Hacker ได้ทำการขโมย Ethereum ซึ่งเป็นสกุลเงินดิจิตอลชนิดหนึ่ง ไปเป็นจำนวน 8.4 ล้านดอลลาร์ โดยการขโมยครั้งนี้เป็นครั้งที่ 4 แล้วสำหรับสกุลเงิน Ethereum ที่เกิดขึ้นในรอบเดือนที่ผ่านมา เมื่อรวมการโจรกรรมที่ผ่านมาทั้งหมดพบว่ามีมูลค่ารวมกว่า 32 ล้านดอลลาร์แล้ว การขโมยครั้งนี้อาศัยช่องโหว่จาก Ethereum wallet ที่ชื่อว่า Parity ซึ่งเป็น Client ที่สามารถ Plug in เข้ากับ Web Browser ที่ใช้งานอยู่ได้

ทั้งนี้ Veritaseum ซึ่งเป็นกลุ่มที่จัดตั้งขึ้นเพื่อระดมทุนใน Ethereum ได้ออกมายืนยันแล้วว่า Hacker ได้มีการขโมย Ethereum จาก ICO ไปจริงๆ ตั้งแต่วันอาทิตย์ 23 กรกฎาคมที่ผ่านมา แต่อย่างไรก็ตาม Veritaseum ก็ได้กล่าวเพิ่มเติมว่า Token ที่ถูกขโมยไปจาก ICO นั้นมีจำนวน 37000 Tokens จากทั้งหมด 1 ร้อยล้าน Tokens ซึ่งไม่ส่งผลกระทบอะไรต่อ ICO และ Veritaseum เองก็ได้ให้คำมั่นว่าทีมจะป้องกันไม่ให้มีเหตุการณ์เช่นนี้เกิดขึ้นอีกในอนาคต

ที่มา : thehackernews

Gilbert Sison และ Janus Agcaoili นักวิจัยด้านความปลอดภัยจาก Trend Micro พบ Cerber ransomware Version ใหม่ ขโมย Bitcoin Wallet และ Password ใน Browser
ransomware ตัวนี้จะค้นหาไฟล์ข้อมูลที่เกี่ยวข้องกับ Bitcoin Wallet ไม่ว่าจะเป็น wallet.

Zimperium ได้รายงานถึง Application Snapchat เวอร์ชั่นปลอมบน Google Play Store โดยหากสังเกตุจะพบว่า Snapchat เวอร์ชั่นดังกล่าวจะพัฒนามาจาก "Snap Inc.

แจ้งเตือน Adware บน macOS "Mughthesec" อาจต้องลงเครื่องใหม่ลูกเดียว

นักวิจัยด้านความปลอดภัยจาก MalwareBytes "Thomas Reed" เปิดเผยการค้นพบ Adware ตระกูลใหม่บน macOS ชื่อ Mughthesec ซึ่งถูกพัฒนามาจากมัลแวร์รุ่นเก่าในตระกูล OperatorMac ที่เคยมีการแพร่กระจายมาแล้วในช่วงที่ผ่านมา

มัลแวร์ถูกพัฒนาให้มีความสามารถในการตรวจสอบว่ากำลังถูกวิเคราะห์อยู่หรือไม่ด้วยวิธีการอ้างอิงค่า MAC address จากระบบที่มีการแพร่กระจาย ไฟล์ของมัลแวร์ Mughthesec ยังถูกรับรองโดยใบรับรองของแอปเปิลที่ถูกต้องทำให้มันสามารถผ่านการตรวจสอบจากระบบ GateKeeper ได้

Mughthesec มีการแพร่ระบาดในรูปแบบของไฟล์ชื่อ Player.

พบกลุ่มผู้ก่อการร้ายไซเบอร์แบบใหม่ในรัสเซียใช้เครื่องมือแฮ็คจาก NSA ที่เคยถูกนำมาใช้การแพร่ระบาด WannaCry และ NotPetya แต่ในครั้งนี้เป็นการกำหนดเป้าหมายเป็นเครือข่าย Wi-Fi เพื่อสอดแนมผู้ที่มาเข้าพักโรงแรมในหลายประเทศในยุโรป

นักวิจัยด้านความปลอดภัยจาก FireEye ได้เปิดเผยข้อมูลของกลุ่ม Hacker Fancy Bear ที่เคยมีการขโมยข้อมูลจากแขกที่เข้ามาพักในโรงแรมผ่านทางเครือข่าย Wi-Fi ของโรงแรม จากข้อมูลพบว่าเป็นการใช้ประโยชน์จากช่องโหว่ Windows SMB (CVE-2017-0143) ที่เรียกว่า EternalBlue

การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่ถูกส่งไปให้กับพนักงานของโรงแรม อีเมลจะมีไฟล์เอกสารที่เป็นอันตรายที่ชื่อ "Hotel_Reservation_Form.

เมื่อช่วงปลายเดือน กรกฎาคม ที่ผ่านมาผู้ใช้บริการ Internet ของ Bharat Sanchar Nigam (BSNL) และ Mahanagar Telephone Nigam Limited (MTNL) จำนวนมากในอินเดียไม่สามารถใช้บริการ Internet ได้ เนื่องจากโมเด็มและเราเตอร์กว่า 60,000 เครื่องถูกโจมตีด้วยมัลแวร์ BrickerBot

BrickerBot เป็นสายพันธุ์มัลแวร์ที่ใช้ในการโจมตีอุปกรณ์ IoT และอุปกรณ์ Network ที่ใช้ Linux โดยโมเด็มที่ติดไวรัสมัลแวร์ BrickerBot เป็นโมเด็มที่ใช้รหัสผ่านเริ่มต้น (admin / admin) ซึ่งหลังจากเหตุการณ์ดังกล่าวทาง MTNL และ BSNL ได้ทำการแจ้งให้ผู้ใช้จำนวนกว่า 2,000 รายเปลี่ยนรหัสผ่านของอุปกรณ์ใหม่ ซึ่งจะแตกต่างจากมัลแวร์อื่น ๆ ที่ทำการยึดอุปกรณ์ไว้ใช้สำหรับเป็น botnet ในการโจมตี DDoS และวัตถุประสงค์อื่น ๆ

Recommendation :
- เปลี่ยนรหัสผ่านของอุปกรณ์ที่ตั้งค่ามาจากโรงงานผลิตให้มีความมั่นคงปลอดภัยสูงขึ้น
- ปิด Service Telnet , SSH ไม่ให้สามารถเข้าถึงได้จากภายนอก
- ทำการ update patch ของอุปกรณ์ให้เป็นเวอร์ชั่นล่าสุด

ที่มา : BLEEPINGCOMPUTER

Rapid 7 เปิดเผยรายงาน ระบบกว่า 7 ล้านระบบยังมีการตั้งค่าโปรโตคอล RDP (Remote Desktop) ที่ไม่ปลอดภัย

โปรโตคอล RDP (Remote Desktop Protocol) ซึ่งให้บริการอยู่ที่พอร์ต TCP 3389 นั้นเป็นเป้าหมายสำคัญที่ผู้โจมตีมักใช้ในการเข้าถึงระบบรวมถึงแพร่กระจายมัลแวร์ เพราะเป็นช่องทางสำคัญที่ผู้โจมตีสามารถควบคุมระบบได้อย่างเบ็ดเสร็จโดยไม่จำเป็นต้องมีการโจมตีที่ซับซ้อน

Rapid 7 เปิดเผยรายงานว่า ระบบทั่วโลกกว่า 7.2 ล้านระบบ ยังคงมีการตั้งค่าการใช้งานโปรโตคอล RDP ที่ไม่ปลอดภัย หลังจากได้มีการทดสอบโดยการสแกนแบบกวาดเมื่อช่วงต้นปี 2017 ที่ผ่านมา ซึ่งหมายความว่ายังคงมีระบบที่เปิดให้ใครก็ได้สามารถพยายาม brute force และเข้าควบคุมได้อีกเป็นจำนวนมาก

อย่างไรก็ตาม Rapid 7 ยังเปิดเผยว่าระบบที่ตรวจพบว่ามีการเปิดใช้งาน RDP นั้นโดยส่วนมากกว่า 83% มีการใช้งานขั้นตอนการพิสูจน์ตัวตนที่ค่อนข้างปลอดภัย โดยมีเพียง 15% เท่านั้นที่ขั้นตอนการพิสูจน์ตัวตนยังไม่มีการเข้ารหัสและ/หรือใช้โปรโตคอลในรุ่นเก่า

อีกปัจจัยหนึ่งที่สำคัญคือการตั้งพาสเวิร์ดที่ระบบส่วนมากยังคงตั้งรหัสผ่านที่มีความแข็งแกร่งน้อยทำให้ง่ายต่อการเข้าถึงระบบ

ที่มา : bleepingcomputer

แจ้งเตือน Backdoor บนซอฟต์แวร์ Xmanager และ Xshell จาก NetSarang

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้เปิดเผยการค้นพบ backdoor "Shadowpad" หรือช่องทางลับบนซอฟต์แวร์จัดการเซิร์ฟเวอร์จาก NetSarang (อาทิ Xmaanger, Xshell)

Backdoor ดังกล่าวนั้นซ่อนอยู่ในไฟล์ nssock2.dll ซึ่งเมื่อถูกเริ่มการทำงาน มันจะทำการติดต่อไปยัง C&C server ผ่านโปรโตคอล DNS โดยเข้ารหัสข้อมูลและคำสั่งที่มีการรับส่ง ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถเก็บข้อมูลของเซิร์ฟเวอร์ที่ซอฟต์แวร์มีการเชื่อมต่อและส่งกลับไปให้ผู้โจมตีได้

จากการวิเคราะห์เบื้องต้นนั้นเชื่อว่า ผู้โจมตีน่าจะมีการเข้าถึงระบบของ Netsarang เพื่อแอบใส่ backdoor เข้าไปในช่วงที่มีการพัฒนาซอฟต์แวร์ซึ่งส่งผลให้ลายเซ็นต์ดิจิตอลของซอฟต์แวร์นั้นไม่ถูกเปลี่ยนแปลง Kaspersky ยังตรวจพบความเหมือนกันของโค้ดที่มีการใช้งานเมื่อเปรียบเทียบกับมัลแวร์อย่าง PlugX และ Winnti ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์จีน

เวอร์ชันของซอฟต์แวร์ที่ได้รับผลกระทบได้แก่:
- Xmanager Enterprise 5.0 Build 1232
- Xmanager 5.0 Build 1045
- Xshell 5.0 Build 1322
- Xftp 5.0 Build 1218
- Xlpd 5.0 Build 1220

Recommendation : แนะนำให้ตรวจสอบเวอร์ชันที่ใช้งานอยู่และอัพเดตโดยด่วน หากตรวจพบว่าใช้งานเวอร์ชันที่น่าจะมี backdoor แนะนำให้ทำการเปลี่ยนรหัสผ่านในทุกๆ ระบบที่เคยเชื่อมต่อด้วย

ที่มา : theregister

ตรวจพบปลั๊กอินบน Google Chrome ที่โดนแฮกเพิ่มขึ้นอีก 7 รายการ

นักวิจัยจาก Proofpoint ได้เปิดเผยการค้นพบเพิ่มเติมหลังจากมีการตรวจพบว่าปลั๊กอิน Web Developer ซึ่งนิยมใช้งานการในกลุ่มนักพัฒนานั้นถูกแก้ไขให้แสดงโฆษณาและส่งสแปม พบว่ายังมีปลั๊กอินอีกบางส่วนที่อาจได้รับผลกระทบด้วย

ที่มาของเหตุการณ์นี้นั้นมาจากการที่ข้อมูลของนักพัฒนาจาก A9t9 Software ซึ่งเป็นบริษัทพัฒนาซอฟต์แวร์ถูกแฮกผ่านทาง phishing ทำให้ผู้โจมตีสามารถเข้าถึงและแก้ไขซอร์สโค้ดของปลั๊กอินเพื่อแพร่กระจายสแปมหรือขโมยข้อมูลได้

ปลั๊กอินที่ได้รับผลกระทบได้แก่ Web Developer (0.4.9), Chrometana (1.1.3), Infinity New Tab (3.12.3), Web Paint (1.2.1), และ Social Fixer (20.1.1) รวมไปถึง TouchVPN และ Betternet VPN ด้วย

Recommendation : แนะนำให้ตรวจสอบ ปิดการใช้งานปลั๊กอินดังกล่าวและเปลี่ยนรหัสผ่านบัญชีผู้ใช้ใดๆ ที่เคยมีการใช้งานในเว็บเบราว์เซอร์ดังกล่าวโดยด่วน

ที่มา : threatpost

มัลแวร์ขโมยข้อมูลทางการเงินแพร่กระจายผ่านทางปลั๊กอินของ Google Chrome

นักวิจัยด้านความปลอดภัย Renato Marinho จาก Morphus Labs ได้เปิดเผยงานวิจัยล่าสุดเกี่ยวกับแคมเปญขโมยข้อมูลทางการเงินของมัลแวร์ที่มีแกนหลักเป็น extension หรือส่วนเสริมของโปรแกรเว็บเบราว์เซอร์ Google Chrome

ในการโจมตีนั้น ผู้โจมตีจะทำการหลอกลวงผู้ใช้ว่าทางธนาคารมีคำสั่งให้ติดตั้งปลั๊กอินหรือส่วนเสริมเพื่อเพิ่มความปลอดภัยในการใช้งาน โดยเมื่อติดตั้งปลั๊กอินดังกล่าวแล้ว ปลั๊กอินอันตรายนี้จะทำการบันทึกข้อมูลและรหัสผ่านเมื่อเหยื่อเข้าใช้งานเว็บไซต์ของธนาคาร และส่งกลับไปหาผู้โจมตี

ปลั๊กอินอันตรายรายนี้ถูกพัฒนาบนจาวาสคริปต์ซึ่งอาจช่วยในการหลีกเลี่ยงการตรวจจับได้ในบางกรณี Renato Marinho ได้ทำการตรวจสอบปลั๊กอินดังกล่าวกับซอฟต์แวร์ด้านความปลอดภัยหลายเจ้าผ่านทางบริการของ VirusTotal และพบว่ายังไม่มีซอฟต์แวร์ด้านความปลอดภัยรายใดระบุว่าปลั๊กอินปลอมนี้เป็นมัลแวร์

Recommendation: แนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อมีการใช้ internet banking และไม่มีติดตั้งโปรแกรมที่ไม่ทราบแหล่งที่มาหรือต้องสงสัย

ที่มา: isc.