พบ Phishing รูปแบบใหม่ในรูปแบบของ Facebook Messenger Chatbots ผู้ใช้งานเสี่ยงข้อมูลหลุด

ผู้เชี่ยวชาญจาก TrustWave ตรวจพบการโจมตีในรูปแบบของ Facebook Messenger Chatbots เพื่อขโมย Credentials ของเป้าหมายที่ใช้สำหรับจัดการ Page ต่างๆ  ซึ่งปกติ Chatbots เป็นโปรแกรมที่ถูกพัฒนาสำหรับช่วยเหลือผู้ใช้งาน มักถูกใช้เพื่อตอบคำถามง่ายๆ หรือคัดแยกผู้ใช้งานก่อนที่จะถูกส่งไปยังพนักงานจริง

ลักษณะการทำงาน

การโจมตีแบบ Phishing เริ่มต้นด้วยผู้โจมตีทำการส่งอีเมลแจ้งผู้รับว่า Facebook Page ของพวกเขาละเมิดต่อมาตรฐานชุมชน โดยให้เวลา 48 ชั่วโมงในการอุทธรณ์คำตัดสิน มิฉะนั้นเพจของพวกเขาจะถูกลบ และทำการแนบลิงค์ "Appeal Now" ให้ผู้ใช้งานกดเพื่อเข้าไปหน้า Chatbots

เมื่อผู้ใช้งานเข้าลิงค์มา จะปรากฎหน้า Messenger ของ Chatbots ที่ปลอมตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนลูกค้าของ Facebook แต่หน้า Page Facebook ที่เชื่อมโยงกับ Chatbots เป็นหน้าธุรกิจทั่วไปที่มีผู้ติดตามเป็นศูนย์และไม่มีโพสต์

ต่อมา Chatbots จะส่งปุ่ม "Appeal Now" ให้กับผู้ใช้งาน Messenger ซึ่งจะนำพาไปยังเว็บไซต์ที่ปลอมเป็น "Facebook Support Inbox" แต่ URL ไม่ใช่โดเมนของ Facebook
หน้า Facebook Support Inbox ปลอมจะเป็นกล่องข้อความให้ผู้ใช้งานกรอกที่อยู่อีเมล ชื่อเต็ม ชื่อเพจ และหมายเลขโทรศัพท์ หากกดปุ่ม Submit จะมีหน้าต่าง Pop-Up ขึ้นมาให้กรอกรหัสผ่านเพื่อเข้าสู่ขั้นตอนต่อไป

หลังจากใส่รหัสผ่านแล้ว ผู้ใช้งานจะถูกเปลี่ยนเส้นทางไปยังหน้า 2FA ปลอม ซึ่งมีหน้าให้กรอก OTP ที่ได้รับทาง SMS ตามหมายเลขโทรศัพท์ที่ระบุไว้ จากนั้นมันจะทำการเลี่ยนเส้นทางไปยังหน้า Facebook จริงที่เกี่ยวข้องกับการละเมิดของผู้ใช้งานด้านทรัพย์สินทางปัญญา และลิขสิทธิ์

เนื่องจากครั้งนี้เป็นการโจมตีแบบ Phishing จากระบบอัตโนมัติที่ส่งหาเป้าหมายจำนวนมาก และไม่ได้ระบุว่าเป้าหมายเป็นใคร ทำให้มีผู้หลงกลจำนวนมาก นอกจากนี้การตรวจจับก็เป็นไปได้ยาก เนื่องจากปัจจุบันไซต์จำนวนมากใช้ AI และ Chatbots เป็นส่วนหนึ่งของหน้าสนับสนุน ทำให้ดูเหมือนเป็นเรื่องปกติกับผู้ใช้งาน

แนวทางการป้องกัน

ไม่เปิดหรือคลิกลิงค์บนอีเมลจากผู้ส่งที่ไม่รู้จัก
ตรวจสอบ URL ทุกครั้งบนหน้าเว็บที่มีการร้องขอข้อมูลการเข้าสู่ระบบ
ติดตามข่าวสารอย่างสม่ำเสมอ

ที่มา : bleepingcomputer

นักวิจัยพบ Bug ใน Signal, Facebook Messenger และ Google Duo ที่จะช่วยให้ผู้โจมตีสามารถสอดแนมผู้ใช้ได้

Natalie Silvanovich นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้พบช่องโหว่ในแอปพลิเคชัน Signal, Google Duo, Facebook Messenger, JioChat และ Mocha ซึ่งจะทำให้ผู้โทรสามารถรับฟังเสียงสภาพแวดล้อมที่อยู่รอบ ๆ ตัวของผู้รับได้โดยไม่ได้รับอนุญาตก่อนที่ผู้รับจะรับสาย โดยช่องโหว่ดังกล่าวได้รับการแก้ไขทั้งหมดแล้ว

Silvanovich ได้ค้นพบช่องโหว่ดังกล่าวในลอจิกของแอปพลิเคชันจากการตรวจสอบ State Machine ของแอปพลิเคชัน Video conference จำนวน 7 แอปและพบว่ามีจำนวน 5 แอปมีช่องโหว่ที่อนุญาตให้ผู้รับมีการส่งข้อมูลเสียงหรือวีดีโอกลับมาก่อนที่จะรับสาย

Silvanovich ได้ทำการเปิดเผยช่องโหว่ดังกล่าวและแอปพลิเคชัน Signal ซึ่งมีช่องโหว่การส่งเสียงกลับมาและได้ทำการแก้ไขช่องโหว่แล้วในเดือนกันยายน 2019 ส่วน Google Duo มีช่องโหว่การเปิดเผยแพ็กเกจวีดีโอถูกแก้ไขช่องโหว่แล้วในเดือนธันวาคม 2020 ที่ผ่านมา Facebook Messenger มีช่องโหว่ในการเชื่อมต่อเสียงก่อนผู้รับกดรับและถูกแก้ไขแล้วในเดือนพฤศจิกายน 2019 ส่วน JioChat และ Mocha messengers มีช่องโหว่การเปิดเผยทั้งเสียงและวีดีโอและถูกแก้ไขแล้วในเดือนกรกฎาคม 2020

ทั้งนี้ Silvanovich ยังได้มองหาช่องโหว่ที่คล้ายกันในแอปพลิเคชัน Video Conference อื่น ๆ รวมถึง Telegram และ Viber แต่ไม่พบปัญหาดังกล่าว

ที่มา: bleepingcomputer

บั๊กใน Facebook Messenger บน Android แอบเปิดไมค์ฟังผู้ใช้ก่อนรับสายได้

Facebook ประกาศการแก้ไขปัญหาระดับวิกฤติใน Facebook Messenger บน Android หลังจากมีการตรวจพบว่าแอปอนุญาตให้ผู้ที่ทำการโทรผ่านการใช้เสียงนั้นสามารถฟังเสียงของปลายยทางได้แม้ปลายทางจะยังไม่มีการรับสาย ช่องโหว่จะทำการโจมตีเฉพาะบัญชีผู้ใช้งานที่เป็นเพื่อนกันแล้วเท่านั้น

การโจมตีดังกล่าวสามารถทำได้หากผู้โจมตีมีการส่งข้อความแบบพิเศษที่เรียกว่า SdpUpdate ซึ่งทำให้เกิดการเชื่อมต่อสายก่อนที่ผู้ใช้งานจะกดรับ หรือในอีกความหมายหนึ่งคือบังคับให้เกิดการส่งข้อมูลเสียงในทันทีที่ปลายทางได้รับข้อความดังกล่าว ช่องโหว่ดังกล่าวถูกค้นพบโดย Natalie Silvanovich จาก Google Project Zero ซึ่งสามารถดูรายละเอียดการค้นพบและการโจมตีช่องโหว่ได้ที่ project-zero

เราขอแนะนำให้ผู้ใช้งานทำการอัปเดตแอป Facebook Messenger ให้เป็นเวอร์ชันล่าสุดโดยทันที เนื่องจากมีการเปิดเผยวิธีการโจมตีออกมาแล้ว มีโอกาสสูงที่อาจมีผู้ไม่ประสงค์นำวิธีการโจมตีมาสร้างการโจมตีจริงและโจมตีผู้ใช้งานที่ยังไม่ได้มีการอัปเดตแอป

ที่มา: bleepingcomputer | thehackernews

Bug in Facebook Messenger for Windows Could’ve Helped Malware Gain Persistence

บัคใน Facebook Messenger สำหรับ Windows ช่วยในการฝังตัวของมัลแวร์ในระบบได้

Reason Labs มีการเปิดเผยถึงรายละเอียดช่องโหว่ในโปรแกรม Facebook Messenger สำหรับ Windows
ผู้โจมตีสามารถใช้ช่องโหว่ในแอปพลิเคชัน Messenger รุ่น 460.16 บน Windows ในการเอ็กซีคิวต์และช่วยในการฝังตัวของมัลแวร์ในระบบได้

การฝังตัวนี้เกิดขึ้นเมื่อ Facebook Messenger มีการเรียกการทำงาน Windows PowerShell จาก C:\Python27 พาธนี้มักจะถูกสร้างเมื่อมีการติดตั้ง Python เวอร์ชัน 2.7 โดยไม่ได้มีอยู่ในการติดตั้งทั่วไปของ Windows ด้วยพฤติกรรมในลักษณะนี้ผู้โจมตีสามารถแทนที่ไฟล์หรือโปรแกรมที่ Facebook Messenger เรียกและไม่มีอยู่จริงนั้นด้วยไฟล์หรือโปรแกรมที่เป็นอันตรายได้

ช่องโหว่นี้ถูกแก้ไขในเวอร์ชัน 480.5 ผู้ใช้ที่ใช้งานในเวอร์ชันที่มีปัญหาควรทำการอัปเดตทันที

ที่มา:thehackernews

Facebook Messenger malware is stealing your password and your money

พบมัลแวร์แพร่กระจายผ่าน Facebook Messenger อีกครั้ง แต่ความสามารถเพิ่มขึ้น !!!

มัลแวร์ตัวนี้ถูกเรียกว่า "FacexWorm" คาดว่าน่าจะเป็นตัวเดียวกับมัลแวร์ที่เคยระบาดบน Facebook Messenger เมื่อเดือนสิงหาคมปีที่แล้ว เหยื่อจะพบว่ามี Link ถูกส่งมาทาง Facebook Messenger ซึ่งผู้ส่งอาจจะเป็นเพื่อนที่ติดมัลแวร์ตัวนี้แล้ว เมื่อกด link ดังกล่าว จะทำการเปิดหน้า YouTube ปลอมขึ้นมา หากใช้ Google Chrome จะมีการแจ้งให้ผู้ใช้ติดตั้ง extension ที่มีชื่อว่า "Koblo"(ชื่ออาจจะถูกเปลี่ยนได้ในอนาคต)

ความสามารถของมัลแวร์ตัวนี้คือ สามารถขโมย credentials บน website ที่มีการใช้งาน, สามารถขโมยเงินดิจิตอล(cryptocurrency) เมื่อมีการเข้าไปทำธุรกรรมต่างๆ(Trading) และสุดท้ายคือสามารถใช้เครื่องผู้ใช้งานในการขุดสกุลเงินดิจิตอล นอกจากนี้ยังสามารถใช้บัญชีผู้ใช้ของเหยื่อในการโจมตีผู้อื่นต่อไปได้อีกด้วย

วิธีป้องกันตนเอง
- ไม่กดเข้า link ใดๆก็ตามที่ไม่น่าเชื่อถือ แม้มาจากคนรู้จักก็ตาม
- หากพบว่าถูกส่งมาจากคนรู้จัก ควรแจ้งเจ้าของบัญชีนั้นๆ
- ไม่ติดตั้ง extension ใดๆก็ตามที่ไม่รู้จัก

ที่มา : Komando

Digmine Malware Spreading via Facebook Messenger

พบมัลแวร์ Digmine ซึ่งติดตั้ง Monero cryptocurrency miner และ Chrome extension ที่เป็นอันตรายโดยแพร่กระจายไปยังเหยื่อรายใหม่ผ่าน Facebook Messenger โดยเหยื่อจะได้รับไฟล์ชื่อ video_xxxx.

Beware of Windows/MacOS/Linux Virus Spreading Through Facebook Messenger

นักวิจัยแจ้งอันตรายจากลิงก์วิดีโอที่ส่งมาจากใครก็ตาม บน Facebook Messenger ไม่ควรเปิดลิงก์ดังกล่าว เนื่องจากจะทำการเปิดเว็บไซต์ปลอมที่หลอกให้ติดตั้ง Software ที่เป็นอันตราย ซึ่ง URL ที่เปิดจะพาเหยื่อไปยังปลายทางที่ต่างกันออกไปขึ้นอยู่กับ Browser และ Operating System ตัวอย่างเช่น
- ผู้ใช้ Mozilla Firefox บน Windows จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่แจ้งให้อัพเดต Flash Player พร้อมไฟล์ Windows ซึ่งมีค่าสถานะเป็น Adware Software
- ผู้ใช้ Google Chrome ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ปลอมแปลงเป็น YouTube ซึ่งจะแสดง popup หลอกให้ผู้ที่ตกเป็นเหยื่อดาวน์โหลดส่วนขยาย Chrome ที่เป็นอันตรายจาก Google Web Store
- ผู้ใช้ Safari บน Apple Mac OS X จะคล้ายกับ Firefox คือแจ้งอัพเดต Flash Player พร้อมไฟล์ระบบ MacOS ซึ่งเป็น Adware Software

เพื่อความปลอดภัย ควรระมัดระวังในการเปิดดูภาพหรือลิงก์วิดีโอที่ส่งมา ถึงแม้มาจากเพื่อนของคุณ ควรตรวจสอบความถูกต้องก่อน และให้อัพเดต Software Antivirus บนเครื่องให้เป็นรุ่นล่าสุดยู่เสมอ

ที่มา : TheHackerNews