มีรายละเอียดใหม่เกี่ยวกับแคมเปญฟิชชิงที่กำหนดเป้าหมายไปยังผู้พัฒนา extension ของเบราว์เซอร์ Chrome ซึ่งนำไปสู่การถูกเจาะข้อมูลของ extension อย่างน้อย 35 รายการ เพื่อแทรกโค้ดที่ใช้สำหรับขโมยข้อมูลไว้ ซึ่งรวมถึง extension จากบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง Cyberhaven ด้วย (more…)
พบข้อมูลว่าแฮ็กเกอร์สามารถโจมตี Extensions ของ Google Chrome ได้กว่า 35 รายการ
Meta Ads ปลอม ขโมยบัญชี Facebook เพื่อแพร่กระจาย SYS01 Infostealer
แคมเปญโฆษณามัลแวร์กำลังใช้ประโยชน์จากแพลตฟอร์มของ Meta เพื่อแพร่กระจายมัลแวร์ SYS01 Infostealer ซึ่งเป็นภัยคุกคามทางไซเบอร์ที่รู้จักกันดีในการขโมยข้อมูลส่วนบุคคลของผู้ใช้งาน Meta โดยเฉพาะผู้ใช้งาน Facebook (more…)
โมดูล Facebook PrestaShop กำลังถูกใช้เพื่อขโมยข้อมูลบัตรเครดิต
แฮ็กเกอร์ใช้ประโยชน์จากช่องโหวในโมดูล Facebook ระดับพรีเมี่ยม สำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อติดตั้ง card skimmer บนเว็บไซต์ e-commerce ที่มีช่องโหว่ และขโมยข้อมูลการชำระเงินผ่านบัตรเครดิตของผู้ใช้งาน
PrestaShop เป็นแพลตฟอร์ม e-commerce แบบ open-source ที่ช่วยให้ผู้ใช้งาน และธุรกิจสามารถสร้าง และจัดการร้านค้าออนไลน์ได้ โดยในปี 2024 มีร้านค้าออนไลน์ประมาณ 300,000 แห่งทั่วโลกที่ใช้งานอยู่
pkfacebook เป็น add-on ของบริษัท Promokit เป็นโมดูลที่ช่วยให้ผู้เยี่ยมชมร้านค้าเข้าสู่ระบบได้โดยใช้บัญชี Facebook, แสดงความคิดเห็นในเพจของร้านค้า และสื่อสารกับฝ่าย support โดยใช้ Messenger
Promokit มียอดขายมากกว่า 12,500 ครั้ง แต่โมดูล Facebook จะถูกขายผ่านเว็บไซต์ของ Promokit เท่านั้น และไม่มีรายละเอียดอื่น ๆ เกี่ยวกับ sales number
ช่องโหว่ระดับ Critical หมายเลข CVE-2024-36680 เป็นช่องโหว่ SQL Injection ใน Ajax สคริปต์ facebookConnect.
พบการโจมตี Phishing รูปแบบใหม่ ใช้โพสต์บน Facebook เพื่อหลีกเลี่ยงการตรวจสอบจาก Email
พบแคมเปญ Phishing รูปแบบใหม่ที่ใช้โพสต์บน Facebook ในการโจมตี เพื่อขโมยข้อมูลบัญชีผู้ใช้งาน Facebook และข้อมูลที่สามารถระบุตัวบุคคลได้ Personally Identifiable Information (PII)
ขั้นตอนการโจมตี
ภายในเนื้อหาของ Phishing Email ที่ใช้ในการโจมตีจะระบุว่า “พบปัญหาการละเมิดลิขสิทธิ์ในโพสต์บน Facebook หากไม่ยื่นอุทธรณ์ภายใน 48 ชั่วโมง บัญชีนี้จะถูกลบ” พร้อมทั้งแนบลิงก์เพื่ออุทธรณ์การลบบัญชี
โดยลิงก์ดังกล่าวคือโพสต์ที่มีอยู่จริงบน Facebook.
Trojan app บน Google Play Store ขโมย Facebook Credentials จากผู้ใช้ Android ไปแล้วกว่า 3 แสนราย
นักวิจัยด้านความปลอดภัย Nipun Gupta และ Aazim Bill SE Yaswant พบ Trojan App ที่ชื่อว่า Schoolyard Bully Trojan บน Google Play Store โดยมียอดผู้ดาวน์โหลดแอปดังกล่าวไปแล้วกว่า 3 แสน รายใน 71 ประเทศ ซึ่งปัจจุบันได้ถูกถอดจาก Google Play Store ไปแล้ว แต่ก็ยังมีเผยแพร่อยู่บน 3rd party อื่น ๆ เช่น Telegram หรือ Whatsapp เป็นต้น
ลักษณะการทำงาน
Trojan ได้ถูกออกแบบมาเพื่อขโมย Facebook credentials เป็นหลัก โดยจะปลอมเป็นแอปพลิเคชั่นสำหรับการศึกษาที่ดูใช้งานได้ตามปกติ หรือแอปสำหรับอ่านนิยายออนไลน์เพื่อหลอกล่อให้เหยื่อดาวน์โหลดมาโดยไม่เกิดความสงสัย
ซึ่งหลังจากที่เหยื่อมีการโหลดมาแอปมาติดตั้งไว้บนเครื่องแล้วจะมีการหลอกล่อเหยื่อให้เปิดหน้าใช้งานเข้าสู่ระบบของ Facebook ใน WebView ซึ่งภายในหน้าเว็บนั้นจะมีการฝัง JavaScript ที่มีความสามารถในการขโมยข้อมูลจำพวก เบอร์โทรศัพท์ อีเมล และรหัสผ่านของผู้ใช้ ส่งไปยัง Command-and-control (C2) ที่ถูกกำหนดไว้ของผู้โจมตี
นอกจากนี้ Schoolyard Bully Trojan ยังมีความสามารถในการใช้ประโยชน์จาก native libraries เช่น libabc.
Instagram และ Facebook บน iOS สามารถติดตามการใช้งานเว็ปไซต์ของผู้ใช้งานได้ผ่านทาง in-app browser
แอปพลิเคชัน Instagram และ Facebook จะมีลิงก์เว็บไซต์ และโฆษณาต่าง ๆ มากมายภายในแอป โดยเมื่อผู้ใช้คลิกลิงก์เพื่อเปิดเว็บไซต์ แอปพลิเคชันจะเปิดเว็บไซต์ผ่านเว็บเบราว์เซอร์ของมันเอง ซึ่งจะมีการแทรกโค้ด JavaScript (connect.
เบอร์โทรศัพท์ และข้อมูลส่วนบุคคลของผู้ใช้งาน Facebook ถูกนำมาปล่อยบนเว็บไซต์ใต้ดิน
ข้อมูลดังกล่าวประกอบด้วยชื่อ- นามสกุล, Facebook ID, เบอร์โทรศัพท์, อีเมล, เพศ, อาชีพ และประเทศ เป็นต้น และเป็นข้อมูลของผู้ใช้งาน Facebook มากกว่า 533 ล้านราย จาก 106 ประเทศ แต่ไม่พบว่ามีข้อมูลของผู้ใช้งานในประเทศไทย เชื่อว่าข้อมูลดังกล่าวรั่วไหลมาตั้งแต่ปี 2019 ผ่านทางช่องโหว่เก่าของ Facebook ที่ได้รับการแก้ไขไปแล้ว ข้อมูลดังกล่าวจึงเป็นข้อมูลตั้งแต่เมื่อปี 2019 ทั้งนี้จากข้อมูลล่าสุดมีการระบุว่า Mark Zuckerberg ผู้ก่อตั้ง Facebook เองก็เป็นหนึ่งในผู้เสียหายที่มีข้อมูลหลุดออกมาเช่นเดียวกัน
ที่มา: thehackernews
พบช่องโหว่ใน Facebook for WordPress Plugin มีการติดตั้งใช้งานไปแล้วมากกว่า 500,000 ครั้ง
ทีมนักวิจัยจาก WordFence พบช่องโหว่ของ plugin ที่รู้จักกันในชื่อว่า "Official Facebook Pixel" ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงค่า salts และ keys โดยไม่ต้องพิสูจน์ตัวตน (unauthenticate) เพื่อนำไปใช้รันคำสั่งอันตราย (RCE) ร่วมกับเทคนิค deserialization ช่องโหว่ยังสามารถถูกใช้เพื่อ inject JavaScript เข้าไปใน setting ของ plugin หากสามารถหลอกให้เหยื่อคลิกลิงก์ได้ และได้มีการแจ้งให้ Facebook ทราบตั้งแต่ธันวาคมปีที่แล้ว และได้มีการปล่อยแพทช์แก้ไขเมื่อเดือนมกราคมที่ผ่านมา ช่องโหว่ได้รับความรุนแรงในระดับ critical และมีคะแนน 9 จาก 10 (CVE-2021-24217)
หลังจากนั้นได้มีการค้นพบช่องโหว่ที่ 2 และแจ้งไปยัง Facebook ตั้งแต่ปลายเดือนมกราคมที่ผ่านมา และได้มีการออกแพทช์เพื่อแก้ไขปัญหาไปในช่วงกลางเดือนกุมภาพันธ์ที่ผ่านมา เป็นช่องโหว่ Cross-Site Request Forgery มีความรุนแรงในระดับ high มีคะแนน 8.8 จาก 10 (CVE-2021-24218) หากโจมตีสำเร็จจะทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำคัญบนเว็บไซต์ จากการ inject JavaScript เข้าไปในส่วน setting ของ plugin ได้
ผู้ที่มีการใช้งาน plugin ดังกล่าวควรทำการอัพเดตเป็นเวอร์ชั่น 3.0.5 เพื่อแพตช์ช่องโหว่ดังกล่าว
ที่มา: securityaffairs, wordfence
ElasticSearch ของแฮกเกอร์หลุด เผยปฏิบัติการขโมยข้อมูลจาก Facebook กับเหยื่อกว่า 100,000 ราย
ทีมนักวิจัยจาก vpnMentor เปิดเผยปฏิบัติการ Phishing และการหลอกลวงเอาข้อมูลบัตรเครดิคจากผู้ใช้งาน Facebook และหลังจากมีการตรวจระบบ ElasticSearch ของกลุ่มแฮกเกอร์ที่ถูกตั้งค่าไว้อย่างไม่ปลอดภัย ทำให้ทีมนักวิจัยสามารถเข้าถึงข้อมูลของเหยื่อได้
กลุ่มแฮกเกอร์ใช้วิธีการหลอกเป้าหมายใน Facebook เพื่อเข้ายึดครองบัญชีผู้ใช้งานโดยการหลอกให้ผู้ใช้งานกรอกข้อมูลสำหรับยืนยันตัวตนใส่โปรแกรมที่อ้างว่าจะช่วยให้ผู้ใช้งานทราบว่าใครเข้ามาดูหน้าโปรไฟล์ของพวกเขาได้ จากนั้น กลุ่มแฮกเกอร์จะนำข้อมูลบัญชีผู้ใช้ Facebook ที่ได้มาไปสแปมในโพสต์ต่าง ๆ ของ Facebook เพื่อหลอกลวงด้วยสถานการณ์อื่น ๆ
ในส่วนของระบบ ElasticSearch ของผู้โจมตีนั้น ทีมนักวิจัยจาก vpnMentor ระบุว่าข้อมูลซึ่งอยู่ในระบบ ElasticSearch มีขนาดประมาณ 5.5 กิกะไบต์, เก็บข้อมูลทั้งหมด 13,521,774 รายการ และมีข้อมูลของบัญชีผู้ใช้งานที่ไม่ซ้ำกันทั้งหมด 100,000 บัญชี ประวัติการใช้งานระบุว่าระบบดังกล่าวถูกเปิดใช้งานมาตั้งแต่เดือนมิถุนายนก่อนที่จะถูกตรวจพบในช่วงปลายเดือนกันยายนที่ผ่านมา
ข้อมูลในระบบ ElasticSearch ประกอบไปด้วยข้อมูลสำหรับยืนยันตัวตนของบัญชี Facebook เหยื่อ, หมายเลขไอพีแอดเดรส, เทมเพลตข้อความเพื่อใช้ในการคอมเมนต์โดยผู้โจมตี, และข้อมูลส่วนตัวอื่นๆ ในขณะนี้ทางทีมวิจัยได้มีการติดต่อไปยัง Facebook เพื่อประสานงานและแจ้งให้ผู้ใช้ได้รับทราบแล้ว
ที่มา: threatpost
กลุ่มมัลแวร์เรียกค่าไถ่ Ragnar Locker ซื้อโฆษณาใน Facebook เพื่อกดดันเหยื่อให้จ่ายค่าไถ่
กลุ่มมัลแวร์เรียกค้าไถ่ Ragnar Locker เริ่มขยับการกดดันให้เหยื่อจ่ายค่าไถ่ด้วยวิธีการใหม่ โดยการแฮกเข้าไปในบัญชี Facebook ของธุรกิจโฆษณาและใช้บัญชีดังกล่าวในการสร้างโฆษณาเพื่อประกาศการโจมตี Campari Group ซึ่งเป็นเหยื่อรายล่าสุดของทางกลุ่ม
การโจมตี Campari Group เกิดขึ้นเมื่อช่วงปลายเดือนตุลาคมที่ผ่านมา ผู้โจมตีอ้างว่าสามารถเข้าถึงและขโมยข้อมูลออกมาได้กว่า 2 เทระไบต์ก่อนจะเริ่มกระบวนการเข้ารหัสและเรียกค่าไถ่ โดยเงื่อนไขในการขู่กรรโชกนั้นคือการจ่ายเงินกว่า 15 ล้านดอลลาร์สหรัฐฯ เพื่อแลกกับการถอดรหัสและการยับยั้งไม่ให้แฮกเกอร์เปิดเผยข้อมูลที่ขโมยมา
เนื้อหาในโฆษณาที่กลุ่ม Ragnar Locker กระจายใน Facebook นั้นมีการพูดถึงการโจมตี Campari Group พร้อมคำขู่ว่าจะมีการปล่อยข้อมูลที่ขโมยออกมาได้เพิ่มหากผู้เสียหายไม่มีการจ่ายค่าไถ่ภายใต้เงื่อนไขที่กำหนด โฆษณาดังกล่าวถูกแสดงให้ผู้ใช้งาน Facebook เห็นว่า 7,000 ครั้งก่อนจะถูกระบบของ Facebook ตรวจจับและปิดการเข้าถึง
ที่มา: bleepingcomputer | threatpost