⚡ Rekap Mingguan: Botnet Proxy, Ransomware Browser, Trik Agen AI, Malware PoC Palsu, dan Lainnya
Kotak streaming tidak memerlukan model ancaman. Bidang nama pengguna, repo demo, alur penyetelan ulang, atau permintaan izin browser juga tidak boleh digunakan.
Sumber: thehackernews. com
Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Bidang nama pengguna, repo demo, alur penyetelan ulang, atau permintaan izin browser juga tidak boleh digunakan.
Kotak streaming tidak memerlukan model ancaman. Bidang nama pengguna, repo demo, alur penyetelan ulang, atau permintaan izin browser juga tidak boleh digunakan. Itu adalah bagian yang menjengkelkan minggu ini: bagian-bagian yang berisiko adalah hal biasa.
Jaringan Proxy Perumahan NetNut Terganggu — Google, bekerja sama dengan Biro Investigasi Federal AS (FBI), Lumen, dan mitra lainnya, mengambil tindakan terhadap jaringan proxy perumahan NetNut, juga dikenal sebagai Popa, setelah menghapus IPIDEA pada bulan Januari 2026. Google mengatakan pihaknya menonaktifkan akun Google dan layanan Google terkait yang digunakan oleh NetNut untuk perintah dan kontrol malware (C2) dan memperbarui Google Play Protect, selain menonaktifkan aplikasi yang diketahui disertakan SDK NetNut. Ukuran jaringan diperkirakan setidaknya 2 juta perangkat secara global. “NetNut mengisi botnetnya dengan mendistribusikan SDK untuk perangkat yang biasa ditemukan di rumah, seperti smart TV dan kotak streaming,” kata Google, seraya menambahkan bahwa pihaknya “mengidentifikasi komponen plugin botnet NetNut untuk botnet skala besar seperti BADBOX 2. 0.” Tujuan akhirnya adalah untuk memanfaatkan lalu lintas rute melalui perangkat ini, sehingga memungkinkan pelaku kejahatan menyamarkan aktivitas jahat. Perangkat tersebut sudah diinstal sebelumnya dengan malware sebelum dibeli atau karena pengguna tanpa sadar mengunduh aplikasi yang berisi kode proxy tersembunyi.
Ransomware Browser Buatan AI Mengeksploitasi API Akses File Chromium — Artefak malware baru yang dihasilkan menggunakan DeepSeek telah membangun jalur serangan baru yang menggabungkan "konsep browser-malware yang tidak realistis dengan kemampuan browser nyata" untuk mengubahnya menjadi teknik ransomware yang berfungsi sepenuhnya di dalam browser pada perangkat Windows, Linux, macOS, dan Android. Pendekatan ini terbatas pada browser web yang mengekspos API Akses Sistem File berbasis picker. Ini termasuk Google Chrome dan browser berbasis Chromium lainnya di Windows, macOS, ChromeOS, Linux, dan Android. Tidak ada bukti bahwa pola ransomware asli browser telah disalahgunakan secara liar. “Apa yang kami saksikan adalah perubahan mendasar dalam cara lahirnya serangan siber baru,” kata Check Point. “Untuk pertama kalinya, kami memiliki bukti bahwa model AI dapat secara independen mempertimbangkan fitur-fitur platform yang sah dan memunculkan teknik serangan yang hanya dapat diteorikan oleh manusia – tanpa penyerang mengetahui bahwa API yang mendasarinya ada.”
Dropping Elephant Menghasilkan RAT Dalam Memori — Aktor ancaman yang dikenal sebagai Dropping Elephant (alias Patchwork) telah diamati menggunakan daya tarik kontrak sektor energi bertema Tiongkok untuk mengirimkan trojan akses jarak jauh (RAT) dalam memori yang dikerjakan ulang secara besar-besaran. “Kampanye ini mendemonstrasikan teknik penghindaran tingkat lanjut, termasuk pemuatan samping DLL dengan biner Microsoft yang sah (Fondue. exe) dan penggunaan kode shell 'Donut' untuk memetakan RAT langsung ke memori, yang secara efektif melewati kontrol keamanan berbasis disk tradisional,” kata Rapid7. “RAT yang diperbarui secara signifikan mempersulit pendeteksian dengan menggunakan perataan aliran kontrol, rekonstruksi API runtime, dan komunikasi C2 yang diperkeras.” Malware ini mendukung daftar direktori, unggah/unduh file, pengambilan tangkapan layar, dan kemampuan eksekusi perintah.
Beberapa Kit PhaaS Terlihat di Alam Liar — Sejumlah perangkat phishing-as-a-service (PhaaS) telah diidentifikasi: CodeStorm (yang merupakan kit phishing Microsoft 365 yang peka terhadap penyewa), ARToken (panel operator PhaaS berfitur lengkap yang berbagi tumpang tindih dengan EvilTokens, perangkat phishing kode perangkat), Console (untuk mengambil kredensial konsol AWS), Mirage2FA (yang menggunakan penyelundupan HTML berumur pendek dan pemuat JavaScript yang dikaburkan untuk mengirimkan halaman login Microsoft 365 palsu), dan Bluekit (yang menggunakan teknik browser-in-the-middle untuk memuat halaman login yang sah di dalam browser yang dikendalikan penyerang, menyebabkan korban login ke akun mereka di mesin penyerang). Pada saat yang sama, laporan menunjukkan bahwa layanan Tycoon 2FA PhaaS telah muncul kembali dengan infrastruktur baru dan lapisan kebingungan setelah penghapusan penegakan hukum pada bulan Maret 2026. Perkembangan ini juga bertepatan dengan lonjakan serangan phishing kode perangkat yang mengeksploitasi aliran OAuth yang sah. Secara khusus, serangan tersebut menipu pengguna untuk memasukkan kode perangkat yang kemudian mengeluarkan cookie dan token aktif langsung ke perangkat penyerang, melewati otentikasi multi-faktor (MFA). Bersamaan dengan itu, komunitas phishing-as-a-service (PhaaS) berbahasa Mandarin berkembang di wilayah yang secara historis didominasi oleh kelompok penjahat dunia maya berbahasa Rusia. Salah satu layanan PhaaS tersebut adalah platform Darcula, yang terkait dengan aktor ancaman UNC5814, yang telah meninggalkan templat phishing statis dan memilih generator halaman bertenaga AI dan alat otomatisasi browser, Loke Puppeteer, yang dapat mengkloning situs web sah dengan mereplikasi HTML, CSS, JavaScript, dan elemen visualnya. Karena setiap halaman phishing yang dihasilkan bersifat unik, metode deteksi berbasis tanda tangan tradisional menjadi tidak efektif. Meskipun PhaaS adalah inti dari operasi ini, para pengembang ini juga biasanya menawarkan berbagai layanan tambahan, termasuk penjualan informasi pribadi dan keuangan. Menurut laporan dari Group-IB, pialang data yang aktif di forum web gelap berbahasa Mandarin dan saluran Telegram mengiklankan sejumlah besar data yang diduga dicuri dari organisasi di seluruh dunia. Ini termasuk pasar seperti Exchange Market, Chang’An Sleepless Night, Aiqianjin, Yiqun Data, dan Phoenix Overseas Resources.
T3MP3ST → Ini adalah kerangka keamanan ofensif sumber terbuka yang terhubung ke agen pengkodean AI dan menggunakannya untuk menjalankan uji keamanan resmi di seluruh aplikasi web, tantangan gaya CTF, kode sumber, dan target lainnya. Ini menyediakan War Room browser dan CLI untuk pengintaian, pengujian eksploitasi, dan pelaporan, sementara pengelolanya menyatakan bahwa ini hanya boleh digunakan pada sistem yang dimiliki atau memiliki izin tertulis untuk diuji oleh pengguna.
Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.