PayPal เป็นเป้าหมายสำหรับการทำ Phishing มาตลอดเนื่องด้วยความใหญ่โตและความน่าเชื่อถือเกี่ยวกับการทำธุรกรรมของ PayPal ทำให้เราเห็น Phishing website ที่ปลอมเป็น PayPal อยู่บ่อยๆ แต่พบว่า PayPal Phishing website หลายๆอันไม่เพียงแต่จะหลอกให้ user กรอก username, password เท่านั้น รวมไปถึงหลอกให้ทำการถ่าย selfie กับบัตรประชาชนส่งมาให้ด้วย
Security Researcher จาก PhishMe พบการ spam Phishing website ไปยัง user ต่างๆทั่วโลก โดย Phishing website นั้นปลอมเป็น PayPal และตั้งอยู่บนเว็บไซด์ WordPress ใน New Zealand ที่ถูกแฮ็คมา ซึ่งสิ่งที่เว็บไซด์ Phishing ดังกล่าวแตกต่างจาก Phishing ทั่วไป โดยหน้า login จะมีให้ใส่ PayPal credentials จากนั้นเมื่อ login เข้ามา(แน่นอนว่าแกล้งให้เป็นการ login สำเร็จ)ก็จะแจ้งให้ผู้ใช้งานกรอกข้อมูลบัตรเครดิต, รวมถึงให้ user ถ่ายภาพ selfie พร้อมกับถือ ID card ไปด้วย
ซึ่งเข้าใจว่าการขอข้อมูลเหล่านั้นจะนำไปสู่การสร้าง account CryptoCurrency ต่างๆ ด้วยข้อมูลที่หลอกมาได้ต่อไปนั่นเอง
ที่มา : bleepingcomputer

Kaspersky ยังคงทำ Project nomoreransom (https://www.nomoreransom.org) อย่างต่อเนื่อง ล่าสุดได้มีการพยายามหยุดยั้ง Ransomware เพิ่มเติมโดยการเผยแพร่เครื่องมือถอดรหัส Jaff Ransomware เหยื่อที่ติด Jaff Ransomware จะมีอาการคือไฟล์ถูกเข้ารหัสแล้วถูกเปลี่ยนนามสกุลไฟล์ (extension) เป็น .jaff, .wlu, .sVn) โดยเราสามารถ download ตัวถอดรหัสได้จาก http://media.

Mohamed A. Baset ชาวเม็กซิโกพบช่องโหว่ CSRF บน Metasploit Project ในส่วนของหน้าเว็บ ได้หมายเลข CVE-2017-5244 มีผลกระทบกับ Metasploit รุ่น Express, Community และ Professional ที่เป็นเวอร์ชั่นต่ำกว่า 4.14.0 หากเหยื่อคลิกลิงค์ที่มีโค้ดสำหรับโจมตี CSRF (สร้าง HTTP Request ไปยัง https://127.0.0.1:3790/tasks/stop_all) จะทำให้ Metasploit ที่กำลังสแกนอยู่ทั้งหมดนั้น หยุดสแกนทันที ผู้ใช้งาน Metasploit ควรอัพเดทเป็นเวอร์ชั่น 4.14.0 (Update 2017051801) เพื่อแก้ไขช่องโหว่

ที่มา : Seekurity Blog

ก่อนหน้านี้มีข่าวช่องโหว่ของ Samba ไปแล้ว ซึ่งแน่นอนว่ามีคนไปเปรียบเทียบกับช่องโหว่ MS17-010 ใน SMB Service ซึ่งคล้ายคลึงกันมาก จนกระทั่งให้ชื่อช่องโหว่นี้ว่า SambaCry
ล่าสุดเมื่อคืนวันที่ 7/6/2017 ที่ผ่านมามีคนพบ Malware ใน Linux ที่ใช้ช่องโหว่ CVE-2017-7494 ของ Samba ซึ่งเป็น port 445 ในการกระจายตัวเช่นเดียวกับ WannaCry เลย จนมีหลายๆคนให้ชื่อ Malware ตัวนี้ว่า SambaCry ไปเลย แต่ที่ส่วนที่แตกต่างกันคือ SambaCry จะมีการโจมตีเพื่อฝังตัวขุด Crypto Currency แทน (พฤติกรรมจะคล้ายๆกับ adylkuzz) ซึ่งนั่นทำให้หาก User นั้นติดก็จะแทบไม่รู้เรื่องเลยว่าติด malware และหากทำการนำไฟล์ malware ดังกล่าวไปตรวจใน Virustotal.

พบช่องโหว่ Remote Code Execution ใน SAMBA (ซึ่งเป็น File Server สำหรับการแชร์ไฟล์ต่างๆของ Linux) version ตั้งแต่ 3.5.0 เป็นต้นมา หากเป็น share drive แบบที่ผู้โจมตีสามารถเขียนไฟล์ได้ ก็จะสามารถยึดเครื่องได้ทันที
ช่องโหว่นี้ถูกแจ้งโดย Volker Lendecke พบว่าหาก upload library ที่ฝัง code อันตรายไว้ใน path ที่สามารถเขียนได้ จากนั้นจึงบังคับให้ SAMBA Server อ่านและรันไฟล์นั้นอีกที โดยช่องโหว่นี้ได้ CVE เป็น CVE-2017-7494

หากใครงาน SAMBA อยู่แนะนำให้รีบ update ด่วนครับ
ระบบที่ได้รับผลกระทบ: SAMBA version 3.5.0 > with writable folder sharing
ผลกระทบ: Remote Code Execution (Critical Severity)
วิธีการแก้ไข: Update เป็น version Samba 4.6.4, 4.5.10 และ 4.4.14

ที่มา: samba.

Microsoft อุดช่องโหว่จำนวนมากกว่า 92 ช่องโหว่ โดยมีช่องโหว่ที่เป็น Critical ถึง 17 ช่องโหว่และช่องโหว่ระดับสำคัญ (Important) 75 ช่องโหว่. กระทบทั้ง Edge, Internet Explorer, Office, Sharepoint, Skype for Business, Lync, และตัว Windows เอง สำคัญคือมี patch ให้ Windows XP, Windows Vista, Windows 8, Windows Server 2003 หรือ Windows Server 2003 R2 ให้อีกด้วย

Microsoft กล่าวในเรื่องการ update ให้กับ Windows รุ่นเก่าๆนั้นเพราะเป็นช่องโหว่ที่รุนแรงและหากปล่อยไปอาจส่งผลกระทบพอๆกับ WannaCry ได้นั่นเอง Microsoft จึงตัดสินใจที่จะให้บริการในการ patch ช่องโหว่ต่างๆนั่นเอง (ที่สำคัญคือ patch แต่ละตัวที่ปล่อยให้ update นั้น มีการระบุไว้ด้วยว่าจะไม่มีการตรวจสอบความถูกต้องของ License ที่ใช้งานแต่อย่างใด นั่นหมายความว่าไม่ว่าจะใช้ Windows เถื่อนหรือไม่มีการใช้งาน License ก็ยังสามารถ update ได้ปกตินั่นเอง)

ในส่วนของ patch ใน Windows version ใหม่ๆมีการติดตั้ง Patch ที่น่าสนใจหลายตัว เช่น

- ช่องโหว่ Remote Code Execution ในชุด API ที่ใช้ในการจัดการการพิมพ์ และการประมวลผล script ที่ซับซ้อน (Windows Uniscribe) ซึ่งมีข้อผิดพลาดในการจัดการ object ใน Memory (CVE-2017-0283, CVE-2017-8528)
- ช่องโหว่ Remote Code Execution ในการเปิดไฟล์ pdf ที่ถูกสร้างขึ้นมาพิเศษ (CVE-2017-0291 / CVE-2017-0292)
ช่องโหว่ Remote Code Execution ที่เกิดจากการจัดการไฟล์ CAB File ที่ไม่ดี ทำให้กลายเป็นติดตั้ง Malicious Driver และเกิด Remote Code Execution ได้ (CVE-2017-0294)
- ช่องโหว่ Remote Code Execution ในการเปิดไฟล์ LNK file หรือก็คือ shortcut นั่นเอง ซึ่งจะทำงานก็ต่อเมื่อ icon ของไฟล์นั้นๆถูกแสดง (CVE-2017-8464)
- ช่องโหว่ Remote Code Execution ใน Microsoft Edge Browser (CVE-2017-8496 / CVE-2017-8497)
ช่องโหว่ Remote Code Execution ใน Javascript scripting Engine ของ Microsoft Edge Browser (CVE-2017-8499, CVE-2017-8520, )
- ช่องโหว่ Remote Code Execution ใน Javascript Engine ของ Microsoft Edge Browser (CVE-2017-8517, CVE-2017-8522, CVE-2017-8524, CVE-2017-8548 / CVE-2017-8549)
- ช่องโหว่ Remote Code Execution ในการจัดการ embed font ซึ่งมีความเป็นไปได้ที่จะทำงานผ่านการ view Website ที่ฝัง font อันตรายได้ (CVE-2017-8527)
- ช่องโหว่ Remote Code Execution ใน Windows Search โดย Attacker สามารถส่ง SMB Message ไปยัง Windows Search Service ได้อีกด้วย(CVE-2017-8543)

Source:: technet.

Malware as a Service เป็นบริการสำหรับที่ใครอยากจะเป็นเจ้าของ malware โดยไม่สามารถเขียนเองได้ โดยบริการดังกล่าวจะมีให้ทั้ง panel ในการควบคุม malware, วิธีการส่ง spam, วิธีการสร้าง malware และอื่นๆ ซึ่งได้รับความนิยมมาหลายปีแล้ว

นักวิจัยได้พบ webiste ที่ชื่อว่า MacSpy มีการให้บริการแบบ Malware as a Service สำหรับการสร้าง malware ใน MacOS และอีกเว็บไซด์หนึ่งคือ MacRansom โดยเป็นการให้บริการแบบ Ransomware as a Service ใน MacOS เช่นกัน โดยทั้ง 2 เว็บไซด์เป็นการให้บริการอยู่ใน Dark Web ซึ่งเป็นเว็บไซด์ที่ล้วนแล้วแต่เป็นแหล่งหาที่มาไม่ได้

เว็บไซด์ทั้ง 2 เปิดให้บริการมาตั้งแต่วันที่ 25 พค. 2017 และถูกพบโดย reporter ขณะทำการ scan Dark Web โดยเว็บไซด์ทั้ง 2 เป็นผู้พัฒนาเดียวกัน โดยดูจากเว็บไซด์ที่ถูกสร้างขึ้นนั้นเหมือนกันมาก
ตอนนี้ทาง Fortinet และ ClientVault ได้ทำการแงะ malware จากเว็บไซด์ทั้ง 2 เรียบร้อยแล้ว โดยจากการวิเคราะห์สรุปเป็นดังนี้

MacRansom
- ผู้เขียน MacRansom จำเป็นต้องอนุญาต client แต่ละคนเอง, ทั้งต้องต่อรองค่าธรรมเนียมเอง และต้องทำ ransomware sample ให้เองในแต่ละครั้ง ซึ่งดูไม่ตรงจุดประสงค์ของการให้บริการแบบ RaaS ซักเท่าไหร่
- Ransomware เป็นการใช้งาน symmetric key ในการเข้ารหัส ซึ่งมีการฝัง key สำหรับการเข้ารหัสอยู่ใน source code ด้วย
- หนึ่งใน key ที่ใช้ในการเข้ารหัสเป็นการทำงานด้วยเลขที่สุ่มมาและถูกทิ้งไว้ใน memory หลังจากที่เข้ารหัสเสร็จ
- Ransomware ไม่มีการคุยกับ C&C Server นั่นหมายความว่าผู้เขียน Ransomware ไม่สามารถถอดรหัสไฟล์ได้
- Ransomware ไม่มีการใช้งานหน้าเว็บเพจการจ่ายเงินผ่าน Tor ซึ่งทำให้ user จำเป็นต้องติดต่อกับคนให้บริการเพื่อจ่ายเงินและรับ key การถอดรหัสผ่าน email แทน
- Ransomware file ไม่มีการใช้ signed ใดๆ นั่นหมายความว่าจะมีการแจ้งเตือน เมื่อมีการรัน MacOS Installation

MacSpy
- ผู้เขียน MacSpy มีการ copy code มาจาก Stack Overflow
- Spyware payload ไม่ได้มีการใช้ signed ใดๆ นั่นหมายความว่าจะมีการแจ้งเตือน เมื่อมีการรัน MacOS Installation

จากทั้งหมดทั้งมวล MacSpy น่าจะเขียนได้ดีกว่านี้ แต่ user น่าจะกลัว MacRansom มากกว่า เพราะ Ransomware มีผลกระทบกับไฟล์ของ user ทั้งนี้ยังไม่พบว่ามีการนำไฟล์ malware ทั้ง 2 ไปใช้ในการโจมตีเหตุการณ์ใดๆ
Ruben Dodge ซึ่งเป็นนักข่าวทางด้านความปลอดภัยกล่าวว่า Malware นั้นไม่ดูซับซ้อนแต่อย่างใด สามารถเช็คได้จาก Virtual Machine แต่จากงานวิจัยพบว่าตลาดของ Malware ใน Mac นั้นโตขึ้นอย่างต่อเนื่อง

ที่มา : bleepingcomputer

การแพร่กระจายนั้นไม่ได้ดังแค่เฉพาะโลกของคน IT เท่านั้น ข่าวนี้ก็คงดังมากๆในเหล่า Ransomware Developer เช่นกัน จนถึงขั้นคนเขียน Ransomware ใน Android นำเอาหน้าตาของ WannaCry มาเป็น theme ของ Ransomware ที่เค้าพัฒนาเลยทีเดียว

Avast พบ Android Ransomware ที่ชื่อว่า WannaLocker (พบครั้งแรกโดยทีม security ของ Qihoo 360)
WannaLocker จะติดไฟล์ที่เก็บใน external storage ของเครื่องที่ติด ซึ่งพบว่ามีการติดในประเทศจีน และมีค่าเรียกค่าไถ่อยู่ที่ 5-6 $ ช่องทางการจ่ายเงินจะแตกต่างจาก Ransomware ใน PC นั่นคือให้จ่ายผ่าน Alipay หรือ WeChat แทนนั่นเอง โดย WannaLocker Ransomware จะกระจายผ่านเว็บไซด์ forum เกมส์ของจีน โดยตัวมันจะปลอมตัวเองเป็น plugin ของเกมส์ King of Glory หลังจากติดตั้ง มันจะทำการซ่อนตัวเองเป็น app drawer และเริ่มทำการเข้ารหัสไฟล์ใน external storage ของเครื่อง WannaLocker ใช้ AES encryption และยกเว้นไฟล์ที่ขึ้นต้นด้วย "." และไฟล์อื่นๆที่มี “DCIM”, “download”, “miad”, ”android” และ “com.

VMware ได้ออกมาแจ้งเตือนถึงการค้นพบช่องโหว่หลายรายการบน vSphere Data Protection (VDP) และออก VMSA-2017-0010 เพื่อรวมประเด็นปัญหาด้านความมั่นคงปลอดภัยเหล่านี้เอาไว้ด้วยกัน พร้อมตั้งระดับความรุนแรงเป็นระดับสูงสุด

สำหรับปัญหาแรกที่พบนั้นก็คือปัญหา VDP Java Deserialization ที่เปิดให้ผู้โจมตีสามารถทำ Remote Command Execution ได้บน VDP ส่วนอีกปัญหาหนึ่งคือการที่ VDP นั้นมีการเก็บ Credential ของ vCenter Server เอาไว้ ทำให้ผู้โจมตีสามารถเข้าถึง Credential ของ vCenter ได้จาก VDP

ทั้งนี้ VMware แนะนำให้ผู้ใช้งานทำการอัปเดต VDP ไปใช้รุ่น 6.0.5 หรือ 6.1.4 ซึ่งแก้ไขช่องโหว่เหล่านี้ไปเรียบร้อยแล้วแทนรุ่นเดิมที่ใช้งานอยู่

ที่มา: techtalkthai , vmware

ตำรวจญี่ปุ่นสร้างผลงานตามจับผู้เขียน Ransomware ได้เป็นคนแรกโดยผู้เขียนนั้นมีอายุเพียง 14 ปีเท่านั้น โดยผู้เขียนได้ทำการ upload code ขึ้น internet เป็นที่เรียบร้อยแล้ว

จากสื่อญี่ปุ่นได้กล่าวว่าทางตำรวจได้จับผู้เขียน "cyberpatrolling" Ransomware ตัวที่มีคนติดในญี่ปุ่นได้ ซึ่งพบว่าเป็นเยาวชนอายุ 14 ปีเท่านั้น อาศัยอยู่ที่ Takatsuki ทางผู้ต้องหาเล่าว่าเรียนรู้การเขียนโค้ดดังกล่าวด้วยการนำ project open source online แล้วนำมาเขียนเพิ่มด้วยตัวเอง และทำไปเพราะความอยากรู้อยากเห็นเท่านั้น หลังจากที่เขียนเสร็จ เค้าไม่ได้เป็นคนกระจาย ransomware นี้ด้วยการ spam หรือผ่าน exploit kit แต่อย่างใด เพียงแต่ upload ขึ้น internet เท่านั้น

โดยทางผู้ต้องหาได้มีการทำโฆษณาผ่านทาง Social Network ต่างๆ เช่น Twitter เป็นต้น โดยใช้คำโฆษณาว่า "ผมสร้าง Ransomware ขึ้นมา, อยากใช้ก็โหลดไปใช้ได้เลย" ผู้ต้องหาบอกว่ากระทำไปเพราะอยากดังเท่านั้นเอง

ที่มา: bleepingcomputer