พบแอปพลิเคชันให้บริการสินเชื่อ ซึ่งอ้างว่าจะให้สินเชื่อกับผู้ใช้ภายหลังจากการกรอกรายละเอียดข้อมูลเพื่อสมัครใช้งาน แต่จุดประสงค์ที่แท้จริงคือการขโมยข้อมูล และนำไปข่มขู่ แบล็คเมล์ เหยื่อที่หลงเชื่อ
(more…)

นักวิจัยของ ESET บริษัทด้านความปลอดภัยทางไซเบอร์ พบการโจมตีโดยใช้ Google Ad เพื่อหลอกเหยื่อไปยังเว็บไซต์ที่ปลอมแปลงเป็น Telegram และ WhatsApp เพื่อแพร่กระจายมัลแวร์ Cryptocurrency Clipper ไปยังเป้าหมายที่ใช้งาน Android และ Windows (more…)

นักวิจัยของ ESET ได้เผยแพร่การค้นพบ backdoor malware ตัวใหม่ในชื่อ MQsTTang ที่ถูกสร้างขึ้นโดย Mustang Panda กลุ่ม Hacker ชาวจีน โดยเริ่มพบการโจมตีในเดือน มกราคม 2023 จนถึงปัจจุบัน โดยมีเป้าหมายการโจมตีไปยังรัฐบาล และองค์กรทางการเมืองในยุโรป และเอเชีย โดยเน้นไปที่ไต้หวัน และยูเครน

Mustang Panda เป็นกลุ่มภัยคุกคามระดับสูง Advanced Persistent Threat (APT) ซึ่งเป็นที่รู้จักจากการใช้มัลแวร์ PlugX ที่ปรับปรุงใหม่เพื่อใช้ในการโจรกรรมข้อมูล โดยกลุ่ม Hacker ดังกล่าวยังเป็นที่รู้จักกันในชื่อ TA416 และ Bronze President

โดยก่อนหน้านี้ Trend Micro เคยพบการโจมตีครั้งล่าสุดของ Mustang Panda ในเดือนมีนาคมถึงตุลาคม 2022 โดยในแคมเปญดังกล่าว กลุ่ม Mustang Panda ได้ใช้มัลแวร์สามสายพันธุ์ ได้แก่ PubLoad, ToneIns และ ToneShell และพบว่ามีการกำหนดเป้าหมายไปยัง ออสเตรเลีย ญี่ปุ่น ไต้หวัน และฟิลิปปินส์

MQsTTang backdoor

จากการวิเคราะห์ของ ESET พบว่า MQsTTang backdoor ไม่ได้มีต้นแบบจากมัลแวร์ตัวใดมาก่อน ซึ่งบ่งชี้ได้ว่า backdoor ดังกล่าวได้ถูกสร้างขึ้นมาเพื่อให้สามารถหลบเลี่ยงการตรวจจับ และทำให้สามารถระบุแหล่งที่มาได้ยากขึ้น

การโจมตีจะเริ่มจาก Phishing Email ที่มีการฝังเพย์โหลดที่เป็นอันตราย เมื่อเป้าหมายทำการเปิดอีเมล จะมีดาวน์โหลดมัลแวร์จาก GitHub repositories เพื่อเริ่มการโจมตี โดยตัวมัลแวร์จะเป็นไฟล์ที่อยู่ภายในไฟล์ RAR archives โดยตั้งชื่อตามหนังสือทางการทูต เช่น การสแกนหนังสือเดินทางของสมาชิกคณะผู้แทนทางการทูต บันทึกของสถานทูต เป็นต้น

โดย MQsTTang นั้นถือเป็น “barebones backdoor” (แบ็คดอร์ที่ได้รับการออกแบบให้เรียบง่ายที่สุดเท่าที่จะเป็นไปได้ ทำให้ตรวจจับได้ยากขึ้น) ที่มีความสามารถในการเรียกใช้งานคำสั่งได้จากระยะไกล และส่งข้อมูลกลับมายัง C2 (Command & Control) รวมถึงการแฝงตัวอยู่บนระบบ (Persistence)

ซึ่งการแฝงตัวอยู่บนระบบโดยการเพิ่มคีย์รีจิสทรีใหม่ภายใต้ HKCK\Software\Microsoft\Windows\CurrentVersion\Run โดยจะทำให้ระบบเรียกใช้มัลแวร์ทุกครั้งเมื่อมีการ Restart โดยจะมีเพียงการเชื่อมต่อผ่าน C2 (Command & Control) เท่านั้น

MQsTTang จะทำงานภายใต้ MQTT protocol สำหรับคำสั่งการ และการควบคุมการเชื่อมต่อผ่าน C2 ซึ่งทำให้ช่วยในการปกปิดร่องรอยการเชื่อมต่อผ่าน C2 รวมถึงการโจมตี ทำให้มีโอกาสน้อยที่จะถูกตรวจจับได้

รวมไปถึง MQsTTang จะทำการตรวจสอบการ debug หรือ monitoring tools ที่อยู่บนเครื่องเหยื่อตลอดเวลา เมื่อพบก็จะเปลี่ยนลักษณะการทำงาน เพื่อหลีกเลี่ยงการถูกตรวจจับอีกด้วย

 

ที่มา : bleepingcomputer

ESET ผู้ให้บริการด้านความปลอดภัยบนอินเทอร์เน็ต ออกมาแจ้งเตือนถึงช่องโหว่ Local Privilege Escalation มีความรุนแรงระดับสูง และส่งผลกระทบหลายผลิตภัณฑ์ที่ใช้ Windows 10, Windows Server 2016 และเวอร์ชันที่ใหม่กว่านั้น แนะนำให้ผู้ใช้รีบอัปเดตแพตช์เพื่ออุดช่องโหว่ทันที

ช่องโหว่ (CVE-2021-37852) ถูกค้นพบโดย Michael DePlante จาก Trend Micro Zero Day Initiative ซึ่งช่วยให้แฮ็กเกอร์สามารถยกระดับสิทธิ์ตัวเองไปยังสิทธิ์บัญชี NT AUTHORITY\SYSTEM ซึ่งเป็นสิทธิ์ระดับสูงสุดบนระบบปฏิบัติการ Windows ได้โดยใช้ Windows Antimalware Scan Interface (AMSI)

รายการผลิตภัณฑ์ของ ESET ที่ได้รับผลกระทบจากช่องโหว่นี้

ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security และ ESET Smart Security Premium ตั้งแต่เวอร์ชัน 10.0.337.1 ถึง 15.0.18.0
ESET Endpoint Antivirus for Windows และ ESET Endpoint Security for Windows ตั้งแต่เวอร์ชัน 6.6.2046.0 ถึง 9.0.2032.4
ESET Server Security for Microsoft Windows Server 8.0.12003.0 และ 8.0.12003.1,
ESET File Security for Microsoft Windows Server ตั้งแต่เวอร์ชัน 7.0.12014.0 ถึง 7.3.12006.0
ESET Server Security for Microsoft Azure ตั้งแต่เวอร์ชัน 7.0.12016.1002 ถึง 7.2.12004.1000
ESET Security for Microsoft SharePoint Server ตั้งแต่เวอร์ชัน 7.0.15008.0 ถึง 8.0.15004.0
ESET Mail Security for IBM Domino ตั้งแต่เวอร์ชัน 7.0.14008.0 ถึง 8.0.14004.0
ESET Mail Security for Microsoft Exchange Server ตั้งแต่เวอร์ชัน 7.0.10019 ถึง 8.0.10016.0

ผู้ใช้ ESET ผลิตภัณฑ์ต่างๆ ควรอัปเดทให้เป็นเวอร์ชันล่าสุด เพื่อแก้ไขช่องโหว่ดังกล่าว และทาง ESET แจ้งว่าปัจจุบันยังไม่พบรายงานเกี่ยวกับการโจมตีบนช่องโหว่ดังกล่าว

ที่มา: bleepingcomputer

Lukas Stefanko นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก ESET ได้เปิดเผยถึงการพบมัลแวร์ที่ถูกเรียกว่า “BlackRock” โดยมัลแวร์ดังกล่าวจะถูกเเฝงไปกับแอปพลิเคชันปลอมของแอปพลิเคชันยอดนิยมในขณะนี้อย่าง Clubhouse เวอร์ชัน Android ซึ่งในขณะนี้แอปพลิเคชันยังไม่มีเวอร์ชัน Android

นักวิจัยกล่าวต่อว่ามัลแวร์ถูกสร้างขึ้นเพื่อจุดประสงค์ในการขโมยข้อมูลการเข้าสู่ระบบของผู้ที่ตกเป็นเหยื่อ โดยมัลแวร์ได้กำหนดเป้าหมาย ซึ่งประกอบด้วยแอปทางการเงินและการช็อปปิ้งทุกประเภท รวมถึงแอปการแลกเปลี่ยนสกุลเงินดิจิทัลตลอดจนแอปโซเชียลมีเดีย เช่น Facebook, Twitter, Whatsapp, Amazon, Netflix และบริการออนไลน์อื่น ๆ อีก 458 รายการ

“BlackRock” จะใช้การโจมตีแบบ Overlay Attack ที่ช่วยให้สามารถขโมยข้อมูล Credential ของผู้ที่ตกเป็นเหยื่อและเมื่อใดก็ตามที่แอปที่เป็นเป้าหมายเปิดตัวขึ้น ระบบจะขอให้ผู้ใช้ป้อนข้อมูลการเข้าสู่ระบบของตน ซึ่งจะทำให้ผู้โจมตีสามารถทราบและเข้าถึงข้อมูล Credential ผู้ที่ตกเหยื่อ นอกจากนี้มัลแวร์ยังสามารถดัก SMS ที่อาจใช้กับฟีเจอร์การยืนยันตัวตนหลายขั้นตอนของผู้ใช้อีกด้วย

นักวิจัยกล่าวอีกว่ามัลแวร์ถูกเเพร่กระจายโดยเว็บไซต์ของผู้ประสงค์ร้ายที่ได้ทำการสร้างเว็บไซต์ที่เหมือนกันเว็บไซต์ Clubhouse ที่ถูกต้องและเมื่อผู้ใช้ดาวน์โหลดแอปจากเว็บไซต์ตัวเว็บผู้ใช้จะได้รับ Android Package Kit (APK) ของ Clubhouse เวอร์ชันปลอม

ทั้งนี้เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของมัลแวร์ “BlackRock” ผู้ใช้ควรทำการหลีกเลี่ยงการดาวน์โหลดแอปจากเว็บไซต์ที่ไม่รู้เเหล่งที่มา อย่างไรก็ตาม Clubhouse กำลังวางแผนที่จะเปิดตัวแอปเวอร์ชัน Android ซึ่งในขณะนี้มีเพียงแพลตฟอร์มสำหรับผู้ใช้ iOS เท่านั้น ผู้ใช้ Android ควรทำการติดตามข่าวสารของแอปพลิเคชันและควรทำการดาวน์โหลดแอปจาก Google Play เท่านั้น

ที่มา: hackread

จากที่ Microsoft ออกแพตช์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ Zero-day สำหรับ Microsoft Exchange ที่ผ่านมาเมื่อวันที่ 2 มีนาคม 2021 ปัจจุบันกลุ่มช่องโหว่ดังกล่าวที่ถูกตั้งชื่อว่า ProxyLogon (https://proxylogon.

กลุ่มแฮกเกอร์จากเวียดนามกำลังใช้ประโยชน์จากช่องโหว่ของเว็บไซต์ในการแพร่กระจายมัลแวร์ที่รวบรวมไว้ ตามรายงานของ ESET กลุ่ม APT 32 หรือที่รู้จักกันในนาม OceanLotus เป็นกลุ่มแฮกเกอร์ที่เชื่อว่ามีความเชื่อมโยงกับรัฐบาลเวียดนามได้ดำเนินการโจมตีเว็บไซต์ที่มีช่องโหว่ต่างๆ อย่างน้อย 21 แห่งทั้งของภาครัฐและองค์กรอื่นๆ ได้แก่ เว็บไซต์กระทรวงกลาโหมกัมพูชา เว็บไซต์กระทรวงการต่างประเทศกัมพูชา, เว็บไซต์สโมสรกอล์ฟกัมพูชา เป็นต้น

ตั้งแต่เดือนกันยายน 2018 ซึ่ง ESET ได้ทำการแจ้งเตือนไปยังเว็บไซต์ต่างๆ เหล่านั้นแล้ว แต่เหมือนผู้ดูแลเว็บไซต์เหล่านั้นยังคงไม่สนใจกับความไม่ปลอดภัยที่เกิดขึ้น เพราะ ESET ยังคงพบโค้ดอันตรายบนเว็บไซต์เหล่านั้นอยู่ในขณะนี้
โดยการโจมตีในครั้งนี้ของกลุ่ม APT32 แสดงถึงเทคโนโลยีที่ใช้มีความซับซ้อนมากขึ้นในการโจมตีมากกว่าการโจมตีครั้งก่อนๆ โดยมีการหลบเลี่ยงการตรวจสอบและสามารถแพร่กระจายมัลแวร์ที่ติดตั้ง payloads เพิ่มเติมไปยังระบบอื่นๆได้

กลุ่ม APT 32 ทำการโจมตีโดย inject โค้ด Javascript อันตรายลงไปบนหน้าเว็บ หรือ แก้ไข Javascript ที่กลุ่ม APT 32 สามารถเข้าถึงได้บนเซิร์ฟเวอร์ของเว็บไซต์ ทำให้สามารถเปลี่ยนเส้นทางการเข้าถึงของเว็บของผู้ใช้งานไปยังโดเมนของผู้โจมตีหรือที่เป็นอันตรายได้ เพื่อขโมยข้อมูลต่างๆจากผู้ใช้งานและทำการเข้ารหัสก่อนส่งข้อมูลกับไปยังเซิร์ฟเวอร์ของผู้โจมตี ซึ่งทาง ESET ได้แจ้งว่าไม่สามารถตรวจสอบไฟล์ที่ถูกเข้ารหัสไปยังเซิร์ฟเวอร์ของผู้โจมตีได้

ที่มา: cyberscoop

ใบรับรองดิจิตอลของ D-Link ถูกขโมยมาใช้ในการแพร่มัลแวร์

นักวิจัยของ ESET ได้ค้นพบการแพร่ระบาดมัลแวร์ครั้งใหม่ที่ใช้ใบรับรองดิจิตอลที่ขโมยมา เนื่องจากระบบของ ESET เตือนถึงไฟล์ที่น่าสงสัย แต่ไฟล์ดังกล่าวมีใบรับรองดิจิตอลจากบริษัท D-Link ซึ่งเป็นบริษัทผลิตอุปกรณ์ด้านเน็ตเวิร์คชื่อดังของไต้หวัน นักวิจัยจึงประสานงานกับบริษัท D-Link และยกเลิกไม่ให้ใบรับรองดังกล่าวที่ถูกขโมยใช้งานต่อได้อีก และจากการตรวจสอบเพิ่มเติมยังพบมัลแวร์ที่ใช้ใบรับรองดิจิตอลจากบริษัท Changing Information Technology ซึ่งเป็นบริษัทให้บริการด้านความปลอดภัยอีกด้วย

นักวิจัยของ ESET เปิดเผยว่าใบรับรองดิจิตอลดังกล่าวถูกใช้ทำเครื่องหมายให้กับมัลแวร์สองตระกูล ซึ่งเคยถูกใช้โดยกลุ่มจารกรรมข้อมูลทางไซเบอร์ชื่อ BlackTech

มัลแวร์ตัวแรกคือ Plead เป็นแบ็คดอร์ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถควบคุมระบบของผู้ใช้งานเพื่อขโมยข้อมูลและสอดแนมผู้ใช้
มัลแวร์อีกตัวคือ มัลแวร์ขโมยรหัสผ่านที่ใช้ร่วมกับ Plead เพื่อรวบรวมรหัสผ่าน จาก Google Chrome Microsoft Internet Explorer Microsoft Outlook และ Mozilla Firefox

ใบรับรองดิจิตอลถูกขโมยเพื่อนำใช้ในการแพร่มัลแวร์มาแล้วหลายครั้ง เนื่องจากคอมพิวเตอร์จะเชื่อถือโปรแกรมที่ทำเครื่องหมายด้วยใบรับรองดิจิตอล และทำงานโปรแกรมดังกล่าวโดยไม่ขึ้นข้อความแจ้งเตือน ทำให้ผู้ใช้หลงเชื่อว่าโปรแกรมดังกล่าวไม่เป็นอันตราย

ที่มา:welivesecurity

ESET ประกาศการค้นพบมัลแวร์ลักลอบขโมยข้อมูล "InvisiMole" ซึ่งแพร่กระจายในรัสเซียและยูเครนวันนี้ โดยเชื่อกันว่าเป็นมัลแวร์ที่ถูกใช้ในการจารกรรมทางไซเบอร์เนื่องจากความซับซ้อนและความสามารถของมัลแวร์ที่หลากหลายและทำให้มัลแวร์ถูกตรวจจับได้ยาก

อ้างอิงจากรายงานของ ESET มัลแวร์ InvisiMole แพร่กระจายมาตั้งแต่ปี 2013 โดยมีเป้าหมายค่อนข้างจำกัดซึ่งทำให้ตรวจจับได้ยาก มัลแวร์รองรับการควบคุมจากกลุ่มผู้โจมตีเพื่อทำให้ทำตามคำสั่งที่ต้องการซึ่งรวมไปถึงแอบเปิดไมโครโฟนเพื่อดันเสียง แอบเปิดกล้องเว็บแคมเพื่อถ่ายรูป นอกเหนือจากนั้นยังแก้ไขการตั้งค่าของระบบได้อย่างอิสระ

ไม่มีการระบุถึงช่องทางในการแพร่กระจายของมัลแวร์ InvisiMole ในขณะนี้

ทาง ESET ยืนยันว่าในขณะนี้การแพร่กระจายของ InvisiMole ยังอยู่ในขอบเขตที่จำกัดมากๆ แต่ก็แนะนำให้ผู้ใช้งานหมั่นทำการอัปเดตระบบให้มีความทันสมัยอยู่เสมอ รวมไปถึงฐานข้อมูลเพื่อตรวจจับมัลแวร์ด้วย

ที่มา : bleepingcomputer

Tavis Ormandy หนึ่งในสมาชิกของ Google Project Zero ได้รายงานช่องโหว่ของผลิตภัณฑ์ ESET โดยช่องโหว่ดังกล่าวส่งผลให้ผู้โจมตีสามารถส่งคำสั่งเพื่อควบคุมเครื่องเป้าหมายได้จากระยะไกลในสิทธิ์ root/SYSTEM ช่องโหว่นี้ถูกจัดความสำคัญอยู่ในระดับร้ายแรงที่สุด
ซึ่งรายละเอียดของช่องโหว่เบื้องต้นนั้น เกิดจากวิธีการที่ซอฟต์แวร์แอนติไวรัสใช้ในการจำลองโค้ด โดยใน ESET NOD32 จะมีการดักจับข้อมูลที่ได้จาก I/O ของดิสก์เพื่อเอาไปตรวจสอบและจำลองเมื่อพบส่วนของโค้ดที่สามารถเอ็กซีคิวต์ได้

ช่องโหว่นี้ถูกรายงานว่าส่งผลกระทบต่อผลิตภัณฑ์ ESET ทุกตัวไม่ว่าจะเป็น ESET Smart Security for Windows, ESET NOD32 Antivirus for Windows, ESET Cyber Security Pro for OS X, ESET NOD32 For Linux Desktop, ESET Endpoint Security for Windows and OSX และ ESET NOD32 Business Edition โดยช่องโหว่สามารถโจมตีได้บนการตั้งค่าเริ่มต้นของซอฟต์แวร์ถึงแม้ว่าจะมีการปิดฟังก์ชันในการสแกนแบบ Real time ก็ตาม โดยทาง ESET ได้มีการปล่อยอัพเดตแล้วเมื่อสองวันที่ผ่านมา

ที่มา : blognone