แฮ็กเกอร์ใช้ anti-rootkit driver ของ Avast เพื่อปิดการใช้งานระบบป้องกัน

แคมเปญการโจมตีแบบใหม่กำลังใช้ประโยชน์จาก Anti-Rootkit driver ของ Avast ซึ่งมีช่องโหว่ และค่อนข้างล้าสมัย เพื่อหลบเลี่ยงการตรวจจับ และเข้าควบคุมระบบเป้าหมายโดยปิดการทำงานของผลิตภัณฑ์ด้านความปลอดภัยบนระบบ

มัลแวร์นี้เป็นมัลแวร์ประเภท AV Killer ที่ไม่ได้อยู่ในกลุ่มมัลแวร์ใดโดยเฉพาะ โดยมันจะมาพร้อมกับ hardcoded list ที่มีรายการ security processes 142 รายการจากผู้พัฒนาหลายราย

เนื่องจาก driver สามารถทำงานในระดับ kernel ได้ มันจึงสามารถเข้าถึงส่วนสำคัญของระบบปฏิบัติการ และอนุญาตให้มัลแวร์ทำการ terminate processes ได้

นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง Trellix ได้ค้นพบการโจมตีรูปแบบใหม่ที่ใช้ bring-your-own-vulnerable-driver (BYOVD) ร่วมกับ anti-rootkit driver รุ่นเก่า ในการปิดการทำงานของผลิตภัณฑ์ด้านความปลอดภัยในระบบเป้าหมาย

นักวิจัยอธิบายว่ามัลแวร์ตัวหนึ่งที่มีไฟล์ชื่อ kill-floor.

Avast ปล่อยเครื่องมือถอดรหัสฟรีสำหรับแรนซัมแวร์ DoNex และเวอร์ชันก่อนหน้า

บริษัท Antivirus Avast ได้ค้นพบช่องโหว่ในโครงสร้างเข้ารหัสของแรนซัมแวร์ตระกูล DoNex และได้ปล่อยเครื่องมือถอดรหัสเพื่อให้เหยื่อสามารถกู้คืนไฟล์ได้ฟรี

บริษัทระบุว่าได้ทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายในการให้เครื่องมือถอดรหัสแก่เหยื่อของแรนซัมแวร์ DoNex ตั้งแต่เดือนมีนาคม 2024 โดยบริษัทความปลอดภัยไซเบอร์จะแจกจ่ายเครื่องมือถอดรหัสในลักษณะนี้(ไม่บอกรายละเอียดของช่องโหว่) เพื่อป้องกันไม่ให้ผู้โจมตีทราบเกี่ยวกับช่องโหว่ และแก้ไขมัน

ช่องโหว่นี้ถูกเปิดเผยต่อสาธารณะในงานประชุมความปลอดภัยไซเบอร์ Recon 2024 เดือนที่แล้ว ดังนั้น Avast จึงตัดสินใจปล่อยเครื่องมือถอดรหัสออกมา

การถอดรหัส DoNex

DoNex เป็นการรีแบรนด์ในปี 2024 ของกลุ่ม DarkRace ซึ่งเป็นการรีแบรนด์ในปี 2023 ของแรนซัมแวร์ Muse ที่ถูกปล่อยออกมาในเดือนเมษายน 2022

ช่องโหว่ที่ค้นพบโดย Avast มีอยู่ในแรนซัมแวร์ตระกูล DoNex เวอร์ชันก่อนหน้าทั้งหมด รวมถึงเวอร์ชันปลอมที่ใช้แบรนด์ Lockbit 3.0 ที่ใช้จากกลุ่ม 'Muse' ในเดือนพฤศจิกายน 2022

Avast ระบุว่าจากการตรวจสอบของบริษัท การโจมตีล่าสุดของ DoNex มีเป้าหมายในสหรัฐอเมริกา, อิตาลี และเบลเยียม แต่ก็พบการแพร่กระจายไปทั่วโลก

ช่องโหว่ในระบบการเข้ารหัส

ในระหว่างการดำเนินการของ DoNex แรนซัมแวร์ encryption key จะถูกสร้างขึ้นโดยใช้ฟังก์ชัน 'CryptGenRandom()' ซึ่งเป็นการเริ่มต้น ChaCha20 symmetric key ที่ใช้ในการเข้ารหัสไฟล์เป้าหมาย

หลังจากขั้นตอนการเข้ารหัสไฟล์ ChaCha20 key จะถูกเข้ารหัสโดยใช้ RSA-4096 และถูกเพิ่มลงในส่วนท้ายของแต่ละไฟล์

Avast ยังไม่ได้อธิบายว่าช่องโหว่อยู่ที่ใด ดังนั้นอาจเป็นเรื่องของ key reuse, การสร้าง key ที่สามารถคาดเดาได้ หรือปัญหาอื่น ๆ

สังเกตว่า DoNex ใช้การเข้ารหัสสลับสำหรับไฟล์ที่มีขนาดใหญ่กว่า 1MB วิธีการนี้เพิ่มความเร็วเมื่อเข้ารหัสไฟล์ แต่ทำให้เกิดช่องโหว่ที่สามารถใช้เพื่อกู้คืนข้อมูลที่เข้ารหัสได้โดยไม่ต้องจ่ายค่าไถ่

เครื่องมือถอดรหัสของ Avast สำหรับ DoNex และเวอร์ชันก่อนหน้า สามารถดาวน์โหลดได้จาก (hxxps://decoded.

Avast ยอมรับติดแท็ก Google app ว่าเป็นมัลแวร์บน Android

Avast ยอมรับติดแท็ก Google app ว่าเป็นมัลแวร์บน Android

บริษัทด้านความปลอดภัยทางไซเบอร์สัญชาติเช็ก Avast ยืนยันว่าซอฟต์แวร์ป้องกันไวรัสของตนได้ระบุว่า Google Android app เป็นมัลแวร์บนโทรศัพท์ Huawei, Vivo และ Honor ตั้งแต่วันเสาร์ที่ผ่านมา
(more…)

Google Chrome ลบ extensions อันตรายที่มีการติดตั้งไปแล้วกว่า 75 ล้านครั้งออกจากเว็บสโตร์

Google ได้ลบ extensions ที่เป็นอันตราย 32 รายการ ออกจาก Chrome Web Store ที่อาจมีการเปลี่ยนแปลงผลการค้นหา และแสดงสแปม หรือโฆษณาที่ไม่พึงประสงค์ รวมแล้วมียอดดาวน์โหลดสูงถึงกว่า 75 ล้านครั้ง (more…)

พบ Adobe Acrobat Sign ถูกใช้ในการแพร่กระจายมัลแวร์ Redline เพื่อขโมยข้อมูล [EndUser]

นักวิจัยของ Avast บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยการพบ Hacker ได้ใช้วิธีการ Adobe Acrobat Sign ในการแพร่กระจายมัลแวร์ขโมยข้อมูลที่ชื่อว่า Redline โดยการสร้าง Phishing Email ซึ่งปลอมแปลงเป็นอีเมลจาก Adobe Acrobat Sign เพื่อหลอกเป้าหมาย และหลีกเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

Adobe Acrobat Sign เป็นบริการ e-Signature บนระบบคลาวด์ที่เปิดให้ทดลองใช้ฟรี ซึ่งช่วยให้ผู้ใช้สามารถส่ง ลงนาม ติดตาม และจัดการลายเซ็นอิเล็กทรอนิกส์ได้

Redline info-stealing malware เป็นมัลแวร์ที่สามารถขโมยข้อมูล credentials ของบัญชี, กระเป๋าเงินดิจิตอล, ข้อมูลบัตรเครดิต และข้อมูลอื่น ๆ ที่จัดเก็บไว้ในอุปกรณ์ที่ถูกโจมตี (more…)

ช่องโหว่ Zero-day บน Chrome ถูกใช้เพื่อติดตั้ง spyware บนเครื่องของนักข่าว และบุคคลที่เป็นเป้าหมายในตะวันออกกลาง

กลุ่มแฮ็กเกอร์จากอิสราเอล Candiru ใช้ช่องโหว่ Zero-day บน Google Chrome เพื่อสอดแนมนักข่าว และบุคคลที่เป็นเป้าหมายในตะวันออกกลางด้วยสปายแวร์ 'DevilsTongue' ช่องโหว่ CVE-2022-2294 เป็นช่องโหว่ heap-based buffer overflow ที่มีระดับความรุนแรงสูงใน WebRTC ซึ่งหากโจมตีได้สำเร็จ จะสามารถสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ที่เป็นเป้าหมายได้ โดย Google ออกอัปเดตแพตซ์ Zero-day ดังกล่าวไปแล้วในวันที่ 4 กรกฎาคม ซึ่ง Google ยอมรับว่าช่องโหว่นี้ถูกใช้ในการโจมตีอยู่จริง แต่ไม่ได้ให้รายละเอียดเพิ่มเติม โดยรายงานจากนักวิจัยจาก Avast ซึ่งค้นพบช่องโหว่ดังกล่าว และเป็นผู้รายงานไปยัง Google เปิดเผยว่าพวกเขาค้นพบช่องโหว่ดังกล่าวหลังจากตรวจสอบการโจมตีด้วยสปายแวร์บนเครื่อง clients จากข้อมูลของ Avast Candiru เริ่มโจมตีโดยใช้ช่องโหว่ CVE-2022-2294 ในเดือนมีนาคม 2022 โดยกำหนดเป้าหมายไปยังผู้ใช้ในเลบานอน, ตุรกี, เยเมน และปาเลสไตน์ โดยผู้โจมตีใช้วิธีการ watering hole ด้วยการโจมตีเพื่อเข้าไปควบคุมเว็ปไซต์ที่เป้าหมายเข้าใช้เป็นประจำ จากนั้นก็ฝัง exploit ที่ใช้สำหรับโจมตี browser ที่มีช่องโหว่ของเป้าหมายที่เข้ามาใช้งานเว็ปไซต์เพื่อติดตั้ง spyware การโจมตีลักษณะนี้ไม่จำเป็นต้องให้เหยื่อคลิกลิงก์ หรือดาวน์โหลดอะไรเลย สิ่งที่พวกเขาต้องการคือให้เหยื่อเปิดเว็บไซต์นั้นๆด้วย Google Chrome หรือ Chromium-based browser ที่มีช่องโหว่เท่านั้น ซึ่งเว็บไซต์เหล่านี้อาจเป็นเว็บไซต์ตามปกติทั่วๆไป หรือเว็บไซต์ที่ถูกสร้างขึ้นโดยผู้โจมตี และหลอกให้เหยื่อเข้าใช้งานผ่านทาง spear phishing ก็ได้ ในกรณีหนึ่ง ผู้โจมตีทำการโจมตีเว็บไซต์ที่สำนักข่าวในเลบานอนใช้งาน และฝังโค้ด JavaScript ที่เปิดใช้งานการโจมตีแบบ XXS (cross-site scripting) และเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ใช้สำหรับโจมตีช่องโหว่บน browser ดังกล่าว

Avast ระบุในรายงานว่า "เมื่อเหยื่อเข้ามาถึงเซิร์ฟเวอร์ที่ใช้สำหรับโจมตี จะได้รับการพิสูจน์ว่าเป็นเป้าหมายจริงๆหรือไม่ด้วยการตรวจสอบข้อมูลภาษาที่ใช้, timezone, ข้อมูลบนหน้าจอ, ชนิดของอุปกรณ์, ปลั๊กอินบน browser, ข้อมูลบนหน่วยความจำ รวมไปถึงข้อมูล cookie ด้วย" ในกรณีของเลบานอน Zero-day จะช่วยทำให้ผู้โจมตีสามารถสั่งรัน shell code ได้สำเร็จ และหลบเลี่ยงการตรวจจับของแซนด์บ็อกซ์ของ chrome เนื่องจากช่องโหว่อยู่ใน WebRTC จึงส่งผลต่อ browser Safari ของ Apple ด้วย อย่างไรก็ตามการโจมตีที่ถูกตรวจพบโดย Avast สามารถทำงานได้บน Windows เท่านั้น หลังจากการติดตั้งครั้งแรก DevilsTongue จะใช้ขั้นตอน BYOVD ("bring your own driver") เพื่อยกระดับสิทธิ์ และกำหนดสิทธิ์การอ่าน และเขียนข้อมูลไปยังหน่วยความจำของอุปกรณ์ที่ถูกโจมตี

สิ่งที่น่าสนใจคือ Avast ค้นพบว่า BYOVD ที่ Candiru ใช้นั้นเป็น Zero-day เช่นเดียวกัน และแม้ว่าช่องโหว่จะได้รับการอัปเดตไปแล้ว แต่ก็ไม่สามารถป้องกันได้ เนื่องจากเวอร์ชันที่ถูกนำมาใช้กับ spyware คือเวอร์ชันที่ยังมีช่องโหว่อยู่นั่นเอง แม้ว่าจะไม่ชัดเจนว่าผู้โจมตีกำหนดเป้าหมายไปที่ข้อมูลประเภทใด แต่ Avast เชื่อว่าผู้โจมตีใช้ข้อมูลดังกล่าวเพื่อศึกษาเกี่ยวกับข่าวที่นักข่าวกำลังค้นคว้าอยู่ ผู้โจมตีเป็นที่รู้จักดีอยู่แล้วในด้านการพัฒนา หรือใช้ Zero-day เพื่อโจมตีบุคคลที่ตกเป็นเป้าหมาย แต่จากครั้งล่าสุดที่ Candiru ดำเนินการโจมตีถูกเปิดเผยโดย Microsoft และ Citizen Lab จึงทำให้กลุ่มผู้โจมตีได้พัฒนา DevilsTongue ด้วยการโจมตีจาก Zero-days รูปแบบใหม่ตามที่ Avast เปิดเผยในครั้งนี้ เพื่อแก้ไขปัญหานี้ Apple วางแผนที่จะสร้าง iOS 16 ใหม่ที่เรียกว่า 'Lockdown Mode' ซึ่งจำกัดคุณสมบัติ และการทำงานของอุปกรณ์เพื่อป้องกันการรั่วไหลของข้อมูล หรือลดผลกระทบจากการติดสปายแวร์ให้น้อยที่สุด

ที่มา: bleepingcomputer

 

Hackers are using Word documents to drop NetSupport Manager RAT

แฮกเกอร์กำลังใช้เอกสาร Word เพื่อปล่อย NetSupport Manager RAT

นักวิจัยจาก Cortex XDR ของ Palo Alto Networks เปิดเผยว่าได้พบกับแคมเปญฟิชชิ่งแบบใหม่ซึ่งมีเป้าหมายที่จะทำให้ผู้ใช้ติดไวรัสด้วย NetSupport Manager RAT (Remote Administration Tool)
แม้ว่า NetSupport ไม่เป็นอันตรายและมีการใช้เพื่อวัตถุประสงค์ในการบริหารเครือข่าย และเชื่อว่าแคมเปญนี้จะเริ่มขึ้นตั้งแต่เดือนพฤศจิกายน 2562 ถึงมกราคม 2563 โดยมีเป้าหมายเฉพาะที่อุตสาหกรรมการพิมพ์และภาพยนตร์

กระบวนการโจมตี
ทำการโจมตีโดยส่งอีเมลที่เกี่ยวข้องกับสถานะการคืนเงินหรือการทำธุรกรรมบัตรเครดิตด้วยเอกสาร Word ที่แฝงไวรัสไว้แล้วอ้างว่ามีข้อมูลที่สำคัญและรหัสผ่านสำหรับเปิดเอกสาร นอกจากนี้ผู้ใช้ยังได้รับแจ้งว่าต้องเปิดใช้งานแมโครภายใน Microsoft Word เพื่อป้อนรหัสผ่าน
เมื่อผู้ใช้เปิดเอกสารโค้ดที่ถูกแฝงมาจะถูกรันคำสั่งสร้างสตริง สตริงที่ถูกสร้างจะเรียกใช้งานบน VBA ซึ่งจะใช้เพื่อเรียก cmd.

Avast and Emsisoft release free decrypters for BigBobRoss ransomware

Avast และ Emsisoft ปล่อยตัวถอดรหัสฟรีสำหรับ BigBobRoss ransomware

Avast และ Emsisoft บริษัทรักษาความปลอดภัยในโลกไซเบอร์ที่รู้จักกันดีในเรื่องผลิตภัณฑ์ป้องกันไวรัส ได้ปล่อยตัวถอดรหัสที่ไม่เสียค่าใช้จ่าย ซึ่งจะสามารถช่วยเหลือผู้ที่ตกเป็นเหยื่อของ BigBobRoss ransomware ให้กู้คืนไฟล์ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามาถดาวน์โหลด decrypters ได้จากเว็บไซต์ Avast และ Emsisoft

Michael Gillespie นักวิจัยด้านความปลอดภัยของ Emsisoft บอกว่าการพบ BigBobRoss ครั้งแรกเกิดขึ้นเมื่อวันที่ 14 มกราคม เมื่อเหยื่อบางรายพยายามระบุชนิด ransomware ผ่าน ID-Ransomware ซึ่งเป็นบริการที่ Gillespie สร้างขึ้นเมื่อหลายปีก่อน เพื่อช่วยให้เหยื่อสามารถระบุชนิดของ ransomware

Gillespie กล่าวว่าเขาได้รับ 35 ตัวอย่างจากผู้ใช้ใน 6 ประเทศ ซึ่งต่อมาถูกระบุว่าเป็นผู้ตกเป็นเหยื่อ BigBobRoss ซึ่งไม่ใช่เหยื่อทุกรายจะรู้จักบริการ ID-Ransomware ดังนั้นจำนวนของผู้ตกเป็นเหยื่อ BigBobRoss น่าจะมีจำนวนมากกว่านั้น

แต่ยังไม่ชัดเจนว่า BigBobRoss ดำเนินการแพร่กระจาย ransomware หรือทำให้เหยื่อติดเชื้อด้วยช่องทางใด

นอกจากการใช้บริการ ID-Ransomware แล้ว ผู้ที่ตกเป็นเหยื่อยังสามารถตรวจสอบได้ด้วยตนเองว่าติด BigBobRoss หรือไม่ โดยเมื่อเหยื่อติด BigBobRoss ไฟล์ส่วนใหญ่จะถูกเข้ารหัสและเปลี่ยนนามสกุลไฟล์เป็น ".obfuscated"

ผู้ใช้งานสามารถลดความเสี่ยงจากการจ่ายเงินค่าไถ่ ได้ด้วยการสำรองข้อมูลแบบออฟไลน์อย่างสม่ำเสมอ เพื่อให้สามารถเรียกคืนข้อมูลได้เมื่อติด ransomware โดยไม่ต้องจ่ายเงินค่าไถ่

ที่มา: www.

Avast Users Having Internet Issues & Malwarebytes Conflicts After Upgrade

ผู้ใช้ Avast พบปัญหาด้านการใช้งานอินเทอร์เน็ตและการใช้งานโปรแกรม Malwarebytes หลังจากทำการอัปเกรดแล้ว

ในสัปดาห์นี้ผู้ใช้ผลิตภัณฑ์ป้องกันไวรัสของ Avast ได้รายงานปัญหาอินเทอร์เน็ตหลังจากอัปเกรด หากผู้ใช้มีโปรแกรม Malwarebytes ติดตั้งอยู่อาจก่อให้เกิดความขัดข้องกับโปรแกรมเช่นกัน หากต้องการให้โปรแกรมทั้งสองทำงานได้อย่างปกติ จะต้องปิดโมดูลการป้องกันของโปรแกรมใดโปรแกรมหนึ่งเพื่อหลีกเลี่ยงปัญหาดังกล่าว

หลังจากอัปเกรดเป็น Avast 18.6.2349 ผู้ใช้จำนวนมากเริ่มร้องเรียนปัญหาที่ไม่สามารถเรียกดูเว็บไซต์ได้ พวกเขาได้ทดสอบ Ping ไปยังที่อยู่ IP ได้แต่ไม่สามารถเข้าถึงเว็บไซต์ผ่านเบราว์เซอร์ได้ แต่เมื่อปิดใช้งานคอมโพเนนต์ Avast WebShield ที่ช่วยปกป้องผู้ใช้จากการเรียกดูไซต์หรือสคริปต์ที่เป็นอันตราย จึงสามารถเรียกดูเว็บได้ตามปกติ

พนักงานของ Avast ชื่อ Filip Braun กล่าวว่าปัญหานี้อาจเกิดจากการอัปเดตที่ล้มเหลว จึงแนะนำให้ผู้ใช้ลองทำการติดตั้งใหม่ และผู้ใช้บางรายระบุว่าพบปัญหาแม้ว่าจะไม่มีการติดตั้ง Malwarebytes ก็ตาม

ทาง Malwarebytes กล่าวว่าถ้าต้องการใช้โมดูลการปกป้องเว็บต่อไป จะต้องปิดการใช้งาน "Real Site Protection" ของ Avast และทาง Malwarebytes กำลังทำงานร่วมกับ Avast / AVG ในการแก้ไขปัญหาเหล่านี้

ที่มา: bleepingcomputer

A deeper look into malware abusing TeamViewer

มัลแวร์ TeamSpy ใช้ TeamViewer ในการเข้าควบคุมและสั่งการเครื่องของเหยื่อ Avast ได้มีการเผยแพร่ผลการวิเคราะห์มัลแวร์ TeamSpy ซึ่งเคยมีการแพร่กระจายครั้งแรกในช่วงปี 2013 โดยมีการแอบติดตั้งโปรแกรม TeamViewer ที่มีการปรับแต่งเอาไว้เพื่อให้เข้าถึงเครื่องที่มีการติดเชื้อภายหลังได้
TeamSpy มีการแพร่กระจายผ่านทางไฟล์เอกสารที่ัฝังมาโครสคริปต์ที่เป็อันตรายเอาไว้ ในกรณีที่มาโครสคริปต์นั้นถูกรัน มันจะทำการดาวโหลดไฟล์ที่มีนามสกุล PNG แต่แท้จริงแล้วเป็นไฟล์โปรแกรมมาติดตั้งบนเครื่องของเหยื่อ
หลังจากมัลแวร์มีการติดตั้งไฟล์ดังกล่าวแล้ว ไฟล์ที่ถูกติดตั้งทั้งหมดจะเป็นไฟล์ของโปรแกรม TeamViewer โดยมีเพียงสองไฟล์ที่ไม่ได้มีการรับรองด้วยลายเซ็นดิจิตอลจาก TeamViewer คือ msimg32.dll และ tvr.