News

Cisco Releases Security Updates for Multiple Products

 

Cisco ออกเเพตซ์เเก้ไขช่องโหว่ 34 รายการในซอฟต์แวร์ Cisco IOS และ Cisco IOS XE

Cisco ได้เปิดตัวแพตช์ความปลอดภัยสำหรับช่องโหว่ที่มีความรุนแรงสูง 34 รายการ ซึ่งช่องโหว่จะส่งผลกระทบต่อซอฟต์แวร์ Cisco IOS และ Cisco IOS XE ที่อยู่ในผลิตภัณฑ์ Firewall, Wireless Access Point, Switch ของ Cisco โดยช่องโหว่ที่มีสำคัญมีรายละเอียดดังนี้

CVE-2020-3141 และ CVE-2020-3425 (CVSS: 8.8/10) เป็นช่องโหว่ประเภท Privilege Escalation ช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ได้รับการรับรองความถูกต้องและมีสิทธิ์แบบ read-only สามารถยกระดับสิทธิ์ขึ้นเป็นระดับผู้ใช้ผู้ดูแลระบบบนอุปกรณ์ที่ได้รับผลกระทบ
CVE-2020-3400 (CVSS: 8.8/10) ช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ได้รับการพิสูจน์ตัวคนใช้ประโยชน์จากส่วนต่างๆ ของ Web UI โดยไม่ได้รับอนุญาต โดยผู้โจมตีสามารถใช้ประโยชน์จากการส่ง HTTP request ที่ถูกสร้างมาเป็นพิเศษไปยัง Web UI เมื่อการใช้ช่องโหว่ประสบความสำเร็จผู้โจมตีสามารถดำเนินการบน Web UI ได้เช่นเดียวกับผู้ดูแลระบบ
CVE-2020-3421 และ CVE-2020-3480 (CVSS: 8.6/10) ช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบสิทธิ์ทำให้อุปกรณ์รีโหลดข้อมูลหรือหยุดส่งการรับส่งข้อมูลผ่านไฟร์วอลล์ ซึ่งอาจจะทำให้เกิดการปฏิเสธการให้บริการ (DoS) บนอุปกรณ์
Cisco ได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการอัปเดตเเพตซ์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ ทั้งนี้ผู้ที่สนใจรายละเอียดการอัปเดตเเพตซ์เพิ่มเติมสามารถดูได้จากเเหล่งที่มา

ที่มา: tools.

Fortinet VPN with Default Settings Leave 200,000 Businesses Open to Hackers

Default Setting ใน Fortinet VPN อาจทำให้องค์กรมากว่า 200,000 องค์กรมีความเสี่ยงจากการถูกโจมตี

ผู้เชี่ยวชาญจาก SAM Seamless Network ได้เปิดเผยถึงความเสี่ยงจากการใช้ Certificate ด้วยค่าเริ่มต้นที่อาจส่งผลให้บริษัทและองค์กรกว่า 200,000 แห่งถูกโจมตีและอาจได้รับผลกระทบจากการใช้ Fortigate VPN ซึ่งอาจทำให้ผู้โจมตีสามารถใช้ SSL Certificate ที่ถูกต้องทำการโจมตีแบบ Man-in-the-Middle attack (MitM) ในการเชื่อมต่อและยังสามารถเข้าควบคุมการเชื่อมต่อได้

ผู้เชี่ยวชาญกล่าวว่าไคลเอนต์ Fortigate SSL-VPN จะตรวจสอบเฉพาะ CA ที่ออกโดย Fortigate หรือ CA ที่เชื่อถือได้อื่น ซึ่งเมื่อผู้โจมตีนำ Certificate จากเราเตอร์ Fortigate ใดๆก็ได้ ที่มี signed เริ่มต้นที่แถมมาให้ใช้กับหมายเลขซีเรียลของเราเตอร์ โดยผู้โจมตีสามารถนำ SSL Certificate ที่ได้มาใช้โจมตีในรูปแบบ MITM ได้เนื่องจากไคลเอนต์ของ Fortinet ไม่ได้ตรวจสอบชื่อเซิร์ฟเวอร์ ซึ่งหมายความว่า Certificate ที่ผู้โจมตีนำมาใช้นั้นจะสามารถใช้ trusted CA ได้และผู้โจมตียังสามารถกำหนดทราฟฟิกการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตีได้

ปัจจุบัน Fortinet แถลงว่าเหตุการณ์นี้ไม่ใช่ช่องโหว่ โดยในคู่มือการติดตั้งของ Fortinet ได้ระบุให้มีเปลี่ยน Certificate ที่เป็นค่าเริ่มต้น และ Fortinet มีคำเตือนเมื่อผู้ใช้ใช้ Certificate ที่เป็นค่าเริ่มต้นอยู่แล้ว ซึ่งผู้ใช้งานควรทำการเปลี่ยน Certificate เพื่อป้องกันการถูกโจมตี

ที่มา: thehackernews.

Twitter is warning devs that API keys and tokens may have leaked

ทวิตเตอร์แจ้งเตือนบั๊กซึ่งอาจส่งให้ผลให้ข้อมูล API key และ token หลุด

Twitter มีการส่งอีเมลแจ้งเตือนไปยังกลุ่มนักพัฒนาซึ่งมีการสร้างและใช้งาน API key ของแพลตฟอร์มเมื่อสัปดาห์ที่ผ่านมาหลังจากตรวจพบว่าที่หน้าเพจ developer.

Airbnb Accounts Exposed to Hijacking Due to Phone Number Recycling

บัญชี Airbnb อาจถูก Hijacking ได้โดยการใช้เบอร์โทรที่ถูกรีไซเคิลแล้วนำมาสมัครสมาชิก

SecurityWeek ได้รับการติดต่อจากผู้ใช้ที่มีชื่อว่า Maya ถึงเรื่องช่องโหว่ใน Airbnb ที่อาจทำให้ถูก Hijacking บัญชีได้จากการใช้เบอร์โทรศัพท์ที่ถูกรีไซเคิลแล้วนำมาสมัคสมาชิกบัญชี Airbnb ใหม่

ช่องโหว่ถูกค้นพบโดยบังเอิญจากสามีของเธอซึ่งได้ทำการที่จะสร้างบัญชี Airbnb โดยหลังจากป้อนหมายเลขโทรศัพท์ระหว่างขั้นตอนการลงทะเบียนบัญชี ซึ่งหลังจากการป้อนหมายเลขที่ได้รับซึ่งเป็นรหัส 4 หลักทาง SMS แล้วเข้าสู่บัญชี แต่สิ่งที่เขาได้รับคือการเข้าสู่บัญชีของเจ้าของหมายเลขโทรศัพท์คนก่อน โดยบัญชีที่พวกเขาเข้าถึงโดยบังเอิญเป็นของผู้หญิงคนหนึ่งจากนอร์ทแคโรไลนาซึ่งภายในบัญชีมีข้อมูลเช่น รูปถ่าย, ที่อยู่, อีเมล, หมายเลขโทรศัพท์และข้อมูลส่วนบุคคลอื่นๆ นอกจากนี้บัญชีนี้ยังคงมีบัตรเครดิตที่สามารถชำระเงินได้อยู่ทำให้สามารถจองห้องได้ในนามของผู้ใช้คนก่อนได้โดยใช้บัตรที่อยู่ภายในบัญชี

หลังจากพบช่องโหว่ Maya ได้ทำการติดต่อ Airbnb และอธิบายสิ่งที่พบเพื่อให้ Airbnb เเก้ไขช่องโหว่นี้ โดย Airbnb ได้ทำการเเก้ไขปัญหานี้แล้วและยังได้ระบุว่ามีผู้ใช้จำนวนน้อยมากเท่านั้นที่ได้รับผลกระทบจากช่องโหว่นี้

ที่มา: securityweek.

Microsoft: Hackers using Zerologon exploits in attacks, patch now!

Patch Now: Microsoft แจ้งเตือนถึงการพบกลุ่มแฮกเกอร์เริ่มใช้ช่องโหว่ Zerologon ทำการโจมตีแล้ว

Microsoft ออกคำเเจ้งเตือนถึงการพบผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ CVE-2020-1472 (Zerologon) และได้ออกคำแนะนำให้ผู้ดูแลระบบทำการติดตั้งแพตซ์อัปเดตด้านความปลอดภัยโดยด่วน

ช่องโหว่ CVE 2020-1472 (Zerologon) เป็นช่องโหว่การเข้ารหัสใน Microsoft Windows Netlogon Remote Protocol (MS-NRPC หรือ NRPC) ซึ่งทำให้เมื่อผู้โจมตีเข้าถึง Network ภายในองค์กรได้ ผู้โจมตีจะสามารถปลอมเป็นเครื่องใดๆ ใน Domain รวมถึง Domain Controller และสามารถส่งคำขอเพื่อเปลี่ยนรหัสผ่านของ Domain Controller เป็นค่าว่างได้ ซึ่งการทำงานในลักษณะนี้จึงทำให้ช่องโหว่สามารถนำไปสู่การยึดครองเครื่อง Domain Controller หรือทำ DCSync เพื่อ Dump Password Hash ออกมาได้

Microsoft ได้ทำการติดตามกิจกรรมของผู้คุกคามที่ใช้ช่องโหว่ CVE 2020-1472 (Zerologon) ซึ่งพบว่ามีเริ่มมีกลุ่มแฮกเกอร์ใช้ประโยชน์จากช่องโหว่นี้ทำการโจมตีผู้ใช้ โดย Microsoft ได้ออกได้ออกคำเเนะนำให้ผู้ใช้ทำการอัปเดตเเพตซ์เพื่อเเก้ไขช่องโหว่อย่างเร่งด่วนเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer.

Instagram bug allowed crashing the app via image sent to device

ช่องโหว่บน Instagram ที่จะทำให้แฮกเกอร์สามารถเข้าถึงโทรศัพท์ของผู้ใช้ได้จากระยะไกล

Gal Elbaz นักวิจัยของ Check Point ได้เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ที่สำคัญในแอปพลิเคชัน Instagram สำหรับ Android และ iOS โดยช่องโหว่จะทำให้ผู้ประสงค์ร้ายสามารถเข้าถึงอุปกรณ์และเข้าความคุมบัญชี Instagram และโทรศัพท์ของผู้ใช้ได้จากระยะไกล

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-189 เป็นช่องโหว่ heap buffer overflow ที่อยู่ในการประมวลผลรูปภาพ ช่องโหว่เกิดจากเมื่อ Instagram ใช้ third-party โค้ดที่ชื่อ Mozjpeg ซึ่งเป็นไลบรารีตัวเข้ารหัส JPEG แบบโอเพนซอร์สซึ่งมีจุดมุ่งหมายเพื่อลดแบนด์วิดท์และให้การบีบอัดที่ดีขึ้นสำหรับรูปภาพที่อัปโหลด ซึ่ง Check Point พบว่าฟังก์ชันการจัดการขนาดรูปภาพเมื่อแยกวิเคราะห์ภาพ JPEG มีข้อผิดพลาดที่ทำให้เกิดปัญหา integer overflow ระหว่างกระบวนการคลายการบีบอัด โดยสิ่งนี้จะทำให้ผู้โจมตีสามารถส่งรูปที่ถูกสร้างมาเป็นพิเศษไปยังเหยื่อ เช่นทางอีเมล, WhatsApp, SMS หรือบริการส่งข้อความอื่นๆ ซึ่งเมื่อผู้ใช้ทำการบันทึกรูปภาพและเปิดแอป Instagram การใช้ประโยชน์จากช่องโหว่จะเริ่มขึ้นทำให้ผู้โจมตีสามารถเข้าถึงบัญชี Instagram ของผู้ใช้, โทรศัพท์ของผู้ใช้ได้จากระยะไกลและยังสามารถทำให้แอป Instagram ของผู้ที่ตกเป็นเหยื่อ Crash ได้เว้นเเต่ผู้ใช้จะทำการลบทิ้งแล้วติดตั้งใหม่

นอกเหนือจากนี้ผู้โจมตียังสามารถใช้ประโยชน์จากช่องโหว่นี้ทำการสอดเเนมผู้ใช้เนื่องจาก Instagram มีสิทธิ์การเข้าถึงมากมายในอุปกรณ์ซึ่งรวมถึงการเข้าถึงรายชื่อ, ที่เก็บข้อมูล, ตำแหน่งอุปกรณ์, กล้องและไมโครโฟน

หลังจากพบช่องโหว่ Check Point ได้ทำการแจ้ง Facebook เพื่อเเก้ไขช่องโหว่แล้ว ทั้งนี้ผู้ใช้ควรทำการอัปเดตแอปพลิเคชันให้เป็นเวอร์ชันล่าสุดเพื่อทำการเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: bleepingcomputer.

Billions of devices vulnerable to new ‘BLESA’ Bluetooth security flaw

“BLESA” ช่องโหว่ใหม่บน Bluetooth Low Energy ที่จะกระทบกับอุปกรณ์จำนวนหลายพันล้านเครื่อง

กลุ่มนักวิจัยจากมหาวิทยาลัย Purdue ได้เผยเเพร่ถึงผลการการค้นพบช่องโหว่ใหม่ในเทคโนโลยี Bluetooth Low Energy (BLE) โดยนักวิจัยได้ทำการตั้งชื่อช่องโหว่นี้ว่า BLESA (Bluetooth Low Energy Spoofing Attack) ซึ่งช่องโหว่ที่ถูกค้นพบนั้นอยู่ในขั้นตอน Reconnect ของเทคโนโลยี BLE ซึ่งคาดว่าช่องโหว่น่าจะกระทบกับอุปกรณ์หลายพันล้านเครื่อง

Bluetooth Low Energy (BLE) นั้นเป็นมาตรฐานบลูทูธที่ออกแบบมาเพื่อประหยัดพลังงานแบตเตอรี่ในขณะที่ยังคงการเชื่อมต่อบลูทูธไว้ให้นานที่สุด เนื่องจากคุณสมบัติการประหยัดแบตเตอรี่ BLE จึงถูกนำมาใช้อย่างแพร่หลายและกลายมาเป็นเทคโนโลยีที่อยู่ในอุปกรณ์ที่จำนวนหลายพันล้านเครื่อง

ปัญหาของช่องโหว่ที่ถูกค้นพบนี้อยู่ในขึ้นตอนการ Reconnect ซึ่งเกิดขึ้นเมื่ออุปกรณ์ทั้งสองหลุดจากระยะและกลับมาเชื่อมต่อกันใหม่ โดยเมื่อ Reconnect อุปกรณ์ BLE ทั้งสองควรตรวจสอบคีย์การเข้ารหัสของกันและกัน เเต่นักวิจัยพบว่าด้วยข้อกำหนด BLE นั้นไม่มีความชัดเจนจึงทำให้กระบวนการ Reconnect มีปัญหาเชิงระบบดังนี้

การตรวจสอบตัวตนในส่วน Reconnect นั้นเป็นแค่ทางเลือกไม่ใช่ข้อบังคับ
การพิสูจน์ตัวตนนั้นสามารถหลีกเลี่ยงได้ หากอุปกรณ์ของผู้ใช้ไม่สามารถบังคับให้อุปกรณ์ IoT เพื่อพิสูจน์ตัวตนของข้อมูลในระหว่างการสื่อสาร

ด้วยเหตุนี้นักวิจัยจึงได้ทำการทดสอบเพื่อทำการวิเคราะห์การสื่อสาร BLE บนระบบปฏิบัติการต่างๆ ซึ่งจากการทำสอบพบว่าอุปกรณ์ BlueZ (อุปกรณ์ IoT ที่ใช้ Linux), Fluoride (Android) และ iOS BLE stack ล้วนเสี่ยงต่อการโจมตี BLESA ในขณะที่ BLE stack ในอุปกรณ์ Windows นั้นไม่ได้รับผลกระทบ ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้ที่นี้ : Usenix

ที่มา : ZDnet

IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา

IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา

IBM ได้ออกรายงานถึงการเเพร่กระจายของ botnet ในระหว่างเดือนตุลาคม 2019 ถึงเดือนมิถุนายน 2020 โดยรายงานพบว่าการเเพร่กระจายกว่า 90 เปอร์เซ็นต์นั้นมากจาก Mozi botnet ซึ่งใช้เครือข่าย loT เป็นฐานในการเเพร่กระจาย

Mozi botnet ถูกตรวจพบโดยผู้เชี่ยวชาญด้านความปลอดภัยจาก 360 Netlab ซึ่งในช่วงเวลาที่ค้นพบนั้น botnet มีการกำหนดเป้าหมายไปที่เราเตอร์ Netgear, D-Link และ Huawei โดยการโจมตีผ่านการ brute force รหัสผ่าน Telnet ที่อ่อนแอ เมื่อเข้าถึงอุปกรณ์ได้แล้ว botnet จะพยายามเรียกใช้เพย์โหลดที่เป็นอันตรายและ botnet จะใช้เครือข่าย Mozi P2P ที่ถูกสร้างโดยใช้โปรโตคอล Distributed Hash Table (DHT) เพื่อสร้างเครือข่าย P2P ในการเเพร่กระจาย

นอกจากการเเพร่กระจายแล้ว Mozi botnet ยังมีความสามารถในการการโจมตี DDoS, การรวบรวมข้อมูล, ดำเนินการเพย์โหลดของ URL ที่ระบุและเรียกใช้ระบบหรือคำสั่งที่กำหนดเอง ทั้งนี้นักวิจัยของ IBM ได้ค้นพบว่าโครงสร้างพื้นฐานที่ Mozi botnet ใช้นั้นตั้งอยู่ในประเทศจีนเป็นหลัก (84%)

นักวิจัยคาดว่าอุปกรณ์ที่จะได้รับผลกระทบจาก Mozi botnet คือ เราเตอร์ Eir D1000, อุปกรณ์ Vacron NVR , อุปกรณ์ที่ใช้ Realtek SDK, Netgear R7000 และ R6400, เราเตอร์ DGN1000 Netgear, MVPower DVR, เราเตอร์ Huawei HG532, อุปกรณ์ D-Link, GPON เราเตอร์, อุปกรณ์ D-Link, กล้องวงจรปิด DVR

เพื่อปกป้องอุปกรณ์ IoT และเราเตอร์จากการโจมตี ผู้ใช้ควรทำการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดและควรทำการเปลื่ยนรหัสผ่านตั้งต้นเป็นรหัสผ่านที่ปลอดภัย ทั้งนี้ควรปิดการใช้งานเข้าถึงจากระยะไกลผ่านอินเทอร์เน็ตหากไม่จำเป็น

โดยสามารถดู IOC ได้จาก : Securityintelligence

ที่มา : Securityaffairs | blog.

Mozilla เเก้ไขช่องโหว่ Firefox สำหรับ Android ที่ทำให้ผู้โจมตีสามารถ hijack เบราว์เซอร์ได้

Mozilla ได้แก้ไขช่องโหว่ที่อาจทำให้แฮกเกอร์สามารถ hijack เบราว์เซอร์ Firefox สำหรับ Android ที่ทำงานบนอุปกรณ์ที่เชื่อมต่อกับเครือข่าย Wi-Fi เดียวกัน ซึ่งช่องโหว่นี้อาจถูกใช้เพื่อบังคับให้ผู้ใช้เข้าเยี่ยมชมเว็บไซต์ที่มีเนื้อหาที่เป็นอันตรายที่ออกเบบมาเพื่อทำการฟิชชิ่งผู้ใช้หรือให้ดาวน์โหลดมัลแวร์ไปยังอุปกรณ์ของผู้ใช้

ช่องโหว่ที่ได้รับการเเก้ไขนี้อยู่ในโปรโตคอล Simple Service Discovery Protocol (SSDP) ของ Firefox ซึ่ง SSDP เป็นโปรโตคอลที่ใช้ UDP และเป็นส่วนหนึ่งของ Universal Plug and Play ( UPnP ) ใช้สำหรับค้นหาอุปกรณ์อื่นที่เชื่อมต่อกับเครือข่าย Wi-Fi เดียวกันเพื่อแชร์หรือรับเนื้อหาเช่นสตรีมวิดีโอที่แชร์โดยใช้อุปกรณ์ที่อยู่ภายในเครือข่าย โดย Firefox สำหรับ Android จะส่งข้อความการค้นหา SSDP ไปยังโทรศัพท์มือถือที่เชื่อมต่อกับเครือข่ายเดียวกันเป็นระยะเพื่อค้นหาอุปกรณ์หน้าจอที่สองที่จะส่ง หลังจากค้นหาอุปกรณ์ที่เชื่อมต่อแล้วคอมโพเนนต์ SSDP ของ Firefox จะติดตามตำแหน่งของไฟล์ XML ซึ่งเก็บรายละเอียดการกำหนดค่าของอุปกรณ์

ด้วยเหตุนี้ผู้โจมตีสามารถเรียกใช้เซิร์ฟเวอร์ SSDP ที่เป็นอันตรายที่ตอบสนองด้วยข้อความที่สร้างขึ้นเป็นพิเศษชี้ไปที่ Android intent URI. จากนั้นผู้ใช้ Android ที่เข้าเว็บไซต์ผ่าน Firefox จะถูก hijack เบราว์เซอร์และจะทำให้ผู้โจมตีสามารถรีไดเร็คผู้ใช้ไปยังหน้าเว็บฟิชชิ่งหรือทำให้เครื่องของผู้ใช้ดาว์นโหลดมัลแวร์จากเว็บไซต์ที่เป็นอันตรายหรือติดตั้งส่วนขยายของ Firefox ที่เป็นอันตราย ช่องโหว่ถูกค้นพบโดย Chris Moberly นักวิจัยด้านความปลอดภัยชาวออสเตรเลียและช่องโหว่นี้จะส่งผลต่อ Firefox สำหรับ Android เวอร์ชัน 68.11.0 และต่ำกว่า

ผู้ใช้ Firefox สำหรับ Android ควรทำการอัปเดตเบราว์เซอร์เป็นเวอร์ชัน 79 หรือเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา : Hackread | Welivesecurity

CISA เเจ้งเตือนถึงมัลแวร์ LokiBot ที่ถูกพบว่ามีการเเพร่กระจายเพิ่มขึ้นอย่างมากในช่อง 3 เดือนที่ผ่านมา

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (Cybersecurity and Infrastructure Security Agency - CISA) ได้ออกเเจ้งเตือนถึงการตรวจพบกิจกรรมที่เพิ่มขึ้นของมัลแวร์ LokiBot ตั้งแต่เดือนกรกฎาคม 2020 จากระบบตรวจจับการบุกรุก EINSTEIN ของ CISA

LokiBot หรือที่เรียกว่า Lokibot, Loki PWS และ Loki-bot เป็นมัลแวร์โทรจันที่ถูกใช้เพื่อขโมยข้อมูลที่ละเอียดอ่อนเช่น ชื่อผู้ใช้, รหัสผ่าน, Cryptocurrency wallet และ Credential อื่นๆ โดยเมื่อเหยื่อติดมัลแวร์แล้วมัลแวร์จะทำการค้นหาแอปที่ติดตั้งในเครื่องและแยกข้อมูล Credential จากฐานข้อมูลภายในและทำการส่งข้อมูลที่ค้บพบกลับมาที่เซิฟเวอร์ C&C ของเเฮกเกอร์ นอกจากนี้ LokiBot ได้ทำการพัฒนาขึ้นเพื่อทำให้สามารถ keylogger แบบเรียลไทม์เพื่อจับการกดแป้นพิมพ์และขโมยรหัสผ่านสำหรับบัญชีที่ไม่ได้เก็บไว้ในฐานข้อมูลภายในของเบราว์เซอร์และยังมีความสามารถ Desktop screenshot เพื่อทำการบันทึกเอกสารที่ถูกเปิดบนคอมพิวเตอร์ของเหยื่อ

LokiBot นอกจากจะถูกใช้เพื่อในการขโมยข้อมูลแล้วตัวบอทยังทำหน้าที่เป็นแบ็คดอร์ทำให้แฮกเกอร์สามารถเรียกใช้มัลแวร์อื่นๆ บนโฮสต์ที่ติดไวรัสและอาจทำให้การโจมตีเพิ่มขึ้น

ผู้ใช้งานอินเตอร์เน็ตควรทำการระมัดระวังในการใช้งานไม่ควรทำการดาวน์โหลดไฟล์จากเเหล่งที่มาที่ไม่เเน่ชัดหรือเข้าคลิกเข้าเว็บไซต์ที่ไม่รู้จัก นอกจากนี้ผู้ใช้ควรทำการใช้ซอฟเเวร์ป้องกันไวรัสและทำการอัปเดต Signature อยู่เสมอเพื่อเป็นการป้องกันไม่ให้ตกเป็นเหยื่อของมัลแวร์ ทั้งนี้ผู้ที่สนใจรายละเอียด IOC สามารถดูได้ที่ : CISA

ที่มา : ZDnet