News

Microsoft Defender สร้างความแตกตื่นให้กับเหล่าผู้ดูแลระบบ เมื่อทำการแจ้งเตือนมัลแวร์ Emotet ผิดพลาด

มีการพบว่า Microsoft Defender for Endpoint บล็อกการเปิดเอกสาร Microsoft Office และการเรียกใช้โปรแกรมบางรายการ เนื่องจากการตรวจจับเพย์โหลดของมัลแวร์ Emotet ที่เป็น false positive

ผู้ดูแลระบบ Windows รายงานว่า เหตุการณ์นี้เกิดขึ้นตั้งแต่อัปเดต Enterprise endpoint security platform ของ Microsoft (ก่อนหน้านี้เรียกว่า Microsoft Defender ATP) เป็นเวอร์ชัน 1.353.1874.0

เมื่อตัว Defender for Endpoint ทำงานมันจะทำการบล็อกไม่ให้เปิดไฟล์ และแสดงข้อความที่บ่งบอกว่าเป็นการบล็อกไฟล์ที่น่าสงสัย ที่เชื่อมโยงกับ Win32/PowEmotet.

ระบบอีเมลของ FBI ถูกแฮ็ก และถูกใช้ในการส่งแจ้งเตือนความปลอดภัยทางไซเบอร์ปลอมไปยังผู้คนนับพัน

เมื่อวันเสาร์ สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ยืนยันว่า มีบุคคลนิรนามได้โจมตีหนึ่งในเซิร์ฟเวอร์อีเมลของตน เพื่อส่งอีเมลกระจายข้อความหลอกลวงเกี่ยวกับ "sophisticated chain attack.

แฮกเกอร์แอบติดตั้ง Linux malware และ Web skimmer บนระบบ E-commerce servers

นักวิจัยด้านความปลอดภัยพบว่ามีผู้โจมตีได้ติดตั้ง Linux backdoor บนระบบ E-commerce Servers หลังจากที่ทำการโจมตีร้านค้าออนไลน์ และแอบฝัง Credit card Skimmer ลงไปบนเว็บไซต์ โดยตัว PHP-code web Skimmer จะเป็น Script ที่ออกแบบมาเพื่อขโมยข้อมูลการชำระเงิน และข้อมูลส่วนบุคคลของลูกค้า โดยปลอมแปลงเป็นไฟล์รูปภาพ .JPG และนำไปเพิ่มไว้ในโฟลเดอร์ /app/design/frontend/ ของเว็บไซต์

ผู้โจมตีใช้ Script ตัวนี้ในการดาวน์โหลด และฝังหน้าแบบฟอร์มชำระเงินปลอมบนหน้าเพจ checkout สำหรับผู้ใช้งาน

ซึ่งทางทีมนักวิจัยภัยคุกคามของ Sansec พบว่าการโจมตีนี้เริ่มจากการสแกนหาช่องโหว่ eCommerce เพื่อหาช่องโหว่ในแพลตฟอร์มร้านค้าออนไลน์ และเมื่อผู้โจมตีได้พบช่องโหว่ในการอัปโหลดไฟล์ในปลั๊กอินของร้านค้า ก็จะทำการอัปโหลด Webshell และแก้ไข Server code เพื่อดักจับข้อมูลของลูกค้า

นอกจากนี้ในเซิร์ฟเวอร์ตัวเดียวกันนี้ยังพบ Malware ที่พัฒนามาจาก Golang ได้ถูกดาวน์โหลด และดำเนินการติดตั้งบนเซิร์ฟเวอร์ที่ถูกบุกรุก และจากการตรวจสอบพบว่าเป็นไฟล์ linux_avp executable

และเมื่อมัลแวร์ถูกรัน มันจะทำการลบตัวเองออกจากดิสก์ทันที และปลอมตัวเป็น “ps-ef” process ที่เป็น Command ที่ใช้สำหรับตรวจสอบ Process ที่กำลังทำงานอยู่ ซึ่งขณะที่ทางนักวิจัยกำลังทำการวิเคราะห์ linux_avp backdoor อยู่นั้น ทางนักวิจัยได้พบว่าตัวมัลแวร์กำลังรอรับคำสั่งจากเซิร์ฟเวอร์ที่ปักกิ่ง ซึ่งอยู่บนโฮสต์ที่เป็นเครือข่ายของ Alibaba นอกจากนี้พวกเขายังพบว่ามัลแวร์จะพยายามทำให้ตัวมันสามารถฝังตัวอยู่บนระบบได้โดยการเพิ่ม crontab ที่จะดาวน์โหลดเพย์โหลดที่เป็นอันตรายจาก Command and control server และทำการติดตั้ง backdoor อีกครั้ง หากถูกตรวจพบ และลบออก หรือพบว่า Server มีการ restarts

ปัจจุบัน anti-malware engines ของ Virustotal ยังไม่รู้จัก backdoor ตัวนี้ ถึงแม้ว่าจะมีตัวอย่างถูกอัปโหลดขึ้นไปตั้งแต่วันที่ 8 ตุลาคมที่ผ่านมา ซึ่งผู้อัปโหลดอาจเป็นผู้สร้าง linux_avp นี้ เนื่องจากพบว่าไฟล์ดังกล่าวถูกอัปโหลดระหว่างที่ทาง Sansec กำลังตรวจสอบการบุกรุกเว็บไซต์ eCommerce

ที่มา: bleepingcomputer

ช่องโหว่ Zero-Day ใหม่บน Windows ที่สามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบได้

นักวิจัยด้านความปลอดภัย Abdelhamid Naceri ได้เปิดเผยช่องโหว่ Zero-day ใหม่ที่สามารถยกระดับสิทธิเป็นผู้ดูแลระบบได้ จาก Patch Tuesday ของเดือนพฤศจิกายน 2564 ที่ได้มีการแก้ไขช่องโหว่ ‘Windows Installer Elevation of Privilege Vulnerability’ หมายเลข CVE-2021-41379

ซึ่งทาง Naceri พบว่าสามารถ bypass Patch แก้ไขช่องโหว่จากทาง Microsoft ไปยังช่องโหว่ใหม่ที่รุนแรงกว่า ก็คือช่องโหว่ที่สามารถยกระดับสิทธิเป็นผู้ดูแลระบบ ใน Windows ทุกรุ่น รวมถึง Windows 10, Windows 11 และ Windows Server 2022

เมื่อมีการใช้ช่องโหว่นี้ ผู้โจมตีที่สามารถเข้าถึงอุปกรณ์ของเหยื่อที่มีสิทธิเป็น “User” ได้ และจะสามารถยกระดับสิทธิ์ของตัวเองไปเป็นผู้ดูแลระบบได้อย่างง่ายดาย ซึ่งจะช่วยทำให้สามารถเข้าถึงข้อมูลภายในเครือข่ายได้

และเมื่อวันอาทิตย์ที่ 21 พฤศจิกายนที่ผ่านมานี้ Naceri ก็ได้เผยแพร่ PoC(proof-of-concept) ของช่องโหว่ใหม่นี้บน GitHub โดยอธิบายว่ามันมีผลกระทบกับ Windows ทุกรุ่น และช่องโหว่นี้ได้ถูกพบระหว่างการวิเคราะห์ Patch CVE-2021-41379 และเนื่องจากช่องโหว่ไม่ได้รับการแก้ไขอย่างถูกต้อง แทนที่ทาง Microsoft จะทำการทิ้งตัว Bypass ไปแต่กลับเลือกที่จะเก็บไว้เพราะว่ามีประสิทธิภาพมากกว่ารุ่นเดิม ถึงแม้ว่าจะสามารถกำหนด group policy เพื่อป้องกันไม่ให้ผู้ใช้ทั่วไปสามารถดำเนินการติดตั้ง MSI ได้ แต่ Zero-day จะสามารถ bypass เพื่อไปดำเนินการได้อยู่ดี

นอกจากนี้ทาง BleepingComputer เองก็ได้ลองทดสอบช่องโหว่นี้เหมือนกัน โดยการเปิดใช้งาน Command Promt ด้วยสิทธิ “User” และ Run “InstallerFileTakeOver.

GoDaddy ถูกแฮ็ก ทำให้ข้อมูลรั่วไหล ส่งผลกระทบต่อลูกค้า 1.2 ล้านคน

GoDaddy ยอมรับว่าข้อมูลของลูกค้าจำนวน 1.2 ล้านคนรั่วไหล หลังจากแฮกเกอร์ได้เข้าถึงระบบ Managed WordPress hosting ของบริษัท โดยทาง GoDaddy ตรวจพบเหตุการณ์เมื่อวันพุธที่ 17 พฤศจิกายนที่ผ่านมา แต่ผู้โจมตีสามารถเข้าถึงเครือข่าย และข้อมูลที่อยู่ในระบบที่ถูกโจมตีได้ตั้งแต่วันที่ 6 กันยายน 2564

Demetrius Comes CISO ของ GoDaddy กล่าวว่า "เราระบุเหตุการณ์ที่น่าสงสัยใน WordPress hosting ภายใต้การจัดการของเรา และเริ่มการตรวจสอบทันทีด้วยความช่วยเหลือจากบริษัทด้านไอที และได้ติดต่อหน่วยงานด้านกฎหมาย"

ผู้โจมตีสามารถเข้าถึงข้อมูลของลูกค้า GoDaddy ต่อไปนี้ โดยใช้รหัสผ่านที่ถูกขโมยมา:

ลูกค้าของระบบ Managed WordPress ทั้งที่ยังมีการใช้งานอยู่ และไม่ได้ใช้งานแล้วมากกว่า 1.2 ล้านราย ข้อมูลที่รั่วไหลออกไปคืออีเมล และหมายเลขลูกค้า ซึ่งรายชื่ออีเมลที่ถูกขโมยไปมีความเสี่ยงต่อการถูกโจมตีแบบฟิชชิ่ง
รหัสผ่านของผู้ดูแลระบบ WordPress ที่จะถูกตั้งขึ้นในการใช้งานครั้งแรกถูกขโมยไป หากลูกค้ายังมีการใช้รหัสเดิมนี้อยู่ ทางทีมทำการ Reset password เรียบร้อยแล้ว
สำหรับลูกค้าที่มีการใช้งาน sFTP และ database usernames และ password ก็ถูกขโมยออกไปเช่นกัน ทางทีมได้ทำการ Reset Password เรียบร้อยแล้ว
สำหรับลูกค้ารายย่อยที่ยังใช้งานอยู่ ข้อมูล SSL private key ได้ถูกขโมย ทางทีมกำลังดำเนินการแก้ไข และติดตั้ง certificates ใหม่ให้กับลูกค้า

บริษัทยังเปิดเผยการถูกโจมตีในเดือนพฤษภาคมปีที่แล้ว และได้แจ้งเตือนลูกค้าบางรายว่ามีบุคคลที่ไม่ได้รับอนุญาตใช้ข้อมูล Credentials ของบัญชีเว็บโฮสติ้งในเดือนตุลาคมเพื่อเชื่อมต่อกับบัญชีโฮสติ้งผ่าน SSH

ทีม Security ของ GoDaddy ค้นพบเหตุการณ์ดังกล่าวหลังจากพบไฟล์ SSH ที่ถูกแก้ไขในโฮสต์ของ GoDaddy และเหตุการณ์ที่น่าสงสัยบน Subset บนเซิร์ฟเวอร์ของ GoDaddy

ที่มา: bleepingcomputer

Microsoft แก้ไขช่องโหว่ระดับความรุนแรงสูงใน Azure AD

Microsoft ได้แก้ไขช่องโหว่ Information disclosure หมายเลข CVE-2021-42306 ซึ่งส่งผลกระทบต่อ Azure AD

ช่องโหว่นี้เกิดขึ้นเมื่อผู้ใช้ หรือแอปพลิเคชันอัปโหลดข้อมูล Private key ที่ไม่มีการป้องกันซึ่งเป็นส่วนหนึ่งของการรับรองความถูกต้องของ keyCredential บนแอปพลิเคชัน Azure AD หรือ Service Principal ช่องโหว่นี้ทำให้ผู้ใช้สามารถเข้าถึง และมีสิทธิ์อ่านข้อมูล Private key ในแอปพลิเคชันได้

จากปัญหาดังกล่าวทาง Azure AD จัดการกับช่องโหว่นี้โดยป้องกันไม่ให้มีการเปิดเผยค่าคีย์ส่วนตัวใดๆ ที่เพิ่มลงในแอปพลิเคชัน

ช่องโหว่นี้ถูกค้นพบโดย Karl Fosaaen จาก NetSPI โดยได้รับระดับ CVSS 8.1 โดย Karl Fosaaen อธิบายว่าช่องโหว่เกิดจากการตั้งค่าผิดพลาดใน Azure ทำให้บัญชีอัตโนมัติเรียกใช้ข้อมูล credentials (PFX certificates) ที่ถูกเก็บไว้ใน Clear text ใน Azure AD ทำให้สามารถเข้าถึงข้อมูลเกี่ยวกับการลงทะเบียนแอปพลิเคชัน

โดยทำให้บัญชีอัตโนมัติเรียกใช้ข้อมูล Credentials (PFX certificates) ที่ถูกเก็บไว้ใน Clear text ใน Azure AD ทำให้สามารถเข้าถึงข้อมูลเกี่ยวกับการลงทะเบียนแอปพลิเคชันได้ โดยผู้โจมตีสามารถใช้ข้อมูลประจําตัวเหล่านี้เพื่อรับรองความถูกต้องในการลงทะเบียนบนแอปพลิเคชัน ซึ่งโดยปกติแล้วจะเป็นผู้ดูแลแอปพลิเคชันเท่านั้น

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อยกระดับสิทธิ์ในการสมัครใช้งานบัญชีอัตโนมัติ จากนั้นจะมีการเข้าถึงทรัพยากรของระบบที่ได้รับผลกระทบ ซึ่งรวมถึงข้อมูลที่ที่มีความสำคัญซึ่งจัดเก็บไว้ในบริการของ Azure และข้อมูลประจำตัวที่จัดเก็บไว้ใน Key Vault

Microsoft ได้จัดการกับช่องโหว่นี้ โดยป้องกันไม่ให้บริการของ Azure จัดเก็บ Clear text private keys ในคุณสมบัติของ keyCredentials และป้องกันไม่ให้ผู้ใช้อ่านข้อมูลส่วนตัวของ Private key ที่ถูกจัดเก็บไว้ใน Clear text

ที่มา: securityaffairs

Memento Ransomware ตัวใหม่ เปลี่ยนไฟล์เป็น WinRar หลังจากการเข้ารหัสถูกตรวจจับ และป้องกันได้

กลุ่ม Ransomware ใหม่ที่มีชื่อว่า Memento ได้ใช้วิธีการรูปแบบใหม่ในการเข้ารหัสไฟล์ โดยมีการเข้ารหัสไฟล์ Archives ด้วยรหัสผ่าน หลังจากที่วิธีก่อนหน้านี้ถูกซอฟต์แวร์รักษาความปลอดภัยตรวจจับการเข้ารหัสของมันได้

เมื่อเดือนที่แล้ว กลุ่ม Memento เริ่มใช้ประโยชน์จากช่องโหว่ของ VMware vCenter Server web client สำหรับการเข้าถึงเครือข่ายของเหยื่อ

ช่องโหว่ vCenter ถูกกำหนดหมายเลขช่องโหว่เป็น 'CVE-2021-21971' และเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ต้องผ่านการตรวจสอบสิทธิ์ ซึ่งมีระดับความรุนแรง 9.8 (critical)

ช่องโหว่นี้ช่วยให้ผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ vCenter ที่มีช่องโหว่เพื่อใช้งานคำสั่งบน OS ด้วยสิทธิ์ของผู้ดูแลระบบผ่านทางพอร์ต TCP/IP 443

ในเดือนกุมภาพันธ์ได้มีแพตช์อัปเดตเพื่อแก้ไขช่องโหว่นี้ แต่ตามรายงานการโจมตีของกลุ่ม Memento องค์กรจำนวนมากยังไม่ได้อัปเดตแพตช์

การใช้ประโยชน์จากช่องโหว่ vCenter เพื่อปรับใช้แรนซัมแวร์

กลุ่ม Memento ได้เริ่มโจมตีเมื่อเดือนที่แล้ว โดยเริ่มจากช่องโหว่ vCenter เพื่อดึงข้อมูลประจำตัวของผู้ดูแลระบบออกจากเซิร์ฟเวอร์เป้าหมาย และมีการฝังตัวผ่าน scheduled tasks จากนั้นมีการใช้ RDP tunneled over SSH เพื่อกระจายมัลแวร์ไปในระบบเครือข่ายอื่นๆ ของเหยื่อ

หลังจากนั้นผู้โจมตีใช้ WinRAR เพื่อสร้างไฟล์ Archive ของไฟล์ที่ถูกขโมย และส่งกลับไปหาตัวผู้โจมตี สุดท้ายพวกเขาใช้ยูทิลิตี้การล้างข้อมูล BCWipe ของ Jetico เพื่อลบร่องรอยที่หลงเหลืออยู่ จากนั้นจึงใช้แรนซัมแวร์ที่ใช้ Python สำหรับการเข้ารหัสแบบ AES

อย่างไรก็ตามวิธีการแบบเดิมของกลุ่ม Memento ในการเข้ารหัสไฟล์มีระบบที่สามารถป้องกันแรนซัมแวร์ได้ ทำให้ขั้นตอนการเข้ารหัสถูกตรวจพบ และหยุดก่อนที่จะเกิดความเสียหาย

โดยกลุ่ม Memento ได้พยายามเลี่ยงการตรวจจับแรนซัมแวร์ของซอฟต์แวร์รักษาความปลอดภัยต่างๆ จึงเลิกใช้วิธีการเข้ารหัสแบบเดิม และใช้วิธีย้ายไฟล์ไปยัง Archives ที่มีการล็อคด้วยรหัสผ่านแทน เมื่อใช้วิธีนี้ กลุ่ม Memento จะย้ายไฟล์ไปยัง WinRAR archives และตั้งรหัสผ่านที่รัดกุมสำหรับการป้องกันการเข้าถึง เข้ารหัสคีย์นั้น และสุดท้ายจะลบไฟล์ต้นฉบับ

กลุ่ม Memento มีการเรียกค่าไถ่ให้เหยื่อจ่ายเงิน 15.95 BTC ($940,000) สำหรับการกู้คืนข้อมูลทั้งหมด หรือ 0.099 BTC (5,850 ดอลลาร์) ต่อไฟล์

ดังนั้น หากมีการใช้งาน VMware vCenter Server หรือ Cloud Foundation ควรอัปเดตเป็นเวอร์ชันล่าสุดเพื่อแก้ไขช่องโหว่ดังกล่าว

ที่มา: bleepingcomputer

เซิร์ฟเวอร์ Microsoft Exchange ที่ถูกแฮ็ก ถูกนำมาใช้ในการโจมตีที่เรียกว่า Internal reply-chain

กลุ่มผู้โจมตีเซิร์ฟเวอร์ Microsoft Exchange โดยใช้ช่องโหว่ ProxyShell และ ProxyLogon เพื่อแพร่กระจายมัลแวร์ มีการพยายามหลีกเลี่ยงการตรวจจับโดยใช้วิธีการที่เรียกว่า internal reply-chain จากอีเมลที่ขโมยมา

นักวิจัยจาก TrendMicro ได้ค้นพบเทคนิคที่ผู้โจมตีใช้ในการแพร่กระจายอีเมลที่เป็นอันตรายไปยังผู้ใช้ภายในของบริษัทโดยใช้ Microsoft exchange servers ของเหยื่อที่ถูกโจมตี

ผู้ที่อยู่เบื้องหลังการโจมตีนี้เชื่อกันว่าเป็น 'TR' ซึ่งเป็นที่รู้จักในเรื่องของการแพร่กระจายอีเมลที่มีไฟล์แนบที่เป็นอันตราย และติดตั้งมัลแวร์เช่น Qbot, IcedID, Cobalt Strike และ SquirrelWaffle payloads

เพื่อหลอกล่อเป้าหมายให้เปิดไฟล์แนบที่เป็นอันตราย ผู้โจมตีใช้ประโยชน์จากช่องโหว่ ProxyShell และ ProxyLogon บน Microsoft Exchange จากนั้นผู้โจมตีจะใช้เซิร์ฟเวอร์ Exchange ที่โจมตีได้สำเร็จเพื่อตอบกลับอีเมลภายในของบริษัทในวิธีการโจมตีที่เรียกว่า reply-chain ซึ่งมีลิงก์ไปยังเอกสารที่เป็นอันตรายซึ่งมีการติดตั้งมัลแวร์ต่างๆไว้

นักวิจัย TrendMicro ได้วิเคราะห์ Email headers ที่ถูกส่งมา พบว่าเป็นผู้ส่งจากระบบภายใน และจะใช้การตอบกลับจากอีเมลที่พนักงานได้คุยกันก่อนหน้าระหว่างพนักงานสองคน ซึ่งทำให้อีเมลนั้นมีความน่าเชื่อถือ และดูมีความปลอดภัย

ไฟล์ที่แนบมานั้นเป็น Microsoft Excel ที่บอกให้ผู้รับ 'Enable Content' เพื่อเปิดใช้งานไฟล์แนบ

เมื่อผู้ใช้เปิดใช้งานก็จะถูกรันมาโครที่เป็นอันตรายเพื่อดาวน์โหลด และติดตั้งมัลแวร์ในไฟล์แนบไม่ว่าจะเป็น Qbot, Cobalt Strike, SquirrelWaffle หรือมัลแวร์อื่น ๆ

ควรอัปเดตเซิร์ฟเวอร์ Exchange อยู่เสมอ

Microsoft ได้แก้ไขช่องโหว่ ProxyLogon ในเดือนมีนาคมและช่องโหว่ ProxyShell ในเดือนเมษายน และพฤษภาคมเรียบร้อยแล้ว

ผู้โจมตีมักจะใช้ช่องโหว่ทั้งสองเพื่อติดตั้งแรนซัมแวร์ หรือติดตั้ง web shell สำหรับการเข้าถึงในลักษณะ Backdoor ในภายหลัง

การโจมตีด้วยช่องโหว่ ProxyLogon นั้นอันตรายมากจน FBI ต้องดำเนินการลบ web shells ออกจากเซิร์ฟเวอร์ Microsoft Exchange ที่ถูกโจมตีในสหรัฐอเมริกาโดยไม่แจ้งให้เจ้าของเซิร์ฟเวอร์ทราบก่อน

ที่มา : bleepingcomputer

 

Microsoft ออกมาเตือนให้ผู้ดูแลระบบ Exchange รีบอัปเดตแพตซ์ช่องโหว่ที่กำลังถูกใช้โจมตีอย่างแพร่หลายอยู่ในปัจจุบัน

Microsoft เตือนผู้ดูแลระบบให้แก้ไขช่องโหว่ Exchange Server ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2021-42321 - Microsoft Exchange Server Remote Code Execution Vulnerability ส่งผลกระทบต่อ Exchange Sever 2016 และ Exchange Server 2019 ซึ่งรวมถึง server ที่ใช้ในโหมด Exchange Hybrid ซึ่งช่องโหว่นี้เกิดจากการตรวจสอบอาร์กิวเมนต์ cmdlet ที่ไม่เหมาะสม (Exchange Online ไม่ได้รับผลกระทบจากการโจมตี และไม่ต้องดำเนินการใดๆเพิ่มเติม)

"เราทราบดีถึงรายงานการพบการโจมตีในปัจจุบัน โดยใช้ช่องโหว่การตรวจสอบสิทธิ์ใน Exchange 2016 และ 2019 คำแนะนำคือให้รีบทำการอัปเดตทันทีเพื่อปกป้อง environment ของคุณ" Microsoft กล่าวเพิ่มเติม

หลังการ update สามารถใช้สคริปต์ตรวจสอบความปลอดภัยของ Exchange Server เวอร์ชันล่าสุดได้ที่ Microsoft

หากต้องการตรวจสอบว่า Exchange server ถูกโจมตีจาก CVE-202-42321 ไปแล้วหรือไม่ สามารถใช้คำสั่ง PowerShell บน Exchange server แต่ละเครื่องเพื่อตรวจสอบข้อมูลใน Event Log : Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.

มัลแวร์บน Android ตัวใหม่มุ่งเป้าโจมตีกลุ่มผู้ใช้งาน Netflix, Instagram และ Twitter

มัลแวร์บนระบบปฏิบัติการ Android ตัวใหม่ ชื่อ MasterFred ใช้หน้าล็อกอินปลอม เพื่อหลอกขโมยข้อมูลบัตรเครดิตของผู้ใช้งาน Netflix, Instagram และ Twitter โดยมัลแวร์ตัวนี้ยังมุ่งเป้าไปยังลูกค้าของธนาคาร โดยการใช้หน้าล็อกอินปลอมเพื่อหลอกขโมยข้อมูลเหยื่อ ในหลาย ๆ ภาษาอีกด้วย

ตัวอย่างของมัลแวร์ MasterFred ถูกพบครั้งแรกเมื่อเดือนมิถุนายน 2021 บน VirusTotal หลังจากนั้น 1 สัปดาห์ Alberto Segura นักวิเคราะห์มัลแวร์ ได้แชร์ตัวอย่างอีกตัวของมัลแวร์ MasterFred ซึ่งแสดงให้เห็นว่ามันถูกใช้เพื่อขโมยข้อมูลผู้ใช้งาน Android ในโปแลนด์ และตุรกี

หลังจากได้วิเคราะห์มัลแวร์ตัวนี้แล้วทีมนักวิจัยจาก Avast Threat Labs ได้ค้นพบว่ามัลแวร์ได้สร้าง Overlays ปลอมขึ้นจาก Built-in APIs ของ Android Accessibility service

“ผู้โจมตีสามารถใช้งาน Application Accessibility toolkit ซึ่งติดตั้งมาบน Android ตั้งแต่ต้นเพื่อทำ Overlay attack หลอกให้ผู้ใช้งานกรอกข้อมูลบัตรเครดิตบน Overlay ปลอม โดยเกิดขึ้นทั้งบนแอปพลิเคชัน Netflix และ Twitter” กล่าวโดย Avast

การใช้งาน Accessibility service นั้นไม่ใช่เรื่องใหม่ เนื่องจากผู้พัฒนามัลแวร์ได้มีการใช้งาน Accessibility service เพื่อปลอม Tabs บน Browser และ Android UI เพื่อใช้ดาวน์โหลด และติดตั้ง Payloads อันตราย และมัลแวร์อื่น ๆ อีกทั้งยังใช้ในการ Execute โปรแกรมอื่นในเบื้องหลังด้วย

สิ่งที่ทำให้มัลแวร์ MasterFred โดดเด่นกว่ามัลแวร์ตัวอื่น คือ Malicious Apps ที่ถูกฝังมัลแวร์ตัวนี้บนอุปกรณ์ Android นั้นมาพร้อมกับ HTML overlays ที่สามารถใช้เพื่อแสดง Login forms ของปลอม เพื่อขโมยข้อมูลทางการเงินของเหยื่อได้

ตัวมัลแวร์เองยังใช้งาน Onion.