เว็บไซต์สำหรับแลกเปลี่ยน cryptocurrency จากเกาหลีใต้ "Bithumb" ถูกแฮกเป็นครั้งที่สองในรอบปี โดยในครั้งนี้นั้นผู้โจมตีประสบความสำเร็จที่จะขโมยเงินกว่า 31.6 ล้านดอลลาร์สหรัฐฯ ออกจากระบบ

ในขณะนี้ Bithumb ยังไม่ได้มีประกาศอย่างเป็นทางการว่าการโจมตีนั้นเกิดขึ้นได้อย่างไร ผู้โจมตีมีวิธีการนำเงินออกจากระบบได้อย่างไรและมีสกุลเงินใดที่ได้รับผลกระทบบ้าง อย่างไรก็ตามมีผู้ใช้งานหลายรายที่ค้นพบว่าเงินในสกุล Ripple ของตัวเองนั้นหายไป

อย่างไรก็ตามอ้างอิงจากประกาศอย่างเป็นทางการของ Bithumb ทางเว็บไซต์ได้ทำการโยกข้อมูลทั้งหมดไปไว้ใน cold wallet แล้ว และจะทำการตรวจสอบและแก้ไขช่องโหว่ในระบบก่อนที่จะดำเนินการ refund เงินที่ถูกขโมยไปให้กับผู้ใช้งาน

ที่มา : cyberscoop

พบมัลแวร์แพร่กระจายผ่าน Facebook Messenger อีกครั้ง แต่ความสามารถเพิ่มขึ้น !!!

มัลแวร์ตัวนี้ถูกเรียกว่า "FacexWorm" คาดว่าน่าจะเป็นตัวเดียวกับมัลแวร์ที่เคยระบาดบน Facebook Messenger เมื่อเดือนสิงหาคมปีที่แล้ว เหยื่อจะพบว่ามี Link ถูกส่งมาทาง Facebook Messenger ซึ่งผู้ส่งอาจจะเป็นเพื่อนที่ติดมัลแวร์ตัวนี้แล้ว เมื่อกด link ดังกล่าว จะทำการเปิดหน้า YouTube ปลอมขึ้นมา หากใช้ Google Chrome จะมีการแจ้งให้ผู้ใช้ติดตั้ง extension ที่มีชื่อว่า "Koblo"(ชื่ออาจจะถูกเปลี่ยนได้ในอนาคต)

ความสามารถของมัลแวร์ตัวนี้คือ สามารถขโมย credentials บน website ที่มีการใช้งาน, สามารถขโมยเงินดิจิตอล(cryptocurrency) เมื่อมีการเข้าไปทำธุรกรรมต่างๆ(Trading) และสุดท้ายคือสามารถใช้เครื่องผู้ใช้งานในการขุดสกุลเงินดิจิตอล นอกจากนี้ยังสามารถใช้บัญชีผู้ใช้ของเหยื่อในการโจมตีผู้อื่นต่อไปได้อีกด้วย

วิธีป้องกันตนเอง
- ไม่กดเข้า link ใดๆก็ตามที่ไม่น่าเชื่อถือ แม้มาจากคนรู้จักก็ตาม
- หากพบว่าถูกส่งมาจากคนรู้จัก ควรแจ้งเจ้าของบัญชีนั้นๆ
- ไม่ติดตั้ง extension ใดๆก็ตามที่ไม่รู้จัก

ที่มา : Komando

วิเคราะห์การโจมตี
การโจมตีในครั้งนี้นั้นอาศัยเทคนิคซึ่งมีชื่อเรียกว่า BGP hijacking ซึ่งหมายถึงการลักลอบเปลี่ยนเส้นทางการส่งข้อมูลในอินเตอร์เน็ตด้วยการประกาศเส้นทางใหม่ออกมา

อ้างอิงจากการทำงานโดยทั่วไปของระบบอินเตอร์เน็ต การที่เว็บไซต์หรือแหล่งข้อมูลจากเชื่อมต่อหากันได้นั้นจะต้องรู้ที่อยู่และเส้นทางที่จะไปมาหาสู่กัน ที่อยู่สำหรับเรียกหาเว็บไซต์หรือแหล่งข้อมูลอื่นๆ นั้นถูกบันทึกและจัดการในรูปแบบต่างๆ ด้วยระบบ Domain Name System (DNS) ส่วนการเชื่อมต่อหากัน (routing) ถูกดำเนินการด้วยการใช้โปรโตคอลสำหรับกำหนดเส้นทาง เช่น BGP อุปกรณ์ซึ่งทำหน้าที่เป็นตัวกลางระหว่างเว็บไซต์หรือแหล่งข้อมูลนั้นจะมีการรับส่งข้อมูลอ้างอิงจากโปรโตคอล BGP ระหว่างกันเพื่อให้สุดท้ายแล้วอุปกรณ์ตัวกลางที่เชื่อมต่อกันจนเกิดเป็นอินเตอร์เน็ตทราบเส้นทางที่จะไปหาเว็บไซต์หรือแหล่งข้อมูลซึ่งที่ปลายทาง

เมื่อการแลกเปลี่ยนเส้นทางการเชื่อมต่อและระบบสำหรับอ้างอิงชื่อทำงานประสานกัน การทำงานจะปรากฎตามรูปที่ 1 กล่าวคือ เมื่อผู้ใช้มีการพยายามเข้าถึงแหล่งข้อมูลด้วยการระบุชื่อโดเมนเนม ชื่อโดเมนเนมดังกล่าวจะถูกนำไปค้นหมายเลขไอพีแอดเดรสซึ่งถูกจัดการด้วยระบบ DNS เมื่อเซิร์ฟเวอร์ DNS ได้ทำการค้นหาหมายเลขไอพีแอดเดรสซึ่งเป็นของโดเมนเนมที่ผู้ใช้งานต้องการจะเข้าถึงแล้ว เซิร์ฟเวอร์ DNS ก็จะมีการตอบข้อมูลหมายเลขไอพีแอดเดรสกลับไปเพื่อให้ผู้ใช้งานสามารถใช้หมายเลขไอพีแอดเดรสดังกล่าวในการเข้าถึงแหล่งข้อมูลที่ผู้ใช้งานต้องการเข้าถึงได้

อย่างไรก็ตามหากมีการพยายามเปลี่ยนแปลงเส้นทางขึ้นด้วยจุดประสงค์ที่มุ่งร้าย ผลลัพธ์จะเกิดขึ้นตามรูปที่ 2

แม้ว่าสิทธิ์ในการกำหนดเส้นทางการรับส่งข้อมูลบนอินเตอร์เน็ตนั้นจะถูกจำกัดให้กับผู้ให้บริการเพียงบางรายเพื่อป้องกันไม่ให้มีการประกาศเส้นทางที่ไม่ถูกต้อง ผู้ประสงค์ร้ายก็ยังคงมีวิธีการบางอย่างที่จะเลียนแบบหน้าที่ของผู้ให้บริการในการ "ประกาศเส้นทางใหม่" ​ได้ สำหรับในกรณีของการโจมตีเพื่อขโมยสกุลเงินดิจิตอลนั้น ผู้ประสงค์ร้ายได้ทำการประกาศเส้นทางการส่งข้อมูลใหม่ทางโปรโตคอล BGP เพื่อหลอกล่อให้ผู้ใช้งานเชื่อมต่อไปยังเซิร์ฟเวอร์ DNS ที่ผู้ประสงค์ร้ายควบคุมอยู่ ทำให้ทันทีที่ผู้ใช้งานทำการเชื่อมต่อไปยังโดเมนเนมของเว็บไซต์ที่ต้องการ ข้อมูลหมายเลขไอพีแอดเดรสที่ได้รับจึงเป็นหมายเลขไอพีแอดเดรสที่ผู้ประสงค์ร้ายต้องการให้ผู้ใช้งานเข้าถึง โดยในตัวอย่างนี้คือหน้าเว็บไซต์ปลอมของบริการ myetherwallet.

Imperva ค้นพบการโจมตีเซิร์ฟเวอร์ PostgreSQL เพื่อติดตั้งมัลแวร์การทำเหมืองข้อมูล cryptocurrency ซึ่งมัลแวร์นี้ถูกซ่อนไว้ในภาพดารา Hollywood ชื่อดังอย่าง Scarlett Johansson

ผู้บุกรุกทำการโจมตี PostgreSQL ผ่านการใช้ module ที่ได้รับการดัดแปลงสำหรับหลีกเลี่ยงการตรวจจับใน Metasploit เมื่อได้ shell ของเครื่องแล้ว สิ่งแรกที่ทำคือการตรวจสอบข้อมูลของ CPU และ GPU ว่าเหมาะสมต่อการทำ cryptocurrency mining ขนาดไหน จากนั้นจะทำการดาวน์โหลดภาพของ Scarlett Johansson จากเว็บไฟล์โฮสติ้ง เมื่อทำการตรวจสอบภาพดังกล่าวพบว่ามีข้อมูลไบนารีที่ผิดปกติซ่อนไว้

จากการตรวจสอบ wallet address ของแฮ็กเกอร์พบว่ามี coin มูลค่าประมาณ 90,000 เหรียญ ซึ่งหมายความว่าผู้โจมตีน่าจะมีการฝังโปรแกรมขุดไว้บนเซิร์ฟเวอร์หลายเครื่องแล้ว

แต่ทำไมผู้โจมตีใช้รูปภาพของคนดังเพื่อฝังมัลแวร์? นักวิจัยเชื่อว่าการทำเช่นนี้เป็นการหลอกลวงโปรแกรมรักษาความปลอดภัยเนื่องจากเทคนิคการผนวกรหัสไบนารีกับไฟล์รูปภาพหรือเอกสารที่แท้จริงทำให้ไฟล์ดูถูกต้องปลอดภัยและสามารถผ่านซอฟต์แวร์ป้องกันไวรัสส่วนใหญ่ได้

ที่มา : hackread

นักวิจัยด้านความปลอดภัยพบ Malware ตัวใหม่ชื่อว่า ComboJack ซึ่งมีความสามารถในการตรวจจับหากว่าผู้ใช้งานมีการก็อป cryptocurrency address เอาไว้ใน clipboard โดยจะนำ Address ที่ตัวเองสร้างขึ้นมาไปแทนที่

Malware ตัวนี้มีความคล้ายคลึงกับ Evrial และ CryptoShuffler แต่แตกต่างตรงที่สามารถรองรับ Cryptocurrencies ได้หลายตัวไม่ใช่แค่เพียง Bitcoin สืบเนื่องจากข้อมูลของ Palo Alto Network ตัว ComboJack สามารถตรวจจับได้ว่าเมื่อใดก็ตามที่มีการก็อป Address ของ Bitcoin, Litecoin, Ethereum, และ Monero รวมไปถึงระบบจ่ายเงินดิจิตอลตัวอื่นๆ ด้วย เช่น Qiwi, Yandex

ขั้นตอนการแพร่กระจายตัวของ ComboJack มีความซับซ้อน เริ่มจากการที่ Hacker ส่งอีเมลซึ่งอ้างว่ามีการสแกนข้อมูลพาสพอร์ทที่หายไปเอาไว้ ไฟล์แนบมาจะอยู่ในรูปแบบของไฟล์ PDF เมื่อผู้ใช้ทำการโหลดและเปิดไฟล์ PDF ตัวไฟล์จะทำการเปิด RTF file ซึ่งภายในมี Embedded HTA Object ที่จะพยายามเจาะช่องโหว่ของ DirectX (CVE-2017-8579) เมื่อทำการเจาะสำเร็จ HTA File ซึ่งอยู่ภายใน RTF File ซึ่งอยู่ภายในไฟล์ PDF อีกชั้นหนึ่ง จะสั่งรันคำสั่ง PowerShell Commands ที่จะโหลดไฟล์มาและสั่งรันตัวเอง เป็นไฟล์ประเภท Self-Extracting Executable (SFX) หลังจากนั้นตัว SFX จะโหลดและสั่งรัน "password-protected SFX" ที่จะทำการติดตั้งตัว ComboJack
ComboJack จะได้สิทธิ์ในการบูทเครื่อง และจะเริ่มทำการวสแกนข้อมูลที่มีการก็อปไว้ใน Windows Clipboard ทุกๆ ครึ่งวินาทีเผื่อว่ามีการก็อปข้อมูลใหม่ เมื่อไรก็ตามที่ผูใช้งานมีการก็อปข้อมูล(ในที่นี้หมายถึง Address ของ Cryptocurrency) ซึ่งตรงกับฐานข้อมูลของ ComboJack ตัว ComboJack จะแทนที่ Address เก่าที่ผู้ใช้ก็อปไว้ด้วย Address ใหม่ที่สร้างขึ้นเองจากฐานข้อมูล

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยได้ค้นพบเว็บไซต์ WordPress กว่า 2,000 แห่ง ถูกฝัง keylogger เพื่อขโมยข้อมูลการ Login และติดตั้ง cryptojacking script เพื่อทำการขุด Cryptocurrency และ Monero

ผู้โจมตีใช้ช่องโหว่ของเว็บไซต์ WordPress ที่ไม่ได้อัปเดตเป็นรุ่นล่าสุด หรือใช้ Theme หรือ Plugin ที่เป็นเวอร์ชั่นเก่า เพื่อฝังโค้ดที่เป็นอันตรายโค้ดลงไปใน CMS โค้ดดังกล่าวจะประกอบด้วยสองส่วน ส่วนแรก คือ ส่วนของหน้า Admin Login เข้าระบบ จะมีการโหลด Keylogger ของโฮสต์ ส่วนที่ 2 คือ ส่วนของหน้าไซต์ จะทำการฝัง Coinhive ในเบราเซอร์เพื่อทำการขุด cryptocurrency กับขุด Monero โดยใช้ CPU ของผู้เข้าชมเว็บไซต์

การโจมตีดังกล่าวถูกพบตั้งแต่ปี 2017 มีเว็บไซต์ WordPress กว่า 5,500 รายถูกโจมตี และสามารถหยุดการโจมตีนี้ได้โดยมีการสั่งปิดโดเมนที่ชื่อว่า cloudflare.

เว็บไซต์แลกเปลี่ยนสกุลเงินออนไลน์เสมือนสัญชาติญี่ปุ่น Coincheck แจ้งเตือนการถูกแฮกและขโมยเงินในสกุล NEM token ในระบบซึ่งมีมูลค่ามากกว่า 500 ล้านดอลลาร์สหรัฐฯ ยังไม่สามารถระบุวิธีการเข้าถึงและโจมตีได้ในขณะนี้

Coincheck ได้ประกาศปิดการทำธุรกรรมใดๆ เมื่อช่วงสัปดาห์ที่ผ่านมาหลังจากตรวจพบการบุกรุกเข้าสู่ระบบ เข้าถึงข้อมูลของบัญชีของผู้ใช้งานและนำเงินในสกุล NEM ออกจากระบบซึ่งมีมูลค่ามากกว่า 500 ล้านดอลลาร์สหรัฐฯ ซึ่งนับว่าเป็นการจารกรรม cryptocurrency ครั้งใหญ่ที่สุดในโลก

หลังจากตรวจพบการจารกรรม Coincheck ได้ประกาศแก่ผู้ใช้งานที่ได้รับผลกระทบว่า ทาง Coincheck จะทำการคืนเงินที่ถูกจารกรรมไปด้วยมูลค่า 90% ของมูลค่าเดิมแก่ผู้ใช้งาน และจะดำเนินการสอบสวนร่วมกับทางการญี่ปุ่นเกี่ยวกับการจารกรรมดังกล่าวเพื่อหาตัวผู้กระทำผิดต่อไป

ที่มา : BLEEPINGCOMPUTER

Noah Dinkin, CEO ของ Stensul พบว่ามีการฝังสคริปต์ coinhive สำหรับใช้ในการขุดสกุลเงินดิจิตอล หรือ "Cryptocurrency" ใน Browser ที่ใช้งานบนเครื่องของลูกค้า เมื่อมีการใช้งาน Wi-fi ของ Starbucks ในสาขา Buenos Aires

Reggie Borges, โฆษกของ Starbucks ได้ให้สัมภาษณ์เกี่ยวกับเหตุการณ์ที่เกิดขึ้นนี้ว่า "ปัญหาด้านความปลอดภัยนี้เกิดจากผู้ให้บริการอินเตอร์เน็ต ไม่ได้เกี่ยวข้องกับ Starbucks และหลังจากทราบปัญหา ทาง Starbucks ก็ได้ติดต่อผู้ให้บริการอินเทอร์เน็ตดังกล่าว เพื่อดำเนินการแก้ไขจนสามารถกลับมาใช้งานโดยปลอดภัยแล้ว"

ทั้งนี้การฝังสคริปต์สำหรับการขุดสกุลเงินดิจิตอลบนเครื่องของผู้ใช้งานที่มีการต่อกับ Wi-fi สาธารณะ อย่างเช่นในร้านกาแฟที่มีผู้ใช้งานมากมายอย่าง Starbucks นี้ ถือว่าเป็นวิธีการที่ค่อนข้างฉลาดมาก เนื่องจากจะสามารถขุดได้ปริมาณค่อนข้างมาก แต่ก็จะถูกสังเกตเจอได้ง่ายขึ้นตามไปด้วย และถือว่าเป็นวิธีการที่ค่อนข้างน่ารังเกียจ เนื่องจากจะไปสร้างความเดือดร้อนให้แก่เจ้าของร้าน หรือกิจการนั้นๆด้วย ซึ่งค่อนข้างที่จะไม่เหมาะสม

ที่มา: motherboard