เมื่อสัปดาห์ที่ผ่านมา พบกลุ่ม email ที่มีการใช้ชื่อ "Wanna see the Game of Thrones in advance?" หลอกให้เหยื่อเปิด email และ download ไฟล์ที่แนบมา ซึ่งไฟล์เหล่านี้สามารถสั่งให้ผู้ใช้งานเรียกใช้ Powershell Script เพื่อทำการติดตั้ง 9002 Remote Access Trojan ส่งผลให้ผู้โจมตีสามารถเข้าควบคุมเครื่องของเหยื่อได้
เบื้องหลังการโจมตีนี้คือกลุ่ม cyber-espionage ที่ใช้ชื่อว่า Deputy Dog, Group 27 หรือ APT17
ที่มา: bleepingcomputer
Ransomware ชื่อ "Nuclear BTCWare" ค้นพบโดย Michael-Gillespie และถูกเผยแพร่โดยนักพัฒนาซอฟต์แวร์เจาะระบบ จากการ Remote จากระยะไกลไปยังเครื่องเหยื่อที่มีการตั้ง Password ที่คาดเดาได้ง่าย เมื่อแฮกเกอร์สามารถเข้าถึงเครื่องคอมพิวเตอร์เหยื่อได้จึงทำการติดตั้ง ransomware และเข้ารหัสไฟล์ของเหยื่อ
แม้ว่าวิธีการเข้ารหัสจะคล้ายกับ Ransomware อื่นๆ แต่ก็จะมีความแตกต่างบางอย่าง เช่นไฟล์เรียกค่าไถ่ชื่อ "HELP.hta" และมีคำแนะนำให้ติดต่อ black.
พบการโจมตีผ่าน email แบบใหม่ชื่อว่า ROPEMAKER ซึ่งทำให้ผู้โจมตีสามารถเปลี่ยนข้อมูลภายในของเมลที่ผู้รับได้รับผ่านไฟล์ CSS ที่มีการดาวโหลดมาจาก server (remote CSS files) ROPEMAKER มีชื่อเต็มว่า “Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky” โดยมีแนวคิดในการโจมตีด้วยการส่ง email ให้เหยื่อในรูปแบบฟอร์ม HTML แต่แทนที่จะใช้ inline หรือ embedded CSS code ในการตกแต่งตัว text ของเมลนั้น จะใช้ไฟล์ CSS ที่โหลดมาจาก server ในเครื่องของผู้โจมตีแทน
การโจมตี ROPEMAKER เกิดขึ้นเมื่อตอนที่ผู้ใช้งานทำการเปิดอีเมลอ่าน ทำให้การโจมตีสามารถข้ามผ่านระบบป้องกันหลายระบบได้ ROPEMAKER มีอยู่สองแบบ แบบแรก ROPEMAKER Switch จะเกี่ยวข้องกับการใช้ฟังก์ชัน CSS Display เพื่อเปลี่ยนข้อมูลที่แสดงภายในเมล และแบบที่สอง ROPEMAKER Matrix จะเกี่ยวกับการฝัง matrices ของ ASCII characters สำหรับทุกตัวอักษรภายในเมล
Mimecast บริษัทรักษาความปลอดภันในบอสตันออกมาให้ข้อมูลถึงเรื่องนี้ว่า ที่จริงแล้ว ROPEMAKER ไม่ใช่ช่องโหว่ หรือแม้กระทั่งบัค ยกตัวอย่างเช่น Outlook.
เมื่อวันที่ 20 สิงหาคม 2560 ที่ผ่านมา กลุ่มแฮกเกอร์ที่เรียกตัวเองว่า OurMine ได้เข้าควบคุมบัญชี Twitter และ Facebook อย่างเป็นทางการของ PlayStation Network (PSN) กลุ่มแฮกเกอร์ OurMine ประกาศว่าพวกเขาได้เข้าควบคุมบัญชีเหล่านั้นได้ และมีการระบุถึงฐานข้อมูล PlayStation Network ได้เช่นกัน ( ตัวอย่างข้อความที่โพส )
"PlayStation Network Databases leaked #OurMine," the first tweet by OurMine on the compromised PlayStation Twitter account read.
นักวิจัยด้านความปลอดภัยจาก ERPScan พบช่องโหว่ใน SAP POS Xpress Server ช่วยให้ผู้โจมตีสามารถแก้ไขไฟล์ configuration บนระบบ SAP-Point Sale, เปลี่ยนแปลงราคาสินค้า, รวบรวมข้อมูลบัตรชำระเงินและส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยได้มีการรายงานช่องโหว่ดังกล่าวไปยัง SAP แล้วในเดือนเมษายนปี พ.ศ. 2560
ช่องโหว่ดังกล่าวเกิดจาก SAP POS Xpress Server ไม่มีการตรวจสอบสิทธิ์ในการเข้าถึงระบบ ซึ่งหมายความผู้โจมตีสามารถแก้ไขข้อมูลสำคัญโดยไม่ต้องมีการยื่นยันตัวตนใดๆ โดยผู้โจมตีสามารถปรับเปลี่ยนราคาสินค้า, วิธีการชำระเงิน หรือแม้กระทั้งติดตั้ง sniffers ข้อมูลบัตรชำระเงิน
นักวิจัยกล่าวว่าผู้โจมตีจะต้องอยู่ในร้านและเชื่อมต่ออุปกรณ์พิเศษที่รันคำสั่งที่เป็นอันตรายทั้งหมดโดยอัตโนมัติ ซึ่งคืออุปกรณ์ Rasberry Pi board โดยมีค่าใช้จ่ายประมาณ 25 เหรียญ ซึ่งนักวิจัย ERPScan ได้ทดลองใช้ช่องโหว่ที่ค้นพบเพื่อปรับราคาของ Macbook Pro ที่มีราคาสูงมากให้เหลือเพียง 1 เหรียญ
ผูัเชี่ยวชาญยังเตือนว่าช่องโหว่ดังกล่าวสามารถทำให้ระบบ SAP POS ไม่สามารถใช้งานได้ และทำให้เกิดความเสียหายทางการเงินอย่างร้ายแรงต่อผู้ค้าปลีกที่ไม่ได้ติดตั้งแพทช์รักษาความปลอดภัยของ SAP โดยช่องโหว่ใน SAP Point of Sale (POS) Retail Xpress Server ได้รับการแก้ไขและแพทช์รักษาความปลอดภัย โดยสามารถดาวน์โหลดได้จาก SAP Support Portal
ที่มา : BLEEPINGCOMPUTER
Dinesh Venkatesan ผู้เชี่ยวชาญด้านความปลอดภัยของ Symantec พบแอพพลิเคชันสำหรับสร้าง Ransomware บน Android จากโฆษณาผ่าน Social Network Messaging และบนเว็บบอร์ดเกี่ยวกับการแฮ็คของจีน ที่ช่วยให้แฮ็คเกอร์สามารถดาวน์โหลดและใช้ Trojan Development Kits (TDKs) สร้าง Ransomware เป็นของตัวเองได้ ซึ่ง Ransomware ที่ถูกสร้างขึ้นมานี้จะมีพฤติกรรมคล้ายกับ Lockdroid Ransomware คือจะทำการล็อกอุปกรณ์ไม่ให้ผู้ใช้สามารถใช้งานได้ และเปลี่ยนรหัส PIN
จุดเด่นของแอปพลิเคชันนี้ คือ การทำงานโดยใช้ GUI แบบง่ายๆ ที่ช่วยให้ผู้ใช้สามารถกำหนดค่าได้โดยที่แทบไม่ต้องใช้ความรู้ด้านการเขียนโปรแกรม เมื่อดาวน์โหลดแอพพลิเคชันมาติดตั้ง หลังเปิดใช้งานแอพพลิเคชันจะให้ใส่ข้อมูลสำหรับสร้าง Ransomware เป็นของตัวเอง ได้แก่
- ข้อความที่เรียกค่าไถ่บนหน้าจอ
- รหัสที่ใช้ปลดล็อคอุปกรณ์
- ไอคอนของ ransomware-laced app
- กระบวนการเชิงคณิตศาสต์สำหรับการปรับแต่งโค้ดแบบสุ่ม
- Animations ที่จะให้แสดงผลบนหน้าจอของเครื่องที่ติด Ransomware
Recommendation
- Backups ข้อมูลอย่างสม่ำเสมอ
- ผู้ใช้งานไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่ชัดเจน
- ไม่คลิกลิงก์หรือเปิดไฟล์ ที่มาพร้อมกับอีเมลที่น่าสงสัย
- ให้ความสำคัญกับสิทธิ์ที่ app ร้องขอทุกครั้ง
ที่มา : BLEEPINGCOMPUTER
จากเหตุการณ์ที่ชายชาวโรมันสองคนถูกจับกุมจากการขโมยข้อมูลบัตรเครดิตที่ร้านค้าปลีกท้องถิ่น มีการสืบสวนเพิ่มเติมพบว่าอุปกรณ์ที่ใช้ในการขโมยข้อมูล คือสายรัดข้อมือที่สามารถงอได้ ซึ่งจะทำหน้าที่รับข้อมูลมาจากตัว skimmer ที่ฝังไว้ในตู้ ATM อีกที สายรัดข้อมือดังกล่าวทำให้หัวขโมยเหล่านี้สามารถขโมยข้อมูลออกไปได้โดยไม่จำเป็นต้องไปดึงตัว skimmer ออกมาเพื่อโหลดข้อมูล skimmer ตัวใหม่นี้ถูกเรียกในชื่อ Deep insert skimmer ซึ่งจะแตกต่างกับ typical insert skimmer ตรงที่จะถูกฝังไว้ในตำแหน่งต่างๆ ซึ่งหากมองจากมุมของลูกค้าที่ด้านหน้าของตู้จะไม่เห็นตัว skimmer เลย การเอามือปิดตอนที่กดรหัสก็เป็นอีกเรื่องหนึ่งที่สำคัญ เพราะจะช่วยป้องกันเรื่องกล้องที่หัวขโมยติดไว้เพื่อดูว่ากดรหัสตัวไหนไปบ้าง
ที่มา : krebsonsecurity
ทาง Ubuntu ออกประกาศ Security Notice (USN-3396-1) โดยรายละเอียดมีการอัพเดทและแก้ไขช่องโหว่ของโปรแกรม OpenJDK
ระบบปฏิบัติการที่ได้รับผลกระทบคือ Ubuntu 14.04 LTS
ซึ่งอัพเดทช่องโหว่กว่า 20 ช่องโหว่ โดยทั้งหมดนี้ถูกแก้ไขและอัพเดทใน OpenJDK 7
วิธีการอัพเดท สามารถทำตามขั้นตอนได้ตามลิ้งต่อไปนี้ https://wiki.
นักวิจัยแจ้งอันตรายจากลิงก์วิดีโอที่ส่งมาจากใครก็ตาม บน Facebook Messenger ไม่ควรเปิดลิงก์ดังกล่าว เนื่องจากจะทำการเปิดเว็บไซต์ปลอมที่หลอกให้ติดตั้ง Software ที่เป็นอันตราย ซึ่ง URL ที่เปิดจะพาเหยื่อไปยังปลายทางที่ต่างกันออกไปขึ้นอยู่กับ Browser และ Operating System ตัวอย่างเช่น
- ผู้ใช้ Mozilla Firefox บน Windows จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่แจ้งให้อัพเดต Flash Player พร้อมไฟล์ Windows ซึ่งมีค่าสถานะเป็น Adware Software
- ผู้ใช้ Google Chrome ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ปลอมแปลงเป็น YouTube ซึ่งจะแสดง popup หลอกให้ผู้ที่ตกเป็นเหยื่อดาวน์โหลดส่วนขยาย Chrome ที่เป็นอันตรายจาก Google Web Store
- ผู้ใช้ Safari บน Apple Mac OS X จะคล้ายกับ Firefox คือแจ้งอัพเดต Flash Player พร้อมไฟล์ระบบ MacOS ซึ่งเป็น Adware Software
เพื่อความปลอดภัย ควรระมัดระวังในการเปิดดูภาพหรือลิงก์วิดีโอที่ส่งมา ถึงแม้มาจากเพื่อนของคุณ ควรตรวจสอบความถูกต้องก่อน และให้อัพเดต Software Antivirus บนเครื่องให้เป็นรุ่นล่าสุดยู่เสมอ
ที่มา : TheHackerNews
นักวิจัยได้พบ Extension อันตรายที่อยู่บน Google’s Chrome Web Store มีจุดประสงค์เพื่อดักจับการกรอก ชื่อผู้ใช้งาน และรหัสผ่านบน Web Browser ของเครื่องเหยื่อ ซึ่งครอบคลุมถึงการเข้าใช้งาน Online Banking ด้วย Extension ตัวนี้มีชื่อว่า “Interface Online” ถูกค้นพบครั้งแรกเมื่อวันที่ 31 กรกฎาคม ที่ผ่านมา และ Google ได้ทำการ Remove ออกไปเรียบร้อยแล้ว หลังจากได้รับการแจ้งจาก Renato Marinho ซึ่งเป็นนักวิจัยจาก Morphus Labs และยังเป็นอาสาสมัครจาก SANS ด้วย แต่เมื่อวันที่ 16 สิงหาคม ที่ผ่านมา กลับพบว่า Extension ดังกล่าวกลับมาให้ดาวน์โหลดอีกครั้ง
“Interface Online” Extension จะทำการดักจับทุกการเชื่อมต่อที่ผ่าน Chrome เมื่อพบว่ามีการเชื่อมต่อไปยังเว็ปไซต์ใดๆที่อยู่ในรายการ จะเป็นการไปเรียกให้ JavaScript ที่ฝังไว้ทำงาน เพื่อทำการขโมย ชื่อผู้ใช้งาน และรหัสผ่านที่ได้ทำการกรอกลงไป จากนั้นจึงทำการส่งข้อมูลที่ได้ดังกล่าวไปยังเครื่อง C&C ของผู้โจมตี ที่น่ากังวลไปกว่านั้น จากการตรวจสอบล่าสุดพบว่าผลิตภัณฑ์ Anti-malware เพียง 3 จาก 57 เท่านั้นที่ระบุว่าไฟล์ JavaScript ดังกล่าวเป็นอันตราย (อ้างอิงจาก VirusTotal)
ดังนั้นเพื่อหลีกเลี่ยงจากการโดนขโมยข้อมูลผ่าน Web Browser ต่างๆ จึงไม่ควรดาวน์โหลด Extension หรือ Plug-in ที่ไม่มีความจำเป็นในการใช้งาน และไม่มีแหล่งที่มาที่ชัดเจน รวมถึงไม่ควรหลีกเลี่ยงการเข้าเว็ปไซต์ที่ไม่มี Certificate (https)
ที่มา : ArsTechnica