# BERBAGI SEPUTAR INFORMASI DUNIA INTERNET ! Kampanye Peretasan iPhone Menggunakan Perangkat Lunak MDM Lebih Luas Dari Sebelumnya Diketahui - BERBAGI SEPUTAR INFORMASI DUNIA INTERNET

Hotnews>


INFORMASI SEPUTAR DUNIA INTERNET
INFORMASI DAN TUTORIAL !
TOOLS,SOFTWARE AND OTHER.
HOPE YOU ENJOY IT ;)

Sunday, July 29, 2018

Kampanye Peretasan iPhone Menggunakan Perangkat Lunak MDM Lebih Luas Dari Sebelumnya Diketahui


Kampanye malware mobile yang sangat terkait dengan India, pertama kali diluncurkan dua minggu lalu,
telah ditemukan menjadi bagian dari kampanye yang lebih luas yang menargetkan beberapa platform,
termasuk perangkat windows dan mungkin Android juga.
Seperti yang dilaporkan dalam artikel kami sebelumnya,
awal bulan ini para peneliti di Talos mengancam unit intelijen menemukan sekelompok peretas India menyalahgunakan layanan manajemen perangkat seluler (MDM)
untuk membajak dan memata-matai beberapa pengguna iPhone yang ditargetkan di India.
Beroperasi sejak Agustus 2015, para penyerang telah ditemukan menyalahgunakan layanan MDM untuk secara jarak jauh memasang versi jahat dari aplikasi yang sah,
termasuk Telegram, WhatsApp, dan PrayTime, ke iPhones yang ditargetkan.

Aplikasi yang dimodifikasi ini dirancang untuk secara diam-diam memata-matai pengguna iOS, 
dan mencuri lokasi real-time mereka, SMS, kontak, foto, dan pesan pribadi dari aplikasi chatting pihak ketiga.
Selama penyelidikan yang sedang berlangsung, peneliti Talos mengidentifikasi infrastruktur MDM baru dan beberapa binari berbahaya 
yang dirancang untuk menargetkan korban yang menjalankan sistem operasi Microsoft Windows - dihosting pada infrastruktur yang sama yang digunakan dalam kampanye sebelumnya.

* Ios-update-whatsapp [.] Com (baru)
* Wpitcher [.] Com
* Ios-certificate-update.com

"Kami tahu bahwa MDM dan layanan Windows berjalan dan berjalan di server C2 yang sama pada Mei 2018,"
kata para peneliti dalam posting blog yang diterbitkan hari ini.
"Beberapa server C2 masih berjalan dan berjalan saat ini.
Pengaturan Apache sangat spesifik, dan sangat cocok dengan pengaturan Apache dari aplikasi IPA yang berbahaya."

Kemungkinan Koneksi dengan "Bahamut Hacking Group"


Selain itu, peneliti juga menemukan beberapa kesamaan potensial yang menghubungkan kampanye ini dengan grup peretasan lama,
dijuluki "Bahamut," seorang aktor ancaman lanjutan yang sebelumnya menargetkan perangkat Android 
menggunakan teknik MDM yang sama seperti yang digunakan dalam kampanye malware iOS terbaru.
Infrastruktur MDM yang baru diidentifikasi, yang dibuat pada Januari 2018, 
dan digunakan dari Januari hingga Maret tahun ini, menargetkan dua perangkat India dan satu yang berlokasi di Qatar dengan nomor telepon Inggris

Menurut para peneliti, Bahamut juga menargetkan orang-orang berbasis Qatar yang sama selama kampanye malware Android mereka, 
seperti yang dijelaskan oleh Bellingcat di posting blog.

"Bahamut berbagi nama domain dengan salah satu aplikasi iOS jahat yang disebutkan di posting kami sebelumnya," kata para peneliti.
"Platform MDM baru yang kami identifikasi memiliki korban yang serupa dengan target Timur Tengah, yaitu Qatar, 
menggunakan nomor ponsel Inggris yang dikeluarkan dari LycaMobile. Bahamut menargetkan orang-orang berbasis Qatar yang sama selama kampanye mereka."

Selain mendistribusikan aplikasi Telegram dan WhatsApp yang dimodifikasi dengan fungsi jahat, 
server yang baru diidentifikasi juga mendistribusikan versi modifikasi dari browser Safari dan aplikasi obrolan 
video IMO untuk mencuri lebih banyak informasi pribadi tentang korban.

Penyerang Menggunakan Browser Safari Berbahaya untuk Mencuri Login Credentials

Menurut para periset, peramban Safari yang berbahaya telah dikonfigurasi sebelumnya untuk secara otomatis mengeksfiltrasi nama pengguna dan kata sandi
pengguna untuk berbagai layanan web lainnya, Yahoo, Rediff, Amazon, Google, Reddit, Baidu, ProtonMail, Zoho, Tutanota dan banyak lagi.

"Perangkat lunak jahat terus memantau halaman web, 
mencari bidang formulir HTML yang berisi nama pengguna dan kata sandi saat pengguna mengetiknya untuk mencuri kredensial. 
Nama-nama bidang HTML yang diinspeksi tertanam ke dalam aplikasi di samping nama domain," kata peneliti.

Peramban berbahaya ini berisi tiga plugins berbahaya — Tambahkan Bookmark, Tambah Ke Favorit, dan Tambah ke Daftar Bacaan — yang sama seperti aplikasi lain, 
kirim data yang dicuri ke server yang dikendalikan oleh penyerang dari jauh.
Pada saat ini, tidak jelas siapa yang berada di belakang kampanye, 
siapa yang menjadi target dalam kampanye, dan apa motif dibalik serangan itu, 
tetapi elemen teknis menunjukkan bahwa para penyerang beroperasi dari India, dan didanai dengan baik.
Para peneliti mengatakan bahwa mereka yang terinfeksi dengan malware semacam ini perlu mendaftarkan perangkat mereka, yang berarti 
"mereka harus waspada setiap saat untuk menghindari pendaftaran yang tidak disengaja."
Cara terbaik untuk menghindari menjadi korban serangan tersebut adalah selalu mengunduh aplikasi dari toko aplikasi resmi.

No comments:

Post a Comment