Google ได้ประกาศแพตช์อัปเดตให้กับเบราว์เซอร์ Google Chrome เพื่อแก้ไขช่องโหว่ Zero-day ที่มีระดับความรุนแรงสูง

รายละเอียดของ Zero-day

โดยปกติแล้ว Google จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Zero-day จนกว่าผู้ใช้งาน Chrome ส่วนใหญ่จะได้รับการอัปเดต

ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-2856 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง เนื่องจากเป็นช่องโหว่เรื่องการตรวจสอบอินพุตในฟีเจอร์ที่เรียกแอปพลิเคชัน และบริการเว็บโดยตรงจากหน้าเว็บเพจ

การตรวจสอบความถูกต้องของอินพุตที่ไม่เหมาะสมในซอฟต์แวร์สามารถนำไปสู่ buffer overflow , directory traversal , SQL injection , cross-site scripting, null byte injection และอื่นๆ

ช่องโหว่นี้ถูกค้นพบ และรายงานโดย Ashley Shen และ Christian Resell ซึ่งเป็นสมาชิกของ Google Threat Analysis Group (TAG)

การอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 5 นับตั้งแต่ต้นปี โดยช่องโหว่ zero-day 4 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่ :

CVE-2022-0609 - Use-after-free in Animation – February 14

CVE-2022-1096 - Type confusion in V8 – March 25

CVE-2022-1364 - Type confusion in V8 – April 14

CVE-2022-2294 - Heap buffer overflow in WebRTC – July 4

Google แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 104.0.5112.101 สำหรับ macOS และ Linux และเวอร์ชัน 104.0.5112.102/101 สำหรับ Windows เพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้นกับผู้ใช้งานเบราว์เซอร์ที่ใช้ Chromium เช่น Microsoft Edge, Brave, Opera และ Vivaldi จึงแนะนำให้ผู้ใช้งานทำการการอัปเดตเวอร์ชันก่อนการใช้งาน

ที่มา : bleepingcomputer

กลุ่มแฮ็กเกอร์จากอิสราเอล Candiru ใช้ช่องโหว่ Zero-day บน Google Chrome เพื่อสอดแนมนักข่าว และบุคคลที่เป็นเป้าหมายในตะวันออกกลางด้วยสปายแวร์ 'DevilsTongue' ช่องโหว่ CVE-2022-2294 เป็นช่องโหว่ heap-based buffer overflow ที่มีระดับความรุนแรงสูงใน WebRTC ซึ่งหากโจมตีได้สำเร็จ จะสามารถสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ที่เป็นเป้าหมายได้ โดย Google ออกอัปเดตแพตซ์ Zero-day ดังกล่าวไปแล้วในวันที่ 4 กรกฎาคม ซึ่ง Google ยอมรับว่าช่องโหว่นี้ถูกใช้ในการโจมตีอยู่จริง แต่ไม่ได้ให้รายละเอียดเพิ่มเติม โดยรายงานจากนักวิจัยจาก Avast ซึ่งค้นพบช่องโหว่ดังกล่าว และเป็นผู้รายงานไปยัง Google เปิดเผยว่าพวกเขาค้นพบช่องโหว่ดังกล่าวหลังจากตรวจสอบการโจมตีด้วยสปายแวร์บนเครื่อง clients จากข้อมูลของ Avast Candiru เริ่มโจมตีโดยใช้ช่องโหว่ CVE-2022-2294 ในเดือนมีนาคม 2022 โดยกำหนดเป้าหมายไปยังผู้ใช้ในเลบานอน, ตุรกี, เยเมน และปาเลสไตน์ โดยผู้โจมตีใช้วิธีการ watering hole ด้วยการโจมตีเพื่อเข้าไปควบคุมเว็ปไซต์ที่เป้าหมายเข้าใช้เป็นประจำ จากนั้นก็ฝัง exploit ที่ใช้สำหรับโจมตี browser ที่มีช่องโหว่ของเป้าหมายที่เข้ามาใช้งานเว็ปไซต์เพื่อติดตั้ง spyware การโจมตีลักษณะนี้ไม่จำเป็นต้องให้เหยื่อคลิกลิงก์ หรือดาวน์โหลดอะไรเลย สิ่งที่พวกเขาต้องการคือให้เหยื่อเปิดเว็บไซต์นั้นๆด้วย Google Chrome หรือ Chromium-based browser ที่มีช่องโหว่เท่านั้น ซึ่งเว็บไซต์เหล่านี้อาจเป็นเว็บไซต์ตามปกติทั่วๆไป หรือเว็บไซต์ที่ถูกสร้างขึ้นโดยผู้โจมตี และหลอกให้เหยื่อเข้าใช้งานผ่านทาง spear phishing ก็ได้ ในกรณีหนึ่ง ผู้โจมตีทำการโจมตีเว็บไซต์ที่สำนักข่าวในเลบานอนใช้งาน และฝังโค้ด JavaScript ที่เปิดใช้งานการโจมตีแบบ XXS (cross-site scripting) และเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ใช้สำหรับโจมตีช่องโหว่บน browser ดังกล่าว

Avast ระบุในรายงานว่า "เมื่อเหยื่อเข้ามาถึงเซิร์ฟเวอร์ที่ใช้สำหรับโจมตี จะได้รับการพิสูจน์ว่าเป็นเป้าหมายจริงๆหรือไม่ด้วยการตรวจสอบข้อมูลภาษาที่ใช้, timezone, ข้อมูลบนหน้าจอ, ชนิดของอุปกรณ์, ปลั๊กอินบน browser, ข้อมูลบนหน่วยความจำ รวมไปถึงข้อมูล cookie ด้วย" ในกรณีของเลบานอน Zero-day จะช่วยทำให้ผู้โจมตีสามารถสั่งรัน shell code ได้สำเร็จ และหลบเลี่ยงการตรวจจับของแซนด์บ็อกซ์ของ chrome เนื่องจากช่องโหว่อยู่ใน WebRTC จึงส่งผลต่อ browser Safari ของ Apple ด้วย อย่างไรก็ตามการโจมตีที่ถูกตรวจพบโดย Avast สามารถทำงานได้บน Windows เท่านั้น หลังจากการติดตั้งครั้งแรก DevilsTongue จะใช้ขั้นตอน BYOVD ("bring your own driver") เพื่อยกระดับสิทธิ์ และกำหนดสิทธิ์การอ่าน และเขียนข้อมูลไปยังหน่วยความจำของอุปกรณ์ที่ถูกโจมตี

สิ่งที่น่าสนใจคือ Avast ค้นพบว่า BYOVD ที่ Candiru ใช้นั้นเป็น Zero-day เช่นเดียวกัน และแม้ว่าช่องโหว่จะได้รับการอัปเดตไปแล้ว แต่ก็ไม่สามารถป้องกันได้ เนื่องจากเวอร์ชันที่ถูกนำมาใช้กับ spyware คือเวอร์ชันที่ยังมีช่องโหว่อยู่นั่นเอง แม้ว่าจะไม่ชัดเจนว่าผู้โจมตีกำหนดเป้าหมายไปที่ข้อมูลประเภทใด แต่ Avast เชื่อว่าผู้โจมตีใช้ข้อมูลดังกล่าวเพื่อศึกษาเกี่ยวกับข่าวที่นักข่าวกำลังค้นคว้าอยู่ ผู้โจมตีเป็นที่รู้จักดีอยู่แล้วในด้านการพัฒนา หรือใช้ Zero-day เพื่อโจมตีบุคคลที่ตกเป็นเป้าหมาย แต่จากครั้งล่าสุดที่ Candiru ดำเนินการโจมตีถูกเปิดเผยโดย Microsoft และ Citizen Lab จึงทำให้กลุ่มผู้โจมตีได้พัฒนา DevilsTongue ด้วยการโจมตีจาก Zero-days รูปแบบใหม่ตามที่ Avast เปิดเผยในครั้งนี้ เพื่อแก้ไขปัญหานี้ Apple วางแผนที่จะสร้าง iOS 16 ใหม่ที่เรียกว่า 'Lockdown Mode' ซึ่งจำกัดคุณสมบัติ และการทำงานของอุปกรณ์เพื่อป้องกันการรั่วไหลของข้อมูล หรือลดผลกระทบจากการติดสปายแวร์ให้น้อยที่สุด

ที่มา: bleepingcomputer

 

ในวันพฤหัสบดีที่ 19 พฤษภาคม Threat Analysis Group (TAG) ของ Google รายงานว่า Cytrox ผู้พัฒนาสปายแวร์ ได้พัฒนาเครื่องมือที่ใช้ในการโจมตีช่องโหว่ Zero-day 5 รายการ เพื่อกำหนดเป้าหมายไปยังผู้ใช้ Android ด้วยสปายแวร์

มีการใช้งานช่องโหว่ Zero-day ร่วมกับช่องโหว่ n-day เพื่อติดตั้งสปายแวร์ โดยได้มีการพัฒนาเครื่องมือที่ใช้ในการโจมตีช่องโหว่สำหรับ Chrome Zero-day และ 1 ช่องโหว่สำหรับ Android Zero-day

CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 in Chrome
CVE-2021-1048 in Android

นักวิจัย TAG Clement Lecigne และ Christian Resell อธิบายว่ามีการใช้งานเครื่องมือที่ใช้ในการโจมตี Zero-day ร่วมกับ n-day โดยผู้โจมตีพยายามใช้ประโยชน์จากความแตกต่างของระยะเวลาในการออกแพตช์ในระดับ Critical บางตัว ซึ่งบางครั้งแพตช์เหล่านี้ไม่ได้ถูกปล่อยออกมาพร้อมกันบนอุปกรณ์ Android ทั้งหมดจากผู้ให้บริการในแต่ละราย

ตามข้อมูลของ Google ช่องโหว่ดังกล่าวรวมอยู่ในรายการสปายแวร์ของ Cytrox ที่ขายให้กับผู้ดำเนินการที่มีส่วนเกี่ยวข้องกับภาครัฐของชาติต่างๆ เช่น อียิปต์ อาร์เมเนีย กรีซ มาดากัสการ์ โกตดิวัวร์ เซอร์เบีย สเปน และอินโดนีเซีย ซึ่งผู้โจมตีกำลังใช้สปายแวร์ Predator ใน 3 แคมเปญที่แตกต่างกันในรายงานการวิเคราะห์จาก Citizen Lab ของมหาวิทยาลัยโตรอนโต

TAG ตรวจสอบ 3 แคมเปญ และได้สรุปว่าผู้โจมตีจะทำการส่งลิงก์ไปยังผู้ใช้ Android ผ่าน spear-phishing emails ลิงก์เหล่านี้จะถูกย่อโดยใช้ URL shortener ที่ใช้ทั่วไป ซึ่งผู้โจมตีจะมุ่งเป้าไปยังเหยื่อเพียงไม่กี่ราย เมื่อเหยื่อคลิกที่ URL เหล่านี้ ก็จะทำให้ถูกเปลี่ยนเส้นทางไปยังโดเมนภายใต้การควบคุมของผู้โจมตีซึ่งใช้ในการโจมตีช่องโหว่ดังกล่าว ก่อนที่จะเปลี่ยนเส้นทางกลับไปยังเว็บไซต์ที่ถูกต้อง การกระทำดังกล่าวใช้เพื่อส่ง ALIEN Android banking Trojan ที่ทำหน้าที่เป็นตัวโหลด Cytrox's Predator

(more…)

Google ได้ออกแพตซ์อัปเดตสำหรับเบราว์เซอร์ Chrome ที่มีการแก้ไขช่องโหว่ด้านความปลอดภัยกว่า 30 รายการ โดยเวอร์ชันล่าสุดที่แนะนำคือ Chrome 101.0.4951.41 สำหรับ Windows, Mac และ Linux โดยเวอร์ชันนี้ได้มีการแก้ไขช่องโหว่ที่ทำให้ผู้โจมตีสามารถใช้เพื่อควบคุมระบบที่มีช่องโหว่ได้

ขณะที่ Microsoft ก็แนะนำให้ผู้ใช้งาน Edge ซึ่งเป็น Chrome เวอร์ชันที่ได้รับการรับรองจาก Microsoft ให้อัปเดตด้วยเช่นกัน เนื่องจากมีช่องโหว่หลายจุดร่วมกัน

มีช่องโหว่ 7 รายการ ที่ได้รับการจัดอันดับว่าเป็นระดับความรุนแรงสูง โดยมีช่องโหว่ 5 รายการ เป็นช่องโหว่ที่เกิดขึ้นจาก “Use after free” ซึ่งเป็นปัญหาการย้ายหน่วยความจำที่ทำให้แฮ็กเกอร์สามารถสั่งรันโค้ดที่เป็นอันตรายได้ เมื่อผู้ใช้งานเข้าไปยังหน้าเว็บที่เป็นอันตรายที่ถูกสร้างขึ้น

(more…)

Google ออกแพตซ์อัพเดทสำหรับเบราว์เซอร์ Chrome เวอร์ชัน 100.0.4896.127 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ Zero-day ที่มีความรุนแรงสูง ที่กำลังถูกใช้ในการโจมตีจากผู้ไม่หวังดี

"Google ทราบดีถึงการโจมตีโดยช่องโหว่ CVE-2022-1364 ที่กำลังเกิดขึ้นอยู่ในปัจจุบัน" โดยระบุว่าการอัปเดตเบราว์เซอร์ Chrome นี้ ผู้ใช้งานสามารถอัพเดทได้ทันทีโดยไปที่ Chrome menu > Help > About Google Chrome เบราว์เซอร์จะทำการตรวจหาการอัปเดตใหม่โดยอัตโนมัติ และติดตั้งในครั้งต่อไปที่ผู้ใช้ได้ทำการปิด และเปิด Google Chrome ขึ้นมาใหม่

เนื่องจากช่องโหว่นี้เริ่มถูกนำไปใช้ในการโจมตีจำนวนมาก จึงแนะนำให้ผู้ใช้งานทำการตรวจสอบการอัปเดตเวอร์ชันด้วยตนเองทันที และทำการปิด-เปิดเบราว์เซอร์ใหม่เพื่อใช้งาน

รายละเอียดเพิ่มเติม

ช่องโหว่ zero-day ที่ได้รับการแก้ไขในครั้งนี้มีเลข CVE-2022-1364 เป็นช่องโหว่ type confusion ระดับความความรุนแรงสูง บน Chrome V8 JavaScript engine

แม้ว่าช่องโหว่ type confusion โดยทั่วไปแล้วจะทำให้เกิด browser crashes เมื่อถูกโจมตีได้สำเร็จ แต่ผู้โจมตียังสามารถโจมตีเพื่อสั่งรันโค้ดที่เป็นอันตรายได้ด้วยเช่นเดียวกัน

ช่องโหว่นี้ถูกค้นพบโดย Clément Lecigne จากกลุ่ม Google Threat Analysis ซึ่งเป็นผู้รายงานไปยังทีม Google Chrome ในขณะที่ Google กล่าวว่าพวกเขาตรวจพบการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้แล้ว แต่ไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับวิธีการโจมตีที่พบ

โดย Google แจ้งล่าสุดว่า "รายละเอียดของช่องโหว่จะยังไม่ถูกเปิดเผย จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตและการแก้ไข" ช่องโหว่นี้เป็นช่องโหว่เดียวในการอัปเดตครั้งนี้ ซึ่งแสดงให้เห็นว่า Chrome เวอร์ชัน 100.0.4896.127 เป็นการออกอัพเดทอย่างเร่งด่วนเพื่อแก้ไขช่องโหว่นี้โดยเฉพาะ

ช่องโหว่ Zero-day บน Chrome ช่องโหว่ที่ 3 ของปีนี้

ช่องโหว่ 2 รายการก่อนหน้านี้ที่พบในปี 2565 มีดังต่อไปนี้

CVE-2022-1096 - 25 มีนาคม
CVE-2022-0609 - 14 กุมภาพันธ์

ที่มา : bleepingcomputer.

Microsoft Defender For Endpoint ติดแท็กการอัปเดต Google Chrome ที่ผ่าน Google Update ว่าเป็นพฤติกรรมที่ต้องสงสัย

ตามรายงานของผู้ดูแลระบบ Windows โซลูชันความปลอดภัย (เดิมเรียกว่า Microsoft Defender ATP) ได้เริ่มทำเครื่องหมายการอัปเดต Chrome ว่าน่าสงสัยตั้งแต่เย็นที่ผ่านมา ผู้ที่พบปัญหานี้รายงานว่ามีการแจ้งเตือนบน Defender for Endpoint ของ Windows ว่า "มีเหตุการณ์ที่เกี่ยวข้องกับการหลบเลี่ยงการป้องกัน"

ในคำแนะนำของ Microsoft 365 Defender ที่ออกหลังจากการพบการแจ้งเตือนเหล่านี้ Microsoft เปิดเผยว่าเป็น trigger ที่ผิดพลาด โดยถือเป็น false positive และไม่ได้เกิดจากพฤติกรรมที่เป็นอันตราย

"ผู้ดูแลระบบอาจได้รับการแจ้งเตือนที่เป็น false positive สำหรับ Google Update บน Microsoft Defender" Microsoft กล่าว

ประมาณหนึ่งชั่วโมงครึ่งต่อมาได้มีการอัพเดทคำแนะนำ โดย Microsoft กล่าวว่า จุดที่เป็น false Positive ได้รับการแก้ไขแล้ว

"เราพิจารณาแล้วว่าเป็น false positive และเราได้อัปเดตสำหรับการแจ้งเตือนนี้ เพื่อแก้ไขปัญหาที่พบเรียบร้อยแล้ว" โฆษกของ Microsoft กล่าวกับ BleepingComputer (more…)

สัปดาห์นี้ Google ได้ออกแพตซ์อัพเดทด้านความปลอดภัยของ Chrome Browser เพื่อแก้ไขช่องโหว่ทั้งหมด 28 ช่องโหว่ ซึ่งบางช่องโหว่มีระดับความรุนแรงสูง ที่สามารถทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายได้

Google Chrome เวอร์ชั่นล่าสุดสำหรับผู้ใช้ Windows, Mac และ Linux คือเวอร์ชัน 100.0.4896.60 โดยมี 9 ช่องโหว่ที่มีระดับความรุนแรงสูง เป็นการรายงานมาจากผู้เชี่ยวชาญจากภายนอก ซึ่งส่วนใหญ่เป็นช่องโหว่เกี่ยวกับเรื่อง Use-after-free

Google กล่าวว่าได้จ่ายเงินรางวัลให้กับนักวิจัยที่รายงานช่องโหว่ไปแล้ว $52,000 แต่คาดกันว่าสุดท้ายจำนวนเงินอาจสูงกว่านี้มาก เนื่องจากยังไม่ได้มีการระบุเงินรางวัลสำหรับช่องโหว่ที่ถูกรายงานจากผู้เชี่ยวชาญภายนอกอีกกว่าครึ่งหนึ่ง

Google ได้ให้เงินรางวัลสำหรับช่องโหว่ Use-after-free กับ Wei Yuan จาก MoyunSec VLab ซึ่งเป็นจำนวนเงินที่สูงกว่าช่องโหว่อื่นๆ

Google Chrome เวอร์ชั่น 100 พึ่งจะออกมาเมื่อสัปดาห์ก่อน เพื่อแก้ไขช่องโหว่ Zero-day ใน V8 JavaScript engine ซึ่งถือว่าเป็นช่องโหว่ Zero-day ตัวที่ 2 ที่ถูกรายงานใน Chrome ปีนี้

ที่มา : securityweek

Google ได้ออกอัพเดท Chrome เวอร์ชัน 98.0.4758.102 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ Zero-day

Google แจ้งว่าการอัปเดตตามปกติของ Chrome จะมาในไม่กี่สัปดาห์ข้างหน้า แต่อย่างไรก็ตามเนื่องจากช่องโหว่ CVE-2022-0609 เริ่มถูกใช้ในการโจมตีเป็นวงกว้าง ผู้ใช้งานสามารถทำการติดตั้งการอัปเดตได้ทันทีโดยไปที่ Chrome menu > Help > About Google Chrome เบราว์เซอร์จะตรวจสอบการอัปเดตใหม่โดยอัตโนมัติ และติดตั้งในครั้งต่อไปหลังจากที่มีการปิดและเปิด Google Chrome ใหม่อีกครั้ง

(more…)

Google ประกาศแพตช์รอบที่สองสำหรับช่องโหว่ Zero-day รหัส CVE-2021-21166 ที่กำลังถูกใช้โจมตีใน Chrome รุ่น 89.0.4389.72 ที่ผ่านมา โดย CVE-2021-21166 เป็นช่องโหว่อยู่ในระดับสูงและเกี่ยวข้องกับคอมโพเนนต์เรื่องเสียงของ Chrome

แม้ว่า Google จะตรวจพบการใช้ CVE-2021-21166 ในการโจมตีจริงแล้ว Google ก็ยังไม่ได้มีการเปิดเผยรายละเอียดการใช้ช่องโหว่ดังกล่าวเพื่อโจมตีออกมา รวมไปถึงข้อมูลประกอบ อาทิ เป้าหมายของการโจมตี หรือกลุ่มที่อยู่เบื้องหลังการโจมตี โดย Google มีการให้เหตุผลว่าข้อมูลของการโจมตีนั้นจะถูกเก็บเอาไว้จนกว่าผู้ใช้งานส่วนใหญ่จะทำการอัปเดตรุ่นของเบราว์เซอร์ Chrome ให้เป็นรุ่นล่าสุด

นอกเหนือจากแพตช์สำหรับ CVE-2021-21166 ที่ถูกแพตช์ในรอบนี้ด้วยความเร่งด่วนแล้ว Chrome จะมีการปล่อยแพตช์ให้กับอีก 47 ช่องโหว่ซึ่งโดยส่วนใหญ่ถูกพบโดยนักวิจัยด้านความปลอดภัยภายนอกด้วย ขอให้ผู้ใช้ ทำการอัปเดต Chrome ให้เป็นเวอร์ชันล่าสุดโดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัยจากบริษัท Confiant บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยถึงการค้นพบแคมเปญ Malvertising ของกลุ่ม ScamClub ที่ใช้ช่องโหว่แบบ Zero-day ในเว็บเบราว์เซอร์ที่ใช้ WebKit engine ในการส่งเพย์โหลดเพื่อรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะสมและจะแสดงโฆษณาที่เป็นอันตรายต่อผู้ใช้

ตามรายงานของ Confiant ได้ระบุว่าการโจมตีแคมเปญดังกล่าวพบครั้งแรกในเดือนมิถุนายนปี 2020 และยังคงดำเนินอยู่ในปัจจุบัน กลุ่มที่อยู่เบื้องหลังการโจมตีคือกลุ่มที่รู้จักกันในชื่อ ScamClub ซึ่งเป็นกลุ่มที่ดำเนินธุรกิจโดยการซื้อช่องโฆษณาจำนวนมากบนหลายแพลตฟอร์ม โดยกลุ่ม ScamClub มักกำหนดเป้าหมายผู้ใช้ iOS ด้วยโฆษณาที่เป็นอันตรายซึ่งมักจะรีไดเร็คผู้ใช้ไปยังเว็บไซต์ที่ที่ไม่เหมาะเพื่อทำการหลอกลวงผู้ใช้ทางออนไลน์และพยายามรวบรวมข้อมูลทางการเงินของผู้ใช้

ช่องโหว่ Zero-day ในโอเพนซอร์ส WebKit ถูกติดตามด้วยรหัส CVE-2021-1801 และถูกค้นพบโดยวิศวกรรักษาความปลอดภัยจาก Confiant และนักวิจัย Eliya Stein ซึ่งพบว่าการโจมตีได้อาศัยช่องโหว่ใน WebKit เพื่อทำการส่งเพย์โหลดยังผู้ใช้และทำการรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะ

เนื่องจาก WebKit ถูกใช้ใน Safari ของ Apple และ Google Chrome สำหรับ iOS ทาง Stein จึงได้ทำการรายงานช่องโหว่ที่ค้นพบไปยังทีมของ Apple Security และทีมของ Google Chrome WebKit ซึ่ง WebKit ได้รับการแก้ไขช่องโหว่และออกแพตช์ความปลอดภัยแล้วในวันที่ 2 ธันวาคม 2020 ที่ผ่านมา

ทั้งนี้ Confiant ได้ทำการรวบรวม Indicators of compromise (IoCs) ลงใน GitHub ผู้ที่สนใจ IoCs แคมเปญของกลุ่ม ScamClub สามารถติดตามได้ที่: https://github.