menggunakan komponen yitiji.bin untuk membuat antarmuka TAP yang dijembatani (perangkat jaringan virtual) pada router di alamat IP pribadi 10.3.3.3. Hal ini memungkinkan pelaku ancaman untuk mencegat dan menulis ulang paket jaringan saat transit ke host yang dituju.


Dengan cara ini, DKnife dapat digunakan untuk mengirimkan file APK berbahaya ke perangkat seluler atau sistem Windows di jaringan.


Peneliti Cisco mengamati DKnife menjatuhkan backdoor ShadowPad untuk Windows yang ditandatangani dengan sertifikat perusahaan Tiongkok. Tindakan ini diikuti dengan penerapan backdoor DarkNimbus. Pada perangkat Android, backdoor dikirimkan langsung oleh DKnife.


Pada infrastruktur yang sama yang terkait dengan aktivitas framework DKnife, para peneliti juga menemukan bahwa infrastruktur tersebut menampung backdoor WizardNet, yang sebelumnya dikaitkan oleh peneliti ESET dengan framework Spellbinder AitM.


Selain pengiriman payload, DKnife juga mampu:

  • Pembajakan DNS
  • Membajak pembaruan aplikasi Android
  • Membajak biner Windows
  • Pengambilan kredensial melalui dekripsi POP3/IMAP
  • Hosting halaman phishing
  • Gangguan lalu lintas anti-virus
  • Memantau aktivitas pengguna, termasuk penggunaan aplikasi perpesanan (WeChat dan Signal), memetakan penggunaan aplikasi, konsumsi berita, aktivitas panggilan, layanan ride-hailing, dan belanja.


Aktivitas WeChat dilacak secara lebih analitis, kata Cisco Talos, dengan pemantauan DKnife untuk panggilan suara dan video, pesan teks, gambar yang dikirim dan diterima, serta artikel yang dibaca di platform.


Peristiwa aktivitas pengguna pertama-tama dirutekan secara internal di antara komponen DKnife dan kemudian dieksfiltrasi melalui permintaan HTTP POST ke titik akhir API command-and-control (C2) tertentu.


Karena DKnife berada di perangkat gateway dan melaporkan peristiwa saat paket melewatinya, DKnife memungkinkan pemantauan aktivitas pengguna dan pengumpulan data secara real time.


Hingga Januari 2026, server DKnife C2 masih aktif, kata para peneliti. Cisco Talos telah menerbitkan serangkaian Indicator of Compromise (IoC) lengkap yang terkait dengan aktivitas ini.

DKnife, Toolkit Edge-Device Berbasis Linux untuk Spionase dan Manipulasi Lalu Lintas

 


Operator ransomware diketahui menghosting serta mendistribusikan payload dalam skala besar dengan memanfaatkan mesin virtual (virtual machine/VM) yang disediakan oleh ISPsystem, sebuah penyedia layanan manajemen infrastruktur virtual yang legal.


Praktik ini terungkap oleh peneliti keamanan siber dari Sophos saat mereka menyelidiki insiden ransomware WantToCry terbaru. Dalam penyelidikan tersebut, Sophos menemukan bahwa para pelaku menggunakan VM berbasis Windows dengan nama host yang sama persis, yang mengindikasikan penggunaan template bawaan dari VMmanager, produk milik ISPsystem.


Penelusuran lanjutan menunjukkan bahwa nama host identik tersebut juga muncul dalam infrastruktur milik berbagai kelompok ransomware lain, seperti LockBit, Qilin, Conti, BlackCat/ALPHV, dan Ursnif, serta dalam sejumlah kampanye malware pencuri data, termasuk RedLine dan Lummar.


ISPsystem sendiri merupakan perusahaan perangkat lunak sah yang mengembangkan panel kontrol bagi penyedia layanan hosting. Produk-produknya digunakan untuk mengelola server virtual, pemeliharaan sistem operasi, dan berbagai kebutuhan infrastruktur lainnya. VMmanager adalah platform virtualisasi mereka yang memungkinkan pelanggan menjalankan VM berbasis Windows maupun Linux.



Sophos mengungkap bahwa template Windows default pada VMmanager secara konsisten menggunakan kembali nama host dan pengenal sistem yang sama setiap kali diterapkan. Kelemahan desain ini kemudian dimanfaatkan oleh sejumlah penyedia hosting yang secara sadar mendukung aktivitas kejahatan siber dan mengabaikan permintaan penghapusan (takedown).


Dengan menggunakan VMmanager, para pelaku dapat menjalankan VM yang berfungsi sebagai infrastruktur command-and-control (C2) serta sarana distribusi payload. Akibatnya, sistem berbahaya tersebut tersembunyi di antara ribuan VM sah, sehingga menyulitkan proses atribusi dan hampir mustahil untuk dilakukan penghapusan secara cepat.


Sebagian besar VM berbahaya tersebut dihosting oleh sejumlah kecil penyedia dengan reputasi buruk, di antaranya Stark Industries Solutions Ltd., Zomro B.V., First Server Limited, Partner Hosting LTD, dan JSC IOT.


Sophos juga mengidentifikasi penyedia bernama MasterRDP yang memiliki kendali langsung atas infrastruktur fisik. Penyedia ini menggunakan VMmanager untuk menghindari deteksi serta menawarkan layanan VPS dan RDP tanpa mematuhi permintaan hukum.


Menurut Sophos, empat nama host ISPsystem yang paling sering ditemukan mencakup lebih dari 95% total VM ISPsystem yang terhubung ke internet, yaitu:

  • WIN-LIVFRVQFMKO
  • WIN-LIVFRVQFMKO
  • WIN-344VU98D3RU
  • WIN-J9D866ESIJ2


Keempat nama host tersebut muncul baik dalam sistem deteksi pelanggan maupun dalam data telemetri yang berkaitan dengan aktivitas kejahatan siber.


Para peneliti menegaskan bahwa meskipun VMmanager merupakan platform manajemen virtualisasi yang sah, layanan ini menarik bagi pelaku kejahatan siber karena biaya yang relatif murah, hambatan masuk yang rendah, serta kemudahan penerapan secara instan (turnkey).

Infrastruktur Virtual Legal Dimanfaatkan Ransomware untuk Operasi C2 dan Payload

 


Seorang pelaku ancaman sedang membahayakan server NGINX dalam sebuah kampanye yang membajak lalu lintas pengguna dan mengalihkannya melalui infrastruktur backend penyerang.


NGINX adalah software open-source untuk manajemen lalu lintas web. Software ini menjadi perantara koneksi antara pengguna dan server dan digunakan untuk penyajian web, penyeimbangan loading, caching, dan reverse proxy.


Kampanye jahat tersebut, yang ditemukan oleh para peneliti di DataDog Security Labs, menargetkan instalasi NGINX dan panel manajemen hosting Baota yang digunakan oleh situs-situs dengan domain tingkat atas Asia (.in, .id, .pe, .bd, dan .th) serta situs pemerintah dan pendidikan (.edu dan .gov).


Penyerang memodifikasi file konfigurasi NGINX yang ada dengan memasukkan blok 'lokasi' berbahaya yang menangkap permintaan masuk pada jalur URL yang dipilih penyerang.


Mereka kemudian menulis ulang URL tersebut untuk menyertakan URL asli lengkap, dan meneruskan lalu lintas melalui arahan 'proxy_pass' ke domain yang dikendalikan penyerang.


Direktif yang disalahgunakan biasanya digunakan untuk penyeimbangan loading, memungkinkan NGINX untuk mengarahkan ulang permintaan melalui grup server backend alternatif untuk meningkatkan kinerja atau keandalan; oleh karena itu, penyalahgunaannya tidak memicu peringatan keamanan apapun.


Request header seperti Host, X-Real-IP, User-Agent, dan Referer dipertahankan untuk membuat lalu lintas tampak sah.


Serangan tersebut menggunakan toolkit skrip multi-tahap untuk melakukan injeksi konfigurasi NGINX. Toolkit ini beroperasi dalam lima tahap:

  • Tahap 1 – zx.sh: Bertindak sebagai skrip pengontrol awal, bertanggung jawab untuk mengunduh dan menjalankan tahapan selanjutnya. Ini mencakup mekanisme fallback yang mengirimkan permintaan HTTP mentah melalui TCP jika curl atau wget tidak tersedia.
  • Tahap 2 – bt.sh: Menargetkan file konfigurasi NGINX yang dikelola oleh panel Baota. Ini secara dinamis memilih templat injeksi berdasarkan nilai server_name, menimpa konfigurasi dengan aman, dan memuat ulang NGINX untuk menghindari downtime layanan.
  • Tahap 3 – 4zdh.sh: Mencantumkan lokasi konfigurasi NGINX umum seperti sites-enabled, conf.d, dan sites-available. Skrip ini menggunakan tool parsing seperti csplit dan awk untuk mencegah kerusakan konfigurasi, mendeteksi injeksi sebelumnya melalui hashing dan file pemetaan global, dan memvalidasi perubahan menggunakan nginx -t sebelum memuat ulang.
  • Tahap 4 – zdh.sh: Menggunakan pendekatan penargetan yang lebih sempit yang berfokus terutama pada /etc/nginx/sites-enabled, dengan penekanan pada domain .in dan .id. Ini mengikuti proses pengujian dan memuat ulang konfigurasi yang sama, dengan restart paksa (pkill) digunakan sebagai cadangan.
  • Tahap 5 – ok.sh: Memindai konfigurasi NGINX yang disusupi untuk membuat peta domain yang dibajak, templat injeksi, dan target proxy. Data yang dikumpulkan kemudian dieksfiltrasi ke server command-and-control (C2) di 158.94.210[.]227.


Serangan-serangan ini sulit dideteksi karena tidak mengeksploitasi kerentanan NGINX; sebaliknya, mereka menyembunyikan instruksi berbahaya dalam file konfigurasinya, yang jarang diperiksa secara teliti.


Selain itu, lalu lintas pengguna masih mencapai tujuan yang diinginkan, sering kali secara langsung, sehingga infrastruktur penyerang yang melewatinya kemungkinan besar tidak akan diketahui kecuali dilakukan pemantauan khusus.

Server NGINX Disusupi: Penyerang Diam-Diam Membajak Lalu Lintas Pengguna



Microsoft mengumumkan bahwa mereka akan menonaktifkan protokol otentikasi NTLM yang berusia 30 tahun secara default di rilis Windows mendatang karena kerentanan keamanan yang membuat organisasi rentan terhadap serangan siber.


NTLM (New Technology LAN Manager) adalah protokol keamanan Microsoft yang digunakan di lingkungan Windows untuk autentikasi pengguna yang diperkenalkan pada tahun 1993 dengan Windows NT 3.1 dan merupakan penerus protokol LAN Manager (LM).


Kerberos telah menggantikan NTLM dan sekarang menjadi protokol default saat ini untuk perangkat yang tersambung ke domain yang menjalankan Windows 2000 atau lebih baru. Meskipun merupakan protokol default di versi Windows yang lebih lama, NTLM masih digunakan hingga saat ini sebagai metode otentikasi cadangan ketika Kerberos tidak tersedia, meskipun menggunakan kriptografi yang lemah dan rentan terhadap serangan.


Sejak dirilis, NTLM telah dieksploitasi secara luas dalam serangan relai NTLM (dimana pelaku ancaman memaksa perangkat jaringan yang disusupi untuk mengautentikasi terhadap server yang dikendalikan penyerang) untuk meningkatkan hak istimewa dan mengambil kendali penuh atas domain Windows. Meskipun demikian, NTLM masih digunakan pada server Windows, memungkinkan penyerang untuk mengeksploitasi kerentanan seperti PetitPotam, ShadowCoerce, DFSCoerce, dan RemotePotato0 untuk melewati mitigasi serangan relay NTLM.


NTLM juga telah menjadi sasaran serangan pass-the-hash, dimana cybercriminal mengeksploitasi kerentanan sistem atau menyebarkan perangkat lunak berbahaya untuk mencuri hash NTLM (kata sandi yang di-hash) dari sistem yang ditargetkan. Kata sandi yang di-hash ini digunakan untuk mengautentikasi sebagai pengguna yang disusupi, memungkinkan penyerang untuk mencuri data sensitif dan menyebar secara lateral di seluruh jaringan.



"Diblokir dan tidak lagi digunakan secara otomatis"


Pada hari Kamis, sebagai bagian dari dorongan yang lebih luas menuju metode otentikasi tanpa kata sandi dan tahan phishing, Microsoft mengumumkan bahwa NTLM akhirnya akan dinonaktifkan secara default pada rilis mayor Windows Server berikutnya dan versi klien Windows terkait, menandai pergeseran signifikan dari protokol lama ke otentikasi berbasis Kerberos yang lebih aman.


Microsoft juga menguraikan rencana transisi tiga fase yang dirancang untuk mengurangi risiko terkait NTLM sekaligus meminimalkan gangguan. Pada fase pertama, administrator akan dapat menggunakan tool audit yang disempurnakan yang tersedia di Windows 11 24H2 dan Windows Server 2025 untuk mengidentifikasi dimana NTLM masih digunakan.


Fase kedua, yang dijadwalkan pada paruh kedua tahun 2026, akan memperkenalkan fitur-fitur baru, seperti IAKerb dan Local Key Distribution Center, untuk mengatasi skenario umum yang memicu fallback NTLM.


Fase ketiga akan menonaktifkan jaringan NTLM secara default pada rilis mendatang, meskipun protokol tersebut akan tetap ada di sistem operasi dan dapat diaktifkan kembali secara eksplisit melalui kontrol kebijakan jika diperlukan.


“Menonaktifkan NTLM secara default tidak berarti menghapus NTLM sepenuhnya dari Windows. Sebaliknya, ini berarti bahwa Windows akan dikirimkan dalam keadaan aman secara default dimana otentikasi jaringan NTLM diblokir dan tidak lagi digunakan secara otomatis,” kata Microsoft.


“OS akan lebih memilih alternatif berbasis Kerberos yang modern dan lebih aman. Pada saat yang sama, skenario warisan umum akan diatasi melalui kemampuan baru yang akan datang seperti Local KDC dan IAKerb (pra-rilis).”


Microsoft pertama kali mengumumkan rencana untuk menghentikan protokol otentikasi NTLM pada Oktober 2023, dengan menyatakan bahwa mereka juga ingin memperluas kontrol manajemen untuk memberikan fleksibilitas yang lebih besar kepada administrator dalam memantau dan membatasi penggunaan NTLM di lingkungan mereka.


Mereka juga secara resmi menghentikan autentikasi NTLM di Windows dan server Windows pada Juli 2024, dan menyarankan pengembang untuk beralih ke autentikasi Kerberos atau Negotiation untuk mencegah masalah di masa mendatang.


Microsoft telah memperingatkan pengembang untuk berhenti menggunakan NTLM di aplikasi mereka sejak tahun 2010 dan menyarankan admin Windows untuk menonaktifkan NTLM atau mengkonfigurasi server mereka untuk memblokir serangan relai NTLM menggunakan Active Directory Certificate Services (AD CS). 

Microsoft akan menonaktifkan NTLM secara default di rilis Windows mendatang

 


Dalam enam bulan terakhir, pelaku kejahatan siber semakin sering memanfaatkan teknik browser-in-the-browser (BitB) untuk menipu pengguna agar menyerahkan kredensial akun Facebook mereka.


Metode phishing BitB pertama kali diperkenalkan oleh peneliti keamanan mr.d0x pada 2022, sebelum akhirnya diadopsi oleh penjahat siber dalam berbagai serangan terhadap layanan daring, termasuk Facebook dan Steam.


Peneliti keamanan dari Trellix mengungkapkan bahwa akun Facebook yang berhasil dibajak kemudian digunakan untuk menyebarkan penipuan, mencuri data pribadi, hingga melakukan penipuan identitas. Dengan basis pengguna aktif yang melampaui tiga miliar orang, Facebook masih menjadi sasaran empuk bagi para pelaku kejahatan digital.


Dalam skema serangan BitB, korban yang mengunjungi situs web yang dikendalikan penyerang akan disuguhi jendela pop-up palsu berisi formulir login. Jendela tersebut dibuat menggunakan iframe yang meniru tampilan sistem autentikasi resmi, lengkap dengan judul jendela dan URL yang tampak meyakinkan, sehingga sulit dibedakan dari yang asli.


Trellix mencatat bahwa kampanye phishing terbaru menyasar pengguna Facebook dengan menyamar sebagai firma hukum yang mengklaim adanya pelanggaran hak cipta, ancaman penangguhan akun dalam waktu dekat, atau notifikasi keamanan palsu dari Meta terkait aktivitas login mencurigakan.


Untuk mengelabui sistem keamanan dan meningkatkan kesan legitimasi, para penyerang memanfaatkan URL pendek serta halaman CAPTCHA Meta palsu. Pada tahap akhir, korban diarahkan untuk memasukkan detail login Facebook mereka melalui pop-up palsu tersebut.


Selain itu, Trellix juga menemukan banyak halaman phishing yang dihosting di layanan cloud tepercaya seperti Netlify dan Vercel. Halaman-halaman ini meniru portal Pusat Privasi Meta dan mengarahkan pengguna ke formulir banding palsu yang dirancang untuk mengumpulkan informasi pribadi.


Kampanye ini dinilai sebagai evolusi signifikan dibandingkan pola phishing Facebook konvensional yang sebelumnya umum ditemukan.


“Pergeseran kuncinya terletak pada penyalahgunaan infrastruktur tepercaya, memanfaatkan layanan cloud hosting yang sah seperti Netlify dan Vercel, dan URL shortener untuk menerobos filter keamanan tradisional dan memberikan rasa aman palsu pada halaman phishing,” tulis Trellix dalam laporannya.


“Yang paling penting, munculnya teknik Browser-in-the-Browser (BitB) merupakan peningkatan yang signifikan. Dengan membuat jendela pop-up login palsu yang dibuat khusus di dalam browser korban, metode ini memanfaatkan keakraban pengguna dengan alur otentikasi, sehingga pencurian kredensial hampir tidak mungkin dideteksi secara visual.”


Cara Melindungi Diri dari Serangan BitB


Pengguna disarankan untuk selalu mengakses situs resmi dengan mengetikkan alamat URL secara langsung di tab baru ketika menerima peringatan keamanan atau pemberitahuan pelanggaran akun, alih-alih mengklik tautan yang disertakan dalam email atau pesan.


Saat diminta memasukkan kredensial melalui jendela pop-up, pastikan apakah jendela tersebut dapat dipindahkan ke luar area browser. Pop-up berbasis iframe—yang menjadi kunci teknik BitB—tidak dapat dipisahkan dari jendela utama browser.


Sebagai langkah perlindungan tambahan, pengguna juga dianjurkan mengaktifkan autentikasi dua faktor (2FA). Meski tidak sepenuhnya kebal, fitur ini memberikan lapisan keamanan ekstra untuk mencegah pengambilalihan akun, bahkan jika kredensial utama telah bocor.

Serangan BitB Meningkat, Peretas Gunakan Pop-up Palsu untuk Bobol Akun Facebook

 


Pelaku kejahatan siber dilaporkan menyalahgunakan fitur Device Linking (penautan perangkat) yang sebenarnya sah untuk mengambil alih akun WhatsApp melalui kode pemasangan dalam sebuah kampanye berbahaya yang dikenal dengan nama GhostPairing.


Dalam skema ini, serangan dapat dilakukan tanpa melewati proses otentikasi apa pun. Korban dimanipulasi agar tanpa sadar menautkan akun WhatsApp mereka ke perangkat milik penyerang. Akibatnya, pelaku ancaman memperoleh akses penuh ke riwayat percakapan serta seluruh media yang pernah dibagikan, yang kemudian bisa dimanfaatkan untuk menyamar sebagai korban atau melakukan berbagai bentuk penipuan.


Gen Digital (sebelumnya Symantec Corporation dan NortonLifeLock) mengungkapkan bahwa aktivitas GhostPairing pertama kali terdeteksi di Republik Ceko. Meski demikian, mereka memperingatkan bahwa metode penyebarannya memungkinkan serangan ini meluas ke wilayah lain. Akun yang telah berhasil dibajak bahkan dapat digunakan sebagai sarana untuk menjangkau korban berikutnya.



Mekanisme Serangan GhostPairing


Serangan biasanya diawali dengan pesan singkat yang tampak berasal dari kontak tepercaya. Pesan tersebut berisi tautan yang diklaim mengarah ke foto online milik korban. Untuk meningkatkan kredibilitas, tautan tersebut disertai pratinjau yang menyerupai konten Facebook.


Namun, ketika diklik, korban justru diarahkan ke halaman Facebook palsu yang dihosting di domain tiruan atau domain yang disalahgunakan. Di halaman ini, korban diberi tahu bahwa mereka harus melakukan verifikasi dengan masuk terlebih dahulu sebelum dapat melihat konten yang dimaksud.


Proses “verifikasi” tersebut sebenarnya adalah jebakan yang memicu alur penautan perangkat WhatsApp. Korban diminta memasukkan nomor telepon, yang kemudian digunakan penyerang untuk memulai proses penautan perangkat secara resmi. WhatsApp lalu menghasilkan kode pemasangan yang ditampilkan di halaman palsu tersebut.


Selanjutnya, korban menerima permintaan dari WhatsApp untuk memasukkan kode tersebut guna menghubungkan perangkat baru ke akun mereka. Walaupun WhatsApp secara jelas menyatakan bahwa proses ini adalah upaya penautan perangkat baru, banyak pengguna yang tidak menyadari risikonya dan tetap melanjutkan proses tersebut.


Begitu kode penyandingan dimasukkan, penyerang langsung memperoleh akses penuh ke akun WhatsApp korban tanpa harus menembus lapisan keamanan tambahan. Melalui WhatsApp Web, pelaku dapat memantau pesan secara real time, melihat dan mengunduh media, serta mengirim atau meneruskan pesan ke kontak dan grup korban untuk memperluas penipuan.


Gen Digital memperingatkan bahwa banyak korban tidak menyadari adanya perangkat kedua yang telah tertaut secara diam-diam. Hal inilah yang membuat GhostPairing sangat berbahaya, karena penyerang dapat memantau seluruh percakapan tanpa sepengetahuan pemilik akun.


Satu-satunya cara untuk mendeteksi penyusupan adalah dengan memeriksa menu Pengaturan → Perangkat Tertaut di WhatsApp, lalu memastikan tidak ada perangkat asing yang terhubung.


Pengguna juga disarankan untuk memblokir dan melaporkan pesan mencurigakan, serta mengaktifkan otentikasi dua faktor sebagai lapisan perlindungan tambahan. Penting untuk tidak terburu-buru mengambil tindakan, selalu menelaah pesan yang diterima, dan memastikan identitas pengirim sebelum mengikuti instruksi apa pun.


Sebagai catatan, penautan perangkat WhatsApp juga dapat dilakukan dengan memindai kode QR melalui aplikasi seluler. Fitur serupa tersedia di aplikasi perpesanan lain dan sebelumnya pernah dimanfaatkan oleh pelaku ancaman dari Rusia untuk mengambil alih akun Signal yang menjadi target.

Device Linking WhatsApp Disalahgunakan dalam Serangan Pembajakan Akun

 


Sebuah malware Android baru berkonsep malware-as-a-service (MaaS) bernama Cellik dilaporkan tengah dipromosikan di forum-forum cybercrime underground. Malware ini menawarkan berbagai fitur berbahaya, termasuk kemampuan untuk disisipkan ke dalam aplikasi apa pun yang tersedia di Google Play Store.


Melalui metode tersebut, pelaku cybercriminal dapat memilih aplikasi resmi dari Play Store kemudian membuat versi trojan yang tampak meyakinkan. Aplikasi hasil modifikasi tetap mempertahankan tampilan, antarmuka, serta fungsi asli, sehingga sulit dibedakan dari aplikasi sah.


Karena masih berfungsi sebagaimana mestinya, infeksi Cellik berpotensi tidak terdeteksi dalam jangka waktu lama. Penjualnya bahkan mengklaim bahwa teknik penyamaran ini mampu melewati perlindungan Google Play Protect, meski klaim tersebut belum dapat dipastikan kebenarannya.


Perusahaan keamanan seluler iVerify menemukan Cellik ditawarkan di forum underground dengan harga langganan sebesar US$150 (sekitar Rp2,5 juta) per bulan atau US$900 (sekitar Rp15 juta) untuk akses seumur hidup.



Kemampuan Berbahaya Cellik


Cellik tergolong sebagai malware Android dengan fitur lengkap. Ia mampu merekam dan menampilkan layar korban secara real-time, mencegat notifikasi aplikasi, menjelajahi sistem file, mengekstrak maupun menghapus data, serta berkomunikasi dengan server command-and-control melalui koneksi terenkripsi.


Malware ini juga dibekali mode browser tersembunyi yang memungkinkan penyerang mengakses situs web dari perangkat korban dengan memanfaatkan cookie yang tersimpan, sehingga sesi login korban dapat disalahgunakan.


Selain itu, sistem injeksi aplikasinya memungkinkan pelaku menampilkan halaman login palsu atau menyisipkan kode berbahaya ke dalam aplikasi untuk mencuri kredensial akun. Bahkan, Cellik dapat menyuntikkan payload ke aplikasi yang sudah terpasang, membuat aplikasi tepercaya tiba-tiba berubah menjadi ancaman tanpa disadari pengguna.


Fitur yang paling mengkhawatirkan adalah integrasi langsung dengan Google Play Store di dalam pembuat APK Cellik. Dengan fitur ini, pelaku dapat menelusuri Play Store, memilih aplikasi target, lalu menghasilkan versi berbahaya dari aplikasi tersebut hanya dalam beberapa langkah.


“Penjual mengklaim Cellik dapat melewati fitur keamanan Google Play dengan membungkus payload-nya dalam aplikasi tepercaya, yang pada dasarnya menonaktifkan deteksi Play Protect,” jelas iVerify.


"Meskipun Google Play Protect biasanya menandai aplikasi yang tidak dikenal atau berbahaya, trojan yang tersembunyi di dalam paket aplikasi populer mungkin lolos dari tinjauan otomatis atau pemindai tingkat perangkat."



Langkah Pencegahan


Untuk tetap aman, pengguna Android disarankan menghindari pemasangan APK dari sumber tidak resmi atau situs yang meragukan, kecuali benar-benar memercayai pengembangnya. Selain itu, pastikan Google Play Protect selalu aktif, periksa izin aplikasi secara berkala, dan waspadai aktivitas perangkat yang mencurigakan atau tidak biasa.

Malware Android Cellik Diklaim Mampu Tembus Google Play Protect

 


MITRE telah membagikan daftar 25 kelemahan software paling berbahaya tahun ini yang menjadi dasar lebih dari 39.000 kerentanan keamanan yang diungkapkan antara Juni 2024 dan Juni 2025.


Daftar tersebut dirilis bekerja sama dengan Homeland Security Systems Engineering and Development Institute (HSSEDI) dan Cybersecurity and Infrastructure Security Agency (CISA), yang mengelola dan mensponsori program Common Weakness Enumeration (CWE).


Kelemahan software dapat berupa kekurangan, bug, kerentanan, atau kesalahan yang ditemukan dalam kode, implementasi, arsitektur, atau desain software, dan penyerang dapat menyalahgunakannya untuk membobol sistem yang menjalankan software rentan tersebut. Eksploitasi yang berhasil memungkinkan pelaku ancaman mendapatkan kendali atas perangkat yang disusupi dan memicu serangan Denial of Service (DoS) atau mengakses data sensitif.


Untuk membuat peringkat tahun ini, MITRE memberi skor pada setiap kelemahan berdasarkan tingkat keparahan dan frekuensinya setelah menganalisis 39.080 Catatan CVE untuk kerentanan yang dilaporkan antara 1 Juni 2024 dan 1 Juni 2025.


Meskipun Cross-Site Scripting (CWE-79) masih mempertahankan posisinya di puncak 25 Besar, ada banyak perubahan peringkat dari daftar tahun lalu, termasuk Missing Authorization (CWE-862), Null Pointer Dereference (CWE-476), dan Missing Authentication (CWE-306), yang merupakan penggerak terbesar dalam daftar.


Entri baru dalam daftar kelemahan paling parah dan umum tahun ini adalah Classic Buffer Overflow (CWE-120), Stack-based Buffer Overflow (CWE-121), Heap-based Buffer Overflow (CWE-122), Improper Access Control (CWE-284), Authorization Bypass Through User-Controlled Key (CWE-639), dan Allocation of Resources Without Limits or Throttling (CWE-770).


Rank ID Name Score KEV CVEs Change
1 CWE-79 Cross-site Scripting 60.38 7 0
2 CWE-89 SQL Injection 28.72 4 +1
3 CWE-352 Cross-Site Request Forgery (CSRF) 13.64 0 +1
4 CWE-862 Missing Authorization 13.28 0 +5
5 CWE-787 Out-of-bounds Write 12.68 12 -3
6 CWE-22 Path Traversal 8.99 10 -1
7 CWE-416 Use After Free 8.47 14 +1
8 CWE-125 Out-of-bounds Read 7.88 3 -2
9 CWE-78 OS Command Injection 7.85 20 -2
10 CWE-94 Code Injection 7.57 7 +1
11 CWE-120 Classic Buffer Overflow 6.96 0 N/A
12 CWE-434 Unrestricted Upload of File with Dangerous Type 6.87 4 -2
13 CWE-476 NULL Pointer Dereference 6.41 0 +8
14 CWE-121 Stack-based Buffer Overflow 5.75 4 N/A
15 CWE-502 Deserialization of Untrusted Data 5.23 11 +1
16 CWE-122 Heap-based Buffer Overflow 5.21 6 N/A
17 CWE-863 Incorrect Authorization 4.14 4 +1
18 CWE-20 Improper Input Validation 4.09 2 -6
19 CWE-284 Improper Access Control 4.07 1 N/A
20 CWE-200 Exposure of Sensitive Information 4.01 1 -3
21 CWE-306 Missing Authentication for Critical Function 3.47 11 +4
22 CWE-918 Server-Side Request Forgery (SSRF) 3.36 0 -3
23 CWE-77 Command Injection 3.15 2 -10
24 CWE-639 Authorization Bypass via User-Controlled Key 2.62 0 +6
25 CWE-770 Allocation of Resources w/o Limits or Throttling 2.54 0 +1


"Seringkali mudah ditemukan dan dieksploitasi, kerentanan ini dapat menyebabkan kerentanan yang dapat dieksploitasi yang memungkinkan musuh untuk sepenuhnya mengambil alih sistem, mencuri data, atau mencegah aplikasi berfungsi," kata MITRE.


“Daftar tahunan ini mengidentifikasi kelemahan paling kritis yang dieksploitasi oleh musuh untuk menyusupi sistem, mencuri data, atau mengganggu layanan. CISA dan MITER mendorong organisasi untuk meninjau daftar ini dan menggunakannya untuk menginformasikan strategi keamanan software mereka masing-masing,” tambah Cybersecurity and Infrastructure Security Agency (CISA) AS.


Dalam beberapa tahun terakhir, CISA telah mengeluarkan beberapa peringatan “Secure by Design” yang menyoroti prevalensi kerentanan yang terdokumentasi secara luas yang tetap ada dalam software meskipun ada mitigasi.


Beberapa dari peringatan ini telah dirilis sebagai respons terhadap kampanye jahat yang sedang berlangsung, seperti peringatan pada bulan Juli 2024 yang meminta perusahaan teknologi untuk menghilangkan kelemahan injeksi perintah jalur OS yang dieksploitasi oleh peretas negara Tiongkok Velvet Ant dalam serangan yang menargetkan perangkat jaringan edge Cisco, Palo Alto, dan Ivanti.


Minggu ini, badan keamanan siber menyarankan para pengembang dan tim produk untuk meninjau CWE Top 25 tahun 2025 guna mengidentifikasi kelemahan utama dan mengadopsi praktik Secure by Design, sementara tim keamanan diminta untuk mengintegrasikannya ke dalam pengujian keamanan aplikasi dan proses manajemen kerentanan mereka.


Pada bulan April 2025, CISA juga mengumumkan bahwa pemerintah AS telah memperpanjang pendanaan MITRE selama 11 bulan lagi untuk memastikan kesinambungan program Common Vulnerabilities and Exposures (CVE) yang penting, menyusul peringatan dari Wakil Presiden MITRE Yosry Barsoum bahwa pendanaan pemerintah untuk program CVE dan CWE akan segera berakhir.

MITRE Rilis Daftar 25 Kelemahan Software Paling Berbahaya 2025


POCO, sub-brand dari Xiaomi, resmi meluncurkan dua ponsel terbarunya ke pasar global: POCO F8 Pro dan POCO F8 Ultra. Keduanya langsung mencuri perhatian berkat peningkatan fitur audio yang cukup signifikan.


Salah satu pembaruan terbesarnya adalah hadirnya speaker stereo hasil kolaborasi dengan Bose. Lewat kerja sama ini, POCO ingin menghadirkan kualitas suara yang lebih baik dibandingkan generasi sebelumnya.


Meski sama-sama menggunakan speaker stereo, POCO F8 Ultra tampil lebih unggul berkat tambahan subwoofer internal, yang mampu menghasilkan frekuensi rendah dengan lebih kuat. POCO menyebutkan—mengutip laporan The Verge—bahwa fitur ini membuat F8 Ultra mampu menghadirkan dentuman bass yang lebih dalam dan lebih bertenaga, sehingga karakter suaranya akan berbeda dari model Pro.


Kolaborasi POCO dan Bose tidak berhenti di sisi hardware. Pada bagian software, Bose turut menghadirkan dua profil audio khusus, yaitu Dynamic Mode untuk bass yang lebih kuat dan Balanced Mode untuk vokal lebih jernih dan soundstage yang lebih luas.


Selain peningkatan audio, kedua ponsel ini juga menawarkan performa tinggi. POCO F8 Ultra ditenagai chipset Snapdragon 8 Elite Gen 5, sementara F8 Pro menggunakan Snapdragon 8 Elite generasi sebelumnya. Ukuran layarnya juga berbeda: F8 Ultra membawa panel OLED 6,9 inci, sedangkan F8 Pro hadir dengan layar 6,59 inci.


Keduanya telah mengantongi rating IP68 dan dibekali baterai besar berkapasitas lebih dari 6.000mAh. Untuk kamera, F8 Ultra menyuguhkan tiga kamera belakang 50MP serta mendukung wireless charging, sementara versi Pro hadir dengan spesifikasi kamera yang lebih rendah.


Sementara untuk harga, F8 Pro dibanderol dari $579 (sekitar Rp.9,6 juta), sementara Ultra tersedia mulai dari $729 (sekitar Rp.12,1 juta), meskipun diskon early bird sebesar $50 tersedia saat peluncuran. Kedua ponsel ini diumumkan bersama sepasang tablet di bawah $400, Pad X1 dan Pad M1, yang keduanya mengandalkan layar beresolusi tinggi dan speaker Dolby Atmos untuk memberikan pilihan hiburan yang terjangkau.

Kolaborasi POCO–Bose Hadirkan Revolusi Audio di F8 Pro dan F8 Ultra


Pengguna Windows yang berpindah ke Windows 11 tampaknya jauh lebih lambat dibandingkan saat mereka beralih ke Windows 10. Meski Windows 10 telah berusia satu dekade dan baru saja memasuki fase akhir dukungan, sistem operasi tersebut masih sangat populer di kalangan konsumen maupun pelaku bisnis.


Dell mengungkapkan bahwa ada sekitar 500 juta perangkat yang sebenarnya memenuhi syarat untuk menjalankan Windows 11 namun belum melakukan upgrade. “Kami memiliki sekitar 500 juta perangkat yang mampu menjalankan Windows 11 tetapi belum di-upgrade,” ujar COO Dell, Jeffrey Clarke, dalam laporan pendapatan Q3 awal pekan ini. Angka tersebut merujuk pada pasar PC secara keseluruhan, bukan hanya perangkat Dell. Clarke menambahkan bahwa ada sekitar 500 juta perangkat lain yang berusia empat tahun atau lebih dan tidak kompatibel dengan Windows 11. Ia melihat kondisi ini sebagai peluang untuk mendorong pelanggan beralih ke PC Windows 11 dan perangkat AI generasi terbaru, meski memperkirakan pasar PC tetap stagnan tahun depan.


Ini merupakan pertama kalinya muncul data bahwa sebanyak 500 juta perangkat menunda upgrade ke Windows 11, sementara jumlah yang sama sepenuhnya tidak bisa melakukan upgrade. Persyaratan hardware yang lebih ketat untuk Windows 11 memang telah membuat jutaan PC yang dirilis dalam 10 tahun terakhir tidak memenuhi kriteria.


Banyak pengguna diperkirakan akan tetap bertahan di Windows 10 karena keterbatasan hardware, namun popularitas sistem operasi tersebut-yang kini berusia 10 tahun-ternyata lebih kuat dari dugaan sebelumnya, baik di pasar konsumen maupun perusahaan.


Informasi dari Dell ini muncul hanya seminggu setelah kepala Windows, Pavan Davuluri mengatakan bahwa “hampir satu miliar orang mengandalkan Windows 11.” Namun, tidak jelas apa yang dimaksud dengan “mengandalkan,” mengingat Microsoft sebelumnya biasanya merilis data jumlah perangkat aktif setiap bulan. 

500 Juta Perangkat Tunda Upgrade: Transisi ke Windows 11 Berjalan Lambat

Subscribe to: Comments (Atom)