EtherPaty Breach: Another Ethereum ICO Gets Hacked

Etherparty ออกมาประกาศเมื่อวันที่ 1 ตุลาคม 2017 ว่าเว็บไซต์ของ ICO (Initial Coin Offering) ที่มีการปล่อยขาย tokens สำหรับเครื่องมือ smart contract บน blockchain ถูกแฮ็ก และเว็บไซต์จริงที่ลูกค้าโอนเงินไปเพื่อซื้อ tokens ถูกสับเปลี่ยนเป็นเว็บไซต์ที่ควบคุมโดยแฮ็กเกอร์

Etherparty บริษัทที่ให้บริการเครื่องมือสำหรับการสร้าง smart contract บน blockchain ซึ่งตั้งอยู่ที่ Vancouver ประเทศแคนาดา ซึ่งบริษัทที่มีธุรกิจลักษณะนี้จะมีรายได้จากการเปิดบริการ ICO ทำให้มีรายได้มาจากหลายแหล่ง ดังเช่น Etherparty ที่ได้มีการเปิดให้ซื้อ token ไปตั้งแต่วันที่ 1 ตุลาคม 2017 ในเวลา 9 โมงเช้าตามเวลาท้องถิ่น แต่หลังจากเปิดได้เพียง 45 นาทีก็พบว่าถูกแฮ็ก รายละเอียดจากรายงานของ Etherparty team ระบุว่าทางทีมใช้เวลาเพียง 15 นาทีในการปิดเว็บไซต์ปลอมดังกล่าว และใช้เวลาทั้งหมดราวชั่วโมงครึ่งในการแก้ปัญหาทั้งหมด หลังจากนั้นเวลา 11:35 ตามเวลาท้องถิ่น เว็บไซต์ก็สามารถกลับมาให้บริการได้ดังเดิม โดยทำการย้าย server และได้เพิ่มเติมคำเตือนให้ตรวจสอบ URL และปลายทางที่ต้องการโอนให้เรียบร้อยก่อนเสมอ

ทางบริษัทได้ออกมากล่าวว่าจะมีการชดเชยให้กับลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ดังกล่าว สืบเนื่องจากเหตุการณ์ที่ ICOs มีการถูกแฮ็คหลายต่อหลายครั้ง ทำให้ทั่วโลกเกิดการหวาดระแวง ซึ่งในเวลาต่อมาทางการจีนได้ออกมาประกาศสั่งระงับการทำธุรกรรมทุกอย่างของ ICO ทั่วประเทศ และทางสหรัฐอเมริกาเองก็ได้ออกคำเตือนอย่างเป็นทางการเกี่ยวกับเรื่องนี้แต่ยังไม่มีประกาศบังคับใช้ใดๆ แบบจีน

ที่มา : thehackernews

PORN SITE BECOMES HUB FOR MALVERTISING CAMPAIGNS

นักวิจัยจาก Proofpoint ค้นพบแคมเปญล่าสุดของ KovCoreG ที่มีเป้าหมายเป็น Pornhub ส่งผลให้ผู้ใช้อินเทอร์เน็ตในสหรัฐอเมริกา, แคนาดา, สหราชอาณาจักร และออสเตรเลีย หลายล้านคนติดมัลแวร์

กลุ่มแฮ็คเกอร์ KovCoreG เป็นที่รู้จักกันดีสำหรับการแพร่กระจายมัลแวร์ Kovter ในปี 2015 และล่าสุดในปี 2017 กลุ่มแฮ็คเกอร์ของ KovCoreG ใช้ประโยชน์จากเครือข่ายโฆษณาบน PornHub หนึ่งในเว็บไซต์สำหรับผู้ใหญ่ที่มีผู้เยี่ยมชมมากที่สุดในโลกเพื่อเผยแพร่การอัปเดตเบราว์เซอร์ปลอม ได้แก่ Chrome, Firefox และให้อัปเดตแฟลชสำหรับ Microsoft Edge / Internet Explorer ซึ่งหากผู้ใช้กดดาวน์โหลดตัวอัปเดต ไฟล์ที่โหลดมาจะเป็นไฟล์ JavaScript ที่ทำการติดตั้งมัลแวร์ Kovter

หลังจากได้รับแจ้ง ทาง PornHub ได้ปิดโฆษณาที่ใช้แพร่กระจายมัลแวร์ดังกล่าวแล้ว

ที่มา : threatpost

PORN SITE BECOMES HUB FOR MALVERTISING CAMPAIGNS

นักวิจัยจาก Proofpoint ค้นพบแคมเปญล่าสุดของ KovCoreG ที่มีเป้าหมายเป็น Pornhub ส่งผลให้ผู้ใช้อินเทอร์เน็ตในสหรัฐอเมริกา, แคนาดา, สหราชอาณาจักร และออสเตรเลีย หลายล้านคนติดมัลแวร์

กลุ่มแฮ็คเกอร์ KovCoreG เป็นที่รู้จักกันดีสำหรับการแพร่กระจายมัลแวร์ Kovter ในปี 2015 และล่าสุดในปี 2017 กลุ่มแฮ็คเกอร์ของ KovCoreG ใช้ประโยชน์จากเครือข่ายโฆษณาบน PornHub หนึ่งในเว็บไซต์สำหรับผู้ใหญ่ที่มีผู้เยี่ยมชมมากที่สุดในโลกเพื่อเผยแพร่การอัปเดตเบราว์เซอร์ปลอม ได้แก่ Chrome, Firefox และให้อัปเดตแฟลชสำหรับ Microsoft Edge / Internet Explorer ซึ่งหากผู้ใช้กดดาวน์โหลดตัวอัปเดต ไฟล์ที่โหลดมาจะเป็นไฟล์ JavaScript ที่ทำการติดตั้งมัลแวร์ Kovter

หลังจากได้รับแจ้ง ทาง PornHub ได้ปิดโฆษณาที่ใช้แพร่กระจายมัลแวร์ดังกล่าวแล้ว

ที่มา: threatpost

Market Research Firm Forrester Says Hackers Stole Sensitive Reports

Forrester หนึ่งในบริษัทผู้นำด้านการตลาดและที่ปรึกษาด้านการลงทุนที่สำคัญของโลก ออกมายอมรับเมื่อวันศุกร์ที่ผ่านมาถึงเรื่องการละเมิดความปลอดภัยที่เกิดขึ้นในช่วงสัปดาห์ที่ผ่านมา บริษัทระบุว่าถูกแฮกเกอร์โจมตี website "Forrester.

EtherPaty Breach: Another Ethereum ICO Gets Hacked

Etherparty ออกมาประกาศเมื่อวันที่ 1 ตุลาคม 2017 ว่าเว็บไซต์ของ ICO (Initial Coin Offering) ที่มีการปล่อยขาย tokens สำหรับเครื่องมือ smart contract บน blockchain ถูกแฮ็ก และเว็บไซต์จริงที่ลูกค้าโอนเงินไปเพื่อซื้อ tokens ถูกสับเปลี่ยนเป็นเว็บไซต์ที่ควบคุมโดยแฮ็กเกอร์

Etherparty บริษัทที่ให้บริการเครื่องมือสำหรับการสร้าง smart contract บน blockchain ซึ่งตั้งอยู่ที่ Vancouver ประเทศแคนาดา ซึ่งบริษัทที่มีธุรกิจลักษณะนี้จะมีรายได้จากการเปิดบริการ ICO ทำให้มีรายได้มาจากหลายแหล่ง ดังเช่น Etherparty ที่ได้มีการเปิดให้ซื้อ token ไปตั้งแต่วันที่ 1 ตุลาคม 2017 ในเวลา 9 โมงเช้าตามเวลาท้องถิ่น แต่หลังจากเปิดได้เพียง 45 นาทีก็พบว่าถูกแฮ็ก รายละเอียดจากรายงานของ Etherparty team ระบุว่าทางทีมใช้เวลาเพียง 15 นาทีในการปิดเว็บไซต์ปลอมดังกล่าว และใช้เวลาทั้งหมดราวชั่วโมงครึ่งในการแก้ปัญหาทั้งหมด หลังจากนั้นเวลา 11:35 ตามเวลาท้องถิ่น เว็บไซต์ก็สามารถกลับมาให้บริการได้ดังเดิม โดยทำการย้าย server และได้เพิ่มเติมคำเตือนให้ตรวจสอบ URL และปลายทางที่ต้องการโอนให้เรียบร้อยก่อนเสมอ

ทางบริษัทได้ออกมากล่าวว่าจะมีการชดเชยให้กับลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ดังกล่าว สืบเนื่องจากเหตุการณ์ที่ ICOs มีการถูกแฮ็คหลายต่อหลายครั้ง ทำให้ทั่วโลกเกิดการหวาดระแวง ซึ่งในเวลาต่อมาทางการจีนได้ออกมาประกาศสั่งระงับการทำธุรกรรมทุกอย่างของ ICO ทั่วประเทศ และทางสหรัฐอเมริกาเองก็ได้ออกคำเตือนอย่างเป็นทางการเกี่ยวกับเรื่องนี้แต่ยังไม่มีประกาศบังคับใช้ใดๆ แบบจีน

ที่มา: thehackernews

Sounds painful: Audio code bug lets users, apps get root on Linux

Cisco ได้รายงานถึงข้อผิดพลาดเกี่ยวกับ Advanced Linux Sound Architecture (ALSA) เมื่อวันศุกร์ที่ 13 ตุลาคมที่ผ่านมา ก่อนที่จะมีการเปิดเผย CVE ออกมาอย่างเป็นทางการ
ช่องโหว่นี้ได้รับการระบุเป็น CVE-2017-15265 แต่ให้คงสถานะเป็น reserved เอาไว้ก่อนในวันที่ประกาศ โดยเป็นช่องโหว่ที่เกิดจากความผิดพลาดของ Use-After-Free หรือความพยายามในการเข้าถึง memory ที่ถูกปล่อย(Free)

หลังจากถูกใช้งานเรียบร้อยแล้วใน ALSA ของแอพพลิเคชัน ผู้โจมตีสามารถทำการโจมตีผ่านช่องโหว่นี้จากการเรียกใช้แอพพลิเคชั่นที่สร้างขึ้นมาในระบบของเป้าหมาย หากการโจมตีสำเร็จสามารถทำให้ผู้โจมตีได้รับสิทธิ์ที่สูงขึ้นในระบบของเป้าหมายได้

แม้ว่าช่องโหว่นี้อาจจะส่งผลเฉพาะกับเครื่องที่โดนโจมตีเท่านั้น แต่การที่ผู้โจมตีสามารถทำการเพิ่มสิทธิ์ตนเองให้สูงขึ้นได้นั้น ก็ส่งผลให้ช่องโหว่นี้ถูกจัดอยู่ในระดับ High ทั้งนี้จากรายงานได้ระบุว่าได้มีการแก้ไขช่องโหว่นี้โดยการปรับฟังก์ชั่นการทำงานให้รัดกุมขึ้น และได้อัพโหลดขึ้นไปบน ALSA git tree เรียบร้อยแล้ว

ที่มา: theregister

37,000 Chrome users downloaded a fake Adblock Plus extension

ตรวจพบ extension ชื่อว่า Adblock Plus ปลอม ถูกเผยแพร่อยู่บน Chrome Web Store ที่มียอดดาวน์โหลดจากผู้ใช้งานไปแล้วกว่า 37,000 ครั้ง โดยส่วนเสริมตัวนี้มีหน้าที่เอาไว้บล็อคพวกโฆษณา เพื่อไม่ให้แสดง

ทาง SwiftOnSecurity รายงานว่า Adblock Plus ปลอมนั้น ได้ปลอมแม้กระทั่งชื่อผู้พัฒนาเพื่อหลอกให้เหยื่อหลงเชื่อ โดยใช้ชื่อว่า Adblock Plus แต่ของจริงนั้นจะถูกพัฒนาโดยชื่อ adblockplus.

FIN7 Hackers Change Attack Techniques

กลุ่มแฮกเกอร์โจมตีสถาบันการเงิน "FIN7" เปลี่ยนขั้นตอนการแพร่กระจายมัลแวร์
กลุ่มแฮกเกอร์ FIN7 (หรือรู้จักกันในชื่อ Anunak หรือ Carbanak) ซึ่งพุ่งไปที่การโจมตีสถาบันการเงิน ได้มีการเปลี่ยนรูปแบบการแพร่กระจายมัลแวร์จากเดิมที่ใช้ไฟล์ LNK หรือไฟล์ลิงค์ฝังเข้าไปในไฟล์เอกสาร เป็นการใช้ไฟล์ CMD ทำให้หลีกเลี่ยงกระบวนการตรวจจับได้
เมื่อเหยื่อทำการเปิดไฟล์เอกสารซึ่งมักถูกส่งมากับอีเมล ไฟล์เอกสารดังกล่าวจะทำการถอดรหัสตัวเองก่อนจะทำการดาวโหลดมัลแวร์มาติดตั้งบนระบบของเหยื่อ มัลแวร์ดังกล่าวทำหน้าที่เป็นช่องทางลับทำให้ผู้โจมตีสามารถเข้าถึง สั่งการและควบคุมเครื่องของเหยื่อได้ในภายหลัง การเปลี่ยนแปลงพฤติกรรมของ FIN7 ล่าสุดอาจทำให้ขั้นตอนเหล่านี้ตรวจจับได้ยากขึ้นด้วย นอกเหนือจากนั้นภายในฟังก์ชันการทำงานของมัลแวร์เอง มัลแวร์ยังสามารถที่จะดึงข้อมูลรายการผู้ติดต่ออัตโนมัติจาก Outlook ได้อีกด้วย
แนะนำให้ผู้ใช้งานระมัดระวังก่อนเปิดไฟล์แนบที่มากับอีเมล รวมไปถึงตรวจสอบแหล่งที่มาของอีเมลทุกครั้ง

ที่มา : Securityweek

New Black Box Attack Variation in Mexico

NCR ออกรายงานแจ้งเตือนเมื่อช่วงกลางสัปดาห์ทีผ่านมาหลังจากมีการตรวจพบการโจมตีตู้เอทีเอ็มที่เรียกว่า Black Box Attack ในลักษณะใหม่ในเม็กซิโกซึ่งในขณะนี้ยังไม่พบการโจมตีในลักษณะเดียวในประเทศอื่นๆ

Black box เป็นวิธีการโจมตีที่ผู้โจมตีทำการเข้าถึงระบบภายในของตู้เอทีเอ็มทางกายภาพ อาจด้วยวิธีการเจาะรูทางด้านหน้าของตัวเองแล้วสอดอุปกรณ์บางอย่างเข้าไป จากนั้นผู้โจมตีจะทำการถอดการเชื่อมต่อระบบที่ใช้จ่ายเงินซึ่งจากเดิมมีการเชื่อมต่ออยู่กับระบบสำหรับการยืนยันธุรกรรมและพิสูจน์ตัวตนของผู้ใช้งาน มาเชื่อมต่อกับอุปกรณ์เฉพาะ (black box) ที่ทำให้ผู้โจมตีสามารถควบคุมระบบจ่ายเงินได้โดยตรง

วิธีการที่ NCR ตรวจพบนั้น ผู้โจมตีจะทำการเข้าถึงระบบภายในเพื่อเชื่อมต่ออุปกรณ์เช่นเดียวกัน แต่ผู้โจมตีจะมีวิธีการเพิ่มเติมโดยการสอดกล้อง endoscope ในช่องที่เครื่องเอทีเอ็มส่งเงินออกมาโดยมีจุดประสงค์เพื่อเข้าไปแก้ไขเซ็นเซอร์ในระบบจ่ายเงินเพื่อหลอกระบบว่ามีกระบวนการยืนยันตัวตนอยู่ การหลอกนี้จะช่วยให้อุปกรณ์ black box สามารถสั่งจ่ายเงินได้เพราะระบบถูกหลอกให้เชื่อว่ามีการใช้งานจากผู้ใช้จริง

ในขณะนี้ NCR ได้มีการออกอัพเดตใหม่เพื่อป้องกันการโจมตีในลักษณะนี้แล้ว และจะมีการปล่อยอัพเดตใหญ่อีกครั้งในช่วงต้นปีหน้าเพื่อปรับปรุงระบบยืนยันตัวตนทางกายภาพให้มีความปลอดภัยมากยิ่งขึ้นด้วย

ทีมา: app.

iOS Privacy: steal.password – Easily get the user’s Apple ID password, just by asking

iOS Conclusion แจ้งเตือนระมัดระวัง Pop-up ปลอมบน iOS หลอกถาม Apple ID

นักพัฒนา Kelix Krause ได้มีการเปิดเผยแพร่ตัวอย่างการโจมตีที่ผู้ประสงค์ร้ายใช้ในการหลอกถามข้อมูลของ Apple ID ของผู้ใช้งาน โดยเพียงแค่เขียนแอปหรือสคริปต์ขึ้นมาเพื่อสร้างหน้าต่าง Pop-up ปลอมเพื่อหลอกถามข้อมูล

Kelix Krause กล่าวว่า ปัญหาของ iOS คือการแสดงหน้าต่างสำหรับกรอกข้อมูล Apple ID ที่ในบางครั้งไม่ได้จำกัดในเฉพาะแอปของแอปเปิลเอง แต่ยังแสดงนี้ในหน้าต่างแอปอีกเวลาที่ผู้ใช้งานจำเป็นต้องมีการเข้าสู่ระบบ ด้วยลักษณะนี้ผู้ประสงค์ร้ายจึงมีโอกาสในการปลอมหน้า Pop-ip นี้ขึ้นมาเพื่อหลอกข้อมูลได้

Kelix Krause ยังกล่าวเพิ่มเติมว่า วิธีการป้องกันที่ดีที่สุดคือการการกดปุ่มโฮมเพื่อปิดแอปและสังเกตพฤติกรรม คือ

- หากกดปิดแอปแล้วหน้าต่าง Pop-up สอบถามข้อมูลดังกล่าวถูกปิดไปด้วย แปลว่านั่นคือ phishing
- แต่ถ้าหากกดปิดแอปแล้วยังคงมีการแสดงหน้าต่าง Pop-up จะเป็นลักษณะของหน้าต่างจริงจากระบบ เนื่องจากแอปเปิลมีการรันหน้าต่างนี้จากต่างโปรเซสที่ไม่ใช่โปรเซสเดียวกับแอปปัจจุบัน การปิดแอปปัจจุบันจึงไม่ได้ส่งผลต่อการปิดหน้าต่างดังกล่าว

Recommendation: นอกเหนือจากนั้นการเปิดใช้งาน 2 factor authentication และการเพิ่มความระมัดระวังก็สามารถช่วยผู้ใช้งานได้มากเช่นเดียวกัน

ที่มา: krausefx