ถึงแม้จาวาเพิ่งจะออกจาวาเวอร์ชั่น 7 Update 7 ที่บล็อค Exploit ที่เป็นที่รู้จักกันทั่วไปในวันพฤหัสบดีที่ผ่านมา(30/08/12) แต่นักวิจัยทางด้านความปลอดภัย Adam Gowdiak ก็ยังบอกว่าจาวายังมีช่องโหว่เหลืออยู่ โดย Gowdiak ได้รายงานว่า เขายังพบช่องโหว่ในจาวาเวอร์ชั่นที่เพิ่งออกมา ซึ่งช่องโหว่นี้สามารถเอาไปรวมกับช่องโหว่ก่อนหน้านี้ที่เขาค้นพบเพื่อปิดการทำงานของ Sandbox ซึ่งการปิดการทำงาน Sandbox นั้นมีผลทำให้แฮกเกอร์สามารถเข้าถึงเครื่องของเหยื่อได้ง่ายขึ้น และยังทำให้แฮกเกอร์สามารถรันมัลแวร์บนเครื่องของเหยื่อเพื่อที่จะยึดเครื่องของเหยื่อได้อีกด้วย ย้อนกลับไปเดือนเมษายน Gowdiak ได้ค้นพบช่องโหว่ 29 ช่องโหว่บนจาวาและได้รายงานไปยังบริษัท Oracle โดยช่องโหว่ที่ Gowdiak ค้นพบนั้นก็เป็นช่องโหว่เดียวกับที่ใช้ Exploite จาวาเวอร์ชั่น 7 Update 6 ถึงแม้ Oracle จะปิดช่องโหว่บางอันของ Gowdiak ที่ได้รายงานไปแล้วแต่ช่องโหว่ส่วนใหญ่ก็ยังไม่ได้รับการแก้ไข โดยบริษัท Oracle ยังไม่ได้วางแผนว่าจะแก้ไขช่องโหว่ที่เหลือเมื่อไหร่ ตอนนี้ก็ได้แต่หวังว่า Oracle จะแก้ไขช่องโหว่ที่เหลือนี้ในการอัพเดทจาวาครั้งต่อไป ซึ่งมีกำหนดการอัพเดทในวันที่ 16/10/2012

ที่มา : h-online

แฮกเกอร์กลุ่ม Antisec ได้ปล่อยหมายเลขประจำเครื่อง (Unique Identifiers: UDID) ของ iOS Device ทั้งหมด 1 ล้านชุด ซึ่งพบในโน๊ตบุ๊คของเจ้าหน้าที่ FBI เมื่อเดือนมีนาคมที่ผ่านมา

เมื่อเดือนมีนาคม โน๊ตบุ๊คของ Christopher K. Stangl เจ้าหน้าที่ FBI โดนแฮกเกอร์กลุ่มนี้เจาะโดยใช้ช่องโหว่ของ Java เข้าไปโหลดไฟล์บนเดสก์ทอปที่ชื่อว่า NCFTA_iOS_devices_intel.

จากการที่ adobe ออกมาประกาศว่าจะหยุดพัฒนาโปรแกรมแฟลชบนแอนดรอยด์ และหยุดให้ผู้ใช้ดาวน์โหลดแฟลชจาก google play หลังวันที่ 15 สิงหาที่ผ่านมา จึงเป็นช่องทางให้พวกแฮกเกอร์สร้างมัลแวร์ขึ้นมาแล้วหลอกว่าเป็นโปรแกรม flash player เพราะว่ายังมีผู้ใช้อีกจำนวนมากที่ยังไม่ได้ดาวน์โหลดโปรแกรมก่อนวันที่ 15 สิงหาที่ผ่านมา โดยมัลแวร์พวกนี้จะติดตั้งโปรแกรมแฟลชลงไปจริงๆ แต่จะเป็นรุ่นที่ถูกปรับแต่งมาและไม่ได้รับการรับรองจาก adobe ซึ่งอาจจะทำให้เกิดปัญหากับเครื่องได้และไม่สามารถที่จะอัพเดตได้ รวมถึงยังส่งข้อมูลของเครื่องโทรศัพท์ออกไปให้เหล่าแฮกเกอร์อีกด้วย

ที่มา : computerworld

Apple ออกแพทซ์แก้ไขช่องโหว่ Remote Desktop เวอร์ชั่น 3.6.1 รายละเอียดช่องโหว่ (CVE-2012-0681):เมื่อมีการเชื่อมต่อ third-party VNC server กำหนดให้เข้ารหัสข้อมูลเครือข่าย แต่ข้อมูลไม่มีการเข้ารหัสและไม่มีการแจ้งเตือน ที่ปรึกษาด้านความปลอดภัยของ Apple กล่าวว่า ประเด็นนี้ไม่ส่งผลกระทบกับ  Apple Remote Desktop เวอร์ชั่น 3.5.1 แต่มีผลกระทบกับเวอร์ชั่น 3.5.2 รวมไปถึงเวอร์ชั่น 3.6.0

ล่าสุดเวอร์ชั่น 3.6.1 ที่มีการแก้ปัญหาโดยการทำ SSH tunnel สำหรับการเชื่อมต่อ VNC ตั้งค่าให้ข้อมูลที่เข้ารหัสในเครือข่าย แต่ถ้าไม่มีการเข้ารหัส ตัว ARD จะป้องกันไม่ให้มีการเชื่อมต่อ ดูรายละเอียดเพิ่มเติมได้จาก Mac App Store, System Preferences หรือเว็บไซต์ของ Apple ดาวน์โหลดได้ที่  http://www.

วิธีการที่กูเกิ้ลจ่ายเงินรางวัลเพื่อเรียกให้แฮกเกอร์มาช่วยกันหาบั๊กความปลอดภัยของ Chrome เป็นแนวทางที่กูเกิลใช้อย่างกว้างขวางเป็นรายแรกๆ และประสบความสำเร็จอย่างสูงในงาน Hack In The Box ที่มาเลเซีย ซึ่งปีนี้กูเกิลจึงทำแนวเดิมอีกครั้งในการแข่ง Pwnium 2 โดยแบ่งการบุกรุกเป็น 3 ระดับ คือ บั๊กของ Chrome อย่างเดียวจ่าย 60,000 ดอลลาร์, บั๊กจาก Chrome ประกอบกับบั๊กของวินโดวส์จ่าย 50,000 ดอลลาร์, และบั๊กจากผู้ผลิตรายอื่นเช่น Flash จ่าย 40,000 ดอลลาร์ แต่ทั้งหมดในงานจะจ่ายไม่เกิน 2 ล้านดอลลาร์ ซึ่งคงไม่มีปัญหาอะไร เพราะงานเมื่อต้นปีที่ผ่านมา กูเกิลจ่ายไปเพียง 120,000 ดอลลาร์เท่านั้น

กูเกิลระบุว่าตั้งแต่ใช้แนวทางการจ่ายเงินตอบแทนนักวิจัยด้านความปลอดภัยเหล่านี้ กูเกิลจ่ายเงินไปแล้วกว่า 1,000,000 ดอลลาร์

แนวทางเดียวกันนี้ถูกใช้โดย Mozilla, Paypal และไมโครซอฟท์ ในช่วงหลังบั๊กที่ได้เงินจาก Chrome นั้นมีน้อยลงเรื่อยๆ จนกูเกิลประกาศเพิ่มโบนัสอีก 1,000 ดอลลาร์ ขณะเดียวกันก็ระบุว่าเป็นเรื่องดีที่การแจ้งบั๊กมีน้อยลงทั้งที่เงินมากขึ้น เพราะแสดงว่าบั๊กหายากขึ้น และชุมชนรอบๆ Chrome และ Chromium ช่วยกันทำให้ซอฟต์แวร์แข็งแกร่ง

ที่มา : arstechnica

ระหว่างการสืบสวน Flame มัลแวร์ นักวิจัยของ Kaspersky Lab ได้ค้นพบโทรจันที่มีความเชื่อมโยงกับมัลแวร์ Flame ชื่อว่า Gauss โดยโทรจันตัวนี้ได้ฝังตัวอยู่ในเครื่องคอมพิวเตอร์นับหมื่นเครื่องในเลบานอน อิสราเอล และ ปาเลสไตน์ โทรจันตัวนี้สามารถขโมยข้อมูลออนไลน์ของเหยื่ออย่างเช่น รหัส, คุกกี้ส่วนบุคคล, ประวัติการเข้าชมเวบไซด์ และข้อมูลเฉพาะอื่นๆ ตอนนี้นักวิจัยยังไม่สามารถหาได้ว่า Gauss ใช้ช่องโหว่อะไรในการเข้าถึงเครื่องเป้าหมาย เท่าที่รู้ตอนนี้คือ Gauss แพร่กระจายผ่านทาง USB แฟรชไดร์ และ Exploit เครื่องของเหยื่อผ่านทางช่องโหว่ทางด้านความปลอดภัยอันเดียวกับที่ Flame และ Stuxnet ใช้ Gauss มีโครงสร้าง, ส่วนประกอบ, ช่องโหว่ที่ใช้ และวิธีการติดต่อกับ command and control servers (C&C Server) คล้ายกับ Flame มัลแวร์ ทำให้ตั้งสมมุติฐานได้ว่า Gauss มีต้นตอมาจากที่เดียวกับ Flame Gauss จะมองหาข้อมูลของเหยื่อเกี่ยวกับ Bank of Beirut, Banque Libano-Française (EBLF), Blom Bank, Byblos Bank, Credit Libanais และ Fransabank เป็นพิเศษ Gauss ได้ถูกค้นพบครั้งแรกโดย Kaspersky ในเดือนกันยายนปี 2011 และได้ถูกตั้งชื่อว่า Trojan-Spy.

นักวิจัยทางด้านความปลอดภัยของ Symantec ได้ค้นพบเวอร์ชั่นใหม่ของโทรจัน “Shylock” ที่มีการออกแบบ configuration ไฟล์มาอย่างดี โทรจันตัวนี้สามารถฝังเบอร์ติดต่อของแฮกเกอร์เข้าไปแทนเบอร์ติดต่อของธนาคารในหน้าเพจติดต่อของธนาคารออนไลน์ได้ โทรจันตัวนี้ได้ถูกค้นพบครั้งแรกในเดือนกันยายนปี 2011 โดยมีจุดประสงค์เพื่อขโมยข้อมูลธนาคารและข้อมูลธุรกรรมทางการเงินอื่นๆ  เมื่อเหยื่อติดโทรจันตัวนี้แล้วมีปัญหาในการใช้งานธนาคารออนไลน์ ถ้าเหยื่อพยายามติดต่อธนาคาร เหยื่อจะโทรไปยังเบอร์ของแฮกเกอร์แทนที่จะโทรยังเบอร์ของธนาคารเนื่องจากเบอร์ได้ถูกเปลี่ยนโดยที่เหยื่อไม่รู้ตัว ถ้าโทรไปตอนนี้จะมีเสียงบอกให้โทรไปที่อีกเบอร์หนึ่ง เมื่อโทรไปอีกเบอร์หนึ่งก็จะไม่มีคนรับ นักวิจัยของ Symantec ได้บอกว่า ไม่รู้ว่าจุดประสงค์ของแฮกเกอร์ คือ พยายามหลอกเอาข้อมูลของเหยื่อผ่านทางการสนทนาทางโทรศัพท์ หรือว่า ทำให้เหยื่อไม่สามารถติดต่อกับธนาคารเพื่อบอกปัญหาเกี่ยวกับการใช้งานบัญชีของเหยื่อได้ เพื่อที่แฮกเกอร์จะได้มีเวลาในการทำอะไรมากขึ้น

ที่มา : ehackingnews

นักวิจัยทางด้านความปลอดภัยของ Trusteer ได้ค้นพบ มัลแวร์ตัวใหม่ที่ชื่อว่า Tilon ซึ่งเป็นเวอร์ชั่นใหม่ของโทรจัน Silon โทรจัน Silon เป็นโทรจันที่ถูกค้นพบในปี 2009 โดยจะคอยดักจับ ID และ รหัสที่ผู้ใช้ใส่เข้าไปในเวบไซด์ของธนาคาร
มัลแวร์ Tilon มีเป้าหมายอยู่ที่ธนาคารต่างๆ โดยมัลแวร์ตัวนี้ได้บรรจุความสามารถในการหลบการตรวจจับของแอนตี้ไวรัสมาอย่างเต็มที่ มัลแวร์ Tilon จะทำหน้าที่เป็นเหมือนตัวกลางระหว่างเวบบราวเซอร์และเวบเซิฟเวอร์ เพื่อดักจับข้อมูลที่เหยื่อใส่เข้าไปในเวบไซด์ หลังจากที่ Tilon ดักจับข้อมูลได้แล้วมันจะส่งข้อมูลไปยัง command and control server (C&C Server) ความสามารถอีกอย่างของ Tilon คือ เปลี่ยนข้อมูลบางส่วนของหน้าเพจที่เป็นเป้าหมายด้วยข้อมูลของมันเอง Tilon สามารถหลบการตรวจจับของแอนตี้ไวรัสต่างๆได้โดยการไม่ Install ตัวมันเองลงบน  virtual machine, Install ตัวมันเองด้วยชื่อของ Service ที่มีการใช้งานอย่างถูกต้อง Tilon จะรันโค้ดอันตรายเข้าไปใน Windows processes หลังจากรันเสร็จก็จะลบตัวเองทิ้ง ภายใน Windows processes Tilon จะจับตาดูเซอวิสของตัวเองในรีจิสตรี้ และ executable ไฟล์บนดิสก์ ถ้าไฟล์เหล่านี้ถูกรบกวนมันจะ restore ตัวเองภายใน 3 วินาที

ที่มา : ehackingnews

มัลแวร์ตัวใหม่ที่ชื่อ “Dorifel” ได้แพร่กระจายไปยังเครื่องคอมพิวเตอร์นับพันเครื่องในเนเธอแลนด์และยุโรป Dorifel จะแพร่ผ่านทาง E-mail หลอกที่แนบลิ้งค์มาด้วย เมื่อเหยื่อกดลิ้งค์แล้ว เหยื่อจะถูกพาไปยังเวบหลอกที่จะดาวน์โหลดส่วนประกอบของมัลแวร์มาลงในเครื่องของเหยื่อ เมื่อมัลแวร์ถูกดาวน์โหลดมาลงในเครื่องของเหยื่อแล้วมันจะ encrypts ไฟล์บนเครื่องของเหยื่อ ซึ่งพฤติกรรมแบบนี้จะเป็นพฤติกรรมที่พบกับพวก ransomware อย่างเช่น Reveton แต่ Dorifel จะแตกต่างตรงที่มัลแวร์ตัวนี้จะไม่บังคับให้เหยื่อต้องจ่ายเงิน แต่จะมองหาไฟล์ที่อยู่บน network shares และพยายามที่จะ encrypts ไฟล์เหล่านั้นเท่านั้น นักวิจัยมัลแวร์ของ Kaspersky Lab ที่ชื่อ David Jacoby ได้ค้นหาย้อนกลับไปว่าโฮสเซิฟเวอร์ของมัลแวร์ตัวนี้อยู่ที่ไหน เมื่อค้นหาจนไปพบโฮสของมัลแวร์ Dorifel แล้วเขาได้พบว่าโฮสเซอเวอร์นั้นไม่ได้มีแค่มัลแวร์ Dorifel เท่านั้นแต่มีมัลแวร์ตัวอื่นๆที่อยู่บนโฮสนั้นด้วย และบนโฮสนั้นยังมีข้อมูลทางการเงินที่ถูกขโมยจำนวนมากด้วย โฮสเซิฟเวอร์นั้นยังมีการใช้ช่องโหว่ทางจาวา 2 ช่องโหว่ โดยหนึ่งในนั้นก็คือช่องโหว่ CVE-2012-0507 ซึ่งถูกใช้อย่างแพร่หลายในการโจมตีและมัลแวร์อื่นๆ นักวิเคราะห์ของ Fox-IT ได้ระบุว่าจากเทคนิคที่การโจมตีและมัลแวร์ต่างๆใช้ทำให้เชื่อได้ได้ว่าการโจมตีเหล่านี้มีความเกี่ยวข้องกับมัลแวร์ Zeus และ Citadel นักวิเคราะห์ของ Fox-IT ยังได้คาดเดาว่ามัลแวร์ Dorifel ได้ถูกใช้เพื่อ ทำให้เครื่องอื่นๆติดมัลแวร์ตัวนี้ผ่านทางเอกสารที่ได้เปิดแชร์ไว้ โทรจันตัวนี้ยังสามารถดาวน์โหลดและ executes payloads มัลแวร์ตัวอื่นบนเครื่องที่ติดมัลแวร์ตัวนี้ เพื่อเพิ่มปริมาณของเครื่องที่ติด Botnet อย่างไรก็ตามตอนนี้มัลแวร์ Dorifel ยังไม่ได้ใช้เพื่อดาวโหลดมัลแวร์ตัวอื่น David Jacoby ได้บอกว่า ยังไม่สามารถยืนยันความเกี่ยวข้องของมัลแวร์ Dorifel กับ Zeus หรือ Citadel แต่ที่สามารถยืนยันได้คือ เซิฟเวอร์ที่เป็นโฮสของมัลแวร์ Dorifel ได้ใช้เพื่อเก็บข้อมูลทางการเงินที่ถูกขโมย

ที่มา : threatpost

Symantec ได้รายงานว่า โทรจัน Crisis เวอร์ชั่นวินโดว์สามารถลอบเข้าไปใน VMware ได้ ซึ่งทำให้ Crisis อาจจะเป็นมัลแวร์ตัวแรกที่โจมตี virtual machines และมันยังสามารถแพร่กระจายเข้าไปในมือถือที่ใช้ระบบปฎิบัติการณ์วินโดว์ได้ด้วย เมื่อ Crisis พบไฟล์ Image บนเครื่องของเหยื่อ มันจะ Mount Image ไฟล์หลังจากนั้นมันก็จะก็อปปี้ตัวมันเองลงไปในไฟล์ Image โดยการใช้ VMware Player tool Takashi Katsuki ได้บอกว่ามัลแวร์ Crisis/Morcut ไม่ได้ exploit ช่องโหว่ใน VMware แต่ใช้ประโยชน์จากการที่โปรแกรม virtualization ทุกโปรแกรมจะถูกเก็บไว้เสมือนเป็น Local File บนเครื่อง Host ไฟล์เหล่านี้สามารถจัดการแก้ไขได้ถึงแม้ virtual machine จะไม่ได้รันอยู่ตาม Katsuki ยังได้บอกอีกว่า มัลแวร์สามารถแพร่กระจายไปยังมือถือที่ใช้ระบบปฎิบัติการณ์วินโดว์ที่เชื่อมต่อกับคอมพิวเตอร์ที่ติดมัลแวร์ตัวนี้อยู่ผ่านทาง Remote Application Programming Interface ขณะที่มัลแวร์ Crisis เวอร์ขั่นก่อนหน้านี้เน้นไปที่กิจกรรมต่างๆ มัลแวร์ Crisis เวอร์ชั่นนี้จะคอยดักจับข้อมูลการทำธุรกรรมออนไลน์อย่างเช่น การทำธุรกรรมทางการเงินออนไลน์ เป็นต้น หรือการทำวิจัยมัลแวร์ที่ทำบนเครื่อง virtual machine ที่เพิ่งลงมาใหม่ Lysa Myers ได้เขียนลงไปใน Mac Security บล็อคว่า การที่มัลแวร์ Crisis จะสามารถลอบเข้าไปใน virtual machine ได้นั้น ผู้ใช้จะต้องรันมัลแวร์ครั้งแรกภายนอก virtual machine ถ้าผู้ใช้รันมัลแวร์ภายใน virtual machine ตั้งแต่ครั้งแรกมันก็ไม่สามารถที่จะออกจาก virtual machine เพื่อแพร่ไปยังไฟล์ virtual machine image อื่นๆได้

ที่มา : threatpost