Rokarolla มัลแวร์บน Android ตัวใหม่ มุ่งเป้าโจมตีแอปธนาคาร และแอป Crypto กว่า 217 แอป

Banking Trojan บน Android ตัวใหม่ที่ชื่อว่า Rokarolla กำลังมุ่งเป้าการโจมตีไปที่แอปพลิเคชันธนาคาร และ Crypto จำนวน 217 แอป โดยใช้ชุดคำสั่งที่ครอบคลุมถึง 137 คำสั่ง (more…)

Grinex ระบุ “Western intelligence” อาจเป็นผู้อยู่เบื้องหลังเหตุแฮ็กคริปโต 13.7 ล้านดอลลาร์

Grinex แพลตฟอร์มแลกเปลี่ยนคริปโตเคอร์เรนซีที่ตั้งอยู่ในคีร์กีซสถาน ประกาศระงับการให้บริการชั่วคราว หลังถูกโจมตีทางไซเบอร์ที่สร้างความเสียหายราว 13.7 ล้านดอลลาร์ โดยมีรายงานชี้ว่าการแฮ็กครั้งนี้เชื่อมโยงกับหน่วยข่าวกรองจากฝั่งตะวันตก (more…)

ยึดคริปโตฯ กว่า 300 ล้านดอลลาร์ จากความร่วมมือระหว่างรัฐบาล และเอกชนจากการปราบอาชญากรรมไซเบอร์

คริปโทเคอร์เรนซีมูลค่ากว่า 300 ล้านดอลลาร์สหรัฐ ที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ และการฉ้อโกง ถูกอายัดไว้จากความร่วมมือระหว่างหน่วยงานบังคับใช้กฎหมาย และบริษัทเอกชน ผ่านการดำเนินงานที่แยกกันอย่างอิสระ

หนึ่งในปฏิบัติการสำคัญคือโครงการ T3+ Global Collaborator Program ที่จัดตั้งขึ้นโดยหน่วยงาน T3 Financial Crime Unit (T3 FCU) ซึ่งเป็นโครงการระหว่าง TRM Labs, TRON และ Tether และเริ่มดำเนินการเมื่อราวหนึ่งปีก่อน โดยมี Binance ในฐานะสมาชิกอย่างเป็นทางการรายแรก โดยทั้งหมดล้วนเป็นองค์กรชั้นนำในแวดวงบล็อกเชน

TRM Labs เปิดเผยว่า ตั้งแต่เริ่มโครงการในเดือนกันยายน 2024 เป็นต้นมา ได้มีการอายัดทรัพย์สินที่เกี่ยวข้องกับอาชญากรรมทั่วโลกมูลค่ากว่า 250 ล้านดอลลาร์สหรัฐ โดยในจำนวนนี้มีเงิน 6 ล้านดอลลาร์สหรัฐที่ถูกอายัดจากความร่วมมือกับ Binance เพื่อปราบปรามกลโกงแบบ Romance Baiting

นอกจากนี้ TRM Labs ยังรายงานว่า หน่วยงาน T3 FCU ได้ทำงานอย่างใกล้ชิดกับหน่วยงานบังคับใช้กฎหมายทั่วโลก ตั้งแต่ก่อตั้งในเดือนกันยายน 2024 โดยได้ตรวจสอบธุรกรรมหลายล้านรายการในห้าทวีป และติดตามการเคลื่อนไหวทางการเงินรวมกว่า 3 พันล้านดอลลาร์สหรัฐ เพื่อขัดขวางเครือข่ายอาชญากรรมอย่างมีประสิทธิภาพ

ตลอดระยะเวลาการดำเนินงาน T3 FCU มีบทบาทสำคัญในการสนับสนุนการสอบสวนคดีฟอกเงิน, ฉ้อโกงการลงทุน, การข่มขู่เรียกทรัพย์, การจัดหาเงินทุนแก่การก่อการร้าย และอาชญากรรมทางการเงินขั้นรุนแรงอื่น ๆ ทั่วโลก

ปฏิบัติการครั้งที่สองนี้เกิดขึ้นจากการร่วมมือระหว่างสหรัฐอเมริกา และแคนาดา โดยได้รับการสนับสนุนจากผู้เชี่ยวชาญด้านข่าวกรองบล็อกเชนของ Chainalysis

ความร่วมมือครั้งนี้นำไปสู่การปฏิบัติการสำคัญ 2 โครงการ ได้แก่ "Project Atlas" ซึ่งนำโดยตำรวจออนแทรีโอ (OPP) และ "Operation Avalanche" ซึ่งนำโดยคณะกรรมการกำกับหลักทรัพย์ของบริติชโคลัมเบีย (BCSC) โดยทั้งสองปฏิบัติการนี้ได้ใช้ข้อมูลวิเคราะห์จาก Chainalysis ในการติดตามเงินที่ได้จากการหลอกลวง

ตามรายงานจากแพลตฟอร์มข้อมูลบล็อกเชน การสืบสวนในช่วงหกเดือนที่ผ่านมาได้ค้นพบความสูญเสียจากการฉ้อโกงหลายรูปแบบรวมมูลค่ากว่า 74.3 ล้านดอลลาร์สหรัฐ ซึ่งส่วนใหญ่ถูกอายัดไว้แล้ว

Chainalysis ระบุในแถลงการณ์ว่า “โครงการ Atlas ซึ่งดำเนินการจากแคนาดาแต่มีขอบเขตการทำงานระดับโลก สามารถระบุที่อยู่กระเป๋าเงินคริปโทเคอร์เรนซีที่เกี่ยวข้องกับเหยื่อการฉ้อโกงกว่า 2,000 แห่งใน 14 ประเทศ รวมถึงแคนาดา, สหรัฐอเมริกา, ออสเตรเลีย, เยอรมนี และสหราชอาณาจักร”

“ด้วยความร่วมมือโดยตรงกับ Tether บริษัทสามารถบล็อกเงิน USDT มูลค่ากว่า 50 ล้านดอลลาร์สหรัฐ ทำให้มิจฉาชีพไม่สามารถเคลื่อนย้าย หรือแปลงสินทรัพย์ที่ถูกขโมยเหล่านี้ได้”

ทั้งสองปฏิบัติการ ผสานการสืบสวนอย่างเข้มข้นควบคู่กับความร่วมมือในระดับโลกอย่างเป็นระบบ เพื่อจับตา และเข้าแทรกแซงในระดับบล็อกเชน ส่งผลให้การเคลื่อนย้าย หรือใช้จ่ายเงินที่ได้จากการฉ้อโกงของอาชญากรไซเบอร์ถูกจำกัดลงอย่างมาก

ที่มา : bleepingcomputer.

แฮ็กเกอร์พี่น้องถูกจับในข้อหาขโมยเงิน 25 ล้านดอลลาร์จากการโจมตีบล็อคเชน Ethereum

กระทรวงยุติธรรมของสหรัฐอเมริกาได้ฟ้องร้องอดีตนักศึกษา MIT สองคนในข้อหาควบคุมการจัดการบล็อกเชน Ethereum และขโมยเงินดิจิทัลมูลค่า 25 ล้านดอลลาร์ภายในเวลาประมาณ 12 วินาทีในการดำเนินการ

Anton Peraire-Bueno และ James Pepaire-Bueno ถูกจับในบอสตัน และนิวยอร์กเมื่อวันอังคาร (14 พฤษภาคม 2024) ในข้อหาฉ้อโกง และสมรู้ร่วมคิดในการฉ้อโกง และการฟอกเงิน หากถูกตัดสินว่ามีความผิด แต่ละคนจะต้องได้รับโทษจำคุกสูงสุด 20 ปีแต่ละข้อหา

คดีของพวกเขาถูกสอบสวนโดยหน่วยสืบสวนทางไซเบอร์ของ IRS Criminal Investigation (IRS-CI) ในนิวยอร์ก โดยได้รับความช่วยเหลือจากกรมตำรวจนครนิวยอร์ก และกรมศุลกากร และป้องกันชายแดนของสหรัฐอเมริกา

เดเมียน วิลเลียมส์ อัยการสหรัฐฯ ระบุว่า “สองพี่น้องที่เรียนอยู่ในคณะวิทยาการคอมพิวเตอร์ และคณิตศาสตร์ในมหาวิทยาลัยที่มีชื่อเสียงที่สุดแห่งหนึ่งของโลก ถูกกล่าวหาว่าใช้ทักษะเฉพาะทาง เพื่อแก้ไข และจัดการโปรโตคอลที่ผู้ใช้ Ethereum หลายล้านคนทั่วโลกใช้ในการขโมยเงินดิจิทัล โดยพวกเขาใช้เวลาเพียง 12 วินาทีเท่านั้น”

อดีตนักศึกษาสถาบันเทคโนโลยีแมสซาชูเซตส์ (MIT) สองคนถูกกล่าวหาว่าควบคุมการจัดการกระบวนการตรวจสอบธุรกรรมบนบล็อกเชน โดยการเข้าถึงธุรกรรมส่วนตัวที่รอดำเนินการ เปลี่ยนแปลงธุรกรรม รับสกุลเงินดิจิทัลของเหยื่อ และปฏิเสธคำขอให้คืนเงินที่ถูกขโมย และดำเนินการเพื่อปกปิดกำไรที่ได้มาอย่างผิดกฎหมาย

คำฟ้องอ้างว่าสองพี่น้องได้เรียนรู้พฤติกรรมของเหยื่อ และเตรียมการโจมตีตั้งแต่เดือนธันวาคม 2022 และใช้มาตรการต่าง ๆ เพื่อปกปิดตัวตน และเงินที่ถูกขโมยไป

พวกเขายังใช้ที่อยู่สกุลเงินดิจิทัลหลายแห่ง และการแลกเปลี่ยนเงินตราต่างประเทศ และจัดตั้งบริษัทปลอม ภายหลังจากการโจมตีพวกเขาย้ายสินทรัพย์ crypto ที่ถูกขโมยผ่านการทำธุรกรรมที่จะปิดบังแหล่งที่มา และความเป็นเจ้าของ

ตลอดกระบวนการ ทั้งสองคนยังค้นหาข้อมูลออนไลน์เกี่ยวกับการโจมตี, ปกปิดการมีส่วนร่วมของพวกเขาในการโจมตี, การฟอกเงินผ่านการแลกเปลี่ยนสกุลเงินดิจิทัล, การจ้างทนายความที่มีความเชี่ยวชาญด้านสกุลเงินดิจิทัล รวมถึงขั้นตอนการส่งผู้ร้ายข้ามแดน และอาชญากรรมที่ระบุไว้ในคำฟ้อง

เจ้าหน้าที่พิเศษของ IRS-CI โธมัส ฟัตโตรุสโซ่ ระบุเพิ่มเติมว่า “ทั้งสองคนถูกกล่าวหาว่ากระทำการยักยอก Ethereum blockchain โดยเข้าถึงธุรกรรมที่รอดำเนินการ เปลี่ยนแปลงการเคลื่อนไหวของสกุลเงินอิเล็กทรอนิกส์ และในที่สุดก็ขโมยเงินดิจิทัล 25 ล้านดอลลาร์จากเหยื่อของพวกเขา”

ที่มา: bleepingcomputer.

พบช่องโหว่ WinRAR zero-day ถูกนำมาใช้ในการโจมตีตั้งแต่เดือนเมษายนเพื่อขโมยบัญชี trading

ช่องโหว่ Zero-day ของ WinRAR (CVE-2023-38831) กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง โดยผู้โจมตีจะหลอกล่อให้เหยื่อคลิกเปิดไฟล์ archive เพื่อติดตั้งมัลแวร์ ซึ่งอาจทำให้ Hacker สามารถขโมยบัญชีซื้อขายสกุลเงินดิจิทัลออนไลน์ได้ โดยนักวิจัยพบว่าช่องโหว่ดังกล่าวได้ถูกนำมาใช้ในการโจมตีมาตั้งแต่เดือนเมษายน 2023 เพื่อแพร่กระจายมัลแวร์ต่าง ๆ เช่น DarkMe, GuLoader และ Remcos RAT

CVE-2023-38831 เป็นช่องโหว่ Zero-day ของ WinRAR ที่ทำให้สามารถสร้างไฟล์ .RAR และ .ZIP ที่เป็นอันตราย ซึ่งแสดงไฟล์ที่ดูเหมือนไม่มีอันตราย เช่น รูปภาพ JPG (.jpg), ไฟล์ข้อความ (.txt), หรือเอกสาร PDF (.pdf) แต่เมื่อเหยื่อทำการเปิดไฟล์ดังกล่าว ช่องโหว่ก็จะทำการเรียกสคริปต์เพื่อติดตั้งมัลแวร์บนอุปกรณ์ โดย Group-IB เป็นผู้ค้นพบช่องโหว่ CVE-2023-38831 ในเดือนกรกฎาคม 2023 และได้ทำการเผยแพร่รายละเอียดข้อมูลของช่องโหว่ดังกล่าวแล้ว

โดยทาง BleepingComputer ได้ทดสอบเปิดไฟล์ที่เป็นอันตรายซึ่งถูกแชร์โดย Group-IB ซึ่งเป็นผู้ค้นพบแคมเปญการโจมตี ซึ่งพบว่าเพียงดับเบิลคลิกบน PDF ก็ทำให้ CMD script ถูกเรียกใช้งานเพื่อติดตั้งมัลแวร์ทันที

ปัจจุบันช่องโหว่ CVE-2023-38831 ได้รับการแก้ไขแล้วในอัปเดตแพตซ์ของ WinRAR เวอร์ชัน 6.23 ที่ออกมาในวันที่ 2 สิงหาคม 2023 ที่ผ่านมา โดยได้แก้ไขช่องโหว่ต่าง ๆ รวมถึงช่องโหว่ CVE-2023-40477 ที่สามารถดำเนินการคำสั่งเมื่อเปิดไฟล์ RAR ที่ถูกสร้างขึ้นมาเป็นพิเศษ

การมุ่งเป้าหมายไปที่ crypto traders

นักวิจัยจาก Group-IB ได้เผยแพร่รายงานการค้นพบช่องโหว่ WinRAR Zero-day ได้ถูกใช้เพื่อมุ่งเป้าหมายการโจมตีไปยังฟอรัมที่เกี่ยวกับ cryptocurrency โดย Hacker ได้ปลอมตัวเป็นผู้ที่มาให้ความรู้ และข้อมูลกลยุทธ์การซื้อขาย ซึ่งโพสต์ในฟอรัมจะมีการแนบลิงก์ไปยังไฟล์ WinRAR ZIP หรือ RAR ที่ถูกสร้างขึ้นมาเป็นพิเศษ ซึ่งประกอบด้วย PDF ไฟล์ข้อความ และรูปภาพ

โดยเอกสารที่แนบมานั้นจะมีชื่อที่ถูกโพสต์ในฟอรัม เช่น "กลยุทธ์ส่วนตัวที่ดีที่สุดในการแลกเปลี่ยนกับ Bitcoin" เพื่อหลอกล่อให้เหยื่อทำการดาวน์โหลด ซึ่งไฟล์อันตรายดังกล่าวได้ถูกเผยแพร่ในฟอรัมการซื้อขายสาธารณะกว่า 8 แห่ง ซึ่งแพร่ระบาดไปยังอุปกรณ์ของผู้ใช้งานที่ได้รับการยืนยันแล้วกว่า 130 ราย โดยขณะนี้ยังไม่ทราบจำนวนเหยื่อ และมูลค่าความเสียหายทางการเงินที่เกิดจากแคมเปญดังกล่าว

ขั้นตอนในการโจมตีประกอบไปด้วย

เมื่อเหยื่อทำการเปิดไฟล์ จะเห็นสิ่งที่ดูเหมือนเป็นไฟล์ที่ไม่เป็นอันตราย เช่น PDF โดยมีโฟลเดอร์ที่ตรงกับชื่อไฟล์เดียวกัน

เมื่อเหยื่อดับเบิลคลิกที่ PDF ช่องโหว่ CVE-2023-38831 จะทำการเรียกสคริปต์ในโฟลเดอร์ เพื่อติดตั้งมัลแวร์บนอุปกรณ์ในเวลาเดียวกัน ซึ่งสคริปต์เหล่านี้จะโหลดเอกสารหลอกล่อเพื่อไม่ให้เหยื่อเกิดความสงสัย

ช่องโหว่ดังกล่าวจะสร้างไฟล์เป็นพิเศษด้วยโครงสร้างที่ได้รับการปรับเปลี่ยนเล็กน้อยเมื่อเปรียบเทียบกับไฟล์ที่ปลอดภัย ซึ่งทำให้ฟังก์ชัน ShellExecute ของ WinRAR ได้รับ parameter ที่ไม่ถูกต้องเมื่อพยายามเปิดไฟล์ล่อ ส่งผลให้โปรแกรมข้ามไฟล์ที่ไม่เป็นอันตราย และค้นหา และเรียกใช้ CMD script แทน ดังนั้นแม้ว่าเหยื่อจะคิดว่าได้ทำการเปิดไฟล์ที่ปลอดภัย แต่โปรแกรมจะเปิดไฟล์อื่นขึ้นมาแทน

ซึ่ง CMD script จะทำการเรียกใช้ไฟล์ self-extracting (SFX) CAB เพื่อติดตั้งมัลแวร์ต่าง ๆ เช่น DarkMe, GuLoader และ Remcos RAT ลงบนเครื่องเหยื่อ เพื่อให้สามารถเข้าถึงได้จากระยะไกล

DarkMe malware มีความเชื่อมโยงกับกลุ่ม EvilNum ที่มีเป้าหมายทางการเงิน แต่ปัจจุบันยังไม่พบความเชื่อมโยงของกลุ่ม EvilNum และช่องโหว่ CVE-2023-38831

Remcos RAT เป็น malware ที่ทำให้ Hacker สามารถควบคุมอุปกรณ์ที่ถูกโจมตีได้อย่างมีประสิทธิภาพมากขึ้น รวมถึงการสั่งการจากระยะไกล, keylogging, การจับภาพหน้าจอ การจัดการไฟล์ และการทำ reverse proxy ช่วยเพิ่มความสามารถในการโจมให้ดียิ่งขึ้น

ดังนั้นผู้ใช้ WinRAR จึงควรอัปเดตให้เป็นเวอร์ชันล่าสุด คือ WinRAR version 6.23 เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าวโดยด่วน

 

ที่มา : bleepingcomputer