Emotet แพร่กระจายผ่านแบบฟอร์มภาษี W-9 ปลอมจาก IRS

แคมเปญฟิชชิ่ง Emotet รูปแบบใหม่ ที่มุ่งเป้าไปยังผู้เสียภาษีในสหรัฐฯ โดยการปลอมแปลงเป็นแบบฟอร์ม W-9 ที่ถูกส่งโดยหน่วยงาน Internal Revenue Service และบริษัทของเหยื่อ

Emotet เป็นมัลแวร์ที่มักแพร่กระจายผ่านทางอีเมลฟิชชิ่ง โดยในอดีตมีการใช้งานเอกสาร Microsoft Word และ Excel ที่มีการฝังมาโครไว้เพื่อทำการติดตั้งมัลแวร์

อย่างไรก็ตาม หลังจากที่ Microsoft ได้ทำการแก้ไขโดยการบล็อกมาโครเป็นค่าเริ่มต้นบน office ทาง Emotet ก็เปลี่ยนไปใช้ไฟล์ Microsoft OneNote ที่มีการฝังสคริปต์แทน เพื่อทำการติดตั้งมัลแวร์

เมื่อ Emotet ถูกติดตั้งแล้ว มัลแวร์จะทำหน้าที่ขโมยอีเมลของเหยือเพื่อใช้ในการโจมตีแบบ reply-chain, ส่งอีเมลสแปมเพิ่มเติม รวมถึงติดตั้งมัลแวร์อื่น ๆ เพื่อเปิดช่องทางการเข้าถึงระบบของเหยื่อสำหรับกลุ่มผู้โจมตีอื่น ๆ หรือกลุ่ม Ransomware

Emotet เตรียมพร้อมสำหรับช่วงเก็บภาษีของสหรัฐฯ

การทำงานของ Emotet มักใช้แคมเปญฟิชชิ่งที่มีธีมให้สอดคล้องกับวันหยุดพิเศษ และกิจกรรมทางธุรกิจที่เกิดขึ้นทุกปี เช่น ช่วงเวลาการเก็บภาษีของสหรัฐฯ ในปัจจุบัน

ในแคมเปญฟิชชิ่งล่าสุด (more…)

Emotet กลับมาอีกครั้ง ภายหลังหายไปกว่า 3 เดือน [EndUser]

Cofense บริษัทรักษาความปลอดภัยทางไซเบอร์ และกลุ่ม Emotet-tracking Cryptolaemus ได้แจ้งเตือนการกลับมาอีกครั้งของ Emotet หลังจากหายไปนานกว่า 3 เดือน

Emotet เป็นมัลแวร์ที่แพร่กระจายผ่านทางอีเมลที่แนบไฟล์ Microsoft Word และ Excel ที่เป็นอันตราย เมื่อเป้าหมายเปิดเอกสารเหล่านี้ก็จะทำการเรียกใช้งานมาโครที่เป็นอันตราย โดย Emotet DLL จะถูกดาวน์โหลดลงในหน่วยความจำ หลังจากนั้นก็จะทำการหยุดการทำงาน และรอคำสั่งจาก command and control (C2) server โดย Emotet มีความสามารถในการขโมยข้อมูลบนเครื่องเป้าหมาย รวมไปถึงเรียกใช้เพย์โหลดเพิ่มเติม เช่น Cobalt Strike หรือ Ransomware รวมถึงยังเป็นมัลแวร์ที่มีการแพร่กระจายมากที่สุดในอดีต แต่กลับหายไปเรื่อย ๆ ครั้งสุดท้ายที่พบคือในเดือนพฤศจิกายน 2022 เพียงสองสัปดาห์เท่านั้น (more…)

มัลแวร์ Emotet กลับมาอีกครั้ง ด้วยเทคนิคการหลบเลี่ยงการตรวจจับแบบใหม่

มัลแวร์ Emotet ยังคงมีการปรับปรุงเทคนิคการโจมตีใหม่อย่างต่อเนื่อง ในขณะเดียวกันก็ยังคงทำหน้าที่เป็นช่องทางสำหรับติดตั้งมัลแวร์ตัวอื่น ๆ ด้วย เช่น Bumblebee และ IcedID

Malware-as-a-service (MaaS) ยังคงเป็นบริการยอดนิยมสำหรับผู้โจมตีในการขโมยข้อมูลสำคัญออกไป ภายหลังจากการเข้าควบคุมเครื่องเหยื่อได้สำเร็จ และล่าสุดมัลแวร์ยอดนิยมอย่าง Emotet มีการเพิ่มโมดูลใหม่ ซึ่งประกอบด้วย Spreader SMB ที่ออกแบบมาเพื่อการทำ lateral movement โดยการใช้ชื่อผู้ใช้ และรหัสผ่านที่ hard-coded ไว้ และ credit card stealer ที่มุ่งเป้าไปที่การขโมยข้อมูลบนเว็ปเบราว์เซอร์ Google Chrome (more…)

Emotet Malware กลับมาอยู่ภายใต้ความสนใจของนักวิจัยอีกครั้ง

Emotet เป็น Trojan Banking ที่เคยประสบความสำเร็จ และได้รับความนิยมอย่างมากมาก่อน ซึ่งในช่วงต้นปี 2021 นั้น มีการรณรงค์ให้มีการป้องกัน Malware ดังกล่าว ทำให้ Campaign ของการโจมตีหยุดชะงักไปช่วงหนึ่ง แต่ Emotet ก็กลับมาอีกครั้งในปีเดียวกัน พร้อมกับเทคนิคหลาย ๆ อย่างแบบเดิม รวมถึงเทคนิคการใช้ Auto_Open Macros ภายใน XLS document ที่พบมากขึ้นในช่วงต้นเดือนพฤศจิกายน 2022 ที่ผ่านมานี้ ซึ่งกำลังถูกแพร่กระจายไปยังหลาย ๆ ประเทศทั่วโลก

เทคนิคการโจมตี

ในช่วงเริ่มต้นการโจมตี Emotet จะมีการส่งไฟล์ MS Office ที่เป็นอันตราย (maldocs) ผ่านทาง Phishing Email โดยในการส่ง Malware จะมีการแนบไฟล์ XLS มากับอีเมลโดยตรง หรือมาในรูปแบบ file Zip ซึ่งภายใน Phishing Email นั้นจะไม่ค่อยมีเนื้อหาอะไร โดยส่วนใหญ่ที่พบจะมีเพียงชื่อไฟล์ และรหัสผ่านเท่านั้น
โดยในการส่ง Phishing เข้ามา มักจะมาในรูปแบบของผู้ส่งใหม่ หรืออาจจะมาในรูปแบบ Reply email จากเหยื่อที่ถูกโจมตีสำเร็จก่อนหน้า ตามภาพด้านล่าง

จากนั้น Emotet จะโน้มน้าวให้เหยื่อคัดลอกตัว maldoc นี้ ไปยังโฟลเดอร์ที่ได้รับอนุญาตเป็นพิเศษ ที่ไม่ได้มีการเปิดใช้งานการป้องกัน Macro ไว้ เพื่อหลีกเลี่ยงการตรวจจับจาก Microsoft’s protection ดังรูปด้านล่าง ที่จะมีการแนะนำให้ย้ายไฟล์ดังกล่าวไปโฟลเดอร์ที่ Emotet ได้ระบุไว้

และหากเหยื่อหลงเชื่อเอาไฟล์ดังกล่าวไปไว้ตามคำแนะนำของ Emotet แล้ว หลังจากเปิดไฟล์ขึ้นมา จะไม่มีข้อความเกี่ยวกับ Macro ที่ถูกบล็อคอยู่อีกต่อไป ซึ่งหลังจากนี้ไฟล์ที่เปิดขึ้นมาจะไม่มีข้อจำกัดใด ๆ ในการรัน Macro

หลังจากเปิดเอกสารขึ้นมาแล้วอาจจะดูเหมือนว่าภายในเอกสารนั้นไม่มีอะไร แต่ว่าเบื้องหลังนั้นมี VBA macro ซ่อนอยู่ ซึ่งจะมีที่อยู่ของ C2 Server ของ Emotet อยู่ ซึ่งสามารถตรวจสอบได้โดยการยกเลิกการซ่อน sheets (Un-hiding) และคัดลอกข้อความไปวางบน Text Editor เราก็จะเห็นเนื้อหาที่ซ่อนอยู่บน sheets นั้น ๆ ได้ตามภาพด้านล่าง

หลังจากที่เปิดไฟล์เอกสารขึ้นมา จะมีการ request ไปยัง 1 ใน URL จากรูปด้านบน ซึ่งจะเห็นว่าวิธีการดังกล่าวจะเหมือนกับวิธีของ Malware ตัวอื่น ๆ ที่ใช้ในอดีต เช่น Qakbot ซึ่งจะใช้ไฟล์ XLSB และเมื่อมีการเชื่อมต่อไปยังปลายทางข้างต้นแล้ว มันจะทำการดาวน์โหลดไฟล์ตามชื่อในภาพด้านบน ไปวางไว้บน C:\\Window\System32

จาก TimeStamp จะพบว่าไฟล์เอกสารพวกนี้ถูกสร้างขึ้นในช่วงต้นเดือนพฤศจิการยน 2022 ที่ผ่านมา ดังเช่นตัวอย่างของ maldoc ด้านล่างที่ได้จัดกลุ่มตามช่วงเวลาที่สร้างขึ้นมา

แนวทางการป้องกัน

พิจารณาการเพิ่ม IOC บนอุปกรณ์ Firewall
ติดตั้ง Anti-Virus หรือ Endpoint Protection บนเครื่องคอมพิวเตอร์ภายในองค์กรเพื่อป้องกันการเปิดไฟล์ที่เป็นอันตราย
พิจารณาการจัด Awareness Training ให้กับพนักงานภายในองค์กร

ที่มา : blog.

Emotet Botnet เริ่มถูกใช้ในการโจมตีโดยกลุ่ม Quantum และ BlackCat Ransomware

มัลแวร์ Emotet กำลังถูกนำมาใช้โดยกลุ่ม ransomware-as-a-service (RaaS) ซึ่งรวมไปถึงกลุ่ม Quantum และ BlackCat หลังจากที่ Conti ยกเลิกปฏิบัติการไปในปีนี้

Emotet เริ่มจากการเป็นโทรจันเพื่อใช้โจมตีธนาคารในปี 2557 แต่การอัปเดตครั้งล่าสุดทำให้มันกลายเป็นภัยคุกคามที่มีความรุนแรงสูงซึ่งสามารถใช้เพื่อดาวน์โหลดเพย์โหลดอื่น ๆ ลงในเครื่องของเหยื่อ ซึ่งจะทำให้ผู้โจมตีสามารถควบคุมเครื่องของเหยื่อจากระยะไกลได้

AdvIntel รายงานว่า ตั้งแต่เดือนพฤศจิกายน พ.ศ. 2564 จนถึงมิถุนายน พ.ศ. 2565 Emotet ถือเป็นเครื่องมือโดยเฉพาะของกลุ่ม Conti ransomware แต่หลังจากการยุติปฏิบัติการไป Emotet ก็ถูกใช้เป็นเครื่องมือจากกลุ่ม Quantum และ BlackCat ransomware ในการโจมตีแทน

การโจมตีที่เกี่ยวข้องกับการใช้ Emotet หรือที่เรียกว่า SpmTools ถูกใช้เป็นจุดเริ่มต้นเพื่อติดตั้ง Cobalt Strike ซึ่งจะถูกใช้เป็นเครื่องมือสำหรับการโจมตีของแรนซัมแวร์

Quantum เป็นกลุ่มย่อยของ Conti ซึ่งในช่วงหลายเดือนที่ผ่านมาได้ใช้ call-back phishing ที่เรียกว่า BazaCall หรือ BazarCall เพื่อโจมตีเครือข่ายเป้าหมาย

AdvIntel ระบุว่าตรวจพบการแพร่กระจายของ Emotet มากกว่า 1,267,000 รายทั่วโลกตั้งแต่ต้นปีซึ่งสอดคล้องกับการรุกรานยูเครนของรัสเซีย

การแพร่กระจายเพิ่มขึ้นเป็นครั้งที่สองระหว่างเดือนมิถุนายนถึงกรกฎาคม เนื่องจากมีการใช้งานโดยกลุ่มแรนซัมแวร์ Quantum และ BlackCat รายงานโดยบริษัทรักษาความปลอดภัยในโลกไซเบอร์แสดงให้เห็นว่าประเทศที่เป็นเป้าหมายของ Emotet มากที่สุดคือสหรัฐอเมริกา, รองลงมาคือฟินแลนด์, บราซิล, เนเธอร์แลนด์ และฝรั่งเศส

ก่อนหน้านี้ ESET รายงานการตรวจพบ Emotet เพิ่มขึ้น 100 เท่าในช่วงสี่เดือนแรกของปี 2565 เมื่อเทียบกับปีก่อน Check Point บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอลระบุว่า Emotet จัดอยู่ในลำดับที่ 5 ในรายการมัลแวร์ที่แพร่กระจายมากที่สุดในเดือนสิงหาคม 2565 โดยอันดับแรกจะเป็น FormBook, Agent Tesla, XMRig และ GuLoade ตามลำดับ

ที่มา: thehackernews.

มัลแวร์ Emotet สามารถขโมยข้อมูลบัตรเครดิตจากผู้ใช้ Google Chrome ได้

Emotet กำลังพยายามขโมยข้อมูลบัตรเครดิตจากเหยื่อด้วยโมดูลที่ออกแบบมาเพื่อหาข้อมูลบัตรเครดิตที่ถูกเก็บไว้ในโปรไฟล์ของผู้ใช้ Google Chrome

หลังจากขโมยข้อมูลบัตรเครดิต (เช่น ชื่อ เดือน และปีที่หมดอายุ หมายเลขบัตร) มัลแวร์จะส่งข้อมูลกลับไปยัง C2 Server คนละที่กับ C2 Server ที่ใช้รับคำสั่งสำหรับการทำงานของโมดูลที่ใช้ขโมยข้อมูล

"เมื่อวันที่ 6 มิถุนายน Proofpoint เราสังเกตเห็นว่าโมดูลใหม่ของ #Emotet ถูกใช้จาก E4 Botnet" ทีมงาน Proofpoint Threat Insights กล่าว

น่าแปลกใจมากที่โมดูลที่ใช้สำหรับขโมยข้อมูลบัตรเครดิต มุ่งเป้าหมายไปที่เบราว์เซอร์ Chrome เท่านั้น หลังจากได้ข้อมูลของบัตรเครดิตแล้ว ข้อมูลจะถูกส่งออกไปยัง C2 Server คนละที่กับ C2 Server ที่ใช้รับคำสั่งในการขโมยข้อมูล"

การเปลี่ยนแปลงพฤติกรรมนี้เกิดขึ้นหลังจากที่มีการพบการโจมตีที่สูงขึ้นจาก Emotet ในเดือนเมษายน และยังมีการเปลี่ยนไปใช้ตัว loader เป็น 64 บิต ตามที่กลุ่มนักวิจัยด้านความปลอดภัยของ Cryptolaemus พบ

หนึ่งสัปดาห์ต่อมา Emotet ก็เริ่มใช้ไฟล์ช็อตคัทของ Windows (.LNK) เพื่อรันคำสั่ง PowerShell เพื่อติดตั้งมัลแวร์ แทนที่จะใช้มาโครของ Microsoft Office เหมือนเดิม เนื่องจาก Microsoft ตั้งค่าปิดการใช้งานมาโครไว้เป็นค่าเริ่มต้นตั้งแต่ต้นเดือนเมษายน 2022

การฟื้นคืนชีพของ Emotet malware

Emotet ได้รับการพัฒนา และนำไปใช้ในการโจมตีเพื่อขโมยข้อมูลการทำธุรกรรมทางธนาคารในปี 2014 โดยได้พัฒนาเป็น botnet ที่กลุ่ม TA542 (หรือที่รู้จักว่า Mummy Spider) ใช้เป็น second-stage เพย์โหลด นอกจากนี้ยังถูกใช้ในการขโมยข้อมูลของผู้ใช้งาน ค้นหาช่องโหว่บนเครือข่ายของเหยื่อ และแพร่กระจายไปยังเครื่องต่างๆที่มีช่องโหว่บนระบบของเหยื่อ

Emotet ยังเป็นที่รู้จักในเรื่องการแอบติดตั้งมัลแวร์ Qbot และ Trickbot บนเครื่องของเหยื่อ ซึ่งจะใช้สำหรับดาวน์โหลดมัลแวร์อื่นๆเพิ่มเติม เช่น Cobalt Strike beacon และ ransomware อย่างเช่น Ryuk และ Conti

เมื่อต้นปี 2564 ระบบของ Emotet ถูกปิดการทำงานจากการบังคับใช้กฎหมายระหว่างประเทศ ซึ่งนำไปสู่การจับกุมผู้ที่เกี่ยวข้อง 2 ราย โดยหน่วยงานบังคับใช้กฏหมายของเยอรมนีใช้ระบบของ Emotet เอง เพื่อสั่งการถอนการติดตั้งมัลแวร์จากอุปกรณ์ต่างๆที่ Emotet ยึดครองไว้ทั้งหมดเมื่อวันที่ 25 เมษายน 2021

แต่ Emotet กลับมาออนไลน์อีกครั้งในเดือนพฤศจิกายน 2021 โดยใช้ระบบที่มีอยู่แล้วของ TrickBot โดยถูกพบจากกลุ่มนักวิจัยจาก Cryptolaemus บริษัทรักษาความปลอดภัยคอมพิวเตอร์ GData และบริษัทรักษาความปลอดภัยในโลกไซเบอร์ Advanced Intel ซึ่งตรวจพบมัลแวร์ TrickBot ถูกใช้เพื่อแอบติดตั้ง Emotet

ตามที่ ESET เปิดเผยเมื่อวันอังคารที่ผ่านมา Emotet มีปฏิบัติการเพิ่มขึ้นอย่างมากตั้งแต่ต้นปี "ด้วยการโจมตีที่เพิ่มขึ้นมากกว่า 100 เท่าเมื่อเทียบกับ T3 2021"

ที่มา: bleepingcomputer

43% ของมัลแวร์ถูกดาวน์โหลดผ่าน Malicious ไฟล์ของ Microsoft Office

ในไตรมาสที่ 3 ของปี 2020 พบว่าประมาณ 38% ของมัลแวร์ที่ดาวน์โหลดได้ทั้งหมดถูกซ่อนอยู่ในไฟล์ Microsoft Office – ในไตรมาสแรกของปี 2021 อัตรานี้ลดลงเล็กน้อยเป็น 34% แต่คาดว่าจะกลับมาสร้างสถิติใหม่อีกครั้งในระดับ 43% ในไตรมาสถัดไป

Microsoft Office มีผู้ใช้งานออนไลน์หลายสิบล้านคนต่อวันทั่วโลก ในขณะเดียวกันไฟล์เหล่านี้ก็ถูกใช้โดยอาชญากรไซเบอร์เพื่อกระจายมัลแวร์ และเป็นวิธีที่สามารถทำกำไรให้กับอาชญากรได้

ดังนั้นเพื่อหลอกล่อผู้ใช้งานให้ดาวน์โหลดมัลแวร์ แฮ็กเกอร์จะสร้าง malicious macros ในไฟล์เอกสารของ Office และส่งไฟล์เหล่านี้ไปยังผู้ใช้งานผ่านอีเมล ซึ่งโดยปกติแล้วเมื่อมีการเปิดไฟล์ ผู้ใช้งานมักจะถูกหลอกให้เปิดการใช้งาน macros ที่ Microsoft Office จึงทำให้เมื่อผู้ใช้งานเปิดไฟล์เอกสารที่ผู้โจมตีสร้างขึ้นจึงทำให้ malicious macros ที่อยู่ในเอกสารสามารถทำงานได้ทันที

นักวิจัยของ Atlas VPN ระบุว่าเกือบ 43% ของการดาวน์โหลดมัลแวร์ทั้งหมดถูกซ่อนอยู่ในไฟล์ของ MS Office ไฟล์แบบนี้ค่อนข้างเป็นที่นิยมในหมู่ไม่หวังดี เนื่องจากสามารถหาวิธีหลบเลี่ยงการตรวจจับจากซอฟต์แวร์ antivirus ส่วนใหญ่ได้อย่างง่ายดาย

เป็นที่น่าสังเกตว่าการค้นพบของ Atlas VPN เป็นการอิงจากรายงานอื่นที่ชื่อว่า Netskope Threat Lab Cloud and Threat Report: July 2021 Edition ซึ่งครอบคลุมถึงวิธีที่อาชญากรไซเบอร์ใช้ประโยชน์จาก Office docs

ในงานวิจัยของ Netskope Threat Lab ได้ประเมินเอกสารจากแพลตฟอร์มที่แตกต่างกัน ได้แก่ Google Docs และ ไฟล์ PDF ไม่ใช่แค่จาก Microsoft Office 365

ตามรายงานในไตรมาสที่สองของปี 2020 ประมาณ 14% ของมัลแวร์ที่สามารถดาวน์โหลดได้ ทั้งหมดถูกพบซ่อนอยู่ในที่ Office documents และไตรมาสที่สามของปี 2020 ร้อยละนี้เพิ่มขึ้นถึง 38% ส่วนใหญ่เกิดจากการเพิ่มขึ้นของผู้ใช้งานที่ต้องทำงานจากที่บ้าน

ในไตรมาสแรกของปี 2021 อัตรานี้ลดลงเล็กน้อยอยู่ที่ 34% แต่คาดว่าจะกลับมาสร้างสถิติใหม่อีกครั้งในระดับ 43% ในไตรมาสถัดไป

นักวิจัยระบุว่า EMOTET เป็นหนึ่งในมัลแวร์ที่อันตรายที่สุดที่พบในไฟล์ Microsoft Word และด้วยความพยายามร่วมกันของหน่วยงานบังคับใช้กฎหมายทั่วโลก และบริษัทรักษาความปลอดภัยทางไซเบอร์ได้จัดการ EMOTET ได้ในปี 2021

แต่ EMOTET ไม่ได้หายไป เพราะตัวมันเป็นมัลแวร์ที่สามารถนำไปสู่ติดตั้งมัลแวร์ที่เป็นอันตรายชนิดอื่น เช่น ransomware, information stealers, trojans

อย่างไรก็ตามการวิจัยของ Trend Micro ยืนยันว่า EMOTET ยังคงถูกแพร่กระจายโดยเครื่องที่ยึดครองโดยผู้โจมตี (compromised) ตัวอย่างเช่น EMOTET มีความเกี่ยวข้องกับการโจมตีของ Trickbot และ Ryuk ซึ่งเป็นหนึ่งในตระกูล ransomware ที่โด่งดังที่สุด

ที่มา : hackread.

ทางการสหรัฐฯ ปิดการให้บริการ Slilpp ตลาดใต้ดินที่ใหญ่ที่สุดสำหรับการซื้อขายข้อมูลการเข้าสู่ระบบ

กระทรวงยุติธรรมสหรัฐอเมริกา (DoJ) กล่าวเมื่อวันพฤหัสบดีว่า ได้ปิดการให้บริการตลาดใต้ดินที่มีชื่อเรียกว่า Slilpp ซึ่ง Slilpp เป็นตลาดแลกเปลี่ยนข้อมูลผู้ใช้งาน
ที่ถูกขโมยมา โดยเป็นส่วนหนึ่งของการดำเนินการบังคับใช้กฎหมายระหว่างประเทศ

มีบุคคลมากกว่าสิบรายถูกตั้งข้อหา หรือถูกจับกุมในข้อหามีความเกี่ยวข้องกับการกระทำที่ผิดกฏหมายในตลาดใต้ดินดังกล่าว โดยการปราบปรามทางไซเบอร์ในครั้งนี้เป็นความพยายามร่วมมือกันของประเทศสหรัฐอเมริกา เยอรมนี เนเธอร์แลนด์ และโรมาเนีย กระทรวงยุติธรรมสหรัฐอเมริกายังสามารถควบคุมเซิร์ฟเวอร์ที่ให้บริการโครงสร้างระบบที่สำคัญ รวมไปถึงโดเมนต่างๆของกลุ่มไว้ด้วย

Slilpp เปิดดำเนินการมาตั้งแต่ปี 2012 โดยเป็นตลาดซื้อขายข้อมูลบัญชีผู้ใช้ที่เกี่ยวข้องกับบริษัทต่างๆมากกว่า 1,400 แห่งทั่วโลก และมีการเสนอขายชื่อผู้ใช้และรหัสผ่านที่ถูกขโมยมามากกว่า 80 ล้านรายการ โดยเป็นข้อมูลบัญชีธนาคาร บัญชีชำระเงินออนไลน์ บัญชีโทรศัพท์มือถือ บัญชีผู้ค้าปลีก และบัญชีออนไลน์อื่นๆ

จากรายงานของเหยื่อล่าสุด กระทรวงยุติธรรมสหรัฐกล่าวว่าข้อมูลการเข้าสู่ระบบที่ถูกขายผ่าน Slilpp นั้นถูกใช้ในการหาประโยชน์ไม่น้อยกว่า $200 ล้านในสหรัฐอเมริกา

การจับกุมในครั้งนี้เกิดขึ้นโดยการบังคับใช้กฎหมายกับกลุ่มอาชญากรไซเบอร์ในช่วงไม่กี่เดือนที่ผ่านมาของประเทสสหรัฐอเมริกา
ซึ่งรวมถึง TrickBot, Emotet และ ANoM โดย Slilpp เป็นตลาดแห่งที่สามที่ถูกปิดให้บริการโดยกระทรวงยุติธรรมสหรัฐ ต่อจากการปิดให้บริการของ xDedic (มกราคม 2019) และ DEER.IO (มกราคม 2021) ซึ่งทั้งสองบริการนี้เกี่ยวข้องกับการขายข้อมูลการเข้าสู่ระบบด้วยเช่นกัน

ที่มา : thehackernews

Qakbot Malware is Targeting the Users Via Malicious Email Campaign

โทรจัน Qakbot หรือที่เรียกว่า QBot หรือ Pinkslipbot เป็นโทรจันที่ถูกใช้กลุ่มผู้ไม่หวังดีที่มีเป้าหมายหลักในการโจมตีทางด้านธนาคารและการเงิน พบการใช้งานตั้งแต่ปี 2017 มีการแพร่กระจายผ่าน payload เชื่อมต่อ Server C&C และ ปัจจุบันเริ่มมีการใช้งานไปในวงกว้างมากขึ้น

นักวิจัยด้านความปลอดภัย Alien Labs สังเกตเห็นแคมเปญที่พึ่งเกิดขึ้นใหม่ซึ่งเหยื่อที่ตกเป็นเป้าหมายด้วยอีเมลล์ล่อลวงที่เป็นอันตราย จากผู้รับที่มีความน่าเชื่อถือ หรือมีการติดต่อสื่อสารระหว่างกันอยู่แล้ว

โดย email account และข้อมูลภายในเมล์ที่ถูกขโมยออกไป สามารถสร้างผลกระทบได้ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ ซึ่งหลายๆองค์กรสามารถถูกกำหนดเป็นเป้าหมาย จาก email ของผู้ตกเป็นเหยื่อก่อนหน้า

เมื่อเปิดไฟล์ที่เป็นอันตราย โดยสถานะไฟล์จะถูกเรียกว่า DocuSign โดยซอฟต์แวร์ยอดนิยมที่ใช้ในการแพร่กระจาย malicious คือ Excel ใช้ประโยชน์จาก Macros Excel 4.0 (XML macros) ทำการซ่อน sheets ดาวน์โหลด QakBot และ payload จากอินเทอเน็ตเชื่อมต่อกับเซิร์ฟเวอร์ผู้โจมตี ก่อนที่จะเข้าสู่ Payload หลัก QakBot loader จะทำการทดสอบสิ่งที่เกิดขึ้นกับเครื่องที่ติดตั้งอยู่เพื่อเลือกว่าจะทำการดาวน์โหลดไฟล์อะไรมาติดตั้งบนเครื่องของเหยื่อต่อไป โดย Qakbot จะมีการเช็คสภาพแวดล้อมของเครื่องว่าเป็น Virtual Machine และหาว่าเครื่องดังกล่าวมีการลงโปรแกรม Antivirus หรือ common security researcher tools ไว้ภายในเครื่องหรือไม่

เพื่อให้การตรวจจับและวิเคราะห์ยากขึ้น QakBot จะเข้ารหัส String และถอดรหัสเมื่อมีการรันโปรเซส เมื่อดำเนินการเสร็จ จะดำเนินการลบข้อมูลออกจาก memory ทันที จุดเด่นของ โทรจัน QakBot ที่ใช้ในการ phishing ในอีเมล์ปลอมจะมีข้อมูล เช่นการจัดส่งใบสั่งงานคำขอเร่งด่วนใบแจ้งหนี้การอ้างสิทธิ์ ฯลฯ อีเมลฟิชชิ่งจะมีรูปแบบสลับกันระหว่าง ไฟล์แนบและลิงค์ QakBot มักใช้เป็นทางคล้ายกับ TrickBot หรือ Emotet ซึ่งนำไปสู่การใช้ประโยชน์ในการติดตั้ง Ransomware ต่อไป

ที่มา : ehackingnews

FBI แชร์ข้อมูลอีเมลที่ถูกใช้เพื่อแพร่กระจายมัลแวร์ Emotet มากกว่า 4 ล้านรายการให้กับ Have I Been Pwned

สืบเนื่องจากเมื่อต้นปีที่ผ่านมา ได้มีการบังคับใช้กฎหมายเพื่อทลายเครือข่ายของมัลแวร์ Emotet ส่งผลให้มีการยึดเครื่องเซิร์ฟเวอร์ที่ถูกใช้ในการกระทำความผิดหลายร้อยเครื่องทั่วโลก ตามมาด้วยการถอนการติดตั้งมัลแวร์บนเครื่องที่ตกเป็นเหยื่อเมื่อวันที่ 25 เมษายนที่ผ่านมา นอกจากจะติดตั้งไฟล์มัลแวร์บนเครื่องเหยื่อแล้ว Emotet ยังมีการขโมยข้อมูลอีเมลที่มีการใช้งานบนเครื่องของเหยื่อด้วย เพื่อนำไปใช้แพร่กระจายมัลแวร์ต่อไป โดยข้อมูลอีเมลส่วนนี้ที่ถูกขโมยมา FBI ได้ทำการแชร์ให้กับ Have I Been Pwned เพื่อให้ผู้ที่สงสัยว่าตนเองตกเป็นเหยื่อหรือไม่ สามารถร้องขอเพื่อทำการตรวจสอบได้

Troy Hunt ซึ่งเป็นผู้สร้างเว็บไซต์ Have I Been Pwned ขึ้นมาระบุว่า 39% ของอีเมลที่ตกเป็นเหยื่อของ Emotet นี้ ถูกพบว่าเคยรั่วไหลมาก่อนหน้านี้แล้ว จากบริการอื่น ๆ ที่ Have I Been Pwned มีข้อมูลอยู่ก่อนแล้ว อย่างไรก็ตามข้อมูลส่วนนี้ถูกจัดอยู่ในกลุ่มของ "Sensitive Breach" ตามรายงานของ Troy Hunt นั่นแสดงว่าข้อมูลดังกล่าวไม่สามารถถูกค้นหาบนหน้าเว็บไซต์ได้อย่างสาธารณะ (Public) ผู้ที่เป็นเจ้าของอีเมล หรือโดเมนขององค์กรเท่านั้นที่จะสามารถร้องขอให้ค้นหาได้ โดยต้องทำการพิสูจน์ตัวตนตามกระบวนการของ Have I Been Pwned ก่อน

อย่างไรก็ตามนอกเหนือจาก Have I Been Pwned แล้ว ยังมีเว็บไซต์ที่ชื่อว่า "Have I Been Emotet" ด้วยที่สามารถถูกใช้เพื่อตรวจสอบว่าอีเมลที่สงสัย เคยถูกใช้โดยมัลแวร์ Emotet หรือไม่ โดยพบว่ามีข้อมูลล่าสุดถึงวันที่ 25 มกราคม 2วันก่อนที่มัลแวร์ Emotet จะถูกปิดตัวลง

ที่มา: bleepingcomputer