ทีม Dell SonicWALL Threats Research ได้รับรายงานถึงโทรจัน Android Banker ตัวใหม่ที่ใช้การทำ Staganography หรือการแอบซ่อนตัวอยู่ภายในไฟล์ที่เป็นรูปภาพ ทำให้ยากต่อการตรวจจับ
จุดเริ่มต้นของการทำงานของ Android Banker ตัวนี้ก็คือการติดตั้ง APK ที่มีการขอสิทธิ์ในการอ่านและเขียน External Storage ในระดับของ Administrative Privileges จากนั้นเมื่อเหยื่อกดอนุญาตแล้ว ตัว APK ก็จะหายไปจากหน้า App Drawer เพื่อให้คนเข้าใจว่ามันถูกลบออกไปจากเครื่องแล้ว แต่ในความเป็นจริงก็คือ APK ตัวนี้ยังคงแอบทำงานอยู่แบบ Background ภายในเครื่องของเหยื่อ
APK ตัวนี้จะทำการเปิดไฟล์ภาพที่ถูกแนบมาด้วยกัน และดูเหมือนจะเป็นไฟล์ภาพธรรมดาๆ เพื่อค้นหา String ที่ตรงกับ 12345678901234567890 ภายในไฟล์ภาพนั้น และนำข้อความที่ต่อท้าย String นี้ทั้งหมดมา Decode ด้วย Base64 สร้างออกมาเป็น APK ตัวที่ 2 สำหรับใช้ในการโจมตี และทำการติดตั้งทันทีด้วยสิทธิ์ Administrator ที่ขอมาแต่แรก
APK ตัวที่สองนี้จะทำการส่งข้อมูลเกี่ยวกับอุปกรณ์ ได้แก่ OS Version, Phone Model, Phone Number, IMEI และ Installed Application ออกไปยัง 75jng75ufnf.

Malwarebytes ออกโปรแกรม Malwarebytes Anti-Ransomware โดยใช้ชื่อย่อว่า “MBARW” เวอร์ชั่น Beta ซึ่งมีคุณสมบัติสามารถตรวจจับและป้องกันพฤติกรรมของ ransomware (มัลแวร์เรียกค่าไถ่) โดยตัวโปรแกรมจะสามารถตรวจจับพฤติกรรมที่พยายามทำการเข้ารหัสไฟล์ข้อมูล เมื่อพบพฤติกรรมดังกล่าวจะทำการกักเก็บไฟล์ที่อันตรายและแจ้งเตือนผู้ใช้งาน โดย MBARW จะสามารถตรวจจับและป้องกัน ransomware ที่เป็นอันตรายต่อข้อมูลในคอมพิวเตอร์ชนิดต่างๆ ได้ เช่น CryptoWall4, CryptoLocker, Tesla และ CTB-Locker เป็นต้น โดยทาง Malwarebytes ได้มีการซื้อ CryptoMonitor จากบริษัท EasySync เข้ามาเพื่อช่วยในการตรวจจับ ransomware อีกด้วย

ที่มา : BLEEPINGCOMPUTER

เมื่อสัปดาห์ที่ผ่านมา นักวิจัยด้านความปลอดภัยจาก Sucuri Security เปิดเผยว่าพบช่องโหว่ Stored XSS บน Magento ที่เป็น CMS ออกแบบมาเพื่อทำ e-commerce หรือสำหรับขายสินค้าออนไลน์ ซึ่งส่งผลให้แฮกเกอร์สามารถเข้าควบคุมเว็บไซต์ทีติดตั้ง Magento ได้เพียงแค่ผู้ใช้งานที่มีบัญชีของ Magento ใส่โค้ด Javascript ที่อันตรายในช่อง email address ในหน้าตั้งค่าบัญชี โดยที่ระบบของ Magneto ไม่มีการกรองอักขระที่เป็นอันตราย ทำให้โค้ดของ Javascript สามารถรันในหน้าแอดมินได้ อย่างไรก็ตามช่องโหว่ Stored XSS มีผลกระทบโดยตรงกับ Magento CE เวอร์ชั่นต่ำกว่า 1.9.2.3 และ Magento EE เวอร์ชั่นต่ำกว่า 1.14.2.3 นอกจากนี้ยังมีการพบช่องโหว่ Stored XSS ในช่องคอมเมนต์ที่สามารถใส่โค้ด Javascript ไปบันทึกในฐานข้อมูลได้ ส่งผลกระทบกับ Magento CE เวอร์ชั่น 2 และ Magento EE เวอร์ชั่นตำกว่า 2.0.1 แนะนำให้ควรอัพเกรด Magento ไปเป็นเวอร์ชั่นล่าสุดโดยทันที

ที่มา : net-security, SUCURIBlog

นักวิจัยด้านความปลอดภัยจาก Core Security’s CoreLabs พบช่องโหว่หลายช่องโหว่บนแอพพลิเคชั่น Lenovo SHAREit ของ Android และ Windows ที่ใช้สำหรับส่งไฟล์ รูป เพลงและแอพระหว่างเครื่องโดยไม่ต้องต่อเน็ต หนึ่งในนั้นคือมีช่องโหว่ที่มีการฝังรหัสผ่าน 12345678 ไว้ในแอพพลิเคชั่นดังกล่าว

ซึ่งสามารถใช้รหัสผ่าน 12345678 เข้าใช้ Wi-Fi ส่งผลให้สามารถดูไฟล์ต่างๆ แต่ไม่สามารถดาวน์โหลดได้ โดยจะทำงานผ่าน HTTP Request ไปยังเครื่องที่เปิดโปรแกรม SHAREit อยู่นั้นเอง อีกทั้งการถ่ายโอนไฟล์ที่ทำงานผ่าน HTTP ไม่มีการเข้ารหัสนั้นส่งผลให้อาจถูกดักข้อมูลระหว่าง Network หรือการทำ Man in the middle ได้อีกด้วย

ช่องโหว่นั้นมีผลกระทบกับ SHAREit เวอร์ชั่น 3.0.18_ww บน Android และ SHAREit เวอร์ชั่น 2.5.1.1 บน Windows อย่างไรก็ตามทาง Lenovo ได้ออกแพทช์อัพเดทมาเพื่อแก้ไขปัญหาดังกล่าวนี้แล้ว

ที่มา : threatpost

David Sopas นักวิจัยด้านความปลอดภัยจากโปรตุเกส พบช่องโหว่ Reflected File Download (RFD) บน Google Finance ส่งผลให้ผู้ใช้โหลดไฟล์ที่มีเนื้อหาที่แฮกเกอร์ต้องการได้ เพียงแค่แฮกเกอร์แก้ไขค่าในพารามิเตอร์ callback เป็นเนื้อหาของไฟล์ที่จะให้ดาวน์โหลดเท่านั้น

ช่องโหว่นี้ส่งกระทบกับ Firefox และ Opera เวอร์ชั่นปัจจุบันรวมไปถึง Internet Explorer 8 และ 9 ยกตัวอย่าง http://www.

จากข่าวพบรหัสผ่านฝังใน FortiGate และมีการแจกโค้ดภาษาไพธอน เพื่อให้สามารถใช้ Secure Shell (SSH) เข้าไปควบคุม firewall ได้นั้น ทาง Fortinet ชี้แจงว่าไม่ใช่ Backdoor แต่เป็นช่องโหว่ของการ Authentication เท่านั้น และพบปัญหานี้ใน FortiOS รุ่น 4.3.0 ถึง 4.3.16 และ 5.0.0 ถึง 5.0.7 เท่านั้น ล่าสุดพบว่าปัญหานี้ไม่ได้มีแค่อุปกรณ์ FortiGate เท่านั้น ปัญหานี้มีอยู่ในอุปกรณ์หลายตัว และได้เปิดเผยถึงผลิตภัณฑ์ที่ได้รับผลกระทบเพิ่มเติมดังต่อไปนี้

FortiAnalyzer รุ่น 5.0.5 ถึง 5.0.11 และ 5.2.0 ถึง 5.2.4
FortiSwitch รุ่น 3.3.0 ถึง 3.3.2
FortiCache รุ่น 3.0.0 ถึง 3.0.7 (รุ่น 3.1 ไม่ได้รับผลกระทบ)
อุปกรณ์ที่ใช้ FortiOS รุ่น 4.1.0 ถึง 4.1.10 และ 4.2.0 ถึง 4.2.15 และ 4.3.0 ถึง 4.3.16 และ 5.0.0 ถึง 5.0.7

ปัจจุบันนี้เริ่มมีผู้โจมตี Scan หาช่องโหว่นี้ของ Fortinet บน Public IP แล้ว โดยมี IP ต้องสงสัยหลักๆ ที่พยายามทำการ Scan หาช่องโหว่เหล่านี้อย่างต่อเนื่องคือ 124.160.116.194 และ 183.131.19.18 ซึ่งมาจากประเทศจีน ดังนั้นผู้ดูแลระบบควรจะรีบ Patch ระบบทั้งหมดที่ได้รับผลกระทบทันที ในขณะที่อย่างน้อยๆ ถ้าหาก Patch ไม่ได้ ก็ควรกำหนด Firewall Rule หรือ ACL ให้บล็อคการเข้าถึงจาก IP Address สองชุดนี้เสียก่อน

ที่มา : theregister

นักวิจัยจาก IBM X-Force รายงานว่า พบกลุ่ม Evil Corp สร้างโทรจันที่มีชื่อว่า “Dridex” โดยมีเป้าหมายเป็นธนาคารในประเทศอังกฤษ สำหรับเวอร์ชั่นล่าสุดของโทรจันคือ v.3.161 ถูกค้นพบเมื่อวันที่ 6 มกราที่ผ่านมา ซึ่งเมื่อปี 2015 ที่ผ่านมาโทรจันดังกล่าวสามารถขโมยเงินได้ถึง 20 ล้านเหรียญจากธนาคารในอังกฤษอีกด้วย

สำหรับการแพร่ของโทรจัน Dridex จะแพร่กระจายผ่านอีเมลในลักษณะของการ phishing ทำงานด้วย Macro รวมไปถึงมีความสามารถในการซ่อนตัวในเครื่องคอมพิวเตอร์ของเหยื่อที่ติดโทรจัน Dridex และมีการขโมยข้อมูลที่สำคัญของเจ้าของบัญชีธนาคาร เมื่อเหยื่อเข้าเว็บไซต์ของธนาคารจะถูก redirect ไปยังโดเมนเว็บไซต์ที่ถูกควบคุมโดยแฮกเกอร์ โดยจะมีการสร้าง local proxy หรือการใช้เทคนิค DNS Poisoning เป็นต้น จากนั้นข้อมูลที่ใส่เข้าไปจะถูกส่งไปยังเซิฟเวอร์ของแฮกเกอร์แทน และนอกจากนั้นยังมีความสามารถในการหลีกเลี่ยง 2factor authentication ของธนาคารอีกด้วย อย่างไรก็ตามทีมงาน IBM X-Force ได้รายงานว่ามีธนาคารประมาณ 13 ธนาคารในอังกฤษที่ตกเป็นเหยื่อของ Dridex เรียบร้อยแล้ว

ที่มา : ZDNet

Malwarebytes ผู้ให้บริการโซลูชัน Anti-malware ชื่อดัง ได้ออกมาเผยถึง Malvertising (มัลแวร์ผ่านการโฆษณา) ที่อาศัยแพลทฟอร์มโฆษณาของ AdSpirit ในการแอบส่งมัลแวร์เรียกค่าไถ่ (Ransomware) ชื่อดังอย่าง CryptoWall เข้าไปยังเครื่องของเหยื่อ เมื่อเหยื่อเผลอกดโฆษณาบนหน้าโฮมเพจของ MSN

มัลแวร์ดังกล่าวมีเป้าหมายไปยังผู้ใช้ชาวเยอรมันที่เล่นเว็บ MSN โดยแฝงมัลแวร์มากับโฆษณาโปรโมชั่นของ Lidl ซูเปอร์มาร์เก็ตชื่อดังของเยอรมนี มัลแวร์ที่ซ่อนอยู่ในโฆษณามานี้เป็น Exploit Kit 2 แบบ คือ RIG และ Neutrino Exploit Kits เมื่อเหยื่อเผลกดลิงค์โฆษณา ก็จะนำไปสู่ลิงค์ของ Exploit Kit ที่จะดาวน์โหลดมัลแวร์เข้ามาติดตั้งบนเครื่องของเหยื่อทันที
Malwarebytes ได้แจ้ง AdSpirit ถึง Malvertising แคมเปญนี้เป็นที่เรียบร้อย ซึ่งทาง AdSpirit ก็ได้ทำการปลดโฆษณาดังกล่าวออกไปและเตรียมการตรวจสอบเหตุการณ์ที่เกิดขึ้นทันที คำแนะนำสำหรับผู้ใช้ทั่วไปเพื่อป้องกัน Malvertising รูปแบบนี้คือ ติดตั้งโปรแกรม Anti-malware และ Anti-Exploit พร้อมอัพเดทฐานข้อมูลใหม่ล่าสุดอยู่เสมอ

ที่มา : Malwarebytes UNPACKED

Apple เพิ่งประกาศออก iOS รุ่น 9.2.1 มา เพื่ออุดช่องโหว่ไปด้วยกันทั้งสิ้น 13 CVE ซึ่ง 6 ช่องโหว่ในนั้นนำไปสู่การโจมตี Remote Code Execution ได้, แก้ปัญหาบางเครื่องติดตั้ง App ไม่ได้

ช่องโหว่ Remote Code Execution นี้ 5 ช่องโหว่นี้อยู่ใน WebKit ที่ถ้าหากไม่ Patch เป็น iOS 9.2.1 แล้วก็อาจเสี่ยงต่อการถูกโจมตีผ่านหน้าเว็บไซต์ได้ทันที ส่วนช่องโหว่ Remote Code Execution ช่องโหว่สุดท้ายนี้อยู่ใน libxslt ที่โจมตีได้จากการเกิด Type Confusion Error ที่สามารถโจมตีผ่านหน้าเว็บไซต์ได้เช่นกัน

ภายในช่องโหว่ที่เหลือนั้นจริงๆ แล้วก็ยังมีช่องโหว่ที่นำไปสู่การทำ Code Execution อยู่เช่นกัน แต่การโจมตีจะเกิดได้ก็จากการเข้าถึงอุปกรณ์โดยตรงไม่ได้ผ่านระบบเครือข่ายเท่านั้น จึงไม่อันตรายเท่าช่องโหว่ที่กล่าวถึงไปก่อนหน้านี้
ทั้งนี้ iOS 9.2.1 ยังไม่ได้แก้ปัญหาแบตเตอรี่แสดงผลผิดเมื่อมีการตั้งเวลาแบบ Manual บน iPhone 6S และ 6S Plus แต่อย่างใด

ที่มา : theregister

Perception Point บริษัททางด้านความปลอดภัยจากอิสราเอล ได้ออกมาประกาศถึงช่องโหว่ Zero-day ที่เพิ่งค้นพบ ซึ่งเปิดให้ผู้โจมตีสามารถยกระดับสิทธิ์ตัวเองเป็น Root ได้ และคาดว่าอุปกรณ์ Linux ทั่วโลกกว่า 66% จะได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่นี้เกี่ยวข้องกับ Memory-leak และถูกกำหนดให้เป็นช่องโหว่รหัส CVE-2016-0728 ซึ่งช่องโหว่นี้พบว่ามีผลกระทบมาตั้งแต่ปี 2012 บน Linux Kernel รุ่น 3.8 ทั้งแบบ 32-bit และ 64-bit แต่ยังไม่มีข่าวคราวของการโจมตีด้วยช่องโหว่นี้อย่างรุนแรงเกิดขึ้นแต่อย่างใด
ข่าวดีก็คือทาง Linux, Red Hat และ SUSE เตรียมออก Patch อุดช่องโหว่แล้วหลังได้รับการแจ้งเตือนนี้ แต่ข่าวร้ายตกเป็นของผู้ใช้งาน Android ทั่วโลกเพราะ Google ยังไม่ออกมายืนยันกำหนดการ Patch แต่อย่างใด ดังนั้นผู้ใช้งานทุกคนจึงควรระมัดระวังเป็นพิเศษในช่วงนี้ และรอติดตาม Patch กันดีๆ

หัวใจของวิธีการโจมตีนี้ก็คือการทำให้ Keyring นั้นนับจำนวนครั้งที่ถูกอ้างถึงไปจน Overflow กลับมาเป็น 0 และเมื่อ Kernel เห็นว่า Keyring นี้ถูกอ้างถึง 0 ครั้ง ก็จะคิดว่า Keyring นี้ไม่เป็นที่ต้องการอีกต่อไป และเป็นช่องให้ผู้โจมตีสามารถเข้าควบคุม Keyring นี้เพื่อเอาไปใช้เข้าถึงข้อมูลที่เกี่ยวกับความปลอดภัยของระบบ และใช้ยกระดับสิทธิ์ของตัวเองขึ้นมาเป็น Root ได้นั่นเอง

ทั้งนี้การเปิดใช้งาน Supervisor Mode Execution Protection (SMEP) และ Supervisor Mode Access Prevention (SMAP) หรือการใช้ SELinux ก็จะทำให้การโจมตีด้วยวิธีการเหล่านี้ยากขึ้นมากจนถึงขั้นเป็นไปไม่ได้เลย

ที่มา : Data Breach