Avanti Market ซึ่งเป็นผู้เชี่ยวชาญในเรื่องของตู้บริการอัตโนมัติที่มักจะพบในห้องพักต่างๆ ออกมาระบุว่ามีลูกค้าจำนวนหนึ่งจากกว่า 1.5 ล้านคน ที่อาจถูกขโมยข้อมูลส่วนตัว และ Bankcard Data รวมไปถึง Biometric Data ช่วงวันที่ 4 กรกฎาคม 2017 ที่ผ่านมาพบว่ามีการโจมตีจาก malware ที่เครื่อง Kiosk เครื่องหนึ่ง ซึ่งเรียกกันว่า Micro-Market โดยประธานของทาง Avanti Market ได้ออกมากล่าวว่า ถึงแม้ตอนนี้จะยังหาสาเหตุของการบุกรุกครั้งนี้ไม่ได้ แต่จากที่เห็นได้ชัดคือผู้ที่โจมตีใช้ประโยชน์จาก malware เพื่อให้สามารถเข้าถึงตัวข้อมูลของลูกค้าจากตัว kiosks บางตัว เนื่องจากการตั้งค่าแต่ละเครื่องที่ต่างกัน ทำให้ข้อมูลที่ถูกขโมยไปอาจแตกต่างกันตามไปด้วย เช่น ข้อมูลที่ถูกขโมยจากเครื่องหนึ่ง อีกเครื่องอาจไม่ถูกขโมยด้วยวิธีการเดิม ในตอนนี้ยังไม่เป็นที่แน่ชัดว่า Biometric Data ใดที่นำมาใช้ผูกกับ Account ของลูกค้า แต่มีฟังก์ชัน Finger Print ที่สามารถนำมาใช้ในการจ่าย ซื้อของต่างๆ ได้ ผู้เชี่ยวชาญด้านความปลอดภัยออกมาเตือนว่าการใช้งานฟังก์ชันนี้อันตรายกว่าการใช้ password เพราะว่าไม่สามารถ reset ได้ และล่าสุดทาง Chaos Computer Club ได้พิสูจน์ให้เห็นแล้วว่า finger print สามารถถูกนำไปใช้ในการ Bypass User Authentication ได้จริง ทาง Avanti Market ได้มีการแจ้งเรื่องช่องโหว่นี้ไปยังสำนักงานสืบสวนกลาง และปิดบริการระบบจ่ายเงินในหลายๆ พื้นที่ และมีบริการตรวจสอบ Credit ให้ลูกค้าฟรี

ที่มา : threatpost

ผู้พัฒนา่มัลแวร์เรียกค่าไถ่ Petya รุ่นแรกซึ่งใช้ชื่อว่า Janus ที่เคยแพร่กระจายในปี 2016 ได้มีการปล่อย master key หรือกุญแจเข้ารหัสตัวหลักที่สามารถใช้ในการถอดรหัสไฟล์ได้ เช่นเดียวกับผู้พัฒนามัลแวร์เรียกค่าไถ่ TeslaCrypt ซึ่งแพร่ระบา่ดในปี 2015 ซึ่งได้มีการปล่อยกุญแจสำหรับเข้ารหัสออกมาให้ผู้ใช้งานนำไปถอดรหัสไฟล์ได้เช่นเดียวกัน
ทาง Kaspersky Lab และนักวิจัยด้านความปลอดภัย Haserezade จาก MalwareBytes ได้ออกมายืนยันความถูกต้องของกุญแจเข้ารหัสดังกล่าวว่าสามารถใช้ในการถอดรหัสไฟล์หรือข้อมูลที่ถูกเข้ารหัสโดยมัลแวร์เรียกค่าไถ่ Petya และ GoldenEye ได้จริง แต่อย่างไรก็ตามกุญแจถอดรหัสดังกล่าวสามารถใช้ได้กับเฉพาะ Petya ในรุ่นปี 2016 เท่านั้น ไม่สามารถใช้ใช้การถอดรหัส Petya รุ่นปี 2017 ที่มีการแพร่กระจายเมื่อช่วงที่ผ่านมาได้
Hasherezade กล่าวว่าสำหรับ Petya ในรุ่นปี 2017 นั้น แม้ว่าจะมีต้นแบบในการพัฒนามาจากซอร์สโค้ดของมัลแวร์ Goldeneye แต่มันก็ขาดความสามารถในการถอดรหัสระบบที่ติดเชื้อได้ และถูกจัดให้อยู่ในกลุ่ม wiper malware ซึ่งมาในชื่อต่างๆ เช่น Not Petya, ExPetr เป็นต้น
Petya คือมัลแวร์เรียกค่าไถ่แบบเข้ารหัสซึ่งเป็นที่รู้จักกันว่าจะพุ่งเป้าไปที่ Master Boot Record ของเหยื่อแทนที่จะไปที่แหล่งเก็บไฟล์ต่างๆ บนเครื่อง รวมไปถึง network shares หรือ backups ที่เครื่องของเหยื่ออาจมีเข้าถึงอยู่อยู่ โดยมันจะทำการเรียกร้องเงินค่าไถ่เป็นจำนวน $400 เพื่อแลกกับการถอดรหัสไฟล์ อย่างไรก็ตามในช่วงเมษายน 2016 นักวิจัยได้พัฒนาเครื่องมือซึ่งทำให้เหยื่อสามารถถอดรหัสในเวอร์ชันก่อนๆ ได้โดยไม่จำเป็นต้องโอนเงินค่าไถ่

ที่มา : threatpost

นักวิจัยด้านความปลอดภัยจาก CheckPoint ประกาศการค้นพบมัลแวร์บนแอนดรอยด์ตัวใหม่ "CopyCat" แพร่กระจายไปแล้วกว่า 14 ล้านเครื่อง และน่าจะขโมยข้อมูลบัตรเครดิตไปแล้วจากกว่า 4.4 ล้านเครื่อง
CheckPoint กล่าวว่า ในจำนวนกว่า 14 ล้านเครื่องที่มีการแพร่กระจายนั้นจะมีเหยื่ออยู่ในประเทศกลุ่มเอเชียใต้และเอเชียตะวันออกเฉียงใต้เป็นหลัก โดยมีอินเดียที่มีการตรวจพบว่ามีการติดเชื้อมากที่สุด รวมไปถึงในปากีสถาน, บังกลาเทศ, อินโดนีเซียและพม่า (ยังไม่ยืนยันว่าเจอในไทย) ส่วนในอเมริกาก็มีอุปกรณ์ที่ตรวจพบมัลแวร์แล้วกว่า 280,000 เครื่อง
จากการวิเคราะห์มัลแวร์ดังกล่าว CheckPoint เปิดเผยว่า มัลแวร์มีการใช้หลายช่องโหว่ในการ "รูท" อุปกรณ์เพื่อให้ได้สิทธิ์สูงสุดในระบบ กระทบแอนดรอย์หลายรุ่นด้วยกัน หลังจากที่มัลแวร์มีสิทธิ์สูงสุดในระบบแล้ว มันจะทำการปิดฟีเจอร์รักษาความปลอดภัยทั้งหมดรวมไปถึงแก้ไขการตั้งค่าของแอพและอุปกรณ์เพื่อให้มีการแสดงโฆษณาเพื่อสร้างรายได้ รวมไปถึงขโมยข้อมูลต่างๆ
CheckPoint ยังไม่สามารถระบุแน่ชัดถึงช่องทางในการแพร่กระจายได้ แต่เชื่อกันว่า CopyCat น่าจะแพร่กระจายผ่านทาง third-party app ที่ไม่ได้อยู่บน Google Play Store และทางฟิชชิ่ง CheckPoint ยังระบุว่าผู้อยู่เบื้องหลังของ CopyCat อาจจะเป็นบริษัทโฆษณาในจีนเนื่องจากมีการตรวจพบความคล้ายคลึงและพฤติกรรมที่คล้ายกันใน CopyCat กับเครือข่ายโฆษณา MobiSummer
การป้องกัน CopyCat อย่างดีที่สุดคือการไม่ติดตั้งแอพแปลกปลอมหรือแอพที่มีที่มาที่ไม่เชื่อถือ หากสงสัยว่ามีการติดเชื้อแล้ว แนะนำทำการสำรองข้อมูลและติดตั้งระบบใหม่จะดีที่สุด

ที่มา : TheHackerNew

ช่วงก่อนหน้านี้ทาง NCR ได้ออกมาแจ้งเตือนถึงเหตุการณ์โจรกรรมข้อมูลแบบ Eavesdropping หรือ รูปแบบของการดักจับข้อมูลที่กำลังถูกนำมาใช้กับบัตรที่ใช้แทบแม่เหล็กในการอ่านค่ากับตู้ ATM model Personas และล่าสุดทาง NCR ได้ออกมาแจ้งเตือนอีกครั้งถึงการโจมตีในรูปแบบเดิมนี้กับ SelfServ ATM ใน USA
เทคนิค การทำงานของ Eavesdropping Skimming Attack คือผู้ไม่หวังดีจะทำการเจาะรูบริเวณของตัวตู้ ATM จากนั้นจะฝังอุปกรณ์ไว้เพื่ออ่านค่าจากแทบแม่เหล็กของตัวบัตรที่ผู้ใช้งานสอดเข้าไป การโจมตีที่ Personas ATM เจอนั้นคือการดักจับข้อมูลที่มุ่งเป้าหมายไปที่บอร์ดแม่เหล็กที่ทำหน้าที่เป็นตัวควบคุมบัตร ในการโจมตีครั้งใหม่กับ SelfServ ATM นั้นวิธีการได้ถูกยกระดับขึ้น แต่ยังคงหลักการทำงานเดิมอยู่
เป้าหมายการโจมตีครั้งนี้คือ model 6634 โดยผู้ไม่หวังดีทำการเจารูตู้เป็นรูปกรอบสี่เหลี่ยมบริเวณด้านข้างที่อยู่ระหว่าง ATM monitor และ Card Reader และใช้รูนี้ในการฝังตัว Eavesdropping Skimmer ไว้ข้างใต้ Card Reader เพื่อที่ตัวดักจับข้อมูลนี้จะเชื่อมต่อกับหัวอ่านค่าบัตรของตู้ได้พอดี จากนั้นก็จะทำการปกปิดร่องรอยที่เจาะไว้ ส่วนการดักจับ PIN ก็คือการแอบติดกล้องไว้เหนือแป้นกดรหัสเพื่อดูว่าผู้ใช้งานกดรหัสตัวไหนไปบ้าง
ข้อเสนอแนะ
ควรตรวจสอบตู้ ATM ให้บ่อยมากขึ้น ตรวจดูว่ามีการติดตั้งกล้องเพื่อแอบดูรหัส PIN หรือมีการติดตั้ง Skimmers เพื่อแอบลอบดึงข้อมูลจากบัตรอิเล็กทรอนิกส์หรือไม่ รวมไปถึงการติดตั้งอุปกรณ์ตรวจหา Deep Insert Skimmers

ที่มา : NRC

Joomla! ได้มีการประกาศเวอร์ชันล่าสุดคือเวอร์ชัน 3.7.3 เมื่อวันอังคารที่ผ่านมาโดยนอกเหนือจากการแก้ไขปัญหาบั๊กของโปรแกรมโดยทั่วไปแล้ว ในเวอร์ชันนี้ยังมีการแก้ปัญหาด้านความปลอดภัยทั้งหมด 3 ช่องโหว่ด้วย

ช่องโหว่แรกเป็นช่องโหว่ Information Disclosure ซึ่งกระทบตั้งแต่ Joomla! ในรุ่น 1.7.3 ถึง 3.7.2 มีความรุนแรงระดับสูง, ช่องโหว่ที่สองเป็นช่องโหว่ XSS กระทบ1.7.3 ถึง 3.7.2 และช่องโหวที่สามเป็นช่องโหว่ XSS ซึ่งกระทบ 1.5.0 ถึง 3.6.5 โดยช่องโหว่ที่สองมีความรุนแรงระดับสูงส่วนช่องโหว่ที่สามมีความรุนแรงระดับต่ำ

แนะนำให้ทำการอัพเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีระบบโดยด่วน

ที่มา : joomla

สองนักจัยจากมหาวิทยาลัยเวอร์จิเนีย ได้พัฒนาระบบช่วยการจัดรหัสผ่านที่แตกต่างจากที่เคยมีในท้องตลาด โดยทีมนักวิจัยได้อธิบายว่า Horcrux จะแทรกข้อมูลประจำตัวปลอมเข้าในฟอร์มของผู้ใช้ เนื่องจากเวลาผู้ใช้กรอกข้อมูลลงในแบบฟอร์มนั้น จะมี JSscripts ที่แอบเก็บข้อมูลในแบบฟอร์มไปก่อนที่ผู้ใช้จะกดส่งข้อมูล ทั้งสองกล่าวว่าพวกเขาป้องกันการโจมตีนี้โดย Horcrux จะใส่ข้อมูลประจำตัวปลอม(dummy)ในช่องข้อมูลเพื่อหลอก JSscripts แต่เมื่อผู้ใช้กดส่งข้อมูล Horcrux ก็จะดักจับการดำเนินการส่งฟอร์มและส่งข้อมูลจริงให้กับทางระบบ

คุณลักษณะที่สองที่ทำให้ Horcrux โดดเด่นเมื่อเทียบกับไคลเอ็นต์การจัดการรหัสผ่านอื่นๆคือ Horcrux จะกระจายข้อมูลการรับรองผู้ใช้ไปยัง Server หลายเครื่อง ซึ่งหมายความว่าหากผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ตัวใดตัวหนึ่งได้เขาจะไม่สามารถเข้าถึงรหัสผ่านทั้งหมดของผู้ใช้เพื่อจำกัดความเสียหายของเหตุการณ์ด้านความปลอดภัย นอกจากนี้ข้อมูลประจำตัวที่จัดเก็บไว้ในเซิร์ฟเวอร์หลายเครื่องยังมีการแบ่งปันข้อมูลลับโดยใช้ Cuckoo Hashing Algorithm ซึ่งช่วยจำกัดความสามารถในการกู้คืนข้อมูลรหัสผ่านของผู้บุกรุกได้แม้ว่าจะสามารถจัดการกับเซิร์ฟเวอร์เก็บรหัสผ่านได้หลายเครื่องก็ตาม แต่ข้อดีนี้ก็ตามมาด้วยข้อเสียคือผู้ใช้ต้อง Host Server เก็บรหัสผ่านของตนเองเพื่อใช้ Horcrux ซึ่งเป็นสิ่งที่ผู้ใช้ส่วนมากไม่สามารถมีเงินทุนจ่ายให้ได้

ที่มา : bleepingcomputer

แม้ว่ามัลแวร์ Petya รุ่นปี 2017 จะมีปัญหาในการถอดรหัสไฟล์ซึ่งทำให้ไม่สามารถถอดรหัสไฟล์ได้ บัญชีบิทคอยน์ที่ถูกแสดงโดยมัลแวร์ก็ยังมีการอัพเดตโดยมีการโอนเงินเข้าอย่างสม่ำเสมอจนกระทั่งเมื่อวานนี้เมื่อมีการระบุถึงการเปลี่ยนแปลงของบัญชีในลักษณะที่เป็นการโอนเงินออกไปยังบัญชีอื่น

บัญชีบิทคอยน์ของ Petya รุ่นปี 2017 เริ่มมีการโอนเงินออกไปในบัญชีอื่นในช่วงเวลา 21:30 ถึงประมาณ 22:10 เมื่อวานนี้โดยมีทั้งหมด 3 รายการ แต่ละรายการมีการโอนเงินในจำนวนที่แตกต่างกันไปยังบัญชีบิทคอยน์ปลายทางที่แตกต่างกัน

แม้ว่าในระบบของบล็อคเชนนั้นทุกๆ การทำรายการจะมีการเปิดเผยอย่างสาธารณะ แต่ในความจริงนั้นการสืบเสาะและตามรอยการเปลี่ยนถ่ายของเงินก็ยังคงทำได้ยากอยู่ ผู้พัฒนามัลแวร์อาจสามารถโอนเงินไปยังบริการที่รับและเปลี่ยนและให้บริการดังกล่าวทำการสับเปลี่ยนเงินเพื่อให้สามารถติดตามได้ยากขึ้นได้

หากใครอยากดูการเปลี่ยนแปลงของบัญชีบิทคอยน์ดังกล่าว สามารถเข้าไปดูได้ที่ https://blockchain.

หลุดมาอีกตัว โปรเจค OutlawCountry แอบเปลี่ยนเส้นทางเน็ตเวิร์กเราต์ติ้งโดย CIA

วิกิลีคส์มีการเปิดเผยข้อมูลของโปรเจค OutlawCountry ใน Vault 7 ซึ่งเป็นข้อมูลที่มีการอ้างว่ารั่วไหลามาจาก CIA เมื่อช่วงปลายเดือนมิถุนายนที่ผ่านมา โดยโปรเจคดังกล่าวมีเป้าหมายในการแอบเปลี่ยนแปลงการตั้งค่าเราต์ติ้งของเน็ตเวิร์กให้มาที่เครื่องที่ต้องการได้

โปรเจค OutlawCountry พุ่งเป้าไปที่ระบบปฏิบัติการลินุกซ์ เช่น CentOS/RHEL 6.x การโจมตีโดยใช้โปรเจค OutlawCountry จะเป็นการเพิ่มโมดูลของเคอร์เนลเข้าไป โมดูลดังกล่าวจะทำการใช้งานเครื่องมือ packet filtering อาทิ netfilter และ/หรือ iptables ในการควบคุมทราฟิก การตรวจจับการมีอยู่อาจเป็นไปได้ยากถ้าไม่รู้รายละเอียดของการตั้งค่าดังกล่าว เช่น ชื่อของ iptables และ netfilter table
แนะนำให้ผู้ใช้งานตรวจสอบการตั้งค่าของ iptables ปัจจุบันว่ามีการตั้งค่าที่แปลกปลอมหรือไม่ หากพบเจอแนะนำให้รีบแก้ไขโดยด่วน

ที่มา: hothardware

แฝงตัวในเงา มัลแวร์เรียกค่าไถ่ FakeCry โจมตีระบบในยูเครนในช่วงเวลาเดียวกับ ExPetr/Petya

นักวิจัยด้านความปลอดภัยของ Kaspersky ได้เปิดเผยผลการวิเคราะห์มัลแวร์เรียกค่าไถ่ FakeCry ซึ่งใช้โอกาสในการแพร่กระจายของ ExPetr/Petya แพร่กระจายโจมตีระบบในยูเครน
แต่เดิมนั้น ExPetr/Petya ใช้วิธีการแพร่กระจายในหลายช่องทางซึ่งมีทั้งการแพร่กระจายด้วยลักษณะของการโจมตีแบบ watering hole และการแฝงตัวเข้าไปในอัพเดตของโปรแกรม MeDoc ทีมของ Kaspersky ตรวจพบว่าตามช่องทางการอัพเดตของโปรแกรม MeDoc นั้น ซอฟต์แวร์ของ Kaspersky ยังตรวจพบมัลแวร์อีกประเภทหนึ่งนอกจาก ExPetr/Petya

มัลแวร์อีกชนิดหนึ่งที่ถูกตรวจพบนั้นยังคงเป็นมัลแวร์เรียกค่าไถ่ทีมีลักษณะใกล้เคียงกับ WannaCry แต่ถูกพัฒนาโดยใช้ .NET ทีมจาก Kaspersky ยังคงหาความสัมพันธ์อื่นระหว่างมัลแวร์ตัวนี้ซึ่งภายหลังถูกเรียกว่า FakeCry กับ ExPetr/Petya ไม่ได้ว่ามีความเกี่ยวข้องกันอย่างไร หลักฐานเพียงอย่างเดียวคือการแพร่กระจายในช่วงเวลาที่ใกล้เคียงกันและในช่องทางเดียวกัน

ที่มา: securelist

บริษัทความปลอดภัย Darktrace ระบุว่าเริ่มค้นพบมัลแวร์รูปแบบใหม่ๆ ที่นำเทคนิคด้าน AI มาใช้งาน เพื่อให้มัลแวร์สามารถเรียนรู้สภาพแวดล้อม และปลอมตัวได้เนียนกว่าเดิม

Nicole Eagan ซีอีโอของ Darktrace กล่าวว่ามัลแวร์กลุ่มนี้จะปรับพฤติกรรมไปเรื่อยๆ เพื่อให้อยู่ในระบบโดยไม่ถูกตรวจจับได้นานที่สุดเท่าที่จะทำได้ อย่างไรก็ตาม มัลแวร์กลุ่มนี้ยังไม่ได้มีศักยภาพด้าน AI เต็มขั้น แต่ก็เริ่มหยิบบางส่วนมาใช้งาน

อีกประเด็นที่น่าสนใจคือมัลแวร์เหล่านี้ถูกพบในประเทศกำลังพัฒนา มากกว่าประเทศพัฒนาแล้ว เนื่องจากบริษัทยักษ์ใหญ่ในประเทศพัฒนาแล้วมีระบบป้องกันทางไอทีที่เข้มแข็งกว่า ส่งผลให้แฮ็กเกอร์หันไปทดสอบมัลแวร์ของตัวเองในประเทศที่ไม่ได้สนใจความปลอดภัยไซเบอร์มากนัก ตัวอย่างที่โด่งดังคือ การแฮ็กธนาคารกลางของบังกลาเทศ ที่ในภายหลัง Symantec พบการโจมตีรูปแบบเดียวกัน ถูกใช้ในอีก 31 ประเทศ

ที่มา : BLOGNONE