ในช่วงไม่กี่เดือนที่ผ่านมา นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญ Phishing รูปแบบใหม่ที่มุ่งเป้าไปยังผู้ใช้ macOS โดยแฝงตัวมาในรูปแบบกระบวนการยืนยันตัวตนด้วย CAPTCHA

(more…)

ช่องโหว่ WinRAR (CVE-2025-8088) ที่เพิ่งถูกแก้ไข ถูกใช้ในปฏิบัติการฟิชชิงแบบ Zero-Day เพื่อติดตั้งมัลแวร์ RomCom

ช่องโหว่ Directory Traversal นี้ ได้รับการแก้ไขไปแล้วใน WinRAR เวอร์ชัน 7.13 ซึ่งก่อนหน้านี้สามารถทำให้ให้ไฟล์ archive ที่ถูกสร้างขึ้นเป็นพิเศษ สามารถแตกไฟล์ไปยังตำแหน่งที่ผู้โจมตีกำหนดได้

จากประวัติการเปลี่ยนแปลงของ WinRAR 7.13 ระบุว่า WinRAR, RAR และ UnRAR เวอร์ชันก่อนหน้า รวมถึงซอร์สโค้ดของ Portable UnRAR และ UnRAR.dll บน Windows อาจถูกหลอกให้ใช้ Path ที่กำหนดไว้ในไฟล์ archive แทนที่จะเป็น Path ที่ผู้ใช้ระบุเองขณะทำการแตกไฟล์

อย่างไรก็ตาม เวอร์ชันของ RAR และ UnRAR บน Unix รวมถึงซอร์สโค้ดของ Portable UnRAR, ไลบรารี UnRAR และ RAR บนระบบปฏิบัติการ Android ไม่ได้รับผลกระทบจากช่องโหว่นี้

โดยอาศัยช่องโหว่นี้ ผู้โจมตีสามารถสร้างไฟล์ archive ที่เมื่อแตกไฟล์แล้ว จะวางไฟล์ executables ลงใน Path ที่ระบบจะรันโดยอัตโนมัติ เช่น โฟลเดอร์ Startup ของ Windows ได้แก่ :

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)

เมื่อผู้ใช้ล็อกอินเข้าสู่ระบบในครั้งถัดไป ไฟล์ปฏิบัติการดังกล่าวจะถูกรันโดยอัตโนมัติ ซึ่งจะเปิดโอกาสให้ผู้โจมตีรันโค้ดจากระยะไกลได้

เนื่องจาก WinRAR ไม่มีฟีเจอร์อัปเดตอัตโนมัติ จึงขอแนะนำให้ผู้ใช้ทุกคนดาวน์โหลด และติดตั้งเวอร์ชันล่าสุดด้วยตนเองจากเว็บไซต์ win-rar.

กลุ่ม APT (Advanced Persistent Threat) ที่ชื่อว่า ScarCruft ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้เริ่มปฏิบัติการโจมตีด้วยมัลแวร์รูปแบบใหม่ที่มีความซับซ้อน โดยมุ่งเป้าไปที่ผู้ใช้งานในเกาหลีใต้ผ่านการแจ้งเตือนปลอมเกี่ยวกับการอัปเดตรหัสไปรษณีย์

(more…)

มัลแวร์ตัวใหม่บน Linux ชื่อ Koske คาดว่าถูกพัฒนาด้วย AI และใช้ภาพ JPEG ของหมีแพนด้าที่ดูเหมือนไม่เป็นอันตรายเพื่อส่งมัลแวร์เข้าสู่หน่วยความจำของระบบโดยตรง

(more…)

มัลแวร์ตระกูลใหม่ที่มีชื่อว่า LameHug กำลังใช้ large language model (LLM) เพื่อสร้างชุดคำสั่งสำหรับเรียกใช้บนระบบ Windows ที่ถูกโจมตีได้สำเร็จ

(more…)

Mainboard ของ Gigabyte มากกว่าร้อยรุ่นที่ใช้ UEFI firmware มีช่องโหว่ด้านความปลอดภัย ที่อาจทำให้ผู้โจมตีสามารถฝังมัลแวร์ประเภท bootkit ซึ่งเป็นมัลแวร์ที่ระบบปฏิบัติการไม่สามารถตรวจจับได้ และยังคงแฝงตัวอยู่ได้แม้ผู้ใช้จะทำการติดตั้งระบบปฏิบัติการใหม่แล้วก็ตาม

ช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีที่มีสิทธิ์ในระดับผู้ดูแลระบบ (ทั้งแบบเข้าถึงจากเครื่องโดยตรง หรือจากระยะไกล) สามารถเรียกใช้โค้ดใด ๆ ก็ได้ตามต้องการใน System Management Mode (SMM) ซึ่งเป็นสภาพแวดล้อมที่แยกออกจากระบบปฏิบัติการ (OS) และมีสิทธิ์ในการเข้าถึงเครื่องที่มากกว่า

กลไกที่ทำงานในระดับที่ต่ำกว่าระบบปฏิบัติการ (OS) จะสามารถเข้าถึงฮาร์ดแวร์ได้โดยตรง และเริ่มทำงานตั้งแต่ตอนบูตเครื่อง ด้วยเหตุนี้ มัลแวร์ที่แฝงตัวอยู่ในสภาพแวดล้อมดังกล่าวจึงสามารถ bypass การป้องกันความปลอดภัยแบบมาตรฐานที่มีอยู่ในระบบได้

UEFI หรือ Unified Extensible Firmware Interface เป็น firmware ที่มีความปลอดภัยมาก เนื่องจากมีฟีเจอร์ Secure Boot ที่ใช้ในการตรวจสอบด้วยวิธีการเข้ารหัส เพื่อให้แน่ใจว่าโค้ดที่อุปกรณ์ใช้ในการบูตเครื่องนั้นปลอดภัย และเชื่อถือได้

ด้วยเหตุนี้ มัลแวร์ระดับ UEFI อย่าง bootkit ที่มีชื่อเสียง เช่น เช่น BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce และ LoJax จึงสามารถฝังโค้ดที่เป็นอันตรายให้ทำงานได้ทุกครั้งที่มีการเปิดเครื่อง

Mainboards จำนวนมากที่ได้รับผลกระทบ

ช่องโหว่ทั้ง 4 รายการนี้ ถูกพบใน firmware ที่ Gigabyte นำมาใช้งาน โดยถูกค้นพบโดยนักวิจัยจากบริษัทด้านความปลอดภัย firmware ที่ชื่อ Binarly ซึ่งได้แบ่งปันข้อมูลการค้นพบนี้กับศูนย์ประสานงาน CERT (CERT/CC) ของมหาวิทยาลัย Carnegie Mellon

Supplier ของ firmware รายหลักคือบริษัท American Megatrends Inc.

ปัจจุบันมัลแวร์ Stealer ไม่เพียงขโมยรหัสผ่านอีกต่อไป ปัจจุบันมัลแวร์สามารถขโมยเซสชันที่กำลังใช้งานอยู่ และผู้โจมตีสามารถดำเนินการได้อย่างรวดเร็ว และมีประสิทธิภาพมากขึ้น

การวิจัยล่าสุดของ Flare ที่ชื่อว่า The Account and Session Takeover Economy ได้วิเคราะห์ Log จากมัลแวร์ Stealer กว่า 20 ล้านรายการ และติดตามพฤติกรรมของผู้ไม่หวังดีผ่าน channels Telegram และบน Dark Web ผลการวิเคราะห์เปิดเผยว่าผู้ไม่หวังดีใช้เครื่องของพนักงานที่ติดมัลแวร์เป็นช่องทางเข้ายึดเซสชันขององค์กรได้ภายในไม่ถึง 24 ชั่วโมงหลังการติดมัลแวร์

(more…)

พบแคมเปญการโจมตีแบบ SEO poisoning ของมัลแวร์ Bumblebee ที่ปลอมแปลงเป็น open-source ยอดนิยม แล้วทำการโฆษณาแบบ SEO เพื่อหลอกให้พนักงานฝ่ายไอทีโหลดไปใช้

BleepingComputer พบว่าแคมเปญการโจมตีดังกล่าวมี open-source ยอดนิยมที่ถูกใช้ในการโจมตีได้แก่ Zenmap ซึ่งเป็นเครื่องมือ Nmap network scanning แบบ GUI และ WinMTR เครื่องมือ tracerout utility (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ พบแคมเปญฟิชชิงรูปแบบใหม่ที่ใช้ในการแพร่กระจายมัลแวร์ที่ชื่อว่า Horabot โดยมีเป้าหมายโจมตีผู้ใช้ระบบปฏิบัติการ Windows ในประเทศแถบละตินอเมริกา เช่น เม็กซิโก, กัวเตมาลา, โคลอมเบีย, เปรู, ชิลี และอาร์เจนตินา

Cara Lin นักวิจัยจาก Fortinet FortiGuard Labs ระบุว่า แคมเปญนี้ "ใช้การสร้างอีเมลปลอมที่แอบอ้างว่าเป็นใบแจ้งหนี้ หรือเอกสารทางการเงิน เพื่อหลอกล่อให้เหยื่อเปิดไฟล์แนบที่เป็นอันตราย ซึ่งสามารถขโมยข้อมูล credentials ของอีเมล, รายชื่อผู้ติดต่อ และติดตั้ง banking trojans ได้"

(more…)

พบแพลตฟอร์ม malware-as-a-service (MaaS) ใหม่ที่ชื่อว่า 'SuperCard X' โดยมีเป้าหมายโจมตีอุปกรณ์ Android ผ่านการโจมตีแบบ NFC Relay ซึ่งช่วยให้สามารถทำธุรกรรมที่ point-of-sale และตู้ ATM โดยใช้ข้อมูลบัตรที่ถูกขโมยมา

SuperCard X เชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่ใช้ภาษาจีน และมีลักษณะโค้ดที่คล้ายคลึงกับโปรเจกต์โอเพ่นซอร์ส NFCGate รวมถึงเวอร์ชันที่พัฒนาจากโปรเจกต์ดังกล่าวอย่าง NGate ซึ่งมีส่วนในการโจมตีในยุโรปตั้งแต่ปีที่แล้ว

แพลตฟอร์ม malware-as-a-service นี้ถูกโปรโมตผ่านช่องทาง Telegram ซึ่งยังมีการเสนอการสนับสนุนโดยตรงแก่ลูกค้า

SuperCard X ถูกพบโดยบริษัทด้านความปลอดภัยบนมือถือ Cleafy ซึ่งรายงานว่าได้พบการโจมตีที่ใช้มัลแวร์ Android นี้ในอิตาลี การโจมตีเหล่านี้ประกอบด้วยตัวอย่างมัลแวร์หลายตัวที่มีความแตกต่างกันเล็กน้อย ซึ่งแสดงให้เห็นว่าผู้ร่วมงานสามารถเลือกสร้างเวอร์ชันที่ปรับแต่งตามความต้องการเฉพาะของภูมิภาค หรือความต้องการอื่น ๆ ได้

การโจมตีของ SuperCard X ดำเนินไปอย่างไร

การโจมตีเริ่มต้นจากเหยื่อได้รับข้อความ SMS หรือ WhatsApp ปลอม ที่แอบอ้างว่าเป็นธนาคารของตน โดยอ้างว่ามีธุรกรรมที่น่าสงสัยเกิดขึ้น และขอให้เหยื่อติดต่อกลับผ่านหมายเลขโทรศัพท์เพื่อแก้ไขปัญหา

เมื่อเหยื่อติดต่อไปตามหมายเลขดังกล่าว จะมีมิจฉาชีพรับสายโดยแสร้งทำตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนของธนาคาร จากนั้นจะใช้วิธีการ social engineering เพื่อหลอกให้เหยื่อยืนยันหมายเลขบัตร และรหัส PIN หลังจากนั้นจะพยายามโน้มน้าวให้ผู้ใช้ยกเลิกการจำกัดวงเงินใช้จ่ายผ่านแอปธนาคารของตน

ในขั้นตอนสุดท้าย ผู้ไม่หวังดีจะหลอกให้เหยื่อติดตั้งแอปอันตรายที่ชื่อว่า "Reader" ซึ่งถูกปลอมแปลงให้ดูเหมือนเป็นเครื่องมือด้านความปลอดภัย หรือการยืนยันตัวตน โดยภายในแอปนั้นแฝงมัลแวร์ SuperCard X เอาไว้

เมื่อผู้ใช้ติดตั้งแอป Reader แอปจะร้องขอสิทธิ์การเข้าถึงเพียงเล็กน้อย โดยส่วนใหญ่จะขอสิทธิ์ในการเข้าถึงโมดูล NFC ซึ่งเพียงพอสำหรับการขโมยข้อมูล

มิจฉาชีพจะสั่งให้เหยื่อนำบัตรชำระเงินมาแตะกับโทรศัพท์ของตนเองเพื่อยืนยันบัตร ซึ่งทำให้มัลแวร์สามารถอ่านข้อมูลจากชิปบนบัตร และส่งข้อมูลนั้นไปยังผู้โจมตี

จากนั้นผู้โจมตีจะรับข้อมูลดังกล่าวไว้ในอุปกรณ์ Android ของตน โดยใช้งานแอปอีกตัวที่ชื่อว่า Tapper ซึ่งทำหน้าที่จำลองการทำงานของบัตรเหยื่อด้วยข้อมูลที่ถูกขโมยมา

บัตรที่ถูกจำลองโดยผู้โจมตีสามารถใช้ชำระเงินแบบ contactless ตามร้านค้า หรือถอนเงินจากตู้ ATM ได้ แม้จะมีข้อจำกัดด้านวงเงิน โดยธุรกรรมเหล่านี้มักมีมูลค่าไม่สูง และดำเนินการได้ทันที ทำให้ดูเหมือนเป็นธุรกรรมปกติ จึงยากต่อการตรวจจับ และยกเลิกโดยธนาคาร

มัลแวร์หลบเลี่ยงการตรวจจับได้

Cleafy ระบุว่า ปัจจุบัน SuperCard X ยังไม่ถูกตรวจพบโดยเครื่องมือป้องกันไวรัสใด ๆ บน VirusTotal และการที่แอปไม่มีการขอสิทธิ์ที่เสี่ยง หรือฟีเจอร์ที่เป็นการโจมตีที่ชัดเจน เช่น การทับซ้อนหน้าจอ (screen overlaying) ทำให้มันสามารถหลบเลี่ยงการตรวจจับจากการสแกนพฤติกรรม (heuristic scans) ได้อย่างมีประสิทธิภาพ

การจำลองบัตรนั้นใช้เทคโนโลยี ATR-based (Answer to Reset) ซึ่งทำให้บัตรดูเหมือนจริง และสามารถทำงานร่วมกับเครื่องชำระเงินได้ นอกจากนี้ยังสะท้อนให้เห็นถึงความชำนาญทางเทคนิค และความเข้าใจในโปรโตคอลของสมาร์ตการ์ดอีกด้วย

อีกหนึ่งแง่มุมทางเทคนิคที่สำคัญคือการใช้ mutual TLS (mTLS) สำหรับการยืนยันตัวตนระหว่างไคลเอนต์ และเซิร์ฟเวอร์ที่ใช้ certificate-based ซึ่งช่วยป้องกันการเชื่อมต่อกับ C2 จากการ interception และการวิเคราะห์จากนักวิจัย หรือเจ้าหน้าที่ทางกฎหมาย

BleepingComputer ได้ติดต่อไปยัง Google เพื่อขอความคิดเห็นเกี่ยวกับกิจกรรมของ SuperCard X และโฆษกของ Google ได้ระบุคำแถลงการณ์ดังนี้:

“จากการตรวจสอบปัจจุบันของเรา ยังไม่พบแอปพลิเคชันที่มีมัลแวร์นี้อยู่บน Google Play ผู้ใช้ Android จะได้รับการปกป้องโดยอัตโนมัติจาก Google Play Protect ซึ่งเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ Android ที่มี Google Play Services โดย Google Play Protect สามารถเตือนผู้ใช้หรือบล็อกแอปที่มีพฤติกรรมเป็นอันตราย แม้ว่าแอปเหล่านั้นจะมาจากแหล่งภายนอก Google Play ก็ตาม”

ที่มา : bleepingcomputer