FireEye พบมัลแวร์ตัวใหม่ที่เน้นโจมตีระบบของธนาคาร ผู้ให้บริการบัตรเครดิต และสถาบันการเงินต่างๆ ที่น่าสนใจ คือ มัลแวร์นี้จะถูกโหลดตั้งแต่ก่อนที่ระบบปฏิบัติการจะเริ่มทำงาน ส่งให้ผลยากต่อการตรวจจับและกำจัดมัลแวร์ออกไป มัลแวร์นี้ชื่อว่า “Nemesis”

Nemesis เป็นชุดรวมมัลแวร์ที่ประกอบด้วยซอฟต์แวร์สำหรับโจมตีระบบมากมาย เช่น แอบถ่ายรูปหน้าจอ, รับส่งไฟล์ข้อมูล, จัดการ Process, ทำ Key Logging และอื่นๆ
มัลแวร์ดังกล่าวได้เริ่มแพร่กระจายตัวโจมตีระบบต่างๆ ตั้งแต่ต้นปีที่ผ่านมา โดยมีคุณสมบัติเด่นคือ สามารถแก้ไข VBR (Volume Boot Record) ของอุปกรณ์คอมพิวเตอร์ได้ ส่งผลให้ขั้นตอนการบูทแทนที่จะโหลดเฉพาะระบบปฏิบัติการ Windows ขึ้นมาเพียงอย่างเดียว มัลแวร์ที่แฝงตัวอยู่ใน VBR จะถูกโหลดเข้า Windows Kernel ก่อนที่จะโหลดระบบปฏิบัติการด้วย นอกจากนี้ มัลแวร์ดังกล่าวยังฝังตัวอยู่ในระดับล่างของฮาร์ดดิสก์ ต่อให้ฟอร์แมทเครื่องหรือลงระบบปฏิบัติการใหม่ มัลแวร์ก็ยังคงกลับมาได้เหมือนเดิม

วิธีป้องกันมัลแวร์ Nemesis ได้โดยผู้ดูแลระบบควรใช้เครื่องมือที่สามารถตรวจสอบข้อมูลดิบของดิสก์ทั้งหมดได้ รวมทั้งสามารถลบข้อมูลในดิสก์ทั้งหมดได้จริง ไม่ใช่ลบในส่วนของระบบปฏิบัติการ

ที่มา : thehackernews

ข่าวร้ายสำหรับผู้ใช้งาน PC ของ Lenovo, Dell และ Toshiba เมื่อซอฟต์แวร์สนับสนุนที่ติดมากับเครื่อง ได้แก่ Lenovo Solution Center, Dell System Detect และ Toshiba Service Station ถูกค้นพบว่ามีช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถรันโค้ดบนคอมพิวเตอร์ Lenovo ผ่านทางเว็บไซต์ปลอมของแฮกเกอร์ โดยได้สิทธิ์เป็น System ทันที ซึ่งช่องโหว่นี้ถูกค้นพบโดยแฮกเกอร์ที่ใช้ชื่อว่า Slipstream และ RoL เมื่อสัปดาห์ที่ผ่านมา

นอกจากนี้ ยังมีช่องโหว่ Directory Traversal ซึ่งช่วยให้แฮกเกอร์สามารถใช้หลอก Lenovo Solution Center เพื่อรันคำสั่งจากโฟลเดอร์ใดก็ได้ ไม่จำเป็นต้องเป็นโฟลเดอร์ %APPDATA%\LSC\Local Store อีกต่อไป และที่น่าตกใจยิ่งกว่าคือ LSCTaskService ยังมีช่องโหว่ Cross-site Request Forgery (CSRF) แถมมาอีกด้วย ส่งผลให้แฮกเกอร์ไม่จำเป็นต้องเข้าถึงเครื่องคอมพิวเตอร์ก็สามารถหลอกล่อให้เหยื่อเข้าถึงเว็บไซต์ของตนเพื่อแอบส่งคำสั่งไปรันบนเครื่องของเหยื่อได้ทันที

Lenovo ได้ทราบถึงช่องโหว่ดังกล่าว และกำลังทำการตรวจสอบเพื่ออุดช่องโหว่ให้เร็วที่สุด ระหว่างนี้แนะนำให้ผู้ใช้ยกเลิกการติดตั้ง Lenovo Solution Center ออกไปก่อน
Slipstream ยังได้เปิดเผยช่องโหว่ของ Toshiba Service Station และ Dell System Detect โดย Toshiba Service Station จะทำการสร้าง Service ที่เรียกว่า TMachInfo ซึ่งถูกรันด้วยสิทธิ์ระดับ System และรับคำสั่งผ่านทาง UDP Port 1233 หนึ่งในคำสั่งเหล่านั้น คือ Reg.

SEC Consult ที่ปรึกษาด้านความปลอดภัยรายงานผลการวิจัยพบว่าผู้ผลิตอุปกรณ์เครือข่ายจำนวนมากไม่ได้สร้างกุญแจลับสำหรับการเข้ารหัสเว็บและ SSH ขึ้นใหม่ แต่ใช้กุญแจตัวอย่างจากชุดพัฒนาโดยตรงทำให้อุปกรณ์เหล่านี้เสี่ยงต่อการถูกคั่นกลางการเชื่อมต่อ (man-in-the-middle attack)

กุญแจที่ตรวจสอบมีทั้งหมด 580 ชุด มีการใช้ซ้ำกันจำนวนมาก เช่นกุญแจสำหรับเข้ารหัสเว็บประมาณ 150 ชุดมีการใช้ซ้ำในอุปกรณ์ถึง 3.2 ล้านเครื่อง ขณะที่กุญแจ SSH ประมาณ 80 ชุดมีการใช้งาน 0.9 ล้านเครื่อง ตัวอย่างกุญแจจาก Broadcom SDK ถูกใช้งานโดยไม่ได้สร้างกุญแจใหม่ และฝังอยู่ในเฟิร์มแวร์ของ Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone, และ ZyXEL

อุปกรณ์เหล่านี้มักถูกแถมไปกับบริการอินเทอร์เน็ต เช่น CenturyLink ผู้ให้บริการอินเทอร์เน็ตในสหรัฐฯ แจกเราท์เตอร์ที่เปิดพอร์ต HTTPS ทิ้งไว้เพื่อการเข้าไปดูแลระบบ โดยพบอุปกรณ์ที่ใช้กุญแจซ้ำเช่นนี้กว่า 500,000 เครื่อง หรือ Telstra จากออสเตรเลียแจกเราท์เตอร์ซิสโก้ที่เปิดพอร์ต SSH ไว้ประมาณ 26,000 เครื่อง

แม้ว่าผลกระทบจากช่องโหว่นี้จะเป็นวงกว้าง แต่ความเสี่ยงก็ไม่สูงนัก คะแนนระดับความเสี่ยงตาม CVSS อยู่ที่ 5.0 โดยแฮกเกอร์อาจจะหลอกผู้ที่พยายามล็อกอินเข้าเราท์เตอร์เพื่อดักฟังเอารหัสผ่าน ทางแก้สำหรับเครื่องบางรุ่นที่คอนฟิกกุญแจใหม่เข้าไปได้ผู้ใช้อาจจะสร้างกุญแจใหม่เข้าไปเอง หรือหากทำไม่ได้ควรปิดการเข้าถึงเราท์เตอร์จากอินเทอร์เน็ต

ที่มา : SEC Consult

LinkedIn เป็น social network ทางด้านอาชีพการงานที่ใหญ่ที่สุด มีสมาชิกมากกว่า 175 ล้านคนทั่วโลก, Rohit Dua นักวิจัยด้านความปลอดภัยจากอินเดียได้พบช่องโหว่ Cross-site Scripting บน LinkedIn’s Help Center

จากรายงานระบุว่าการที่จะโจมตีช่องโหว่ดังกล่าวนี้ได้จำเป็นต้อง Login เข้าสู่ระบบของ Linkedin Help Center ซึ่งเป็นเหมือนเว็บบอร์ด จากนั้นก็ตั้งกระทู้คำถาม โดยสามารถใส่โค้ดหรือสคริปที่เป็นอันตรายลงไปในช่องรายละเอียดได้

อย่างไรก็ตามนักพัฒนาของ Linkedin ได้แก้ไขช่องโหว่ XSS นี้แล้วภายในเวลาไม่กี่ชั่วโมง หลังจากที่นาย Rohit Dua ได้รายงานช่องโหว่ดังกล่าว

ที่มา : threat post

Ibrahim Raafat นักวิจัยด้านความปลอดภัยจากอียีปต์ได้พบช่องโหว่ XSS บนเว็บ Yahoo! Mail สำหรับ Mobile version (mg.mail.yahoo.com) จากรายงานระบุว่า เพียงผู้ไม่ประสงค์ดีใส่โค้ดหรือสคริปที่เป็นอันตรายแล้วส่งไปที่เป้าหมาย สคริปดังกล่าวจะทำงานทันทีเมื่อเป้าหมายเปิดอ่านอีเมล์จากเว็บไซต์ที่เป็น Mobile version

นักวิจัยระบุอีกว่า เมื่อสคริปอันตรายทำงานบน Browser ของเหยื่ออาจจะส่งผลกระทบทำให้ผู้ไม่หวังดีสามารถขโมย Cookie, ดาวน์โหลดไฟล์ที่อันตราย รวมไปถึง redirect ไปยังหน้าที่เป็น Phishing page ได้อีกด้วย อย่างไรก็ตามช่องโหว่ XSS ได้ถูกแจ้งไปยังทีมงานของ Yahoo และถูกแก้ไขไปแล้วเมื่อวันที่ 21 พฤศจิกายนที่ผ่านมา นอกจากนั้นทีมงาน Yahoo ได้ให้รางวัลกับนาย Ibrahim Raafat เป็นจำนวนเงิน 600USD จากการค้นพบช่องโหว่ดังกล่าวอีกด้วย

ที่มา : securityweek

ช่วงนี้หน้าวอลล์ Facebook ของเราอาจเห็นเพื่อนหลายคนเล่นแอพชื่อ “Most Used Words” ที่ช่วยวิเคราะห์ว่าเราพิมพ์คำไหนมากที่สุดเท่าที่ใช้งาน Facebook มา แอพตัวนี้ได้รับความนิยมอย่างสูงไปทั่วโลก มียอดแชร์มากกว่า 16 ล้านครั้งแล้ว

อย่างไรก็ตาม มีรายงานว่าแอพตัวนี้นำข้อมูลส่วนตัวของผู้ใช้ (ตามที่ขอตอนเรียกแอพครั้งแรกแต่คนมักไม่สนใจ) ไปขายต่อ ข้อมูลที่แอพดูดไปมีทั้งข้อมูลส่วนตัว, รายชื่อเพื่อน, รูปภาพ, ประวัติการไลค์, หมายเลขไอพี, และข้อมูลเกี่ยวกับอุปกรณ์ที่เราใช้งาน
แอพตัวนี้เป็นของบริษัทเกาหลีใต้ชื่อ Vonvon.

Candid Wueest จาก Symantec รายงานถึงม้ลแวร์เรียกค่าไถ่ (ransomware) ที่ล็อกหน้าจอสมาร์ตทีวีจนใช้งานไม่ได้ โดยตัวแอพที่ติดตั้งเข้ามาจะเด้งขึ้นมาทุกสองวินาที และเริ่มต้นทำงานหลังบูตขึ้นมาเพียง 20 วินาทีทำให้ผู้ใช้ไม่สามารถเข้าเมนูไปลบแอพออกจากระบบได้ทัน
การถอนการติดตั้งมัลแวร์เหล่านี้ที่ได้ผลที่สุดคือต่อสาย USB และใช้ adb เข้าไปสั่งถอนการติดตั้ง แต่หากผู้ใช้ไม่ได้เปิดโหมดนักพัฒนาไว้ก็จะยิ่งกลายเป็นเรื่องยุ่งยาก
ตอนนี้มัลแวร์กลุ่มนี้ยังไม่มีตัวไหนระบาดเป็นวงกว้าง อาจจะเพราะสมาร์ตทีวีเองยังไม่ได้รับความนิยมนัก แต่อย่างไรการใช้งานสมาร์ตทีวีก็ไม่ต่างจากคอมพิวเตอร์อื่นๆ ที่ควรดูแลความปลอดภัยให้ดี เช่น เปิดระบบตรวจสอบแอพก่อนติดตั้งเสมอ, ปิดฟีเจอร์ที่ไม่ได้ใช้งาน, หรือพิจารณาแยกอุปกรณ์เหล่านี้ออกจากเครือข่ายปกติ

ที่มา : Symantec

เซิร์ฟเวอร์ของกองทัพบลาซิลถูกแฮก ส่งผลให้ข้อมูลต่างๆ ที่สำคัญของเจ้าหน้าที่ในหน่วยงานกว่า 7,000 คนรั่วไหลออกไป และแฮกเกอร์ได้นำข้อมูลที่ได้ไปโพสบนเว็บไซต์ pastebin.

Yan Zhu นักวิจัยด้านความปลอดภัยพบช่องโหว่ของแอพพลิเคชั่น Gmail บน Android ที่สามารถปลอมอีเมลของผู้ส่งได้ หรือเรียกเทคนิคนี้ว่า E-mail Spoofing
อาจส่งผลกระทบในการถูก Phishing จากผู้ที่ไม่หวังดีได้ อย่างไรก็ตาม Yan Zhu ได้พบช่องโหว่ที่สามารถเปลี่ยน display name อาจส่งผลทำให้ผู้รับอีเมลไม่สามารถรู้ได้ว่า ผู้ส่งใช่คนที่ส่งอีเมลมาจริงหรือไม่
Yan Zhu ได้สาธิตการส่งอีเมลโดยเปลี่ยน display name เป็น yan และปลอมอีเมลผู้ส่งเป็น security@google.

Palo Alto ค้นพบโทรจันตัวใหม่ที่เกิดขึ้นครั้งแรกในประเทศไทย เรียกโทรจันนี้ว่า “Bookworm” โดยมีเป้าหมายโจมตีหลัก คือ หน่วยงานในประเทศไทย โดยเฉพาะหน่วยงานรัฐบาล
Bookworm ถูกค้นพบเป็นครั้งแรกในระบบเครือข่ายของหน่วยงานรัฐบาลประเทศไทย ซึ่งเป็นโทรจันที่มีลักษณะคล้ายกับ PlugX RAT มัลแวร์สัญชาติจีนที่ให้การโจมตีแบบ Advanced Persistent Threat (APT) ซึ่ง Bookworm ถูกออกแบบมาเพื่อตรวจจับข้อความที่ผู้ใช้พิมพ์ลงบนคีย์บอร์ด และขโมยข้อมูลที่คัดลอกไว้บนคลิปบอร์ด นอกจากนี้ Bookworm ยังสามารถโหลดโมดูลเพิ่มเติมจาก C&C Server เพื่อเพิ่มความสามารถในการโจมตีระบบอีกด้วย
แฮกเกอร์เริ่มต้นโดยใช้โปรแกรม Smart Installer Maker ในการสร้างไฟล์ Installer ที่แฝงมัลแวร์ขึ้นมา ไฟล์ดังกล่าวจะอยู่ในรูปของไฟล์ Self-Extracting RAR, ไฟล์ Flash Slideshow หรือ Installer เป็นต้น ไฟล์เหล่านี้ เมื่อถูกดับเบิ้ลคลิ๊กเปิดออกมา จะทำการสร้างไฟล์ EXE, ไฟล์ DDL ที่ชื่อว่า “Loader.