เมื่อต้นปีที่ผ่านมา นักวิจัยด้านความปลอดภัยได้เผยแพร่เครื่องมือที่สามารถทำการโจมตีแบบฟิชชิ่งและยังสามารถเข้าสู่บัญชีได้โดยเลี่ยงการป้องกัน two-factor authentication (2FA)

Modlishka เครื่องมือใหม่นี้ถูกสร้างขึ้นโดย Piotr Duszyński นักวิจัยชาวโปแลนด์ ใช้วิธี reverse proxy ทำการปรับเปลี่ยนทราฟฟิกขาเข้าจากผู้ใช้เพื่อขโมยข้อมูลจากผู้ใช้เป้าหมาย

Modlishka ตั้งอยู่ระหว่างผู้ใช้เป้าหมายและเว็บไซต์ เช่น Gmail, Yahoo หรือ ProtonMail ผู้ที่ตกเป็นเหยื่อฟิชชิ่งจะเชื่อมต่อกับเซิร์ฟเวอร์ Modlishka (โฮสต์โดเมนฟิชชิ่ง) และ reverse proxy ส่งคำขอไปยังเว็บไซต์ที่ต้องการปลอม

Modlishka ยังจัดการระบบ 2FA ได้ เนื่องจากสามารถรวบรวมโทเค็น 2FA แบบเรียลไทม์ได้โดยไม่ต้องใช้เทมเพลตปลอมใด ๆ พวกเขาสามารถใช้เข้าสู่บัญชีของเหยื่อและสร้างเซสชันใหม่ได้อย่างถูกต้องแต่ผู้โจมตีต้องมีชื่อโดเมนฟิชชิ่ง (ไปยังโฮสต์บนเซิร์ฟเวอร์ Modlishka) และใบรับรอง TLS ที่ถูกต้องเพื่อหลีกเลี่ยงการแจ้งเตือนผู้ใช้เมื่อขาดการเชื่อมต่อ HTTPS

โดยสุดท้ายนั้นเมื่อผู้ใช้งานเข้าสู่ระบบสำเร็จ Modlishka จะเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นของจริงและถูกต้องเพื่อไม่ให้ผู้ใช้งานสงสัยและป้องกันไม่ให้ผู้ใช้งานสังเกตความผิดปกติของโดเมนเนมปลอมที่ผู้โจมตีสร้างขึ้น

ที่มา:zdnet.

Microsoft ได้ปล่อยอัพเดทแพทช์ประจำเดือนมกราคม 2019 เป็นการแก้ไขช่องโหว่ 51 รายการ รวมถึง Adobe Flash Player และ Servicing Stack Updates (SSU) โดยมีช่องโหว่ที่ส่งผลกระทบในระดับความรุนแรง Critical อยู่ 7 รายการต่อไปนี้

ช่องโหว่ในส่วนของ Chakra scripting engine ใน Microsoft Edge ส่งผลให้ผู้โจมตีสามารถทำ remote code execution ได้
1. Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2019-0539)
2. Chakra Scripting Engine Memory Corruption Vulnerability(CVE-2019-0567)
3. Chakra Scripting Engine Memory Corruption Vulnerability(CVE-2019-0568)

ช่องโหว่ในส่วนของ DHCP client ส่งผลให้ผู้โจมตีสามารถส่ง DHCP response ที่ได้รับการแก้ไขแล้วมายัง client เพื่อสั่งรันคำสั่งอันตรายได้
4. Windows DHCP Client Remote Code Execution Vulnerability(CVE-2019-0547)

ช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำ remote code execution ผ่านช่องโหว่การตรวจสอบค่า input ของ host server ที่รับมาจากเครื่อง guest ส่งผลให้ผู้โจมตีสามารถรันคำสั่งอันตรายบน Hyper-V host ได้
5. Windows Hyper-V Remote Code Execution Vulnerability(CVE-2019-0550)
6. Windows Hyper-V Remote Code Execution Vulnerability(CVE-2019-0551)

ช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำ remote code execution เมื่อเข้าเว็บไซต์ที่เป็นอันตราย โดยผู้โจมตีจะได้รับสิทธิ์เทียบเท่ากับผู้ใช้งานขณะนั้น หากผู้ใช้งานมีสิทธิ์เป็น admin จะส่งผลให้ผู้โจมตีสามารถลงโปรแกรม, ดู, แก้ไข และลบข้อมูล หรือสร้าง account ใหม่ได้
7. Microsoft Edge Memory Corruption Vulnerability(CVE-2019-0565)

ที่มา:bleepingcomputer.

มีการพบ Application ที่เป็นมัลแวร์หลุดรอดจากกระบวนการตรวจสอบของ App store บน iOS

Golduck ถูกพบว่าเป็นมัลแวร์ที่จะทำการแพร่กระจาย adware และอาจมีความสามารถในการควบคุมเครื่องได้ ถูกพบครั้งแรกใน Application บนระบบ Android แต่ล่าสุดมีการพบใน Application ที่อยู่ใน Apple App Store และพบว่ามี Application มากกว่า 12 รายการ ที่มีพฤติกรรมการถ่ายโอนข้อมูลไปยังเซิร์ฟเวอร์อันตรายที่เกี่ยวข้องกับ Golduck (C&C) ซึ่งข้อมูลจะประกอบไปด้วย IP Address และข้อมูลตำแหน่ง ประเภทอุปกรณ์และจำนวนโฆษณาที่แสดงบนอุปกรณ์

นักวิจัย Wandera ได้แจ้งรายชื่อเกมส์ 14 รายการตามรายการด้านล่าง ที่มีการเชื่อมต่อกับเซิร์ฟเวอร์ที่เกี่ยวข้องกับการทำงานของมัลแวร์ Golduck ไปยัง Apple โดยล่าสุดทาง Apple ได้นำ Application เหล่านั้นออกจาก Apple Store เป็นที่เรียบร้อยแล้ว และ Application ดังกล่าวส่วนใหญ่ถูกพัฒนาโดยผู้พัฒนาเพียง 3 ราย ได้แก่ Nguyen Hue, Gaing Thi, Tran Tu
• Commando Metal: Classic Contra
• Super Pentron Adventure: Super Hard
• Classic Tank vs Super Bomber
• Super Adventure of Maritron
• Roy Adventure Troll Game
• Trap Dungeons: Super Adventure
• Bounce Classic Legend
• Block Game
• Classic Bomber: Super Legend
• Brain It On: Stickman Physics
• Bomber Game: Classic Bomberman
• Classic Brick – Retro Block
• The Climber Brick
• Chicken Shoot Galaxy Invaders

ที่มา:bleepingcomputer.

บั๊กของซอฟต์แวร์ทำข้อมูลสมาชิกสิงคโปร์แอร์ไลน์รั่วไหล กระทบ 285 บัญชี

สิงคโปร์แอร์ไลน์ (SIA) ประกาศการรั่วไหลของข้อมูลสืบเนื่องจากการเปลี่ยนซอฟต์แวร์ซึ่งทำให้ผู้ใช้งานที่เข้าสู่ระบบสามารถเห็นข้อมูลของผู้ใช้งานอื่นๆ ได้ โดยปัญหาดังกล่าวส่งผลกระทบเฉพาะกับผู้ใช้งานทั้งหมด 285 บัญชี และไม่พบการพยายามแก้ไขข้อมูล

ข้อมูลที่ได้รับผลกระทบจากการรั่วไหลนั้นเป็นข้อมูลที่เกี่ยวข้องกับสมาชิก ประวัติการบิน อีเมลและที่อยู่ของผู้โดยสารและในกรณียังรวมไปถึงรายละเอียดหนังสือเดินและบัตรเครดิตด้วย

ทั้งนี้ SIA ได้ดำเนินการแก้ไขปัญหาดังกล่าวและแจ้งให้กับผู้ได้รับผลกระทบทราบแล้ว อย่างไรก็ตาม SIA อาจจะต้องจ่ายค่าปรับตามกฎหมายเกี่ยวกับการปกป้องข้อมูลส่วนบบุคลซึ่งมีโอกาสถูกปรับตั้งแต่ 10,000 ดอลลาร์สิงคโปร์ (7,325 ดอลลาร์สิงคโปร์) และปรับสูงสุดถึง 1 ล้านดอลลาร์สิงคโปร์ (732,532 ดอลลาร์สหรัฐ)

ที่มา:zdnet.

อาชญากรไซเบอร์กำลังกำหนดเป้าหมายไปยังเครื่องของเหยื่อเพื่อทำการโจมตี โดยโจมตีผ่านทางช่องโหว่ของโปรแกรมเว็บเบราว์เซอร์และส่วนเสริมก่อนที่จะติดตั้งมัลแวร์ที่สามารถขโมยข้อมูลและปล่อยแรนซัมแวร์เข้าสู่ระบบได้ อ้างอิงจากนักวิจัยของ Malwarebytes ซึ่งมีการค้นพบว่าการแพร่กระจายของมัลแวร์ในรูปแบบใหม่นั้นอาศัยทั้งการขโมยข้อมูลและเข้ารหัสในตัวด้วยมัลแวร์สองประเภทคือ Vidar และ GandCrab

Vidar คือมัลแวร์รูปแบบใหม่ซึ่งมีเป้าหมายคือการขโมยข้อมูลจำนวนมหาศาลของผู้ตกเป็นเหยื่อ เช่น รหัสผ่าน เอกสาร ภาพหน้าจอ ประวัติเบราว์เซอร์ ข้อมูลการส่งข้อความ รายละเอียดบัตรเครดิต และอื่นๆ

Vidar ยังสามารถกำหนดเป้าหมายเป็นกระเป๋าเงินเสมือนที่เก็บ Bitcoin และ Cryptocurrencies อื่นๆ ได้ มัลแวร์ตัวนี้มีความสามารถสูงในการปรับแต่งตัวเองและกำลังได้รับความนิยมในกลุ่มแฮกเกอร์ต่างๆ ด้วย สำหรับที่มาของชื่อมัลแวร์ Vidar นั้น ดูเหมือนว่าจะได้รับการตั้งชื่อตามเทพพระเจ้านอร์ส “Víðarr the Silent” ชื่อที่ผู้เขียนอาจเลือกเพื่อสะท้อนความสามารถที่ซ่อนเร้น

Vidar ได้รับการออกแบบมาให้ทำงานอย่างลับๆ ทำให้ผู้ที่ตกเป็นเหยื่อไม่ทราบว่าระบบของพวกเขาถูกโจมตีขณะที่ผู้โจมตีทำให้ข้อมูลส่วนตัวถูกส่งคำสั่งออกไปและควบคุมเครื่องเซิร์ฟเวอร์ (C&C) และยังทำให้เครื่องของเหยื่อทำงานเป็นตัวดาวโหลดมัลแวร์อื่นๆ และทำให้เกิดการแพร่กระจายของ GandCrab Ransomware อีกด้วย

ที่มา:zdnet.