Apple ระบุในการวิเคราะห์การป้องกันการฉ้อโกงประจำปีล่าสุดว่า เทคโนโลยีในการต่อต้านการฉ้อโกงของ Apple ได้ปิดกั้นการทำธุรกรรมที่อาจเป็นการฉ้อโกงมูลค่ามากกว่า 7 พันล้านดอลลาร์ในสี่ปี

ตั้งแต่ปี 2020 ถึง 2023 บริษัทตรวจพบบัตรเครดิตที่ถูกขโมยมาใช้มากกว่า 14 ล้านใบ และบล็อกไม่ให้ทำธุรกรรมบนแพลตฟอร์มพร้อมกับบัญชี 3.3 ล้าน accounts

สถิติในปีที่แล้วแสดงให้เห็นว่า Apple หยุดธุรกรรมที่น่าสงสัยมูลค่า 1.8 พันล้านดอลลาร์ ซึ่งน้อยกว่าในปี 2022 ที่บล็อกธุรกรรมที่น่าสงสัยไป 2 พันล้านดอลลาร์เล็กน้อย

รายงานยังระบุว่า ตลอดปี 2023 Apple ยังป้องกันการใช้งานบัตรเครดิตที่ถูกขโมยมากว่า 3.5 ล้านใบสำหรับการซื้อที่ App Store และแบน accounts มากกว่า 1.1 ล้าน accounts จากการทำธุรกรรมอีกครั้ง

ในแง่ของความปลอดภัยของแอป และการบังคับใช้นโยบายความเป็นส่วนตัว เมื่อปีที่ผ่านมา Apple ปฏิเสธที่แอปที่ถูกส่งเข้ามามากกว่า 1.7 ล้านรายการที่ไม่เป็นไปตามมาตรฐานของ App Store ในด้านความเป็นส่วนตัว ความปลอดภัย และเนื้อหา

ในจำนวนนี้ 248,000 รายการถูกปฏิเสธเนื่องจากเป็นสแปม ลอกเลียนแบบ หรือทำให้ผู้ใช้งานเข้าใจผิด
38,000 รายการถูกปฏิเสธเนื่องจากมีคุณลักษณะที่ซ่อนอยู่ หรือไม่มีเอกสารอ้างอิง
375,000 รายการถูกปฏิเสธเนื่องจากการละเมิดความเป็นส่วนตัวต่าง ๆ
47,000 รายการถูกปฏิเสธเนื่องจากเป็นแอปที่ผิดกฎหมายละเมิดลิขสิทธิ์
40,000 รายการถูกถอดออก หรือปฏิเสธเพราะใช้กลยุทธ์ "bait-and-switch"
และ 98,000 รายการคาดว่า "อาจฉ้อโกง" และถูกบล็อกไว้ก่อน

ทีมตรวจสอบแอปซึ่งประกอบด้วยผู้เชี่ยวชาญ 500 คน ตรวจสอบแอปที่ส่งเข้ามา 6.9 ล้านรายการในปี 2023 และพบการละเมิดที่นำไปสู่การปฏิเสธคำขอ 1.7 ล้านคำขอ

นอกจากนี้ ปีที่แล้ว Apple ได้แบน accounts ไป 118,000 accounts และ turned down accounts ไป 91,000 accounts

ในส่วนของ accounts ของลูกค้า พบว่ามีการฉ้อโกง 153 ล้าน accounts หรือมีส่วนร่วมในกิจกรรมที่ผิดกฎหมาย 374 ล้าน accounts ซึ่งนำไปสู่การบล็อก หรือปิดการใช้งาน

สุดท้ายนี้ จากคะแนน และรีวิวแอป 1.1 พันล้านรายการที่ผู้ใช้ส่งไปยัง App Store ในปี 2023 มี 152 ล้านรายการที่ถูกพิจารณาว่าเป็นแอปปลอม/ฉ้อโกง และถูกลบออก

Apple แสดงความมุ่งมั่นที่จะยกระดับความความปลอดภัย และความสมบูรณ์ของ App Store การลงทุนด้านความปลอดภัย ขยายโครงการต่อต้านการฉ้อโกง และเสริมความแข็งแกร่งให้กับเทคโนโลยีการชำระเงินที่ปลอดภัย เช่น Apple Pay และ StoreKit

อย่างไรก็ตาม ผู้ใช้ยังงานสามารถดำเนินการเพื่อปกป้องตนเองจากการฉ้อโกงได้ดังนี้:

ดาวน์โหลดเฉพาะแอปจาก App Store อย่างเป็นทางการเท่านั้น หลีกเลี่ยงการใช้งาน third-party แอป
อ่าน reviews ของผู้ใช้งานอื่น ๆ อย่างละเอียด และมองหาสัญญาณของการฉ้อโกง เช่น การให้คะแนนที่สูงอย่างน่าสงสัย พร้อม reviews ที่มีรายละเอียดเพียงเล็กน้อย
ใช้ซอฟต์แวร์จากนักพัฒนาที่มีชื่อเสียงซึ่งมีผลงานจากโครงการที่น่าเชื่อถือเท่านั้น
สังเกตการขอ permissions ที่แอปร้องขอ และปฏิเสธการเข้าถึงที่ไม่จำเป็น
อัปเดตระบบปฏิบัติการ และแอปของอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
ลบแอปที่ไม่ได้ใช้งาน และเพิกถอน permissions สำหรับแอปที่ไม่ได้ใช้
อย่างไรก็ตาม แม้จะมีนโยบายที่เข้มงวดสำหรับแอปพลิเคชันที่จะเข้าสู่ App Store แต่ผู้โจมตีบางรายยังคงสามารถหลีกเลี่ยงกลไกการตรวจสอบ และส่งแอปที่เป็นอันตรายเข้าสู่ App Store ได้

ในปีนี้ มีกรณีแอปปลอมที่มีชื่อเสียงโด่งดังสองกรณีถูกเพิ่มเข้าไปใน App Store ของ Apple โดยกรณีหนึ่งเป็นการเลียนแบบเครื่องมือจัดการรหัสผ่าน LastPass และอีกกรณีหนึ่งแอบอ้างเป็นกระเป๋าเงินดิจิทัลของ Leather

ที่มา: bleepingcomputer

พบแคมเปญการโจมตีใหม่ในชื่อ “Dev Popper” ซึ่งกำหนดเป้าหมายไปยัง software developers ด้วยการส่งนัดสัมภาษณ์งานปลอม โดยการส่ง job interview เพื่อให้เป้าหมายติดตั้ง Python Remote Access Trojan (RAT)

ซึ่ง developer จะถูกขอให้ทำสิ่งต่าง ๆ ระหว่างการสัมภาษณ์ เช่น การดาวน์โหลด และเรียกใช้โค้ดจาก GitHub เพื่อทำให้กระบวนการทั้งหมดดูปกติ แต่เป้าหมายของ Hacker คือการให้เป้าหมายทำการดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายซึ่งจะทำการรวบรวมข้อมูลของระบบ และเปิดใช้งานการเข้าถึงเครื่องจากระยะไกล

จากการวิเคราะห์ของของ Securonix ระบุว่า จากวิธีการโจมตีแคมเปญการโจมตีดังกล่าวน่าจะมีที่มาจาก Hacker ชาวเกาหลีเหนือ แม้ว่าข้อมูลอาจจะยังไม่เพียงพอที่จะสามารถระบุแหล่งที่มาได้

การโจมตีแบบ Multi-stage infection chain

การโจมตี “Dev Popper” เป็นรูปแบบ multi-stage infection chain โดยอาศัยวิธีการ social engineering ซึ่งออกแบบมาเพื่อหลอกลวงเป้าหมายผ่านกระบวนการอย่างต่อเนื่อง

Hacker เริ่มต้นการติดต่อโดยสวมรอยเป็นนายจ้างที่เสนอตำแหน่ง developer ซึ่งในระหว่างการสัมภาษณ์ ผู้สมัครจะถูกขอให้ดาวน์โหลด และเรียกใช้งาน present ที่เป็น standard coding task จาก GitHub repository

ตัวอย่างไฟล์ ZIP ที่มี NPM package ซึ่งมี README.md รวมถึง frontend และ backend directory

เมื่อ developer รัน NPM package ไฟล์ JavaScript ที่อันตราย (“imageDetails.

Palo Alto Networks เริ่มออก hotfixes เพื่อแก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้ในการโจมตีมาตั้งแต่วันที่ 26 มีนาคม 2024 เพื่อติดตั้งแบ็คดอร์บน PAN-OS ไฟร์วอลล์

ช่องโหว่ดังกล่าว (CVE-2024-3400) มีระดับความรุนแรงสูงสุด (CVSSv3: 10.0) ส่งผลต่อไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่เปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล)

โดยผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้

ปัจจุบัน Palo Alto ได้แก้ไขช่องโหว่ดังกล่าวด้วย hotfix ที่ออกสำหรับ PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 และ PAN-OS 11.1.2-h3 โดย hotfixes อื่น ๆ เพิ่มเติมจะถูกเผยแพร่สำหรับ PAN-OS เวอร์ชันถัด ๆ ไปในอีกไม่กี่วันข้างหน้า

ตามคำแนะนำของ Palo Alto Networks อุปกรณ์ Cloud NGFW, อุปกรณ์ Panorama และ Prisma Access จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตได้ในทันที สามารถปิดใช้งานฟีเจอร์ device telemetry บนอุปกรณ์ที่มีช่องโหว่จนกว่าจะสามารถอัปเดตแพตซ์ได้ หากอุปกรณ์มีการใช้งาน 'Threat Prevention' สามารถบล็อกการโจมตีได้ด้วยการเปิดใช้งาน 'Threat ID 95187'

คำเตือนของ Palo Alto Networks เกี่ยวกับการโจมตี ได้รับการยืนยันโดยบริษัทรักษาความปลอดภัย Volexity ซึ่งเป็นผู้ค้นพบช่องโหว่ และตรวจพบผู้โจมตีที่ใช้มันเพื่อติดตั้งแบ็คดอร์บน PAN-OS โดยใช้มัลแวร์ Upstyle ในการโจมตีเครือข่าย และขโมยข้อมูล

Volexity กำลังติดตามพฤติกรรมดังกล่าวภายใต้ชื่อผู้โจมตี UTA0218 และคาดว่าผู้โจมตีเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐ ซึ่งมีแนวโน้มที่จะอยู่เบื้องหลังการโจมตีที่กำลังดำเนินอยู่เหล่านี้

นักวิจัยด้านภัยคุกคาม ยูทากะ เซจิยามะ เปิดเผยเมื่อวันศุกร์ที่ผ่านมาว่าพบอุปกรณ์ PAN-OS มากกว่า 82,000 เครื่องที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต และเสี่ยงต่อการโจมตีจากช่องโหว่ CVE-2024-34000 โดย 40% อยู่ในสหรัฐอเมริกา

CISA ได้เพิ่ม CVE-2024-3400 ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยสั่งให้หน่วยงานของรัฐบาลกลางจัดการด้านความปลอดภัยอุปกรณ์ของตน โดยใช้ mitigation rule หรือปิดใช้งาน telemetry ภายในหนึ่งสัปดาห์ หรือภายในวันที่ 19 เมษายน 2024

ที่มา : https://www.

Palo Alto Networks เริ่มออก hotfixes เพื่อแก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้ในการโจมตีมาตั้งแต่วันที่ 26 มีนาคม 2024 เพื่อติดตั้งแบ็คดอร์บน PAN-OS ไฟร์วอลล์

ช่องโหว่ดังกล่าว (CVE-2024-3400) มีระดับความรุนแรงสูงสุด (CVSSv3: 10.0) ส่งผลต่อไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่เปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล)

โดยผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้

ปัจจุบัน Palo Alto ได้แก้ไขช่องโหว่ดังกล่าวด้วย hotfix ที่ออกสำหรับ PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 และ PAN-OS 11.1.2-h3 โดย hotfixes อื่น ๆ เพิ่มเติมจะถูกเผยแพร่สำหรับ PAN-OS เวอร์ชันถัด ๆ ไปในอีกไม่กี่วันข้างหน้า

ตามคำแนะนำของ Palo Alto Networks อุปกรณ์ Cloud NGFW, อุปกรณ์ Panorama และ Prisma Access จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตได้ในทันที สามารถปิดใช้งานฟีเจอร์ device telemetry บนอุปกรณ์ที่มีช่องโหว่จนกว่าจะสามารถอัปเดตแพตซ์ได้ หากอุปกรณ์มีการใช้งาน 'Threat Prevention' สามารถบล็อกการโจมตีได้ด้วยการเปิดใช้งาน 'Threat ID 95187'

คำเตือนของ Palo Alto Networks เกี่ยวกับการโจมตี ได้รับการยืนยันโดยบริษัทรักษาความปลอดภัย Volexity ซึ่งเป็นผู้ค้นพบช่องโหว่ และตรวจพบผู้โจมตีที่ใช้มันเพื่อติดตั้งแบ็คดอร์บน PAN-OS โดยใช้มัลแวร์ Upstyle ในการโจมตีเครือข่าย และขโมยข้อมูล

Volexity กำลังติดตามพฤติกรรมดังกล่าวภายใต้ชื่อผู้โจมตี UTA0218 และคาดว่าผู้โจมตีเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐ ซึ่งมีแนวโน้มที่จะอยู่เบื้องหลังการโจมตีที่กำลังดำเนินอยู่เหล่านี้

นักวิจัยด้านภัยคุกคาม ยูทากะ เซจิยามะ เปิดเผยเมื่อวันศุกร์ที่ผ่านมาว่าพบอุปกรณ์ PAN-OS มากกว่า 82,000 เครื่องที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต และเสี่ยงต่อการโจมตีจากช่องโหว่ CVE-2024-34000 โดย 40% อยู่ในสหรัฐอเมริกา

CISA ได้เพิ่ม CVE-2024-3400 ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยสั่งให้หน่วยงานของรัฐบาลกลางจัดการด้านความปลอดภัยอุปกรณ์ของตน โดยใช้ mitigation rule หรือปิดใช้งาน telemetry ภายในหนึ่งสัปดาห์ หรือภายในวันที่ 19 เมษายน 2024

ที่มา : https://www.

Exploit code สำหรับการโจมตีช่องโหว่ระดับความรุนแรงสูงสุด (CVE-2024-3400, CVSSv3: 10.0) ใน PAN-OS ไฟร์วอลล์ของ Palo Alto Networks ถูกปล่อยออกสู่สาธารณะเรียบร้อยแล้ว

โดยช่องโหว่นี้สามารถทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection บนไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่มีช่องโหว่ หากอุปกรณ์ดังกล่าวเปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล)

ในขณะที่ Palo Alto Networks ได้เริ่มปล่อย hotfixes ในวันจันทร์ที่ผ่านมา เพื่อแก้ไขช่องโหว่ที่คาดว่ากำลังถูกใช้ในการโจมตีมาตั้งแต่วันที่ 26 มีนาคม รวมถึงการติดตั้งแบ็คดอร์ Upstyleเพื่อใช้ในการโจมตีต่อไปยังภายในเครือข่าย และขโมยข้อมูล โดยกลุ่มผู้โจมตีที่คาดว่าได้รับการสนับสนุนจากรัฐบาลในชื่อ UTA0218

Shadowserver แพลตฟอร์มตรวจสอบภัยคุกคามความปลอดภัยระบุว่า พบอินสแตนซ์ไฟร์วอลล์ PAN-OS มากกว่า 156,000 รายการบนอินเทอร์เน็ต อย่างไรก็ตามยังไม่ได้ให้ข้อมูลว่าในจำนวนี้มีความเสี่ยงจากการโจมตีโดยช่องโหว่ดังกล่าวจำนวนเท่าใด

เมื่อวันศุกร์ที่ผ่านมา ยูทากะ เซจิยามะ เปิดเผยว่าพบอุปกรณ์ PAN-OS มากกว่า 82,000 ระบบที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต และเสี่ยงต่อการโจมตีจากช่องโหว่ CVE-2024-34000 โดย 40% อยู่ในสหรัฐอเมริกา (ประเทศไทยราว ๆ 907 ระบบ อ้างอิงจาก https://twitter.

พบช่องโหว่ Zero-Day การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Paloalto GlobalProtect

เมื่อวันที่ 10 เมษายน 2024 Volexity ตรวจพบการโจมตีโดยใช้ช่องโหว่ Zero-Day ของ GlobalProtect ซึ่งเป็นฟีเจอร์หนึ่งของ Palo Alto Networks PAN-OS จากหนึ่งในลูกค้าของพวกเขา โดย Volexity พบการแจ้งเตือนที่น่าสงสัยบนเครือข่าย ซึ่งมาจากไฟร์วอลล์ของลูกค้า

จากการตรวจสอบเพิ่มเติมพบว่าอุปกรณ์ดังกล่าวน่าจะถูก compromised ไปเรียบร้อยแล้ว วันถัดมาวันที่ 11 เมษายน 2024 Volexity พบการโจมตีโดยใช้งานช่องโหว่เดียวกันนี้กับลูกค้ารายอื่นของพวกเขา โดยมาจากผู้โจมตีรายเดียวกัน ผู้โจมตีซึ่ง Volexity เรียกว่า UTA0218 สามารถโจมตีช่องโหว่บนอุปกรณ์ไฟร์วอลล์จากระยะไกลได้ โดยพบการสร้าง reverse shell และดาวน์โหลดเครื่องมืออื่น ๆ ลงบนอุปกรณ์

(more…)

ผลการค้นหาด้วยระบบปัญญาประดิษฐ์ (AI) ใหม่ของ Google อาจแนะนำเว็บไซต์ที่มีมัลแวร์ และการหลอกลวง

นักวิจัยพบว่าอัลกอริทึม "Search Generative Experience" (SGE) ใหม่ของ Google ซึ่งใช้ปัญญาประดิษฐ์ (AI) อาจแนะนำเว็บไซต์หลอกลวง ซึ่งเว็บไซต์เหล่านี้อาจทำให้ผู้เข้าชมถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ไม่ต้องการ เช่น Chrome extensions, แคมเปญแจก iPhone ปลอม, spam subscriptions ในเบราว์เซอร์, เว็บไซต์หลอกลวงด้านเทคนิคอื่น ๆ

(more…)

TheMoon malware แพร่กระจายไปยังเราเตอร์ ASUS กว่า 6,000 เครื่องภายใน 72 ชั่วโมงผ่าน proxy service

พบ malware botnet เวอร์ชันใหม่ในชื่อ "TheMoon" แพร่กระจายไปยังเราเตอร์ และอุปกรณ์ IoT ในสำนักงานขนาดเล็ก และโฮมออฟฟิศ (SOHO) ที่มีช่องโหว่หลายพันเครื่องใน 88 ประเทศ

(more…)

แคมเปญมัลแวร์ Sign1 แพร่กระจายไปยังเว็บไซต์ WordPress กว่า 39,000 แห่ง

พบแคมเปญมัลแวร์ในชื่อ Sign1 ได้แพร่กระจายไปยังเว็บไซต์มากกว่า 39,000 แห่งในช่วงหกเดือนที่ผ่านมา ทำให้ผู้ใช้งานจะถูก redirect และเห็นโฆษณา popup ads ที่ไม่ต้องการ

(more…)

Ivanti แก้ไขช่องโหว่ร้ายแรง ใน Standalone Sentry ที่ถูกรายงานโดย NATO

Ivanti ได้เผยแพร่รายงานการแก้ไขช่องโหว่ Standalone Sentry ที่มีความรุนแรงระดับสูง ซึ่งถูกค้นพบ และรายงานโดยนักวิจัยของ NATO Cyber Security Center

(more…)