พบ Spyware ในแอนดรอยด์ตัวใหม่ ที่ปลอมตัวเป็นแอปพลิเคชันรับส่งข้อความยอดนิยมเพื่อขโมยข้อมูลที่สำคัญของผู้ใช้งาน

โดย Cyble Research & Intelligence Labs (CRIL) พบสปายแวร์ในแอนดรอยด์ตัวใหม่ที่มุ่งเป้าเพื่อขโมยข้อมูลที่สำคัญของผู้ใช้งาน เนื่องจากมัลแวร์นี้มีความแปลกใหม่ ดังนั้นนักวิจัยจึงเรียกมัลแวร์ตัวนี้ว่า 'HelloTeacher' โดยอ้างอิงจากบริการทดสอบที่มีอยู่ในซอร์สโค้ด

มัลแวร์ HelloTeacher จะปลอมตัวเป็นแอปพลิเคชันรับส่งข้อความยอดนิยม เช่น Viber หรือ kik Messenger เพื่อหลอกให้เป้าหมายติดตั้งแอปพลิเคชันที่เป็นอันตราย โดยตัวมัลแวร์มีความสามารถที่หลากหลาย เช่น การดึงข้อมูลรายชื่อผู้ติดต่อ, ข้อความ SMS, รูปภาพ, รายการแอปพลิเคชันที่ติดตั้ง, การจับภาพหน้าจอ และบันทึกหน้าจอของอุปกรณ์ที่ติดมัลแวร์

นอกจากนี้ผู้พัฒนามัลแวร์ HelloTeacher ยังพยายามเพิ่มฟังก์ชันของ banking trojan โดยใช้ฟีเจอร์อย่าง Accessibility Service โดยเป้าหมายหลักในการโจมตีเป็นธนาคารชื่อดังสามแห่งในเวียดนาม:

Package name

com.

Cisco Talos เปิดเผยรายงานการพบแคมเปญการโจมตีที่มุ่งเป้าหมายการโจมตีไปยังบัญชี Gmail, Outlook ของเป้าหมาย ซึ่งเกี่ยวข้องกับมัลแวร์บอตเน็ตที่ชื่อ Horabot ผ่านการใช้ banking trojan (more…)

Banking Trojan ชื่อ 'Mispadu' ซึ่งมีความเกี่ยวข้องกับแคมเปญการโจมตีในลักษณะ spam หลายครั้ง โดยมีเป้าหมายไปยังประเทศต่าง ๆ ในแถบละตินอเมริกา เช่น โบลิเวีย, ชิลี, เม็กซิโก, เปรู, และโปรตุเกส ในการขโมยข้อมูล credentials และแพร่กระจายเพย์โหลดของมัลแวร์

Ocelot Team จากบริษัทด้านความปลอดภัยทางไซเบอร์ในละตินอเมริกาชื่อ 'Metabase Q' ระบุในรายงานกับ The Hacker News ว่า "การโจมตีนี้เริ่มขึ้นเมื่อต้นเดือนสิงหาคม 2022 และยังดำเนินการอยู่ในปัจจุบัน" (more…)

Emotet เป็น Trojan Banking ที่เคยประสบความสำเร็จ และได้รับความนิยมอย่างมากมาก่อน ซึ่งในช่วงต้นปี 2021 นั้น มีการรณรงค์ให้มีการป้องกัน Malware ดังกล่าว ทำให้ Campaign ของการโจมตีหยุดชะงักไปช่วงหนึ่ง แต่ Emotet ก็กลับมาอีกครั้งในปีเดียวกัน พร้อมกับเทคนิคหลาย ๆ อย่างแบบเดิม รวมถึงเทคนิคการใช้ Auto_Open Macros ภายใน XLS document ที่พบมากขึ้นในช่วงต้นเดือนพฤศจิกายน 2022 ที่ผ่านมานี้ ซึ่งกำลังถูกแพร่กระจายไปยังหลาย ๆ ประเทศทั่วโลก

เทคนิคการโจมตี

ในช่วงเริ่มต้นการโจมตี Emotet จะมีการส่งไฟล์ MS Office ที่เป็นอันตราย (maldocs) ผ่านทาง Phishing Email โดยในการส่ง Malware จะมีการแนบไฟล์ XLS มากับอีเมลโดยตรง หรือมาในรูปแบบ file Zip ซึ่งภายใน Phishing Email นั้นจะไม่ค่อยมีเนื้อหาอะไร โดยส่วนใหญ่ที่พบจะมีเพียงชื่อไฟล์ และรหัสผ่านเท่านั้น
โดยในการส่ง Phishing เข้ามา มักจะมาในรูปแบบของผู้ส่งใหม่ หรืออาจจะมาในรูปแบบ Reply email จากเหยื่อที่ถูกโจมตีสำเร็จก่อนหน้า ตามภาพด้านล่าง

จากนั้น Emotet จะโน้มน้าวให้เหยื่อคัดลอกตัว maldoc นี้ ไปยังโฟลเดอร์ที่ได้รับอนุญาตเป็นพิเศษ ที่ไม่ได้มีการเปิดใช้งานการป้องกัน Macro ไว้ เพื่อหลีกเลี่ยงการตรวจจับจาก Microsoft’s protection ดังรูปด้านล่าง ที่จะมีการแนะนำให้ย้ายไฟล์ดังกล่าวไปโฟลเดอร์ที่ Emotet ได้ระบุไว้

และหากเหยื่อหลงเชื่อเอาไฟล์ดังกล่าวไปไว้ตามคำแนะนำของ Emotet แล้ว หลังจากเปิดไฟล์ขึ้นมา จะไม่มีข้อความเกี่ยวกับ Macro ที่ถูกบล็อคอยู่อีกต่อไป ซึ่งหลังจากนี้ไฟล์ที่เปิดขึ้นมาจะไม่มีข้อจำกัดใด ๆ ในการรัน Macro

หลังจากเปิดเอกสารขึ้นมาแล้วอาจจะดูเหมือนว่าภายในเอกสารนั้นไม่มีอะไร แต่ว่าเบื้องหลังนั้นมี VBA macro ซ่อนอยู่ ซึ่งจะมีที่อยู่ของ C2 Server ของ Emotet อยู่ ซึ่งสามารถตรวจสอบได้โดยการยกเลิกการซ่อน sheets (Un-hiding) และคัดลอกข้อความไปวางบน Text Editor เราก็จะเห็นเนื้อหาที่ซ่อนอยู่บน sheets นั้น ๆ ได้ตามภาพด้านล่าง

หลังจากที่เปิดไฟล์เอกสารขึ้นมา จะมีการ request ไปยัง 1 ใน URL จากรูปด้านบน ซึ่งจะเห็นว่าวิธีการดังกล่าวจะเหมือนกับวิธีของ Malware ตัวอื่น ๆ ที่ใช้ในอดีต เช่น Qakbot ซึ่งจะใช้ไฟล์ XLSB และเมื่อมีการเชื่อมต่อไปยังปลายทางข้างต้นแล้ว มันจะทำการดาวน์โหลดไฟล์ตามชื่อในภาพด้านบน ไปวางไว้บน C:\\Window\System32

จาก TimeStamp จะพบว่าไฟล์เอกสารพวกนี้ถูกสร้างขึ้นในช่วงต้นเดือนพฤศจิการยน 2022 ที่ผ่านมา ดังเช่นตัวอย่างของ maldoc ด้านล่างที่ได้จัดกลุ่มตามช่วงเวลาที่สร้างขึ้นมา

แนวทางการป้องกัน

พิจารณาการเพิ่ม IOC บนอุปกรณ์ Firewall
ติดตั้ง Anti-Virus หรือ Endpoint Protection บนเครื่องคอมพิวเตอร์ภายในองค์กรเพื่อป้องกันการเปิดไฟล์ที่เป็นอันตราย
พิจารณาการจัด Awareness Training ให้กับพนักงานภายในองค์กร

ที่มา : blog.

Banking Trojan บน Android ที่นักวิจัยเรียกว่า Fakecalls มาพร้อมกับความสามารถในการควบคุมการโทรออกของผู้ใช้งานไปยังหมายเลขของ Customer Support ของธนาคาร โดยจะต่อสายไปยังแฮ็กเกอร์ที่กำลังควบคุมเครื่องเหยื่อแทน

Fakecalls จะปลอมตัวเป็นแอปธนาคารบนมือถือ มีการแสดงข้อมูลต่างๆที่เหมือนกับแอปจริงของธนาคาร รวมถึงโลโก้ และหมายเลขฝ่าย Customer Support ซึ่งเมื่อเหยื่อพยายามโทรหาธนาคาร มัลแวร์จะตัดการเชื่อมต่อ และแสดงหน้าจอการโทรปลอม ซึ่งแทบจะแยกไม่ออกจากของจริง

(หน้าอินเทอร์เฟซการโทรของมัลแวร์ Fakecalls (ที่มา: Kaspersky))

เหยื่อจะเห็นเบอร์ที่ถูกต้องของธนาคาร และทำการโทรออก จากนั้น Fakecalls จะทำการต่อสายไปยังแฮ็กเกอร์ที่ปลอมตัวเป็นฝ่าย Customer Support ของธนาคาร และสอบถามรายละเอียดที่ทําให้สามารถเข้าถึงบัญชีของเหยื่อ การที่ Fakecalls สามารถทำเช่นนี้ได้เพราะขณะที่ติดตั้งแอปบนมือถือ ตัวแอปจะทำการขอสิทธิ์ที่จะเข้าถึงรายชื่อผู้ติดต่อ ไมโครโฟน กล้อง ตำแหน่งปัจจุบัน และการจัดการการโทร

นักวิจัยด้านความปลอดภัยที่ Kaspersky กล่าวว่า มัลแวร์ดังกล่าวถูกพบเมื่อปีที่แล้ว โดยมีเป้าหมายส่วนใหญ่อยู่ในเกาหลีใต้ และเป็นลูกค้าของธนาคารดังต่างๆเช่น KakaoBank หรือ Kookmin Bank (KB) แม้ว่าจะมีการแพร่กระจายมาระยะหนึ่งแล้ว แต่ตัวมัลแวร์ก็ไม่ได้รับความสนใจมากนัก แต่การที่มีฟีเจอร์การโทรปลอมแบบนี้ ก็ถือเป็นก้าวใหม่ในการพัฒนาภัยคุกคามของแอปธนาคารบนมือถือ

การเชื่อมต่อโดยตรงไปยังแฮกเกอร์

Kaspersky วิเคราะห์มัลแวร์ และพบว่าตัวมันสามารถเล่นข้อความที่บันทึกไว้ล่วงหน้า มีการเลียนแบบข้อความที่ธนาคารมักใช้เพื่อทักทายลูกค้าที่โทรถึงฝ่าย Customer Supportมัลแวร์ได้บันทึกประโยคที่ธนาคารมักใช้เพื่อให้ลูกค้าทราบว่าผู้ให้บริการจะรับสายทันทีที่พร้อมให้บริการ:

Fakecalls : สวัสดีค่ะ ขอบคุณที่โทรหา Kakao Bank ปัจจุบันศูนย์บริการของเรามีการโทรเข้ามาเป็นจำนวนมาก ผู้ให้บริการจะติดต่อคุณโดยเร็วที่สุด เพื่อปรับปรุงคุณภาพของการบริการ การสนทนาของคุณจะถูกบันทึกไว้

Fakecalls : ยินดีต้อนรับสู่ธนาคาร Kumin การสนทนาของคุณจะถูกบันทึกไว้ ตอนนี้เรากำลังเชื่อมต่อคุณกับโอเปอเรเตอร์

จากการที่มัลแวร์สามารถปลอมแปลงสายเรียกเข้าทำให้แฮ็กเกอร์สามารถติดต่อเหยื่อเหมือนกับว่าพวกเขาเป็นฝ่ายบริการลูกค้าของธนาคารซะเอง

การอนุญาตสิทธิ์ที่มัลแวร์ขอขณะติดตั้ง ทำให้แฮ็กเกอร์สามารถสอดแนมเหยื่อแบบเรียลไทม์จากมือถือ สามารถดูตำแหน่ง และคัดลอกไฟล์ผู้ติดต่อ เช่น รูปภาพ, วิดีโอ, ประวัติข้อความ

การให้สิทธิ์เหล่านี้ทำให้มัลแวร์สามารถควบคุมอุปกรณ์ของผู้ใช้งานได้ จึงทำให้สามารถวางสายเรียกเข้า และลบออกจากประวัติได้ และยังทำให้แฮ็กเกอร์สามารถบล็อก และซ่อนการโทรจริงจากธนาคาร

มีการสังเกตว่า Fakecalls รองรับเฉพาะภาษาเกาหลี ซึ่งทําให้ค่อนข้างง่ายต่อการตรวจจับ และปัจจุบันยังไม่สามารถรองรับภาษาอื่น แต่ในอนาคตแฮ็กเกอร์อาจเพิ่มภาษาให้มากขึ้นเพื่อขยายการโจมตีไปยังประเทศอื่น ๆ

คำแนะนำของ Kaspersky เพื่อไม่ให้ตกเป็นเหยื่อของมัลแวร์ดังกล่าว

ควรดาวน์โหลดแอปจาก Official Store เท่านั้น และตรวจสอบการอนุญาตการเข้าถึงที่อาจเป็นอันตราย เช่น การเข้าถึงการโทร, ข้อความ
ไม่แนะนำให้เปิดเผยข้อมูลที่เป็นความลับทางโทรศัพท์ เช่น ข้อมูลประจำตัวในการเข้าสู่ระบบ, PIN, รหัสความปลอดภัยของการ์ด, รหัสยืนยันต่างๆ

ที่มา :  www.

นักวิจัยด้านความปลอดภัยได้แจ้งเตือนเกี่ยวกับมัลแวร์ตัวใหม่ ถูกออกแบบมาเพื่อรวบรวมข้อมูลเกี่ยวกับบัญชีธนาคารและบัตรเครดิต ซึ่งอาจเชื่อมโยงกับอาชญากรรมไซเบอร์กลุ่มที่มีชื่อว่า "Cron"

Catelites Bot มีลักษณะคล้ายคลึงกับ CronBot banking Trojan ซึ่งพบว่าเคยถูกใช้ในการโจรกรรมเงินไป 900,000 เหรียญ แม้ในท้ายที่สุดกลุ่มของผู้ที่อยู่เบื้องหลังมัลแวร์นี้ จะถูกจับกุมในช่วงต้นปีที่ผ่านมาโดยทางการรัสเซีย ส่วนใหญ่มัลแวร์ตัวนี้จะถูกแพร่กระจายอยู่ในระบบ Android ผ่านทางแอพพลิเคชั่นปลอมที่อยู่บน third-party stores, โฆษณา และหน้า phishing เมื่อเหยื่อหลงเชื่อ จะมีการร้องขอสิทธิ์ Admin ของเครื่อง หากอนุญาตมัลแวร์ดังกล่าวจะทำการลบไอคอนเดิม และแทนที่ด้วยไอคอนปลอมที่ดูคล้ายคลึงกับแอพพลิเคชั่นที่มีความน่าเชื่อถืออื่นๆ เพื่อหลอกให้เหยื่อป้อนรายละเอียดบัตรเครดิตลงไป

จากข่าวรายงานอีกว่า มัลแวร์ตัวนี้ยังมีฟังก์ชันการทำงานที่ทำให้มันสามารถปลอมแปลงตนเองให้มีหน้าตาคล้ายกับแอพพลิเคชันด้านการเงินที่ถูกต้องกว่า 2,200 แห่ง และซ้อนทับตัวเองแทนแอพพลิเคชั่นตัวจริงที่มีการเรียกใช้งาน เพื่อใช้ข้อมูลที่ได้นั้นเข้าถึงบัญชีธนาคาร และบัตรเครดิตของผู้ใช้งาน

ที่มา : infosecurity-magazine

ทีม X-Force ของไอบีเอ็มพบโทรจันที่มุ่งขโมยข้อมูลทางการเงินภายใต้ชื่อ IcedID ซึ่งแม้จะอยู่ในขั้นตอนการพัฒนาแต่มันก็มีประสิทธิภาพและความอันตรายเทียบเท่ากับโทรจันชื่อดังอย่าง Zeus
IcedID ประกอบด้วยโหมดการโจมตีสองแบบ ได้แก่ การโจมตี webinjection และการโจมตีการเปลี่ยนเส้นทาง โดย IcedID สามารถขโมยข้อมูลการเงินของผู้ใช้งานผ่านการโจมตีแบบ redirection คือทำการติดตั้ง local proxy เพื่อเปลี่ยนเส้นทางผู้ใช้งานไปยังหน้าเว็บอันตราย และการโจมตีผ่านเว็บ คือการโจมตีไปที่เบราเซอร์ของเหยื่อเพื่อแสดงเนื้อหาปลอมบนหน้าเว็บเดิม โดยในอดีตมีเพียงมัลแวร์ Dridex เป็นมัลแวร์ชนิดเดียวกันที่รุนแรงที่สุดที่ใช้การโจมตีทั้งสองรูปแบบ

กลุ่มแฮกเกอร์ที่อยู่เบื้องหลังโทรจันจะใช้ประโยชน์จากเครือข่าย botnetชื่อว่า Emotet เพื่อส่ง IcedID ไปยังคอมพิวเตอร์ ซึ่ง IcedID จะใช้ความสามารถในการกำหนดเป้าหมายของ Emotet เพื่อส่งโทรจันให้กับเหยื่อเฉพาะในประเทศที่ระบุเท่านั้น ซึ่งขณะนี้มัลแวร์กำหนดเป้าหมายไปที่กลุ่มธนาคารผู้ให้บริการบัตรเครดิต ผู้ให้บริการโทรศัพท์มือถือ payroll เว็บเมลและอีคอมเมิร์ซในสหรัฐฯ และธนาคารใหญ่ๆ สองแห่งในสหราชอาณาจักร
ความอ่อนแอของโทรจันในตอนนี้คือมันยังไม่มีมาตรการการตรวจจับ anti-VM และ anti-sandbox ขั้นสูงที่อาจช่วยให้มันหลบเลี่ยงการตรวจจับและการวิเคราะห์ได้ ขณะนี้ยังไม่ชัดเจนว่า IcedID เป็นเพียงมัลแวร์ในเวอร์ชันทดสอบที่ยังไม่สมบูรณ์หรือไม่ จะต้องดูว่าโทรจันจะมีวิวัฒนาการอย่างไรต่อไป

ที่มา : bleepingcomputer

เมื่อวันพุธที่ 16 กรกฎาคม 2557  Symantec พบโทรจันธนาคารชื่อว่า " Neverquest" หรือเรียกอีกอย่างว่า "Snifula" ได้พัฒนาให้ผู้โจมตีสามารถปล้นเงินจากเหยื่อได้มากขึ้น

บล็อกของ Symantec กล่าวว่า ความสามารถของโทรดังกล่าว ยังรวมถึงการกดแป้นพิมพ์เข้าสู่ระบบ, จับภาพหน้าจอ, จับภาพวิดีโอ, การควบคุมการเข้าถึงระยะไกล, ข้อมูลประจำตัว และขโมยใบรับรองดิจิตอล นอกจากนี้โทรจันยกระดับโจมตีแบบ man-in-the-browser (MitB) ไปยังเป้าหมายผู้ใช้ Windows

ตั้งแต่เดือนธันวาคมที่ผ่านมา มากกว่าครึ่งหนึ่งของเหยื่อที่ติดโทรจันดังกล่าว อยู่ในประเทศสหรัฐอเมริกาและญี่ปุ่น

ที่มา : scmagazine

ปัจจุบันจำนวนมัลแวร์ที่แฝงตัวอยู่กับโฆษณาซึ่งมีปรากฏให้เห็นอยู่บ่อยๆได้มีจำนวนที่เพิ่มขึ้นอยู่ทุกวัน โดยที่ YouTube ก็เป็นหนึ่งในเว็บไซต์ที่ได้รับผลกระทบนี้เช่นกัน ผู้เชียวชาญทางด้านความปลอดภัยจาก Bromium พบว่าอาชญากรทางไซเบอร์ ได้มีการกระจายมัลแวร์ผ่านทาง YouTube ads โดยนักวิจัยกล่าวว่า มัลแวร์ที่แฝงตัวอยู่จะอาศัยช่องโหว่ใน JAVA เวอร์ชั่นเก่าๆ โดยเมื่อพบเครื่องเป้าหมาย มัลแวร์จะทำการดาวน์โหลดไฟล์ .jar ที่มีอันตรายลงไปในเครื่องเป้าหมาย ซึ่งไฟล์ที่ดาวน์โหลดมานั้นจะมีหลากหลายไฟล์ โดยไฟล์ที่ดาวน์โหลดมานั้นจะขึ้นอยู่กับเวอร์ชั่นของ Java ที่อยู่บนเครื่องเป้าหมาย โปรแกรม Exploit kit  ที่ใช้ในการโจมตีครั้งนี้คือ "Styx Exploit Kit" ซึ่งเป็นโปรแกรมที่เคยถูกแฮกเกอร์นำไปใช้กับเว็บไซต์ Hasbro.

มัลแวร์ทางด้านการเงินซึ่งดูเหมือนว่าได้รับการคุกคามมากที่สุดในรอบปีโดยที่เงิน เป็นเหมือนแรงจูงใจที่ทำให้เหล่าแฮกเกอร์ทั้งหลายมุ่งเน้นที่โจมตีของสถาบันการเงินต่างๆ

ดั้งนั้นทาง บริษัทที่ดูแลป้องกันไวรัสอย่าง บริษัทไซแมนเทค ได้ออกรายงงานที่เรียกว่า “The State of Financial Trojans: 2013” โดยในรายงานแสดงให้เห็นถึงสถาบันทางการเงินกว่า 1,400 สถาบันการเงินที่ถูกการโจมตีกว่าล้านเครื่องทั่วโลก โดยที่เป้าหมายของธนาคารส่วนใหญ่อยู่ใน อเมริกาประมาณ 71.5 % จากการวิเคราะห์ของการติดโทรจัน

ทางสถาบันการเงินซึ่งได้เผชิญปัญหากับมัลแวร์ในช่วง 10 ปี ที่ผ่านมา ในการที่จะปกป้องลูกค้าและการทำธุรกรรมผ่านทางออนไลน์ เมื่อเวลาผ่านไปการโจมตีได้ปรับเปลี่ยนรูปแบบต่างๆจนมาถึงการโจมตีในรูปแบบ โทรจัน

โดยตามรายงานจำนวนของการติดโทรจันของสถาบันทางการเงินที่พบมากที่สุดที่โดยมีการเพิ่มขึ้น 337 % ในช่วง 9 เดือนแรก ของปี 2013 ซึ่งมี 1,500 สถาบันการเงิน ใน 88 ประเทศ ที่ได้ถูกตกเป็นเป็นเป้าหมายและมีแนวโน้มที่จะมีการโดจมตีเพิ่มมากขึ้นเรื่อยๆ โดยจะใช้การโจมตีแบบโทรจันที่มีการพัฒนาเพิ่มขึ้นเรื่อยๆ
โดยที่โทรจันทางการเงินได้ถูกพัฒนาออกมาให้มีความหลากหลายเพื่อที่รองรับการบริการของการทำธุรกรรมด้านอื่นๆ ซึ่งมีการโจมตีอยู่ 2 แบบ

 Focused attack วิธีนี้จะเป็นการโจมตีด้วยทรัพยากรที่มีอยู่อย่างจำกัด แต่จะส่งผลอย่างมาก โดยที่จะมีการกำหนดเป้าหมายที่จะทำการโจมตี เช่นการโจมตี Shylock, Bebloh และ Tilon ซึ่งทั้งหมดนี้จะเป็นรูปแบบการโจมตีโดยเฉพาะ
Broad strokes การโจมตีแบบนี้จะใช้โทรจันที่มีการตั้งค่าที่กำหนดเป้าหมายจำนวนมากในการโจมตี โดยการนำวิธี Tilon, Cridex, Gameover และ Zeus

ที่มา : thehackernews