ในสัปดาห์ที่ผ่านมา Threat Hunting ของ Cyble ได้พบหลายกรณีที่มีความพยายามในการใช้ช่องโหว่, การโจมตีด้วยมัลแวร์, การหลอกลวงทางการเงิน และการโจมตีแบบ brute-force ผ่านเครือข่าย Honeypot sensors ของพวกเขา

ในระหว่างวันที่ 18-24 กันยายน นักวิจัยจาก Cyble ได้พบการโจมตีโดยใช้ช่องโหว่จำนวน 5 รายการ ซึ่งรวมถึงการโจมตีปลั๊กอินตัวใหม่ใน WordPress ที่มุ่งเป้าไปที่อุตสาหกรรมธนาคาร, การตรวจพบอีเมลสแปมใหม่กว่า 400 รายการ และการโจมตีแบบ brute-force หลายพันครั้ง

การโจมตีโดยใช้ช่องโหว่

Cyble sensors ตรวจพบช่องโหว่ใหม่ 5 รายการที่กำลังถูกโจมตีอย่างต่อเนื่อง นอกเหนือจากช่องโหว่เก่าจำนวนหนึ่งที่ยังคงถูกโจมตีอยู่

รายการที่ 1 : SQL Injection Attack

CVE-2024-27956 เป็นช่องโหว่ความรุนแรงระดับ 9.9 ที่เกิดจากการแก้ไข Special Elements ที่ไม่เหมาะสมในการใช้คำสั่ง SQL ที่พบในปลั๊กอิน ValvePress Automatic ของ WordPress โดยช่องโหว่นี้ทำให้เกิดการโจมตีแบบ SQL Injection ซึ่งช่องโหว่นี้ส่งผลกระทบกับเวอร์ชันของปลั๊กอิน Automatic ตั้งแต่เวอร์ชัน n/a ไปจนถึงเวอร์ชัน 3.92.0

รายการที่ 2 : PHP CGI Argument Injection Vulnerability

CVE-2024-4577 เป็นช่องโหว่ความรุนแรงระดับ 9.8 ใน PHP ที่ส่งผลกระทบกับการตั้งค่า CGI และถูกโจมตีมาตั้งแต่มีการประกาศในเดือนมิถุนายน ช่องโหว่นี้ทำให้ผู้ไม่หวังดีสามารถรันคำสั่งที่กำหนดเองผ่าน URL parameters ที่ถูกสร้างขึ้นเป็นพิเศษ ช่องโหว่นี้ส่งผลกระทบกับ PHP เวอร์ชัน 8.1.* ก่อน 8.1.29, 8.2.* ก่อน 8.2.20, และ 8.3.* ก่อน 8.3.8 เมื่อใช้ Apache และ PHP-CGI บนระบบ Windows

รายการที่ 3 : GeoServer Vulnerability Allows Remote Code Execution via Unsafe XPath Evaluation

CVE-2024-36401 เป็นช่องโหว่ความรุนแรงระดับ 9.8 ในการรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) ใน GeoServer เวอร์ชันก่อนหน้า 2.23.6, 2.24.4 และ 2.25.2 ช่องโหว่นี้เกิดจากการประมวลผล OGC request parameters (Open Geospatial Consortium) ในรูปแบบ XPath ที่ไม่ปลอดภัย ทำให้ผู้ใช้ที่ไม่ผ่านการยืนยันตัวตน สามารถรันโค้ดที่เป็นอันตรายได้ ช่องโหว่นี้ส่งผลกระทบกับ GeoServer ทั้งหมด เนื่องจากการจัดการประเภทฟีเจอร์ที่ไม่เหมาะสม ปัจจุบันมีการอัปเดตแพตช์เพื่อแก้ไขปัญหานี้แล้ว และการแก้ไขปัญหาชั่วคราวคือการลบไลบรารี gt-complex ที่มีช่องโหว่ ซึ่งอาจส่งผลกระทบกับฟังก์ชันการทำงานของระบบได้

รายการที่ 4 : Network Command Injection Vulnerability Without Authentication

CVE-2024-7029 เป็นช่องโหว่ความรุนแรงระดับ 8.7 ใน IP camera ของ AVTECH ที่ทำให้ผู้โจมตีจากภายนอกสามารถ inject และรันคำสั่งผ่านเครือข่ายโดยไม่ต้องผ่านการยืนยันตัวตน ช่องโหว่นี้ถือว่าร้ายแรง เนื่องจากทำให้สามารถเข้าควบคุมระบบที่ได้รับผลกระทบได้โดยไม่ได้รับอนุญาต

รายการที่ 5: Network Command Injection Vulnerability Without Authentication

ปลั๊กอิน porte_plume ที่ใช้ใน SPIP ก่อนเวอร์ชัน 4.30-alpha2, 4.2.13, และ 4.1.16 มีช่องโหว่ในการรันโค้ดที่เป็นอันตราย (arbitrary code execution) ที่มีความรุนแรงระดับ 9.8 (CVE-2024-7954) ผู้โจมตีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถรัน PHP ที่เป็นอันตรายในฐานะผู้ใช้ SPIP ได้โดยการส่ง HTTP request ที่ถูกสร้างขึ้นเป็นพิเศษ

Octo2: มัลแวร์ตัวใหม่ที่มุ่งเป้าหมายการโจมตีไปที่ธนาคารในยุโรป

Octo2 เป็น mobile banking trojan ตัวใหม่ซึ่งถูกพบเมื่อไม่นานมานี้ในการโจมตีธนาคารในยุโรป และคาดว่าจะมีการแพร่กระจายไปในภูมิภาคอื่น ๆ ทั่วโลกในอนาคต

Octo (หรือที่เรียกว่า ExobotCompact) ได้กลายเป็นหนึ่งในกลุ่มมัลแวร์ที่โดดเด่นที่สุดในแวดวงภัยคุกคามบนมือถือ โดยมีจำนวนตัวอย่างที่ไม่ซ้ำกันถูกตรวจพบในปีนี้ เมื่อไม่นานมานี้ ได้มีการค้นพบเวอร์ชันใหม่ชื่อ “Octo2” ซึ่งสร้างขึ้นโดยผู้ไม่หวังดีกลุ่มเดิม ซึ่งแสดงให้เห็นถึงการเปลี่ยนแปลงในกลยุทธ และเทคนิคของผู้ไม่หวังดี เวอร์ชันที่อัปเกรดนี้มีความสามารถในการดำเนินการจากระยะไกลที่ดีขึ้น โดยเฉพาะในการโจมตีในรูปแบบ Device Takeover ทำให้การดำเนินการมีความเสถียรมากขึ้น

แคมเปญใหม่ของ Octo2 ได้เริ่มมีการพบการโจมตีที่มุ่งเป้าไปยังหลายประเทศในยุโรป นอกจากนี้ Octo2 ยังใช้เทคนิคการหลีกเลี่ยงการตรวจจับขั้นสูง รวมถึงการนำเสนออัลกอริธึมการสร้างโดเมน (Domain Generation Algorithm - DGA) ซึ่งช่วยเพิ่มความสามารถในการแฝงตัวในระบบรักษาความปลอดภัยได้ดียิ่งขึ้น

Hashes และ IoCs ที่รู้จักผ่าน Threat Fabric

Cyble ได้ตรวจพบอีเมลสแปมใหม่จำนวน 410 รายการที่ถูกใช้ในแคมเปญ

การตรวจพบพอร์ตที่ถูกโจมตีด้วยวิธีการแบบ Brute-Force

จากการตรวจพบการโจมตีแบบ Brute-Force หลายพันครั้งโดย Cyble พอร์ตต่อไปนี้ถูกพบมากที่สุด โดยการกระจายของพอร์ตที่ถูกโจมตีตาม 5 ประเทศที่พบมากที่สุด

สหรัฐอเมริกา: Port 22 (40%), Port 3389 (32%), Port 445 (21%), Port 23 (4%), และ Port 80 (3%)
ตุรกีมุ่ง: Port 3389 (100%)
รัสเซีย: Port 5900 และ Port 445
จีน: Port 5900 และ Port 445
บัลแกเรีย: Port 5900 และ Port 445

นักวิเคราะห์ด้านความปลอดภัยแนะนำให้เพิ่มการบล็อกการเข้าถึงจากภายนอกในระบบรักษาความปลอดภัยสำหรับพอร์ตที่กำลังถูกใช้ในการโจมตี (เช่น 22, 3389, 443, 445, 5900, และ 3306)

คำแนะนำ

ดำเนินการ block Hashes URLs และข้อมูลอีเมลในระบบรักษาความปลอดภัย
อัปเดตแพตช์ช่องโหว่ทั้งหมด และตรวจสอบการแจ้งเตือน Suricata ที่สำคัญในเครือข่ายภายในอย่างสม่ำเสมอ
ตรวจสอบ ASN และ IP ของผู้โจมตีอย่างต่อเนื่อง
Block IP ที่ใช้ในการโจมตีแบบ Brute Force และพอร์ตที่ถูกโจมตีตามที่ระบุไว้
รีเซ็ตชื่อผู้ใช้ และรหัสผ่านเริ่มต้นทันทีเพื่อลดความเสี่ยงจากการโจมตีแบบ brute-force และบังคับให้มีการเปลี่ยนแปลงรหัสผ่านเป็นระยะ
สำหรับเซิร์ฟเวอร์ ควรตั้งรหัสผ่านที่รัดกุม และยากต่อการคาดเดา

ที่มา : CYBLE

 

นักวิจัยด้านความปลอดภัยของอังกฤษได้พิสูจน์การสร้างการ์ดแถบแม่เหล็ก (Magstripe) โดยใช้รายละเอียดที่พบในการ์ดโมเดล Chip-and-PIN (EMV) และการ์ด Contactless Cards เพื่อทำการโคลนข้อมูลการ์ดสำหรับทำการละเมิดทางการเงิน

Galloway หัวหน้าฝ่ายวิจัยความปลอดภัยเชิงพาณิชย์จากห้องปฏิบัติการวิจัยและพัฒนาของ Cyber R&D Lab ได้เปิดเผยถึงการทดสอบเทคโนโลยีการ์ดที่ใช้ทำธุรกรรมทางการเงินจาก 11 ธนาคาร โดยมาจากธนาคารในประเทศสหรัฐอเมริกา, สหราชอาณาจักรและสหภาพยุโรป ซึ่ง Galloway ค้นพบว่าการ์ดของ 4 ธนาคารจาก 11 ธนาคารที่ทำการทดสอบนั้นใช้การ์ดโมเดล Chip-and-PIN (EMV) ซึ่งสามารถทำการโคลนข้อมูลไปสู่การ์ด Magstripe ได้และอาจนำไปใช้ในการละเมิดธุรกรรมทางการเงิน

Galloway ได้อธิบายต่อว่าการทำธุรกรรมด้วยการ์ดโมเดล Chip-and-PIN (EMV) และการ์ด Contactless Cards นั้นยังไม่ถือว่ามีความปลอดภัยในปัจจุบันเนื่องจากว่า ในทางปฏิบัตินั้นผู้ประสงค์ร้ายยังสามารถทำการโคลนการ์ดโมเดล EMV ได้ ถึงเเม้ว่าเทคโนโลยีการชำระเงินด้วยการ์ดจะพัฒนาไปมากแต่หลายๆ ประเทศในภูมิภาคต่างๆ ของทั่วโลกยังสนับสนุนการชำระเงินด้วยการ์ดเทคโนโลยี Magstrip ในการใช้ทำธุรกรรมการเงิน

ทั้งนี้ผู้ใช้งานบัตรเคดิตหรือบัตรต่างๆ ที่ใช้ทำธุรกรรมทางการเงินควรทำการระมัดระวังในการใช้งานและหมั่นตรวจสอบ เมื่อพบยอดชำระที่ผิดปกติควรรีบทำการติดต่อธนาคารที่ท่านใช้งานอย่างเร่งด่วน เพื่อป้องกันผู้ประสงค์ร้ายทำการละเมิดบัญชีธุรกรรมการเงินของท่าน

ที่มา: zdnet.

วันนี้ธนาคารแห่งประเทศไทย(ธปท.)ได้มีการออกข่าวประชาสัมพันธ์ให้สถาบันการเงินในประเทศยกระดับมาตรการป้องกันภัยทางไซเบอร์

สืบเนื่องจาก นายรณดล นุ่มนนท์ ผู้ช่วยผู้ว่าการ สายกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทย ได้มีการเปิดเผยว่า มีข้อมูลบางส่วนซึ่งไม่เกี่ยวข้องกับธุรกรรมการเงินจากธนาคาร 2 แห่ง ได้แก่ ธนาคารกสิกรไทย จำกัด (มหาชน) และธนาคารกรุงไทย จำกัด (มหาชน) หลุดออกไป โดยจากรายงานข้อมูลที่หลุดออกไปของธนาคารกสิกรไทยเป็นข้อมูลลูกค้านิติบุคคลที่เป็นข้อมูลสาธารณะ ส่วนของธนาคารกรุงไทย เป็นข้อมูลคำขอสินเชื่อของลูกค้ารายย่อยและนิติบุคคลบางส่วน หลังจากธนาคารทั้ง 2 แห่งทราบปัญหาดังกล่าวได้มีการตรวจสอบทันที และพบว่ายังไม่มีลูกค้าที่ได้ผลกระทบจากกรณีข้อมูลรั่วไหลดังกล่าวนี้ พร้อมทั้งได้ดำเนินการปิดช่องโหว่ดังกล่าวโดยทันที ทั้งนี้ ธปท. ได้สั่งการ และกำชับให้ธนาคารทั้ง 2 แห่งยกระดับมาตราป้องกันภัยทางไซเบอร์อย่างเข้มงวดโดยทันที

ล่าสุดนี้ทางธนาคารทั้ง 2 แห่ง ได้แก่ธนาคารกรุงไทย จำกัด (มหาชน) และธนาคารกสิกรไทย จำกัด (มหาชน) ได้มีการชี้แจงกรณีดังกล่าวออกมาแล้ว นายผยง ศรีวณิช กรรมการผู้จัดการใหญ่ ธนาคารกรุงไทย เปิดเผยว่าจากการตรวจสอบระบบพบว่า ในช่วงก่อนวันหยุดยาวที่ผ่านมาข้อมูลเบื้องต้นที่ส่วนใหญ่เป็นข้อมูลคำขอสินเชื่อพื้นฐานของลูกค้ารายย่อยที่สมัครสินเชื่อทางออนไลน์ทั้งสิ้น 1.2 แสนราย แบ่งเป็นนิติบุคคล 3 พันรายได้ถูกแฮกด้วยเทคนิคชั้นสูงจากระบบของธนาคาร และธนาคารยืนยันว่ายังไม่พบว่าความเสียหายเกิดขึ้นกับบัญชีของกลุ่มลูกค้าที่ได้รับผลกระทบดังกล่าว

ทั้งนี้ธนาคารได้มีการติดต่อกับกลุ่มลูกค้าดังกล่าว เพื่อแจ้งให้ทราบถึงเหตุการณ์ และให้คำแนะนำเพื่อป้องกันความเสี่ยงแล้ว ในส่วนของธนาคารกสิกรไทย นายพิพิธ เอนกนิธิ กรรมการผู้จัดการ ธนาคารกสิกรไทย เปิดเผยว่า เมื่อวันที่ 25 กรกฎาคมที่ผ่านมา ธนาคารตรวจพบว่าอาจมีข้อมูลรายชื่อลูกค้าองค์กรของธนาคารประมาณ 3 พันรายที่ใช้เว็บให้บริการหนังสือค้ำประกันหลุดออกไปสู่สาธารณะ ซึ่งข้อมูลที่หลุดออกไปไม่เกี่ยวข้องกับข้อมูลสำคัญด้านธุรกรรมการเงินของลูกค้า และยังไม่พบว่ามีลูกค้าที่ได้รับผลกระทบดังกล่าวได้รับความเสียหายใดๆ โดยคาดว่าเกิดจากการแฮกเช่นเดียวกัน ทั้งนี้ธนาคารได้มีแผนที่จะแจ้งให้ทางลูกค้าที่ได้รับผลกระทบทราบเป็นรายองค์กรแล้ว

อย่างไรก็ตามขณะนี้กลุ่มผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากสถาบันการเงินต่างๆในประเทศ ได้ร่วมมือกับทาง TB-CERT และผู้เชี่ยวชาญท่านอื่นๆ ช่วยกันสืบสวนหาสาเหตุที่แท้จริงอยู่ คาดว่าหากมีความคืบหน้าเพิ่มเติมน่าจะมีการแจ้งให้ทราบต่อไป

ที่มา : การเงินธนาคาร , ธปท.

จากเหตุการณ์ที่ธนาคาร Bamcomext และธนาคาร Bank of Chile ถูกโจมตีทั้งในรูปแบบของการใช้มัลแวร์ KillDisk เพื่อแพร่ระบาดในเครือข่ายของธนาคารและรูปแบบของการเข้ายึดและสั่งการระบบ SWIFT ของธนาคารให้มีการโอนเงินออกมา อ้างอิงจากแหล่งข่าวของ Cyberscoop คนในสามคนที่เข้าตรวจสอบเหตุการณ์นี้ได้ออกมายืนยันแล้วว่าเป็นการโจมตีที่มีความเกี่ยวข้องกับกลุ่มแฮกเกอร์ของเกาหลีเหนือ

กลุ่มแฮกเกอร์เกาหลีเหนือตกเป็นผู้ต้องสงสัยในการโจมตีระบบของธนาคารเพื่อขโมยเงินหลายครั้ง โดยหนึ่งในกลุ่มแฮกเกอร์ซึ่งเป็นที่รู้จักกันว่ามีแรงจูงใจในการโจมตีเพื่อการแสวงหาเงินนั้นคือกลุ่ม Lazarus Group (ชื่ออื่น HIDDEN COBRA, Unit 121)

แม้ว่ากลุ่มผู้โจมตีจะมีการใช้มัลแวร์ KillDisk หรือ MBR Killer ในการสร้างความเสียหายและดึงความสนใจ การปรากฎตัวของมัลแวร์ดังกล่าวก็ไม่ได้เป็นหลักฐานในการยืนยันที่ดีมากนักแม้ว่ามัลแวร์ในลักษณะเดียวกันจะเคยปรากฎในครั้งที้ธนาคารสัญชาติไต้หวันถูกโจมตีมาแล้ว เนื่องจากซอร์สโค้ดของมัลแวร์ทั้งสองประเภทนี้นั้นถูกปล่อยขายอยู่ในตลาดมืดออนไลน์โดยทั่วไป

อย่างไรก็ตามนอกเหนือจากการปรากฎตัวของมัลแวร์ KillDisk หรือ MBR Killer และความคลุมเครือของมัน อ้างอิงจากรายงานการวิเคราะห์ของ Flashpoint (TLP: Amber) Flashpoint ยังคงยืนยันว่าโมดูลของ MBR Killer, RAT และ TTP ของผู้โจมตีนั้นมีความเกี่ยวข้องกับกรณีการโจมตีสถาบันทางการเงินอื่นๆ และยังสามาถเชื่อมโยงกลับไปยังเกาหลีเหนือได้

Lazarus Group หรือ HIDDEN Cobra มักใช้เทคนิค Spear Phishing เพื่อให้สามารถเข้าถึงเครือข่ายภายในของธนาคารได้ ก่อนจะทำการติดตั้งและดาวโหลดมัลแวร์ต่างๆ ที่ทำให้ผู้โจมตีสามารถควบคุมระบบภายได้ ท้ายที่สุดผู้โจมตีจะมีการทำ Lateral Movement เพื่อค้นหาระบบที่เกี่ยวข้องกับระบบ SWIFT ก่อนที่จะดำเนินสั่งโอนเงินออกมา

ที่มา : Security Affairs

หลังจากที่ธนาคาร Bank of Montreal และ Simplii Financial ได้ประกาศการรั่วไหลของข้อมูลเมื่ออาทิตย์ที่ผ่านมา แฮกเกอร์ผู้ซึ่งอ้างว่าเป็นผู้โจมตีในครั้งนี้นั้นได้ออกมาขู่เรียกค่าไถ่กว่าเกือบ 1 ล้านเหรียญสหรัฐฯ ในสกุลเงิน Ripple เพื่อแลกกับการไม่เปิดเผยข้อมูลที่รั่วไหลออกมาของลูกค้ากว่า 100,000 คน

อีเมลที่ถูกส่งเพื่อเรียกค่าไถ่จากกลุ่มแฮกเกอร์ยังมีการเปิดเผยถึงวิธีการในเบื้องต้นที่ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลของบัญชีลูกค้าได้โดยอ้างว่า พวกเขาใช้อัลกอริธึมทางคณิตศาสตร์ทั่วไปในการสร้างเลขของบัญชีธนาคารที่เป็นเลขบัญชีจริง จากนั้นจึงใช้ข้อมูลดังกล่าวในการร้องขอให้ระบบล้างและตั้งค่ารหัสผ่านใหม่ได้

สำนักข่าว CBC News ออกมายืนยันการโจมตีนี้และยืนยันเพิ่มเติมว่าข้อมูลที่ผู้โจมตีใช้ในการกล่าวอ้างนั้นเป็นข้อมูลของลูกค้าซึ่งมีตัวตนจริง โดยทางธนาคารยังคงยืนยันที่จะไม่จ่ายค่าไถ่ให้กับแฮกเกอร์ โดยจะโฟกัสไปที่การปกป้องข้อมูลของผู้ใช้งานที่รั่วไหลออกต่อไป

ที่มา : BANK INFO SECURITY

ธนาคารสัญชาติอินเดีย City Union Bank ได้มีการประกาศแจ้งเตือนลูกค้าเมื่อวันอาทิตย์ที่ผ่านมาหลังจากตรวจพบการทำธุรกรรมที่ผิดปกติจากระบบ SWIFT ของทางธนาคารและยืนยันผ่านทางประกาศว่าระบบของธนาคารถูกโจมตี โดยผู้โจมตีประสบความสำเร็จในการถอนเงินออกจากธนาคารไปได้เกือบ 2 ล้านดอลลาร์สหรัฐฯ
อ้างอิงจากแถลงการณ์ของธนาคาร ทางธนาคารได้มีการยืนยันว่าการโจมตีดังกล่าวนั้นเกิดขึ้นจากองค์กรอาชญากรข้ามชาติที่มุ่งโจมตีระบบของธนาคารโดยตรง และยืนยันว่าไม่มีการร่วมมือของบุคคลภายในในการโจมตีแต่อย่างใด
สำหรับธุรกรรมที่ถูกดำเนินการผิดปกตินั้นประกอบด้วย 3 ธุรกรรมย่อยซึ่งทั้งหมดนั้นถูกบล็อคอันเนื่องมาจากพฤติกรรมที่ผิดปกติ โดยหนึ่งในสามของธุรกรรมที่เป็นการโอนเงินมูลค่า 500,000 ดอลลาร์สหรัฐฯ ได้รับการยืนยันว่ามีการส่งคืนเงินจำนวนดังกล่าวแล้ว ทาง City Union Bank จะดำเนินการประสานงานกับธนาคารปลายทางเพื่อเจรจาขอยกเลิกการทำธุรกรรมและกู้คืนเงินในแต่ละธุรกรรมต่อไป
ในขณะนี้ยังไม่มีข้อมูลที่แน่ชัดถึงวิธีการที่ผู้โจมตีดำเนินการเพื่อโจมตีระบบ

ที่มา : theregister

นักวิจัยจาก Kaspersky Lab ได้กล่าวว่าพวกเขามีตัวอย่างของ Nukebot Malware ที่มีเป้าหมายหลักเป็นธุรกิจกลุ่มธนาคารที่มีพฤติกรรมขโมยข้อมูล , รหัสผ่าน Email , รหัสผ่าน Browser โดยทางนักวิจัยได้รวบรวมตัวอย่างมาจากหลายแหล่งซึ่งดูเหมือนจะเป็นเพียงรุ่นทดสอบ บางตัวอย่างที่ Kaspersky Lab ครอบครองอยู่เป็นเพียงรูปแบบข้อความ แต่ตอนนี้นักวิจัยสามารถดึงรูปแบบคำสั่ง , ส่วนควบคุม Addresses , และข้อมูลอื่นๆที่ใช้ในการวิเคราะห์จากมัลแวร์ Nukebot ออกมาได้ แต่ข้อมูลที่ได้มาถูกเข้ารหัสไว้ การเข้ารหัสนี้ทำให้นักวิจัยจำเป็นต้องหาทางดึงคีย์ถอดรหัสออกเพื่อการสร้างค่าสตริง

ในส่วนการโจมตีแบบ Web Injections ต้องเลียนแบบการโต้ตอบกับเซิร์ฟเวอร์ C & C โดย C & C addresses จะหาได้ในขั้นตอนการเริ่มทำงานทำงาน Bot จะส่งคีย์ RC4 ที่ใช้ในการถอดรหัส Injections เราใช้วิธีเลียนแบบ Bot แล้วสามารถรวบรวมการแทรกเว็บจากเซิร์ฟเวอร์จำนวนมากได้

แต่ Nukebot บางรุ่นก็ไม่ได้ใช้ web injections แตใช้การกระจายตัวแบบ Droppers จากนั้น Malware จะดาวน์โหลด Password Recovery Utilities เพื่อใช้ในการเจาะรหัสผ่านมาจากเซิร์ฟเวอร์ระยะไกลภายใต้การควบคุมของผู้โจมตี

threatpost

รายงาน ESET กล่าวว่า โทรจันที่ขโมยข้อมูลธนาคารตัวใหม่ที่ชื่อว่า "Qadars" ซึ่งผู้ใช้ทั่วโลกติดกันในขณะนี้ มีเป้าหมายส่วนใหญ่อยู่ที่ผู้ใช้จากประเทศเนเธอร์แลนด์ มัลแวร์ Qadars จะขโมยข้อมูลจากเบราว์เซอร์ ก่อนที่ข้อมูลเหล่านั้นจะถูกเข้ารหัส และจะส่งข้อมูลที่ถูกปรับเปลี่ยนไปยังเว็บไซต์ของธนาคาร นอกจากนี้สมาร์ทโฟนระบบปฏิบัติการแอนดรอยยังอนุญาตให้มัลแวร์ดังกล่าวผ่านการตรวจสอบความปลอดภัย (two-step authentication) ของธนาคารออนไลน์และสามารถเข้าถึงบัญชีธนาคารได้ มัลแวร์นี้ได้มุ่งเน้นการโจมตีใน 6 ประเทศ ได้แก่ ประเทศเนเธอร์แลนด์, ฝรั่งเศส, แคนาดา, ออสเตรเลีย, อินเดียและอิตาลี

ที่มา : ehackingnews