กลุ่มแฮ็กเกอร์กลุ่มใหม่ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลอิหร่านชื่อ APT42 ถูกพบว่ามีการใช้มัลแวร์บน Android ที่ถูกสร้างขึ้นเพื่อโจมตีเป้าหมายที่ต้องการ

บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางอินเทอร์เน็ต ได้รวบรวมหลักฐานเพียงพอที่จะระบุได้ว่า APT42 เป็นกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน ซึ่งมีส่วนเกี่ยวข้องในการสอดแนมทางอินเทอร์เน็ตต่อบุคคล และองค์กรที่รัฐบาลอิหร่านให้ความสนใจเป็นพิเศษ

APT42 ถูกพบครั้งแรกเมื่อ 7 ปีที่แล้ว และเกี่ยวข้องกับแคมเปญ spear-phishing ที่มุ่งเป้าไปที่เจ้าหน้าที่ของรัฐ ผู้กำหนดนโยบาย นักข่าว นักวิชาการทั่วโลก และผู้คัดค้านชาวอิหร่าน

เป้าหมายของแฮ็กเกอร์คือการขโมยข้อมูลบัญชี ในหลายกรณีกลุ่มแฮ็กเกอร์ยังติดตั้งมัลแวร์บน Android ที่สามารถติดตามการเข้าถึงอุปกรณ์ จัดเก็บ และดึงข้อมูลการสื่อสารของเหยื่อได้

เป้าหมายของแคมเปญ

จากข้อมูลของ Mandiant ผู้ค้นพบ APT42 พบว่ากลุ่ม APT42 ได้ปฏิบัติการมาแล้วอย่างน้อย 30 ครั้งใน 14 ประเทศตั้งแต่ปี 2558 ซึ่งอาจเป็นข้อมูลเพียงบางส่วนเท่านั้น

กลุ่ม APT42 เปลี่ยนเป้าหมายหลายครั้งเพื่อให้ตรงกับความสนใจในการรวบรวมข่าวกรองที่เปลี่ยนแปลงไป ตัวอย่างเช่น ในปี 2563 ใช้อีเมลฟิชชิงที่แอบอ้างเป็นผู้เชี่ยวชาญวัคซีนของมหาวิทยาลัยอ็อกซ์ฟอร์ดเพื่อกำหนดเป้าหมายเป็นบริษัทเภสัชภัณฑ์จากต่างประเทศ

ในปี 2564 APT42 ใช้ที่อยู่อีเมลขององค์กรสื่อของสหรัฐฯ ที่ถูกแฮ็ก เพื่อกำหนดเป้าหมายเหยื่อด้วยคำขอสัมภาษณ์ปลอม ๆ โดยทำการติดต่อกับพวกเขาเป็นเวลานานกว่า 37 วันก่อนที่จะโจมตีด้วยการหลอกเอาข้อมูล

ไม่นานมานี้ ในเดือนกุมภาพันธ์ พ.ศ. 2565 แฮ็กเกอร์ได้ปลอมเป็นสำนักข่าวของอังกฤษมีเป้าหมายเป็นอาจารย์ด้านรัฐศาสตร์ในเบลเยียม และสหรัฐอาหรับเอมิเรตส์

ในกรณีส่วนใหญ่ แฮ็กเกอร์จะมุ่งเป้าไปที่การเก็บรวบรวมข้อมูลประจำตัว โดยหลอกเหยื่อไปยังหน้าฟิชชิ่งที่ดูเหมือนเป็น login portals ที่ถูกต้อง ด้วยการส่งลิงก์ที่ถูกย่อให้สั้นลง หรือไฟล์แนบ PDF ที่นำไปสู่หน้าที่ให้กรอกข้อมูลประจำตัว รวมไปถึงเก็บข้อมูล MFA ได้ด้วย

Android malware

มัลแวร์บนอุปกรณ์ Android ที่ใช้ในแคมเปญของกลุ่ม APT42 จะช่วยให้ผู้โจมตีติดตามเป้าหมายได้อย่างใกล้ชิด ขโมยข้อมูลการโทร SMS และแอบบันทึกเสียง

Mandiant ระบุว่า “สปายแวร์บน Android นั้นแพร่กระจายไปยังเป้าหมายที่เป็นชาวอิหร่านเป็นหลัก ผ่านทางข้อความ SMS ที่มีลิงก์ไปยังแอพส่งข้อความหรือ VPN ที่สามารถช่วยหลีกเลี่ยงข้อจำกัดที่รัฐบาลกำหนด”

Mandiant ระบุในรายงานว่า “มัลแวร์ Android โจมตีบุคคลที่รัฐบาลอิหร่านให้ความสนใจและใช้วิธีการที่มีประสิทธิภาพ เพื่อให้ได้ข้อมูลที่สำคัญเกี่ยวกับเป้าหมาย รวมทั้งข้อมูลบนโทรศัพท์มือถือ รายชื่อผู้ติดต่อ และข้อมูลส่วนบุคคล”

Mandiant ยังรายงานการค้นพบแลนดิ้งเพจสำหรับการดาวน์โหลดแอป IM เป็นภาษาอาหรับ ดังนั้น ผู้โจมตีอาจติดตั้งมัลแวร์ Android นอกประเทศอิหร่านได้ด้วย

มัลแวร์ยังมีความสามารถในการบันทึกการใช้งานโทรศัพท์ เปิดไมโครโฟน และบันทึกภาพ และถ่ายภาพตามคำสั่ง อ่านข้อความ และติดตามตำแหน่ง GPS ของเหยื่อแบบ real time

ที่มา : bleepingcomputer

แอปพลิเคชันที่มีลักษณะเป็น adware กำลังพยายามทำการโปรโมตอย่างจริงจังบน Facebook ในฐานะแอปพลิเคชัน system cleaners และสามารถใช้เพื่อเพิ่มประสิทธิภาพบนอุปกรณ์ Android ได้ ซึ่งปัจจุบันมีการติดตั้งไปแล้วหลายล้านครั้งบน Google Play Store

แอปพลิเคชันประเภทนี้ไม่ได้ทำงานได้จริงอย่างที่ได้โฆษณาไว้ แต่จะพยายามที่จะอยู่บนเครื่องให้ได้นานที่สุด และเพื่อหลบเลี่ยงการถูกลบออกจากเครื่อง แอปพลิเคชันประเภทนี้จะซ่อนอยู่โดยการเปลี่ยนภาพของไอคอน และชื่อของแอปพลิเคชัน โดยปลอมแปลงเป็นไอคอน Setting หรือ Play Store

รวมไปถึง adware ในแอปพลิเคชันประเภทนี้จะถูกแสดงขึ้นมาทุกครั้งที่ผู้ใช้งานติดตั้งแอปพลิเคชันใหม่ๆ จึงทำให้ผู้ใช้งานคิดว่าโฆษณาที่ถูกโชว์ขึ้นมานั้นมาจากแอปพลิเคชันที่พึ่งติดตั้งไป ไม่ใช่จาก adware ในแอปพลิเคชันประเภทนี้

นักวิจัยจาก McAfee ผู้ค้นพบแอปพลิเคชันประเภทนี้ระบุว่า ผู้ใช้ไม่ต้องเปิดแอปพลิเคชันหลังจากการติดตั้งเพื่อทำให้โฆษณาถูกเปิดขึ้นมา เนื่องจากแอปพลิเคชันประเภทนี้สามารถเริ่มต้นทำงานได้ด้วยตัวเองโดยอัตโนมัติ หากมีการหยุดการทำงานของ process แอปพลิเคชันก็จะสั่งการให้กลับขึ้นมาทำงานเองอีกครั้งทันที

จากรายงานของ McAfee สาเหตุที่ผู้ใช้งานเชื่อว่าแอปพลิเคชันประเภทนี้มีความน่าเชื่อถือ เนื่องจากเพราะเห็นลิงก์ของแอปพลิเคชันบน Facebook จึงส่งผลให้จำนวนการดาวน์โหลดสูงผิดปกติสำหรับแอปพลิเคชันบางประเภทดังนี้

Junk Cleaner, cn.

รายละเอียดเบื้องต้น

สัปดาห์ที่ผ่านมา บริการแจ้งเตือนการละเมิดข้อมูล Have I Been Pwned (HIBP) ได้เพิ่มบัญชีกว่า 23 ล้านบัญชีของ Mangatoon ซึ่งเป็นแอปบน iOS และ Android ยอดนิยมที่ผู้ใช้หลายล้านคนใช้เพื่ออ่านการ์ตูนมังงะออนไลน์

โดยการเพิ่มฐานข้อมูล Mangatoon เกิดขึ้นหลังจากที่ Troy Hunt เจ้าของ HIBP พยายามติดต่อ Mangatoon แต่ไม่ได้รับการตอบกลับ

ส่วนการโจมตีนั้นเกิดจากกลุ่มแฮ็กเกอร์ที่รู้จักกันในชื่อ pompompurin ทำการโจมตีไปยังเซิร์ฟเวอร์ Elasticsearch ที่เป็น Database ของ Mangatoon ได้สำเร็จเนื่องจากระบบมีการป้องกันได้ไม่ดีพอ จากนั้น pompompurin ได้แชร์ตัวอย่างข้อมูลที่ได้มากับ BleepingComputer และได้รับการยืนยันหลังจากนั้นว่าข้อมูลทั้งหมดเป็นข้อมูลจริง ซึ่งประกอบไปด้วย ชื่อ ที่อยู่อีเมล เพศ บัญชีโซเชียลมีเดีย โทเค็นการตรวจสอบสิทธิ์จากการเข้าสู่ระบบโซเชียล และแฮชรหัสผ่าน MD5 นอกจากนี้จะมีการเผยแพร่ข้อมูลบางส่วนออกสู่สาธารณะเนื่องจากทาง Mangatoon ไม่มีการตอบกลับเรื่องการจ่ายค่าไถ่

pompompurin มีส่วนเกี่ยวข้องกับการโจมตีอื่น ๆ เช่น การส่งอีเมลปลอมเกี่ยวกับเหตุการณ์การโจมตีทางไซเบอร์ผ่าน Portal ของ FBI (LEEP) และการขโมยข้อมูลลูกค้าจาก Robinhood

ที่มา : bleepingcomputer.

ปัจจุบันแอปพลิเคชันรับรองการฉีดวัคซีนโควิดถูกนำมาใช้ในการเดินทางเข้าออกประเทศต่าง ๆ อย่างแพร่หลาย แต่จากการตรวจสอบพบว่า แอปพลิเคชันเหล่านี้ กว่า 2 ใน 3 มีความเสี่ยงสูงที่ข้อมูลส่วนตัวของผู้ใช้งานจะรั่วไหล เนื่องจากแอปฯเหล่านี้มีผู้ใช้งานทั่วโลก เป็นจุดอ่อนให้แฮกเกอร์สามารถเข้าถึงได้ง่าย

พาสปอร์ตแบบดิจิทัล (Digital passports)

แอปพลิเคชันพาสปอร์ตแบบดิจิทัล (Digital passport apps) มักจะมีข้อมูลส่วนตัวของผู้ใช้ เช่น สถานะการฉีดวัคซีน, ชื่อ นามสกุล, เลขบัตรประชาชน, วันเดือนปีเกิด, และข้อมูลส่วนบุคคลอื่นที่สามารถระบุตัวตนของบุคคลได้ (personally identifiable information (PII)) โดยข้อมูลดังกล่าวอาจอยู่ในรูปแบบ QR code หรืออาจแสดงเป็นข้อความที่สามารถพบเห็นได้ทันทีเมื่อเข้าแอปฯ ผู้ใช้สามารถนำ QR code หรือหลักฐานรับรองการฉีดวัคซีนในแอปมายืนยัน เมื่อต้องการเข้าพื้นที่ต่างๆ ไม่ว่าจะเป็นพื้นที่ปกติ หรือพื้นที่เสี่ยง และโดยส่วนใหญ่แล้วหน่วยงานของรัฐที่ทำงานด้านสาธารณสุขหรือด้านเทคโนโลยีมักจะเป็นผู้อนุญาตให้มีการพัฒนาแอปฯเหล่านี้ขึ้น ทีมงานของ Symantec ได้ทำการตรวจสอบแอปฯเหล่านี้กว่า 40 แอปฯ และทีมงานได้ทำการตรวจสอบแอปพลิเคชัน validation (scanner) ที่ใช้สำหรับตรวจสอบความถูกต้องของข้อมูลอีก 10 แอปฯ พบว่า 27 แอปฯมีความเสี่ยงด้านความปลอดภัย และความเป็นส่วนตัว ดังนี้

ความเสี่ยงแรกที่ทีมงานตรวจพบก็คือ แอปฯเหล่านี้มักจะสร้าง QR code ที่ไม่ผ่านการเข้ารหัส encryption มีการเข้ารหัส encoding เพียงเล็กน้อยเท่านั้น Encoding คือ การเปลี่ยนรูปแบบของข้อมูล ซึ่งในกรณีนี้คือ ข้อมูลสุขภาพของผู้ใช้งานให้อยู่ในรูปแบบที่ง่ายต่อการสแกน และนำไปใช้ต่อ ในขณะที่ Encryption คือ การเปลี่ยนข้อมูลโดยใช้ cryptographic algorithms ทำให้ข้อมูลไม่สามารถถูกอ่านหรือเข้าถึงง่าย ซึ่งจะมีหน่วยงานเพียงไม่กี่หน่วยงานที่สามารถถอดรหัส และเข้าถึงข้อมูลนั้นได้ การใช้ Encoding เพียงอย่างเดียว ทำให้ใครก็ตามที่สามารถสแกน QR code ได้ สามารถเข้าถึงข้อมูลได้ นอกจากนี้ อีกปัญหาที่ทีมงานตรวจสอบพบก็คือ 38% ของแอปฯมีการส่งผ่านข้อมูลทั้งหมดผ่าน cloud-storage โดยไม่มีการเชื่อม HTTPS ทำให้ข้อมูลเสี่ยงที่จะถูก “man-in-the-middle” ได้
ปัญหาที่สามคือการจัดเก็บข้อมูลในฐานข้อมูลภายนอกของ Android ซึ่งมีความเสี่ยงสูง เพราะจะทำให้แอปฯสามารถเข้าถึงข้อมูลต่างๆภายในโทรศัพท์ได้ทันที โดยพบ 17 แอปฯ จาก 40 แอปฯ ที่มีปัญหานี้ (คิดเป็น 43%)
จุดอ่อนอื่นๆที่พบเช่น hard-coded cloud service credentials และ SSL CA validation ก็ทำให้เกิดความเสี่ยงเช่นเดียวกัน

การลดความเสี่ยง
หากท่านมีความจำเป็นที่จะต้องใช้งานแอปพลิเคชันเหล่านี้ แนะนำให้หลีกเลี่ยงการใช้แอปจาก third-party ที่ขาดความน่าเชื่อถือ เลือกใช้งานแอปฯจากบริษัทที่มีความน่าเชื่อถือสูง เช่น Apple Health และ Google Wallet นอกจากนี้ขณะติดตั้ง ให้ท่านอ่านเงื่อนไขต่างๆที่แอปฯต้องการ และเลือกไม่อนุญาตให้แอปเข้าถึงข้อมูลที่ไม่เกี่ยวข้องกับการทำงานหลักของแอปฯ หากแอปฯดังกล่าวถูกออกแบบมาเพื่อรับรองการฉีดวัคซีนโควิดเพียงอย่างเดียวจริงๆ จะต้องสามารถทำงานได้ แม้จะไม่ได้รับอนุญาตให้เข้าถึงข้อมูลบางส่วนก็ตามที่อาจทำให้เกิดความเสี่ยงได้

ที่มา : bleepingcomputer

Aberebot banking trojan บน Android กลับมาอีกครั้งในชื่อ 'Escobar' พร้อมคุณสมบัติใหม่สามารถขโมยรหัส multi-factor authentication จาก Google Authenticator ได้

คุณสมบัติใหม่ของ Aberebot เวอร์ชันล่าสุดคือสามารถควบคุมอุปกรณ์ Android ที่ติดมัลแวร์โดยใช้ VNC และยังสามารถบันทึกเสียง และแอบถ่ายภาพได้ โดยเป้าหมายหลักของมันคือการขโมยข้อมูลเพื่อเข้าถึงบัญชีธนาคารของเหยื่อ แอบทำธุรกรรม และขโมยเงินในบัญชีของเหยื่อ

แพลตฟอร์ม DARKBEAST ของ KELA ผู้พัฒนา Aberebot มีการโปรโมทมัลแวร์ในเวอร์ชันใหม่ที่ชื่อว่า 'Escobar Bot Android Banking Trojan' โดยผู้ใดสนใจสามารถเช่ามัลแวร์รุ่นเบต้าได้ในราคา 3,000 ดอลลาร์/เดือน และวางแผนที่จะเพิ่มราคาเป็น 5,000 ดอลลาร์ หลังจากพัฒนาเสร็จแล้ว

(more…)

มัลแวร์ SharkBot ได้แทรกซึมเข้าไปอยู่ใน Google Play Store โดยปลอมตัวเป็นโปรแกรมป้องกันไวรัส

แม้ว่าตัวแอปยังไม่เป็นที่นิยม หรือถูกดาวน์โหลดไปมากนัก แต่การที่ตัวแอปยังสามารถอยู่บน Play Store ได้ แสดงให้เห็นว่าผู้เผยแพร่มัลแวร์ยังคงสามารถหลบเลี่ยงการตรวจจับของ Google ได้เป็นอย่างดีจนถึงปัจจุบัน

แอพพลิเคชั่นบน Android ที่จริง ๆ แล้วคือ SharkBot

รายละเอียดผู้เผยแพร่บน Play Store

SharkBot สามารถทำอะไรได้บ้าง?

มัลแวร์ดังกล่าวถูกค้นพบครั้งแรกโดย Cleafy ในเดือนตุลาคม 2564 โดยฟีเจอร์ที่สำคัญที่สุด ที่ทำให้แตกต่างจาก Banking Trojan อื่น ๆ คือการโอนเงินผ่านระบบโอนอัตโนมัติ (ATS) บนอุปกรณ์ที่ถูกควบคุม

(more…)

สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ

การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky

KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์

หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น

จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น

ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ

โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน

ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : thehackernews

พบบั๊กในการตั้งชื่อเครือข่ายไร้สายในระบบปฏิบัติการ iOS ของ Apple ที่ทำให้ iPhone ไม่สามารถเชื่อมต่อกับเครือข่าย Wi-Fi ได้

นักวิจัยด้านความปลอดภัย Carl Schou พบว่าฟังก์ชัน Wi-Fi ของโทรศัพท์จะถูกปิดใช้งานอย่างถาวร หลังจากเชื่อมต่อกับเครือข่าย Wi-Fi ที่มีชื่อผิดปกติว่า "%p%s%s%s%s%n" แม้ว่าจะทำการรีบูตหรือเปลี่ยนชื่อเครือข่าย เช่น service set identifier หรือ SSID แล้วก็ตาม

ผู้ไม่หวังดีสามารถใช้ประโยชน์จากปัญหานี้ เพื่อวางฮอตสปอต Wi-Fi หลอกลวงด้วยการตั้งชื่อที่เป็นปัญหา เพื่อหยุดการทำงานเครือข่ายไร้สายของ iPhone

Zhi Zhou ซึ่งเป็น Senior Security Engineer ของ Ant Financial Light-Year Security Labs เปิดเผยการวิเคราะห์สั้นๆว่า ปัญหาเกิดจากบั๊กในการจัดรูปแบบสตริง ที่ iOS แยกการวิเคราะห์อินพุต SSID จึงทำให้เกิด Denial of Service ระหว่างการประมวลผล แต่วิธีการนี้ไม่น่าจะส่งผลกระทบให้เกิดการโจมตีในลักษณะการเข้าควบคุมเครื่องได้

หากจะโจมตีให้สำเร็จโดยใช้บั๊กนี้ จะต้องมีการเชื่อมต่อกับ Wi-Fi นั้นๆก่อน ซึ่งหากเหยื่อเห็น SSID ที่มีชื่อแปลกๆก็อาจไม่ได้ทำการเชื่อมต่อ ซึ่งหากตั้งใจหาผลประโยชน์จากการโจมตีผ่าน Wi-Fi จริงๆ การโจมตีด้วยวิธีการ Phishing ผ่าน Wi-Fi Portal น่ามีประสิทธิภาพมากกว่า

อุปกรณ์ Android ไม่ได้รับผลกระทบจากปัญหานี้ แต่ผู้ใช้งาน iPhone ที่ได้รับผลกระทบจะต้องรีเซ็ตการตั้งค่าเครือข่าย iOS โดยไปที่การตั้งค่า > ทั่วไป > รีเซ็ต > รีเซ็ตการตั้งค่าเครือข่าย แล้วยืนยันการดำเนินการ

ที่มา : thehackernews

Lukas Stefanko นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก ESET ได้เปิดเผยถึงการพบมัลแวร์ที่ถูกเรียกว่า “BlackRock” โดยมัลแวร์ดังกล่าวจะถูกเเฝงไปกับแอปพลิเคชันปลอมของแอปพลิเคชันยอดนิยมในขณะนี้อย่าง Clubhouse เวอร์ชัน Android ซึ่งในขณะนี้แอปพลิเคชันยังไม่มีเวอร์ชัน Android

นักวิจัยกล่าวต่อว่ามัลแวร์ถูกสร้างขึ้นเพื่อจุดประสงค์ในการขโมยข้อมูลการเข้าสู่ระบบของผู้ที่ตกเป็นเหยื่อ โดยมัลแวร์ได้กำหนดเป้าหมาย ซึ่งประกอบด้วยแอปทางการเงินและการช็อปปิ้งทุกประเภท รวมถึงแอปการแลกเปลี่ยนสกุลเงินดิจิทัลตลอดจนแอปโซเชียลมีเดีย เช่น Facebook, Twitter, Whatsapp, Amazon, Netflix และบริการออนไลน์อื่น ๆ อีก 458 รายการ

“BlackRock” จะใช้การโจมตีแบบ Overlay Attack ที่ช่วยให้สามารถขโมยข้อมูล Credential ของผู้ที่ตกเป็นเหยื่อและเมื่อใดก็ตามที่แอปที่เป็นเป้าหมายเปิดตัวขึ้น ระบบจะขอให้ผู้ใช้ป้อนข้อมูลการเข้าสู่ระบบของตน ซึ่งจะทำให้ผู้โจมตีสามารถทราบและเข้าถึงข้อมูล Credential ผู้ที่ตกเหยื่อ นอกจากนี้มัลแวร์ยังสามารถดัก SMS ที่อาจใช้กับฟีเจอร์การยืนยันตัวตนหลายขั้นตอนของผู้ใช้อีกด้วย

นักวิจัยกล่าวอีกว่ามัลแวร์ถูกเเพร่กระจายโดยเว็บไซต์ของผู้ประสงค์ร้ายที่ได้ทำการสร้างเว็บไซต์ที่เหมือนกันเว็บไซต์ Clubhouse ที่ถูกต้องและเมื่อผู้ใช้ดาวน์โหลดแอปจากเว็บไซต์ตัวเว็บผู้ใช้จะได้รับ Android Package Kit (APK) ของ Clubhouse เวอร์ชันปลอม

ทั้งนี้เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของมัลแวร์ “BlackRock” ผู้ใช้ควรทำการหลีกเลี่ยงการดาวน์โหลดแอปจากเว็บไซต์ที่ไม่รู้เเหล่งที่มา อย่างไรก็ตาม Clubhouse กำลังวางแผนที่จะเปิดตัวแอปเวอร์ชัน Android ซึ่งในขณะนี้มีเพียงแพลตฟอร์มสำหรับผู้ใช้ iOS เท่านั้น ผู้ใช้ Android ควรทำการติดตามข่าวสารของแอปพลิเคชันและควรทำการดาวน์โหลดแอปจาก Google Play เท่านั้น

ที่มา: hackread

ทีม Project Zero จาก Google ได้เปิดเผยถึงการค้นพบกลุ่มเเฮกเกอร์พยายามใช้ช่องโหว่ Zero-day จำนวน 11 รายการ ในการโจมตีที่กำหนดเป้าหมายไปที่ผู้ใช้ Windows, iOS และ Android

ตามรายงานการโจมตีพบแคมเปญการโจมตีจากกลุ่มแฮกเกอร์เกิดขึ้นในสองช่วงเวลาคือในเดือนกุมภาพันธ์และตุลาคม 2020 ที่ผ่านมา โดยช่องโหว่ Zero-day จำนวน 11 รายการ ที่ถูกใช้ในการโจมตีมีรายละเอียดดังนี้

ช่องโหว่ CVE-2020-6418 - เป็นช่องโหว่ในโมดูล TurboFan ของ Chrome (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-0938 - เป็นช่องโหว่ใน Font บน Windows (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-1020 - เป็นช่องโหว่ใน Font บน Windows (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-1027 - เป็นช่องโหว่ Client Server Run-Time Subsystem (CSRSS) บน Windows (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-15999 - เป็นช่องโหว่ Freetype Heap buffer overflow บน Chrome (ถูกแก้ไขช่องโหว่แล้วในตุลาคม 2020)
ช่องโหว่ CVE-2020-17087 - เป็นช่องโหว่ Heap buffer overflow ใน cng.