Malware Archives -

bachkim24h.com, Jakarta – Trojan Coyote yang menargetkan bank untuk mencuri informasi keuangan sensitif baru saja ditemukan oleh Tim Riset dan Analisis Global (GreAT) Kaspersky.

Disebut ‘Coyote’, malware ini bergantung pada installer Squirrel untuk didistribusikan – namanya terinspirasi oleh coyote, predator alami tupai.

Pakar Kaspersky telah mengonfirmasi bahwa Coyote menggunakan taktik penghindaran tingkat lanjut untuk mencuri informasi keuangan sensitif.

Coyote terutama menargetkan pengguna yang terhubung ke lebih dari 60 lembaga perbankan di Brasil, menggunakan penginstal distribusi Squirrel – sebuah metode yang jarang dikaitkan dengan pengiriman malware.

Dalam hal ini, peneliti Kaspersky menyelidiki dan mengidentifikasi seluruh proses infeksi Coyote. Alih-alih mengambil rute tradisional dari penginstal yang sudah dikenal, Coyote memilih alat desktop Windows baru untuk menginstal dan memperbarui aplikasi desktop Windows.

Dengan cara ini, jelas Kaspersky dalam keterangan resminya, Senin (2024/12/2), trojan Coyote menyembunyikan loader pada tahap awal dengan berpura-pura bahwa itu hanyalah paket baru.

Yang membuat Coyote semakin canggih adalah penggunaan Nim, bahasa pemrograman lintas platform modern, sebagai tahap terakhir dari proses infeksi.

Hal ini sejalan dengan tren yang diamati oleh Kaspersky, di mana penjahat dunia maya menggunakan bahasa asing dan bercampur, yang menunjukkan kemampuan mereka untuk beradaptasi dengan perubahan teknologi terkini.

Perjalanan Coyote melibatkan aplikasi NodeJS yang mengeksekusi kode JavaScript kompleks, pemuat Nim yang membuka executable .NET, dan terakhir eksekusi Trojan.

Meskipun Coyote melewatkan enkripsi, ia menggunakan pemindaian string dengan enkripsi AES (Standar Enkripsi) yang ditambahkan untuk enkripsi.

Tujuan dari Trojan ini konsisten dengan perilaku Trojan perbankan pada umumnya: memantau aplikasi perbankan tertentu atau mengakses situs web.

Saat aplikasi perbankan aktif, Coyote berkomunikasi dengan server perintah dan kontrolnya menggunakan saluran SSL dengan otentikasi timbal balik.

Penggunaan komunikasi terenkripsi oleh Trojan dan kemampuannya untuk melakukan tindakan tertentu, seperti keylogging dan tangkapan layar, menunjukkan sejumlah fitur canggihnya.

Ia bahkan dapat meminta kata sandi kartu bank dan membuat halaman palsu untuk mendapatkan kredensial pengguna.

Data telemetri dari Kaspersky menunjukkan bahwa hampir 90 persen infeksi Coyote berasal dari Brasil, sehingga berdampak signifikan terhadap keamanan siber di wilayah tersebut.

“Dalam tiga tahun terakhir, jumlah serangan trojan perbankan meningkat hampir dua kali lipat dan akan mencapai lebih dari 18 juta pada tahun 2023. Hal ini menunjukkan bahwa tantangan keamanan siber semakin meningkat,” kata kepala Latin American Research and Analysis Group of Global Amerika Latin (GReAT) di Kaspersky, Fabio Assolini.

Ia menjelaskan bahwa seiring dengan meningkatnya jumlah ancaman dunia maya, penting bagi masyarakat dan dunia usaha untuk melindungi aset digital mereka.

“Munculnya Coyote, jenis baru Trojan perbankan Brasil, mengingatkan kita untuk berhati-hati dan menggunakan pertahanan terkini untuk melindungi informasi penting,” pungkas Fabio.

Untuk melindungi dari risiko finansial, Kaspersky merekomendasikan: Hanya instal aplikasi dari sumber tepercaya. Jangan memberikan hak atau izin yang diminta oleh suatu aplikasi tanpa terlebih dahulu memverifikasi bahwa hak atau izin tersebut memenuhi formulir permintaan. Jangan pernah membuka tautan atau dokumen dalam pesan yang tidak terduga atau tampak mencurigakan. Gunakan solusi keamanan yang andal, yang melindungi diri Anda dan infrastruktur digital Anda dari berbagai risiko keuangan.

Untuk melindungi bisnis dari penipuan finansial, pakar keamanan Kaspersky merekomendasikan: Memberikan pelatihan kesadaran keamanan siber, terutama bagi karyawan yang bertanggung jawab di bidang akuntansi, termasuk instruksi tentang cara mendeteksi situs phishing. Meningkatkan literasi digital karyawan. Mengaktifkan kebijakan penolakan default untuk profil pengguna adalah hal yang penting, terutama di sektor keuangan, untuk memastikan bahwa hanya sumber daya web resmi yang dapat diakses. Instal pembaruan dan perbaikan terkini untuk semua perangkat lunak yang digunakan.

bachkim24h.com, Jakarta – Malware Android baru bernama Brokewell telah ditemukan. Malware ini dapat membahayakan keamanan dan privasi pengguna.

Peneliti keamanan di Threat Fabric telah menemukan malware Android baru yang dapat mencatat semua aktivitas yang dilakukan di ponsel.

Malware bernama Brockwell ini dapat membaca semua input sentuhan, aplikasi yang terbuka, input teks, gambar yang ditampilkan di layar, dan aktivitas lain di ponsel.

Selain itu, malware Brockwell juga memiliki kemampuan kendali jarak jauh, yang secara efektif memberi peretas akses penuh ke perangkat Android.

Menurut Threat Fabric, seperti disebutkan dalam Android Headlines pada Selasa (30/4/2024), Brockwell didistribusikan melalui halaman pembaruan Chrome palsu.

Ini adalah taktik umum untuk mengelabui pengguna yang tidak curiga agar mengunduh malware ke perangkat mereka.

Pengguna yang tidak curiga mengklik tombol segarkan tanpa memeriksa sumber aktivitas. Setelah terinstal, malware Brockwell dapat mengontrol perangkat sepenuhnya dan menyebabkan kerusakan pada ponsel.

Threat Fabric menggambarkan Brockwell sebagai malware dengan banyak fitur baru yang belum pernah dilihat sebelumnya.

Baru-baru ini, analisis mengungkapkan bahwa malware ini menargetkan layanan pembayar Austria dan aplikasi otentikasi digital yang disebut ID Austria.

Brockwell memiliki berbagai fitur yang dapat dieksploitasi oleh peretas yang tidak bermoral untuk mencuri data sensitif dari perangkat yang terinfeksi.

Fitur ini meniru layar login aplikasi target, menipu pengguna agar memberikan kredensial mereka kepada peretas.

Malware dapat mencegat dan mengekstrak cookie, merekam interaksi pengguna dengan perangkat, mengumpulkan detail perangkat keras dan perangkat lunak, mengambil log panggilan dan lokasi, serta menangkap audio sekitar.

Brockwell memungkinkan peretas melakukan streaming langsung pada layar perangkat yang terinfeksi, sehingga mereka dapat melihat semua yang dilakukan korban malware ini.

Brockwell memungkinkan Anda melakukan gerakan mengetuk dan menggesek dari jarak jauh, mengeklik layar, memasukkan teks ke dalam bidang tertentu, dan mensimulasikan penekanan tombol fisik seperti kembali, beranda, dan aplikasi terkini.

Selain itu, dengan bantuan malware Brockwell, peretas dapat membangunkan layar, mengatur kecerahan layar, dan mengatur volume perangkat.

Brockwell dikembangkan oleh seorang pria bernama Baron Sedemit. Menurut laporan Threat Fabric, pembuat malware ini mengembangkan dan menjual malware untuk memverifikasi akun yang dicuri. Malware yang dikembangkan oleh Baron banyak digunakan oleh penjahat dunia maya.

Malware tersebut, yang disebut “Brokewell Android Loader,” dapat melewati batasan sistem operasi Android Google yang dirancang untuk mencegah penyalahgunaan layanan aksesibilitas untuk aplikasi yang di-sideload.

Ini bukan pertama kalinya malware Android mengeksploitasi kelemahan Google. Banyak pelaku ancaman menggunakan strategi pengalih perhatian ini untuk menghindari atau mengurangi risiko deteksi.

Meskipun ada upaya terus-menerus dari Google dan vendor lainnya, penyerang terus-menerus menemukan celah keamanan yang dapat dieksploitasi. Cara terbaik untuk melindungi diri Anda dari malware adalah dengan menghindari mengunduh aplikasi di luar toko aplikasi.

Selalu unduh aplikasi dan pembaruan aplikasi dari toko aplikasi terpercaya lainnya seperti Google Play Store atau Galaxy Store dan toko aplikasi resmi dari produsen ponsel pintar.

Di sisi lain, peretas menyebarkan malware pencuri informasi yang terkait dengan Redline untuk menipu gamer yang disebut ‘Cheat Lab’.

Seperti disebutkan dalam laporan McAfee melalui Malware Bleeping Computer, malware yang menipu para gamer, korbannya menjanjikan download game gratis jika meyakinkan temannya untuk menginstalnya.

Peneliti keamanan siber McAfee menjelaskan bahwa Redline adalah malware pencuri informasi yang mampu mencuri data pribadi dari komputer korban yang terinfeksi.

Dalam aksinya, Redline dapat mencuri informasi password, cookies, informasi autofill, dan informasi dompet cryptocurrency.

Di kalangan penjahat dunia maya atau hacker, malware Redline sangat terkenal dan didistribusikan secara masif dengan berbagai cara di seluruh dunia.

Peneliti ancaman McAfee melaporkan bahwa pencuri informasi baru ini menggunakan bytecode Lua untuk menghindari deteksi dan secara diam-diam menyusup ke proses yang sah dan memanfaatkan kinerja kompilasi just-in-time (JIT).

Payload Redline mensimulasikan demo alat cheat yang disebut “Cheat Lab” dan “Cheater Pro” melalui URL yang ditautkan ke repositori GitHub ‘vcpkg’ Microsoft.

Malware ini didistribusikan sebagai arsip ZIP yang berisi penginstal MSI, yang mengekstrak dua berkas, compiler.exe dan lua51.dll, ketika diluncurkan dan meninggalkan berkas ‘readme.txt’ yang berisi bytecode Lua berbahaya.

Kampanye tersebut menggunakan daya tarik yang menarik untuk mendistribusikan lebih lanjut malware Redline, dengan mengatakan bahwa para korban bisa mendapatkan salinan program jahat yang gratis dan berlisensi penuh jika mereka meyakinkan teman-temannya untuk menginstalnya juga.

“Untuk membuka kunci versi lengkap, bagikan program dengan teman-teman Anda. Setelah itu, program akan dibuka kuncinya secara otomatis,” kata instruksi instalasi yang dibuat oleh peretas.