‘Nexus’ มัลแวร์ Banking Trojan ตัวใหม่บน Android มุ่งเป้าโจมตีไปยังแอปพลิเคชันทางด้านการเงินกว่า 450 แอปพลิเคชัน

'Nexus' มัลแวร์ Banking Trojan ตัวใหม่บนระบบ Android กำลังถูกนำมาใช้โดยผู้ไม่หวังดีหลายราย โดยมุ่งเป้าการโจมตีไปที่แอปพลิเคชันทางด้านการเงินกว่า 450 แอปพลิเคชัน

บริษัทด้านความปลอดภัยทางไซเบอร์จากอิตาลี Cleafy ระบุในรายงานที่เปิดเผยต่อสาธารณะในสัปดาห์นี้ว่า "Nexus กำลังอยู่ในช่วงเริ่มต้นของการพัฒนา โดยมีฟีเจอร์หลักทั้งหมดสำหรับการโจมตีในรูปแบบ ATO (Account Takeover) กับ banking portals และบริการ cryptocurrency เช่น การขโมยข้อมูล credentials และการดักจับ SMS

โทรจันดังกล่าวถูกพบครั้งแรกโดย Cyble ในฟอรัมของกลุ่มแฮ็กเกอร์เมื่อช่วงต้นปีที่ผ่านมา โดยมีค่าบริการสำหรับสมัครสมาชิก 3,000 ดอลลาร์ต่อเดือน

อย่างไรก็ตามมีหลักฐานจากข้อมูลของ Rohit Bansal (@0xrb) นักวิจัยด้านความปลอดภัยทางไซเบอร์ และได้รับการยืนยันโดยผู้สร้างมัลแวร์บน Telegram ว่ามัลแวร์อาจถูกใช้ในการโจมตีจริงตั้งแต่เดือนมิถุนายน 2022 เป็นอย่างน้อย หรือหกเดือนก่อนที่จะมีการประกาศขายอย่างเป็นทางการบนฟอรัมของกลุ่มแฮ็กเกอร์

Nexus มีความคล้ายกับ banking trojan อีกตัวที่ชื่อ SOVA โดย Nexus ใช้ซอร์สโค้ดบางส่วนของ SOVA รวมกับโมดูลแรนซัมแวร์ที่อยู่ในระหว่างการพัฒนา (more…)

ผู้เชี่ยวชาญเปิดเผยข้อมูลเกี่ยวกับ Malware-as-a-Service ของรัสเซียที่เขียนขึ้นใน Rust

ผู้เชี่ยวชาญเปิดเผยข้อมูลเกี่ยวกับ Malware-as-a-Service ของรัสเซียที่เขียนขึ้นใน Rust

 

มีการพบ Nascent ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่เพิ่งเกิดขึ้นใหม่ มีการขาย และแจกจ่ายบนฟอรัมใต้ดินของรัสเซีย โดยมัลแวร์ถูกเขียนเป็นภาษา Rust โดย Rust เป็นภาษาโปรแกรมภาษาใหม่ที่พัฒนาโดย Mozilla ซึ่งเป็นสัญญาณบ่งบอกถึงแนวโน้มใหม่ที่ผู้โจมตีใช้ภาษาโปรแกรมที่แปลกใหม่มากขึ้นเพื่อหลีกเลี่ยงการรักษาความปลอดภัย หลบเลี่ยงการวิเคราะห์

มีการขนานนามผู้โจมตีนี้ว่า "Ficker Stealer" ซึ่งมีชื่อเสียงในด้านการเผยแพร่มัลแวร์ผ่านลิงก์เว็บโทรจัน และเว็บไซต์ที่ถูกบุกรุก ล่อเหยื่อให้เข้าสู่หน้า Landing Page ที่หลอกลวง โดยอ้างว่าให้บริการดาวน์โหลดฟรีของบริการที่ต้องชำระเงิน เช่น Spotify Music, YouTube Premium และแอปพลิเคชัน Microsoft Store อื่นๆ

Ficker ขายและแจกจ่าย Malware-as-a-Service (MaaS) ผ่านฟอรัมออนไลน์ของรัสเซีย ทีมวิจัย และข่าวกรองของ BlackBerry กล่าวในรายงานว่า "ผู้สร้างซึ่งมีนามแฝงคือ @ficker เสนอแพ็คเกจแบบชำระเงินหลายแบบโดยมีค่าธรรมเนียมการสมัครสมาชิกที่แตกต่างกันเพื่อใช้โปรแกรมที่เป็นอันตรายดังกล่าว"

มีการพบ Malware-as-a-Service ครั้งแรกในเดือนสิงหาคม 2020 เป็นมัลแวร์บน Windows ถูกใช้เพื่อขโมยข้อมูลที่ sensitive รวมถึงข้อมูลการเข้าสู่ระบบ ข้อมูลบัตรเครดิต กระเป๋าเงินดิจิตอล และข้อมูลเบราว์เซอร์ นอกเหนือจากการทำงานเป็นเครื่องมือในการดึงไฟล์ที่ sensitive ยังสามารถทำหน้าที่เป็นตัวดาวน์โหลดเพื่อดาวน์โหลด และเรียกใช้มัลแวร์อีกด้วย

นอกจากนี้ เป็นที่ทราบกันดีว่า Ficker ถูกส่งผ่านแคมเปญสแปม ซึ่งเกี่ยวข้องกับการส่งอีเมลฟิชชิ่งที่กำหนดเป้าหมายด้วยเอกสารแนบ Excel ซึ่งเมื่อเปิดขึ้นจะปล่อยตัวโหลด Hancitor ซึ่งจะทำให้เพย์โหลดทำงาน

มัลแวร์ยังมีการตรวจสอบการป้องกันการวิเคราะห์อื่นๆที่ป้องกันไม่ให้ทำงานในสภาพแวดล้อมเสมือนจริง(VM) และบนเครื่องเหยื่อที่อยู่ในอาร์เมเนีย อาเซอร์ไบจาน เบลารุส คาซัคสถาน รัสเซีย และอุซเบกิสถาน สิ่งที่น่าสังเกตเป็นพิเศษก็คือ Ficker ได้รับการออกแบบมาให้รันคำสั่ง และส่งข้อมูลโดยตรงไปยังผู้โจมตี ซึ่งแตกต่างจากผู้ขโมยข้อมูลแบบเดิมๆที่จะเขียนข้อมูลที่ถูกขโมยลงดิสก์ มัลแวร์ยังมีความสามารถในการจับภาพหน้าจอ ซึ่งช่วยให้ผู้ให้บริการมัลแวร์สามารถจับภาพหน้าจอของเหยื่อจากระยะไกล มัลแวร์ยังช่วยให้สามารถดึงไฟล์และดาวน์โหลดได้

ที่มา: thehackernews

พบผู้ไม่หวังดีพุ่งเป้าโจมตีผู้ใช้งาน LinkedIn ด้วยการหลอกเสนองาน

การโจมตีเริ่มต้นด้วยการกำหนดเป้าหมายก่อนจะส่งข้อความไปเสนองาน (spear-phishing) โดยจะส่งไฟล์ zip ที่ถูกตั้งชื่อให้ตรงกับตำแหน่งงานของเป้าหมายที่แสดงใน LinkedIn เมื่อเปิดไฟล์จะถูกติดตั้ง backdoor ที่มีชื่อว่า "more_egg" ซึ่งเป็น fileless ลงบนเครื่องโดยไม่รู้ตัว จากนั้นจะทำการยึดโปรเซสที่ถูกต้องของ Windows เพื่อหลบหลีกการตรวจจับ แต่ในระหว่างนั้นจะมีการเบี่ยงเบียนความสนใจด้วยการวางเหยื่อล่อ ด้วยการให้เหยื่อสนใจใบสมัครปลอมที่สร้างขึ้นมา มัลแวร์ตัวนี้สามารถถูกใช้เป็นช่องทางในการส่งมัลแวร์อื่น ๆ เข้ามาที่เครื่องเหยื่อก็ได้ ยกตัวอย่างเช่น banking trojan, ransomware, มัลแวร์ขโมยข้อมูล หรือถูกใช้เพื่อวาง backdoor ตัวอื่น ๆ เพื่อขโมยข้อมูลออกไปก็ได้

รายงานระบุว่า more_egg เป็นมัลแวร์ที่เคยถูกพบมาตั้งแต่ปี 2018 ผู้ไม่หวังดีที่ต้องการใช้งานจะสามารถหาซื้อได้จากบริการ malware-as-a-service (MaaS) ที่มีชื่อว่า "Golden Chicken" ได้ เคยถูกใช้โดย Threat Actor หลายกลุ่ม เช่น Cobalt, Fin6 และ EvilNum แต่สำหรับเหตุการณ์นี้ยังไม่สามารถระบุชัดเจนได้ว่า Threat Actor กลุ่มไหนเป็นผู้อยู่เบื้องหลัง

ที่มา: thehackernews