เทคนิค Social Engineering ที่กำลังเพิ่มขึ้นอย่างรวดเร็วที่เรียกว่า ClickFix กลายเป็นหนึ่งในวิธีการที่ประสบความสำเร็จมากที่สุดในการแพร่กระจายมัลแวร์ในช่วงไม่กี่เดือนที่ผ่านมา

(more…)

มีรายงานการค้นพบแพ็คเกจอันตราย 10 รายการบน npm registry ที่เลียนแบบ software projects ที่ถูกต้อง โดยแพ็คเกจเหล่านี้จะดาวน์โหลด component สำหรับขโมยข้อมูล ที่จะรวบรวมข้อมูลสำคัญจากระบบ Windows, Linux และ macOS

แพ็คเกจเหล่านี้ถูกอัปโหลดไปยัง npm เมื่อวันที่ 4 กรกฎาคม และไม่ถูกตรวจพบเป็นเวลานาน เนื่องจากการเข้ารหัสหลายชั้น ซึ่งช่วยให้รอดพ้นจากกลไกการวิเคราะห์โค้ดแบบทั่วไป

ตามรายงานของนักวิจัยจากบริษัทความปลอดภัยทางไซเบอร์ Socket ระบุว่า แพ็คเกจทั้ง 10 นี้มียอดดาวน์โหลดเกือบ 10,000 ครั้ง และได้ขโมยข้อมูล credentials จาก system keyrings, เบราว์เซอร์ และ authentication services

แพ็คเกจเหล่านี้ยังคงดาวน์โหลดได้ แม้ว่า Socket จะรายงานไปยัง npm แล้วก็ตาม:

typescriptjs
deezcord.

ผู้โจมตีกำลังใช้ RedTiger ซึ่งเป็นเครื่องมือแบบ open-source สำหรับ Red Team เพื่อสร้างมัลแวร์ขโมยข้อมูล ที่รวบรวมข้อมูลบัญชี Discord และข้อมูลการชำระเงิน

มัลแวร์ตัวนี้ยังสามารถขโมยข้อมูล Credentials ที่จัดเก็บไว้ในเบราว์เซอร์, ข้อมูล cryptocurrency และบัญชีเกมได้อีกด้วย

RedTiger เป็นชุดเครื่องมือ penetration testing suite ที่มีพื้นฐานจากภาษา Python สำหรับ Windows และ Linux ซึ่งรวบรวม options ต่าง ๆ ไว้ด้วยกัน เช่น การสแกนเครือข่าย, การเจาะรหัสผ่าน, เครื่องมือเกี่ยวกับ OSINT, เครื่องมือที่เน้นการโจมตี Discord และเครื่องมือการสร้างมัลแวร์

Component ที่ใช้ในการขโมยข้อมูลของ RedTiger มีความสามารถพื้นฐานในการขโมยข้อมูลระบบ, คุกกี้ และรหัสผ่านจากเบราว์เซอร์, ไฟล์ crypto wallet, ไฟล์เกม และข้อมูลของ Roblox และ Discord นอกจากนี้ มันยังสามารถจับภาพจากกล้องเว็บแคม และถ่ายภาพหน้าจอของเหยื่อได้อีกด้วย

แม้ว่าบน GitHub โปรเจกต์นี้จะระบุว่าฟังก์ชันอันตรายต่าง ๆ มีไว้ใช้ในทางที่ถูกกฏหมายเท่านั้น แต่การที่มันถูกเผยแพร่ฟรีอย่างไม่มีเงื่อนไข และขาดมาตรการป้องกันใด ๆ ก็ตาม ทำให้จึงสามารถนำไปใช้ในการโจมตีทางไซเบอร์ได้

Netskope ระบุว่า ผู้ไม่หวังดีกำลังใช้ component มัลแวร์ขโมยข้อมูลของ RedTiger ในการโจมตี โดยมีเป้าหมายหลักเพื่อโจมตีผู้ใช้บัญชี Discord ที่เป็นชาวฝรั่งเศส

ผู้โจมตีได้ compiled โค้ดของ RedTiger โดยใช้ PyInstaller เพื่อสร้างไฟล์ standalone binaries และตั้งชื่อไฟล์เหล่านั้นให้เกี่ยวข้องกับเกม หรือ Discord

เมื่อมัลแวร์ขโมยข้อมูลถูกติดตั้งบนเครื่องของเหยื่อ มันจะสแกนหาไฟล์ฐานข้อมูลของ Discord และเบราว์เซอร์ จากนั้น มันจะดึง token ทั้งแบบธรรมดา และแบบเข้ารหัสออกมาผ่าน regex เพื่อตรวจสอบความถูกต้องของ token และดึงข้อมูลโปรไฟล์, อีเมล, ข้อมูล MFA และข้อมูล subscription

จากนั้น มันจะแทรก JavaScript ที่ custom เข้าไปในไฟล์ index.

มีรายงานข่าวในช่วงนี้เกี่ยวกับเหตุการณ์การละเมิดข้อมูลครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์ ทำให้เกิดการรายงานข่าวในสื่อต่าง ๆ ที่เต็มไปด้วยคำเตือน และความตื่นตระหนก อย่างไรก็ตาม จากการตรวจสอบข้อมูล ดูเหมือนว่าเหตุการร์นี้จะเป็นการรวบรวมข้อมูลส่วนบุคคลที่รั่วไหลออกมาก่อนหน้านี้ ซึ่งถูกขโมยโดย infostealers malware, เหตุการณ์ data breaches และผ่านการโจมตีแบบ credential stuffing (more…)

Infostealer Malware คืออะไร

Infostealer เป็นมัลแวร์ที่มีเป้าหมายเฉพาะเจาะจงไปที่การขโมยข้อมูลภายในเครื่องที่ติดมัลแวร์ โดยการใช้ Infostealer เป็นที่นิยมในกลุ่ม Hacker เพื่อใช้เก็บรวบรวมบัญชีผู้ใช้ และรหัสผ่าน เพื่อนำมาใช้เป็นขั้นตอนแรกในการเข้าสู่ระบบภายในองค์กร (Intial Access) ซึ่งหลังจากเข้าถึงระบบได้แล้ว ก็อาจจะทำการโจมตีในรูปแบบ Ransomware หรือขโมยข้อมูลที่มีความสำคัญอื่น ๆ ออกไปได้

(more…)

บริการแจ้งเตือนข้อมูลรั่วไหล Have I Been Pwned ได้เพิ่มข้อมูลบัญชีที่ถูกขโมยจากมัลแวร์ infostealer และถูกพบใน Telegram กว่า 284 ล้านรายการ (more…)

นักพัฒนามัลแวร์ Infostealer ได้ปล่อยอัปเดตที่อ้างว่าสามารถ bypass ฟีเจอร์ App-Bound Encryption ซึ่งถูกเพิ่มเข้ามาเมื่อไม่นานนี้ ซึ่งถูกนำมาใช้ใน Google Chrome เพื่อป้องกันข้อมูลสำคัญอย่างเช่นคุกกี้ (more…)