Microsoft ระบุว่าได้ค้นพบเวอร์ชันใหม่ของมัลแวร์บน macOS ที่รู้จักกันในชื่อ XCSSET ซึ่งยังไม่พบว่าถูกนำไปใช้โจมตีในวงกว้าง (more…)

แฮ็กเกอร์กำลังใช้ Google Ads เพื่อแพร่กระจายมัลแวร์ โดยใช้เว็บไซต์ปลอมของ Homebrew ในการโจมตีอุปกรณ์ Mac และ Linux ด้วยการใช้มัลแวร์ประเภท Infostealer ที่ถูกออกแบบมาเพื่อขโมยข้อมูล เช่น ข้อมูล credentials, ข้อมูลบนเบราว์เซอร์ และกระเป๋าเงินดิจิทัลของเหยื่อ

แคมเปญโฆษณาอันตรายบน Google นี้ถูกพบโดย Ryan Chenkie ซึ่งได้โพสต์คำเตือนบนแพลตฟอร์ม X เกี่ยวกับความเสี่ยงของการติดมัลแวร์

มัลแวร์ที่ใช้ในแคมเปญนี้คือ AmosStealer (หรือที่รู้จักในชื่อ 'Atomic') ซึ่งเป็นมัลแวร์ประเภท Infostealer ที่ออกแบบมาสำหรับระบบ macOS และถูกขายให้กับอาชญากรไซเบอร์รายอื่น โดยมีค่าสมัครสมาชิกเดือนละ 1,000 ดอลลาร์สหรัฐ

มัลแวร์นี้ถูกพบในแคมเปญ malvertising ที่มีการโปรโมตหน้าเว็บไซต์การประชุมปลอมของ Google Meet และในปัจจุบันกลายเป็นเครื่องมือในการขโมยข้อมูลสำหรับกลุ่มอาชญากรทางไซเบอร์ที่มุ่งเป้าไปที่ผู้ใช้ Apple

การกำหนดเป้าหมายไปที่ผู้ใช้ Homebrew

โดย Homebrew คือ open-source package manager ยอดนิยมสำหรับ macOS และ Linux ซึ่งจะอนุญาตให้ผู้ใช้ติดตั้งอัปเดต และจัดการซอฟต์แวร์จาก command line

โฆษณาปลอมบน Google แสดง URL ของ Homebrew ที่ดูเหมือนจะถูกต้องคือ "brew.

แฮ็กเกอร์กำลังใช้เทคนิคใหม่ที่อาศัยการใช้ extended attributes สำหรับไฟล์ใน macOS เพื่อส่งโทรจันตัวใหม่ที่นักวิจัยเรียกว่า RustyAttr (more…)

Microsoft กำลังตรวจสอบปัญหาที่เพิ่งรับทราบ ซึ่งทำให้แอปพลิเคชันบน macOS หยุดการทำงานเมื่อเปิด หรือบันทึกไฟล์ใน OneDrive (more…)

กลุ่มผู้โจมตีจากเกาหลีเหนือถูกพบว่าใช้ LinkedIn เป็นช่องทางในการโจมตีนักพัฒนาซอฟต์แวร์ โดยใช้วิธีการล่อลวงเหยื่อจากเรื่องของการรับสมัครงานปลอม

Mandiant บริษัทในเครือของ Google ระบุในรายงานฉบับใหม่เกี่ยวกับภัยคุกคาม Web3 sector ว่า การโจมตีเหล่านี้ใช้การทดสอบการเขียนโค้ดเป็นวิธีหลักในการเริ่มต้นการแพร่กระจายมัลแวร์

(more…)

ช่องโหว่ใหม่ใน Bluetooth ทำให้แฮ็กเกอร์สามารถเข้าควบคุมอุปกรณ์ iOS, Android, Linux และ MacOS

ช่องโหว่ในระบบ Bluetooth บน Android, Linux, macOS, iOS และ Windows เป็นเรื่องสำคัญ เนื่องจากแฮ็กเกอร์สามารถใช้ช่องโหว่เหล่านี้เพื่อเข้าถึงอุปกรณ์ที่มีช่องโหว่โดยไม่ได้รับอนุญาต

โดยช่องโหว่ในโปรโตคอล Bluetooth ทำให้ผู้ไม่หวังดีสามารถทำการขโมยข้อมูลที่มีความสำคัญ, ดักฟังการสื่อสารอย่างลับ ๆ และดำเนินการที่เป็นอันตรายได้

โดยล่าสุดผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ 'Marc Newlin' ได้ค้นพบช่องโหว่ใหม่ในระบบ Bluetooth ที่ทำให้ผู้ไม่หวังดีสามารถเข้าควบคุมอุปกรณ์ iOS, Android, Linux และ MacOS ได้

ช่องโหว่ Bluetooth ใน Android, Linux, macOS, iOS

ผู้ไม่หวังดีสามารถใช้ช่องโหว่ใหม่นี้ โดยไม่ต้องมีการการยืนยันจากผู้ใช้ เพื่อที่จะเชื่อมต่อกับ Bluetooth keyboard Emulated และควบคุมการใช้งานคีย์บอร์ด

ทุกช่องโหว่ที่ถูกพบโดยนักวิจัยด้านความปลอดภัย และมีผลกระทบต่อระบบ iOs, Android, Linux, และ macOS มีดังนี้

CVE-2024-0230
CVE-2023-45866
CVE-2024-21306

อุปกรณ์ HID (Human Interface Device) ใช้รายงานสำหรับการสื่อสาร โดยการรวมข้อมูลเข้าไปในหมวดหมู่ต่าง ๆ เช่น รายงานข้อมูล input (keypresses, mouse actions), รายงานข้อมูล output (commands, state changes), และรายงานคุณสมบัติ (device settings)

รายงานเหล่านี้ไม่ขึ้นอยู่กับช่องทางการสื่อสาร เพราะมีการส่งถึงโฮสต์ผ่านทาง USB หรือ Bluetooth โดยระบบ Bluetooth HID ใช้ L2CAP sockets กับพอร์ต 17 สำหรับ HID Control (feature reports, high latency) และพอร์ต 19 สำหรับ HID Interrupt (input/output reports, low latency)

การเชื่อมต่อ Bluetooth HID ที่เป็นที่รู้จัก จำเป็นต้องมีการเชื่อมต่อกับทั้งสองพอร์ต การเชื่อมต่อคีย์บอร์ดไปที่พอร์ต 17 และ 19 นั้นมักเกี่ยวข้องกับการจับคู่ และการสร้างคีย์เชื่อมต่อ (link key) เพื่อการเข้ารหัสข้อมูล โดยการทำ bonding จะทำให้ระบบบันทึกคีย์เพื่อให้สามารถใช้ในครั้งถัดไปได้

ในขณะเดียวกัน การจับคู่นอกย่านความถี่ช่วยให้สามารถจับคู่ และเชื่อมต่อผ่านช่องสัญญาณที่ไม่ใช่ Bluetooth เช่น NFC หรือ USB ความสามารถในการจับคู่มีการตรวจสอบความถูกต้องที่โฮสต์ หรืออุปกรณ์ต่อพ่วง

ระบบปฏิบัติการ Linux ที่ได้รับผลกระทบ

Ubuntu
Debian
Redhat
Amazon Linux
Fedora
Gentoo
Arch
OpenEmbedded
Yocto
NixOS

อุปกรณ์ที่มีช่องโหว่จะอนุญาตให้ทำการจับคู่ได้โดยไม่ต้องมีการยืนยันจากผู้ใช้ โดยรองรับการจับคู่แป้นพิมพ์ที่ไม่ผ่านการรับรองความถูกต้อง

ความสำเร็จในการบังคับจับคู่ และการกดแป้นพิมพ์ ขึ้นอยู่กับความสามารถในการค้นหาโฮสต์, ความสามารถในการจับคู่ NoInputNoOutput และการเข้าถึง L2CAP ที่เป็นพอร์ต 17 และ 19

Linux และ Android จะเปิดเผยพอร์ตเมื่ออยู่ในโหมด Discoverable ในขณะที่ macOS, iOS, และ Windows จะจำกัดการเข้าถึงอุปกรณ์ที่รู้จักเท่านั้น การโจมตีบน Linux และ Android ส่วนใหญ่สามารถทำงานได้กับอะแดปเตอร์ Bluetooth, ในขณะที่ macOS, iOS, และ Windows จำเป็นต้องใช้อะแดปเตอร์ที่ใช้เทคโนโลยี Broadcom

ที่มา : cybersecuritynews.

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบ backdoor ตัวใหม่บน macOS ชื่อ SpectralBlur ซึ่งมีความเชื่อมโยงกับมัลแวร์ที่เป็นที่รู้จักกันดี ซึ่งเชื่อมโยงกับผู้โจมตีชาวเกาหลีเหนือ

(more…)

มัลแวร์บน Apple macOS เวอร์ชันใหม่ที่เรียกว่า XLoader ได้ปรากฏตัวขึ้นโดยการปลอมแปลงฟีเจอร์ที่เป็นอันตรายภายใต้หน้ากากของแอปเพิ่มประสิทธิภาพการทำงานในสำนักงานที่เรียกว่า "OfficeNote"

นักวิจัยด้านความปลอดภัยจาก SentinelOne ชื่อ Dinesh Devadoss และ Phil Stokes ได้ระบุในรายงานการวิเคราะห์เมื่อวันจันทร์ที่ผ่านมา (21 ส.ค. 2023) ว่า "เวอร์ชันใหม่ของ XLoader ถูกรวมอยู่ในไฟล์ Apple disk image ด้วยชื่อ OfficeNote.

นักวิจัยเปิดเผยเวอร์ชันอัปเดตของมัลแวร์ Rustbucket บนระบบปฏิบัติการ Apple macOS ที่มาพร้อมความสามารถที่ดีขึ้น และสามารถหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์รักษาความปลอดภัย

นักวิจัยจาก Elastic Security Labs ระบุในรายงานที่เผยแพร่ในสัปดาห์นี้ว่า Rustbucket เป็นมัลแวร์ที่มีเป้าหมายเป็นระบบ macOS ที่เพิ่มความสามารถในการโจมตีที่ไม่เคยพบมาก่อน โดยใช้โครงสร้างพื้นฐานของเครือข่ายแบบไดนามิกในการควบคุม และสั่งการ

RustBucket เป็นผลงานของกลุ่มผู้โจมตีจากเกาหลีเหนือที่รู้จักในนาม "BlueNoroff" ซึ่งเป็นส่วนหนึ่งของกลุ่มโจมตีขนาดใหญ่ในชื่อ Lazarus Group ซึ่งเป็นกลุ่มแฮ็กเกอร์ภายใต้การกำกับดูแลของหน่วยงาน Reconnaissance General Bureau, RGB

payload ที่สองของมัลแวร์ (second-stage malware) ที่ถูกเขียนด้วยภาษา Swift ซึ่งถูกออกแบบให้ดาวน์โหลดมาจากเซิร์ฟเวอร์ command-and-control (C2) ส่วนมัลแวร์หลักคือไบนารีที่ใช้ภาษา Rust มีคุณสมบัติในการเก็บรวบรวมข้อมูลอย่างละเอียด รวมถึงดึง และเรียกใช้ไบนารี Mach-O หรือ shell scripts บนระบบที่ถูกโจมตี

เป็นครั้งแรกที่มัลแวร์ BlueNoroff มีเป้าหมายเป็นผู้ใช้ macOS โดยเฉพาะ แม้ว่าจะมีเวอร์ชันของ RustBucket ใน .NET ที่มีฟีเจอร์ที่คล้ายกัน

บริษัทความปลอดภัยทางไซเบอร์จากฝรั่งเศส Sekoia ระบุในการวิเคราะห์แคมเปญ RustBucket เมื่อสิ้นเดือนพฤษภาคม 2023 ว่ากิจกรรมของ Bluenoroff ล่าสุดนี้ทำให้เห็นว่าผู้โจมตีพยายามใช้ภาษาที่สามารถรองรับหลายแพลตฟอร์มในการพัฒนามัลแวร์ เพื่อขยายความสามารถ ซึ่งมีความเป็นไปได้สูงที่จะขยายขอบเขตของกลุ่มเป้าหมาย

ลำดับการโจมตีประกอบด้วยไฟล์ติดตั้งบน macOS ที่ติดตั้งโปรแกรมอ่านไฟล์ PDF ซึ่งจะถูกแฝงโปรแกรม backdoor และยังคงใช้งานโปรแกรมได้ตามปกติ สิ่งที่สำคัญในการโจมตี คือ malicious activity จะถูกเรียกใช้เมื่อไฟล์ PDF ที่ถูกใส่ในโปรแกรมตัวอ่าน PDF ที่อันตรายเปิดใช้งาน มัลแวร์จะเริ่มการโจมตีเบื้องต้น รวมถึงอีเมลฟิชชิ่ง และการสร้างข้อมูลปลอมบน social networks เช่น LinkedIn

จาการสังเกตการโจมตี มีลักษณะเป็นการเจาะจง และเน้นไปที่สถาบันทางการเงินที่อยู่ในเอเชีย ยุโรป และสหรัฐอเมริกา โดยการโจมตีนี้เน้นการสร้างรายได้อย่างผิดกฏหมายเพื่อหลีกเลี่ยงบทลงโทษตามกฎหมาย

สิ่งที่ทำให้การตรวจพบเวอร์ชันใหม่
([hxxps[:]//www[.]virustotal.

กลุ่ม LockBit  ประกาศการโจมตีห้างสรรพสินค้าประเภทไฮเปอร์มาร์เก็ต, ซูเปอร์มาร์เก็ต และร้านสะดวกซื้อที่มีขนาดใหญ่เป็นอันดับสองของประเทศไทย โดยมีการโพสต์การโจมตีทางไซเบอร์บนเว็บไซต์ของทางกลุ่ม ซึ่งมีการกำหนดเวลาการปล่อยข้อมูลออกสู่สาธารณะในวันที่ 27 เมษายน หากไม่มีการดำเนินการจ่ายค่าไถ่
(more…)