ทีมวิจัยภัยคุกคามทางไซเบอร์ของ Google (TAG) พบว่าแฮ็กเกอร์กำลังใช้ช่องโหว่ zero-day ในเซิร์ฟเวอร์อีเมล Zimbra collaboration เพื่อขโมยข้อมูลที่มีความสําคัญจากระบบของรัฐบาลในหลายประเทศ (more…)

Google ดำเนินการขั้นตอนในการเพิ่มความปลอดภัยทางอินเทอร์เน็ตของ Chrome โดยอัปเกรด HTTP requests ที่ไม่ปลอดภัยเป็น HTTPS requests โดยอัตโนมัติสำหรับผู้ใช้งานทั้งหมด (more…)

Avast ยอมรับติดแท็ก Google app ว่าเป็นมัลแวร์บน Android

บริษัทด้านความปลอดภัยทางไซเบอร์สัญชาติเช็ก Avast ยืนยันว่าซอฟต์แวร์ป้องกันไวรัสของตนได้ระบุว่า Google Android app เป็นมัลแวร์บนโทรศัพท์ Huawei, Vivo และ Honor ตั้งแต่วันเสาร์ที่ผ่านมา
(more…)

ผู้ไม่หวังดีใช้ Google Ads เป็นช่องทางในการหลอกผู้ใช้งานที่ค้นหาซอฟต์แวร์ Webex โดยสร้างโฆษณาที่ดูน่าเชื่อถือ ซึ่งเมื่อทำการดาวน์โหลด จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่มีมัลแวร์ BatLoader โดย Webex คือโปรแกรมการประชุมทางวิดีโอ และการติดต่อสื่อสาร ซึ่งเป็นส่วนหนึ่งของกลุ่มผลิตภัณฑ์ของ Cisco และใช้โดยองค์กร และธุรกิจต่าง ๆ ทั่วโลก

Malwarebytes รายงานว่าแคมเปญ Malvertising ถูกฝังอยู่ใน Google Search เป็นเวลากว่า 1 สัปดาห์ โดยกลุ่มผู้โจมตีที่คาดว่ามาจากเม็กซิโก

แคมเปญมัลแวร์ที่แฝงใน Google Ad

Malwarebytes รายงานว่าพอร์ทัลดาวน์โหลด Webex ปลอมใน Google Ads อยู่อันดับสูงสุดของผลการค้นหาคำว่า "webex" ซึ่งสิ่งที่ทำให้ดูน่าเชื่อถือคือการใช้โลโก้ Webex จริง และแสดง URL ที่ถูกต้อง "webex.

Google กำลังทดสอบฟีเจอร์ใหม่ใน Google Chrome ซึ่งจะเตือนผู้ใช้ เมื่อ Google มีการลบ extensions ที่มีผู้ใช้งานติดตั้งออกจาก Chrome Web Store ซึ่งเป็นข้อบ่งชี้ว่า extensions นั้นอาจจะเป็นมัลแวร์

Extensions เหล่านี้มักถูกใช้เพื่อแทรกโฆษณาโดยการโปรโมตผ่านทาง popup ซึ่งส่วนใหญ่จะมีการติดตามประวัติการค้นหา, redirect traffic ไปยังเว็ปไซต์อื่น ๆ หรืออาจจะขโมยข้อมูลบัญชี Gmail, บัญชี Facebook เป็นต้น (more…)

Google ได้ลบ extensions ที่เป็นอันตราย 32 รายการ ออกจาก Chrome Web Store ที่อาจมีการเปลี่ยนแปลงผลการค้นหา และแสดงสแปม หรือโฆษณาที่ไม่พึงประสงค์ รวมแล้วมียอดดาวน์โหลดสูงถึงกว่า 75 ล้านครั้ง (more…)

กลุ่มแฮ็กเกอร์ชื่อว่า APT41 ซึ่งคาดว่าเป็นกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐจีน ถูกพบว่ามีการใช้ GC2 (Google Command and Control) ซึ่งเป็นเครื่องมือของ Red Team ในการโจมตีเพื่อขโมยข้อมูลจากสื่อไต้หวัน และบริษัทจัดหางานของอิตาลี

APT41 หรือที่รู้จักกันในชื่อ HOODOO เป็นกลุ่มแฮ็กเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐจีน ซึ่งมุ่งเป้าไปที่อุตสาหกรรมที่หลากหลายในสหรัฐอเมริกา เอเชีย และยุโรป โดย Mandiant ได้ติดตามแฮ็กเกอร์กลุ่มนี้ตั้งแต่ปี 2014 ระบุว่า พฤติกรรมของแฮ็กเกอร์กลุ่มนี้คาบเกี่ยวกับกลุ่มแฮ็กเกอร์จีนอื่น ๆ ที่รู้จักกันดี เช่น BARIUM และ Winnti

ในรายงาน Threat Vision ประจำเดือนเมษายน 2023 ของ Google ที่เผยแพร่เมื่อวันศุกร์ที่ผ่าน (more…)

Guardio Labs และ Trend Micro บริษัทด้านความปลอดภัยได้เผยแพร่ข้อมูลเทคนิคการโจมตีของกลุ่ม Hackers ที่เริ่มหันมาใช้ Google Ads ในการหลอกล่อเป้าหมายที่กำลังค้นหาซอฟต์แวร์ เพื่อให้เหยื่อทำการดาวน์โหลดซอฟต์แวร์อันตรายที่ถูกฝังมัลแวร์ไว้โดยที่ไม่รู้ตัว

Google Ads เป็นแพลตฟอร์มช่วยโปรโมตโฆษณาบนหน้าเว็ปในการค้นหาของ Google เพื่อให้อยู่ในอันดับต้น ๆ ของรายการค้นหา ซึ่งมักจะถูกนำเสนอก่อนเว็ปไซต์ของคำค้นหา

วิธีการโจมตี

Guardio Labs และ Trend Micro ได้ค้นพบแคมเปญ typosquatting ซึ่งเป็นแคมเปญการโจมตีโดยใช้การจดโดนเมนปลอมใกล้เคียง เพื่อเลียนแบบหน้าเว็ปไซต์ของซอฟต์แวร์ยอดนิยมกว่า 200 โดเมน เช่น Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird และ Brave

รวมทั้งยังได้ใช้ Google Ads ในการโปรโมตโฆษณาหน้าเว็ปปลอมบนหน้าการค้นหาของ Google และให้ขึ้นมาอยู่ในอันดับต้น ๆ ของคำค้นหานั้น เมื่อเป้าหมายกดคลิกหน้าเว็ปไซต์ปลอมเพื่อทำการดาวน์โหลดซอฟต์แวร์ ก็จะเป็นการดาวน์โหลดซอฟต์แวร์ที่ถูกฝังเพย์โหลดที่เป็นอันตราย

โดยเพย์โหลดที่ฝังมากับซอฟต์แวร์จะทำการดาวน์โหลดมัลแวร์ซึ่งประกอบไปด้วย Raccoon Stealer, Vidar Stealer และ IcedID malware loader ซึ่งเพย์โหลดที่มาในรูปแบบ .ZIP หรือ .MSI จะถูกดาวน์โหลดจากบริการแชร์ไฟล์ต่าง ๆ เช่น GitHub, Dropbox หรือ Discord เพื่อหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัสบนเครื่องเป้าหมาย

รวมถึงเมื่อ Google ตรวจพบว่าเว็ปไซต์ที่ Google Ads เชื่อมโยงไว้นั้นเป็นอันตราย โฆษณานั้นจะถูกบล็อกและลบออก ดังนั้น Hackers จึงใช้เทคนิคเลี่ยงการตรวจสอบของ Google Ads ด้วยการหลอกล่อให้เป้าหมายคลิกโฆษณาไปยังเว็ปไซต์ที่ไม่มีอันตรายที่สร้างโดย Hackers ก่อน จากนั้นก็จะทำการปลี่ยนเส้นทางไปยังเว็ปไซต์ดาวน์โหลดซอฟต์แวร์อันตรายอีกครั้งหนึ่ง

วิธีการป้องกัน

ระมัดระวังการคลิกชมโฆษณาบน Google Ads / ตรวจสอบ URL ของลิงค์เว็ปไซต์ที่ต้องการค้นหา
เปิดใช้งานตัวบล็อกโฆษณาบนเว็บเบราว์เซอร์

ที่มา : bleepingcomputer

ช่องโหว่ Zero-Day บน Internet Explorer กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องโดยกลุ่ม ScarCruft กลุ่มแฮ็กเกอร์จากเกาหลีเหนือ ซึ่งจะมุ่งเป้าไปยังผู้ใช้งานชาวเกาหลีใต้ โดยใช้เหตุการณ์โศกนาฏกรรมที่ Itaewon ในช่วงวันฮาโลวีนเพื่อดึงดูดความสนใจให้เหยื่อดาวน์โหลดไฟล์ที่เป็นอันตราย

การค้นพบครั้งนี้ถูกรายงานโดย Benoît Sevens และ Clément Lecigne นักวิจัยจาก Google Threat Analysis Group (TAG) ซึ่งถือเป็นการโจมตีล่าสุดที่ดำเนินการโดยกลุ่ม ScarCruft ซึ่งเป็นที่รู้จักในอีกหลายชื่อ เช่น APT37, InkySquid, Reaper และ Ricochet Chollima โดยส่วนใหญ่การโจมตีจะมุ่งเป้าไปที่ผู้ใช้งานชาวเกาหลีใต้ ผู้แปรพักตร์ชาวเกาหลีเหนือ ผู้กำหนดนโยบาย นักข่าว และนักเคลื่อนไหวด้านสิทธิมนุษยชน

ลักษณะการโจมตี

การโจมตีจะเกิดขึ้นหลังจากที่มีการเปิดไฟล์บน Microsoft Word และแสดงเนื้อหา HTML ที่เปิดขึ้นมาจาก Internet Explorer
มีการใช้ช่องโหว่ของ Internet Explorer เช่น CVE-2020-1380 และ CVE-2021-26411 เพื่อติดตั้ง Backdoor อย่าง BLUELIGHT และ Dolphin
มีการใช้ RokRat (Remote Access Trojan) บน Windows ที่มีฟังก์ชั่นที่ช่วยให้สามารถจับภาพหน้าจอ, บันทึกการกดแป้นพิมพ์ และการเก็บข้อมูลอุปกรณ์ Bluetooth
หลังจากที่โจมตีสำเร็จแล้ว มันจะทำการส่ง Shell Code ที่สามารถลบร่องรอยในการโจมตีทั้งหมด โดยการล้างแคช และประวัติของ Internet Explorer รวมถึง payload ของมัลแวร์

โดย Google TAG ลองอัปโหลดเอกสาร Microsoft Word ที่เป็นอันตรายนี้ไปยัง VirusTotal เมื่อวันที่ 31 ตุลาคม 2022 โดยพบว่าเป็นการโจมตีโดยใช้ช่องโหว่ Zero-day ของ Internet Explorer ที่เกี่ยวข้องกับ JScript9 JavaScript, CVE-2022-41128 ซึ่งได้รับการแก้ไขโดย Microsoft ไปแล้วเมื่อเดือนที่ผ่านมา

อีกทั้ง MalwareHunterTeam ยังพบไฟล์ Word ลักษณะเดียวกันนี้เคยถูกแชร์จากกลุ่ม Shadow Chaser Group เมื่อวันที่ 31 ตุลาคม 2022 ซึ่งเคยได้ระบุในรายงานไว้ว่าเป็น "DOCX injection template ที่น่าสนใจ" และมีต้นกำเนิดจากประเทศเกาหลีเช่นเดียวกัน

Google TAG ระบุว่าขณะนี้ยังไม่สามารถกู้คืนมัลแวร์ที่ถูกใช้ในแคมเปญนี้ได้ แม้ว่าจะทราบแล้วว่าเป็นมัลแวร์อย่างเช่น RokRat, BLUELIGHT หรือ Dolphin ก็ตาม

ที่มา : thehackernews

Google ได้ประกาศแพตช์อัปเดตให้กับ Google Chrome Browser เพื่อแก้ไขช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูง

รายละเอียดของช่องโหว่

โดยปกติแล้ว Google จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Zero-day จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแล้ว โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-4135 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง ที่เกิดจาก Heap-based buffer overflow บน GPU component ที่จะทำให้โปรแกรมเกิดข้อผิดพลาด และผู้ไม่หวังดีสามารถรันโค้ดที่เป็นอันตรายได้หากโจมตีสำเร็จ

ช่องโหว่นี้ถูกพบโดย Clement Lecigne จาก Threat Analysis Group เมื่อวันที่ 22 พฤศจิการยนที่ผ่านมา และในการการอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 8 นับตั้งแต่ต้นปี ของ Google โดยช่องโหว่ zero-day 7 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่ :

CVE-2022-0609 - Use-after-free in Animation – February 14th, 2022
CVE-2022-1096 - Type confusion in V8 – March 25th, 2022
CVE-2022-1364 - Type confusion in V8 – April 14th, 2022
CVE-2022-2294 - Heap buffer overflow in WebRTC – July 4th, 2022
CVE-2022-2856 - Insufficient validation of untrusted input in Intents - September 2nd, 2022
CVE-2022-3075 - Insufficient data validation in Mojo - August 30th, 2022
CVE-2022-3723 - Type confusion in V8 - October 27th, 2022

Google แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 107.0.5304.121 สำหรับ macOS และ Linux และเวอร์ชั่น 107.0.5304.121/.122 สำหรับ Windows เพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้น

Browser อื่น ๆ ที่อยู่บน Chromium-based เช่น Microsoft Edge, Brave, Opera และ Vivaldi แนะนำให้ผู้ใช้งานทำการอัปเดตเวอร์ชันที่ได้รับการแก้ไขแล้วก่อนการใช้งานเช่นเดียวกัน

ที่มา : thehackernews