Halaman

    Social Items

Visit WPN
Showing posts with label Microsoft. Show all posts
Showing posts with label Microsoft. Show all posts

 


Telah ditemukan bahwa peretas menggunakan SEO poisoning dan iklan mesin pencari untuk mempromosikan installer Microsoft Teams palsu yang menginfeksi perangkat Windows dengan backdoor Oyster yang menyediakan akses awal ke jaringan perusahaan.


Malware Oyster, juga dikenal sebagai Broomstick dan CleanUpLoader,  merupakan backdoor yang pertama kali muncul pada pertengahan 2023 dan sejak itu telah dikaitkan dengan beberapa kampanye. Malware ini memberi penyerang akses jarak jauh ke perangkat yang terinfeksi, memungkinkan mereka untuk menjalankan perintah, menyebarkan payload tambahan, dan mentransfer file.


Oyster umumnya menyebar melalui kampanye malvertising yang meniru tool IT populer, seperti Putty dan WinSCP. Operasi Ransomware, seperti Rhysida, juga memanfaatkan malware tersebut untuk menembus jaringan perusahaan.


Installer Microsoft Teams palsu mendorong malware


Dalam kampanye malvertising dan SEO poisoning baru yang ditemukan oleh Blackpoint SOC, pelaku ancaman mempromosikan situs palsu yang muncul saat pengunjung menelusuri "Teams download."


Meskipun iklan dan domain tersebut tidak memalsukan domain Microsoft, keduanya mengarah ke website di teams-install[.]top yang meniru situs download Teams milik Microsoft. Mengklik tautan download akan mendownload file bernama "MSTeamsSetup.exe," nama file yang sama dengan yang digunakan oleh download resmi Microsoft.


MSTeamsSetup.exe [VirusTotal] yang berbahaya telah ditandatangani kode dengan sertifikat dari "4th State Oy" dan "NRM NETWORK RISK MANAGEMENT INC" untuk menambah legitimasi pada file tersebut.


Namun, ketika dijalankan, installer palsu menjatuhkan DLL berbahaya bernama CaptureService.dll [VirusTotal] ke dalam folder %APPDATA%\Roaming.


Agar tetap bertahan, installer membuat scheduled task bernama "CaptureService" untuk mengeksekusi DLL setiap 11 menit, memastikan backdoor tetap aktif bahkan saat reboot.


Aktivitas ini mirip dengan installer Google Chrome dan Microsoft Teams palsu sebelumnya yang mendorong Oyster, menyoroti bagaimana SEO poisoning dan malvertising tetap menjadi taktik populer untuk melanggar jaringan perusahaan.


"Aktivitas ini menyoroti penyalahgunaan SEO poisoning dan iklan berbahaya yang terus berlanjut untuk mengirimkan backdoor komoditas berkedok perangkat lunak tepercaya," kata Blackpoint.


“Sama seperti kampanye PuTTY palsu yang diamati awal tahun ini, pelaku ancaman mengeksploitasi kepercayaan pengguna pada hasil pencarian dan merek terkenal untuk mendapatkan akses awal.”


Karena admin TI adalah target populer untuk mendapatkan akses ke kredensial dengan hak istimewa tinggi, mereka disarankan hanya mendownload perangkat lunak dari domain terverifikasi dan menghindari mengklik iklan mesin pencari.

Installer Microsoft Teams Palsu Mendorong Malware Oyster Melalui Malvertising

 


Microsoft telah mulai menguji fitur baru bertenaga AI di Microsoft Photos, yang dirancang untuk mengkategorikan foto secara otomatis di sistem Windows 11.


Disebut Auto-Categorization, fitur ini saat ini terbatas untuk mengurutkan screenshot, receipts, identity documents dan notes, dan akan diluncurkan ke PC Copilot+ di semua Windows Insider Channel dengan Microsoft Photos versi 2025.11090.25001.0 atau yang lebih baru.


Microsoft mengatakan fitur tersebut menggunakan model AI tanpa bahasa yang mengidentifikasi jenis dokumen apapun bahasa yang digunakan dalam gambar. Ia bekerja dengan mengelompokkan foto ke dalam folder yang telah ditentukan sebelumnya secara otomatis, berdasarkan konten visualnya, seperti andwritten notes, receipts atau dokumen cetak.


Aplikasi Photos akan membantu pengguna menemukan gambar yang dikategorikan secara instan, menggunakan kategori di sidebar navigasi kiri atau Search bar untuk menemukannya dengan cepat. Pengguna juga akan dapat mengubah kategori secara manual atau “memberikan masukan untuk meningkatkan akurasi.”


"Rilisan ini menghadirkan fitur baru yang canggih pada PC Copilot+ yang memanfaatkan AI untuk mengelompokkan foto ke dalam kategori agar lebih mudah diingat," kata Ronnie Myers, Senior Product Manager Microsoft, dalam sebuah postingan blog pada hari Jumat.


Ia menambahkan, "Auto-Categorization secara otomatis mendeteksi dan mengatur koleksi foto Anda ke dalam kategori yang bermakna seperti screenshots, receipts, identity documents, dan notes menggunakan AI. Fitur ini dirancang untuk menghemat waktu, mengurangi kekacauan, dan membuat perpustakaan foto Anda lebih mudah dinavigasi."

Fitur AI Baru Microsoft Akan Mengatur Foto Anda Secara Otomatis

 


Microsoft telah mulai meluncurkan versi beta Gaming Copilot yang didukung AI ke sistem Windows 11 untuk pengguna berusia 18 tahun ke atas, kecuali mereka yang berada di China daratan.


Disebut sebagai "asisten gaming pribadi," Gaming Copilot juga akan tersedia untuk pengguna aplikasi Xbox mobile di perangkat Apple dan Android mulai bulan depan.


Untuk mulai menggunakan Gaming Copilot di Game Bar, pengguna Windows harus menginstal aplikasi Xbox PC di PC mereka dan menggunakan pintasan keyboard tombol logo Windows + G untuk membuka Game Bar. Selanjutnya, mereka dapat menemukan ikon Gaming Copilot di Home Bar, membuka widget, dan masuk ke akun Xbox mereka.


Mereka dapat menggunakan Voice Mode Gaming Copilot untuk mendapatkan bantuan dalam tugas-tugas dalam game, memintanya untuk merekomendasikan game baru untuk dimainkan, memeriksa pencapaian atau riwayat permainan mereka, dan banyak lagi.


"Sebuah langkah besar dalam perjalanan Xbox untuk menghadirkan pengalaman bertenaga AI ini kepada para pemain sedang diluncurkan: Gaming Copilot – yang menyediakan rekomendasi, bantuan, wawasan, dan banyak lagi – resmi hadir di PC Windows dan Xbox versi seluler," kata Microsoft.


"Pemain PC akan mulai melihat Gaming Copilot terintegrasi langsung ke dalam pengalaman Game Bar mereka, kemudian akan hadir di aplikasi seluler Xbox di Apple dan Android pada bulan Oktober."


Bagi yang tidak ingin menggunakannya, Anda juga dapat menghapus Gaming Copilot dari daftar widget dengan membuka Settings setelah menekan Win+G.


Microsoft pertama kali mulai menguji Gaming Copilot pada bulan Mei (saat masih disebut Copilot for Gaming) dengan bantuan penguji beta yang mencoba versi seluler di perangkat iOS dan Android.


Peluncuran diperluas pada awal Agustus ke Xbox Insiders yang terdaftar di PC Gaming Preview yang telah menginstal aplikasi Xbox PC di perangkat Windows mereka. Pada bulan Januari, Microsoft juga memperkenalkan browser dalam game Game Assist dalam pratinjau untuk pengguna Microsoft Edge Stable.


Sebagai bagian dari upaya yang sama untuk memperluas jangkauan Copilot ke lebih banyak pengguna, Microsoft mulai menguji fitur AI baru di File Explorer Windows 11, meluncurkan Copilot Chat ke Word, Excel, PowerPoint, Outlook, dan OneNote untuk pelanggan bisnis Microsoft 365 berbayar, dan akan secara otomatis menginstal aplikasi Microsoft 365 Copilot di perangkat Windows di luar wilayah EEA yang memiliki aplikasi klien desktop Microsoft 365.


Pada hari Rabu, Redmond juga mengumumkan bahwa Notepad mendapatkan kemampuan menulis teks bertenaga AI gratis di PC Copilot+ dengan Windows 11.

Microsoft mulai meluncurkan Gaming Copilot di PC Windows 11

 


Microsoft meluncurkan Copilot Chat untuk Word, Excel, PowerPoint, Outlook, dan OneNote bagi pelanggan bisnis Microsoft 365 berbayar.


Copilot Chat (Microsoft 365 Copilot Chat) adalah obrolan berbasis AI dan berbasis konten yang memungkinkan pengguna mengakses agen AI. Namun, tidak seperti Microsoft 365 Copilot yang memiliki akses ke konten organisasi, Copilot Chat hanya berfungsi dengan data dari web.


Meskipun Microsoft mengatakan Copilot Chat "termasuk tanpa biaya tambahan" untuk pengguna Microsoft 365, ini hanya merujuk pada pengguna akun Entra dengan lisensi Microsoft 365, Microsoft 365 Business, Microsoft Teams, dan Office 365.


Daftar lisensi yang akan memberikan akses ke fitur yang baru ditambahkan ke aplikasi Office ini tersedia di dokumen dukungan ini.


"Copilot Chat adalah obrolan AI aman yang berbasis web—dan kini tersedia di aplikasi Microsoft 365. Obrolan ini peka terhadap konten, artinya obrolan ini dengan cepat memahami apa yang sedang Anda kerjakan, dan menyesuaikan jawaban dengan file yang Anda buka. Obrolan ini juga tersedia tanpa biaya tambahan bagi pengguna Microsoft 365," ujar Seth Patton, manajer umum tim pemasaran produk Microsoft 365 Copilot.


"Saat Anda membutuhkannya, Anda dapat membuka Copilot Chat di panel samping file Anda, dan itu akan siap membantu tepat di tempat Anda bekerja—yang berarti lebih sedikit menyalin dan menempel, mengunggah file, dan berpindah aplikasi."


Patton mengatakan bahwa pelanggan Microsoft 365 juga dapat memberikan akses Copilot Chat ke semua data mereka, tidak hanya dokumen yang sedang terbuka, jika mereka bersedia membayar ekstra untuk lisensi Microsoft 365 Copilot.


"Lisensi Microsoft 365 Copilot membuka versi Copilot Chat yang paling canggih, yang tidak hanya memproses file atau email yang Anda buka, tetapi juga semua data pekerjaan Anda—dari dokumen pribadi dan bersama, email, rapat, obrolan, dan lainnya," tambah Patton.


Mulai bulan depan hingga pertengahan November, Microsoft juga akan mulai menginstal aplikasi Microsoft 365 Copilot secara otomatis di perangkat Windows di luar wilayah EEA yang memiliki aplikasi klien desktop Microsoft 365.


Namun, administrator IT yang bertanggung jawab mengelola penerapan aplikasi Microsoft 365 masih memiliki opsi untuk tidak ikut serta dalam Pusat Admin Aplikasi.


Pada bulan Agustus, sebagai bagian dari upaya yang sama untuk memperluas jangkauan Copilot ke lebih banyak pengguna, Microsoft mengumumkan bahwa mereka akan menambahkan agen Microsoft 365 Copilot ke sidebar Edge, mulai akhir September 2025, untuk memungkinkan pengguna mengaksesnya saat menggunakan Copilot.

Copilot Chat Hadir di Microsoft 365: Obrolan AI Kontekstual untuk Aplikasi Office

 


Sebuah platform phishing-as-a-service (PhaaS) baru bernama VoidProxy terungkap menargetkan akun Microsoft 365 dan Google, termasuk akun yang terhubung melalui penyedia single sign-on (SSO) pihak ketiga seperti Okta.


Menurut laporan tim Okta Threat Intelligence, VoidProxy tergolong skalabel, sulit dideteksi, dan cukup canggih. Platform ini memanfaatkan teknik adversary-in-the-middle (AitM) untuk mencuri kredensial, kode autentikasi multi-faktor (MFA), hingga session cookie secara langsung saat proses login berlangsung.


Metode Serangan VoidProxy

  • Awal serangan biasanya berasal dari email phishing yang dikirim menggunakan akun sah yang sudah disusupi di layanan email seperti Constant Contact, Active Campaign, atau NotifyVisitors. Email ini menyertakan tautan singkat yang akan membawa korban melalui beberapa pengalihan hingga akhirnya ke situs phishing.
  • Hosting situs berbahaya dilakukan di domain sekali pakai berbiaya rendah seperti .icu, .sbs, .cfd, .xyz, .top, dan .home. Semua domain tersebut dilindungi Cloudflare untuk menyamarkan alamat IP asli.
  • Korban pertama kali akan dihadapkan pada tantangan CAPTCHA Cloudflare, yang berfungsi menyaring bot sekaligus meningkatkan kesan legitimasi. Cloudflare Worker kemudian digunakan untuk memfilter lalu lintas dan memuat halaman phishing.


Taktik Penipuan

  • Korban yang menjadi target utama diarahkan ke halaman login palsu Microsoft atau Google, sedangkan pengguna acak akan dialihkan ke halaman umum atau pesan sambutan biasa agar tidak menimbulkan kecurigaan.
  • Saat kredensial dimasukkan, informasi tersebut diproksikan melalui server VoidProxy AitM menuju server sah milik Google atau Microsoft.
  • Bagi akun dengan integrasi SSO Okta, korban dialihkan ke tahap kedua berupa halaman phishing yang meniru alur login Microsoft 365 atau Google via Okta. Permintaan login ini diproksikan ke server Okta, memungkinkan penyerang menangkap username, password, dan kode MFA.
  • Setelah layanan asli mengeluarkan session cookie, VoidProxy menyimpannya dan menghadirkannya langsung di panel admin platform agar penyerang bisa mengambil alih akun tanpa perlu login ulang.


Mitigasi

Okta menegaskan bahwa pengguna yang sudah mengaktifkan phishing-resistant authentication seperti Okta FastPass terlindungi dari serangan VoidProxy, serta akan menerima peringatan jika akun mereka sedang diserang.


Para peneliti merekomendasikan langkah berikut untuk meningkatkan perlindungan:

  • Membatasi akses aplikasi sensitif hanya melalui perangkat yang dikelola.
  • Menggunakan kontrol akses berbasis risiko.
  • Menerapkan pengikatan IP session khususnya pada aplikasi administratif.
  • Memaksa autentikasi ulang untuk admin yang mencoba melakukan tindakan berisiko tinggi.

VoidProxy: Platform Phishing Baru Intai Akun Microsoft 365 dan Google

 


Microsoft sedang berupaya mengatasi masalah yang diketahui yang menyebabkan layanan anti-spam secara keliru memblokir pengguna Exchange Online dan Microsoft Teams dari membuka URL dan mengarantina beberapa email mereka.


Dalam peringatan layanan, perusahaan tersebut menyatakan bahwa masalah ini disebabkan oleh mesin anti-spam yang salah menandai URL yang terdapat di dalam URL lain sebagai berpotensi berbahaya, yang juga menyebabkan beberapa email dikarantina.


Masalah ini mulai berdampak pada pengguna Exchange Online dan Microsoft Teams pada tanggal 5 September, ketika Redmond mengatakan bahwa admin mungkin melihat peringatan berjudul "A potentially malicious URL click was detected involving one user," meskipun URL tersebut telah dipastikan aman.


“Kami telah mengidentifikasi lebih dari 6.000 URL yang terpengaruh dan berupaya untuk membuka blokirnya sebelum memutar ulang pesan untuk memulihkan pesan atau URL apapun yang salah ditandai,” kata Microsoft pada hari ditemukannya bug tersebut.


"Para teknisi Redmond telah menerapkan perbaikan yang mengatasi masalah ini dengan memastikan sinkronisasi tidak lagi memasuki status karantina, setelah perubahan konfigurasi sebelumnya yang seharusnya mengubah interval penundaan yang dikonfigurasi menjadi satu jam tidak berhasil."


Meskipun teknisi Microsoft telah menyelesaikan sebagian masalah false positive ini, mereka masih berupaya mengatasi dampak yang disebabkan oleh lebih banyak URL yang dinonaktifkan oleh model anti-spam yang salah.


“Kami telah mengidentifikasi subkumpulan URL baru yang terkena dampak dan kami berupaya untuk mengatasi kumpulan baru tersebut serta sisa pesan yang terkena dampak. Kami yakin bahwa sebagian besar dampaknya telah teratasi, dan kami secara aktif mengatasi dampak yang masih ada sembari melakukan analisis akar masalah,” tambah perusahaan tersebut dalam pembaruan pada tanggal 8 September.


Meskipun perusahaan belum mengungkapkan jumlah pelanggan atau wilayah yang terkena dampak masalah anti-spam yang sedang berlangsung ini, masalah layanan ini telah diklasifikasikan sebagai sebuah insiden, yang biasanya berdampak nyata pada pengguna.


Microsoft telah mengatasi masalah serupa sejak awal tahun ini, yang mengakibatkan email salah diberi tag sebagai spam atau dikarantina. Misalnya, pada bulan Mei, Microsoft menyelesaikan masalah lain yang menyebabkan model pembelajaran mesin salah menandai email dari akun Gmail sebagai spam di Exchange Online.


Redmond memperbaiki bug pembelajaran mesin lain yang secara keliru menandai email Adobe di Exchange Online sebagai spam satu bulan sebelumnya, serta false positive Exchange Online yang menyebabkan sistem anti-spam secara tidak benar mengarantina beberapa email pengguna pada bulan Maret.

Bug Anti-Spam Salah Blokir Ribuan URL di Exchange Online dan Teams



Headset Windows Mixed Reality sempat tidak berfungsi tahun lalu, setelah Microsoft tiba-tiba menghentikan platform tersebut dengan pembaruan 24H2 untuk Windows 11. Kini, teknisi Xbox di Microsoft menghidupkan kembali headset ini, berkat driver baru yang memungkinkan dukungan SteamVR.


Matthieu Bucchianeri, seorang insinyur perangkat lunak yang bekerja pada headset Microsoft Windows Mixed Reality, telah merilis “Oasis Driver for Windows Mixed Reality” gratis di Steam. Dinamakan Oasis karena itulah nama kode yang digunakan Microsoft untuk upaya Windows Mixed Reality-nya. Driver tersebut, ditemukan oleh UploadVR, memerlukan GPU Nvidia, hanya karena driver tersebut mengandalkan fitur yang “tidak ada pada driver grafis AMD dan Intel,” menurut Bucchianeri.


Driver Oasis ini tidak memerlukan aplikasi Mixed Reality Portal, dan dapat menjalankan aplikasi OpenVR dan OpenXR melalui SteamVR. “Driver menawarkan pelacakan headset dan pengontrol gerak lengkap serta saluran rendering SteamVR asli,” kata Bucchianeri.


Meskipun Microsoft seharusnya menyediakan driver jenis ini untuk memastikan headset Windows Mixed Reality tetap berguna dengan pembaruan Windows 11 terbaru, Bucchianeri — yang kini menjadi teknisi Xbox di Microsoft — telah menciptakannya secara independen dengan merekayasa balik kode Nvidia dan SteamVR. Oleh karena itu, ia tidak merilis kode sumbernya, dan driver Oasis akan tetap gratis untuk digunakan.


Jika Anda tertarik untuk mencoba driver Oasis, Anda dapat mendownloadnya dari Steam. Pastikan Anda juga mengikuti langkah-langkah quick start dalam dokumentasi driver

Insinyur Xbox menghidupkan kembali headset Windows Mixed Reality

 


Para peneliti telah menggagalkan operasi yang dikaitkan dengan kelompok ancaman yang disponsori negara Rusia, Midnight Blizzard, yang berupaya mengakses akun dan data Microsoft 365.


Juga dikenal sebagai APT29, kelompok peretas ini meretas situs web dalam kampanye watering hole (lubang air)  untuk mengarahkan target terpilih "ke infrastruktur berbahaya yang dirancang untuk mengelabui pengguna agar mengotorisasi perangkat yang dikendalikan penyerang melalui alur autentikasi kode perangkat Microsoft."


Aktor ancaman Midnight Blizzard telah dikaitkan dengan Badan Intelijen Luar Negeri (SVR) Rusia dan terkenal dengan metode phishing cerdasnya yang baru-baru ini mempengaruhi kedutaan besar Eropa, Hewlett Packard Enterprise, dan TeamViewer.



Pemilihan target acak


Tim intelijen ancaman Amazon menemukan nama domain yang digunakan dalam kampanye watering hole setelah membuat analitik untuk infrastruktur APT29.


Investigasi mengungkapkan bahwa para peretas telah menyusupi beberapa situs web yang sah dan mengaburkan kode berbahaya menggunakan pengkodean base64.


Dengan menggunakan pengacakan, APT29 mengalihkan sekitar 10% pengunjung situs web yang disusupi ke domain yang meniru halaman verifikasi Cloudflare, seperti findcloudflare[.]com atau cloudflare[.]redirectpartners[.]com.


Sebagaimana dijelaskan Amazon dalam laporan tentang tindakan terbaru tersebut, para pelaku ancaman menggunakan sistem berbasis cookie untuk mencegah pengguna yang sama dialihkan beberapa kali, sehingga mengurangi kecurigaan.


Korban yang membuka halaman Cloudflare palsu diarahkan ke alur autentikasi kode perangkat Microsoft yang berbahaya, dalam upaya untuk mengelabui mereka agar mengotorisasi perangkat yang dikendalikan penyerang.


Amazon mencatat bahwa setelah kampanye tersebut ditemukan, para penelitinya mengisolasi instans EC2 yang digunakan pelaku ancaman, dan bermitra dengan Cloudflare dan Microsoft untuk mengganggu domain yang teridentifikasi.


Para peneliti mengamati bahwa APT29 mencoba memindahkan infrastrukturnya ke penyedia cloud lain dan mendaftarkan nama domain baru (misalnya cloudflare[.]redirectpartners[.]com).


CJ Moses, Chief Information Security Officer Amazon, mengatakan bahwa para peneliti terus melacak pergerakan pelaku ancaman dan mengganggu upaya tersebut.


Amazon menggarisbawahi bahwa kampanye terbaru ini mencerminkan evolusi APT29 untuk tujuan yang sama yaitu mengumpulkan kredensial dan intelijen.


Namun, terdapat "penyempurnaan pada pendekatan teknis mereka," yang tidak lagi bergantung pada domain yang meniru AWS atau upaya rekayasa sosial untuk melewati autentikasi multifaktor (MFA) dengan mengelabui target agar membuat kata sandi khusus aplikasi.


Pengguna disarankan untuk memverifikasi permintaan otorisasi perangkat, mengaktifkan otentikasi multi-faktor (MFA), dan menghindari menjalankan perintah pada sistem mereka yang disalin dari halaman web.


Administrator harus mempertimbangkan untuk menonaktifkan kelemahan otorisasi perangkat yang tidak perlu jika memungkinkan, menerapkan kebijakan akses bersyarat, dan memantau dengan cermat kejadian autentikasi yang mencurigakan.


Amazon menekankan bahwa kampanye APT29 ini tidak membahayakan infrastrukturnya atau berdampak pada layanannya.

Amazon Menggagalkan Peretas APT29 Rusia yang Menargetkan Microsoft 365

Subscribe to: Posts (Atom)