นักวิจัยทางด้านความปลอดภัยของ Trusteer ได้ค้นพบ มัลแวร์ตัวใหม่ที่ชื่อว่า Tilon ซึ่งเป็นเวอร์ชั่นใหม่ของโทรจัน Silon โทรจัน Silon เป็นโทรจันที่ถูกค้นพบในปี 2009 โดยจะคอยดักจับ ID และ รหัสที่ผู้ใช้ใส่เข้าไปในเวบไซด์ของธนาคาร
มัลแวร์ Tilon มีเป้าหมายอยู่ที่ธนาคารต่างๆ โดยมัลแวร์ตัวนี้ได้บรรจุความสามารถในการหลบการตรวจจับของแอนตี้ไวรัสมาอย่างเต็มที่ มัลแวร์ Tilon จะทำหน้าที่เป็นเหมือนตัวกลางระหว่างเวบบราวเซอร์และเวบเซิฟเวอร์ เพื่อดักจับข้อมูลที่เหยื่อใส่เข้าไปในเวบไซด์ หลังจากที่ Tilon ดักจับข้อมูลได้แล้วมันจะส่งข้อมูลไปยัง command and control server (C&C Server) ความสามารถอีกอย่างของ Tilon คือ เปลี่ยนข้อมูลบางส่วนของหน้าเพจที่เป็นเป้าหมายด้วยข้อมูลของมันเอง Tilon สามารถหลบการตรวจจับของแอนตี้ไวรัสต่างๆได้โดยการไม่ Install ตัวมันเองลงบน  virtual machine, Install ตัวมันเองด้วยชื่อของ Service ที่มีการใช้งานอย่างถูกต้อง Tilon จะรันโค้ดอันตรายเข้าไปใน Windows processes หลังจากรันเสร็จก็จะลบตัวเองทิ้ง ภายใน Windows processes Tilon จะจับตาดูเซอวิสของตัวเองในรีจิสตรี้ และ executable ไฟล์บนดิสก์ ถ้าไฟล์เหล่านี้ถูกรบกวนมันจะ restore ตัวเองภายใน 3 วินาที

ที่มา : ehackingnews

มัลแวร์ตัวใหม่ที่ชื่อ “Dorifel” ได้แพร่กระจายไปยังเครื่องคอมพิวเตอร์นับพันเครื่องในเนเธอแลนด์และยุโรป Dorifel จะแพร่ผ่านทาง E-mail หลอกที่แนบลิ้งค์มาด้วย เมื่อเหยื่อกดลิ้งค์แล้ว เหยื่อจะถูกพาไปยังเวบหลอกที่จะดาวน์โหลดส่วนประกอบของมัลแวร์มาลงในเครื่องของเหยื่อ เมื่อมัลแวร์ถูกดาวน์โหลดมาลงในเครื่องของเหยื่อแล้วมันจะ encrypts ไฟล์บนเครื่องของเหยื่อ ซึ่งพฤติกรรมแบบนี้จะเป็นพฤติกรรมที่พบกับพวก ransomware อย่างเช่น Reveton แต่ Dorifel จะแตกต่างตรงที่มัลแวร์ตัวนี้จะไม่บังคับให้เหยื่อต้องจ่ายเงิน แต่จะมองหาไฟล์ที่อยู่บน network shares และพยายามที่จะ encrypts ไฟล์เหล่านั้นเท่านั้น นักวิจัยมัลแวร์ของ Kaspersky Lab ที่ชื่อ David Jacoby ได้ค้นหาย้อนกลับไปว่าโฮสเซิฟเวอร์ของมัลแวร์ตัวนี้อยู่ที่ไหน เมื่อค้นหาจนไปพบโฮสของมัลแวร์ Dorifel แล้วเขาได้พบว่าโฮสเซอเวอร์นั้นไม่ได้มีแค่มัลแวร์ Dorifel เท่านั้นแต่มีมัลแวร์ตัวอื่นๆที่อยู่บนโฮสนั้นด้วย และบนโฮสนั้นยังมีข้อมูลทางการเงินที่ถูกขโมยจำนวนมากด้วย โฮสเซิฟเวอร์นั้นยังมีการใช้ช่องโหว่ทางจาวา 2 ช่องโหว่ โดยหนึ่งในนั้นก็คือช่องโหว่ CVE-2012-0507 ซึ่งถูกใช้อย่างแพร่หลายในการโจมตีและมัลแวร์อื่นๆ นักวิเคราะห์ของ Fox-IT ได้ระบุว่าจากเทคนิคที่การโจมตีและมัลแวร์ต่างๆใช้ทำให้เชื่อได้ได้ว่าการโจมตีเหล่านี้มีความเกี่ยวข้องกับมัลแวร์ Zeus และ Citadel นักวิเคราะห์ของ Fox-IT ยังได้คาดเดาว่ามัลแวร์ Dorifel ได้ถูกใช้เพื่อ ทำให้เครื่องอื่นๆติดมัลแวร์ตัวนี้ผ่านทางเอกสารที่ได้เปิดแชร์ไว้ โทรจันตัวนี้ยังสามารถดาวน์โหลดและ executes payloads มัลแวร์ตัวอื่นบนเครื่องที่ติดมัลแวร์ตัวนี้ เพื่อเพิ่มปริมาณของเครื่องที่ติด Botnet อย่างไรก็ตามตอนนี้มัลแวร์ Dorifel ยังไม่ได้ใช้เพื่อดาวโหลดมัลแวร์ตัวอื่น David Jacoby ได้บอกว่า ยังไม่สามารถยืนยันความเกี่ยวข้องของมัลแวร์ Dorifel กับ Zeus หรือ Citadel แต่ที่สามารถยืนยันได้คือ เซิฟเวอร์ที่เป็นโฮสของมัลแวร์ Dorifel ได้ใช้เพื่อเก็บข้อมูลทางการเงินที่ถูกขโมย

ที่มา : threatpost

Symantec ได้รายงานว่า โทรจัน Crisis เวอร์ชั่นวินโดว์สามารถลอบเข้าไปใน VMware ได้ ซึ่งทำให้ Crisis อาจจะเป็นมัลแวร์ตัวแรกที่โจมตี virtual machines และมันยังสามารถแพร่กระจายเข้าไปในมือถือที่ใช้ระบบปฎิบัติการณ์วินโดว์ได้ด้วย เมื่อ Crisis พบไฟล์ Image บนเครื่องของเหยื่อ มันจะ Mount Image ไฟล์หลังจากนั้นมันก็จะก็อปปี้ตัวมันเองลงไปในไฟล์ Image โดยการใช้ VMware Player tool Takashi Katsuki ได้บอกว่ามัลแวร์ Crisis/Morcut ไม่ได้ exploit ช่องโหว่ใน VMware แต่ใช้ประโยชน์จากการที่โปรแกรม virtualization ทุกโปรแกรมจะถูกเก็บไว้เสมือนเป็น Local File บนเครื่อง Host ไฟล์เหล่านี้สามารถจัดการแก้ไขได้ถึงแม้ virtual machine จะไม่ได้รันอยู่ตาม Katsuki ยังได้บอกอีกว่า มัลแวร์สามารถแพร่กระจายไปยังมือถือที่ใช้ระบบปฎิบัติการณ์วินโดว์ที่เชื่อมต่อกับคอมพิวเตอร์ที่ติดมัลแวร์ตัวนี้อยู่ผ่านทาง Remote Application Programming Interface ขณะที่มัลแวร์ Crisis เวอร์ขั่นก่อนหน้านี้เน้นไปที่กิจกรรมต่างๆ มัลแวร์ Crisis เวอร์ชั่นนี้จะคอยดักจับข้อมูลการทำธุรกรรมออนไลน์อย่างเช่น การทำธุรกรรมทางการเงินออนไลน์ เป็นต้น หรือการทำวิจัยมัลแวร์ที่ทำบนเครื่อง virtual machine ที่เพิ่งลงมาใหม่ Lysa Myers ได้เขียนลงไปใน Mac Security บล็อคว่า การที่มัลแวร์ Crisis จะสามารถลอบเข้าไปใน virtual machine ได้นั้น ผู้ใช้จะต้องรันมัลแวร์ครั้งแรกภายนอก virtual machine ถ้าผู้ใช้รันมัลแวร์ภายใน virtual machine ตั้งแต่ครั้งแรกมันก็ไม่สามารถที่จะออกจาก virtual machine เพื่อแพร่ไปยังไฟล์ virtual machine image อื่นๆได้

ที่มา : threatpost

กลุ่มแฮกเกอร์ '3xp1r3 Cyber Army'ของบังคลาเทศ ได้ทำการแฮกหน้าเว็บไซต์ประมาณ 400 เว็บไซต์ ซึ่งมีเว็บไซต์ของอินเดียรวมอยู่ด้วย สาเหตุในการแฮกก็เพียงแค่พวกเขาจะแสดงให้เห็นถึงการขาดมาตรการรักษาความปลอดภัยของเว็บไซต์ดังกล่าว และได้มีการเปิดเผยว่ากำลังวางแผนประกาศ cyberwar แต่ยังไม่ได้เปิดเผยว่าจะเป็นประเทศใดซึ่งอยู่ระหว่างการตัดสินใจ

ที่มา : ehackingnews

วันที่ 14 ส.ค. ที่ผ่านมา Adobe ได้ออกแพทช์ของ Reader เวอร์ชั่น 9.5.1 รวมถึง Acrobat เวอรชั่น 10.1.3 ซึ่งมีระดับความรุนแรงของช่องโหว่อยู่ที่ระดับ Critical จึงควรทำการอัพเดทแพชท์โดยเร็วที่สุด

ที่มา : packetstormsecurity

เว็บไซต์สำนักข่าว Russia Today (RT.com) ถูกโจมตีด้วยการ DDoS โดยกลุ่มแฮกเกอร์ Antileaks ซึ่งก่อนหน้านี้เมื่อต้นเดือนกลุ่มแฮกเกอร์ดังกล่าวได้ทำการ DDoS เว็บไซต์ Wikileaks มาแล้ว

ที่มา : ehackingnews

มัลแวร์ Bafruz คือมัลแวร์ที่จะทำการสร้าง Backdoor ไว้ในเครื่องของเหยื่อเพื่อใช้สำหรับสร้างการเชื่อมต่อแบบ Peer-to-Peer(P2P) ไปยัง Command and Control Server (C&C Server) มัลแวร์ Bafruz ยังมีความสามารถในการขโมยข้อมูลบัญชี Facebook และ Vkontakte, ใช้เครื่องของเหยื่อเพื่อทำการโจมตีแบบ Distributed Denial of Service (DDOS), ทำการ Bitcoin mining (การใช้เครื่องทำการเพิ่ม Block ลงไปใน Block Chain ซึ่งจะได้รางวัลป็น 50 Bitcoins(เรท ณ ตอนที่เขียนข่าว) ทุก Block ที่ทำการเพิ่มเข้าไป), ดาวโหลดมัลแวร์ตัวอื่นๆ และปิดการทำงานทางด้านความปลอดภัยและโปรแกรมแอนตี้ไวรัสของเครื่องของเหยื่อ ส่วนที่น่าสนใจที่สุดของมัลแวร์ Bafruz ก็คือ วิธีการในการปิดการทำงานโปรแกรมแอนตี้ไวรัสของเครื่องของเหยื่อ วิธีการก็คือ เมื่อเครื่องของเหยื่อติดมัลแวร์ Bafruz มัลแวร์ Bafruz จะขึ้น ข้อความเตือนปลอมเหมือนในรูปซึ่งจะบอกให้เหยื่อต้องรีสตาร์ทเครื่องถ้าจะเอาไวรัสออก เมื่อเหยื่อกดให้รีสตาร์ท มัลแวร์จะรีสตาร์ทเครื่องของเหยื่อในเซฟโหมดซึ่งมัลแวร์สามารถปิดการทำงานทุกอย่างของแอนตี้ไวรัสได้ทั้งหมด สิ่งที่น่าสนใจอีกอย่าง คือ ข้อความเตือนปลอมที่ขึ้นมานั้นจะขึ้นอยู่กับแอนตี้ไวรัสที่ลงบนเครื่องของเหยื่อ ไมโครซอฟได้เอามัลแวร์ Bafruz เข้าไปในรายชื่อมัลแวร์ที่สามารถเอาออกได้โดยใช้โปรแกรม Malicious Software Removal Tool (MSRT)

ที่มา : ehackingnews

บล็อคของสำนักข่าวรอยเตอร์ได้ถูกเจาะระบบถึง 2 ครั้งภายใน 2 สัปดาห์ ในการเจาะระบบครั้งนี้ข่าวปลอมที่ถูกโพสขึ้นไปบนบล็อคคือ “รัฐมนตรีต่างประเทศของซาอุดิอาระเบีย เจ้าชาย Saud al-Faisal ได้เสียชีวิตลงแล้ว” ซึ่งรอยเตอร์ได้ยืนยันว่าข่าวนี้ไม่ได้ถูกโพสลงในบล็อคด้วยฝีมือของนักข่าว และข่าวนี้ไม่ได้เป็นความจริงอย่างแน่นอน ในตอนนี้รอยเตอร์กำลังพยายามทำงานเพื่อแก้ปัญหานี้อยู่โดยรอยเตอร์เชื่อว่า บุคคลที่อยู่เบื้องหลังการเจาะระบบครั้งนี้น่าจะเป็นคนๆเดียวกับที่เจาะระบบบล็อคของรอยเตอร์และขโมยหนึ่งในบัญชีทวิตเตอร์ของรอยเตอร์เมื่อต้นเดือนที่ผ่านมา การสืบสวนหลังจากการเจาะระบบครั้งแรกได้แสดงให้เห็นว่ารอยเตอร์ได้ใช้ WordPress เวอร์ชั่นเก่าที่มีปัญหาทางด้านความปลอดภัยซึ่งเป็นที่รู้กันทั่วไปอยู่ซึ่งนั้นเป็นอาจจะเป็นช่องโหว่ที่แฮกเกอร์ใช้ป็นช่องทางในการเจาะระบบ

ที่มา : net-security

Saudi Aramco บริษัทน้ำมันแห่งชาติของซาอุดิอาระเบียได้รายงานว่า ได้มีการขโมยข้อมูลสำคัญเกิดขึ้นในเครือข่ายของพวกเขา ตอนนี้ยังไม่รู้ว่ามัลแวร์ที่แพร่กระจายอยู่ในเครือข่ายของพวกเขาคืออะไร พวกเขาได้โพสข้อความลงใน Facebook ของพวกเขาดังนี้ “ในวันพุธที่ 15 สิงหาคม ปี 2012 พนักงานของ Saudi Aramco ได้ยืนยันว่าบริษัทได้มีการแยกระบบอิเล็กทรอนิกส์ออกจากการเชื่อมต่อที่มาจากภายนอกทั้งหมด เพื่อป้องกันการโจมตีที่จะทำลายบางส่วนของเครือข่ายอิเล็กทรอนิกส์แบบทันที การโจมตีนี้เป็นที่ต้องสงสัยว่าจะเกิดจากไวรัสที่แพร่กระจายอยู่ในเครื่องคอมพิวเตอร์ส่วนบุคคลที่อยู่ในบริษัทโดยที่ไม่ได้ส่งผลถึงเครือข่ายหลัก บริษัท Saudi Aramco ได้ยืนยันว่าเครือข่ายอิเล็กทรอนิกส์ที่ควบคุมแกนกลางของธุรกิจและการผลิตของบริษัทไม่ได้รับผลกระทบจากเหตุการณ์ครั้งนี้ บริษัทได้มีการจ้างการจัดทำระบบระมัดระวังภัยล่วงหน้าและมีการใช้ multiple redundant system บนระบบที่มีความซับซ้อนสูงเพื่อป้องกันการปฎิบัติงานและระบบฐานข้อมูลของบริษัทไว้แล้ว” จากรายงานที่ไม่ยืนยันทาง Twitter และ Pastebin ได้บอกว่าสถานการณ์เลวร้ายมาก ถึงแม้ข้อมูลจะถูกเข้ารหัสไว้แต่ข้อมูลของระบบในหลายๆระบบได้ถูกลบทั้งหมด ซึ่งรวมไปถึงข้อมูลในเวบและเมลเซิฟเวอร์ด้วย และ domain controller ก็ถูกโจมตีในการโจมตีครั้งนี้ด้วย

ที่มา : net-security

พบการโจมตีแบบ Spear-phishing แนบมัลแวร์ ที่มีเป้าหมายการโจมตีเฉพาะบางบริษัทในบางอุตสาหกรรมซึ่งรวมถึงอุตสาหกรรมทางด้านพลังงานได้ถูกตรวจพบโดยบริษัทที่ให้บริการเกี่ยวกับการรักษาความปลอดภัยจำนวนมาก

มัลแวร์ตัวนี้มีชื่อว่า “Shamoon” โดยชื่อนี้มีที่มาจาก ชื่อของโฟลเดอร์ที่มัลแวร์ execute ออกมา ขั้นตอนสุดท้ายของการโจมตีนี้คือ ส่งมัลแวร์ที่จะทำให้เครื่องเป้าหมายใช้งานไม่ได้ ส่วนที่น่าสนใจเกี่ยวกับมัลแวร์ตัวนี้คือ มันสามารถหลบหลีกการตรวจจับ และ เก็บข้อมูลของเหยื่อได้ในเวลาเดียวกัน มัลแวร์ตัวนี้ยังได้ถูกออกแบบเพื่อสร้างไฟล์ใหม่ทับลงไปแทนที่ไฟล์เก่าในเครื่องของเหยื่อและลบไฟล์ในเครื่องของเหยื่อทิ้งทั้งหมดรวมถึง Master-Boot Record ของเครื่องของเหยื่อด้วย นักวิจัยของ Seculert ได้ระบุว่า “มัลแวร์ที่ออกแบบมาเพื่อโจมตีเป้าหมายเฉพาะนั้นเป็นมัลแวร์ที่หายาก และ เพื่อนที่ Kaspersky Lab ได้บอกว่าพฤติกรรมแบบนี้เป็นพฤติกรรมเดียวกับที่พบใน “Flame” แต่ผู้เชี่ยวชาญของ Kaspersky Lab ได้สงสัยว่าการโจมตีนี้จะเป็นการโจมตีอันเดียวกับที่โจมตีอิหร่านในเดือนเมษายน ปี 2012 หรือไม่ เพราะว่าการโจมตีในอิหร่านจะใช้ service names ที่มีอยู่จริงร่วมกับชื่อไฟล์เฉพาะในการทำงานของมัลแวร์ แต่ใน Shamoon มัลแวร์กลับไม่มีการทำงานแบบนั้น Shamoon มัลแวร์ดูเหมือนจะเป็นมัลแวร์ที่ทำเลียนแบบขึ้นมาโดยได้แรงบันดาลใจจาก Flame มัลแวร์ มันเป็นการยากที่จะบอกว่าใครอยู่เบื้องหลังการโจมตีนี้เนื่องจากการทำลายล้างที่ไม่ธรรมดาของมัลแวร์และการที่มันโจมตีอย่างเปิดเผยแบบนี้

ที่มา : net-security