จากบล็อคของ Seculert ได้ระบุว่ามีการค้นพบมัลแวร์ตัวใหม่ที่ชื่อ Dexter โดยมัลแวร์ตัวนี้ได้มีการแพร่กระจายอยู่ในระบบ Point-of-sale (POS) ซึ่งเป็นระบบซื้อขายสินค้าโดยการแสกนบาร์โค้ดสินค้า มัลแวร์ตัวนี้ได้มีการแพร่กระจายอยู่ในระบบ POS มากกว่า 40 ประเทศโดยบริษัทที่เป็นเป้าหมายจะเป็น บริษัทค้าปลีก, โรงแรม, ร้านอาหาร และ ผู้ให้บริการลานจอดรถ ประเทศที่มีอัตราการแพร่สูงสุด 3 อันดับแรกได้แก่ 1. ประเทศสหรัฐอเมริกา คิดเป็น 30 เปอร์เซ็นต์ 2. ประเทศอังกฤษ คิดเป็น 19 เปอร์เซ็นต์ และ 3. ประเทศแคนาดา คิดเป็น 9 เปอร์เซ็นต์ นี่ไม่ใช่ครั้งแรกที่มีการโจมตีระบบ POS โดยก่อนหน้านี้ก็มีมัลแวร์ที่ชื่อ cybercrooks ได้เล่นงานระบบ POS เช่นกัน  มัลแวร์ Dexter มีการทำงานต่างจากมัลแวร์ cybercrooks ตรงที่มัลแวร์ cybercrooks จะใช้ช่องโหว่ Remote Desktop exploits เข้ามาที่เครื่องเป้าหมายเพื่อจับรูปภาพหน้าจอของเครื่อง POS ที่มีข้อมูลบัตรเครดิต แต่มัลแวร์ Dexter จะส่งรายการ active processes ของเครื่องเป้าหมายไปที่ Command and Control (C&C) Server ถ้าเซอเวอร์ดูรายการ active processes ของเครื่องเป้าหมายแล้วเจอ Process ที่เป็นของโปรแกรม POS ที่เซอเวอร์รู้จัก เซอเวอร์จะสั่งให้มัลแวร์ Dexter ก็อปปี้ข้อมูลความจำของ Process นั้นซึ่งจะมีข้อมูลของบัตรเครดิตด้วย หลังจากก็อปปี้แล้วก็จะส่งข้อมูลเหล่านั้นไปยัง C&C Server ตอนนี้ยังไม่รู้ว่ามัลแวร์ Dexter ใช้วิธีการไหนในการแพร่กระจายไปยังเครื่องที่ลงระบบ POS เอาไว้ ในเดือนพฤศจิกายนที่ผ่านมาได้มีแฮกเกอร์ชาวโรมาเนียถูกจับและตั้งข้อหาเนื่องจากพวกเขาได้แฮกเข้าไปในระบบ POS ของร้าน Subway sandwich จำนวน 150 ร้านในสหรัฐอเมริกาซึ่งจากการแฮกครั้งนี้ทำให้พวกเขาได้เงินไปถึง 10 ล้านดอลล่าห์ในระยะเวลา 2 ปีที่พวกเขาทำการแฮก

ที่มา : theregister

TrendMicro ได้ค้นพบ Reveton Ransomware(มัลแวร์ที่จะล็อคเครื่องของเหยื่อให้ใช้งานไม่ได้และจะหลอกให้เหยื่อจ่ายเงินถ้าต้องการปลดล็อคเครื่อง) เวอร์ชั่นใหม่โดย Ransomware เวอร์ชั่นใหม่นี้จะเพิ่มคลิปเสียงเข้ามาเพื่อหลอกล่อให้เหยื่อจ่ายเงินและเสียงที่พูดจะแตกต่างไปตามประเทศที่เครื่องของเหยื่อตั้งค่าไว้ ซึ่งจะต่างกับเวอร์ชั่นก่อนหน้านี้ที่แค่โหลดไฟล์ .WAVE ลงมาที่เครื่องของเหยื่อเท่านั้น

ที่มา : ehackingnews

จากการวิเคราะห์บอทเนทที่ชื่อว่า Skynet ของนักวิจัยของ Rapid7 ได้อธิบายว่าบอทเนทตัวนี้มีการติดต่อระหว่างเครื่อง Command and Control Server กับเครื่อง Zombie(เหยื่อ) ผ่านทาง Tor Network มัลแวร์ Skynet มีขนาดประมาณ 15 MB, มีโปรแกรมแอนตี้ไวรัสเพียงแค่ 7 โปรแกรมจาก 42 โปรแกรมเท่านั้นที่สามารถตรวจจับได้ มัลแวร์ Skynet จะประกอบไปด้วย 1.โปรแกรมบอทเนท Zeus ที่ได้รับการปรับแต่งมา 2. Tor client สำหรับวินโดว์ 3. โปรแกรม CGMiner Bitcoin mining สำหรับการทำ Bitcoins mining 4. ไฟล์ OpenCL.dll ซึ่งถูกใช้โดย CGMiner โดยใช้สำหรับการคำนวณหาค่า Hash เมื่อมัลแวร์ถูกรันขึ้นมามันจะก็อปปี้ตัวเองไปวางไว้ในพาธ AppData แบบสุ่มโดยจะทำเสมือนตัวเองเป็น Internet Explorer หรือเป็น svchost.

จากการวิเคราะห์บอทเนทที่ชื่อว่า Skynet ของนักวิจัยของ Rapid7 ได้อธิบายว่าบอทเนทตัวนี้มีการติดต่อระหว่างเครื่อง Command and Control Server กับเครื่อง Zombie(เหยื่อ) ผ่านทาง Tor Network มัลแวร์ Skynet มีขนาดประมาณ 15 MB, มีโปรแกรมแอนตี้ไวรัสเพียงแค่ 7 โปรแกรมจาก 42 โปรแกรมเท่านั้นที่สามารถตรวจจับได้ มัลแวร์ Skynet จะประกอบไปด้วย 1.โปรแกรมบอทเนท Zeus ที่ได้รับการปรับแต่งมา 2. Tor client สำหรับวินโดว์ 3. โปรแกรม CGMiner Bitcoin mining สำหรับการทำ Bitcoins mining 4. ไฟล์ OpenCL.dll ซึ่งถูกใช้โดย CGMiner โดยใช้สำหรับการคำนวณหาค่า Hash เมื่อมัลแวร์ถูกรันขึ้นมามันจะก็อปปี้ตัวเองไปวางไว้ในพาธ AppData แบบสุ่มโดยจะทำเสมือนตัวเองเป็น Internet Explorer หรือเป็น svchost.

Rootkit ที่ชื่อว่า “Necurs” ซึ่งในเดือนพฤศจิกายนที่ผ่านมา พบว่ามีเครื่องคอมพิวเตอร์กว่า 83,427 เครื่องติด Rootkit ตัวนี้ โดย Rootkit ตัวนี้สามารถทำงานได้ทั้งใน Windows แบบ 32 บิทและ 64 บิท แพร่กระจายผ่านทางเว็ปไซต์ที่มีการฝัง Blackhole exploit kit เอาไว้ โดยเจ้าของ Rootkit ดังกล่าวสามารถเข้าไปยังเครื่องของเหยื่อเพื่อตรวจดูกิจกรรมต่างๆของเหยื่อ, ส่งสแปมเมล์หรือติดตั้ง scareware (มัลแวร์ประเภทที่ข่มขู่เหยื่อให้จ่ายค่าปรับหรือให้โอนเงินเพื่อเหตุผลอย่างใดอย่างหนึ่งเพื่อแก้ไขสิ่งผิดปกติที่มัลแวร์แจ้งให้เหยื่อทราบ) นอกจากนี้ Rootkit ตัวนี้ยังสามารถหยุดการทำงานของโปรแกรมด้านความปลอดภัยบนเครื่องของเหยื่อได้อีกด้วย Rootkit ดังกล่าวถูกตั้งชื่อว่า “Trojan:Win32/Necurs” และมันจะดาวน์โหลดตัวมันเองไปเก็บไว้ในโฟลเดอร์ "%windir%Installer" ของเครื่องเหยื่อ และยังพบอีกว่ามัลแวร์บางตัวในตระกูลนี้สามารถฝังโค้ดของมันลงไปทุกๆ Process ที่ทำงานอยู่ หรือที่รู้จักกันในชื่อ “dead byte” ส่งผลให้เครื่องของเหยื่อต้อง Restart ตัวเอง และยังมีฟีเจอร์ที่ป้องกันตัวเองเพื่อไม่ให้ถูกลบออกจากเครื่องเหยื่อ โดยมี Necurs Driver ที่ป้องกันการกระทำใดๆบนเครื่องเหยื่อที่พยายามกำจัดองค์ประกอบของ Rootkit ตัวนี้

ที่มา : thehackernews

บริษัทผลิตน้ำมันรายใหญ่ที่สุดของประเทศซาอุดิอาระเบีย “Aramco” ออกมาเปิดเผยว่ากรณีที่เกิดการโจมตี Cyber Attack ในเดือนสิงหาคมที่ผ่านมา ซึ่งส่งให้เครื่องคอมพิวเตอร์กว่า 30,000 เครื่อง ติดไวรัสเพื่อเป้าหมายของแฮกเกอร์ท่ต้องการหยุดการผลิตน้ำมันและก๊าซของบริษัทที่ส่งออกน้ำมันรายใหญ่นี่เอง

โดยการโจมตีดังกล่าวทำโดยกลุ่มแฮกเกอร์จากหลายๆประเทศเท่านั้น โดยมีชื่อกลุ่มว่า “Cutting Sword of Justice” ที่ออกมาอ้างความรับผิดชอบ ไม่เกี่ยวกับพนักงานหรือผู้รับจ้างของ Aramco เป้าหมายของการโจมตีดังกล่าวคือต้องการจะหยุดการส่งออกน้ำมันของบริษัทไปสู่ตลาดทั้งภายในและภายนอกประเทศ ซึ่งไม่สำเร็จ จากคำกล่าวของรองประธานบริษัท Aramco

รายละเอียดของการโจมตีดังกล่าวใช้คอมพิวเตอร์ไวรัสที่รู้จักกันในชื่อ Shamoon ซึ่งแพร่กระจายไปยังคอมพิวเตอร์ในเครื่อข่ายของ Aramco และลบข้อมูลจากฮาร์ดไดร์ฟของคอมพิวเตอร์เหล่านั้น แต่จากเหตุการณ์นี้มีผลกระทบเพียงคอมพิวเตอร์ของออฟฟิตเท่านั้น ไม่ได้มีผลกระทบกับระบบที่ส่งผลต่อการดำเนินงาน

ที่มา : thehackernews

บริษัทด้านความปลอดภัย “ReVuln” โพสวีดีโอแสดงตัวอย่างการโจมตีบน Smart TV ของ Sumsang ที่สามารถเข้าถึงสิทธิ์ Root ได้ โดยมีช่องโหว่ที่สามารถเข้าไปลบข้อมูลไฟล์จากส่วนที่เก็บข้อมูลในอุปกรณ์ได้

วีดีโอ Demo ดังกล่าวจะแสดงให้เห็นถึงช่องโหว่ที่เป็น 0-day ซึ่งสามารถขโมยข้อมูลส่วนตัว, เข้าถึงสิทธิ์ Root และสามารถ monitor และเข้าควบคุมอุปกรณ์ดังกล่าวได้ ซึ่งทางทีมงานยังเปิดเผยอีกว่า พวกเขาได้ทดสอบช่องโหว่ดังกล่าวกับ Smart TV ของ Samsung หลายๆรุ่น รวมไปถึงรุ่นล่าสุดที่ใช้ Firmware ตัวล่าสุดอีกด้วย

ทีึ่มา : thehackernews

แฮกเกอร์ชาวรัสเซียแฮกข้อมูลศูนย์พยาบาลของ Gold Coast ที่ประเทศออสเตรเลีย โดยได้ข้อมูลการรักษาพยาบาลผู้ป่วยไปทำการเข้ารหัสแล้วทำการเรียกค่าไถ่เพื่อแลกกับการถอดรหัสข้อมูลออกมาเป็นเงิน 4,000 เหรียญดอลล่าร์

ที่ีมา : hack in the box

นักวิจัยของ Symantec ได้ค้นพบมัลแวร์ตัวใหม่ที่ชื่อ W32.Narilam ซึ่งมัลแวร์ตัวนี้มีเป้าหมายอยู่ที่การโจมตีระบบฐานข้อมูลของบริษัทที่ใช้เป็น Microsoft SQL database และมีการเชื่อมต่อแบบ OLEDB โดยมัลแวร์ตัวนี้จะทำการเปลี่ยนแปลงและลบข้อมูลในระบบฐานข้อมูลของบริษัท มัลแวร์ตัวนี้มีการระบาดในประเทศทางแถบตะวันออกกลาง และมีการระบาดอยู่ในสหรัฐอเมริกาและอังกฤษในจำนวนเล็กน้อย มัลแวร์ตัวนี้จะค้นหาชื่อตารางหรือวัตถุในฐานข้อมูลด้วยคำต่อไปนี้ alim, maliran, shahd, Asnad.

เว็ปไซต์ Piwik ซึ่งเป็นเว็ปไซต์ของโปรแกรม Open source ที่ใช้ในการสแกนและวิเคราะห์เว็ปไซต์ได้ถูกแฮกเกอร์อัพโหลดไฟล์ Zip ที่มีการฝังมัลแวร์ Backdoor ไว้ขึ้นไปบนเว็ปไซต์ให้คนทั่วไปดาวโหลด ทางเว็ปไซต์ได้แนะนำให้คนที่ดาวโหลดไฟล์ Piwik update 1.9.2 ตั้งแต่เวลา 15:43 UTC ถึง 23:59 UTC ในวันที่ 26/11/12 ให้เข้าไปเช็คไฟล์ piwik/core/Loader.