Malware That Uninstalls Another Hacker’s Malware Available On The Darknet

We write about malware on a semi-frequent basis. Often the virus was no different than any other of the same breed, save for the depth or scale of damage caused. However, recent malware from Russia has proven to be one of a kind. It was unique for several dynamics, but the greatest being the dual functioning aspect of the malware. In addition to being the classic virus, the so-called “Nuke HTTP” bot is an anti-virus program—for itself.

According to information on virustotal, researchers first saw the bot in December 2016. Only recently has news about the malware hit the mainstream outlets. Researchers analyzed a sample version of Nuke, starting with the debugging string “E:\Nuclear\Bot\Release\Dropper.pdb.” The Nuke HTTP bot offered modular components, per trojan’s Russian vendor. Nuke starts at a low price, lower than that of Zeus or the Floki Bot, and features such as the “anti-virus” software simply add to the cost.

The vendor listed the Trojan as both nuke and nuclear. While researchers usually refer to the malware as the Nuke HTTP bot, the nuclear HTTP bot handle more commonly appeared on Russian forums. The listing additionally explained everything a buyer needed to know about the bot, including how to differentiate between Nuke and other, similar, pieces of malware on the market. Unlike others, the Russian vendor named Gosya said, Nuke needed none of the code used by Zeus or the Floki Bot. Many of the malware on the market or spotted in the wild simply used modified parts of the Zeus code.
How do I distinguish between your boat from all others on the market? 

• It is written entirely from scratch (no connection with the Zeus, Carberp, ISFB, etc)
• Parser (Json)
• Inject (Chrome – ssl_write / read ## _ app_data without ssl_close || FF – Pr _ ## write / read without PrOpenTcpSocket / Pr_close)
• Running (inject code) in the system is written without outsourcing
• It is written in C <MSVC 2012> (Boat and all modules) + the PHP with PDO and the JS (Panel)
• Fully compatible with all Windows NT family (x32 and the x64)
• Do not attracted the attention of UAC or Windows Firewall

What I find modules in the first version of the bot? 

• Possibility to download and run the executable
• Reverse SOCKS with back-Connect
• Form grabbing and Web-Inject (bypassing HTTP2 / SPDY) with support (Internet Explorer 611, Firefox 28 – 50, Chrome 50 – 55)
• Support “wildcard” in the parser (TP .facebook * *.)
• Parser is indeed very easy to use
• Of Injection Size does not matter, you can pisaty it as you want
• Can pisaty something more than one injects for each page
• The same way no matter how many injects you polzevayti, speed browser / CPU all too most

Researchers mentioned that the full price of Nuke, with the SOCKS and endpoint bypassing modules, costs only $4,000. The “bot killer” is functionality packed into Nuke, according to Gosya. The vendor said that the basic version included that module. Gosya’s identity, as with most threat actors in this sector, remains unknown. The entity, according to those with knowledge in this area of cybersecurity, resided in the Moscow region and is not new to the scene, despite being relatively unknown.

Links to the two demo videos on VidMe.com:

Injection Demo

Socks Demo

Read more

Hacker ini Dapat Reward $40000 Setelah Temukan Bug ImageTragick di Facebook

Kalian pasti kenal dengan celah ImageTragick Remote Code Execution. Memang banyak situs besar yang terkena dampak dari bug yang ditemukan pada April 2016 tersebut. Namun siapa sangka bug tersebut (setelah diolah lebih dalam) juga menginfeksi Facebook. Tepatnya di bagian dialog aplikasi  "Share on facebook".

Whitehat bernama Andrew Leonov tersebut berhasil mengeksploitasi lebih dalam dari celah ImageTragick yang memungkinkan dirinya untuk melihat isi dari /proc/version pada server Facebook.

Dia pun mengaku bangga menjadi salahsatu orang yang berhasil "menumbangkan" Facebook.

Untuk PoC lebih jelasnya kalian bisa langsung ke :

Facebook's ImageTragick Remote Code Execution

Tim Facebook sendiri telah mengkonfirmasi celah tersebut dan memberi reward sebesar $40000.

Timeline :

• 16 Oct 2016, 03:31 am: Initial report
• 18 Oct 2016, 05:35 pm: Actual PoC I used requested by security team member Neal
• 18 Oct 2016, 08:40 pm: I replied by sending a PoC and provided additional info
• 18 Oct 2016, 10:31 pm: Bug acknowledged by security team member Neal
• 19 Oct 2016, 12:26 am: Just heads-up by security team member Neal that fix is in the progress
• 19 Oct 2016, 02:28 am: Neal informed me that vulnerability has been patched
• 19 Oct 2016, 07:49 am: I replied confirming that the bug was patched and requested disclosure timeline
• 22 Oct 2016, 03:34 am: Neal answered about disclosure timeline 
• 28 Oct 2016, 03:04 pm: $40k reward issued
• 16 Dec 2016: Disclosure approved

Bagaimana ? tertarik untuk mencoba peruntungan dengan Facebook Bugbounty?

Read more

Hacker Konslet Kembali beraksi, Kali ini Situs Hiburan 4TAWA Diretas

Setelah sebelumnya berulah dengan memajang foto Mas Yanglek di situs RCTI, kali ini hacker dengan kodenama Konslet kembali beraksi. Yang jadi korban kali ini adalah situs hiburan 4TAWA.

4TAWA Indonesia adalah sebuah situs hiburan yang di dalamnya terdapat gambar, video, GIF yang lucu, kreatif, inspratif maupun unik. Dan nampaknya situs tersebut memiliki celah yang berhasil dieksploitasi oleh si Konslet ini.

Dari pesan yang disampaikan, nampaknya 4tawa.co menggunakan server Ubuntu dengan Webserver Apache.

HACKED BY KONSLET

ubuntu? apache? lol wkwkwk. gak bisa hardening server mz? :'v

beberapa nama yang nampaknya juga teman dari pelaku ikut terpampang di web tersebut :

PakHaxor ~ LastC0de ~ Ice-Cream ~ Gunz_Berry ~ The Jackerz ~ BebeQelo ~ ./Coco ~ inurl_id ~ Sec7or ~ IndoXploit & All Indonesian People

Pelaku juga meninggalkan email yang bisa dihubungi di anas_ramadani@yahoo.it

Sampai berita ini diturunkan belum ada perbaikan dari situs terkait. Namun kalian juga bisa melihat mirror nya disini :

http://www.zone-h.org/mirror/id/27510195

Ya semoga saja situsnya cepat diperbaiki mengingat 4tawa adalah salahsatu situs hiburan terbesar di Indonesia.

Read more

Retas Situs RCTI, Hacker "Nobatkan" Young Lex Sebagai Tokoh Fenomenal

Ada ada saja yang dilakukan oleh peretas dengan kodenama KONSLET ini. Alih alih mengubah halaman situs yang diretas, dia malah mengunggah foto Young Lex pada halaman Anugerah Seputar Indonesia 2016 sebagai Tokoh Fenomenal di situs RCTI.

Kalian bisa melihatnya pada halaman berikut :

http://www.rcti.tv/asi2016/

Nampak jelas foto Young Lex berada dibawah tulisan Tokoh Fenomenal.

Dan saat tombol vote dibawahnya di klik, maka akan muncul tulisan

HACKED

KONSLET FT JULIE

Indonesian Hacker Rulez

Greetz : Lastc0de - Pak Haxor - ./coco - TheJackerz - all fucking friends

Sampai tulisan ini dirilis, belum ada perbaikan dari halaman situs terkait.

Pada tahun 2013 silam situs RCTI juga pernah kebobolan oleh Tim Pocong.

• RCTI Official Website Hacked by Team Pocong

Hal ini membuktikan bahwa masih banyak situs situs besar di Indonesia yang memiliki kerentanan.

Read more

Situs Booking Hotel, Tiket Kereta Api dan Pesawat PegiPegi.com Diretas

pegipegi adalah salah satu Biro Agen Perjalanan berbasis Online terkemuka di Indonesia yang hadir untuk menawarkan ribuan pilihan Hotel dan perjalanan dari berbagai Maskapai Penerbangan untuk tujuan Domestik dan Internasional. Cara pembayaran yang bermacam-macam dari ATM, Kartu Kredit sampai Internet Banking. Baru baru ini situs resmi mereka diretas oleh hacker dengan kodenama h3ll_id dari tim Gantengers Crew.

Pelaku memang tidak secara frontal mengubah halaman depan situs, namun hanya mengubah salahsatu direktori tema wordpress yang terinstall di url :

https://www.pegipegi.com/travel/wp-content/themes/twentytwelve/

Berikut kata kata yang ditinggalkan pelaku :

pwnz you! Indonesian h4x0r back

=( h3ll_id - Gantengers Crew )=

=( where is your security??? need security contact my email )=

Selain itu pelaku juga meninggalkan alamat email yang bisa dihubungi di ekel.h4x0r[at]gmail.com .

Sampai berita ini dirilis belum ada perbaikan dari situs terkait.

Untuk mirror nya isa kalian cek disini :

http://zone-h.org/mirror/id/27484579

Sekian berita malam hari ini, selamat beristirahat.

Read more

Ping Tidak Stabil Saat Ngegame, Hacker Retas Situs Promo Firstmedia

Setelah sebelumnya situs Dashboard Telkom yang diretas karena pelayanan yang dianggap buruk, kali ini kasus peretasan datang dari provider internet Firstmedia. Karena kecewa ping naik turun saat main game, hacker retas subdomain firstmedia.com, tepatnya di bagian Promo Firstmedia.

Baca juga :

• Kecewa pelayanan Buruk, Hacker Retas Situs Dashboard Telkom

Hacker yang menggunakan kodenama loc4lh34rtz dan zombie-root tersebut mengubah halaman quiz di situs promo.firstmedia.com

Berikut pesan yang ditinggalkan pelaku :

Official Site of Internet Providers

FIRSTMEDIA.com

g0tPwned by IndoXploit

Contact me : 0x3a3a@gmail.com

Sampai berita ini driilis situs tersebut masih dalam keadaan terdeface.Namun kalian juga bisa melihat mirror nya :

http://www.zone-h.org/mirror/id/27407818

Kami pun mencoba menghubungi pelaku dan sudah megkonfirmasi tentang peretasan ini. Saat ditanya alasan aksi nya, loc4lh34rtz mengatakan tidak puas karena akhir akhir ini ping yang naik turun.

ya kecewa aja sih. bikin emosi lagi maen dota tiba tiba ping naik turun. yaudah coba pentest situs nya eh kena juga..

Hmm, bagaimana dengan kalian yang menggunakan Firstmedia ? Apakah ada kendala juga. Memang menjengkelkan kalau terjadi lag saat main game ya..

Read more

Hacker Indonesia Retas Website NVIDIA Developer

Setelah sebelumnya Steam down, kali ini masih kasus cyber attack yang berhubungan dengan game. Yup, situs developer perusahaan produsen prosesor grafis NVIDIA diretas hacker Indonesia dengan kodenama Xaveroz_Tersakiti.

Pelaku memang tidak mengubah halaman depan situs yang beralamat di developer.nvidia.com tersebut secara frontal. Dia hanya mengupload file bernama xaveroz.html pada direktori /sites/default/files/webform/ .

Namun itu sudah cukup untuk membuktikan bahwa situs tersebut masih memiliki celah yang memungkinkan si hacker mengupload file secara ilegal.

Berikut pesan yang disampaikan peretas pada halaman 

https://developer.nvidia.com/sites/default/files/webform/xaveroz.html

PAWNED BY: 

[#]Xaveroz_Tersakiti[#]

Message for Admin :

Sorry Admin !

Your Site Has Been Hacked System Security Is Low , Please Patch Your System. 

This Is Just A Warning If You Still Dont want to patch it

We Will Keep On Hacking it. 

Beberapa nama yang sepertinya teman pelaku juga ikut terpampang :

GrenXPaRTa - r00tkit404 - Jilan404 - Arthiz Cyber - Indonesia Defacer Tersakiti - DiffMuRis - ML7C  - MalaysiaGov - Abrasax1337 - ./MR.ROB0T - fcod3x - Jiwa Tersesat - 0x1958 - Gboys_Flush CyberGhost.17 - Mr.Vendeta_404 - ZakirDotID - ins7ing - Mr.spongebob - Krypton - l0c4lh0st

Sampai berita ini dirilis file tersebut masih belum dihapus oleh admin web NVIDIA Developer.

Video :

Read more

Server Steam Down Karena DDOS Phantom Squad ? Benarkah ?

Sampai berita ini dibuat di media sosial memang sedang ramai pembahasan mengenai server Steam yang RTO sehingga kita tidak bisa login ke client apps. Ditengah perdebatan mengenai penyebab Steam Server yang down ini, Phantom Squad mengaku sebagai pihak yang bertanggung jawab atas down nya server perusahaan game online tersebut.

Melalui akun twitter mereka, grup hacker yang memang "mengaku" sering melakukan DDOS ke situs situs besar tersebut berkicau bahwa mereka adalah pihak yang menyebabkan keagalan akses pada server Steam.

Berikut salahsatu bunyi twit mereka :

Hey @SteamStatus the reason your networks are down because #PhantomSquad are launching major DDoS attacks on your systems #SteamOffline

kalian pun bisa melihat pembicaraan mengenai Steam yang down ini dengan hashtag #steamoffline di twitter.

Karena ini statusnya steam down, dan memang hal ini berbarengan dengan winter sale dimana orang orang juga memang akan ramai ramai mengakses steam untuk membeli game online yang diskon gila gilaan, masih menjadi perdebataan apakah steam down karena server overload karena banyaknya visitor atau karena memang aksi DDOS dari Phantom Squad.

Lagipula belum ada klarifikasi dari pihak Steam, jadi kita juga belum tau. 

Toh banyak pula yang menganggap Phantom Squad hanya "memanfaatkan" momen dimana Steam down lalu mengaku sebagai pihak yang bertanggung jawab untuk mendapat perhatian publik.

hal ini cukup beralasan karena ketika kami cek twitter mereka malah saling promo akun untuk difollow.

jadi kalau menurut admin pribadi kemungkinan memang server overload karena banyaknya visitor, bukan karena DDOS. yah, kita tunggu saja klarifikasi dari pihak Steam.

Read more

Kesal Laporan Bug Tak Ditanggapi, Situs RMOL Diretas

Barusan coba cek situ Rakyat Merdeka Online (RMOL) buat cari cari referensi ternyata situsnya tidak bisa diakses. yup, situs rmol.co diretas. Hacker dengan kodenama Ice-Cream & Konslet merubah halaman depan situs yang biasanya menampilkan berita terupdate tersebut.

Dari pesan yang ditinggalkan, nampaknya mereka kesal karena laporan bug yang ditujukan kepada pemilik situs tersebut tidak ditanggapi.

Berikut pesan yang ditinggalkan pelaku :

Tested By Ice-Cream & Konslet

Massage : Dari Kemaren Siang Mau report Bug Di system http://rmol.co/

di contact siang² kata CS nya pihak IT datengnya sore² sekitar jam 3 

jam 3 di telfon lagi katanya udah pulang ... Hmmmm

hari ini ? sama juga kayak kemarin hmmmm.....

ga nuntut banyak² boss yang kita cari disini bukan nama / lainya 

tapi gimana bisa manfaatin ilmu buat website² lokal supaya dikit tambah safety

kini saya percaya niat baek ndak selalu bisa di angkep baek juga sama orang

middle finger lah buat kalian :)

Rakyat Merdeka Online atau yang biasa disebut RMOL sendiri merupakan salahsatu media onlie yang cukup besar, dan sudah sewajarnya jika mereka memberi apresiasi bagi yang berhasil menemukan celah di situs mereka daripada terjadi peretasan seperti ini yang malah agak menghambat pengunjung yang sedang mencari berita di situs tersebut.

Sampai berita ini dirilis, belum ada perbaikan dari situs terkait.

Read more

Retas Situs SIK Kementerian Perhubungan, Hacker Pasang Notice "Om Telolet Om"

Nampaknya akhir akhir ini emmang sedang marak trend "om telolet om" bahkan di kalangan dunia underground. Peretas dengan kodenama Jinja, l0c4lh34rtz, dan Manusia Berdendang meretas situs Sistem Informasi Kepegawaian Kementerian Perhubungan dan memasang gambar seorang anak yang memegang kertas bertuliskan "Om Telolet Om".

Nampaknya defacer defacer tersebut berasal dari tim Sanjungan Jiwa dan Indoxploit Coders Team.

Tidak ada pesan khusus yang ditujukan kepada lebgaia terkait, dan saat berita ini dirilis situs yang beralamat di sik.dephub.go.id tersebut sudah normal seperti sedia kala. Namun kalian masih bisa melihat mirror nya disini :

http://leetszone.com/mirror_57584.html

Sekian berita pagi hari ini, selamat beraktifitas.

Read more