Malware KmsdBot serang ke Smart Home IoT mencegah lebih mudah


   Security | 29 August 2023

Di rumah atau kantor mengunakan perangkat pintar seperti teknologi IoT.

Dapat mengatur sistem ruangan dari lampu, pendingin, sensor sampai alarm atau camera security.

Hati hati, satu malware diberi nama KmsdBot mulai menargetkan perangkat tersebut. Bukan perangkat unitnya, tapi pusat control yang mengendalikan perangkat lain.


Setelah terditeksi Desember 2022 oleh keamanan Akamai.
Sebelumnya pada November 2022, aktivitas KmsdBot Cryptominer menjadi target perangkat gaming. Menjadikan computer sebagai mesin penambang kripto.

Versi terbaru malware botnet ini ditemukan telah memperluas untuk target perangkat Internet of Things (IoT), sekaligus memperluas kemampuan dan serangannya.

Indonesia sudah masuk target terinfeksi serangan KmsdBot pada Desember 2022 lalu.
Sebagian aktivitas lainnnya yang terditeksi adalah user dari India, China, Asia Tenggara, Rusia, negara di Eropa dan Amerika.

Mengapa target malware ini diperluas.

Pembuatnya tentu melihat cara yang dibuat memang efektif, dan ingin menambah bot lebih banyak dengan menginfeksi mengunakan malware.
Target baru adalah kontrol IoT, umumnya bekerja 24 jam dengan power kecil. Dan terhubung langsung ke jaringan internet.

Dan penguna jarang memeriksa peralatan, selama bekerja baik-baik saja. Itulah perangkat jenis IoT menjadi salah satu target.

Bila serangan tidak efektif, tentu si pelaku tidak mau bersusah payah membuat atau memperluas kemampuan malware.
Terlihat KmsdBot masih terus di kembangkan, kata peneliti keamanan.

Biner KmsdBot terbaru mencakup dukungan untuk pemindaian Telnet dan dukungan lebih beberapa jenis arsitektur CPU, kata peneliti keamanan Akamai Larry W. Cashdollar dalam analisis yang diterbitkan bulan Agustus 2023.

Beberapa bulan setelah diketahui tipe botnet KmsdBot ditawarkan sebagai layanan DDoS untuk di sewa kepada pelaku ancaman lainnya.
Artinya yang menyebar memanfaatkan malware KmsdBot ke computer sampai perangkat IoT untuk dijadikan bot DDoS dan sulit diketahui ketika perangkat kita sudah terinfeksi.

Jaringan yang sudah dibentuk, nanti dapat disewakan ke siapa saja. Untuk membanjiri ke satu server atau menjatuhkan satu layanan, tapi memanfaatkan perangkat orang lain.

Catatan, serangan tersebut bukan hanya di computer atau smartphone, tapi perangkat utama yang mengendalikan perangkat otomatis seperti  smart lamp, smart switch dan lainnya.
Artinya yang ditargetkan adalah computer untuk pengendali perangkat IoT.

KmsdBot malware dipelihara secara aktif, menunjukkan efektivitasnya dalam serangan di dunia nyata.

Varian KmsdBot pertama di dokumentasikan perusahaan infrastruktur dan keamanan web pada November 2022.

Awalnya KmsdBot dirancang untuk menargetkan server game pribadi dan penyedia Cloud server.
Selain itu KmsdBot juga menargetkan beberapa situs pemerintah Rumania dan pendidikandi Spanyol.

Malware dirancang untuk memindai IP secara acak untuk mencari port SSH terbuka dan memaksa sistem dengan daftar kata sandi yang diunduh dari server yang dikendalikan oleh pembuatnya.
Artinya malware akan berusaha membuka atau masuk ke perangkat.

Pembaruan baru telah menggabungkan pemindaian / Scan Telnet yang memungkinkan lebih banyak target dari perangkat CPU yang digunakan di perangkat IoT.
Sejauh ini perangkat ada beberapa tipe procesor yang menjadi target - Winx86, Arm64, dan mips64, x86_64

Dari daftar yang sudah terditeksi seperti dibawah ini sisi kanan tipe CPU

66e0f3674a66647d5a9e23f47f889d4e3ad9b4a66db8f3def48d4675374d12f7 bins.sh
718fc249bcd6bc37ad229fb2d8c4037dc8dc8f4555d01934266d1a0c17d676cf watchdog.386
1f66675d2102e5d4ac89a239f9022c48b3bf23fe92dadb832d84e0eac6e476d6 watchdog.amd64
50afbf471a92acd1a0a6a2ffe199a52881eb80f683d95273302506194b2cd6ae watchdog.arm
812133033ba969731b66c63d5468556e42048bad396ef1026b5a91dda98bc289 watchdog.arm64
542791cf2dde1f449629b03ef95d3c2e0b2f98b1143d619232620d7c9459706c watchdog.mips

184f361bcf48265e74c31adee297b0cdfb1bbc39bc58f901c4ffdb69f6b589de watchdog.mips64
b09a3c2922ac519e76718c56763e39aece82c18556039be8547b166479f35555 watchdog.mips64le
b921f0de63ffae2865f5e1dbe8a52a1da505c902e2e4e2a96b85983029d311b5 watchdog.mipsle
b5eba1e7403e64559cfd40d56163ac31f3100d5e6e46be8fbb190cb82905528b watchdog.ppc64
c7a7a77343869f30004d02cba1bb24fd6c34770b40a19f37eb11c1b1d814446f watchdog.ppc64le
c8995af31396ef03270e847c1f40e1b860f3b838b7a6b0cde9decc2a3d01cad3 watchdog.s390x
d9a94d9ab91ae20cb91946f9c2513848844068914be3e9a6a5279b860febe2cc ksmdx
cad0ea256fc764f501da91c4e3b17bf08df7525d3dac376a1e23d3b40c60a7a1 download.php
803fb1cdeea499f9faaa0c95857d30d6be9d92fcce5dc176d5d3bac8d4f37eb3 ftp1.sh
733a3db1b54bac7ad8279b7b98be97833ee0e620b5be7db3159e178deb966e53 svhostb.exe

Seperti Scan SSH, dengan Scan Telnet dapat memanggil fungsi yang menghasilkan alamat IP acak, kata Cashdollar.
Lalu malware mencoba terhubung ke port 23 pada alamat IP yang ditemukan.

Pekerjaan Scan Telnet tidak berhenti menangkap atau mendengarkan / tidak mendengarkan port 23 yang sederhana.
Juga memverifikasi buffer penerima yang berisi data.

Serangan mengunakan teknik Telnet dilakukan dengan mengunduh file teks (telnet.txt) yang berisi daftar password yang lemah dan dapat ditebak.

Mengingat beberapa penguna tidak pernah merubah password di perangkat bekerja .
Mungkin dianggap aman karena tidak terkait dengan perangkat jaringan seperti computer.

Weak password target malware KmsdBot

Aktivitas serangan malware KmsdBot yang sedang berlangsung menunjukkan sasaran perangkat IoT sebagai target umum dan rentan ketika perangkat dapat terhubung di internet.

Bagaimana menanggulani malware yang sulit terditeksi ini.

Sangat mudah, bila perangkat tidak memiliki keretantana pada sistem dari produsen.

Gunakan password sendiri, dan bukan password yang mudah ditebak.

Jadi di perangkat sistem Cloud kita yang terhubung ke perangkat IoT lain seperti Smart Home, Smart Switch, monitoring, AC pintar dan lainnya.
Cukup menganti dengan password di perangkat utama yang sulit ditebak seperti keterangan gambar diatas.

Menangai Bot Kmsdbot di computer
Untuk mencari aktivitas bot ini, bila computer menjadi lambat dan task meningkat di sebuah program aktif. Lakukan EndTask, atau menonaktifkan program.

Task manager mungkin memasukan nama program KmsdBot, bisa saja nama lain.
Tapi program yang aktif dapat dicurigai bila mengunakan procesor terlalu tinggi.

Cari nama file tersebut, lihat di folder, buka browser Virustotal.com. Drag dan Drop file yang dicurigai untuk diperiksa ke layanan scanner Virustotal.com.
Layanan yang dikelola oleh Google dan vendor antivirus seperti dibawah ini gratis.
Dapat memberi laporan bila file yang di upload kesana untuk diperiksa apakah aman atau ada sesuatu yang tersembunyi.


Artikel Lain

Malware ViperSofX bersembunyi di file PDF RAR Mei 2024. Trojan Backdor Oyster di Chrome dan Teams. Malware Microsoft Office Installer infeksi dari P2P Torrent. Cari program petani di Youtube, bonus Lumma Stealer. RedLine Stealer menyamar sebagai cheat game. Hati hati mencari link software CPU-Z, WinSCP, Advanced IP Scanner gratis.

Malware Rafel RAT menyusup seperti aplikasi resmi atau aplikasi Mod. Mengambil alih smartphone, dan otentifikasi 2 faktor. Sementara tidak terditeksi PlayProtect. Smartphone dapat di remote dan ijin Admin. Target akhir Ransomware mengunci ponsel. Indonesia masuk grup ke 3 yang terditeksi. Jangan tertipu malware

NSO pembuat Pegasus diminta ungkap kode oleh Whatsapp. Pegasus terungkap mata-mata anti pemerintah Polandia. Pegasus ditemukan setidaknya 50 ribu nomor telepon. Menyusup di smartphone kalangan eksekutif, jurnalis, aktivis, badan pemerintah sebagai target. NSO grup pembuat software mata mata tersebut menolak pengunaan software mereka untuk warga biasa.

Rating palsu, keluhan rating buruk dari dokter Apr 2024. Bisnis palsu dibersihkan tahun 2023. Google membuka formulir keluhan untuk menindak informasi palsu termasuk penipuan. Menghapus konten alamat telepon pribadi yang salah. Penguna internet dapat melaporkan kesalahan alamat, khususnya kejahatan yang mengunakan alamat tertentu. Untuk edit alamat telepon dan lokasi.

Link yang disebar dengan Chrome Update Android. Sebaiknya tidak di click, walau tampilan sangat mirip dengan update biasa. Penguna ponsel Android tertipu aplikasi palsu update Chrome, meminta ijin SMS Permission. Yang di download adalah Malware MoqHao, mencuri data pribadi.

Jangan sembarangan download, terlebih program player video. Infeksi malware membuat computer sebagai proxy atau ProxyNation. Kabar telah terinfeksi 400.000 computer. Kemungkinan malware lolos dari pemeriksaan Antivirus. Diketahui mengunakan nama file terkait DigitalPulse.

Mirip seperti botnet Mirai. Botnet Condi seperti sedang membangun pasukan hardware. Sementara target yang dicari adalah WIFI Router TP-Link Archer AX21. Bagi penguna perangkat tersebut dapat memperbarui Firmware. Sebelum WIFI Router yang dipakai, suatu saat terinfeksi malware

Program terminator yang dibuat aktor Spyboy, dapat menghentikan program keamanan, atau meloloskan untuk menonaktifkan diteksi antivirus. Tim Crowdstrike membagikan bagaiaman file tersebut setelah masuk ke system OS Windows. Bahkan 23 program keamanan dapat dinonaktifkan, dan 70 vendor antivrus hanya 1 yang menditeksi

Jangan buka kiriman file sembarangan di email (terbesar), dan website / download . Penyebar malware mengunakan teknik file di kompres dan meningkat sampai 44%. Dibanding mengunakan file seperti Office Word Excel. Mengunakan kelemahan security dengan file zip password. Dan komplek serangan RAT

UC Browser selalu mengirim data situs yang dikunjungi penguna. Walau penguna sudah mengunakan mode Incognito(penyamaran), dan data seharusnya tidak ada yang disimpan di storage. UC Browser tetap mengirim data ke server mereka.

Updates for Samsung tampil di Play Store dan sudah di download 10 juta kali. Apa benar aplikasi tidak resmi dapat memberi update Pembaruan dari smartphone Samsung. Sebenarnya sih, aplikasi tersebut tidak 100 persen benar. Walau dapat di download, tapi di kunci sampai user di paksa untuk membayar.

VidMate adalah aplikasi Android untuk download video offline. Lebih dari setengah miliar penguna VidMate aplikasi di Andorid. Tanpa disadari menghabiskan kuota internet, sampai mengeringkan baterai. Iklan muncul, dan diam diam sudah di layanan berbayar. Kapan aplikasi mencurigakan tersebut aktif, sampai di tendang Play Store

Malware Loapi menyerang smartphone android. Tampil iklan, menawarkan antivirus dan konten dewasa. Hati hati bila terinfeksi membuat smartphone kepanasan karena beban aplikasi yang diinfeksi malware

Periksa perangkat sudah tersedia via online web Bullguard. Bukan computer atau smartphone disusup CCTV, terakhir Router. Banyak perangkat mengunakan password Default. Serangan di Windows dan Android. Hajime bot IOT tidak diketahui apa tujuannya, infeksi 300 ribu perangkat

Satu trojan menyerang perangkat Android , disebut PowerOffHijack. Ketika smartphone di off, dan layar terlihat off sebenarnya tidak off. Smartphone tetap berjalan seperti biasa. Munculnya animasi smartphone sedang off, lalu Trojan mulai bekerja dengan hal yang tidak biasa.



Youtube Obengplus


Trend