Week 10
Peneliti dari vendor keamanan AlienVault telah mengidentifikasi varian dari eksploitasi Internet Explorer yang baru-baru ini ditemukan yang digunakan untuk menginfeksi komputer yang ditargetkan dengan program PlugX remote access Trojan (RAT).
Varian exploit yang baru ditemukan ini mentargetkan kerentanan unpatched yang sama di IE 6, 7, 8 dan 9 sebagai eksploit asli, tetapi menggunakan kode yang sedikit berbeda dan memiliki muatan yang berbeda, AlienVault Labs manager Jaime Blasco mengatakan pada hari Selasa di sebuah posting blog.
Eksploitasi pertama ditemukan selama akhir pekan pada server berbahaya yang dikenal oleh peneliti keamanan Eric Romang dan mendistribusikan Racun Ivy RAT. Versi eksploit kedua yang ditemukan oleh peneliti AlienVault ditemukan pada server yang berbeda dan menginstal program RAT yang jauh lebih baru disebut PlugX.
Namun, tanggal modifikasi file terlihat pada kedua server menunjukkan bahwa kedua versi dari exploit telah digunakan setidaknya sejak 14 September.
"Kami tahu bahwa grup tersebut secara aktif menggunakan malware PlugX yang juga disebut Flowershow memiliki akses ke Internet Explorer ZeroDay [mengeksploitasi penargetan kerentanan yang belum dipatch] hari sebelum itu terungkap, "kata Blasco. "Karena kesamaan kode pengeksploitasi yang baru ditemukan dan yang ditemukan beberapa hari yang lalu, sangat mungkin bahwa kelompok yang sama berada di belakang kedua contoh."
Peneliti AlienVault telah melacak serangan yang menggunakan TITOL PlugX sejak awal tahun ini. Berdasarkan pada jalur debug file yang ditemukan di dalam malware, mereka percaya bahwa RAT yang relatif baru dikembangkan oleh peretas China yang dikenal sebagai WHG, yang memiliki hubungan sebelumnya dengan Network Crack Program Hacker (NCPH), grup peretas China yang terkenal.
Peneliti AlienVault juga telah mengidentifikasi dua situs tambahan yang melayani IE baru yang mengeksploitasi di masa lalu, tetapi tidak ada muatan yang dapat diperoleh dari mereka, kata Blasco. Salah satunya adalah situs berita pertahanan dari India dan yang lainnya mungkin adalah versi palsu dari situs web Simposium profesional LED Internasional yang ke-2, katanya. (Juga lihat "Aplikasi web berbahaya: Cara mengenali mereka, cara mengalahkan mereka.")
"Sepertinya orang-orang di belakang hari ini menargetkan industri tertentu," kata Blasco.
Server tempat mengeksploitasi IE asli Ditemukan juga disimpan mengeksploitasi kerentanan Java unpatched bulan lalu. Itu mengeksploitasi Java digunakan dalam serangan yang dikaitkan oleh peneliti keamanan untuk kelompok hacker Cina dijuluki "Nitro."
Microsoft sudah merilis penasihat keamanan tentang kerentanan IE baru dan merekomendasikan solusi mitigasi sementara ketika bekerja di patch.
Android Mungkin Tidak Perlu Perangkat Lunak Antivirus, Peneliti Mengatakan
SMobile merilis apa yang dikatakannya sebagai perangkat lunak antivirus pertama untuk Android, tetapi seorang analis mengatakan itu mungkin tidak perlu.
Peringatan Sertifikat Keamanan Tidak Bekerja, Para Peneliti Mengatakan
Peneliti di Carnegie Mellon mengatakan bahwa sebagian besar pengguna mengabaikan peringatan "sertifikat tidak sah" yang browser terkadang ditampilkan.
Malware penambangan bitcoin menyebar di Skype, peneliti mengatakan
Kampanye spam di Skype menyebarkan malware dengan kemampuan penambangan Bitcoin.