สามเดือนที่ผ่านมาได้มีการสืบสวนมัลแวร์ที่ชื่อ Backdoor.Proxybox และจากการสืบสวนก็พบว่ามัลแวร์ตัวนี้ได้มีการใช้บริการ Web Proxy ของรัสเซียที่ชื่อ Proxybox ในการซ่อน Command and Control(C&C) Server เอาไว้ มัลแวร์ตัวนี้แพร่โดยการลง Payload ไว้ในเครื่องของเหยื่อเสมือนเป็น Service ของเครื่องเหยื่อ หลังจากนั้นจะ Copy Payload ไปยังระบบและลง rootkit ไว้ในเครื่องของเหยื่อ rootkit จะทำหน้าที่ปกป้อง payload และไฟล์ที่เกี่ยวข้องกับมัลแวร์ตัวนี้จากการสแกน Payload จะเซฟตัวเองเป็นไฟล์ .DLL และเมื่อเปิดเครื่องมันจะทำเสมือนตัวเองเป็น low-level proxy service และเชื่อมต่อเครื่องของเหยื่อไปยัง C&C Server ทำให้เครื่องของเหยื่อกลายเป็นบอท จากการสืบสวนพบว่า C&C Server จะพยายามทำให้เครื่องที่อยู่ภายใต้การควบคุมออนไลน์ต่อวันไม่ต่ำกว่า 40,000 เครื่อง และได้มีการขายบอทเหล่านี้ในหน้าเวบบอร์ดของ Proxybox และเวบบอร์ดใต้ดินอื่นๆของรัสเซีย จากการสืบสวนบัญชีที่ใช้โอนเงินไปให้เจ้าของบอทพบว่าบัญชีใช้ชื่อเจ้าของเป็นชื่อยูเครนและอาศัยอยู่ในรัสเซีย

ที่มา : symantec

จากการวิจัยของนักวิจัยของ Trend Micro ได้พบว่าการโจมตีในรูปแบบ Ransomware (การล็อคเครื่องของเหยื่อทำให้ใช้งานไม่ได้ โดยถ้าจะใช้ต้องจ่ายเงินให้แฮกเกอร์เพื่อปลดล็อคเครื่อง) โดยเพิ่มการดาวน์โหลดไฟล์ MP3 ที่ไม่มีอันตรายลงไปในเครื่องของเหยื่อ ซึ่งอยู่ในโฟลเดอร์เดียวกับที่มัลแวร์ได้ลงไว้ และจะล็อคเครื่องของเหยื่อแล้วบอกเหยื่อว่าเครื่องของเหยื่อถูกบล็อคเนื่องจาก FBI พบว่ามีการใช้งานไฟล์ที่ละเมิดลิขสิทธิ์ ถ้าต้องการให้เครื่องของตนใช้งานได้ต้องจ่ายค่าปรับ 200 ดอลล่าร์เพื่อปลดล็อคเครื่อง

ที่มา : net-security

ทางการสหรัฐออกมายอมรับกรณีถูกโจมตีเครือข่ายภายในประเทศ โดยเครือข่ายเป้าหมายนั้นคือ The White House Military Office (WHMO) ซึ่งมีหน้าที่อำนวยความสะดวกด้านการทหารโดยตรงให้กับทำเนียบขาว จากการตรวจสอบเบื้องต้นพบว่าการโจมตีครั้งนี้ยังเกิดอยู่ในชั้นเครือข่ายที่ไม่เป็นความลับและระบบมีการตัดการเชื่อมต่อทันทีที่เกิดภัยคุกคาม ทำให้การโจมตีครั้งนี้ยังไม่สมบูรณ์ ซึ่งพบว่าเซิร์ฟเวอร์ที่ทำการโจมตีนั้นตั้งอยู่ในประเทศจีน โดยเชื่อว่าผู้อยู่เบื้องหลังคือกองทัพปลดแอกประชาชนจีน

ซึ่งเป้าหมายของการโจมตีอาจจะเป็นแค่ WHMO หรือกระทรวงกลาโหม เนื่องจาก WHMO นั้นมีหน้าที่อำนวยการโดยตรงต่อประธานาธิบดีเช่นการจัดการด้านอาหาร การพยาบาล การเดินทางส่วนตัว หรือการควบคุมการยิงขีปนาวุธ โดยอยู่ในการควบคุมของกระทรวงกลาโหม

ที่มา : net-security

จีเมลสามารถใช้งานในอิหร่านได้แล้วหลังจากใช้งานไม่ได้ในสัปดาห์ที่ผ่านมา โดยรัฐบาลอิหร่านได้บล็อกยูทูปมาตั้งแต่ปี 2009 และบล็อกจีเมลหลังจากวีดีโอปัญหาหมิ่นศาสนาบนยูทูปจึงได้ทำการบล็อก แต่ในวันนี้สามารถใช้งานจีเมลได้ตามปกติแล้ว (1 ต.ค.55)

(ข้อมูลเพิ่มเติม: รัฐบาลอิหร่านทำการบล็อกยูทูปตั้งแต่ปี 2009 เนื่องจากปัญหาทางการเมือง เนื่องจากมีคนนำไปใช้เป็นสื่อในการต่อต้านรัฐบาล)

ที่มา : sans

แฮกเกอร์กลุ่ม NullCrew พบช่องโหว่ xss (Cross site scripting) ใน sub domain: mobilereadiness ในเว็บของ mastercard ซึ่งสามารถที่จะส่งสคริปท์ให้ redirect ผู้ใช้ไปยังเว็บที่ attacker ต้องการได้

ที่มา : ehackingnews

ที่แคนาดา เมื่อต้นปี นักเรียนเกรด 9 จากโรงเรียน Missisauga  ได้แฮกเข้าฐานข้อมูลของโรงเรียนโดยอุปกรณ์ เช่น hacking software ที่เขานำมาเองโดยใช้คอมพิวเตอร์ในห้องเรียนวิชา business technology โดยเขาสามารถเข้าถึงข้อมูลส่วนตัวของนักเรียนและครูได้ อาจารย์ทราบเรื่องนี้จากการที่นักเรียนคนดังกล่าวเล่าให้ฟังว่าเขาสามารถแฮกระบบของโรงเรียนได้

ที่มา : ehackingnews

จากการแฮกเร้าเตอร์ที่ใช้ตามบ้านจำนวน 4.5 ล้านเร้าเตอร์ของบราซิลในปีที่ที่แล้ว(2011) นักวิจัยของ Kaspersky ที่ชื่อ Fabio Assolini  ได้ทำการสวบสวนและสรุปออกมาเป็นรายงานว่า การแฮกครั้งนี้เกิดจากเร้าเตอร์ที่ไม่ค่อยมีการอัพเดททำให้มีช่องโหว่ที่แฮกเกอร์สามารถ Remote เข้าไปยึดเร้าเตอร์ได้ และ สาเหตุอีกอย่างก็คือการที่ผู้ใช้ใช้รหัสที่เป็นค่า Default มาจากโรงงานทำให้แฮกเกอร์สามารถเข้าไปควบคุมเร้าเตอร์ได้อย่างง่ายดาย หลังจากที่แฮกเกอร์สามารถเข้ายึดเร้าเตอร์ของเหยื่อได้แล้ว แฮกเกอร์จะเข้าไปเปลี่ยนการตั้งค่า DNS ของเร้าเตอร์ทำให้เมื่อเหยื่อเข้าใช้เวบไซด์ตามปกติอย่างเช่น Google, Youtube หรือ Facebook เหยื่อจะถูก Redirect ไปยังเพจที่มีการฝังมัลแวร์เอาไว้แทน และเมื่อเหยื่อติดมัลแวร์แล้ว แฮกเกอร์ก็จะใช้มัลแวร์ที่ฝังไว้ในเครื่องของเหยื่อเพื่อขโมยข้อมูลของเหยื่อออกมา จุดประสงค์ของการแฮกครั้งนี้ก็คือ เงิน โดยได้มีการเปิดเผย IRC Chat ระหว่างแฮกเกอร์ที่ร่วมในการแฮกครั้งนี้ โดยได้มีการอธิบายไว้ว่า แฮกเกอร์คนอื่นๆได้ใช้วิธีไหนในการที่จะได้เงินมากกว่า 100,000 เรอัล(ประมาณ 50,000 ดอลล่าห์สหรัฐ) และแฮกเกอร์เหล่านั้นก็มีแผนที่จะใช้เงินที่ได้จากแฮกเป็นค่าใช้จ่ายในการเดินทางไปยังเมืองริโอเดอจาโรของประเทศบราซิล

ที่มา : ehackingnews

ทีมผู้พัฒนาของ PhpMyAdmin แจ้งเตือนผู้ใช้งานซึ่งอาจกำลังใช้งานซอลฟ์แวร์โอเพ่นซอร์ตที่ดาวน์โหลด PhpMyAdmin  มาจากเว็ปไซต์ SourceForge ซึ่งพบว่ามี Backdoor โดยตรวจพบ PHP สคริปในไฟล์ server_sync.

ตอนนี้ได้มีสแปมที่เป็น Direct Messages ซึ่งส่งมาจากบัญชีทวิสเตอร์ของเพื่อนที่เหยื่อรู้จัก โดยจะส่งข้อความมาบอกประมาณว่ามีรูปของเหยื่ออยู่ในลิ้งเฟสบุ้คที่ส่งมา ถ้าเหยื่อหลงเชื่อแล้วกดคลิ้กลิ้งค์ที่ส่งมา เหยื่อจะถูกพาไปหน้าเวบเพจปลอมที่แฮกเกอร์สร้างขึ้นมา และจะขึ้นข้อความเตือนให้เหยื่ออัพเดท Flash Player เป็นเวอร์ชั่น 10.1 ถ้าเหยื่อกดแล้วมันจะดาวโหลดไฟล์ที่ชื่อ "FlashPlayer V10.1.57.108.exe" ซึ่ง Sophos antivirus ได้ตรวจเจอว่าไฟล์ที่ดาวโหลดมานั้นเป็น Backdoor โทรจันที่ชื่อ Troj/Mdrop-EML ซึ่งเป็นโทรจันที่สามารถคัดลอกตัวเองและแพร่กระจายไปยังไดร์ฟทุกไดร์ฟที่เหยื่อสามารถเข้าถึงได้และยังสามารถแพร่กระจายผ่านเครือข่ายที่เครื่องของเหยื่อเชื่อมต่ออยู่ได้อีกด้วย ยังไม่เป็นที่แน่ชัดว่าบัญชีทวิสเตอร์ที่เป็นต้นตอในการส่งโทรจันคือบัญชีทวิสเตอร์ใด

ที่มา : ehackingnews

นักวิจัยของ Websense ได้ตรวจพบสแปมเมลมากกว่า 850,000 อีเมล์ที่หลอกว่าส่งมาจากบริษัท KLM ซึ่งเป็นบริษัทสายการบินสัญชาติเนเธอร์แลนด์ในวันจันทร์(17/09/2012)ที่ผ่านมา โดยแสปมเมลนั้นได้ใช้แบบฟอร์มเดียวกับที่ใช้ในอีเมลปกติของบริษัท KLM แต่ในสแปมเมลนั้นจะไม่โชว์ข้อมูลเกี่ยวกับรายละเอียดการเดินทางโดยจะหลอกให้เหยื่อกดเปิดไฟล์ที่แนบมาโดยบอกว่าไฟล์ที่แนบมานั้นคือรายละเอียดการเดินทาง ในการสแปมเมล์ครั้งนี้มี 2 ไบนารีไฟล์ที่ถูก extract ออกจากไฟล์ที่ถูกแนบไว้ในสแปมเมล์ โดยไฟล์ไบนารีทั้ง 2 ไฟล์ที่ถูก extract ออกมานั้นจะใช้ชื่อว่า 'KLM-e-Ticket.