วิธีการซ่อน JavaScript รูปแบบใหม่ที่ใช้ตัวอักษร Unicode ที่มองไม่เห็นในการแทนค่าข้อมูลไบนารี กำลังถูกนำมาใช้ในการโจมตีแบบฟิชชิ่งที่มุ่งเป้าไปยัง Political Action Committee (PAC) ของสหรัฐอเมริกา

(more…)

ผู้ไม่หวังดีเริ่มใช้ไฟล์แนบ Scalable Vector Graphics (SVG) มากขึ้นเพื่อแสดงแบบฟอร์มฟิชชิง หรือแพร่กระจายมัลแวร์ และหลีกเลี่ยงการตรวจจับ (more…)

แฮ็กเกอร์กำลังใช้เทคนิคใหม่ที่อาศัยการใช้ extended attributes สำหรับไฟล์ใน macOS เพื่อส่งโทรจันตัวใหม่ที่นักวิจัยเรียกว่า RustyAttr (more…)

แอปพลิเคชัน Instagram และ Facebook จะมีลิงก์เว็บไซต์ และโฆษณาต่าง ๆ มากมายภายในแอป โดยเมื่อผู้ใช้คลิกลิงก์เพื่อเปิดเว็บไซต์ แอปพลิเคชันจะเปิดเว็บไซต์ผ่านเว็บเบราว์เซอร์ของมันเอง ซึ่งจะมีการแทรกโค้ด JavaScript (connect.

การโจมตีจะเริ่มต้นด้วยฟิชชิ่งอีเมล หรือแคมเปญสเปียร์ฟิชชิ่งที่มีเอกสาร Microsoft Word ที่เป็นอันตราย (.doc) พร้อมด้วยรูปภาพหลอกลวงที่ระบุว่าเป็น Windows 11 Alpha

เมื่อเหยื่อเปิดใช้งานฟังก์ชันการแก้ไขเนื้อหา (Enable Editing and Content) ก็จะเข้าสู่กระบวนการติดตั้ง โดยไฟล์ที่ฝังอยู่กับรูปภาพนั้นคือ VBA macro เมื่อเหยื่อเปิดใช้งานเนื้อหา VBA macro ก็จะทำงานทันที

VBA macro ประกอบไปด้วยข้อมูลขยะมากมาย เป็นกลยุทธ์ทั่วไปที่แฮกเกอร์ใช้เพื่อขัดขวางการวิเคราะห์ข้อมูล เมื่อดึงข้อมูลขยะออกแล้วจะเหลือเพียง VBA macro เมื่อวิเคราะห์ JavaScript เพิ่มเติมนักวิจัยได้พบว่ามี Strings ที่ซับซ้อนควบคู่ไปกับฟังก์ชันการถอดรหัสที่ซับซ้อน

นักวิจัยพบว่าแฮกเกอร์ที่อยู่เบื้องหลังแคมเปญนี้ สั่งให้การโจมตีนี้ไม่ทำงานสำหรับบางประเทศ ได้แก่ รัสเซีย ยูเครน ซอร์เบีย สโลวีเนีย เอสโตเนีย ซึ่งหากตรวจพบภาษาเหล่านี้ จะเรียกใช้ฟังก์ชัน me2XKr เพื่อหยุดการทำงาน

กลุ่ม FIN7 จะมุ่งเป้าการโจมตีไปที่ ภาคโทรคมนาคม การศึกษา การค้าปลีก การเงิน และการบริการในสหรัฐฯ ผ่านการโจมตีที่สร้างขึ้นอย่างตั้งใจ

นอกจากนี้ FIN7 ยังหาวิธีการหลีกเลี่ยงการตรวจจับ และบังคับใช้กฎหมายเพื่อเอาผิดพวกเขา โดยการใช้เทคนิคขั้นสูง และแปลกใหม่เพื่อขัดขวางการตรวจจับอยู่ตลอดเวลา

ในบางครั้งพบว่ากลุ่มนี้เป็นที่รู้จักกันในอีกชื่อว่า Carbanak และมีการเพิ่มกลยุทธ์การสร้างรายได้ที่หลากหลายมากขึ้น ซึ่งทำให้กลุ่มของ FIN7 สามารถขยายผลกระทบของการโจมตีได้ ส่งผลให้แฮกเกอร์กลุ่มนี้มีความได้เปรียบในการแข่งขันกับกลุ่มอื่น ๆ และยังสามารถกำหนดเป้าหมายไปยังอุตสาหกรรมที่หลากหลายได้

แม้ว่า FIN7 จะมีเทคนิคที่โดดเด่นในการขโมยข้อมูลบัตรเครดิตจำนวนมาก แต่ความทะเยอทะยานของพวกเขาไม่ได้จำกัดอยู่เพียงการขโมยข้อมูลบัตรเครดิต เพราะในขณะที่ปัจจุบันมีการเข้ารหัสแบบ end-to-end encryption (E2EE) เพื่อป้องกันไม่ให้ผู้โจมตี หรือแฮกเกอร์ได้ข้อมูลบัตรเครดิตไปได้โดยง่าย พวกเขาจึงหันไปโจมตีแผนกการเงินขององค์กรเป้าหมายแทน

จากการวิเคราะห์ของ Anomali Threat Research ที่ลงไว้เมื่อ 2 กันยายน พ.ศ. 2564 กล่าวว่า "การกำหนดเป้าหมายเฉพาะของโดเมน Clearmind ดูจะเป็นวิธีการทำงานที่ FIN7 ต้องการ" "เป้าหมายของกลุ่มคือการใช้แบ็คดอร์ในรูปแบบ JavaScript ที่คาดว่า FIN7 น่าจะใช้มาตั้งแต่ปี 2561

ที่มา : ehackingnews

เมื่อเดือนที่แล้ว Cloudflare บริษัทผู้ให้บริการระบบเครือข่าย network และรักษาความปลอดภัยเว็บไซต์ ได้แก้ไขช่องโหว่ที่สำคัญในไลบรารี CDNJS ซึ่งมีการใช้งานอยู่ที่ 12.7% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต

CDNJS เป็นเครือข่ายการส่งเนื้อหา (Content Delivery Network) แบบโอเพ่นซอร์สที่ให้บริการฟรี ซึ่งให้บริการไลบรารี JavaScript และ CSS ประมาณ 4,041 รายการ ทำให้เป็น CDN ไลบรารี JavaScript ที่ได้รับความนิยมสูงสุดเป็นอันดับสองรองจาก Google Hosted Libraries

ข้อผิดพลาดเกี่ยวข้องกับปัญหาในเซิร์ฟเวอร์อัปเดตไลบรารี CDNJS ที่อาจอนุญาตให้ผู้โจมตีดำเนินการรันคำสั่งที่เป็นอันตรายได้ และนำไปสู่การเข้าถึงระบบโดยสมบูรณ์

ช่องโหว่ดังกล่าวถูกค้นพบและรายงานโดยนักวิจัยด้านความปลอดภัย RyotaK เมื่อวันที่ 6 เมษายน พ.ศ. 2564 ซึ่งยังไม่พบหลักฐานว่ามีการใช้ช่องโหว่นี้ในการโจมตีจริง

ช่องโหว่นี้ทำงานโดยการส่งแพ็คเกจไปยัง CDNJS ของ Cloudflare โดยใช้ GitHub และ npm ใช้เพื่อทริกเกอร์ช่องโหว่ path traversal และท้ายที่สุดคือทำให้เซิร์ฟเวอร์สามารถเรียกใช้โค้ดจากระยะไกลได้ น่าสังเกตว่าโครงสร้างพื้นฐานของ CDNJS มีการอัปเดตไลบรารีเป็นอัตโนมัติโดยเรียกใช้สคริปต์บนเซิร์ฟเวอร์เป็นระยะ เพื่อดาวน์โหลดไฟล์ที่เกี่ยวข้องจากที่เก็บ Git ซึ่งมีการจัดการโดยผู้ใช้หรือรีจิสตรีแพ็กเกจ npm

RyotaK พบว่า "สามารถเรียกใช้โค้ดได้ หลังจากดำเนินการ path traversal จากไฟล์ .tgz ไปยัง npm และเขียนทับสคริปต์ที่ทำงานเป็นประจำบนเซิร์ฟเวอร์" และ “ช่องโหว่นี้สามารถโจมตีได้โดยไม่ต้องใช้ทักษะพิเศษใดๆ แต่ก็สามารถส่งผลกระทบต่อเว็บไซต์จำนวนมากได้ ทำให้เป็นไปได้ว่าจะเกิดการโจมตีช่องโหว่นี้ในลักษณะ Supply-chain ได้"

เป้าหมายของการโจมตีคือการส่งแพ็คเกจที่สร้างขึ้นเป็นพิเศษไปยังที่เก็บ จากนั้นจะเลือกเซิร์ฟเวอร์อัปเดตไลบรารี CDNJS เพื่อเผยแพร่แพ็คเกจ กระบวนการคือการคัดลอกเนื้อหาของแพ็คเกจที่เป็นอันตรายไปยังโฮสต์ไฟล์สคริปต์ปกติที่เรียกใช้งานเป็นประจำบนเซิร์ฟเวอร์ ส่งผลให้มีการเรียกใช้โค้ดอันตรายได้

นี่ไม่ใช่ครั้งแรกที่นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ในลักษณะดังกล่าว โดยในเดือนเมษายน 2564 RyotaK ได้เปิดเผยช่องโหว่ที่สำคัญในที่เก็บ Homebrew Cask ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้บนเครื่องของผู้ใช้งาน

ที่มา : thehackernews

นักวิจัยพบเทคนิคใหม่ของเว็บไซต์ฟิชชิงที่กำลังใช้ JavaScript เพื่อหลบเลี่ยงการตรวจจับ

นักวิจัยจากทีม MalwareHunter ตรวจพบเว็บไซต์ฟิชชิงกำลังใช้ JavaScript เพื่อหลบเลี่ยงการตรวจจับโดยใช้ JavaScript ดังกล่าวทำจะการตรวจสอบว่าผู้เยี่ยมชมกำลังเช้าชมเว็บไซต์จากเครื่อง Virtual machine (VM) หรืออุปกรณ์ headless device หรือไม่ ถ้าตรวจสอบว่าใช่จะแสดงหน้าเพจที่ว่างเปล่าให้กับผู้เยี่ยมชม

นักวิจัยกล่าวว่าเทคนิคที่ใช้ในการหลีกเลี่ยงการตรวจสอบเว็บไซต์ฟิชชิงจะใช้ JavaScript เพื่อตรวจสอบว่าเบราว์เซอร์ทำงานภายใต้เครื่อง VM หรือเข้าสู่เว็บไซต์โดย Command-line interface (CLI) หากพบสัญญาณของความพยายามในการวิเคราะห์ข้อมูลบนเว็บไซต์ฟิชชิงดังกล่าวจะแสดงหน้าเพจว่างแทนที่จะแสดงหน้าฟิชชิงปกติ

นักวิจัยกล่าวอีกว่าสคริปต์จะทำการตรวจสอบความกว้างและความสูงของหน้าจอของผู้เยี่ยมชมและใช้ WebGL API เพื่อสืบค้นเว็บเอ็นจิ้นสำหรับการแสดงผลที่เบราว์เซอร์ใช้ นอกจากนี้สคริปต์ยังตรวจสอบด้วยว่าหน้าจอของผู้เยี่ยมชมมีความลึกของสีน้อยกว่า 24 บิตหรือไม่ หรือความสูงและความกว้างของหน้าจอน้อยกว่า 100 พิกเซล ซึ่งหากตรวจพบเงื่อนไขใดๆ เหล่านี้หน้าเพจฟิชชิงจะแสดงหน้าเพจที่ว่างเปล่าให้กับผู้เยี่ยมชม อย่างไรก็ตามหากเบราว์เซอร์ใช้เครื่องมือและการแสดงผลฮาร์ดแวร์ปกติและขนาดหน้าจอมาตรฐานสคริปต์จะแสดงหน้า Landing Page ของฟิชชิ่ง

ทั้งนี้นักวิจัยคาดว่าผู้ประสงค์ร้ายได้นำโค้ดมาจากบทความปี 2019 ที่อธิบายถึงวิธีใช้ JavaScript เพื่อตรวจจับเครื่อง VM สำหรับผู้ที่สนใจบทความสามารถดูได้ที่นี่: https://bannedit.

Fortinet ได้ทำการแก้ไขช่องโหว่ที่รุนแรงหลายรายการ ซึ่งรวมไปถึง Remote Code Execution (RCE) ไปจนถึง SQL Injection, Denial of Service (DoS) ที่ส่งผลกระทบต่ออุปกรณ์ FortiProxy SSL VPN และ FortiWeb Web Application โดยช่องโหว่บางส่วนนั้นได้เคยถูกเปิดเผยไปแล้วแต่ยังไม่ครอบคลุมในทุกอุปกรณ์ ทำให้ต้องมีการแพตช์เพิ่มเติม ตัวอย่างดังนี้

ช่องโหว่ CVE-2018-13381 ใน FortiProxy SSL VPN เป็นช่องโหว่แบบ Remote ที่เกิดจากการที่อุปกรณ์ไม่มีการรับรองความถูกต้องผ่านการร้องขอแบบ POST ซึ่งสามารถทำให้อุปกรณ์หยุดทำงานและนำไปสู่การเกิด DoS
ช่องโหว่ CVE-2018-13383 สามารถทำให้เกิด Overflow ใน VPN ผ่าน property HREF ของ JavaScript

ลูกค้า Fortinet ควรอัปเกรดเป็นเวอร์ชันที่มีการอัปเดตเพิ่มเติม โดยสามารถตรวจสอบเวอร์ชั่นอัปเดตล่าสุดอื่นๆ ได้ที่แหล่งที่มา

ที่มา : bleepingcomputer

Adobe เปิดตัวการอัปเดตแพตช์ด้านความปลอดภัย 4 รายการ เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงระดับ Critical และส่งผลต่อผลิตภัณฑ์ Adobe Lightroom, Adobe Experience Manager (AEM) และ Adobe Prelude เวอร์ชัน Windows และ macOS โดยช่องโหว่มีรายละเอียดดังนี้

ช่องโหว่ CVE-2020-24440 เป็นช่องโหว่ประเภท Uncontrolled search path โดยช่องโหว่จะทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ต้องรับอนุญาตใน Adobe Prelude เวอร์ชันก่อนหน้า 9.0.1 สำหรับ Windows และ macOS
ช่องโหว่ CVE-2020-24447 เป็นช่องโหว่ประเภท Uncontrolled Search Path Element โดยช่องโหว่จะทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ต้องรับอนุญาตใน Adobe Lightroom Classic เวอร์ชันก่อนหน้า 10.0
ช่องโหว่ CVE-2020-24444 และ CVE-2020-24445 เป็นช่องโหว่ประเภท Blind server-side request forgery และ Cross-site scripting (XSS) ตามลำดับ โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนและเรียกใช้โค้ด JavaScript ในเบราว์เซอร์ได้โดยไม่ต้องรับอนุญาตและช่องโหว่จะมีผลกระทบกับ Adobe Experience Manager (AEM) เวอร์ชันก่อนหน้า 6.5.6.0, 6.4.8.2, 6.3.3.8 และ 6.2 SP1-CFP20
ทั้งนี้ผู้ใช้งานผลิตภัณฑ์ Adobe Lightroom, Adobe Experience Manager (AEM) และ Adobe Prelude เวอร์ชัน Windows และ macOS ควรทำการอัฟเดตแพตซ์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อเป้นการป้องกันการตกเป็นเหยื่อจากผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: bleepingcomputer

Open Source Security Foundation หรือ OpenSSF ประกาศเมื่อวันพุธที่ผ่านมาในงาน Black Hat Europe ถึงโครงการโอเพนซอร์สใหม่สำหรับการประเมินประสิทธิภาพซอฟแวร์ประเมินความปลอดภัยแอปแบบ static analysis security testing หรือ SAST ภายใต้ชื่อ OpenSSF CVE Benchmark

ในการทำงานของ OpenSSF CVE Benchmark นั้น มันจะทำการประเมินประสิทธิภาพซอฟต์แวร์โดยกำหนดเงื่อนไขของโค้ดที่มีช่องโหว่และข้อมูลแวดล้อมอื่น ๆ จากช่องโหว่ในภาษา JavaScript และ TypeScript กว่า 218 รูปแบบ

OpenSSF CVE Benchmark สามารถทำงานร่วมกับ ESLint, CodeQL และ NodeJsScan ได้เป็นค่าเริ่มต้น ทั้งนี้ผู้พัฒนาคาดหวังว่าเมื่อโครงการถูกเผยแพร่ออกไปแล้ว OpenSSF CVE Benchmark จะรองรับการทำงานร่วมกับ SAST ตัวอื่นมากยิ่งขึ้น

ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมของโครงการได้ที่ https://github.