มีรายงานการค้นพบช่องโหว่ของ ImageMagick จำนวนหลายจุด หนึ่งในช่องโหว่ระดับร้ายแรงส่งผลให้ผู้ไม่หวังดีสามารถอัพโหลดรูปภาพที่มีโค้ดอันตรายฝังอยู่เข้ามาที่ Web server เพื่อควบคุมเครื่องดังกล่าว ช่องโหว่นี้ได้รับหมายเลข CVE-2016-3714 สาเหตุของช่องโหว่ เกิดจาก ImageMagick มีความสามารถในการประมวลผลไฟล์จากแหล่งภายนอก แต่ขาดการตรวจสอบความถูกต้องของข้อมูล และนำข้อมูลดังกล่าวมาประมวลผลต่อทันที ทำให้ผู้ไม่หวังดีสามารถใส่คำสั่งอันตราย เช่น shell command เข้ามาในรูปภาพเพื่อควบคุมเครื่องได้

วิธีแก้ไขช่องโหว่ดังกล่าวทำได้โดยอัปเดต ImageMagick เป็นเวอร์ชัน 6.9.3-9 ตรวจสอบ magic byte ว่าเป็นฟอร์แมตที่ถูกต้อง และแก้ไฟล์ policy.

Intel Security Mobile Research แจ้งเตือนมัลแวร์ใน Android ที่แพร่ระบาดในประเทศแถบยุโรปตั้งแต่เมื่อต้นปีที่ผ่านมา วิธีการแพร่กระจายคือแทรกสคริปต์ในโฆษณาตามหน้าเว็บไซต์ โดยตัวสคริปต์จะสั่งให้เครื่องของผู้ใช้ดาวน์โหลดไฟล์ Android_Update_6.apk ทันทีที่เข้าเว็บไซต์ ซึ่งเป็นแอปพลิเคชันที่หลอกว่าเป็นไฟล์อัปเดตของ Android ไฟล์ apk ที่ดาวน์โหลดมาเป็นมัลแวร์

หากผู้ใช้ติดตั้งแอปพลิเคชันดังกล่าว จะถูกขโมยข้อมูล เช่น รายละเอียดอุปกรณ์ที่ใช้อยู่ หมายเลขซิม หมายเลข IMEI การเชื่อมต่อเครือข่าย เป็นต้น นอกจากนี้มัลแวร์ยังสามารถขโมยข้อมูล SMS ในเครื่องแล้วส่งออกไปยังเซิร์ฟเวอร์ที่ตั้งอยู่ในต่างประเทศได้อีกด้วย

ในประเทศไทยเคยพบการโจมตีลักษณะนี้เช่นกัน สำหรับวิธีการป้องกัน ผู้ใช้งานไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่ชัดเจน เพื่อลดความเสี่ยงอาจติดตั้งเฉพาะแอปพลิเคชันจาก Play Store เท่านั้น

ที่มา : ThaiCERT

นักวิจัยด้านความปลอดภัยค้นพบ Ransomware ตัวใหม่ที่มีชื่อว่า “7ev3n-HONE$T” ซึ่งจะทำการเข้ารหัสไฟล์ในเครื่องและเปลี่ยนนามสกุลไฟล์เป็น .R5A เพื่อเรียกค่าไถ่เป็นเงิน 1 Bitcoin หรือประมาณ 400 ดอลล่าร์ โดยยังไม่มีข้อมูลแน่นอนว่า Ransomware ดังกล่าวถูกเผยแพร่ทางไหน และยังไม่พบวิธีในการถอดรหัสเพื่อกู้คืนข้อมูล

แนะนำผู้ใช้ไม่ควรเข้าเว็บไซต์หรือเปิดไฟล์แนบที่น่าสงสัย และควรทำการอัปเดทซอฟแวร์อย่างสม่ำเสมอ

ที่มา : bleepingcomputer

สัปดาห์ที่ผ่านมา นักวิจัยด้านความมั่นคงปลอดภัยจาก Proofpoint ได้ออกมาเปิดเผยถึง Ransomware หรือมัลแวร์เรียกค่าไถ่ตัวใหม่ ชื่อว่า “CyrptXXX” ที่นอกจากจะเข้ารหัสไฟล์ข้อมูลเรียกค่าไถ่แล้ว ยังพยายามขโมยเงิน Bitcoin และ Username/Password ที่ใช้ล็อกอินของเหยื่ออีกด้วย แต่ข่าวดีคือ Kaspersky Lab ได้ออก Decrypter สำหรับปลดล็อก CryptXXX ได้สำเร็จ โดยไม่ต้องเสียค่าไถ่อีกต่อไป
หลังจาก CryptXXX ถูกติดตั้งสู่เครื่องคอมพิวเตอร์แล้ว มันจะทำการเข้ารหัสไฟล์ข้อมูลแล้วต่อท้ายนามสกุลไฟล์เป็น .crypt จากนั้นจะแสดงข้อความเรียกค่าไถ่เป็นจำนวนเงิน $500 หรือประมาณ 18,000 บาทเพื่อแลกกับกุญแจปลดรหัส แต่ที่ร้ายกาจคือ CryptXXX จะแอบขโมย Bitcoin wallet และข้อมูล Credential ต่างๆ เช่น FTP Client, Instant Messaging Client, Email และ Browser อีกด้วย
อย่างไรก็ตาม Kaspersky Lab ค้นพบจุดอ่อนของ Ransomware ดังกล่าว และได้ทำการออก Decrypter สำหรับปลดรหัสไฟล์โดยไม่ต้องจ่ายค่าไถ่เป็นที่เรียบร้อย เรียกว่า “RannohDecryptor” หลังจากที่ปลดรหัสไฟล์เรียบร้อยแล้ว สามารถถอนการติดตั้งโปรแกรม Decrypter ออกได้ทันที นอกจากนี้ แนะนำว่าให้ใช้โปรแกรม Anti-malware สแกนเครื่องคอมพิวเตอร์ทั้งหมดอีกครั้ง เพื่อให้มั่นใจว่ามัลแวร์ถูกกำจัดออกไปจากเครื่องจนหมดจริง

ที่มา : bleepingcomputer

มีรายงานว่า ธนาคาร Qatar National Bank ซึ่งมีสำนักงานใหญ่อยู่ในกรุงโดฮา ประเทศกาตาร์ ได้ถูกมือดีปล่อยข้อมูลภายในและข้อมูลทางการเงินของลูกค้าสู่อินเทอร์เน็ต ซึ่งข้อมูลที่หลุดออกมานั้นมีขนาด 1.4 GB และได้ถูกโพสต์ขึ้นเว็บไซท์ Cyptome เมื่อวานนี้
Cryptome รายงานถึงข้อมูลที่หลุดออกมานั้น ประกอบไปด้วยไฟล์จำนวน 15,460 ไฟล์ เป็นข้อมูลรายละเอียดของลูกค้า ตั้งแต่ รหัสประจำตัว, ชื่อที่ใช้ในการ Login, รหัสผ่าน, PINs, คำถามในการตั้งรหัสผ่านใหม่, เลขบัตรเครดิต และวันหมดอายุ เก็บในรูปแบบของ Clear text ซึ่งมีรายละเอียดของลูกค้ามากกว่า 1 แสนคน นอกจากนี้ยังมีข้อมูลธุรกรรมทางการเงินอื่นๆ ของธนาคารหลุดออกมาอีกด้วย
ในขณะเดียวกันผู้เชี่ยวชาญจากหลายแหล่ง ได้ทำการตรวจสอบความถูกต้องของข้อมูลที่หลุดออกมา และยืนยันตรงกันว่า ข้อมูลที่หลุดออกมานั้นเป็นของจริง โดยทดสอบด้วยการนำข้อมูลที่หลุดออกมา ทำการเข้าใช้งาน Internet Banking ซึ่งสามารถทำการเข้าใช้งานได้ แต่ยังคงมี One-time password ที่จะต้องส่งไปยังมือถือของลูกค้า ช่วยป้องกันการทำธุรกรรมไว้ได้อีกชั้นหนึ่ง นอกจากนี้ยังมีข้อมูลรายละเอียดเกี่ยวกับชุด IP Address และข้อมูลของผู้ดูแลระบบหลุดออกมาอีกด้วย
ทาง QNB ได้ออกมาประกาศว่า ไม่สามารถให้รายละเอียดใดๆ เพิ่มเติมเกี่ยวกับกรณีนี้ได้ และยังไม่มีผลกระทบใดๆ ต่อข้อมูลทางการเงินของลูกค้าธนาคาร

ที่มา : Data Breach

Juniper Networks ออกแพทช์สำหรับอุดช่องโหว่ครั้งใหญ่บนอุปกรณ์หรือแพลทฟอร์ม Junos Space เวอร์ชั่นก่อนหน้า 15.2R1 ไม่ว่าจะเป็นช่องโหว่ Privilege Escalation, CSRF, Default Authentication Credential, Information Leak และ Command Injection
นอกจากนี้ยังค้นพบช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถรันโค้ดจากระยะไกลได้ ซึ่งช่องโหว่นี้ถูกค้นพบขณะทำ Internal Review โดยมีสาเหตุมาจาก Java SE รวมแล้วอีก 6 รายการ ได้แก่ CVE-2015-4748, CVE-2015-2601, CVE-2015-2613, CVE-2015-4749, CVE-2015-2625 และ CVE-2015-2659 ผู้ดูแลระบบสามารถอุดช่องโหว่ได้ด้วยการอัพเดท Java Runtime ไปเป็นเวอร์ชั่น 1.7.0 update 85
แพทช์ล่าสุดของ Junos Space ยังช่วยอุดช่องโหว่ชื่อดังอย่าง Bar Mitzvah และ Logjam ที่ใช้โจมตี RC4 และ TLS Implementation อีกด้วย
Juniper Networks แนะนำให้อัพเดท Junos Space เป็นเวอร์ชั่นล่าสุด คือ 15.2R1 รวมทั้งควรแยก Junos Space ออกมาจากระบบเครือข่ายปกติ โดยให้เข้าถึงได้เฉพาะเครือข่ายที่เชื่อถือได้เท่านั้น นอกจากนี้ ควรรัน “Jump boxes” โดยไม่เชื่อมต่อกับอินเทอร์เน็ตโดยตรง

ที่มา : theregister

มัลแวร์เรียกค่าไถ่ชนิดใหม่ชื่อ “Jigsaw” เมื่อเข้ารหัสไฟล์ข้อมูลในเครื่องเรียบร้อยแล้วจะแสดงรูปภาพของตัวละคร Jigsaw จากภาพยนตร์เรื่อง Saw บนหน้าจอเครื่องคอมพิวเตอร์ของเหยื่อพร้อมข้อความเรียกค่าไถ่ โดยข่มขู่ว่าหากไม่จ่ายเงินจะลบไฟล์ในเครื่องทิ้งไปเรื่อยๆ โดยจะค่อยๆ ลบไฟล์ที่ถูกเข้ารหัสทุกๆ ชั่วโมง และลบทิ้งครั้งละ 1,000 ไฟล์
มัลแวร์ดังกล่าวจะถูกเปลี่ยนนามสกุลเป็น .fun และเรียกร้องให้เหยื่อจ่ายเงิน 0.4 bitcoin หรือประมาณ 160 ดอลลาร์สหรัฐ

อย่างไรก็ตาม นักวิจัยค้นพบวิธีกู้คืนไฟล์ที่ถูกเข้ารหัสลับโดยมัลแวร์นี้ได้แล้ว โดยสามารถดาวน์โหลดโปรแกรม JigSawDecrypter เพื่อใช้กู้คืนไฟล์ได้ฟรี (https://download.

Blue Coat ออกมาแจ้งเตือนถึง Ransomware ตัวใหม่ เรียกตัวเองว่า “Cyber.Police” ซึ่งพุ่งเป้าโจมตีอุปกรณ์ Android
ทีมนักวิจัยจาก Blue Coat เรียกมัลแวร์ตัวนี้ว่า “Dogspectus” โดยมีความแตกต่างจาก Ransomware ปกติเล็กน้อย คือ มัลแวร์ดังกล่าวไม่ได้ทำการเข้ารหัสไฟล์ข้อมูลของผู้ใช้ แต่จะทำการบล็อกอุปกรณ์ให้ไม่สามารถใช้งานได้ จากนั้นจะแสดงข้อความสวมรอยเป็นตำรวจไซเบอร์ของ American National Security Agency (เป็นหน่วยงานที่ไม่มีอยู่จริง) ระบุว่า ผู้ใช้ได้กระทำสิ่งผิดกฏหมายจึงต้องล็อกอุปกรณ์ไม่ให้ใช้งาน เพื่อปลดล็อกอุปกรณ์ดังกล่าว เหยื่อจำเป็นต้องซื้อ iTunes Gift Card ราคา $100 จำนวน 2 ใบแล้วส่งโค้ดมาให้ทางแฮกเกอร์ที่แอบอ้างตัวเป็นเจ้าหน้าที่
เป้าหมายหลักของ Ransomware คือ อุปกรณ์ระบบปฏิบัติการ Android เวอร์ชั่น 4.x เนื่องจาก Blue Coat ตรวจพบว่ามีอุปกรณ์ไม่น้อยกว่า 224 เครื่องที่รันเวอร์ชั่น 4.0.3 ถึง 4.4.4 ทำการติดต่อกับเซิร์ฟเวอร์ที่ใช้แพร่กระจาย Ransomware ดังกล่าว แต่ไม่พบอุปกรณ์ที่รัน Android เวอร์ชั่น 5.x หรือ 6.x เลยแม้แต่น้อย
ที่น่าสนใจสำหรับ Ransomware นี้คือ มันแพร่กระจายผ่านทาง Malvertising หรือโฆษณาที่มี Malicious JavaScript ฝังอยู่ โดยสามารถติดตั้ง Payload ได้โดยไม่ต้องอาศัยการปฏิสัมพันธ์ใดๆ กับผู้ใช้
อย่างไรก็ตาม วิธีจัดการกับ Cyber.

จากกรณีที่แฮกเกอร์เจาะเข้าระบบเซิร์ฟเวอร์ของธนาคารกลางบังคลาเทศ แล้วส่งคำร้องไปยัง Federal Reserve Bank ในนิวยอร์คเพื่อขโมยเงินกว่า $1,000 ล้านเหรียญสหรัฐฯ เคราะห์ดีที่แฮกเกอร์ดันพลาด สะกดคำผิด เลยทำให้โอนเงินสำเร็จเพียงไม่กี่รายการ สูญเงินไปเพียง $81 ล้านเหรียญ จากการตรวจสอบของ BAE Systems บริษัทป้องกันภัยจากสหราชอาณาจักรระบุว่า สาเหตุมาจากการแฮกเข้าระบบผ่านทางแพลทฟอร์มการเงินชื่อดังอย่าง SWIFT แล้วทำการปล่อยมัลแวร์ชนิดพิเศษลงไป เพื่อซ่อนหลักฐานและหลบ
การขโมยเงินจากธนาคารบังคลาเทศครั้งนี้ เรียกได้ว่าเป็นหนึ่งในการปล้นธนาคารครั้งที่ใหญ่ที่สุดในประวัติศาสตร์ ซึ่งก่อนหน้านี้ ทีมสืบสวนของตำรวจบังคลาเทศได้เปิดเผยหลักฐานสำคัญที่ระบุว่า ธนาคาใช้เพียง Router มือสองราคา $10 ในการจัดการกับระบบเครือข่ายโดยไม่มี Firewall ส่งผลให้แฮกเกอร์สามารถเข้าถึงระบบของธนาคารได้ทั้งหมด ไม่เว้นแม้แต่เซิร์ฟเวอร์ SWIFT
นักวิจัยจาก BAE Systems เปิดเผยเมื่อวันจันทร์ที่ผ่านมานี้ว่า แฮกเกอร์โจมตีธนาคารกลางบังคลาเทศด้วยการใช้มัลแวร์ที่ปรับแต่งมาเป็นพิเศษลบร่องรอยของแฮกเกอร์ โดยทำการปรับเปลี่ยนข้อมูล Log และลบประวัติการหลอกทำธุรกรรมไปจนหมด รวมไปถึงสั่งให้เครื่องพิมพ์ไม่พิมพ์ข้อมูลธุรกรรมที่หลอกทำลงไป นอกจากนี้ มัลแวร์ดังกล่าวยังสามารถดักจับและทำลายข้อความที่ยืนยันการโอนเงินทิ้งไปได้อีกด้วย ส่งผลให้ไม่สามารถตรวจจับการแฮกได้เลย

ที่มา : thehackernews

บริษัทความปลอดภัย Trend Micro ค้นพบช่องโหว่ร้ายแรงของ QuickTime for Windows สองช่องโหว่ ได้แก่ ZDI-16-241 และ ZDI-16-242 โดยช่องโหว่ดังกล่าวทำให้แฮกเกอร์อาศัยประโยชน์จากช่องโหว่ เมื่อเหยื่อเข้าชมหน้าเว็บไซต์หรือเปิดไฟล์ที่เป็นอันตราย และสามารถ remote Code Execution เพื่อติดตั้งโปรแกรมอันตรายที่เครื่องเหยื่อ ซึ่งทางแอปเปิ้ลได้หยุดการสนับสนุนการอัพเดตของ QuickTime for Windows ส่งผลให้ผู้ใช้ไม่สามารถอัพเดท QuickTime for Windows ได้

Trend Micro แนะนำให้ผู้ใช้ QuickTime for Windows ทุกคนถอนการติดตั้งโปรแกรมในทันที เนื่องจากแอปเปิ้ลหยุดการพัฒนา QuickTime for Windows มาได้สักระยะแล้ว และรองรับสูงสุดแค่ Windows 7 เท่านั้น (เวอร์ชั่นล่าสุดคือ QuickTime 7.7.9)

ที่มา : trendmicro