มัลแวร์ GodFather ขยายการโจมตี ครอบคลุมแอปพลิเคชันธนาคาร และคริปโทเคอร์เรนซีกว่า 500 แอปพลิเคชันทั่วโลก

Cyble Research and Intelligence Labs (CRIL) ตรวจพบเว็บไซต์ฟิชชิง “mygov-au[.]app” ซึ่งปลอมเป็นเว็บไซต์ MyGov อย่างเป็นทางการของรัฐบาลออสเตรเลีย หลังจากวิเคราะห์เพิ่มเติม พบว่าเว็บไซต์นี้ถูกใช้แพร่กระจายไฟล์ APK ที่น่าสงสัย ซึ่งเชื่อมโยงกับมัลแวร์ GodFather ซึ่งมี (more…)

พบสปายแวร์บน Android ที่ไม่เคยถูกตรวจพบมาก่อนกำลังมุ่งเป้าหมายไปที่บุคคลในเกาหลีใต้

ตัวอย่างสปายแวร์ที่พบจะปลอมเป็นแอปพลิเคชันวิดีโอไลฟ์สด (Live Video), แอปพลิเคชันสำหรับผู้ใหญ่, แอปพลิเคชันคืนเงิน และแอปพลิเคชันออกแบบ และตกแต่งภายใน โดยมีการใช้ไอคอนดังนี้

มีการระบุ URL ที่เป็นอันตรายสองรายการที่ทำการแพร่กระจายสปายแวร์

hxxps://refundkorea[.]cyou/REFUND%20KOREA.apk
hxxps://bobocam365[.]icu/downloads/pnx01.apk

ตั้งแต่มัลแวร์ถูกพบ มัลแวร์นี้ยังคงไม่ถูกตรวจพบโดยโซลูชันด้านความปลอดภัยทั้งหมด ทำให้สามารถดำเนินการได้อย่างลับ ๆ นอกจากนี้ CRIL ได้แจ้งว่ามีตัวอย่างที่ไม่ซ้ำกันสี่รายการที่เชื่อมโยงกับสปายแวร์นี้ ซึ่งทั้งหมดมีอัตราการถูกตรวจจับเป็นศูนย์จากโซลูชันแอนตี้ไวรัสหลัก ๆ

ตัวอย่างสปายแวร์ทั้งหมดที่ถูกระบุไว้ ถูกพบว่ามีการเชื่อมต่อกับ C2 Server เดียวกัน ซึ่งโฮสต์อยู่บน Amazon S3 bucket : hxxps://phone-books[.]s3.ap-northeast-2.amazonaws.

‘Greenbean’ มัลแวร์ Android Banking Trojan ตัวล่าสุด ใช้ Simple RealTime Server (SRS) เพื่อติดต่อกับ C2 Server

'Greenbean' มัลแวร์ Android Banking Trojan ตัวล่าสุด ใช้ Simple RealTime Server (SRS) เพื่อติดต่อกับ C2 Server

ในเดือนตุลาคม 2023 Cyble Research and Intelligence Labs (CRIL) ตรวจพบมัลแวร์ Android Banking Trojan ตัวใหม่ที่ชื่อ Enchant ซึ่งมุ่งเป้าหมายไปยังผู้ใช้ cryptocurrency ในประเทศจีน โดยล่าสุดตรวจพบ Android Banking Trojan อีกตัวที่มีความสามารถในการสตรีมวิดีโอ และอ่านหน้าจอ ที่มุ่งเป้าหมายไปยังผู้ใช้ cryptocurrency ในประเทศจีน และเวียตนามตั้งแต่เดือนสิงหาคม 2023

(more…)

พบมัลแวร์ KV-botnet มุ่งเป้ายึดเราเตอร์ SOHO และอุปกรณ์ VPN

กลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลจีน (APT) ที่รู้จักกันในชื่อ Volt Typhoon (Bronze Silhouette) ได้ถูกเชื่อมโยงเข้ากับ Botnet ที่มีความสามารถขั้นสูงในชื่อ 'KV-botnet' ซึ่งถูกใช้ในการโจมตีเราเตอร์ SOHO ในเป้าหมายที่มีมูลค่าสูงมาตั้งแต่ปี 2022

Volt Typhoon จะกำหนดเป้าหมายการโจมตีไปยังเราเตอร์, ไฟร์วอลล์ และอุปกรณ์ VPN โดยเชื่อมต่อไปยัง proxy traffic ที่เป็นอันตราย และผสมผสานกับการรับส่งข้อมูลที่เป็นปกติเพื่อไม่ให้ถูกตรวจพบ
(more…)

พบ PHISHING แคมเปญรอบใหม่ของ REMCOS RAT

Morphisec Labs ตรวจพบการโจมตีรอบใหม่ของ Remcos trojan โดยใช้อีเมลฟิชชิ่งซึ่งมีเป้าหมายเป็นธุรกรรมทางการเงิน ซึ่งในครั้งนี้ผู้โจมตีจะปลอมตัวเป็นสถาบันทางการเงิน และหลอกล่อให้ผู้ใช้เปิดไฟล์ Excel ที่เป็นอันตรายซึ่งบอกว่ามีข้อมูล "Confidential" บางอย่าง

จากการวิเคราะห์ของ Morphisec พบว่าผู้โจมตีจะปลอมตัวว่ามาจากบริการต่างๆ เช่น Wells Fargo, FIS Global และ ACH Payment

การโจมตีจะดำเนินไปหลายขั้นตอน ส่วนใหญ่จะขึ้นอยู่กับการสั่งการจาก C2 Server ซึ่งเก็บไฟล์ที่ใช้สั่งการสำหรับแต่ละขั้นตอนไว้

โดยผู้โจมตียังใช้ไฟล์ .xls ที่ใส่รหัสผ่านเพื่อหลีกเลี่ยงการตรวจจับ และรหัสผ่านจะอยู่ในเนื้อหาของอีเมล

(more…)