Halaman

    Social Items

Visit WPN
Showing posts with label Security. Show all posts
Showing posts with label Security. Show all posts

 


Pelaku kejahatan siber dilaporkan menyalahgunakan fitur Device Linking (penautan perangkat) yang sebenarnya sah untuk mengambil alih akun WhatsApp melalui kode pemasangan dalam sebuah kampanye berbahaya yang dikenal dengan nama GhostPairing.


Dalam skema ini, serangan dapat dilakukan tanpa melewati proses otentikasi apa pun. Korban dimanipulasi agar tanpa sadar menautkan akun WhatsApp mereka ke perangkat milik penyerang. Akibatnya, pelaku ancaman memperoleh akses penuh ke riwayat percakapan serta seluruh media yang pernah dibagikan, yang kemudian bisa dimanfaatkan untuk menyamar sebagai korban atau melakukan berbagai bentuk penipuan.


Gen Digital (sebelumnya Symantec Corporation dan NortonLifeLock) mengungkapkan bahwa aktivitas GhostPairing pertama kali terdeteksi di Republik Ceko. Meski demikian, mereka memperingatkan bahwa metode penyebarannya memungkinkan serangan ini meluas ke wilayah lain. Akun yang telah berhasil dibajak bahkan dapat digunakan sebagai sarana untuk menjangkau korban berikutnya.



Mekanisme Serangan GhostPairing


Serangan biasanya diawali dengan pesan singkat yang tampak berasal dari kontak tepercaya. Pesan tersebut berisi tautan yang diklaim mengarah ke foto online milik korban. Untuk meningkatkan kredibilitas, tautan tersebut disertai pratinjau yang menyerupai konten Facebook.


Namun, ketika diklik, korban justru diarahkan ke halaman Facebook palsu yang dihosting di domain tiruan atau domain yang disalahgunakan. Di halaman ini, korban diberi tahu bahwa mereka harus melakukan verifikasi dengan masuk terlebih dahulu sebelum dapat melihat konten yang dimaksud.


Proses “verifikasi” tersebut sebenarnya adalah jebakan yang memicu alur penautan perangkat WhatsApp. Korban diminta memasukkan nomor telepon, yang kemudian digunakan penyerang untuk memulai proses penautan perangkat secara resmi. WhatsApp lalu menghasilkan kode pemasangan yang ditampilkan di halaman palsu tersebut.


Selanjutnya, korban menerima permintaan dari WhatsApp untuk memasukkan kode tersebut guna menghubungkan perangkat baru ke akun mereka. Walaupun WhatsApp secara jelas menyatakan bahwa proses ini adalah upaya penautan perangkat baru, banyak pengguna yang tidak menyadari risikonya dan tetap melanjutkan proses tersebut.


Begitu kode penyandingan dimasukkan, penyerang langsung memperoleh akses penuh ke akun WhatsApp korban tanpa harus menembus lapisan keamanan tambahan. Melalui WhatsApp Web, pelaku dapat memantau pesan secara real time, melihat dan mengunduh media, serta mengirim atau meneruskan pesan ke kontak dan grup korban untuk memperluas penipuan.


Gen Digital memperingatkan bahwa banyak korban tidak menyadari adanya perangkat kedua yang telah tertaut secara diam-diam. Hal inilah yang membuat GhostPairing sangat berbahaya, karena penyerang dapat memantau seluruh percakapan tanpa sepengetahuan pemilik akun.


Satu-satunya cara untuk mendeteksi penyusupan adalah dengan memeriksa menu Pengaturan → Perangkat Tertaut di WhatsApp, lalu memastikan tidak ada perangkat asing yang terhubung.


Pengguna juga disarankan untuk memblokir dan melaporkan pesan mencurigakan, serta mengaktifkan otentikasi dua faktor sebagai lapisan perlindungan tambahan. Penting untuk tidak terburu-buru mengambil tindakan, selalu menelaah pesan yang diterima, dan memastikan identitas pengirim sebelum mengikuti instruksi apa pun.


Sebagai catatan, penautan perangkat WhatsApp juga dapat dilakukan dengan memindai kode QR melalui aplikasi seluler. Fitur serupa tersedia di aplikasi perpesanan lain dan sebelumnya pernah dimanfaatkan oleh pelaku ancaman dari Rusia untuk mengambil alih akun Signal yang menjadi target.

Device Linking WhatsApp Disalahgunakan dalam Serangan Pembajakan Akun

 


Sebuah malware Android baru berkonsep malware-as-a-service (MaaS) bernama Cellik dilaporkan tengah dipromosikan di forum-forum cybercrime underground. Malware ini menawarkan berbagai fitur berbahaya, termasuk kemampuan untuk disisipkan ke dalam aplikasi apa pun yang tersedia di Google Play Store.


Melalui metode tersebut, pelaku cybercriminal dapat memilih aplikasi resmi dari Play Store kemudian membuat versi trojan yang tampak meyakinkan. Aplikasi hasil modifikasi tetap mempertahankan tampilan, antarmuka, serta fungsi asli, sehingga sulit dibedakan dari aplikasi sah.


Karena masih berfungsi sebagaimana mestinya, infeksi Cellik berpotensi tidak terdeteksi dalam jangka waktu lama. Penjualnya bahkan mengklaim bahwa teknik penyamaran ini mampu melewati perlindungan Google Play Protect, meski klaim tersebut belum dapat dipastikan kebenarannya.


Perusahaan keamanan seluler iVerify menemukan Cellik ditawarkan di forum underground dengan harga langganan sebesar US$150 (sekitar Rp2,5 juta) per bulan atau US$900 (sekitar Rp15 juta) untuk akses seumur hidup.



Kemampuan Berbahaya Cellik


Cellik tergolong sebagai malware Android dengan fitur lengkap. Ia mampu merekam dan menampilkan layar korban secara real-time, mencegat notifikasi aplikasi, menjelajahi sistem file, mengekstrak maupun menghapus data, serta berkomunikasi dengan server command-and-control melalui koneksi terenkripsi.


Malware ini juga dibekali mode browser tersembunyi yang memungkinkan penyerang mengakses situs web dari perangkat korban dengan memanfaatkan cookie yang tersimpan, sehingga sesi login korban dapat disalahgunakan.


Selain itu, sistem injeksi aplikasinya memungkinkan pelaku menampilkan halaman login palsu atau menyisipkan kode berbahaya ke dalam aplikasi untuk mencuri kredensial akun. Bahkan, Cellik dapat menyuntikkan payload ke aplikasi yang sudah terpasang, membuat aplikasi tepercaya tiba-tiba berubah menjadi ancaman tanpa disadari pengguna.


Fitur yang paling mengkhawatirkan adalah integrasi langsung dengan Google Play Store di dalam pembuat APK Cellik. Dengan fitur ini, pelaku dapat menelusuri Play Store, memilih aplikasi target, lalu menghasilkan versi berbahaya dari aplikasi tersebut hanya dalam beberapa langkah.


“Penjual mengklaim Cellik dapat melewati fitur keamanan Google Play dengan membungkus payload-nya dalam aplikasi tepercaya, yang pada dasarnya menonaktifkan deteksi Play Protect,” jelas iVerify.


"Meskipun Google Play Protect biasanya menandai aplikasi yang tidak dikenal atau berbahaya, trojan yang tersembunyi di dalam paket aplikasi populer mungkin lolos dari tinjauan otomatis atau pemindai tingkat perangkat."



Langkah Pencegahan


Untuk tetap aman, pengguna Android disarankan menghindari pemasangan APK dari sumber tidak resmi atau situs yang meragukan, kecuali benar-benar memercayai pengembangnya. Selain itu, pastikan Google Play Protect selalu aktif, periksa izin aplikasi secara berkala, dan waspadai aktivitas perangkat yang mencurigakan atau tidak biasa.

Malware Android Cellik Diklaim Mampu Tembus Google Play Protect

 


MITRE telah membagikan daftar 25 kelemahan software paling berbahaya tahun ini yang menjadi dasar lebih dari 39.000 kerentanan keamanan yang diungkapkan antara Juni 2024 dan Juni 2025.


Daftar tersebut dirilis bekerja sama dengan Homeland Security Systems Engineering and Development Institute (HSSEDI) dan Cybersecurity and Infrastructure Security Agency (CISA), yang mengelola dan mensponsori program Common Weakness Enumeration (CWE).


Kelemahan software dapat berupa kekurangan, bug, kerentanan, atau kesalahan yang ditemukan dalam kode, implementasi, arsitektur, atau desain software, dan penyerang dapat menyalahgunakannya untuk membobol sistem yang menjalankan software rentan tersebut. Eksploitasi yang berhasil memungkinkan pelaku ancaman mendapatkan kendali atas perangkat yang disusupi dan memicu serangan Denial of Service (DoS) atau mengakses data sensitif.


Untuk membuat peringkat tahun ini, MITRE memberi skor pada setiap kelemahan berdasarkan tingkat keparahan dan frekuensinya setelah menganalisis 39.080 Catatan CVE untuk kerentanan yang dilaporkan antara 1 Juni 2024 dan 1 Juni 2025.


Meskipun Cross-Site Scripting (CWE-79) masih mempertahankan posisinya di puncak 25 Besar, ada banyak perubahan peringkat dari daftar tahun lalu, termasuk Missing Authorization (CWE-862), Null Pointer Dereference (CWE-476), dan Missing Authentication (CWE-306), yang merupakan penggerak terbesar dalam daftar.


Entri baru dalam daftar kelemahan paling parah dan umum tahun ini adalah Classic Buffer Overflow (CWE-120), Stack-based Buffer Overflow (CWE-121), Heap-based Buffer Overflow (CWE-122), Improper Access Control (CWE-284), Authorization Bypass Through User-Controlled Key (CWE-639), dan Allocation of Resources Without Limits or Throttling (CWE-770).


Rank ID Name Score KEV CVEs Change
1 CWE-79 Cross-site Scripting 60.38 7 0
2 CWE-89 SQL Injection 28.72 4 +1
3 CWE-352 Cross-Site Request Forgery (CSRF) 13.64 0 +1
4 CWE-862 Missing Authorization 13.28 0 +5
5 CWE-787 Out-of-bounds Write 12.68 12 -3
6 CWE-22 Path Traversal 8.99 10 -1
7 CWE-416 Use After Free 8.47 14 +1
8 CWE-125 Out-of-bounds Read 7.88 3 -2
9 CWE-78 OS Command Injection 7.85 20 -2
10 CWE-94 Code Injection 7.57 7 +1
11 CWE-120 Classic Buffer Overflow 6.96 0 N/A
12 CWE-434 Unrestricted Upload of File with Dangerous Type 6.87 4 -2
13 CWE-476 NULL Pointer Dereference 6.41 0 +8
14 CWE-121 Stack-based Buffer Overflow 5.75 4 N/A
15 CWE-502 Deserialization of Untrusted Data 5.23 11 +1
16 CWE-122 Heap-based Buffer Overflow 5.21 6 N/A
17 CWE-863 Incorrect Authorization 4.14 4 +1
18 CWE-20 Improper Input Validation 4.09 2 -6
19 CWE-284 Improper Access Control 4.07 1 N/A
20 CWE-200 Exposure of Sensitive Information 4.01 1 -3
21 CWE-306 Missing Authentication for Critical Function 3.47 11 +4
22 CWE-918 Server-Side Request Forgery (SSRF) 3.36 0 -3
23 CWE-77 Command Injection 3.15 2 -10
24 CWE-639 Authorization Bypass via User-Controlled Key 2.62 0 +6
25 CWE-770 Allocation of Resources w/o Limits or Throttling 2.54 0 +1


"Seringkali mudah ditemukan dan dieksploitasi, kerentanan ini dapat menyebabkan kerentanan yang dapat dieksploitasi yang memungkinkan musuh untuk sepenuhnya mengambil alih sistem, mencuri data, atau mencegah aplikasi berfungsi," kata MITRE.


“Daftar tahunan ini mengidentifikasi kelemahan paling kritis yang dieksploitasi oleh musuh untuk menyusupi sistem, mencuri data, atau mengganggu layanan. CISA dan MITER mendorong organisasi untuk meninjau daftar ini dan menggunakannya untuk menginformasikan strategi keamanan software mereka masing-masing,” tambah Cybersecurity and Infrastructure Security Agency (CISA) AS.


Dalam beberapa tahun terakhir, CISA telah mengeluarkan beberapa peringatan “Secure by Design” yang menyoroti prevalensi kerentanan yang terdokumentasi secara luas yang tetap ada dalam software meskipun ada mitigasi.


Beberapa dari peringatan ini telah dirilis sebagai respons terhadap kampanye jahat yang sedang berlangsung, seperti peringatan pada bulan Juli 2024 yang meminta perusahaan teknologi untuk menghilangkan kelemahan injeksi perintah jalur OS yang dieksploitasi oleh peretas negara Tiongkok Velvet Ant dalam serangan yang menargetkan perangkat jaringan edge Cisco, Palo Alto, dan Ivanti.


Minggu ini, badan keamanan siber menyarankan para pengembang dan tim produk untuk meninjau CWE Top 25 tahun 2025 guna mengidentifikasi kelemahan utama dan mengadopsi praktik Secure by Design, sementara tim keamanan diminta untuk mengintegrasikannya ke dalam pengujian keamanan aplikasi dan proses manajemen kerentanan mereka.


Pada bulan April 2025, CISA juga mengumumkan bahwa pemerintah AS telah memperpanjang pendanaan MITRE selama 11 bulan lagi untuk memastikan kesinambungan program Common Vulnerabilities and Exposures (CVE) yang penting, menyusul peringatan dari Wakil Presiden MITRE Yosry Barsoum bahwa pendanaan pemerintah untuk program CVE dan CWE akan segera berakhir.

MITRE Rilis Daftar 25 Kelemahan Software Paling Berbahaya 2025

 


Sebuah paket self-spreading yang dirilis di npm diketahui membanjiri registri dengan spam, menciptakan paket baru setiap tujuh detik dan menghasilkan jumlah sampah digital yang sangat besar.


Worm ini diberi nama “IndonesianFoods” karena pola penamaannya yang menggunakan istilah serta nama makanan Indonesia secara acak. Menurut Sonatype, lebih dari 100.000 paket telah diterbitkan, dan jumlah tersebut terus meningkat secara eksponensial.


Meski paket ini belum menampilkan perilaku berbahaya - seperti pencurian data atau pemasangan backdoor - para pakar mengingatkan bahwa ancaman dapat berubah sewaktu-waktu jika pembuatnya menambahkan payload berbahaya di pembaruan berikutnya.


Skala otomatisasi dan intensitas serangan ini memunculkan risiko kompromi supply-chain yang luas.


Peneliti keamanan Paul McCarty, orang pertama yang melaporkan aktivitas spam tersebut, bahkan membuat halaman khusus untuk memantau akun npm yang melanggar serta jumlah paket yang mereka rilis.


Sonatype juga mencatat upaya serupa pada 10 September, melalui paket bernama “fajar-donat9-breki.” Paket ini memuat logika replikasi yang sama, namun serangannya gagal berkembang.


“Serangan ini telah membebani banyak sistem data keamanan, menunjukkan skala yang belum pernah terjadi sebelumnya,” ujar peneliti keamanan senior Sonatype, Garret Calpouzos, kepada BleepingComputer. Ia menambahkan bahwa Amazon Inspector menandai paket-paket tersebut melalui OSV, memicu lonjakan besar laporan kerentanan. Basis data Sonatype bahkan menerima 72.000 laporan baru dalam satu hari.


Menurut Calpouzos, tujuan IndonesianFoods tampaknya bukan menyerang mesin pengembang secara langsung, melainkan mengganggu ekosistem dan supply-chain perangkat lunak open-source terbesar di dunia. “Motivasinya tidak jelas, namun implikasinya sangat mencolok,” ujarnya.


Laporan lain dari Endor Labs menyebutkan bahwa beberapa paket tampak menyalahgunakan Protokol TEA, sebuah sistem blockchain yang memberi imbalan token bagi kontributor OSS. Banyak paket IndonesianFoods berisi file tea.yaml berisi daftar akun dan alamat dompet TEA. Dengan menerbitkan ribuan paket yang saling terkait, pelaku meningkatkan skor dampaknya untuk memperoleh lebih banyak token - mengindikasikan adanya motif finansial.


Endor Labs juga mengungkap bahwa kampanye ini ternyata sudah berlangsung sejak dua tahun lalu: sekitar 43.000 paket muncul pada 2023, mekanisme monetisasi TEA dimanfaatkan pada 2024, dan loop replikasi mirip worm mulai diterapkan pada 2025.


Serangan IndonesianFoods muncul di tengah rangkaian insiden supply-chain otomatis lainnya di ekosistem open-source, seperti serangan GlassWorm di OpenVSX, worm Shai-Hulud yang memanfaatkan teknik dependency confusion, serta pembajakan paket populer seperti chalk dan debug.


Walaupun tiap insiden berdiri sendiri dengan dampak terbatas, keseluruhannya menunjukkan tren baru: para penyerang kini memanfaatkan otomatisasi dan skalabilitas untuk menguasai ekosistem open-source.


Sonatype memperingatkan bahwa kampanye otomatis yang sederhana namun masif seperti ini dapat membuka jalan bagi penyisipan malware yang jauh lebih berbahaya di masa depan.


Pengembang perangkat lunak pun disarankan untuk mengunci versi dependency, memantau pola publikasi paket yang tidak lazim, dan menerapkan kebijakan verifikasi tanda tangan digital yang ketat.

IndonesianFoods: Worm npm Raksasa yang Picu Kekacauan Open-Source

 


Microsoft mengumumkan bahwa autentikasi tanpa kata sandi kini lebih mudah di Windows 11 melalui dukungan bawaan untuk pengelola kunci sandi pihak ketiga, yang pertama didukung adalah 1Password dan Bitwarden.


Hal ini dimungkinkan setelah tim keamanan Windows bekerja sama dengan manajer pihak ketiga untuk meningkatkan otentikasi tanpa kata sandi dengan mengembangkan API kunci sandi untuk Windows 11.


Fitur baru ini telah diperkenalkan dengan pembaruan keamanan November 2025 untuk Windows 11, yang dirilis kemarin.


Kunci sandi adalah mekanisme autentikasi aman yang mengikuti standar FIDO2/WebAuthn, memanfaatkan kriptografi kunci privat-publik untuk penandatanganan tantangan lokal dan server-side verification, bukan kata sandi.


Saat pengguna mendaftar di situs atau aplikasi yang mendukung kunci sandi, Windows membuat pasangan kunci, dengan kunci pribadi disimpan dengan aman di Microsoft Password Manager, 1Password, atau Bitwarden.


Sejak saat itu, ketika mencoba masuk ke situs atau aplikasi tersebut, Windows akan menerima tantangan, dan pengguna diminta untuk memverifikasi diri menggunakan Windows Hello, yang dilindungi oleh PIN dan autentikasi biometrik.


Sistem ini dianggap lebih unggul daripada kata sandi karena portabilitasnya, kenyamanan yang lebih tinggi bagi pengguna, dan kekebalan terhadap serangan phishing.


Microsoft telah mendorong penerapan kunci sandi di Windows, dan penambahan dukungan aplikasi pihak ketiga melalui API baru menambah fleksibilitas bagi pengguna.


Selain dukungan aplikasi pihak ketiga, Microsoft juga telah mengintegrasikan Microsoft Password Manager dari Microsoft Edge secara asli ke dalam Windows sebagai plugin untuk memungkinkan pengguna memilih pengelola kunci sandi mereka.


Microsoft menyoroti manfaat keamanan berikut untuk pengembangan ini:

  • Pembuatan, autentikasi, dan pengelolaan kunci sandi dilindungi oleh Windows Hello.
  • Sinkronisasi tersedia di seluruh perangkat Windows saat masuk ke Edge dengan akun Microsoft yang sama.
  • Sinkronisasi dilindungi oleh PIN pengelola dan cloud enclave.
  • Kunci enkripsi perlindungan Azure Managed Hardware Security Modules (HSMs).
  • Operasi sensitif dijalankan di Azure Confidential Compute.
  • Pemulihan menggunakan Azure Confidential Ledger.


Microsoft Edge memperkenalkan penyimpanan dan sinkronisasi kunci sandi dengan Microsoft Password Manager awal bulan ini, dalam versi 142 dan yang lebih baru, untuk Windows 10 dan yang lebih baru.


Bitwarden telah mendukung penyimpanan dan pengelolaan kunci sandi sejak November 2023 dan memperkenalkan "Log in with Passkeys" pada Januari 2024.


Pengelola kata sandi populer ini mengumumkan integrasi Windows 11 melalui pembaruan pada pengumuman peluncuran fitur aslinya, yang menyatakan bahwa integrasi tingkat sistem pada OS saat ini masih dalam tahap beta.


Ini berarti bahwa mungkin ada keterbatasan fungsional atau potensi ketidakstabilan sampai pengujian skala luas dan perbaikan bug dilakukan.

Windows 11 kini mendukung aplikasi pihak ketiga untuk manajemen kunci sandi bawaan

 


Serangan ransomware Akira yang sedang berlangsung dan menargetkan perangkat SonicWall SSL VPN terus berkembang, dengan pelaku ancaman yang ditemukan berhasil masuk meskipun OTP MFA diaktifkan pada akun. Para peneliti menduga hal ini mungkin terjadi melalui penggunaan seed OTP yang sebelumnya dicuri, meskipun metode pastinya masih belum dikonfirmasi.


Pada bulan Juli, operasi ransomware Akira mengeksploitasi perangkat SonicWall SSL VPN untuk menembus jaringan perusahaan, sehingga para peneliti mencurigai bahwa kelemahan zero-day sedang dieksploitasi untuk menyusupi perangkat ini.


Namun, SonicWall akhirnya mengaitkan serangan tersebut dengan kelemahan kontrol akses yang tidak tepat yang dilacak sebagai CVE-2024-40766 yang diungkapkan pada September 2024.


Meskipun kelemahan tersebut telah diperbaiki pada bulan Agustus 2024, pelaku ancaman terus menggunakan kredensial yang sebelumnya dicuri dari perangkat yang dieksploitasi, bahkan setelah pembaruan keamanan diterapkan.


Setelah menghubungkan serangan dengan kredensial yang dicuri menggunakan CVE-2024-40766, SonicWall mendesak administrator untuk mengatur ulang semua kredensial SSL VPN dan memastikan bahwa firmware SonicOS terbaru telah diinstal pada perangkat mereka.



Penelitian baru menunjukkan MFA berhasil dibypass


Perusahaan keamanan siber Arctic Wolf kini melaporkan adanya kampanye yang sedang berlangsung terhadap firewall SonicWall, dimana pelaku ancaman berhasil masuk ke akun meskipun autentikasi multifaktor one-time password (OTP) diaktifkan.


Laporan tersebut menunjukkan bahwa beberapa tantangan OTP dikeluarkan untuk upaya login akun, diikuti oleh login yang berhasil, menunjukkan bahwa pelaku ancaman mungkin juga telah membahayakan seed OTP atau menemukan cara alternatif untuk menghasilkan token yang valid.


“SonicWall menghubungkan login berbahaya yang diamati dalam kampanye ini ke CVE-2024-40766, kerentanan kontrol akses yang tidak tepat yang diidentifikasi setahun lalu,” jelas Arctic Wolf.


“Dari perspektif ini, kredensial berpotensi diambil dari perangkat yang rentan terhadap CVE-2024-40766 dan kemudian digunakan oleh pelaku ancaman-bahkan jika perangkat yang sama telah di-patch. Pelaku ancaman dalam kampanye kali ini berhasil mengautentikasi akun dengan fitur MFA one-time password (OTP) yang diaktifkan.”


Meskipun para peneliti mengatakan tidak jelas bagaimana afiliasi Akira mengautentikasi ke akun yang dilindungi MFA, laporan terpisah dari Google Threat Intelligence Group pada bulan Juli menggambarkan penyalahgunaan serupa pada VPN SonicWall.


Dalam kampanye tersebut, sebuah kelompok yang bermotivasi finansial yang dilacak sebagai UNC6148 menyebarkan rootkit OVERSTEP pada perangkat seri SMA 100 dengan menggunakan apa yang mereka yakini sebagai seed OTP yang sebelumnya dicuri, yang memungkinkan akses bahkan setelah patch diterapkan.


Google percaya bahwa para pelaku ancaman menggunakan benih OTP curian yang sebelumnya diperoleh dalam serangan zero-day, namun tidak yakin CVE mana yang dieksploitasi.


“Google Threat Intelligence Group (GTIG) telah mengidentifikasi kampanye yang sedang berlangsung oleh tersangka pelaku ancaman bermotif finansial yang kami lacak sebagai UNC6148, yang menargetkan peralatan seri 100 SonicWall Secure Mobile Access (SMA) yang sudah habis masa pakainya dan telah dipatch sepenuhnya,” Google memperingatkan.


"GTIG menilai dengan keyakinan tinggi bahwa UNC6148 memanfaatkan kredensial dan seed one-time password (OTP) yang dicuri selama intrusi sebelumnya, yang memungkinkan mereka mendapatkan kembali akses bahkan setelah organisasi menerapkan pembaruan keamanan."


Begitu masuk, Arctic Wolf melaporkan bahwa Akira bergerak sangat cepat, sering kali memindai jaringan internal dalam waktu 5 menit. Para peneliti mencatat bahwa pelaku ancaman juga menggunakan permintaan pengaturan session Ipacket SMB, login RDP, dan penghitungan objek Active Directory menggunakan tool seperti dsquery, SharpShares, dan BloodHound.


Fokus khusus adalah pada server Veeam Backup & Replication, tempat skrip PowerShell khusus diterapkan untuk mengekstrak dan mendekripsi kredensial MSSQL dan PostgreSQL yang tersimpan, termasuk rahasia DPAPI.


Untuk menghindari perangkat lunak keamanan, afiliasi melakukan serangan Bring-Your-Own-Vulnerable-Driver (BYOVD) dengan menyalahgunakan persetujuan sah Microsoft.exe yang dapat dieksekusi untuk melakukan sideload DLL berbahaya yang memuat driver yang rentan (rwdrv.sys, churchill_driver.sys).


Driver ini digunakan untuk menonaktifkan proses perlindungan endpoint, sehingga memungkinkan enkripsi ransomware berjalan tanpa diblokir.


Laporan tersebut menekankan bahwa beberapa serangan ini mempengaruhi perangkat yang menjalankan SonicOS 7.3.0, yang merupakan rilis yang direkomendasikan SonicWall untuk dipasang oleh admin guna memitigasi serangan kredensial.


Admin sangat disarankan untuk mengatur ulang semua kredensial VPN pada perangkat apapun yang sebelumnya menggunakan firmware rentan, karena meskipun diperbarui, penyerang dapat terus menggunakan akun yang dicuri untuk mendapatkan akses awal ke jaringan perusahaan.

Ransomware Akira Membobol Akun VPN SonicWall yang Dilindungi MFA

 


Telah ditemukan bahwa peretas menggunakan SEO poisoning dan iklan mesin pencari untuk mempromosikan installer Microsoft Teams palsu yang menginfeksi perangkat Windows dengan backdoor Oyster yang menyediakan akses awal ke jaringan perusahaan.


Malware Oyster, juga dikenal sebagai Broomstick dan CleanUpLoader,  merupakan backdoor yang pertama kali muncul pada pertengahan 2023 dan sejak itu telah dikaitkan dengan beberapa kampanye. Malware ini memberi penyerang akses jarak jauh ke perangkat yang terinfeksi, memungkinkan mereka untuk menjalankan perintah, menyebarkan payload tambahan, dan mentransfer file.


Oyster umumnya menyebar melalui kampanye malvertising yang meniru tool IT populer, seperti Putty dan WinSCP. Operasi Ransomware, seperti Rhysida, juga memanfaatkan malware tersebut untuk menembus jaringan perusahaan.


Installer Microsoft Teams palsu mendorong malware


Dalam kampanye malvertising dan SEO poisoning baru yang ditemukan oleh Blackpoint SOC, pelaku ancaman mempromosikan situs palsu yang muncul saat pengunjung menelusuri "Teams download."


Meskipun iklan dan domain tersebut tidak memalsukan domain Microsoft, keduanya mengarah ke website di teams-install[.]top yang meniru situs download Teams milik Microsoft. Mengklik tautan download akan mendownload file bernama "MSTeamsSetup.exe," nama file yang sama dengan yang digunakan oleh download resmi Microsoft.


MSTeamsSetup.exe [VirusTotal] yang berbahaya telah ditandatangani kode dengan sertifikat dari "4th State Oy" dan "NRM NETWORK RISK MANAGEMENT INC" untuk menambah legitimasi pada file tersebut.


Namun, ketika dijalankan, installer palsu menjatuhkan DLL berbahaya bernama CaptureService.dll [VirusTotal] ke dalam folder %APPDATA%\Roaming.


Agar tetap bertahan, installer membuat scheduled task bernama "CaptureService" untuk mengeksekusi DLL setiap 11 menit, memastikan backdoor tetap aktif bahkan saat reboot.


Aktivitas ini mirip dengan installer Google Chrome dan Microsoft Teams palsu sebelumnya yang mendorong Oyster, menyoroti bagaimana SEO poisoning dan malvertising tetap menjadi taktik populer untuk melanggar jaringan perusahaan.


"Aktivitas ini menyoroti penyalahgunaan SEO poisoning dan iklan berbahaya yang terus berlanjut untuk mengirimkan backdoor komoditas berkedok perangkat lunak tepercaya," kata Blackpoint.


“Sama seperti kampanye PuTTY palsu yang diamati awal tahun ini, pelaku ancaman mengeksploitasi kepercayaan pengguna pada hasil pencarian dan merek terkenal untuk mendapatkan akses awal.”


Karena admin TI adalah target populer untuk mendapatkan akses ke kredensial dengan hak istimewa tinggi, mereka disarankan hanya mendownload perangkat lunak dari domain terverifikasi dan menghindari mengklik iklan mesin pencari.

Installer Microsoft Teams Palsu Mendorong Malware Oyster Melalui Malvertising



Peretas menargetkan sistem MUSE (Multi-User System Environment), yang digunakan oleh beberapa maskapai untuk berbagi meja check-in dan posisi gerbang keberangkatan, sebagai solusi untuk memiliki infrastruktur khusus mereka sendiri.


“Menyusul serangan siber terhadap perusahaan Amerika Collins Aerospace, penyedia eksternal sistem check-in dan boarding, terjadi gangguan pada operasi check-in di beberapa bandara Eropa,” demikian pernyataan Bandara Brussels di situs webnya.


Serangan Ransomware dikonfirmasi

Badan Keamanan Siber Uni Eropa (ENISA) mengatakan kepada The Guardian dalam sebuah pernyataan pada hari Senin bahwa serangan ransomware menyebabkan gangguan tersebut.


Insiden ini berdampak pada sejumlah besar penerbangan, karena lebih dari 100 penerbangan ditunda atau dibatalkan, dan ribuan penumpang harus diproses secara manual.


Bandara Brussels mengatakan gangguan berlanjut pada hari Senin dan menyarankan penumpang untuk memeriksa status penerbangan mereka sebelum datang ke bandara.


Collins Aerospace telah berupaya memulihkan sistem sesegera mungkin di bandara yang terkena dampak.


Penegak hukum juga terlibat dalam investigasi ini, menurut juru bicara Pusat Keamanan Siber Nasional (NCSC) di Inggris.


"Kami bekerja sama dengan Collins Aerospace dan bandara-bandara Inggris yang terdampak, bersama dengan Departemen Perhubungan dan rekan-rekan penegak hukum, untuk sepenuhnya memahami dampak dari sebuah insiden," demikian pernyataan NCSC.


Badan ini mendesak semua organisasi untuk menggunakan panduan, layanan, dan alat gratis untuk meningkatkan sikap keamanan mereka dan mengurangi risiko serangan siber.

Serangan Ransomware Ganggu Sistem Check-in Bandara Eropa, Ratusan Penerbangan Terdampak

 


Sebuah platform phishing-as-a-service (PhaaS) baru bernama VoidProxy terungkap menargetkan akun Microsoft 365 dan Google, termasuk akun yang terhubung melalui penyedia single sign-on (SSO) pihak ketiga seperti Okta.


Menurut laporan tim Okta Threat Intelligence, VoidProxy tergolong skalabel, sulit dideteksi, dan cukup canggih. Platform ini memanfaatkan teknik adversary-in-the-middle (AitM) untuk mencuri kredensial, kode autentikasi multi-faktor (MFA), hingga session cookie secara langsung saat proses login berlangsung.


Metode Serangan VoidProxy

  • Awal serangan biasanya berasal dari email phishing yang dikirim menggunakan akun sah yang sudah disusupi di layanan email seperti Constant Contact, Active Campaign, atau NotifyVisitors. Email ini menyertakan tautan singkat yang akan membawa korban melalui beberapa pengalihan hingga akhirnya ke situs phishing.
  • Hosting situs berbahaya dilakukan di domain sekali pakai berbiaya rendah seperti .icu, .sbs, .cfd, .xyz, .top, dan .home. Semua domain tersebut dilindungi Cloudflare untuk menyamarkan alamat IP asli.
  • Korban pertama kali akan dihadapkan pada tantangan CAPTCHA Cloudflare, yang berfungsi menyaring bot sekaligus meningkatkan kesan legitimasi. Cloudflare Worker kemudian digunakan untuk memfilter lalu lintas dan memuat halaman phishing.


Taktik Penipuan

  • Korban yang menjadi target utama diarahkan ke halaman login palsu Microsoft atau Google, sedangkan pengguna acak akan dialihkan ke halaman umum atau pesan sambutan biasa agar tidak menimbulkan kecurigaan.
  • Saat kredensial dimasukkan, informasi tersebut diproksikan melalui server VoidProxy AitM menuju server sah milik Google atau Microsoft.
  • Bagi akun dengan integrasi SSO Okta, korban dialihkan ke tahap kedua berupa halaman phishing yang meniru alur login Microsoft 365 atau Google via Okta. Permintaan login ini diproksikan ke server Okta, memungkinkan penyerang menangkap username, password, dan kode MFA.
  • Setelah layanan asli mengeluarkan session cookie, VoidProxy menyimpannya dan menghadirkannya langsung di panel admin platform agar penyerang bisa mengambil alih akun tanpa perlu login ulang.


Mitigasi

Okta menegaskan bahwa pengguna yang sudah mengaktifkan phishing-resistant authentication seperti Okta FastPass terlindungi dari serangan VoidProxy, serta akan menerima peringatan jika akun mereka sedang diserang.


Para peneliti merekomendasikan langkah berikut untuk meningkatkan perlindungan:

  • Membatasi akses aplikasi sensitif hanya melalui perangkat yang dikelola.
  • Menggunakan kontrol akses berbasis risiko.
  • Menerapkan pengikatan IP session khususnya pada aplikasi administratif.
  • Memaksa autentikasi ulang untuk admin yang mencoba melakukan tindakan berisiko tinggi.

VoidProxy: Platform Phishing Baru Intai Akun Microsoft 365 dan Google

 


Apple memperingatkan pelanggan minggu lalu bahwa perangkat mereka menjadi sasaran serangkaian serangan spyware baru, menurut tim respons insiden keamanan siber nasional pemerintah Prancis (CERT-FR)  yang merupakan bagian dari Badan Keamanan Sistem Informasi Nasional (ANSSI).


Menurut penasehat CERT-FR pada hari Kamis, bahwa mereka mengetahui setidaknya empat contoh pemberitahuan ancaman Apple yang memperingatkan pengguna perusahaan tentang serangan spyware tentara bayaran yang telah terjadi sejak awal tahun.


Peringatan ini dikirim pada tanggal 5 Maret, 29 April, 25 Juni, dan minggu lalu, pada tanggal 3 September, ke nomor telepon dan alamat email yang terkait dengan akun Apple pengguna. Menurut Apple, peringatan ini juga ditampilkan di bagian atas halaman setelah pengguna masuk ke akunnya di account.apple.com.


“Pemberitahuan tersebut melaporkan serangan yang sangat canggih, sebagian besar menggunakan kerentanan zero-day atau tidak memerlukan interaksi pengguna sama sekali,” kata badan keamanan siber tersebut.


"Serangan kompleks ini menargetkan individu berdasarkan status atau fungsi mereka: jurnalis, pengacara, aktivis, politisi, pejabat senior, anggota komite manajemen di sektor strategis, dll."


"Menerima notifikasi berarti setidaknya satu perangkat yang terhubung ke akun iCloud telah ditargetkan dan berpotensi disusupi."


Meskipun CERT-FR tidak membagikan informasi lebih lanjut tentang penyebab peringatan ini, bulan lalu Apple merilis pembaruan darurat untuk menambal celah zero-day (CVE-2025-43300) yang dikaitkan dengan kerentanan zero-click WhatsApp (CVE-2025-55177) dalam apa yang digambarkan perusahaan sebagai "serangan yang sangat canggih."


Dalam pemberitahuan ancaman yang dikirimkan kepada individu yang berpotensi terkena dampak pada saat itu, WhatsApp mendesak mereka untuk mengatur ulang perangkat mereka ke pengaturan pabrik dan selalu memperbarui sistem operasi dan perangkat lunak perangkat mereka.


Apple juga menyarankan pengguna yang menjadi sasaran serangan spyware tentara bayaran untuk mengaktifkan Mode Lockdown dan meminta bantuan keamanan darurat tanggap cepat melalui Digital Security Helpline Access Now.


“Sejak tahun 2021, kami telah mengirimkan pemberitahuan ancaman kepada Apple beberapa kali dalam setahun karena kami telah mendeteksi serangan ini, dan hingga saat ini kami telah memberitahu pengguna di lebih dari 150 negara secara total,” kata Apple. "Apple tidak mengaitkan serangan atau notifikasi ancaman yang dihasilkan dengan penyerang atau wilayah geografis tertentu."

Apple memperingatkan pelanggan yang menjadi sasaran serangan spyware baru-baru ini

 


Editor kode Cursor AI diketahui memiliki celah keamanan yang berpotensi membahayakan pengembang. Masalah ini memungkinkan tugas dijalankan secara otomatis di dalam repositori berbahaya segera setelah dibuka, tanpa interaksi lebih lanjut dari pengguna.


Kondisi tersebut dapat dimanfaatkan aktor jahat untuk menyebarkan malware, mengambil alih lingkungan pengembang, hingga mencuri kredensial atau token API—semuanya tanpa perlu perintah apapun dijalankan oleh pengembang.



Cursor dan Akar Masalahnya

Cursor sendiri adalah IDE berbasis Visual Studio Code (VS Code) yang diperkaya dengan integrasi mendalam bersama asisten AI populer seperti GPT-4 dan Claude. Tool ini tumbuh pesat dan kini digunakan oleh sekitar satu juta developer untuk menghasilkan lebih dari satu miliar baris kode per hari.


Namun, menurut penelitian dari Oasis Security, sumber masalah ada pada keputusan Cursor untuk menonaktifkan fitur Workspace Trust milik VS Code. Fitur ini sejatinya berfungsi mencegah eksekusi otomatis file tugas (task) dari repositori yang belum diverifikasi.


Dalam pengaturan defaultnya, Cursor justru langsung mengeksekusi tugas begitu sebuah folder proyek dibuka. Celah ini bisa dieksploitasi dengan menambahkan file .vscode/tasks.json berbahaya ke dalam repositori publik.


“Ketika pengguna membuka repositori berbahaya melalui Cursor, bahkan hanya untuk melihat-lihat, kode arbitrer bisa langsung dieksekusi di lingkungan mereka,” jelas para peneliti di Oasis Security. Risiko yang ditimbulkan antara lain kebocoran kredensial, modifikasi file, hingga kompromi sistem yang lebih luas.


Sebagai perbandingan, VS Code aman dari serangan ini karena tidak menjalankan file secara otomatis.



Bukti Konsep dan Dampak Potensial

Untuk membuktikan temuannya, Oasis Security merilis contoh sederhana: sebuah task.json yang menjalankan perintah shell guna mengirimkan nama pengguna perangkat begitu repositori dibuka di Cursor.

Jika dimanfaatkan lebih jauh, penyerang bisa mengeksekusi kode berbahaya dengan hak akses pengguna saat ini, mencuri data sensitif, menjalin koneksi ke server perintah dan kontrol (C2), hingga menjadi pintu masuk bagi serangan rantai pasokan.



Tanggapan Cursor

Setelah diberi tahu soal risiko tersebut, tim Cursor menyatakan tidak berencana mengubah perilaku autorun. Alasannya, Workspace Trust dianggap dapat menonaktifkan fungsi AI dan fitur lain yang justru menjadi keunggulan produk mereka.


Sebagai gantinya, mereka menyarankan pengguna:

  • mengaktifkan fitur keamanan bawaan VS Code, atau
  • menggunakan editor teks sederhana saat bekerja dengan repositori yang diragukan keamanannya.


Tim Cursor juga berjanji akan memperbarui panduan keamanan mereka, termasuk instruksi cara mengaktifkan Workspace Trust bagi yang ingin lebih aman.


Rekomendasi dari Peneliti

Oasis Security tetap menekankan agar pengembang berhati-hati dengan langkah-langkah berikut:

  • gunakan editor berbeda saat membuka repositori asing,
  • verifikasi keaslian repositori sebelum dibuka,
  • hindari menyimpan kredensial sensitif secara global di profil shell,
  • serta pertimbangkan untuk mengaktifkan Workspace Trust di Cursor.

Cursor AI Editor memungkinkan repositori “menjalankan otomatis” kode berbahaya di perangkat

 


Microsoft sedang berupaya mengatasi masalah yang diketahui yang menyebabkan layanan anti-spam secara keliru memblokir pengguna Exchange Online dan Microsoft Teams dari membuka URL dan mengarantina beberapa email mereka.


Dalam peringatan layanan, perusahaan tersebut menyatakan bahwa masalah ini disebabkan oleh mesin anti-spam yang salah menandai URL yang terdapat di dalam URL lain sebagai berpotensi berbahaya, yang juga menyebabkan beberapa email dikarantina.


Masalah ini mulai berdampak pada pengguna Exchange Online dan Microsoft Teams pada tanggal 5 September, ketika Redmond mengatakan bahwa admin mungkin melihat peringatan berjudul "A potentially malicious URL click was detected involving one user," meskipun URL tersebut telah dipastikan aman.


“Kami telah mengidentifikasi lebih dari 6.000 URL yang terpengaruh dan berupaya untuk membuka blokirnya sebelum memutar ulang pesan untuk memulihkan pesan atau URL apapun yang salah ditandai,” kata Microsoft pada hari ditemukannya bug tersebut.


"Para teknisi Redmond telah menerapkan perbaikan yang mengatasi masalah ini dengan memastikan sinkronisasi tidak lagi memasuki status karantina, setelah perubahan konfigurasi sebelumnya yang seharusnya mengubah interval penundaan yang dikonfigurasi menjadi satu jam tidak berhasil."


Meskipun teknisi Microsoft telah menyelesaikan sebagian masalah false positive ini, mereka masih berupaya mengatasi dampak yang disebabkan oleh lebih banyak URL yang dinonaktifkan oleh model anti-spam yang salah.


“Kami telah mengidentifikasi subkumpulan URL baru yang terkena dampak dan kami berupaya untuk mengatasi kumpulan baru tersebut serta sisa pesan yang terkena dampak. Kami yakin bahwa sebagian besar dampaknya telah teratasi, dan kami secara aktif mengatasi dampak yang masih ada sembari melakukan analisis akar masalah,” tambah perusahaan tersebut dalam pembaruan pada tanggal 8 September.


Meskipun perusahaan belum mengungkapkan jumlah pelanggan atau wilayah yang terkena dampak masalah anti-spam yang sedang berlangsung ini, masalah layanan ini telah diklasifikasikan sebagai sebuah insiden, yang biasanya berdampak nyata pada pengguna.


Microsoft telah mengatasi masalah serupa sejak awal tahun ini, yang mengakibatkan email salah diberi tag sebagai spam atau dikarantina. Misalnya, pada bulan Mei, Microsoft menyelesaikan masalah lain yang menyebabkan model pembelajaran mesin salah menandai email dari akun Gmail sebagai spam di Exchange Online.


Redmond memperbaiki bug pembelajaran mesin lain yang secara keliru menandai email Adobe di Exchange Online sebagai spam satu bulan sebelumnya, serta false positive Exchange Online yang menyebabkan sistem anti-spam secara tidak benar mengarantina beberapa email pengguna pada bulan Maret.

Bug Anti-Spam Salah Blokir Ribuan URL di Exchange Online dan Teams

 


Dalam beberapa minggu terakhir, beredar laporan viral yang mengklaim Google telah mengeluarkan peringatan keamanan besar-besaran kepada 2,5 miliar pengguna Gmail agar segera mengganti kata sandi mereka. Google kini menegaskan kabar tersebut tidak benar.


"Kami ingin meyakinkan pengguna kami bahwa perlindungan Gmail kuat dan efektif. Beberapa klaim yang tidak akurat muncul baru-baru ini yang secara keliru menyatakan bahwa kami telah mengeluarkan peringatan luas kepada semua pengguna Gmail tentang masalah keamanan Gmail yang serius. Ini sepenuhnya salah," kata Google dalam sebuah pernyataan pada hari Senin.


Isu ini dikaitkan dengan insiden peretasan terhadap salah satu akun Salesforce milik Google yang dikonfirmasi pada Juni lalu. Serangan tersebut dilakukan oleh kelompok “ShinyHunters” dan hanya melibatkan data bisnis dasar yang sebagian besar bersifat publik, seperti nama perusahaan dan detail kontak.


Google menyatakan bahwa semua pengguna yang terdampak sudah diberitahu sejak 8 Agustus. Namun, rumor mengenai peringatan massal dan pengaturan ulang kata sandi tetap menyebar hingga akhir bulan. Kepada Forbes, perusahaan menegaskan bahwa data Google Cloud maupun Gmail tidak terpengaruh. Pernyataan resmi yang lebih rinci baru dirilis pada 1 September.


“Meskipun phisher selalu mencari cara untuk menyusup ke kotak masuk, perlindungan kami terus memblokir lebih dari 99,9% upaya phishing dan malware untuk menjangkau pengguna,” kata Google. "Keamanan adalah hal yang sangat penting bagi semua perusahaan, semua pelanggan, semua pengguna — kami menangani pekerjaan ini dengan sangat serius."


Meskipun Google telah membantah laporan peringatan massal tersebut, Google tetap mengimbau pengguna untuk mengikuti praktik terbaik keamanan akun, termasuk menggunakan Kunci Sandi sebagai alternatif kata sandi yang lebih aman.

Google Bantah Isu Peringatan Massal untuk 2,5 Miliar Pengguna Gmail

 


Para peneliti telah menggagalkan operasi yang dikaitkan dengan kelompok ancaman yang disponsori negara Rusia, Midnight Blizzard, yang berupaya mengakses akun dan data Microsoft 365.


Juga dikenal sebagai APT29, kelompok peretas ini meretas situs web dalam kampanye watering hole (lubang air)  untuk mengarahkan target terpilih "ke infrastruktur berbahaya yang dirancang untuk mengelabui pengguna agar mengotorisasi perangkat yang dikendalikan penyerang melalui alur autentikasi kode perangkat Microsoft."


Aktor ancaman Midnight Blizzard telah dikaitkan dengan Badan Intelijen Luar Negeri (SVR) Rusia dan terkenal dengan metode phishing cerdasnya yang baru-baru ini mempengaruhi kedutaan besar Eropa, Hewlett Packard Enterprise, dan TeamViewer.



Pemilihan target acak


Tim intelijen ancaman Amazon menemukan nama domain yang digunakan dalam kampanye watering hole setelah membuat analitik untuk infrastruktur APT29.


Investigasi mengungkapkan bahwa para peretas telah menyusupi beberapa situs web yang sah dan mengaburkan kode berbahaya menggunakan pengkodean base64.


Dengan menggunakan pengacakan, APT29 mengalihkan sekitar 10% pengunjung situs web yang disusupi ke domain yang meniru halaman verifikasi Cloudflare, seperti findcloudflare[.]com atau cloudflare[.]redirectpartners[.]com.


Sebagaimana dijelaskan Amazon dalam laporan tentang tindakan terbaru tersebut, para pelaku ancaman menggunakan sistem berbasis cookie untuk mencegah pengguna yang sama dialihkan beberapa kali, sehingga mengurangi kecurigaan.


Korban yang membuka halaman Cloudflare palsu diarahkan ke alur autentikasi kode perangkat Microsoft yang berbahaya, dalam upaya untuk mengelabui mereka agar mengotorisasi perangkat yang dikendalikan penyerang.


Amazon mencatat bahwa setelah kampanye tersebut ditemukan, para penelitinya mengisolasi instans EC2 yang digunakan pelaku ancaman, dan bermitra dengan Cloudflare dan Microsoft untuk mengganggu domain yang teridentifikasi.


Para peneliti mengamati bahwa APT29 mencoba memindahkan infrastrukturnya ke penyedia cloud lain dan mendaftarkan nama domain baru (misalnya cloudflare[.]redirectpartners[.]com).


CJ Moses, Chief Information Security Officer Amazon, mengatakan bahwa para peneliti terus melacak pergerakan pelaku ancaman dan mengganggu upaya tersebut.


Amazon menggarisbawahi bahwa kampanye terbaru ini mencerminkan evolusi APT29 untuk tujuan yang sama yaitu mengumpulkan kredensial dan intelijen.


Namun, terdapat "penyempurnaan pada pendekatan teknis mereka," yang tidak lagi bergantung pada domain yang meniru AWS atau upaya rekayasa sosial untuk melewati autentikasi multifaktor (MFA) dengan mengelabui target agar membuat kata sandi khusus aplikasi.


Pengguna disarankan untuk memverifikasi permintaan otorisasi perangkat, mengaktifkan otentikasi multi-faktor (MFA), dan menghindari menjalankan perintah pada sistem mereka yang disalin dari halaman web.


Administrator harus mempertimbangkan untuk menonaktifkan kelemahan otorisasi perangkat yang tidak perlu jika memungkinkan, menerapkan kebijakan akses bersyarat, dan memantau dengan cermat kejadian autentikasi yang mencurigakan.


Amazon menekankan bahwa kampanye APT29 ini tidak membahayakan infrastrukturnya atau berdampak pada layanannya.

Amazon Menggagalkan Peretas APT29 Rusia yang Menargetkan Microsoft 365

 


Penjahat siber menyalahgunakan platform periklanan Meta dengan penawaran palsu aplikasi TradingView Premium gratis yang menyebarkan malware Brokewell untuk Android.


Kampanye ini menargetkan aset mata uang kripto dan telah berjalan setidaknya sejak 22 Juli melalui sekitar 75 iklan lokal.


Brokewell telah ada sejak awal tahun 2024 dan memiliki serangkaian kemampuan yang mencakup mencuri data sensitif, pemantauan jarak jauh, dan kontrol perangkat yang disusupi.



Mengambil alih perangkat


Para peneliti di perusahaan keamanan siber Bitdefender menyelidiki iklan dalam kampanye tersebut, yang menggunakan branding dan visual TradingView serta memikat calon korban dengan janji aplikasi premium gratis untuk Android.


Mereka mencatat bahwa kampanye tersebut dirancang khusus untuk pengguna seluler, karena mengakses iklan dari sistem operasi yang berbeda akan menghasilkan konten yang tidak berbahaya.


Namun, ketika diklik dari Android, ia dialihkan ke halaman web yang meniru situs TradingView asli yang menyediakan file tw-update.apk berbahaya yang dihosting di tradiwiw[.]online/


"Aplikasi yang ditutup meminta aksesibilitas, dan setelah menerimanya, layar ditutupi dengan perintah pembaruan palsu. Di latar belakang, aplikasi memberikan dirinya sendiri semua izin yang dibutuhkan," kata para peneliti dalam sebuah laporan minggu ini.


Selain itu, aplikasi jahat juga mencoba mendapatkan PIN untuk membuka kunci perangkat dengan mensimulasikan permintaan pembaruan Android yang memerlukan kata sandi layar kunci.


Menurut Bitdefender, aplikasi TradingView palsu tersebut merupakan "versi lanjutan dari malware Brokewell" yang dilengkapi "segudang tool yang dirancang untuk memantau, mengontrol, dan mencuri informasi sensitif":

  • Memindai BTC, ETH, USDT, nomor rekening bank (IBAN).
  • Mencuri dan mengekspor kode dari Google Authenticator (bypass 2FA).
  • Mencuri akun dengan melapisi layar login palsu.
  • Merekam layar dan penekanan tombol, mencuri cookie, mengaktifkan kamera dan mikrofon, serta melacak lokasi.
  • Membajak aplikasi SMS bawaan untuk mencegat pesan, termasuk kode perbankan dan 2FA.
  • Kendali jarak jauh – dapat menerima perintah melalui Tor atau Websockets untuk mengirim pesan teks, melakukan panggilan, menghapus aplikasi, atau bahkan menghancurkan diri sendiri.


Para peneliti memberikan gambaran teknis tentang cara kerja malware dan daftar panjang perintah yang didukung yang mencakup lebih dari 130 baris.


Bitdefender mengatakan bahwa kampanye ini adalah bagian dari operasi yang lebih besar yang awalnya menggunakan iklan Facebook yang meniru “lusinan merek terkenal” untuk menargetkan pengguna Windows.

Iklan Palsu TradingView Premium Sebarkan Malware Brokewell Android, Incar Kripto dan Data Sensitif

 


Model bahasa pemrograman besar Claude Code milik Anthropic telah disalahgunakan oleh aktor ancaman yang menggunakannya dalam kampanye pemerasan data dan untuk mengembangkan paket ransomware.


Perusahaan tersebut menyatakan bahwa tool-nya juga telah digunakan dalam skema penipuan pekerja IT Korea Utara dan untuk mendistribusikan umpan bagi kampanye Contagious Interview, dalam kampanye APT Tiongkok, dan oleh pengembang berbahasa Rusia untuk membuat malware dengan kemampuan penghindaran tingkat lanjut.



Ransomware buatan AI


Dalam contoh lain, yang dilacak sebagai ‘GTG-5004,’ pelaku ancaman yang berbasis di Inggris menggunakan Claude Code untuk mengembangkan dan mengkomersialkan operasi ransomware-as-a-service (RaaS).


Utilitas AI membantu menciptakan semua tool yang diperlukan untuk platform RaaS, mengimplementasikan stream cipher ChaCha20 dengan manajemen kunci RSA pada ransomware modular, penghapusan shadow copy, opsi untuk penargetan file tertentu, dan kemampuan untuk mengenkripsi berbagi jaringan.


Dari sisi penghindaran, ransomware ini dimuat melalui injeksi DLL reflektif dan dilengkapi teknik pemanggilan syscall, bypass pengait API, string obfuscation, dan anti-debugging.


Anthropic mengatakan bahwa pelaku ancaman hampir sepenuhnya bergantung pada Claude untuk mengimplementasikan bagian-bagian platform RaaS yang paling membutuhkan pengetahuan, dan mencatat bahwa, tanpa bantuan AI, mereka kemungkinan besar akan gagal menghasilkan ransomware yang berfungsi.


“Temuan yang paling mencolok adalah ketergantungan aktor tersebut terhadap AI untuk mengembangkan malware yang berfungsi,” tulis laporan tersebut.


“Operator ini tampaknya tidak mampu menerapkan algoritma enkripsi, teknik anti-analisis, atau manipulasi internal Windows tanpa bantuan Claude.”


Setelah membuat operasi RaaS, pelaku ancaman menawarkan executable ransomware, kit dengan konsol PHP dan infrastruktur perintah dan kontrol (C2), serta crypter Windows seharga $400 hingga $1.200 atau sekitar Rp.6,5 juta hingga Rp.19,5 juta di forum dark web seperti Dread, CryptBB, dan Nulled.



Kampanye pemerasan yang dioperasikan AI


Dalam salah satu kasus yang dianalisis, yang dilacak Anthropic sebagai 'GTG-2002', seorang penjahat siber menggunakan Claude sebagai operator aktif untuk melakukan kampanye pemerasan data terhadap setidaknya 17 organisasi di sektor pemerintahan, layanan kesehatan, keuangan, dan layanan darurat.


Agen AI melakukan pengintaian jaringan dan membantu pelaku ancaman mendapatkan akses awal, kemudian membuat malware khusus berdasarkan tool Chisel tunnel untuk digunakan dalam eksfiltrasi data sensitif.


Setelah serangan gagal, Claude Code digunakan untuk membuat malware menyembunyikan dirinya lebih baik dengan menyediakan teknik enkripsi string, kode anti-debugging, dan penyamaran nama file.


Claude kemudian digunakan untuk menganalisis file yang dicuri untuk menetapkan permintaan tebusan, yang berkisar antara $75.000 dan $500.000 atau sekitar Rp. 1,2 miliar dan Rp. 8,1 miliar dan bahkan untuk membuat catatan tebusan HTML khusus untuk setiap korban.


“Claude tidak hanya melakukan operasi 'on-keyboard' tetapi juga menganalisis data keuangan yang dieksfiltrasi untuk menentukan jumlah tebusan yang sesuai dan menghasilkan catatan tebusan HTML yang secara visual mengkhawatirkan yang ditampilkan di mesin korban dengan menyematkannya ke dalam proses boot” - Anthropic.


Anthropic menyebut serangan ini sebagai contoh “vibe hacking,” yang mencerminkan penggunaan agen pengkodean AI sebagai mitra dalam kejahatan dunia maya, dan bukan mempekerjakan mereka di luar konteks operasi.


Laporan Anthropic menyertakan contoh tambahan di mana Claude Code digunakan secara ilegal, meskipun dalam operasi yang tidak terlalu rumit. Perusahaan mengatakan bahwa LLM-nya membantu pelaku ancaman dalam mengembangkan integrasi API tingkat lanjut dan mekanisme ketahanan untuk layanan carding.


Penjahat dunia maya lainnya memanfaatkan kekuatan AI untuk penipuan percintaan, menghasilkan balasan “kecerdasan emosional yang tinggi,” membuat gambar yang meningkatkan profil, dan mengembangkan konten manipulasi emosional untuk menargetkan korban, serta memberikan dukungan multi-bahasa untuk penargetan yang lebih luas.


Untuk setiap kasus yang disajikan, pengembang AI menyediakan taktik dan teknik yang dapat membantu peneliti lain mengungkap aktivitas kejahatan dunia maya baru atau membuat koneksi ke operasi ilegal yang diketahui.


Anthropic telah melarang semua akun yang terkait dengan operasi jahat yang dideteksinya, membuat pengklasifikasi khusus untuk mendeteksi pola penggunaan yang mencurigakan, dan membagikan indikator teknis dengan mitra eksternal untuk membantu pertahanan.

Pengembang Malware Menyalahgunakan AI Claude Anthropic untuk Membuat Ransomware

Subscribe to: Comments (Atom)