Errors ใน Google Meet ปลอม ถูกใช้เพื่อแพร่กระจายมัลแวร์ขโมยข้อมูล

แคมเปญใหม่ที่ชื่อว่า ClickFix กำลังหลอกล่อผู้ใช้งานให้ไปที่หน้าการประชุม Google Meet ปลอม ที่แสดงข้อความ Errors ปลอมเกี่ยวกับการเชื่อมต่อ ทำให้มีการติดตั้งมัลแวร์สำหรับขโมยข้อมูลบนระบบปฏิบัติการ Windows และ macOS

ClickFix เป็นเทคนิค social-engineering ที่ถูกพบในเดือนพฤษภาคม โดยถูกรายงานครั้งแรกจากบริษัทด้านความปลอดภัยทางไซเบอร์ Proofpoint ซึ่งมาจากผู้โจมตีกลุ่ม (TA571) ที่ใช้ข้อความในการปลอมแปลงเป็น Errors สำหรับ Google Chrome, Microsoft Word และ OneDrive

ข้อผิดพลาดเหล่านี้จะกระตุ้นให้ผู้ใช้งานทำการคัดลอกโค้ด PowerShell ลงในคลิปบอร์ด โดยอ้างว่าจะช่วยแก้ปัญหาเมื่อรันโค้ดใน Windows Command Prompt

โดยจะส่งผลให้เกิดการแพร่กระจายมัลแวร์ไปยังระบบอื่น ๆ โดยมัลแวร์ที่มีการแแพร่กระจาย เช่น DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, a clipboard hijacker และ Lumma Stealer

ในเดือนกรกฎาคม McAfee รายงานว่าแคมเปญ ClickFix เริ่มเป็นที่นิยมมากขึ้น โดยเฉพาะในสหรัฐอเมริกา และญี่ปุ่น

รายงานฉบับใหม่จาก Sekoia ซึ่งเป็นผู้ให้บริการความปลอดภัยทางไซเบอร์แบบ SaaS ระบุว่าแคมเปญ ClickFix ได้ถูกพัฒนาขึ้นอย่างมาก โดยปัจจุบันใช้การล่อลวงผ่าน Google Meet และยังมีการใช้อีเมลฟิชชิงที่กำหนดเป้าหมายไปยังบริษัทขนส่ง และโลจิสติกส์ รวมถึงมีการทำหน้า Facebook ปลอม และมีการหลอกลวงบน GitHub อีกด้วย

ตามรายงานจากบริษัทความปลอดภัยทางไซเบอร์ของฝรั่งเศสระบุว่า แคมเปญล่าสุดบางส่วนดำเนินการโดยกลุ่มผู้โจมตี 2 กลุ่ม ได้แก่ Slavic Nation Empire (SNE) และ Scamquerteo ซึ่งถือเป็นทีมย่อยของแก๊งหลอกลวงสกุลเงินดิจิทัล Marko Polo และ CryptoLove

หลอกลวงผ่าน Google Meet

ผู้โจมตีกำลังใช้หน้าเว็บไซต์ปลอมสำหรับ Google Meet ซึ่งเป็นบริการการสื่อสารผ่านวิดีโอที่เป็นส่วนหนึ่งของ Google Workspace ที่ได้รับความนิยมในสภาพแวดล้อมขององค์กรสำหรับการประชุมทางไกล และการสัมมนาผ่านเว็บ รวมถึงการทำงานร่วมกันทางออนไลน์

ผู้โจมตีจะส่งอีเมลถึงผู้ใช้ที่มีลักษณะเหมือนคำเชิญของ Google Meet ที่ดูเหมือนเป็นของจริง ซึ่งจะเกี่ยวข้องกับการประชุม การสัมมนา หรือเหตุการณ์สำคัญอื่น ๆ

URL เหล่านี้มีความคล้ายคลึงกับลิงก์ Google Meet ที่เป็นของจริง โดยมีรายละเอียดดังนี้

meet[.]google[.]us-join[.]com
meet[.]google[.]web-join[.]com
meet[.]googie[.]com-join[.]us
meet[.]google[.]cdm-join[.]us

เมื่อผู้ใช้เข้าสู่หน้าเว็บไซต์ปลอมแล้ว ผู้ใช้จะได้รับข้อความแจ้งให้ทราบถึงปัญหาทางเทคนิค เช่น ปัญหาของไมโครโฟน หรือหูฟัง

หากผู้ใช้คลิกปุ่ม Try Fix ที่แสดงขึ้นมาจะมีการติดตั้งมัลแวร์ ClickFix โดยจะมีการ Copyโค้ด PowerShell จากเว็บไซต์ลงไปยังพรอมต์ของ Windows ภายในเครื่อง ส่งผลทำให้คอมพิวเตอร์ของผู้ใช้ติดมัลแวร์ และดึงเพย์โหลดจากโดเมน googiedrivers[.]com

เพย์โหลดในขั้นสุดท้ายคือมัลแวร์ขโมยข้อมูล Stealc หรือ Rhadamanthys บน Windows ส่วนในเครื่อง macOS ผู้โจมตีจะติดตั้ง AMOS Stealer ในรูปแบบไฟล์ .DMG (อิมเมจดิสก์ของ Apple) ที่มีชื่อว่า 'Launcher_v194'

Sekoia ได้ระบุว่า มัลแวร์ยังสามารถกระจายไปยังกลุ่มอื่นที่นอกเหนือจาก Google Meet ได้อีก เช่น โปรแกรม Zoom, โปรแกรมอ่านไฟล์ PDF, วิดีโอเกมปลอม (Lunacy, Calipso, Battleforge, Ragon), เว็บเบราว์เซอร์ และโครงการ web3 (NGT Studio) รวมไปถึงแอปส่งข้อความ (Nortex)

ที่มา : https://www.

ปัญหาใน Da Hood ผู้ไม่หวังดีใช้แพ็กเกจ PyPI ที่เป็นอันตรายเพื่อโจมตี Roblox Cheaters

โลกของเกมส่วนใหญ่จะเป็นสถานที่ที่มีการแข่งขันสูง โดยผู้เล่นหลายคนหันไปหาความช่วยเหลือจากโปรแกรมภายนอก (‘game hacks’) เพื่อให้ได้เปรียบ แม้ว่าโปรแกรมเหล่านี้บางโปรแกรมจะให้การช่วยเหลือในเกมอย่างถูกต้อง แต่ผู้ไม่หวังดีมักใช้ประโยชน์จากความสนใจของกลุ่มผู้ที่ชอบดัดแปลงเกม เพื่อนำมัลแวร์มาแพร่กระจาย หนึ่งในตัวอย่างนี้พบในชุมชนที่พัฒนาโปรแกรมโกงของเกมยอดนิยมอย่าง Roblox

Roblox เป็นแพลตฟอร์มเกมออนไลน์ และระบบสร้างเกมที่ได้รับความนิยม ซึ่งอนุญาตให้ผู้ใช้งานเล่น หรือสร้างเกมแบบผู้เล่นหลายคนได้ หนึ่งในตัวอย่างคือ Da Hood ซึ่งเป็นเกมในโครงสร้างของ Roblox โดยเกมนี้เกิดขึ้นในวัฒนธรรมแก๊งค์ ผู้เล่นสามารถเลือกที่จะเป็นตำรวจ หรืออาชญากร, เข้าร่วมกิจกรรมของแก๊งค์ หรือทำการต่อสู้กับแก๊งค์ เกมนี้ได้รับความนิยมอย่างมาก โดยปัจจุบันอยู่ในอันดับที่ 20 เกมยอดนิยมบน Roblox และมีการเข้าชมมากกว่า 2.6 พันล้านครั้ง

ผู้เล่นเกมจำนวนมาก รวมถึงผู้เล่น Roblox (และ Da Hood) เลือกติดตั้งโปรแกรมโกง (‘externals’), แฮ็ก และการปรับแต่ง (‘mods’) เพื่อเพิ่มประสบการณ์ในการเล่นเกม Mods สามารถเปลี่ยนแปลงรูปลักษณ์ หรือพฤติกรรมของเกม ในขณะที่โปรแกรมโกงอาจช่วยให้ผู้เล่นได้รับข้อได้เปรียบบางอย่างในระหว่างเล่นเกม เช่น “aimlock” ซึ่งช่วยเพิ่มความแม่นยำในเกมยิงปืน ตลอดระยะเวลาที่ผ่านมา มีชุมชนขนาดใหญ่เกิดขึ้นบนแพลตฟอร์มต่าง ๆ เช่น Reddit, YouTube และ Discord ซึ่งช่วยให้ผู้เล่นสามารถแลกเปลี่ยนเคล็ดลับ และเครื่องมือเกี่ยวกับ mods และ cheats สำหรับเกมต่าง ๆ ได้

Cheating the Cheaters: วิธีที่โปรแกรมภายนอก และ Mods ทำให้ผู้เล่นเสี่ยงต่อการติดมัลแวร์

เป็นที่ทราบกันดีว่าการติดตั้งโปรแกรมโกง และ Mods เหล่านี้สามารถทำให้ผู้เล่นเสี่ยงต่อการติดมัลแวร์ ผู้ไม่หวังดีสามารถใช้แพลตฟอร์มเกมยอดนิยม, ฟอรัม และชุมชนต่าง ๆ เพื่อแพร่กระจายมัลแวร์ เช่น โปรแกรมขโมยข้อมูล (stealers), RATs (Remote Access Trojans) และ cryptominers หนึ่งในตัวอย่างของแคมเปญในลักษณะนี้ได้ถูกบันทึกไว้ในงานวิจัยของ Cisco Talos ผู้ที่ใช้โปรแกรมโกงมักถูกชักชวนให้ปิดการใช้งานแอนตี้ไวรัส และการป้องกันแบบเรียลไทม์ เพื่อให้โปรแกรมโกงสามารถทำงานได้ ซึ่งทำให้พวกเขายิ่งเสี่ยงต่อการติดมัลแวร์มากขึ้น ดังที่เราจะเห็นในตัวอย่างต่อไปนี้

การค้นพบของนักวิจัย

ในการวิจัยล่าสุดเกี่ยวกับแพ็กเกจ PyPI ที่ถูกโจมตี และเป็นอันตราย ทีมวิจัยภัยคุกคามของ Imperva ได้ระบุแคมเปญมัลแวร์ที่กำลังดำเนินอยู่ ซึ่งมุ่งเป้าไปที่ผู้ที่ใช้งานที่ใช้โปรแกรมโกงใน Roblox โดยในการตรวจสอบนี้พบข้อมูลที่สำคัญหลายประการ

แพ็กเกจ Python ที่เป็นอันตรายถูกอัปโหลดไปยัง PyPI ซึ่งมีโค้ดที่ออกแบบมาเพื่อดาวน์โหลดไฟล์ Windows ที่เป็นอันตราย
แพ็กเกจเหล่านี้ถูกสร้างขึ้นเพื่อใช้ประโยชน์จากผู้ที่ใช้โปรแกรมโกงในเกม Da Hood ของ Roblox โดยปลอมตัวเป็นโปรแกรมโกงประเภท “external” เพื่อหลอกผู้ใช้งาน
ผู้ไม่หวังดีใช้แพลตฟอร์มต่าง ๆ เช่น GitHub, Discord และ YouTube เพื่อเผยแพร่โปรแกรมโกงเหล่านี้
ในบรรดาไฟล์ Windows ที่ค้นพบมีกรณีของ Skuld Stealer และ Blank Grabber ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่เป็นที่รู้จักกันดี

เราจะเปิดเผยเกี่ยวกับแคมเปญนี้ และกลยุทธ์ที่พัฒนาขึ้นเรื่อย ๆ ของกลุ่มผู้ไม่หวังดีที่มุ่งเป้าไปยังชุมชนผู้ใช้โปรแกรมโกงในเกม

การติดตามร่องรอย

ทุกอย่างเริ่มต้นด้วยแพ็กเกจที่ชื่อว่า ‘pysleek’ ซึ่งถูกตรวจจับโดยระบบตรวจสอบ เมื่อตรวจสอบเพิ่มเติม นักวิจัยพบว่าแพ็กเกจนี้ดาวน์โหลดไฟล์ไบนารีที่ชื่อว่า ‘zwerve.

UMC Health System ต้องย้ายผู้ป่วยบางรายไปยังโรงพยาบาลอื่นจากการถูกโจมตีด้วยแรนซัมแวร์

ผู้ให้บริการด้านสุขภาพในรัฐเท็กซัส UMC Health System ถูกบังคับให้ย้ายผู้ป่วยบางรายไปยังสถานที่อื่น หลังจากการถูกโจมตีด้วยแรนซัมแวร์ทำให้ส่งผลกระทบต่อการดำเนินงานของโรงพยาบาล

(more…)

Cyble เปิดเผยการโจมตีที่ซับซ้อนที่ใช้ VS Code เพื่อการเข้าถึงโดยไม่ได้รับอนุญาต

Cyble Research and Intelligence Lab (CRIL) ได้เปิดเผยแคมเปญที่ใช้ไฟล์ .LNK ที่น่าสงสัยเป็น attack vector ในการโจมตีเบื้องต้น โดยไฟล์นี้อาจถูกส่งผ่านอีเมล spam และดาวน์โหลดแพ็คเกจ Python ซึ่งจากนั้นจะใช้เพื่อรันสคริปต์ Python ที่ถูก obfuscated ซึ่งถูกดึงมาจากเว็บไซต์ paste.

เจ้าหน้าที่ตำรวจของ Europol ทลายขบวนการปลดล็อกโทรศัพท์ที่เชื่อมโยงกับเหยื่อกว่า 483,000 ราย

การปฏิบัติการร่วมกันของหน่วยงานบังคับใช้กฎหมายได้ทลายเครือข่ายอาชญากรรมระหว่างประเทศที่ใช้แพลตฟอร์ม iServer ซึ่งเป็นบริการฟิชชิ่งอัตโนมัติ (phishing-as-a-service) เพื่อปลดล็อกโทรศัพท์มือถือที่ถูกขโมย หรือสูญหายของเหยื่อจำนวนกว่า 483,000 รายทั่วโลก

(more…)

แฮ็กเกอร์ใช้วิธีการ AppDomain Injection เพื่อติดตั้ง CobaltStrike beacon

 

การโจมตีดังกล่าวเริ่มขึ้นในเดือนกรกฎาคม 2024 โดยอาศัยเทคนิคที่ไม่ค่อยพบเห็นนักที่เรียกว่า AppDomain Manager Injection ซึ่งสามารถใช้แอปพลิเคชัน Microsoft.

พบช่องโหว่ Bypasses Security ใน Exim Mail Servers กว่า 1.5 ล้านรายการ

ช่องโหว่ Security Bypass ใน Exim Mail Servers ส่งผลกระทบกับระบบกว่า 1.5 ล้านรายการ

Censys แจ้งเตือนการพบ Exim mail transfer agent (MTA) instances กว่า 1.5 ล้านรายการที่มีช่องโหว่ ซึ่งทำให้ Hacker สามารถ bypass security filter ได้

(more…)

พบแพ็คเกจ Python ที่เป็นอันตรายจำนวนมากบน PyPI มีความเสี่ยงทำให้ผู้ใช้งานถูกขโมย AWS keys

ตรวจพบแพ็คเกจ Python ที่เป็นอันตรายจำนวนมากบน PyPI ทำการขโมยข้อมูล เช่น AWS Credential และส่งข้อมูลไปยังปลายทางที่เป็นสาธารณะซึ่งทุกคนสามารถเข้าถึงได้

PyPI เป็นคลังโปรแกรม และไลบรารีเสริมของ Python ที่เป็น Open Source สำหรับให้นักพัฒนาได้สร้างขึ้น และแบ่งปันให้ผู้อื่นโหลดมาใช้งาน โดยปกติ PyPI จะมีการตอบสนองอย่างรวดเร็วหากมีผู้ใช้งานรายงานไฟล์ที่อันตราย แต่การอัพโหลดไฟล์ขึ้นไปให้ดาวโหลดนั้นกลับไม่มีการตรวจสอบก่อน ทำให้แพ็คเกจที่เป็นอันตรายจึงอาจแฝงตัวอยู่ได้ช่วงเวลาหนึ่ง (more…)

ซัพพลายเออร์ ผู้ผลิตผ้าที่ใช้ภายในรถยนต์ของญี่ปุ่นประกาศถูกโจมตีทางไซเบอร์

TB Kawashima ซึ่งเป็นซัพพลายเออร์ ผู้ผลิตชิ้นส่วนยานยนต์ของญี่ปุ่น Toyota Boshoku ของกลุ่มบริษัท Toyota Group ประกาศว่าหนึ่งในบริษัทในเครือถูกโจมตีทางไซเบอร์ ยังไม่ได้มีการยืนยันจากบริษัทแต่มีข้อสังเกตว่าบริษัทกำลังดำเนินการจัดการกับการโจมตีจากกลุ่มแรนซัมแวร์ LockBit

TB Kawashima เป็นผู้ผลิตผ้าที่ใช้ตกแต่งภายในสำหรับรถยนต์ เครื่องบิน โรงภาพยนตร์ และรถไฟ โดยมีสำนักงาน และโรงงานในสหรัฐอเมริกา จีน ไทย อินโดนีเซีย และอินเดีย (more…)

Hackers are using Word documents to drop NetSupport Manager RAT

แฮกเกอร์กำลังใช้เอกสาร Word เพื่อปล่อย NetSupport Manager RAT

นักวิจัยจาก Cortex XDR ของ Palo Alto Networks เปิดเผยว่าได้พบกับแคมเปญฟิชชิ่งแบบใหม่ซึ่งมีเป้าหมายที่จะทำให้ผู้ใช้ติดไวรัสด้วย NetSupport Manager RAT (Remote Administration Tool)
แม้ว่า NetSupport ไม่เป็นอันตรายและมีการใช้เพื่อวัตถุประสงค์ในการบริหารเครือข่าย และเชื่อว่าแคมเปญนี้จะเริ่มขึ้นตั้งแต่เดือนพฤศจิกายน 2562 ถึงมกราคม 2563 โดยมีเป้าหมายเฉพาะที่อุตสาหกรรมการพิมพ์และภาพยนตร์

กระบวนการโจมตี
ทำการโจมตีโดยส่งอีเมลที่เกี่ยวข้องกับสถานะการคืนเงินหรือการทำธุรกรรมบัตรเครดิตด้วยเอกสาร Word ที่แฝงไวรัสไว้แล้วอ้างว่ามีข้อมูลที่สำคัญและรหัสผ่านสำหรับเปิดเอกสาร นอกจากนี้ผู้ใช้ยังได้รับแจ้งว่าต้องเปิดใช้งานแมโครภายใน Microsoft Word เพื่อป้อนรหัสผ่าน
เมื่อผู้ใช้เปิดเอกสารโค้ดที่ถูกแฝงมาจะถูกรันคำสั่งสร้างสตริง สตริงที่ถูกสร้างจะเรียกใช้งานบน VBA ซึ่งจะใช้เพื่อเรียก cmd.