Halaman

    Social Items

Visit WPN

 


Google menyatakan bahwa fitur keamanan Chrome Device Bound Session Credentials (DBSC), yang bertujuan untuk mencegah pengambilalihan akun, kini tersedia untuk semua pengguna.


DBSC, yang telah tersedia dalam versi beta sejak April, pertama kali diumumkan pada tahun 2024 sebagai metode untuk mengikat session cookie secara kriptografis ke perangkat tertentu. Ini akan mencegah peretas menggunakan cookie palsu untuk melewati proses otentikasi multi-faktor (MFA) dan membajak akun pengguna.


DBSC menghubungkan session pengguna secara kriptografis ke chip keamanan komputer, seperti Trusted Platform Module (TPM) di Windows dan Secure Enclave di macOS.


Chip keamanan membuat kunci publik dan pribadi yang berbeda yang digunakan untuk mengenkripsi dan mendekripsi informasi sensitif, sehingga pencuri tidak dapat menggunakan session cookie yang dicuri.


"DBSC secara fundamental mengubah kemampuan web untuk bertahan melawan ancaman ini dengan menggeser paradigma dari deteksi reaktif ke pencegahan proaktif, memastikan bahwa cookie yang berhasil dieksfiltrasi tidak dapat digunakan untuk mengakses akun pengguna," kata Google pada bulan April lalu.


"DBSC memperkuat keamanan akun setelah pengguna masuk dan membantu mengikat session cookie - file kecil yang digunakan situs web untuk mengingat informasi pengguna - ke perangkat tempat pengguna melakukan otentikasi. Bahkan jika malware ada di perangkat pengguna, DBSC mengurangi risiko pencurian session dan membuatnya jauh lebih sulit bagi pelaku jahat untuk mengeksploitasi session cookie yang dicuri," tambah Google pada minggu ini.


Sekarang fitur ini tersedia untuk semua pelanggan Google Workspace, termasuk pelanggan Workspace Individual dan pengguna dengan akun Google pribadi.


Google menyatakan bahwa setelah peluncuran, ini akan diaktifkan secara default untuk semua pelanggan Google Workspace, dan administrator tidak akan dapat menonaktifkannya.


Sebelumnya, peretas telah menyalahgunakan titik akhir API Google OAuth "MultiLogin" yang tidak berdokumen untuk membuat cookie autentikasi baru setelah cookie yang dicuri habis masa berlakunya.


Selain itu, operasi malware pencuri informasi Lumma dan Rhadamanthys mengklaim dapat memperbaiki cookie otentikasi Google yang telah kedaluwarsa yang dicuri dalam serangan yang memungkinkan pengguna dengan akun Google yang terinfeksi untuk mengaksesnya.


Google kemudian menyarankan pengguna untuk menghapus malware dari perangkat mereka dan menyarankan untuk mengaktifkan mode keamanan Enhanced Safe Browsing di Chrome untuk melindungi diri dari serangan phishing dan malware.

Google Perkenalkan DBSC untuk Semua Pengguna Chrome Secara Resmi

 


Pelaku ancaman siber diketahui menargetkan komputer dengan spesifikasi tinggi melalui kampanye cryptojacking yang masih berlangsung. Serangan ini disebarkan menggunakan teknik SEO poisoning serta manipulasi rekomendasi dari chatbot berbasis AI.


Serangan dimulai melalui halaman unduhan palsu yang menawarkan berbagai software utilitas populer yang umumnya digunakan oleh pengguna tingkat lanjut. Beberapa aplikasi yang dijadikan umpan antara lain CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack, dan PDFgear.


Setelah korban mengunduh dan menjalankan file berbahaya tersebut, penyerang memperoleh akses permanen ke perangkat dengan memanfaatkan tool remote management legal bernama ScreenConnect. Akses ini kemudian digunakan untuk memasang malware tambahan di sistem korban.


Peneliti dari Microsoft menemukan bahwa korban awalnya mencari software utilitas tersebut melalui mesin pencari. Namun, hasil pencarian telah dimanipulasi menggunakan teknik SEO poisoning sehingga pengguna diarahkan ke situs berbahaya milik penyerang.


Microsoft juga mengungkap adanya laporan pada April lalu yang menunjukkan bahwa sebagian korban diarahkan ke domain berbahaya setelah meminta rekomendasi unduhan software dari chatbot AI.


“Dalam kasus ini, pengguna yang menanyakan chatbot AI untuk rekomendasi pengunduhan perangkat lunak diberikan tautan ke domain yang dikendalikan penyerang dalam respons yang dihasilkan,” jelas Microsoft.


File berbahaya yang diunduh biasanya berbentuk arsip ZIP dan dihosting pada subdomain gleeze[.]com, sebuah domain yang sebelumnya pernah dikaitkan dengan aktivitas phishing.


Para peneliti menemukan bahwa, di dalam arsip tersebut terdapat file executable asli dari software resmi serta DLL berbahaya yang otomatis dijalankan ketika aplikasi dibuka. DLL tersebut kemudian menggunakan msiexec.exe untuk memasang vcredist_x64.dll yang berfungsi sebagai installer untuk ScreenConnect.


Setelah koneksi ScreenConnect berhasil dibuat, pelaku ancaman mengirimkan file tambahan bernama SimpleRunPE.exe. File ini menyalin dirinya sendiri menjadi RuntimeHost.exe dan menyembunyikannya dalam folder tertentu agar tidak mudah ditemukan pengguna.


Tujuan utama executable tersebut adalah membangun enam mekanisme persistensi pada berbagai lokasi autostart Windows agar malware tetap aktif meskipun sistem direstart.


Dalam beberapa skenario, malware juga dikirim melalui skrip PowerShell berbahaya dan disimpan sebagai vlc.exe guna menyamar sebagai aplikasi pemutar media VideoLAN VLC.


Berdasarkan jalur Program Database (PDB) dari SimpleRunPE.exe, peneliti menduga malware tersebut merupakan modifikasi dari repositori publik yang digunakan untuk mendemonstrasikan teknik process hollowing.


Teknik process hollowing dimanfaatkan untuk menyembunyikan aktivitas malware dengan menyusup ke dalam proses aplikasi Windows resmi yang telah ditandatangani Microsoft, seperti InstallUtil.exe, RegAsm.exe, RegSvcs.exe, MSBuild.exe, AppLaunch.exe, AddInProcess.exe, dan aspnet_compiler.exe.


Selain itu, malware juga mencoba menambahkan proses dan jalurnya ke daftar pengecualian Microsoft Defender menggunakan PowerShell agar tidak terdeteksi oleh sistem keamanan.


Malware turut memeriksa apakah berjalan di lingkungan virtual machine atau terdapat sekitar 40 proses yang berkaitan dengan tool analisis malware. Jika ditemukan, proses eksekusi akan langsung dihentikan untuk menghindari deteksi.


Setelah seluruh tahapan process hollowing selesai, malware akan mengunduh dan menjalankan salah satu dari tiga aplikasi penambang kripto, yaitu gminer, lolMiner, atau SRBMiner-MULTI. Ketiga software tersebut dirancang untuk memanfaatkan GPU dalam proses mining.


Microsoft menilai kampanye ini cukup unik karena pelaku tidak berfokus pada jumlah korban, melainkan menargetkan perangkat dengan GPU kuat guna memaksimalkan keuntungan dari aktivitas penambangan kripto.


Sebagai langkah mitigasi, Microsoft menyarankan organisasi untuk memanfaatkan perlindungan keamanan yang tersedia serta menerapkan indicators of compromise (IoC) yang telah disertakan dalam laporan penelitian mereka.

Hati-Hati! Malware GPU mining Kini Menyebar via Rekomendasi Chatbot AI

 


Kepolisian Nasional Belanda menangkap seorang pria berusia 35 tahun asal Buren yang diduga melakukan peretasan terhadap sistem milik klub sepak bola profesional Ajax Amsterdam (AFC Ajax) pada awal tahun ini. Penangkapan dilakukan pada Selasa, 26 Mei, setelah penyelidikan polisi menemukan dugaan akses ilegal berulang ke jaringan komputer klub tersebut.


Dalam pernyataan resminya, polisi menyebut tersangka diduga beberapa kali menyusup secara sengaja ke sistem komputer Ajax. Kasus ini mulai diselidiki setelah klub melaporkan adanya pelanggaran keamanan siber pada awal 2026.


Ajax sebelumnya mengungkap insiden tersebut pada akhir Maret. Klub menyatakan bahwa pelaku memanfaatkan celah keamanan pada sistem teknologi informasi mereka untuk memperoleh akses ke data ratusan orang. Kerentanan itu juga memungkinkan perubahan terhadap larangan masuk stadion yang dikenakan kepada kurang dari 20 orang, serta pengalihan tiket yang sudah dibeli kepada pihak lain.


Menurut laporan RTL, kelemahan keamanan yang sama memberi akses luas terhadap data penggemar melalui API dan penggunaan kunci bersama. Peretas bahkan menunjukkan bagaimana tiket musiman VIP dapat dialihkan hanya dalam hitungan detik.


Lebih jauh lagi, pelaku disebut mampu memanipulasi 538 larangan stadion suporter, mengakses sekitar 42.000 tiket musiman, serta melihat rincian lebih dari 300.000 akun pengguna.


Ajax telah menutup celah keamanan yang dimanfaatkan dalam serangan tersebut dan melaporkan insiden itu kepada Otoritas Perlindungan Data Belanda serta pihak kepolisian.


Sebelumnya, pada September 2025, Kepolisian Nasional Belanda juga menangkap dua remaja yang diduga terlibat aktivitas mata-mata Rusia menggunakan perangkat pelacak WiFi di sekitar kantor Europol, Eurojust, dan Kedutaan Besar Kanada.


Selain itu, otoritas investigasi kejahatan keuangan Belanda (FIOD) baru-baru ini menangkap dua orang dan menyita sekitar 800 server yang terkait dengan perusahaan penyedia layanan hosting web yang diduga mendukung serangan siber, operasi campur tangan, dan kampanye disinformasi.

Hacker Bobol Sistem Ajax Amsterdam, Ribuan Tiket dan Data Fans Terancam

 


Sebuah tool open-source dan cross-platform baru bernama Tirith dapat mendeteksi serangan homoglyph di lingkungan command-line dengan menganalisis URL dalam perintah yang diketik dan menghentikan eksekusinya.


Tersedia di GitHub dan juga sebagai paket npm, tool ini bekerja dengan menghubungkan ke shell pengguna (zsh, bash, fish, PowerShell) dan memeriksa setiap perintah yang ditempel pengguna untuk dieksekusi.


Idenya adalah untuk memblokir serangan penipuan yang mengandalkan URL yang berisi simbol dari huruf berbeda yang tampak identik atau hampir identik bagi pengguna tetapi diperlakukan sebagai karakter berbeda oleh komputer (serangan homoglyph).


Hal ini memungkinkan penyerang membuat nama domain yang terlihat sama dengan merek sah tetapi memiliki satu atau lebih karakter dari alfabet berbeda. Di layar komputer, domain terlihat sah bagi mata manusia, namun mesin menafsirkan karakter anomali dengan benar dan menyelesaikan domain ke server yang dikendalikan oleh penyerang.


Meskipun browser telah mengatasi masalah ini, terminal tetap rentan karena mereka masih dapat merender Unicode, ANSI escapes, dan karakter yang tidak terlihat, kata penulis Tirith, Sheeki, dalam deskripsi tool tersebut.


Menurut Sheeki, Tirith dapat mendeteksi dan memblokir jenis serangan berikut:

  • Homograph attack (karakter mirip Unicode dalam domain, punycode, dan skrip campuran).
  • Terminal injection (ANSI escapes, bidi override, zero-width character).
  • Pipe-to-shell pattern (curl | bash, wget | sh, eval $(…)).
  • Dotfile hijacking (~/.bashrc, ~/.ssh/authorized_keys, etc.).
  • Insecure transport (HTTP ke shell, TLS dinonaktifkan).
  • Supply-chain risk (repo git yang salah ketik, registrasi Docker yang tidak tepercaya).
  • Credential exposure (URL informasi pengguna, pemendek URL yang menyembunyikan tujuan).


Karakter homoglyph unicode telah digunakan di masa lalu dalam URL yang dikirimkan melalui email yang mengarah ke situs web berbahaya. Salah satu contohnya adalah kampanye phishing tahun lalu yang meniru identitas Booking.com.


Karakter tersembunyi dalam perintah sangat umum dalam serangan ClickFix yang digunakan oleh berbagai penjahat siber, sehingga Tirith dapat memberikan perlindungan terhadap serangan tersebut pada sesi PowerShell yang didukung.


Perlu dicatat bahwa Tirith tidak terhubung ke Windows Command Prompt (cmd.exe), yang digunakan dalam banyak serangan ClickFix yang menginstruksikan pengguna untuk menjalankan perintah berbahaya.


Sheeki mengatakan overhead penggunaan Tirith adalah sub-milidetik, sehingga pemeriksaan dilakukan secara instan, dan tool segera berhenti setelah selesai.


Tool ini juga dapat menganalisis perintah tanpa menjalankannya, memecah URL’s trust signal, melakukan inspeksi Unicode tingkat byte, dan mengaudit tanda terima dengan SHA-256 untuk skrip yang dieksekusi.


Pembuatnya memastikan bahwa Tirith melakukan semua tindakan analisis secara lokal, tanpa melakukan panggilan jaringan apapun, tidak mengubah perintah yang ditempelkan pengguna, dan tidak berjalan di latar belakang. Selain itu, tidak memerlukan akses cloud atau jaringan, akun, atau kunci API, dan tidak mengirimkan data telemetri apapun ke pembuatnya.


Tirith berfungsi di Windows, Linux, dan macOS, dan dapat diinstal melalui Homebrew, apt/dnf, npm, Cargo, Nix, Scoop, Chocolatey, dan Docker.


Proyek ini memiliki 46 fork dan hampir 1.600 bintang di GitHub, kurang dari seminggu setelah dipublikasikan.

Tool Baru Tirith Lindungi Pengguna Terminal dari Serangan Homoglyph dan Injeksi Perintah

 


Sebuah toolkit yang baru ditemukan bernama DKnife telah digunakan sejak tahun 2019 untuk membajak lalu lintas di tingkat edge-device dan menyebarkan malware dalam kampanye spionase.


Framework ini berfungsi sebagai framework post-compromise untuk pemantauan lalu lintas dan aktivitas adversary-in-the-middle (AitM). Ia dirancang untuk mencegat dan memanipulasi lalu lintas yang ditujukan untuk endpoint (komputer, perangkat seluler, IoT) di jaringan.


Para peneliti di Cisco Talos mengatakan bahwa DKnife adalah framework ELF dengan tujuh komponen berbasis Linux yang dirancang untuk Deep Packet Inspection (DPI), manipulasi lalu lintas, pengumpulan kredensial, dan pengiriman malware.


Malware ini menampilkan artefak bahasa Simplified Chinese dalam nama komponen dan komentar kode, dan secara eksplisit menargetkan layanan Tiongkok seperti penyedia email, aplikasi seluler, domain media, dan pengguna WeChat.


Peneliti Talos menilai dengan keyakinan tinggi bahwa operator DKnife adalah aktor ancaman China-nexus.


Para peneliti tidak dapat menentukan bagaimana peralatan jaringan tersebut disusupi, tetapi menemukan bahwa DKnife mengirimkan dan berinteraksi dengan backdoor ShadowPad dan DarkNimbus, keduanya terkait dengan pelaku ancaman dari Tiongkok.


DKnife terdiri dari tujuh modul, masing-masing bertanggung jawab atas aktivitas spesifik yang terkait dengan komunikasi dengan server C2, meneruskan atau mengubah lalu lintas, dan menyembunyikan asal lalu lintas berbahaya:

  • dknife.bin - bertanggung jawab atas inspeksi paket dan logika serangan, juga melaporkan status serangan, aktivitas pengguna, dan mengirimkan data yang dikumpulkan.
  • postapi.bin - komponen relay antara DKnife.bin dan server C2.
  • sslmm.bin - server proxy reverse kustom yang berasal dari HAProxy.
  • yitiji.bin - membuat antarmuka Ethernet virtual (TAP) pada router dan menjembataninya ke LAN untuk merutekan lalu lintas penyerang.
  • remote.bin - klien VPN peer-to-peer menggunakan perangkat lunak n2n VPN.
  • mmdown.bin - pengunduh dan pembaru malware untuk file APK Android.
  • dkupdate.bin - Komponen unduhan, penyebaran, dan pembaruan DKnife.


"Kemampuan utama [DKnife] meliputi penyediaan C2 pembaruan untuk backdoor, pembajakan DNS, pembajakan pembaruan aplikasi Android dan unduhan biner, penyebaran backdoor ShadowPad dan DarkNimbus, secara selektif mengganggu lalu lintas produk keamanan dan mengeksfiltrasi aktivitas pengguna ke server C2 jarak jauh," kata para peneliti dalam sebuah laporan minggu ini.


Setelah terinstal, DKnife menggunakan komponen yitiji.bin untuk membuat antarmuka TAP yang dijembatani (perangkat jaringan virtual) pada router di alamat IP pribadi 10.3.3.3. Hal ini memungkinkan pelaku ancaman untuk mencegat dan menulis ulang paket jaringan saat transit ke host yang dituju.


Dengan cara ini, DKnife dapat digunakan untuk mengirimkan file APK berbahaya ke perangkat seluler atau sistem Windows di jaringan.


Peneliti Cisco mengamati DKnife menjatuhkan backdoor ShadowPad untuk Windows yang ditandatangani dengan sertifikat perusahaan Tiongkok. Tindakan ini diikuti dengan penerapan backdoor DarkNimbus. Pada perangkat Android, backdoor dikirimkan langsung oleh DKnife.


Pada infrastruktur yang sama yang terkait dengan aktivitas framework DKnife, para peneliti juga menemukan bahwa infrastruktur tersebut menampung backdoor WizardNet, yang sebelumnya dikaitkan oleh peneliti ESET dengan framework Spellbinder AitM.


Selain pengiriman payload, DKnife juga mampu:

  • Pembajakan DNS
  • Membajak pembaruan aplikasi Android
  • Membajak biner Windows
  • Pengambilan kredensial melalui dekripsi POP3/IMAP
  • Hosting halaman phishing
  • Gangguan lalu lintas anti-virus
  • Memantau aktivitas pengguna, termasuk penggunaan aplikasi perpesanan (WeChat dan Signal), memetakan penggunaan aplikasi, konsumsi berita, aktivitas panggilan, layanan ride-hailing, dan belanja.


Aktivitas WeChat dilacak secara lebih analitis, kata Cisco Talos, dengan pemantauan DKnife untuk panggilan suara dan video, pesan teks, gambar yang dikirim dan diterima, serta artikel yang dibaca di platform.


Peristiwa aktivitas pengguna pertama-tama dirutekan secara internal di antara komponen DKnife dan kemudian dieksfiltrasi melalui permintaan HTTP POST ke titik akhir API command-and-control (C2) tertentu.


Karena DKnife berada di perangkat gateway dan melaporkan peristiwa saat paket melewatinya, DKnife memungkinkan pemantauan aktivitas pengguna dan pengumpulan data secara real time.


Hingga Januari 2026, server DKnife C2 masih aktif, kata para peneliti. Cisco Talos telah menerbitkan serangkaian Indicator of Compromise (IoC) lengkap yang terkait dengan aktivitas ini.

DKnife, Toolkit Edge-Device Berbasis Linux untuk Spionase dan Manipulasi Lalu Lintas

 


Operator ransomware diketahui menghosting serta mendistribusikan payload dalam skala besar dengan memanfaatkan mesin virtual (virtual machine/VM) yang disediakan oleh ISPsystem, sebuah penyedia layanan manajemen infrastruktur virtual yang legal.


Praktik ini terungkap oleh peneliti keamanan siber dari Sophos saat mereka menyelidiki insiden ransomware WantToCry terbaru. Dalam penyelidikan tersebut, Sophos menemukan bahwa para pelaku menggunakan VM berbasis Windows dengan nama host yang sama persis, yang mengindikasikan penggunaan template bawaan dari VMmanager, produk milik ISPsystem.


Penelusuran lanjutan menunjukkan bahwa nama host identik tersebut juga muncul dalam infrastruktur milik berbagai kelompok ransomware lain, seperti LockBit, Qilin, Conti, BlackCat/ALPHV, dan Ursnif, serta dalam sejumlah kampanye malware pencuri data, termasuk RedLine dan Lummar.


ISPsystem sendiri merupakan perusahaan perangkat lunak sah yang mengembangkan panel kontrol bagi penyedia layanan hosting. Produk-produknya digunakan untuk mengelola server virtual, pemeliharaan sistem operasi, dan berbagai kebutuhan infrastruktur lainnya. VMmanager adalah platform virtualisasi mereka yang memungkinkan pelanggan menjalankan VM berbasis Windows maupun Linux.



Sophos mengungkap bahwa template Windows default pada VMmanager secara konsisten menggunakan kembali nama host dan pengenal sistem yang sama setiap kali diterapkan. Kelemahan desain ini kemudian dimanfaatkan oleh sejumlah penyedia hosting yang secara sadar mendukung aktivitas kejahatan siber dan mengabaikan permintaan penghapusan (takedown).


Dengan menggunakan VMmanager, para pelaku dapat menjalankan VM yang berfungsi sebagai infrastruktur command-and-control (C2) serta sarana distribusi payload. Akibatnya, sistem berbahaya tersebut tersembunyi di antara ribuan VM sah, sehingga menyulitkan proses atribusi dan hampir mustahil untuk dilakukan penghapusan secara cepat.


Sebagian besar VM berbahaya tersebut dihosting oleh sejumlah kecil penyedia dengan reputasi buruk, di antaranya Stark Industries Solutions Ltd., Zomro B.V., First Server Limited, Partner Hosting LTD, dan JSC IOT.


Sophos juga mengidentifikasi penyedia bernama MasterRDP yang memiliki kendali langsung atas infrastruktur fisik. Penyedia ini menggunakan VMmanager untuk menghindari deteksi serta menawarkan layanan VPS dan RDP tanpa mematuhi permintaan hukum.


Menurut Sophos, empat nama host ISPsystem yang paling sering ditemukan mencakup lebih dari 95% total VM ISPsystem yang terhubung ke internet, yaitu:

  • WIN-LIVFRVQFMKO
  • WIN-LIVFRVQFMKO
  • WIN-344VU98D3RU
  • WIN-J9D866ESIJ2


Keempat nama host tersebut muncul baik dalam sistem deteksi pelanggan maupun dalam data telemetri yang berkaitan dengan aktivitas kejahatan siber.


Para peneliti menegaskan bahwa meskipun VMmanager merupakan platform manajemen virtualisasi yang sah, layanan ini menarik bagi pelaku kejahatan siber karena biaya yang relatif murah, hambatan masuk yang rendah, serta kemudahan penerapan secara instan (turnkey).

Infrastruktur Virtual Legal Dimanfaatkan Ransomware untuk Operasi C2 dan Payload

 


Seorang pelaku ancaman sedang membahayakan server NGINX dalam sebuah kampanye yang membajak lalu lintas pengguna dan mengalihkannya melalui infrastruktur backend penyerang.


NGINX adalah software open-source untuk manajemen lalu lintas web. Software ini menjadi perantara koneksi antara pengguna dan server dan digunakan untuk penyajian web, penyeimbangan loading, caching, dan reverse proxy.


Kampanye jahat tersebut, yang ditemukan oleh para peneliti di DataDog Security Labs, menargetkan instalasi NGINX dan panel manajemen hosting Baota yang digunakan oleh situs-situs dengan domain tingkat atas Asia (.in, .id, .pe, .bd, dan .th) serta situs pemerintah dan pendidikan (.edu dan .gov).


Penyerang memodifikasi file konfigurasi NGINX yang ada dengan memasukkan blok 'lokasi' berbahaya yang menangkap permintaan masuk pada jalur URL yang dipilih penyerang.


Mereka kemudian menulis ulang URL tersebut untuk menyertakan URL asli lengkap, dan meneruskan lalu lintas melalui arahan 'proxy_pass' ke domain yang dikendalikan penyerang.


Direktif yang disalahgunakan biasanya digunakan untuk penyeimbangan loading, memungkinkan NGINX untuk mengarahkan ulang permintaan melalui grup server backend alternatif untuk meningkatkan kinerja atau keandalan; oleh karena itu, penyalahgunaannya tidak memicu peringatan keamanan apapun.


Request header seperti Host, X-Real-IP, User-Agent, dan Referer dipertahankan untuk membuat lalu lintas tampak sah.


Serangan tersebut menggunakan toolkit skrip multi-tahap untuk melakukan injeksi konfigurasi NGINX. Toolkit ini beroperasi dalam lima tahap:

  • Tahap 1 – zx.sh: Bertindak sebagai skrip pengontrol awal, bertanggung jawab untuk mengunduh dan menjalankan tahapan selanjutnya. Ini mencakup mekanisme fallback yang mengirimkan permintaan HTTP mentah melalui TCP jika curl atau wget tidak tersedia.
  • Tahap 2 – bt.sh: Menargetkan file konfigurasi NGINX yang dikelola oleh panel Baota. Ini secara dinamis memilih templat injeksi berdasarkan nilai server_name, menimpa konfigurasi dengan aman, dan memuat ulang NGINX untuk menghindari downtime layanan.
  • Tahap 3 – 4zdh.sh: Mencantumkan lokasi konfigurasi NGINX umum seperti sites-enabled, conf.d, dan sites-available. Skrip ini menggunakan tool parsing seperti csplit dan awk untuk mencegah kerusakan konfigurasi, mendeteksi injeksi sebelumnya melalui hashing dan file pemetaan global, dan memvalidasi perubahan menggunakan nginx -t sebelum memuat ulang.
  • Tahap 4 – zdh.sh: Menggunakan pendekatan penargetan yang lebih sempit yang berfokus terutama pada /etc/nginx/sites-enabled, dengan penekanan pada domain .in dan .id. Ini mengikuti proses pengujian dan memuat ulang konfigurasi yang sama, dengan restart paksa (pkill) digunakan sebagai cadangan.
  • Tahap 5 – ok.sh: Memindai konfigurasi NGINX yang disusupi untuk membuat peta domain yang dibajak, templat injeksi, dan target proxy. Data yang dikumpulkan kemudian dieksfiltrasi ke server command-and-control (C2) di 158.94.210[.]227.


Serangan-serangan ini sulit dideteksi karena tidak mengeksploitasi kerentanan NGINX; sebaliknya, mereka menyembunyikan instruksi berbahaya dalam file konfigurasinya, yang jarang diperiksa secara teliti.


Selain itu, lalu lintas pengguna masih mencapai tujuan yang diinginkan, sering kali secara langsung, sehingga infrastruktur penyerang yang melewatinya kemungkinan besar tidak akan diketahui kecuali dilakukan pemantauan khusus.

Server NGINX Disusupi: Penyerang Diam-Diam Membajak Lalu Lintas Pengguna



Microsoft mengumumkan bahwa mereka akan menonaktifkan protokol otentikasi NTLM yang berusia 30 tahun secara default di rilis Windows mendatang karena kerentanan keamanan yang membuat organisasi rentan terhadap serangan siber.


NTLM (New Technology LAN Manager) adalah protokol keamanan Microsoft yang digunakan di lingkungan Windows untuk autentikasi pengguna yang diperkenalkan pada tahun 1993 dengan Windows NT 3.1 dan merupakan penerus protokol LAN Manager (LM).


Kerberos telah menggantikan NTLM dan sekarang menjadi protokol default saat ini untuk perangkat yang tersambung ke domain yang menjalankan Windows 2000 atau lebih baru. Meskipun merupakan protokol default di versi Windows yang lebih lama, NTLM masih digunakan hingga saat ini sebagai metode otentikasi cadangan ketika Kerberos tidak tersedia, meskipun menggunakan kriptografi yang lemah dan rentan terhadap serangan.


Sejak dirilis, NTLM telah dieksploitasi secara luas dalam serangan relai NTLM (dimana pelaku ancaman memaksa perangkat jaringan yang disusupi untuk mengautentikasi terhadap server yang dikendalikan penyerang) untuk meningkatkan hak istimewa dan mengambil kendali penuh atas domain Windows. Meskipun demikian, NTLM masih digunakan pada server Windows, memungkinkan penyerang untuk mengeksploitasi kerentanan seperti PetitPotam, ShadowCoerce, DFSCoerce, dan RemotePotato0 untuk melewati mitigasi serangan relay NTLM.


NTLM juga telah menjadi sasaran serangan pass-the-hash, dimana cybercriminal mengeksploitasi kerentanan sistem atau menyebarkan perangkat lunak berbahaya untuk mencuri hash NTLM (kata sandi yang di-hash) dari sistem yang ditargetkan. Kata sandi yang di-hash ini digunakan untuk mengautentikasi sebagai pengguna yang disusupi, memungkinkan penyerang untuk mencuri data sensitif dan menyebar secara lateral di seluruh jaringan.



"Diblokir dan tidak lagi digunakan secara otomatis"


Pada hari Kamis, sebagai bagian dari dorongan yang lebih luas menuju metode otentikasi tanpa kata sandi dan tahan phishing, Microsoft mengumumkan bahwa NTLM akhirnya akan dinonaktifkan secara default pada rilis mayor Windows Server berikutnya dan versi klien Windows terkait, menandai pergeseran signifikan dari protokol lama ke otentikasi berbasis Kerberos yang lebih aman.


Microsoft juga menguraikan rencana transisi tiga fase yang dirancang untuk mengurangi risiko terkait NTLM sekaligus meminimalkan gangguan. Pada fase pertama, administrator akan dapat menggunakan tool audit yang disempurnakan yang tersedia di Windows 11 24H2 dan Windows Server 2025 untuk mengidentifikasi dimana NTLM masih digunakan.


Fase kedua, yang dijadwalkan pada paruh kedua tahun 2026, akan memperkenalkan fitur-fitur baru, seperti IAKerb dan Local Key Distribution Center, untuk mengatasi skenario umum yang memicu fallback NTLM.


Fase ketiga akan menonaktifkan jaringan NTLM secara default pada rilis mendatang, meskipun protokol tersebut akan tetap ada di sistem operasi dan dapat diaktifkan kembali secara eksplisit melalui kontrol kebijakan jika diperlukan.


“Menonaktifkan NTLM secara default tidak berarti menghapus NTLM sepenuhnya dari Windows. Sebaliknya, ini berarti bahwa Windows akan dikirimkan dalam keadaan aman secara default dimana otentikasi jaringan NTLM diblokir dan tidak lagi digunakan secara otomatis,” kata Microsoft.


“OS akan lebih memilih alternatif berbasis Kerberos yang modern dan lebih aman. Pada saat yang sama, skenario warisan umum akan diatasi melalui kemampuan baru yang akan datang seperti Local KDC dan IAKerb (pra-rilis).”


Microsoft pertama kali mengumumkan rencana untuk menghentikan protokol otentikasi NTLM pada Oktober 2023, dengan menyatakan bahwa mereka juga ingin memperluas kontrol manajemen untuk memberikan fleksibilitas yang lebih besar kepada administrator dalam memantau dan membatasi penggunaan NTLM di lingkungan mereka.


Mereka juga secara resmi menghentikan autentikasi NTLM di Windows dan server Windows pada Juli 2024, dan menyarankan pengembang untuk beralih ke autentikasi Kerberos atau Negotiation untuk mencegah masalah di masa mendatang.


Microsoft telah memperingatkan pengembang untuk berhenti menggunakan NTLM di aplikasi mereka sejak tahun 2010 dan menyarankan admin Windows untuk menonaktifkan NTLM atau mengkonfigurasi server mereka untuk memblokir serangan relai NTLM menggunakan Active Directory Certificate Services (AD CS). 

Microsoft akan menonaktifkan NTLM secara default di rilis Windows mendatang

 


Dalam enam bulan terakhir, pelaku kejahatan siber semakin sering memanfaatkan teknik browser-in-the-browser (BitB) untuk menipu pengguna agar menyerahkan kredensial akun Facebook mereka.


Metode phishing BitB pertama kali diperkenalkan oleh peneliti keamanan mr.d0x pada 2022, sebelum akhirnya diadopsi oleh penjahat siber dalam berbagai serangan terhadap layanan daring, termasuk Facebook dan Steam.


Peneliti keamanan dari Trellix mengungkapkan bahwa akun Facebook yang berhasil dibajak kemudian digunakan untuk menyebarkan penipuan, mencuri data pribadi, hingga melakukan penipuan identitas. Dengan basis pengguna aktif yang melampaui tiga miliar orang, Facebook masih menjadi sasaran empuk bagi para pelaku kejahatan digital.


Dalam skema serangan BitB, korban yang mengunjungi situs web yang dikendalikan penyerang akan disuguhi jendela pop-up palsu berisi formulir login. Jendela tersebut dibuat menggunakan iframe yang meniru tampilan sistem autentikasi resmi, lengkap dengan judul jendela dan URL yang tampak meyakinkan, sehingga sulit dibedakan dari yang asli.


Trellix mencatat bahwa kampanye phishing terbaru menyasar pengguna Facebook dengan menyamar sebagai firma hukum yang mengklaim adanya pelanggaran hak cipta, ancaman penangguhan akun dalam waktu dekat, atau notifikasi keamanan palsu dari Meta terkait aktivitas login mencurigakan.


Untuk mengelabui sistem keamanan dan meningkatkan kesan legitimasi, para penyerang memanfaatkan URL pendek serta halaman CAPTCHA Meta palsu. Pada tahap akhir, korban diarahkan untuk memasukkan detail login Facebook mereka melalui pop-up palsu tersebut.


Selain itu, Trellix juga menemukan banyak halaman phishing yang dihosting di layanan cloud tepercaya seperti Netlify dan Vercel. Halaman-halaman ini meniru portal Pusat Privasi Meta dan mengarahkan pengguna ke formulir banding palsu yang dirancang untuk mengumpulkan informasi pribadi.


Kampanye ini dinilai sebagai evolusi signifikan dibandingkan pola phishing Facebook konvensional yang sebelumnya umum ditemukan.


“Pergeseran kuncinya terletak pada penyalahgunaan infrastruktur tepercaya, memanfaatkan layanan cloud hosting yang sah seperti Netlify dan Vercel, dan URL shortener untuk menerobos filter keamanan tradisional dan memberikan rasa aman palsu pada halaman phishing,” tulis Trellix dalam laporannya.


“Yang paling penting, munculnya teknik Browser-in-the-Browser (BitB) merupakan peningkatan yang signifikan. Dengan membuat jendela pop-up login palsu yang dibuat khusus di dalam browser korban, metode ini memanfaatkan keakraban pengguna dengan alur otentikasi, sehingga pencurian kredensial hampir tidak mungkin dideteksi secara visual.”


Cara Melindungi Diri dari Serangan BitB


Pengguna disarankan untuk selalu mengakses situs resmi dengan mengetikkan alamat URL secara langsung di tab baru ketika menerima peringatan keamanan atau pemberitahuan pelanggaran akun, alih-alih mengklik tautan yang disertakan dalam email atau pesan.


Saat diminta memasukkan kredensial melalui jendela pop-up, pastikan apakah jendela tersebut dapat dipindahkan ke luar area browser. Pop-up berbasis iframe—yang menjadi kunci teknik BitB—tidak dapat dipisahkan dari jendela utama browser.


Sebagai langkah perlindungan tambahan, pengguna juga dianjurkan mengaktifkan autentikasi dua faktor (2FA). Meski tidak sepenuhnya kebal, fitur ini memberikan lapisan keamanan ekstra untuk mencegah pengambilalihan akun, bahkan jika kredensial utama telah bocor.

Serangan BitB Meningkat, Peretas Gunakan Pop-up Palsu untuk Bobol Akun Facebook

 


Pelaku kejahatan siber dilaporkan menyalahgunakan fitur Device Linking (penautan perangkat) yang sebenarnya sah untuk mengambil alih akun WhatsApp melalui kode pemasangan dalam sebuah kampanye berbahaya yang dikenal dengan nama GhostPairing.


Dalam skema ini, serangan dapat dilakukan tanpa melewati proses otentikasi apa pun. Korban dimanipulasi agar tanpa sadar menautkan akun WhatsApp mereka ke perangkat milik penyerang. Akibatnya, pelaku ancaman memperoleh akses penuh ke riwayat percakapan serta seluruh media yang pernah dibagikan, yang kemudian bisa dimanfaatkan untuk menyamar sebagai korban atau melakukan berbagai bentuk penipuan.


Gen Digital (sebelumnya Symantec Corporation dan NortonLifeLock) mengungkapkan bahwa aktivitas GhostPairing pertama kali terdeteksi di Republik Ceko. Meski demikian, mereka memperingatkan bahwa metode penyebarannya memungkinkan serangan ini meluas ke wilayah lain. Akun yang telah berhasil dibajak bahkan dapat digunakan sebagai sarana untuk menjangkau korban berikutnya.



Mekanisme Serangan GhostPairing


Serangan biasanya diawali dengan pesan singkat yang tampak berasal dari kontak tepercaya. Pesan tersebut berisi tautan yang diklaim mengarah ke foto online milik korban. Untuk meningkatkan kredibilitas, tautan tersebut disertai pratinjau yang menyerupai konten Facebook.


Namun, ketika diklik, korban justru diarahkan ke halaman Facebook palsu yang dihosting di domain tiruan atau domain yang disalahgunakan. Di halaman ini, korban diberi tahu bahwa mereka harus melakukan verifikasi dengan masuk terlebih dahulu sebelum dapat melihat konten yang dimaksud.


Proses “verifikasi” tersebut sebenarnya adalah jebakan yang memicu alur penautan perangkat WhatsApp. Korban diminta memasukkan nomor telepon, yang kemudian digunakan penyerang untuk memulai proses penautan perangkat secara resmi. WhatsApp lalu menghasilkan kode pemasangan yang ditampilkan di halaman palsu tersebut.


Selanjutnya, korban menerima permintaan dari WhatsApp untuk memasukkan kode tersebut guna menghubungkan perangkat baru ke akun mereka. Walaupun WhatsApp secara jelas menyatakan bahwa proses ini adalah upaya penautan perangkat baru, banyak pengguna yang tidak menyadari risikonya dan tetap melanjutkan proses tersebut.


Begitu kode penyandingan dimasukkan, penyerang langsung memperoleh akses penuh ke akun WhatsApp korban tanpa harus menembus lapisan keamanan tambahan. Melalui WhatsApp Web, pelaku dapat memantau pesan secara real time, melihat dan mengunduh media, serta mengirim atau meneruskan pesan ke kontak dan grup korban untuk memperluas penipuan.


Gen Digital memperingatkan bahwa banyak korban tidak menyadari adanya perangkat kedua yang telah tertaut secara diam-diam. Hal inilah yang membuat GhostPairing sangat berbahaya, karena penyerang dapat memantau seluruh percakapan tanpa sepengetahuan pemilik akun.


Satu-satunya cara untuk mendeteksi penyusupan adalah dengan memeriksa menu Pengaturan → Perangkat Tertaut di WhatsApp, lalu memastikan tidak ada perangkat asing yang terhubung.


Pengguna juga disarankan untuk memblokir dan melaporkan pesan mencurigakan, serta mengaktifkan otentikasi dua faktor sebagai lapisan perlindungan tambahan. Penting untuk tidak terburu-buru mengambil tindakan, selalu menelaah pesan yang diterima, dan memastikan identitas pengirim sebelum mengikuti instruksi apa pun.


Sebagai catatan, penautan perangkat WhatsApp juga dapat dilakukan dengan memindai kode QR melalui aplikasi seluler. Fitur serupa tersedia di aplikasi perpesanan lain dan sebelumnya pernah dimanfaatkan oleh pelaku ancaman dari Rusia untuk mengambil alih akun Signal yang menjadi target.

Device Linking WhatsApp Disalahgunakan dalam Serangan Pembajakan Akun

Subscribe to: Posts (Atom)