Cofense บริษัทรักษาความปลอดภัยทางไซเบอร์ และกลุ่ม Emotet-tracking Cryptolaemus ได้แจ้งเตือนการกลับมาอีกครั้งของ Emotet หลังจากหายไปนานกว่า 3 เดือน

Emotet เป็นมัลแวร์ที่แพร่กระจายผ่านทางอีเมลที่แนบไฟล์ Microsoft Word และ Excel ที่เป็นอันตราย เมื่อเป้าหมายเปิดเอกสารเหล่านี้ก็จะทำการเรียกใช้งานมาโครที่เป็นอันตราย โดย Emotet DLL จะถูกดาวน์โหลดลงในหน่วยความจำ หลังจากนั้นก็จะทำการหยุดการทำงาน และรอคำสั่งจาก command and control (C2) server โดย Emotet มีความสามารถในการขโมยข้อมูลบนเครื่องเป้าหมาย รวมไปถึงเรียกใช้เพย์โหลดเพิ่มเติม เช่น Cobalt Strike หรือ Ransomware รวมถึงยังเป็นมัลแวร์ที่มีการแพร่กระจายมากที่สุดในอดีต แต่กลับหายไปเรื่อย ๆ ครั้งสุดท้ายที่พบคือในเดือนพฤศจิกายน 2022 เพียงสองสัปดาห์เท่านั้น (more…)

Microsoft OneNote ได้กลายเป็นที่นิยมของกลุ่ม Hacker ในการโจมตี และแพร่กระจายมัลแวร์บนระบบของเป้าหมาย เนื่องจากปัจจุบัน Microsoft ได้ปิดการใช้งาน macro เป็นค่าเริ่มต้นใน Word Office และ Excel Office

จึงทำให้กลุ่ม Hacker ต้องเปลี่ยนวิธีการโจมตีไปใช้วิธีการอื่น ๆ เช่น ไฟล์ ISO และไฟล์ ZIP ที่เข้ารหัส เนื่องจากช่องโหว่บน Windows ทำให้ไฟล์ ISO images สามารถหลีกเลี่ยงการตรวจสอบของฟีเจอร์ Mark-of-the-Web (MoTW) ซึ่งรวมไปถึง 7-Zip archive utility ด้วยเช่นกัน แต่ต่อมาทาง 7-Zip และ Windows ได้ทำการแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้ว ทำให้ Hacker จึงเปลี่ยนมาใช้การส่งไฟล์ OneNote ที่แนบไฟล์ที่เป็นอันตรายแทน (more…)

Hossein Jazi และ Jérôme Segura จาก MalwareBytes เปิดเผยผลการวิเคราะห์ซึ่งตรวจพบในมัลแวร์สายพันธุ์ใหม่ วิธีการนี้เคยถูกใช้ในมัลแวร์ Netwalker และมัลแวร์เรียกค่าไถ่ Cerber มาก่อนแล้ว

มัลแวร์เริ่มต้นการแพร่กระจายผ่านทางสคริปต์ macro ในไฟล์ทางอีเมล โดยสคริปต์ดังกล่าวนั้นถูกพัฒนามาจากโครงการโอเพนซอร์สสำหรับการประเมินความปลอดภัยระบบชื่อ CactusTorch ซึ่งมีความสามารถในการโหลดไบนารีซึ่งถูกคอมไพล์จาก .Net ไปยังโปรเซสที่ต้องการเพื่อฝังโค้ดที่เป็นอันตรายได้

ในกรณีของมัลแวร์ดังกล่าว มัลแวร์มีการโหลดโมดูลที่มีชื่อว่า Kraken และกำหนดเป้าหมายในการแทรกโค้ดไบนารีไปยังโปรเซส werfault.

Security Researcher พบไฟล์ Powerpoint ซึ่งพยายามให้ user รัน powershell หลังจากที่เมาส์วางไว้เหนือ link ใน slide ของ Powershell โดยไม่จำเป็นต้องเปิดการใช้งาน Macro แต่อย่างใด

โดยปกติ file malware ที่เป็น document ใดๆ จะมีการพยายามรันผ่าน Macro, Javascript, VBA แต่ตัวที่ Security Researcher คนนี้พบ กลับไม่ต้องพึ่งสิ่งเหล่านั้นแต่อย่างใด ขอเพียงแค่นำเมาส์ไปวางไว้เหนือ Link URL ก็จะพยายามให้ user รัน powershell ที่ถูกซ่อนไว้ทันที โดย Powerpoint ไฟล์ดังกล่าว จะมี slide แค่ slide เดียว โดย slide ดังกล่าวจะมี Link URL พร้อมกับข้อความเขียนไว้ว่า "Loading…Please wait" ซึ่งวิธีการที่ทำให้ส่วน Link URL ดังกล่าวกระทำการเปิด powershell เมื่อมีเมาส์ไปอยู่เหนือคำ "Loading.