News

เตือนภัย! Android banking trojan ชนิดใหม่ “Ghimob” มุ่งเป้าขโมยข้อมูลและสอดแนมผู้ใช้ Android

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้รายงานถึงการค้นพบ Android banking trojan ชนิดใหม่ที่สามารถสอดแนมและขโมยข้อมูลจากแอปพลิเคชันของผู้ใช้ Android ได้ โดยหลังจากนักวิจัยพบจำนวนแอปพลิเคชัน 153 แอปพลิเคชันที่มีอันตรายและนักวิจัยได้เรียกโทรจันชนิดนี้ว่า Ghimob

นักวิจัยกล่าวว่า Ghimob เป็นโทรจันได้รับการพัฒนาโดยกลุ่มเดียวกันที่อยู่เบื้องหลังมัลแวร์ Windows Astaroth หรือ Guildma การตรวจพบเกิดจากทีมนักวิจัยได้รับข้อเสนอให้ทำการดาวน์โหลด Android ที่เป็นอันตรายบนเว็บไซต์เเห่งหนึ่งและเมื่อทำการตรวจสอบเซิร์ฟเวอร์ที่ใช้งานพบว่าเป็นเซิร์ฟเวอร์ที่ก่อนหน้านี้ถูกใช้โดยกลุ่มมัลแวร์ Astaroth (Guildama)

แอปที่อยู่ภายในเว็บไซต์พบว่ามีการเลียนแบบแอปและแบรนด์ที่เป็นทางการโดยมีชื่อเช่น Google Defender, Google Docs, WhatsApp Updater หรือ Flash Update หากผู้ใช้ประมาทและทำการติดตั้งแอป ถึงแม้จะมีคำเตือนที่แสดงบนอุปกรณ์ของผู้ใช้ก็ตาม แอปที่เป็นอันตรายเหล่านี้จะร้องขอการเข้าถึงบริการ ซึ่งจะเป็นขั้นตอนสุดท้ายในกระบวนการติดไวรัสและถ้าหากได้รับอนุญาต แอปจะค้นหาข้อมูลภายในโทรศัพท์ที่ติดไวรัสเพื่อดูรายการแอปของผู้ใช้ จากนั้นจะแสดงหน้าล็อกอินปลอมเพื่อพยายามขโมยข้อมูล Credential ของผู้ใช้ ซึ่งหลังจากความพยายามฟิชชิงข้อมูลสำเร็จข้อมูล Credential ที่รวบรวมไว้ทั้งหมดจะถูกส่งกลับไปยังกลุ่ม Ghimob ซึ่งจะใช้ข้อมูลเหล่านี้ในการเข้าถึงบัญชีของเหยื่อและเริ่มทำธุรกรรมที่ผิดกฎหมาย

นักวิจัยยังกล่าวอีกว่าแอปที่แฝงมัลแวร์ Ghimob ไว้นั้นได้กำหนดเป้าหมายส่วนใหญ่เป็นของธนาคารในบราซิล , เยอรมนี, โปรตุเกส, เปรู, ปารากวัย, แองโกลาและโมซัมบิก และยังได้เพิ่มเป้าหมายไปยังแอปพลิเคชันที่มีเกี่ยวข้องกับ cryptocurrency exchange เพื่อพยายามเข้าถึงบัญชีสกุลเงินดิจิทัล

ทั้งนี้ผู้ใช้ Android ควรมีระมัดระวังในการดาวน์โหลดแอปพลิเคชันจากเเหล่งที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: zdnet.

Chrome รุ่น January 2021 เตรียมบล็อคการโจมตี Tab nabbing

Google ประกาศแผนการเตรียมปล่อยฟีเจอร์ความปลอดภัยใหม่ใน Chrome ซึ่งจะถูกปล่อยออกมาอย่างเป็นทางการในเดือนมกราคมปีหน้า โดยหนึ่งในฟีเจอร์ความปลอดภัยใหม่นั้นคือฟีเจอร์การป้องกันการโจมตีที่เรียกว่า Tab nabbing

Tab nabbing เป็นการโจมตีซึ่งถูกจัดอยู่ในกลุ่มการโจมตีแบบ Tab hijacking โดย OWASP การโจมตีนี้เกิดขึ้นได้ในลักษณะของการที่ผู้โจมตีหลอกให้ผู้ใช้งานเปิดแท็บใหม่ และใช้หน้าแท็บใหม่ในการแก้ไขเนื้อหาในหน้าเว็บเพจเดิมซึ่งอาจส่งผลให้เกิดการเปลี่ยนหน้าต่างของเว็บเพจที่ถูกแก้ไขไปยังหน้าเว็บไซต์ที่เป็นอันตรายได้

Apple และ Mozilla ได้มีการป้องกันการโจมตีในลักษณะไปตั้งแต่ปี 2018 โดยการเพิ่มโค้ด "rel=noopener" เอาไว้ในลิงค์เมื่อมีการใช้ "target=_blank" การอัปเดตของ Chrome จะทำให้เบราว์เซอร์ซึ่งใช้เอนจินเดียวกัน เช่น Edge, Opera, Vivaldi และ Brave ได้รับการอัปเดตตามไปด้วย

ที่มา: zdnet.

นักวิจัยด้านความปลอดภัยตรวจพบการโจมตีเซิร์ฟเวอร์ Microsoft Exchange พบกลุ่ม xHunt อยู่เบื้องหลังการโจมตี

นักวิจัยด้านความปลอดภัย Unit 42 จาก Palo Alto Networks ได้ตรวจพบการโจมตีเซิร์ฟเวอร์ Microsoft Exchange ขององค์กรของรัฐบาลคูเวต โดยในกิจกรรมการโจมตีดังกล่าวนักวิจัยได้พบแบ็คดอร์ Powershell สองตัวที่ไม่เคยเห็นมาก่อน ซึ่งนักวิจัยพบการโจมตีนี้มีความเชื่อมโยงกับกลุ่มภัยคุกคาม xHunt

นักวิจัยกล่าวว่าแบ็คดอร์ที่ถูกค้นพบใหม่ทั้งสองตัวถูกติดตั้งบนเซิร์ฟเวอร์ Microsoft Exchange ที่ถูกบุกรุก โดยแบ็คดอร์ถูกพบใน Scheduled tasks ที่ถูกสร้างโดยผู้โจมตี ซึ่งไฟล์ที่ถูกพบจะเรียกพยายามใช้สคริปต์ PowerShell ที่เป็นอันตราย โดยชื่อของไฟล์แบ็คดอร์ทั้งสองตัวนั้นคือ “TriFive" และ "Snugy"

แบ็คดอร์ตัวแรก TriFive เป็นแบ็คดอร์ที่ใช้ในการเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange โดยใช้การเข้าสู่อินบ็อกของผู้ใช้ที่อยู่ภายในระบบและจะทำการรันสคริปต์ PowerShell จาก Draft อีเมลภายในโฟลเดอร์อีเมลที่ถูกลบ

แบ็คดอร์ตัวที่สอง Snugy เป็นแบ็คดอร์ที่ใช้ในการทำ DNS-tunneling เพื่อเรียกใช้คำสั่งบนเซิร์ฟเวอร์ที่ถูกบุกรุก โดย DNS tunneling จะช่วยให้ผู้โจมตีสามารถทำการเชื่อมต่อข้อมูลโดยใช้โปรโตคอล DNS ซึ่งจะทำให้ผู้โจมตีสามารถใช้เป็นช่องทางในการสื่อสารกับเซิร์ฟเวอร์ที่เป็นอันตรายภายนอกของผู้โจมตี

นักวิจัยยังกล่าวอีกว่าโค้ดต่างๆ ที่อยู่ภายในแบ็คดอร์ Snugy นั้นมีความคล้ายคลึงกับแบ็คดอร์ CASHY200 ที่ถูกใช้โดยกลุ่ม xHunt ซึ่งนักวิจัยได้สันนิษฐานการโจมตีครั้งนี้น่าจะมีความเกี่ยวโยงกัน ทั้งนี้ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์หรือเปิดไฟล์ที่แนบมากับอีเมลเพื่อป้องกันการฟิชชิงด้วยอีเมล

ที่มา: threatpost.

กลุ่มมัลแวร์เรียกค่าไถ่ปลอมโฆษณาปล่อย Microsoft Teams ปลอมฝังแบ็คดอร์

ไมโครซอฟต์มีการแจ้งเตือนแบบไม่เป็นสาธารณะในช่วงต้นเดือนที่ผ่านมาถึงพฤติกรรมของกลุ่มมัลแวร์เรียกค่าไถ่ที่ใช้วิธีการแพร่กระจายในลักษณะ Fake Update ของโปรแกรม Microsoft Teams ฝังแบ็คดอร์ โดยมีการทำโฆษณาปลอมเพื่อหลอกให้เหยื่อดาวโหลดด้วย

พฤติกรรมการใช้ Fake Update นั้นเป็นพฤติกรรมในการแพร่กระจายมัลแวร์เรียกค่าไถ่ DoppelPaymer ตั้งแต่ปี 2019 อย่างไรก็ตามในปีที่ผ่านมา พฤติกรรมดังกล่าวนี้ถูกใช้เพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่ WastedLocker มากกว่า

เมื่อเหยื่อหลงเชื่อและดาวโหลดแอปพลิเคชันปลอม แบ็คดอร์ที่ฝังเอาไว้ในโปรแกรมปลอมจะถูกติดตั้งและสร้างช่องทางกลับไปหาระบบของผู้โจมตี จากข้อมูลของไมโครซอฟต์ ผู้โจมตีมีการใช้ช่องโหว่ ZeroLogon ในการยกระดับสิทธิ์และทำ lateral movement ด้วย

ไมโครซอฟต์ออกคำแนะนำให้ใช้เบราว์เซอร์ซึ่งมีความสามารถในการตรวจสอบไฟล์ที่เป็นอันตราย จำกัดสิทธิ์และตั้งค่าความปลอดภัยใน active directory ให้เหมาะสมและลด attach surface ออกจากระบบด้วยการ hardening

ที่มา: bleepingcomputer.

พบแพ็กเกจ NPM ที่เป็นอันตรายถูกใช้เพื่อขโมยโทเค็นผู้ใช้ Discord และข้อมูลเบราว์เซอร์จากผู้ใช้

ในวันที่ 25 สิงหาคม 2020 ที่ผ่านมา ทีมผู้ดูแลโปรเจ็กต์ NPM ได้ทำการลบแพ็คเกจที่เป็นอันตรายและมีชื่อว่า "fallguys" โดยแพ็คเกจดังกล่าวเป็นแพ็คเกจที่ออกแบบมาเพื่อขโมยโทเค็น Discord และข้อมูลเบราว์เซอร์จาก Google Chrome, Brave Browser, Opera และ Yandex Browser

รายละเอียดการค้นพบและรายงานโดยบริษัทรักษาความปลอดภัยทางด้านโอเพ่นซอร์ส Sonatype ได้ทำการตรวจพบแพ็คเกจ NPM ที่เป็นอันตราย โดยแพ็คเกจที่ทำการตรวจพบนั้นมีชื่อเรียกว่า 'discord.

Adobe เปิดตัวแพตซ์แก้ไขช่องโหว่ใน Adobe Reader สำหรับ Android

Adobe เปิดตัวแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ที่สำคัญ 3 รายการใน Adobe Reader สำหรับ Android และ Adobe Connect

ช่องโหว่ CVE-2020-24442, CVE-2020-24443 เป็นช่องโหว่ Cross Site Scripting (XSS) ที่อยู่ภายใน Adobe Connect โดยช่องโหว่อาจทำให้ผู้โจมตีสามารถเรียกใช้ JavaScript ที่เป็นอันตรายได้
ช่องโหว่ CVE-2020-24441 เป็นช่องโหว่การเปิดเผยข้อมูลสำคัญใน Adobe Reader สำหรับ Android โดยช่องโหว่อาจทำให้ผู้โจมตีสามารถอ่านข้อมูลของผู้ใช้ได้

ทั้งนี้ผู้ใช้ Adobe Connect ควรทำการอัปเดตและติดตั้ง Adobe Connect ให้เป็นเวอร์ชัน 11.0.5 และผู้ใช้ Adobe Reader สำหรับ Android ควรทำการอัปเดตและติดตั้ง Adobe Reade สำหรับ Android ให้เป็นเวอร์ชัน 20.9.0 เพื่อเเก้ไขช่องโหว่และเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: bleepingcomputer.

Gitpaste-12 บ็อตเน็ตชนิดใหม่ที่ใช้ GitHub และ Pastebin เป็นฐานในการเเพร่กระจาย

นักวิจัยด้านความปลอดภัยจาก Juniper Threat Labs ได้ทำการตรวจพบเวิร์มและบ็อตเน็ตชนิดใหม่ที่อาศัย GitHub และ Pastebin ในการสร้างโค้ดคอมโพเนนต์ที่เป็นอันตรายและมีโมดูลในการโจมตีที่แตกต่างกันอย่างน้อย 12 โมดูลและมัลแวร์ยังมีความสามารถในการแพร่กระจายในรูปแบบอัตโนมัติ โดยมัลแวร์อาจนำไปสู่การแพร่กระจายภายในเครือข่ายองค์กรหรือไปยังโฮสต์ของผู้ใช้ที่ทำการเชื่อมต่อ ซึ่งนักวิจัยได้มัลแวร์ชนิดนี้ว่า “Gitpaste-12”

มัลแวร์“Gitpaste-12” ถูกตรวจพบครั้งแรกประมาณวันที่ 15 ตุลาคม ที่ผ่านมา โดยมัลแวร์จะมีโมดูลที่ใช้ในการโจมตีซึ่งประกอบไปด้วยช่องโหว่จำนวน 11 ช่องโหว่คือ CVE-2017-14135 (Webadmin plugin for opendreambox), CVE-2020-24217 (HiSilicon video encoders), CVE-2017-5638 (Apache Struts), CVE-2020-10987 (Tenda router), CVE-2014-8361 (Realtek SDK), CVE-2020-15893 (Dlink routers), CVE-2013-5948 (Asus routers), EDB-ID: 48225 (Netlink GPON Router), EDB-ID: 40500 (AVTECH IP Camera), CVE-2019-10758 (CVE-2019-10758) และ CVE-2017-17215 (Huawei router)

นักวิจัยกล่าวว่าขึ้นตอนการโจมตีของ Gitpaste-12 จะเริ่มต้นโดยการดาวน์โหลดสคริปต์จาก Pastebin URL ซึ่งจะสั่งให้โฮสต์ที่ติดเชื้อเรียกใช้สคริปต์นี้ต่อไปทุกๆ นาที จากนี้มัลแวร์จะดาวน์โหลด Shell script หลักจาก GitHub ซึ่งก็คือ https: //raw.

กลุ่ม Ryuk Ransomware เรียกค่าไถ่จากเหยื่อเป็นจำนวนเงิน 34 ล้านดอลลาร์เพื่อแลกกับคีย์ถอดรหัสที่ปลดล็อกระบบ

ตามข้อมูลการรายงานของ Vitali Kremez จาก Advanced Intelligence ได้รายงานถึงกลุ่มแฮกเกอร์ที่เรียกตัวเองว่า “one” ซึ่งตั้งเป้าหมายการโจมตีไปยังบริษัทยักษ์ใหญ่ ด้วย Ryuk ransomware และเพิ่งสามารถข่มขู่เหยื่อรายหนึ่งให้จ่ายเงินเป็นจำนวน 34 ล้านดอลลาร์เพื่อแลกกับคีย์ถอดรหัสที่ใช้ในการปลดล็อกระบบของเหยื่อ

Kremez กล่าวว่ากลุ่มแฮกเกอร์ที่เรียกตัวเองว่า “one” ซึ่งได้ข้อมูลระบุตัวตนของกลุ่มจากบอตเน็ต Trickbot ที่ถูกใช้อำนวยความสะดวกในการบุกรุกเครือข่ายของเหยื่อร่วมกับการใช้ Ryuk ransomware โดยเหยื่อรายล่าสุดของกลุ่ม “one” ได้แก่บริษัทในด้านเทคโนโลยี, การดูแลสุขภาพ, พลังงาน, บริการทางการเงินและภาครัฐ ซึ่งได้ทำการจ่ายเงินค่าไถ่เป็นจำนวนเงิน 2,200 bitcoins ซึ่งขณะนี้มีมูลค่าเกือบ 34 ล้านดอลลาร์ โดยกลุ่มเเฮกเกอร์ไม่มีการเจรจาและไม่มีการผ่อนปรนใดๆ สำหรับค่าไถ่

จากการวิเคราะห์ขั้นตอนของการโจมตีและตั้งข้อสังเกตพบว่ากลุ่ม “one” ใช้ 15 ขั้นตอนในการค้นหาและบุกรุกเหยื่อ โดยใช้เครื่องมือซึ่งเป็นซอฟต์แวร์โอเพนซอร์สอย่างเช่น Mimikatz, PowerShell PowerSploit, LaZagne, AdFind, Bloodhound และ PsExec ในการบุกรุกและจะใช้ Ryuk ransomware เป็นขั้นตอนสุดท้ายในกระบวนการ

มัลแวร์ Trickbot ที่ใช้เป็นจุดเริ่มต้นของการบุกรุกเริ่มแพร่กระจาย BazarLoader ซึ่งเป็น backdoor ที่จะเปิดทางให้กลุ่มเเฮกเกอร์ใช้กลับเข้าไปในเครือข่ายตั้งแต่เมษายน 2020 ที่ผ่านมา ทั้งนี้ผู้ใช้ควรทำการตรวจสอบเว็บไซต์และไฟล์ทุกครั้งที่ทำการโหลด ไม่เข้าเว็บไซต์จากเเหล่งที่ไม่รู้จัก เพื่อเป็นการป้องกันการตกเป็นเหยื่อของ Ryuk ransomware สำหรับผู้ที่สนใจรายละเอียดขั้นตอนการโจมตีสามารถดูได้ที่เเหล่งที่มา

ที่มา: bleepingcomputer.

“Zoom Snooping” แกะรหัสผ่านจากวีดิโอคอลผ่านการยักไหล่ งานวิจัยใหม่จาก University of Texas

กลุ่มนักวิจัยจากมหาวิทยาลัยเท็กซัสเปิดเผยงานวิจัยใหม่ภายใต้ชื่อ Zoom Snooping โดยงานวิจัยชิ้นนี้อธิบายความเป็นไปได้ในการประมวลผลภาพหน้าจอเวลาใช้งานวีดิโอคอล จากนั้นนำลักษณะการเคลื่อนไหวของไหล่มาใช้ระบุการพิมพ์หรือการใช้งานคีย์บอร์ด

งานวิจัยนี้ใช้วิธีการบันทึกและประมวลการเคลื่อนไหวของไหล่ซึ่งมักปรากฎอยู่ในวีดิโอคอล เฟรมเวิร์คจากงานวิจัยจะประเมินการเปลี่ยนแปลงของพิกเซลในรูปภาพเพื่อหาทิศทางการเคลื่อนไหว ผลความแม่นยำจากงานวิจัยนี้มีความถูกต้องอยู่ทั้งหมด 75% ภายใต้ปัจจัยควบคุม อาทิ ลักษณะของเก้าอี้่ที่ผู้เข้าร่วมการทดสอบนั่ง, ลักษณะของคีย์บอร์ดที่ใช้แบบ QWERTY และปัจจัยเกี่ยวกับกล้องต่างๆ ซึ่งทั้งหมดนี้ส่งผลกระทบต่อความแม่นยำของงานวิจัย

แม้ความแม่นยำจะยังไม่สมบูรณ์แบบ แต่ผลลัพธ์ของงานวิจัยก็บ่งชี้มันมีความเป็นไปได้จริงที่การพิมพ์จะรั่วไหลออกมาผ่านการวิเคราะห์ภาพและการเคลื่อนไหวของส่วนในร่างกาย นักวิจัยด้านความปลอดภัยชื่อดัง Bruce Schneier ก็ลงความเห็นไปในทิศทางเดียวกันว่า "แม้ความแม่นยำจะยังไม่ดีมาก แต่การพิสูจน์ว่ามันสามารถทำได้จริงก็ถือเป็นสิ่งที่น่าประทับใจแล้ว"

อ่านงานวิจัยฉบับเต็มได้ที่: https://arxiv.

พบช่องโหว่ Zero-day ใน Chrome จะทำให้ผู้โจมตีสามารถ Hijack คอมพิวเตอร์ที่ตกเป็นเป้าหมายได้

นักวิจัยด้านความปลอดภัย Sergei Glazunov จากทีม Google Project Zero ได้เปิดเผยถึงการค้นพบช่องโหว่ Zero-day บนเว็บเบราว์เซอร์ Google Chrome สำหรับ Windows, Mac และ Linux โดยช่องโหว่นี้จะทำให้ผู้โจมตีสามารถ Hijack คอมพิวเตอร์ที่ตกเป็นเป้าหมายได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-15999 เป็นช่องโหว่ประเภท Memory corruption โดยช่องโหว่ถูกพบใน FreeType ซึ่งเป็นไลบรารีการพัฒนาซอฟต์แวร์แบบโอเพนซอร์สยอดนิยมสำหรับการแสดงผลแบบอักษรที่มาพร้อมกับ Chrome

หลังจากค้นพบช่องโหว่ Glazunov ได้ทำการรายงานช่องโหว่ Zero-day ไปยังนักพัฒนา FreeType ทันที ซึ่ง Glazunov มีความกังวลว่าผู้ประสงค์ร้ายจะใช้ช่องโหว่จากไลบรารี FreeType นี้ทำการโจมตีระบบอื่นๆ ซึ่งปุจจุบันยังไม่พบการใช้ประโยชน์จากช่องโหว่ แต่เนื่องจากไลบรารี FreeType เป็นโปรเจ็กต์โอเพ่นซอร์สจึงคาดว่าผู้ประสงค์ร้ายจะสามารถทำ reverse-engineer ของ zero-day ได้และจะสามารถหาช่องโหว่ของตัวเองได้ภายในไม่กี่วันหรือกี่สัปดาห์ โดยเมื่อได้รับการเเจ้งเตือนทีมผู้พัฒนา FreeType ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาดังกล่าวแล้วใน FreeType เวอร์ชัน 2.10.4 แล้ว

ทั้งนี้ Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.111 เพื่อเเก้ไขปัญหาด้านความปลอดภัยดังกล่าว ผู้ใช้ควรทำการอัปเดต Google Chrome ให้เป็นเวอร์ชันล่าสุดทันทีเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีผู้ใช้และระบบ

ที่มา: thehackernews | zdnet