Cyble Honeypot ตรวจพบการโจมตีผ่านปลั๊กอิน WordPress และ Banking Trojan ตัวใหม่

ในสัปดาห์ที่ผ่านมา Threat Hunting ของ Cyble ได้พบหลายกรณีที่มีความพยายามในการใช้ช่องโหว่, การโจมตีด้วยมัลแวร์, การหลอกลวงทางการเงิน และการโจมตีแบบ brute-force ผ่านเครือข่าย Honeypot sensors ของพวกเขา

ในระหว่างวันที่ 18-24 กันยายน นักวิจัยจาก Cyble ได้พบการโจมตีโดยใช้ช่องโหว่จำนวน 5 รายการ ซึ่งรวมถึงการโจมตีปลั๊กอินตัวใหม่ใน WordPress ที่มุ่งเป้าไปที่อุตสาหกรรมธนาคาร, การตรวจพบอีเมลสแปมใหม่กว่า 400 รายการ และการโจมตีแบบ brute-force หลายพันครั้ง

การโจมตีโดยใช้ช่องโหว่

Cyble sensors ตรวจพบช่องโหว่ใหม่ 5 รายการที่กำลังถูกโจมตีอย่างต่อเนื่อง นอกเหนือจากช่องโหว่เก่าจำนวนหนึ่งที่ยังคงถูกโจมตีอยู่

รายการที่ 1 : SQL Injection Attack

CVE-2024-27956 เป็นช่องโหว่ความรุนแรงระดับ 9.9 ที่เกิดจากการแก้ไข Special Elements ที่ไม่เหมาะสมในการใช้คำสั่ง SQL ที่พบในปลั๊กอิน ValvePress Automatic ของ WordPress โดยช่องโหว่นี้ทำให้เกิดการโจมตีแบบ SQL Injection ซึ่งช่องโหว่นี้ส่งผลกระทบกับเวอร์ชันของปลั๊กอิน Automatic ตั้งแต่เวอร์ชัน n/a ไปจนถึงเวอร์ชัน 3.92.0

รายการที่ 2 : PHP CGI Argument Injection Vulnerability

CVE-2024-4577 เป็นช่องโหว่ความรุนแรงระดับ 9.8 ใน PHP ที่ส่งผลกระทบกับการตั้งค่า CGI และถูกโจมตีมาตั้งแต่มีการประกาศในเดือนมิถุนายน ช่องโหว่นี้ทำให้ผู้ไม่หวังดีสามารถรันคำสั่งที่กำหนดเองผ่าน URL parameters ที่ถูกสร้างขึ้นเป็นพิเศษ ช่องโหว่นี้ส่งผลกระทบกับ PHP เวอร์ชัน 8.1.* ก่อน 8.1.29, 8.2.* ก่อน 8.2.20, และ 8.3.* ก่อน 8.3.8 เมื่อใช้ Apache และ PHP-CGI บนระบบ Windows

รายการที่ 3 : GeoServer Vulnerability Allows Remote Code Execution via Unsafe XPath Evaluation

CVE-2024-36401 เป็นช่องโหว่ความรุนแรงระดับ 9.8 ในการรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) ใน GeoServer เวอร์ชันก่อนหน้า 2.23.6, 2.24.4 และ 2.25.2 ช่องโหว่นี้เกิดจากการประมวลผล OGC request parameters (Open Geospatial Consortium) ในรูปแบบ XPath ที่ไม่ปลอดภัย ทำให้ผู้ใช้ที่ไม่ผ่านการยืนยันตัวตน สามารถรันโค้ดที่เป็นอันตรายได้ ช่องโหว่นี้ส่งผลกระทบกับ GeoServer ทั้งหมด เนื่องจากการจัดการประเภทฟีเจอร์ที่ไม่เหมาะสม ปัจจุบันมีการอัปเดตแพตช์เพื่อแก้ไขปัญหานี้แล้ว และการแก้ไขปัญหาชั่วคราวคือการลบไลบรารี gt-complex ที่มีช่องโหว่ ซึ่งอาจส่งผลกระทบกับฟังก์ชันการทำงานของระบบได้

รายการที่ 4 : Network Command Injection Vulnerability Without Authentication

CVE-2024-7029 เป็นช่องโหว่ความรุนแรงระดับ 8.7 ใน IP camera ของ AVTECH ที่ทำให้ผู้โจมตีจากภายนอกสามารถ inject และรันคำสั่งผ่านเครือข่ายโดยไม่ต้องผ่านการยืนยันตัวตน ช่องโหว่นี้ถือว่าร้ายแรง เนื่องจากทำให้สามารถเข้าควบคุมระบบที่ได้รับผลกระทบได้โดยไม่ได้รับอนุญาต

รายการที่ 5: Network Command Injection Vulnerability Without Authentication

ปลั๊กอิน porte_plume ที่ใช้ใน SPIP ก่อนเวอร์ชัน 4.30-alpha2, 4.2.13, และ 4.1.16 มีช่องโหว่ในการรันโค้ดที่เป็นอันตราย (arbitrary code execution) ที่มีความรุนแรงระดับ 9.8 (CVE-2024-7954) ผู้โจมตีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถรัน PHP ที่เป็นอันตรายในฐานะผู้ใช้ SPIP ได้โดยการส่ง HTTP request ที่ถูกสร้างขึ้นเป็นพิเศษ

Octo2: มัลแวร์ตัวใหม่ที่มุ่งเป้าหมายการโจมตีไปที่ธนาคารในยุโรป

Octo2 เป็น mobile banking trojan ตัวใหม่ซึ่งถูกพบเมื่อไม่นานมานี้ในการโจมตีธนาคารในยุโรป และคาดว่าจะมีการแพร่กระจายไปในภูมิภาคอื่น ๆ ทั่วโลกในอนาคต

Octo (หรือที่เรียกว่า ExobotCompact) ได้กลายเป็นหนึ่งในกลุ่มมัลแวร์ที่โดดเด่นที่สุดในแวดวงภัยคุกคามบนมือถือ โดยมีจำนวนตัวอย่างที่ไม่ซ้ำกันถูกตรวจพบในปีนี้ เมื่อไม่นานมานี้ ได้มีการค้นพบเวอร์ชันใหม่ชื่อ “Octo2” ซึ่งสร้างขึ้นโดยผู้ไม่หวังดีกลุ่มเดิม ซึ่งแสดงให้เห็นถึงการเปลี่ยนแปลงในกลยุทธ และเทคนิคของผู้ไม่หวังดี เวอร์ชันที่อัปเกรดนี้มีความสามารถในการดำเนินการจากระยะไกลที่ดีขึ้น โดยเฉพาะในการโจมตีในรูปแบบ Device Takeover ทำให้การดำเนินการมีความเสถียรมากขึ้น

แคมเปญใหม่ของ Octo2 ได้เริ่มมีการพบการโจมตีที่มุ่งเป้าไปยังหลายประเทศในยุโรป นอกจากนี้ Octo2 ยังใช้เทคนิคการหลีกเลี่ยงการตรวจจับขั้นสูง รวมถึงการนำเสนออัลกอริธึมการสร้างโดเมน (Domain Generation Algorithm - DGA) ซึ่งช่วยเพิ่มความสามารถในการแฝงตัวในระบบรักษาความปลอดภัยได้ดียิ่งขึ้น

Hashes และ IoCs ที่รู้จักผ่าน Threat Fabric

Cyble ได้ตรวจพบอีเมลสแปมใหม่จำนวน 410 รายการที่ถูกใช้ในแคมเปญ

การตรวจพบพอร์ตที่ถูกโจมตีด้วยวิธีการแบบ Brute-Force

จากการตรวจพบการโจมตีแบบ Brute-Force หลายพันครั้งโดย Cyble พอร์ตต่อไปนี้ถูกพบมากที่สุด โดยการกระจายของพอร์ตที่ถูกโจมตีตาม 5 ประเทศที่พบมากที่สุด

สหรัฐอเมริกา: Port 22 (40%), Port 3389 (32%), Port 445 (21%), Port 23 (4%), และ Port 80 (3%)
ตุรกีมุ่ง: Port 3389 (100%)
รัสเซีย: Port 5900 และ Port 445
จีน: Port 5900 และ Port 445
บัลแกเรีย: Port 5900 และ Port 445

นักวิเคราะห์ด้านความปลอดภัยแนะนำให้เพิ่มการบล็อกการเข้าถึงจากภายนอกในระบบรักษาความปลอดภัยสำหรับพอร์ตที่กำลังถูกใช้ในการโจมตี (เช่น 22, 3389, 443, 445, 5900, และ 3306)

คำแนะนำ

ดำเนินการ block Hashes URLs และข้อมูลอีเมลในระบบรักษาความปลอดภัย
อัปเดตแพตช์ช่องโหว่ทั้งหมด และตรวจสอบการแจ้งเตือน Suricata ที่สำคัญในเครือข่ายภายในอย่างสม่ำเสมอ
ตรวจสอบ ASN และ IP ของผู้โจมตีอย่างต่อเนื่อง
Block IP ที่ใช้ในการโจมตีแบบ Brute Force และพอร์ตที่ถูกโจมตีตามที่ระบุไว้
รีเซ็ตชื่อผู้ใช้ และรหัสผ่านเริ่มต้นทันทีเพื่อลดความเสี่ยงจากการโจมตีแบบ brute-force และบังคับให้มีการเปลี่ยนแปลงรหัสผ่านเป็นระยะ
สำหรับเซิร์ฟเวอร์ ควรตั้งรหัสผ่านที่รัดกุม และยากต่อการคาดเดา

ที่มา : CYBLE

 

HelloTeacher มัลแวร์บนแอนดรอยด์ตัวใหม่มุ่งเป้าไปที่ผู้ใช้บริการธนาคารในเวียดนาม

พบ Spyware ในแอนดรอยด์ตัวใหม่ ที่ปลอมตัวเป็นแอปพลิเคชันรับส่งข้อความยอดนิยมเพื่อขโมยข้อมูลที่สำคัญของผู้ใช้งาน

โดย Cyble Research & Intelligence Labs (CRIL) พบสปายแวร์ในแอนดรอยด์ตัวใหม่ที่มุ่งเป้าเพื่อขโมยข้อมูลที่สำคัญของผู้ใช้งาน เนื่องจากมัลแวร์นี้มีความแปลกใหม่ ดังนั้นนักวิจัยจึงเรียกมัลแวร์ตัวนี้ว่า 'HelloTeacher' โดยอ้างอิงจากบริการทดสอบที่มีอยู่ในซอร์สโค้ด

มัลแวร์ HelloTeacher จะปลอมตัวเป็นแอปพลิเคชันรับส่งข้อความยอดนิยม เช่น Viber หรือ kik Messenger เพื่อหลอกให้เป้าหมายติดตั้งแอปพลิเคชันที่เป็นอันตราย โดยตัวมัลแวร์มีความสามารถที่หลากหลาย เช่น การดึงข้อมูลรายชื่อผู้ติดต่อ, ข้อความ SMS, รูปภาพ, รายการแอปพลิเคชันที่ติดตั้ง, การจับภาพหน้าจอ และบันทึกหน้าจอของอุปกรณ์ที่ติดมัลแวร์

นอกจากนี้ผู้พัฒนามัลแวร์ HelloTeacher ยังพยายามเพิ่มฟังก์ชันของ banking trojan โดยใช้ฟีเจอร์อย่าง Accessibility Service โดยเป้าหมายหลักในการโจมตีเป็นธนาคารชื่อดังสามแห่งในเวียดนาม:

Package name

com.

พบแคมเปญการโจมตีของ Horabot ที่มุ่งเป้าหมายการโจมตีไปยังบัญชี Gmail, Outlook ของเป้าหมาย

Cisco Talos เปิดเผยรายงานการพบแคมเปญการโจมตีที่มุ่งเป้าหมายการโจมตีไปยังบัญชี Gmail, Outlook ของเป้าหมาย ซึ่งเกี่ยวข้องกับมัลแวร์บอตเน็ตที่ชื่อ Horabot ผ่านการใช้ banking trojan (more…)

Mispadu Banking Trojan ขโมยข้อมูล credentials ผู้ใช้งานประเทศแถบละตินอเมริกาออกไปกว่า 90,000 รายการ [EndUser]

Banking Trojan ชื่อ 'Mispadu' ซึ่งมีความเกี่ยวข้องกับแคมเปญการโจมตีในลักษณะ spam หลายครั้ง โดยมีเป้าหมายไปยังประเทศต่าง ๆ ในแถบละตินอเมริกา เช่น โบลิเวีย, ชิลี, เม็กซิโก, เปรู, และโปรตุเกส ในการขโมยข้อมูล credentials และแพร่กระจายเพย์โหลดของมัลแวร์

Ocelot Team จากบริษัทด้านความปลอดภัยทางไซเบอร์ในละตินอเมริกาชื่อ 'Metabase Q' ระบุในรายงานกับ The Hacker News ว่า "การโจมตีนี้เริ่มขึ้นเมื่อต้นเดือนสิงหาคม 2022 และยังดำเนินการอยู่ในปัจจุบัน" (more…)

Emotet Malware กลับมาอยู่ภายใต้ความสนใจของนักวิจัยอีกครั้ง

Emotet เป็น Trojan Banking ที่เคยประสบความสำเร็จ และได้รับความนิยมอย่างมากมาก่อน ซึ่งในช่วงต้นปี 2021 นั้น มีการรณรงค์ให้มีการป้องกัน Malware ดังกล่าว ทำให้ Campaign ของการโจมตีหยุดชะงักไปช่วงหนึ่ง แต่ Emotet ก็กลับมาอีกครั้งในปีเดียวกัน พร้อมกับเทคนิคหลาย ๆ อย่างแบบเดิม รวมถึงเทคนิคการใช้ Auto_Open Macros ภายใน XLS document ที่พบมากขึ้นในช่วงต้นเดือนพฤศจิกายน 2022 ที่ผ่านมานี้ ซึ่งกำลังถูกแพร่กระจายไปยังหลาย ๆ ประเทศทั่วโลก

เทคนิคการโจมตี

ในช่วงเริ่มต้นการโจมตี Emotet จะมีการส่งไฟล์ MS Office ที่เป็นอันตราย (maldocs) ผ่านทาง Phishing Email โดยในการส่ง Malware จะมีการแนบไฟล์ XLS มากับอีเมลโดยตรง หรือมาในรูปแบบ file Zip ซึ่งภายใน Phishing Email นั้นจะไม่ค่อยมีเนื้อหาอะไร โดยส่วนใหญ่ที่พบจะมีเพียงชื่อไฟล์ และรหัสผ่านเท่านั้น
โดยในการส่ง Phishing เข้ามา มักจะมาในรูปแบบของผู้ส่งใหม่ หรืออาจจะมาในรูปแบบ Reply email จากเหยื่อที่ถูกโจมตีสำเร็จก่อนหน้า ตามภาพด้านล่าง

จากนั้น Emotet จะโน้มน้าวให้เหยื่อคัดลอกตัว maldoc นี้ ไปยังโฟลเดอร์ที่ได้รับอนุญาตเป็นพิเศษ ที่ไม่ได้มีการเปิดใช้งานการป้องกัน Macro ไว้ เพื่อหลีกเลี่ยงการตรวจจับจาก Microsoft’s protection ดังรูปด้านล่าง ที่จะมีการแนะนำให้ย้ายไฟล์ดังกล่าวไปโฟลเดอร์ที่ Emotet ได้ระบุไว้

และหากเหยื่อหลงเชื่อเอาไฟล์ดังกล่าวไปไว้ตามคำแนะนำของ Emotet แล้ว หลังจากเปิดไฟล์ขึ้นมา จะไม่มีข้อความเกี่ยวกับ Macro ที่ถูกบล็อคอยู่อีกต่อไป ซึ่งหลังจากนี้ไฟล์ที่เปิดขึ้นมาจะไม่มีข้อจำกัดใด ๆ ในการรัน Macro

หลังจากเปิดเอกสารขึ้นมาแล้วอาจจะดูเหมือนว่าภายในเอกสารนั้นไม่มีอะไร แต่ว่าเบื้องหลังนั้นมี VBA macro ซ่อนอยู่ ซึ่งจะมีที่อยู่ของ C2 Server ของ Emotet อยู่ ซึ่งสามารถตรวจสอบได้โดยการยกเลิกการซ่อน sheets (Un-hiding) และคัดลอกข้อความไปวางบน Text Editor เราก็จะเห็นเนื้อหาที่ซ่อนอยู่บน sheets นั้น ๆ ได้ตามภาพด้านล่าง

หลังจากที่เปิดไฟล์เอกสารขึ้นมา จะมีการ request ไปยัง 1 ใน URL จากรูปด้านบน ซึ่งจะเห็นว่าวิธีการดังกล่าวจะเหมือนกับวิธีของ Malware ตัวอื่น ๆ ที่ใช้ในอดีต เช่น Qakbot ซึ่งจะใช้ไฟล์ XLSB และเมื่อมีการเชื่อมต่อไปยังปลายทางข้างต้นแล้ว มันจะทำการดาวน์โหลดไฟล์ตามชื่อในภาพด้านบน ไปวางไว้บน C:\\Window\System32

จาก TimeStamp จะพบว่าไฟล์เอกสารพวกนี้ถูกสร้างขึ้นในช่วงต้นเดือนพฤศจิการยน 2022 ที่ผ่านมา ดังเช่นตัวอย่างของ maldoc ด้านล่างที่ได้จัดกลุ่มตามช่วงเวลาที่สร้างขึ้นมา

แนวทางการป้องกัน

พิจารณาการเพิ่ม IOC บนอุปกรณ์ Firewall
ติดตั้ง Anti-Virus หรือ Endpoint Protection บนเครื่องคอมพิวเตอร์ภายในองค์กรเพื่อป้องกันการเปิดไฟล์ที่เป็นอันตราย
พิจารณาการจัด Awareness Training ให้กับพนักงานภายในองค์กร

ที่มา : blog.

มัลแวร์บน Android ขัดขวางไม่ให้ผู้ใช้งานโทรไปยังฝ่าย Customer Support ของธนาคาร

Banking Trojan บน Android ที่นักวิจัยเรียกว่า Fakecalls มาพร้อมกับความสามารถในการควบคุมการโทรออกของผู้ใช้งานไปยังหมายเลขของ Customer Support ของธนาคาร โดยจะต่อสายไปยังแฮ็กเกอร์ที่กำลังควบคุมเครื่องเหยื่อแทน

Fakecalls จะปลอมตัวเป็นแอปธนาคารบนมือถือ มีการแสดงข้อมูลต่างๆที่เหมือนกับแอปจริงของธนาคาร รวมถึงโลโก้ และหมายเลขฝ่าย Customer Support ซึ่งเมื่อเหยื่อพยายามโทรหาธนาคาร มัลแวร์จะตัดการเชื่อมต่อ และแสดงหน้าจอการโทรปลอม ซึ่งแทบจะแยกไม่ออกจากของจริง

(หน้าอินเทอร์เฟซการโทรของมัลแวร์ Fakecalls (ที่มา: Kaspersky))

เหยื่อจะเห็นเบอร์ที่ถูกต้องของธนาคาร และทำการโทรออก จากนั้น Fakecalls จะทำการต่อสายไปยังแฮ็กเกอร์ที่ปลอมตัวเป็นฝ่าย Customer Support ของธนาคาร และสอบถามรายละเอียดที่ทําให้สามารถเข้าถึงบัญชีของเหยื่อ การที่ Fakecalls สามารถทำเช่นนี้ได้เพราะขณะที่ติดตั้งแอปบนมือถือ ตัวแอปจะทำการขอสิทธิ์ที่จะเข้าถึงรายชื่อผู้ติดต่อ ไมโครโฟน กล้อง ตำแหน่งปัจจุบัน และการจัดการการโทร

นักวิจัยด้านความปลอดภัยที่ Kaspersky กล่าวว่า มัลแวร์ดังกล่าวถูกพบเมื่อปีที่แล้ว โดยมีเป้าหมายส่วนใหญ่อยู่ในเกาหลีใต้ และเป็นลูกค้าของธนาคารดังต่างๆเช่น KakaoBank หรือ Kookmin Bank (KB) แม้ว่าจะมีการแพร่กระจายมาระยะหนึ่งแล้ว แต่ตัวมัลแวร์ก็ไม่ได้รับความสนใจมากนัก แต่การที่มีฟีเจอร์การโทรปลอมแบบนี้ ก็ถือเป็นก้าวใหม่ในการพัฒนาภัยคุกคามของแอปธนาคารบนมือถือ

การเชื่อมต่อโดยตรงไปยังแฮกเกอร์

Kaspersky วิเคราะห์มัลแวร์ และพบว่าตัวมันสามารถเล่นข้อความที่บันทึกไว้ล่วงหน้า มีการเลียนแบบข้อความที่ธนาคารมักใช้เพื่อทักทายลูกค้าที่โทรถึงฝ่าย Customer Supportมัลแวร์ได้บันทึกประโยคที่ธนาคารมักใช้เพื่อให้ลูกค้าทราบว่าผู้ให้บริการจะรับสายทันทีที่พร้อมให้บริการ:

Fakecalls : สวัสดีค่ะ ขอบคุณที่โทรหา Kakao Bank ปัจจุบันศูนย์บริการของเรามีการโทรเข้ามาเป็นจำนวนมาก ผู้ให้บริการจะติดต่อคุณโดยเร็วที่สุด เพื่อปรับปรุงคุณภาพของการบริการ การสนทนาของคุณจะถูกบันทึกไว้

Fakecalls : ยินดีต้อนรับสู่ธนาคาร Kumin การสนทนาของคุณจะถูกบันทึกไว้ ตอนนี้เรากำลังเชื่อมต่อคุณกับโอเปอเรเตอร์

จากการที่มัลแวร์สามารถปลอมแปลงสายเรียกเข้าทำให้แฮ็กเกอร์สามารถติดต่อเหยื่อเหมือนกับว่าพวกเขาเป็นฝ่ายบริการลูกค้าของธนาคารซะเอง

การอนุญาตสิทธิ์ที่มัลแวร์ขอขณะติดตั้ง ทำให้แฮ็กเกอร์สามารถสอดแนมเหยื่อแบบเรียลไทม์จากมือถือ สามารถดูตำแหน่ง และคัดลอกไฟล์ผู้ติดต่อ เช่น รูปภาพ, วิดีโอ, ประวัติข้อความ

การให้สิทธิ์เหล่านี้ทำให้มัลแวร์สามารถควบคุมอุปกรณ์ของผู้ใช้งานได้ จึงทำให้สามารถวางสายเรียกเข้า และลบออกจากประวัติได้ และยังทำให้แฮ็กเกอร์สามารถบล็อก และซ่อนการโทรจริงจากธนาคาร

มีการสังเกตว่า Fakecalls รองรับเฉพาะภาษาเกาหลี ซึ่งทําให้ค่อนข้างง่ายต่อการตรวจจับ และปัจจุบันยังไม่สามารถรองรับภาษาอื่น แต่ในอนาคตแฮ็กเกอร์อาจเพิ่มภาษาให้มากขึ้นเพื่อขยายการโจมตีไปยังประเทศอื่น ๆ

คำแนะนำของ Kaspersky เพื่อไม่ให้ตกเป็นเหยื่อของมัลแวร์ดังกล่าว

ควรดาวน์โหลดแอปจาก Official Store เท่านั้น และตรวจสอบการอนุญาตการเข้าถึงที่อาจเป็นอันตราย เช่น การเข้าถึงการโทร, ข้อความ
ไม่แนะนำให้เปิดเผยข้อมูลที่เป็นความลับทางโทรศัพท์ เช่น ข้อมูลประจำตัวในการเข้าสู่ระบบ, PIN, รหัสความปลอดภัยของการ์ด, รหัสยืนยันต่างๆ

ที่มา :  www.

Cron-Linked Malware Impersonates 2,200 Banking Apps

นักวิจัยด้านความปลอดภัยได้แจ้งเตือนเกี่ยวกับมัลแวร์ตัวใหม่ ถูกออกแบบมาเพื่อรวบรวมข้อมูลเกี่ยวกับบัญชีธนาคารและบัตรเครดิต ซึ่งอาจเชื่อมโยงกับอาชญากรรมไซเบอร์กลุ่มที่มีชื่อว่า "Cron"

Catelites Bot มีลักษณะคล้ายคลึงกับ CronBot banking Trojan ซึ่งพบว่าเคยถูกใช้ในการโจรกรรมเงินไป 900,000 เหรียญ แม้ในท้ายที่สุดกลุ่มของผู้ที่อยู่เบื้องหลังมัลแวร์นี้ จะถูกจับกุมในช่วงต้นปีที่ผ่านมาโดยทางการรัสเซีย ส่วนใหญ่มัลแวร์ตัวนี้จะถูกแพร่กระจายอยู่ในระบบ Android ผ่านทางแอพพลิเคชั่นปลอมที่อยู่บน third-party stores, โฆษณา และหน้า phishing เมื่อเหยื่อหลงเชื่อ จะมีการร้องขอสิทธิ์ Admin ของเครื่อง หากอนุญาตมัลแวร์ดังกล่าวจะทำการลบไอคอนเดิม และแทนที่ด้วยไอคอนปลอมที่ดูคล้ายคลึงกับแอพพลิเคชั่นที่มีความน่าเชื่อถืออื่นๆ เพื่อหลอกให้เหยื่อป้อนรายละเอียดบัตรเครดิตลงไป

จากข่าวรายงานอีกว่า มัลแวร์ตัวนี้ยังมีฟังก์ชันการทำงานที่ทำให้มันสามารถปลอมแปลงตนเองให้มีหน้าตาคล้ายกับแอพพลิเคชันด้านการเงินที่ถูกต้องกว่า 2,200 แห่ง และซ้อนทับตัวเองแทนแอพพลิเคชั่นตัวจริงที่มีการเรียกใช้งาน เพื่อใช้ข้อมูลที่ได้นั้นเข้าถึงบัญชีธนาคาร และบัตรเครดิตของผู้ใช้งาน

ที่มา : infosecurity-magazine

New IcedID Banking Trojan Discovered

ทีม X-Force ของไอบีเอ็มพบโทรจันที่มุ่งขโมยข้อมูลทางการเงินภายใต้ชื่อ IcedID ซึ่งแม้จะอยู่ในขั้นตอนการพัฒนาแต่มันก็มีประสิทธิภาพและความอันตรายเทียบเท่ากับโทรจันชื่อดังอย่าง Zeus
IcedID ประกอบด้วยโหมดการโจมตีสองแบบ ได้แก่ การโจมตี webinjection และการโจมตีการเปลี่ยนเส้นทาง โดย IcedID สามารถขโมยข้อมูลการเงินของผู้ใช้งานผ่านการโจมตีแบบ redirection คือทำการติดตั้ง local proxy เพื่อเปลี่ยนเส้นทางผู้ใช้งานไปยังหน้าเว็บอันตราย และการโจมตีผ่านเว็บ คือการโจมตีไปที่เบราเซอร์ของเหยื่อเพื่อแสดงเนื้อหาปลอมบนหน้าเว็บเดิม โดยในอดีตมีเพียงมัลแวร์ Dridex เป็นมัลแวร์ชนิดเดียวกันที่รุนแรงที่สุดที่ใช้การโจมตีทั้งสองรูปแบบ

กลุ่มแฮกเกอร์ที่อยู่เบื้องหลังโทรจันจะใช้ประโยชน์จากเครือข่าย botnetชื่อว่า Emotet เพื่อส่ง IcedID ไปยังคอมพิวเตอร์ ซึ่ง IcedID จะใช้ความสามารถในการกำหนดเป้าหมายของ Emotet เพื่อส่งโทรจันให้กับเหยื่อเฉพาะในประเทศที่ระบุเท่านั้น ซึ่งขณะนี้มัลแวร์กำหนดเป้าหมายไปที่กลุ่มธนาคารผู้ให้บริการบัตรเครดิต ผู้ให้บริการโทรศัพท์มือถือ payroll เว็บเมลและอีคอมเมิร์ซในสหรัฐฯ และธนาคารใหญ่ๆ สองแห่งในสหราชอาณาจักร
ความอ่อนแอของโทรจันในตอนนี้คือมันยังไม่มีมาตรการการตรวจจับ anti-VM และ anti-sandbox ขั้นสูงที่อาจช่วยให้มันหลบเลี่ยงการตรวจจับและการวิเคราะห์ได้ ขณะนี้ยังไม่ชัดเจนว่า IcedID เป็นเพียงมัลแวร์ในเวอร์ชันทดสอบที่ยังไม่สมบูรณ์หรือไม่ จะต้องดูว่าโทรจันจะมีวิวัฒนาการอย่างไรต่อไป

ที่มา : bleepingcomputer

'Neverquest' banking trojan evolves as U.S. attacks continue

เมื่อวันพุธที่ 16 กรกฎาคม 2557  Symantec พบโทรจันธนาคารชื่อว่า " Neverquest" หรือเรียกอีกอย่างว่า "Snifula" ได้พัฒนาให้ผู้โจมตีสามารถปล้นเงินจากเหยื่อได้มากขึ้น

บล็อกของ Symantec กล่าวว่า ความสามารถของโทรดังกล่าว ยังรวมถึงการกดแป้นพิมพ์เข้าสู่ระบบ, จับภาพหน้าจอ, จับภาพวิดีโอ, การควบคุมการเข้าถึงระยะไกล, ข้อมูลประจำตัว และขโมยใบรับรองดิจิตอล นอกจากนี้โทรจันยกระดับโจมตีแบบ man-in-the-browser (MitB) ไปยังเป้าหมายผู้ใช้ Windows

ตั้งแต่เดือนธันวาคมที่ผ่านมา มากกว่าครึ่งหนึ่งของเหยื่อที่ติดโทรจันดังกล่าว อยู่ในประเทศสหรัฐอเมริกาและญี่ปุ่น

ที่มา : scmagazine

YouTube ads serve Banking Trojan Caphaw

ปัจจุบันจำนวนมัลแวร์ที่แฝงตัวอยู่กับโฆษณาซึ่งมีปรากฏให้เห็นอยู่บ่อยๆได้มีจำนวนที่เพิ่มขึ้นอยู่ทุกวัน โดยที่ YouTube ก็เป็นหนึ่งในเว็บไซต์ที่ได้รับผลกระทบนี้เช่นกัน ผู้เชียวชาญทางด้านความปลอดภัยจาก Bromium พบว่าอาชญากรทางไซเบอร์ ได้มีการกระจายมัลแวร์ผ่านทาง YouTube ads โดยนักวิจัยกล่าวว่า มัลแวร์ที่แฝงตัวอยู่จะอาศัยช่องโหว่ใน JAVA เวอร์ชั่นเก่าๆ โดยเมื่อพบเครื่องเป้าหมาย มัลแวร์จะทำการดาวน์โหลดไฟล์ .jar ที่มีอันตรายลงไปในเครื่องเป้าหมาย ซึ่งไฟล์ที่ดาวน์โหลดมานั้นจะมีหลากหลายไฟล์ โดยไฟล์ที่ดาวน์โหลดมานั้นจะขึ้นอยู่กับเวอร์ชั่นของ Java ที่อยู่บนเครื่องเป้าหมาย โปรแกรม Exploit kit  ที่ใช้ในการโจมตีครั้งนี้คือ "Styx Exploit Kit" ซึ่งเป็นโปรแกรมที่เคยถูกแฮกเกอร์นำไปใช้กับเว็บไซต์ Hasbro.