พบแพลตฟอร์ม malware-as-a-service (MaaS) ใหม่ที่ชื่อว่า 'SuperCard X' โดยมีเป้าหมายโจมตีอุปกรณ์ Android ผ่านการโจมตีแบบ NFC Relay ซึ่งช่วยให้สามารถทำธุรกรรมที่ point-of-sale และตู้ ATM โดยใช้ข้อมูลบัตรที่ถูกขโมยมา

SuperCard X เชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่ใช้ภาษาจีน และมีลักษณะโค้ดที่คล้ายคลึงกับโปรเจกต์โอเพ่นซอร์ส NFCGate รวมถึงเวอร์ชันที่พัฒนาจากโปรเจกต์ดังกล่าวอย่าง NGate ซึ่งมีส่วนในการโจมตีในยุโรปตั้งแต่ปีที่แล้ว

แพลตฟอร์ม malware-as-a-service นี้ถูกโปรโมตผ่านช่องทาง Telegram ซึ่งยังมีการเสนอการสนับสนุนโดยตรงแก่ลูกค้า

SuperCard X ถูกพบโดยบริษัทด้านความปลอดภัยบนมือถือ Cleafy ซึ่งรายงานว่าได้พบการโจมตีที่ใช้มัลแวร์ Android นี้ในอิตาลี การโจมตีเหล่านี้ประกอบด้วยตัวอย่างมัลแวร์หลายตัวที่มีความแตกต่างกันเล็กน้อย ซึ่งแสดงให้เห็นว่าผู้ร่วมงานสามารถเลือกสร้างเวอร์ชันที่ปรับแต่งตามความต้องการเฉพาะของภูมิภาค หรือความต้องการอื่น ๆ ได้

การโจมตีของ SuperCard X ดำเนินไปอย่างไร

การโจมตีเริ่มต้นจากเหยื่อได้รับข้อความ SMS หรือ WhatsApp ปลอม ที่แอบอ้างว่าเป็นธนาคารของตน โดยอ้างว่ามีธุรกรรมที่น่าสงสัยเกิดขึ้น และขอให้เหยื่อติดต่อกลับผ่านหมายเลขโทรศัพท์เพื่อแก้ไขปัญหา

เมื่อเหยื่อติดต่อไปตามหมายเลขดังกล่าว จะมีมิจฉาชีพรับสายโดยแสร้งทำตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนของธนาคาร จากนั้นจะใช้วิธีการ social engineering เพื่อหลอกให้เหยื่อยืนยันหมายเลขบัตร และรหัส PIN หลังจากนั้นจะพยายามโน้มน้าวให้ผู้ใช้ยกเลิกการจำกัดวงเงินใช้จ่ายผ่านแอปธนาคารของตน

ในขั้นตอนสุดท้าย ผู้ไม่หวังดีจะหลอกให้เหยื่อติดตั้งแอปอันตรายที่ชื่อว่า "Reader" ซึ่งถูกปลอมแปลงให้ดูเหมือนเป็นเครื่องมือด้านความปลอดภัย หรือการยืนยันตัวตน โดยภายในแอปนั้นแฝงมัลแวร์ SuperCard X เอาไว้

เมื่อผู้ใช้ติดตั้งแอป Reader แอปจะร้องขอสิทธิ์การเข้าถึงเพียงเล็กน้อย โดยส่วนใหญ่จะขอสิทธิ์ในการเข้าถึงโมดูล NFC ซึ่งเพียงพอสำหรับการขโมยข้อมูล

มิจฉาชีพจะสั่งให้เหยื่อนำบัตรชำระเงินมาแตะกับโทรศัพท์ของตนเองเพื่อยืนยันบัตร ซึ่งทำให้มัลแวร์สามารถอ่านข้อมูลจากชิปบนบัตร และส่งข้อมูลนั้นไปยังผู้โจมตี

จากนั้นผู้โจมตีจะรับข้อมูลดังกล่าวไว้ในอุปกรณ์ Android ของตน โดยใช้งานแอปอีกตัวที่ชื่อว่า Tapper ซึ่งทำหน้าที่จำลองการทำงานของบัตรเหยื่อด้วยข้อมูลที่ถูกขโมยมา

บัตรที่ถูกจำลองโดยผู้โจมตีสามารถใช้ชำระเงินแบบ contactless ตามร้านค้า หรือถอนเงินจากตู้ ATM ได้ แม้จะมีข้อจำกัดด้านวงเงิน โดยธุรกรรมเหล่านี้มักมีมูลค่าไม่สูง และดำเนินการได้ทันที ทำให้ดูเหมือนเป็นธุรกรรมปกติ จึงยากต่อการตรวจจับ และยกเลิกโดยธนาคาร

มัลแวร์หลบเลี่ยงการตรวจจับได้

Cleafy ระบุว่า ปัจจุบัน SuperCard X ยังไม่ถูกตรวจพบโดยเครื่องมือป้องกันไวรัสใด ๆ บน VirusTotal และการที่แอปไม่มีการขอสิทธิ์ที่เสี่ยง หรือฟีเจอร์ที่เป็นการโจมตีที่ชัดเจน เช่น การทับซ้อนหน้าจอ (screen overlaying) ทำให้มันสามารถหลบเลี่ยงการตรวจจับจากการสแกนพฤติกรรม (heuristic scans) ได้อย่างมีประสิทธิภาพ

การจำลองบัตรนั้นใช้เทคโนโลยี ATR-based (Answer to Reset) ซึ่งทำให้บัตรดูเหมือนจริง และสามารถทำงานร่วมกับเครื่องชำระเงินได้ นอกจากนี้ยังสะท้อนให้เห็นถึงความชำนาญทางเทคนิค และความเข้าใจในโปรโตคอลของสมาร์ตการ์ดอีกด้วย

อีกหนึ่งแง่มุมทางเทคนิคที่สำคัญคือการใช้ mutual TLS (mTLS) สำหรับการยืนยันตัวตนระหว่างไคลเอนต์ และเซิร์ฟเวอร์ที่ใช้ certificate-based ซึ่งช่วยป้องกันการเชื่อมต่อกับ C2 จากการ interception และการวิเคราะห์จากนักวิจัย หรือเจ้าหน้าที่ทางกฎหมาย

BleepingComputer ได้ติดต่อไปยัง Google เพื่อขอความคิดเห็นเกี่ยวกับกิจกรรมของ SuperCard X และโฆษกของ Google ได้ระบุคำแถลงการณ์ดังนี้:

“จากการตรวจสอบปัจจุบันของเรา ยังไม่พบแอปพลิเคชันที่มีมัลแวร์นี้อยู่บน Google Play ผู้ใช้ Android จะได้รับการปกป้องโดยอัตโนมัติจาก Google Play Protect ซึ่งเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ Android ที่มี Google Play Services โดย Google Play Protect สามารถเตือนผู้ใช้หรือบล็อกแอปที่มีพฤติกรรมเป็นอันตราย แม้ว่าแอปเหล่านั้นจะมาจากแหล่งภายนอก Google Play ก็ตาม”

ที่มา : bleepingcomputer

ผู้ไม่หวังดีกำลังโจมตี SimpleHelp RMM เวอร์ชันที่มีช่องโหว่เพื่อสร้างบัญชีผู้ดูแลระบบ, วาง backdoor และอาจเตรียมการสำหรับการโจมตีด้วยแรนซัมแวร์ (more…)

แฮ็กเกอร์กำลังมุ่งเป้าไปยังผู้ที่สนใจดาวน์โหลดซอฟต์แวร์เถื่อน และไฟล์แคร็ก โดยใช้ YouTube และผลการค้นหาบน Google (more…)

แฮ็กเกอร์ใช้มัลแวร์ GodLoader ตัวใหม่ ที่ใช้ประโยชน์จากความสามารถของเกม Godot ที่ได้รับความนิยมอย่างแพร่หลายเพื่อหลีกเลี่ยงการตรวจจับ และแพร่กระจายไปมากกว่า 17,000 ระบบในเวลาเพียง 3 เดือน

(more…)

แคมเปญการโจมตีแบบใหม่กำลังใช้ประโยชน์จาก Anti-Rootkit driver ของ Avast ซึ่งมีช่องโหว่ และค่อนข้างล้าสมัย เพื่อหลบเลี่ยงการตรวจจับ และเข้าควบคุมระบบเป้าหมายโดยปิดการทำงานของผลิตภัณฑ์ด้านความปลอดภัยบนระบบ

มัลแวร์นี้เป็นมัลแวร์ประเภท AV Killer ที่ไม่ได้อยู่ในกลุ่มมัลแวร์ใดโดยเฉพาะ โดยมันจะมาพร้อมกับ hardcoded list ที่มีรายการ security processes 142 รายการจากผู้พัฒนาหลายราย

เนื่องจาก driver สามารถทำงานในระดับ kernel ได้ มันจึงสามารถเข้าถึงส่วนสำคัญของระบบปฏิบัติการ และอนุญาตให้มัลแวร์ทำการ terminate processes ได้

นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง Trellix ได้ค้นพบการโจมตีรูปแบบใหม่ที่ใช้ bring-your-own-vulnerable-driver (BYOVD) ร่วมกับ anti-rootkit driver รุ่นเก่า ในการปิดการทำงานของผลิตภัณฑ์ด้านความปลอดภัยในระบบเป้าหมาย

นักวิจัยอธิบายว่ามัลแวร์ตัวหนึ่งที่มีไฟล์ชื่อ kill-floor.

ตำรวจแห่งชาติของเนเธอร์แลนด์ได้ยึดโครงสร้างพื้นฐานเครือข่ายสำหรับปฏิบัติการของมัลแวร์เรดไลน์ และเมต้าอินโฟสตีลเลอร์ ในชื่อ"ปฏิบัติการแม็กนัส" โดยเตือนอาชญากรไซเบอร์ว่าขณะนี้ข้อมูลของพวกเขาอยู่ในมือของเจ้าหน้าที่แล้ว (more…)

มีการตรวจพบมัลแวร์ Bumblebee ในการโจมตีเมื่อไม่นานมานี้ หลังจากผ่านไปกว่าสี่เดือนที่ Europol ได้มีการขัดขวางการทำงานในปฏิบัติการ Operation Endgame เมื่อเดือนพฤษภาคม (more…)

แคมเปญใหม่ที่ชื่อว่า ClickFix กำลังหลอกล่อผู้ใช้งานให้ไปที่หน้าการประชุม Google Meet ปลอม ที่แสดงข้อความ Errors ปลอมเกี่ยวกับการเชื่อมต่อ ทำให้มีการติดตั้งมัลแวร์สำหรับขโมยข้อมูลบนระบบปฏิบัติการ Windows และ macOS

ClickFix เป็นเทคนิค social-engineering ที่ถูกพบในเดือนพฤษภาคม โดยถูกรายงานครั้งแรกจากบริษัทด้านความปลอดภัยทางไซเบอร์ Proofpoint ซึ่งมาจากผู้โจมตีกลุ่ม (TA571) ที่ใช้ข้อความในการปลอมแปลงเป็น Errors สำหรับ Google Chrome, Microsoft Word และ OneDrive

ข้อผิดพลาดเหล่านี้จะกระตุ้นให้ผู้ใช้งานทำการคัดลอกโค้ด PowerShell ลงในคลิปบอร์ด โดยอ้างว่าจะช่วยแก้ปัญหาเมื่อรันโค้ดใน Windows Command Prompt

โดยจะส่งผลให้เกิดการแพร่กระจายมัลแวร์ไปยังระบบอื่น ๆ โดยมัลแวร์ที่มีการแแพร่กระจาย เช่น DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, a clipboard hijacker และ Lumma Stealer

ในเดือนกรกฎาคม McAfee รายงานว่าแคมเปญ ClickFix เริ่มเป็นที่นิยมมากขึ้น โดยเฉพาะในสหรัฐอเมริกา และญี่ปุ่น

รายงานฉบับใหม่จาก Sekoia ซึ่งเป็นผู้ให้บริการความปลอดภัยทางไซเบอร์แบบ SaaS ระบุว่าแคมเปญ ClickFix ได้ถูกพัฒนาขึ้นอย่างมาก โดยปัจจุบันใช้การล่อลวงผ่าน Google Meet และยังมีการใช้อีเมลฟิชชิงที่กำหนดเป้าหมายไปยังบริษัทขนส่ง และโลจิสติกส์ รวมถึงมีการทำหน้า Facebook ปลอม และมีการหลอกลวงบน GitHub อีกด้วย

ตามรายงานจากบริษัทความปลอดภัยทางไซเบอร์ของฝรั่งเศสระบุว่า แคมเปญล่าสุดบางส่วนดำเนินการโดยกลุ่มผู้โจมตี 2 กลุ่ม ได้แก่ Slavic Nation Empire (SNE) และ Scamquerteo ซึ่งถือเป็นทีมย่อยของแก๊งหลอกลวงสกุลเงินดิจิทัล Marko Polo และ CryptoLove

หลอกลวงผ่าน Google Meet

ผู้โจมตีกำลังใช้หน้าเว็บไซต์ปลอมสำหรับ Google Meet ซึ่งเป็นบริการการสื่อสารผ่านวิดีโอที่เป็นส่วนหนึ่งของ Google Workspace ที่ได้รับความนิยมในสภาพแวดล้อมขององค์กรสำหรับการประชุมทางไกล และการสัมมนาผ่านเว็บ รวมถึงการทำงานร่วมกันทางออนไลน์

ผู้โจมตีจะส่งอีเมลถึงผู้ใช้ที่มีลักษณะเหมือนคำเชิญของ Google Meet ที่ดูเหมือนเป็นของจริง ซึ่งจะเกี่ยวข้องกับการประชุม การสัมมนา หรือเหตุการณ์สำคัญอื่น ๆ

URL เหล่านี้มีความคล้ายคลึงกับลิงก์ Google Meet ที่เป็นของจริง โดยมีรายละเอียดดังนี้

meet[.]google[.]us-join[.]com
meet[.]google[.]web-join[.]com
meet[.]googie[.]com-join[.]us
meet[.]google[.]cdm-join[.]us

เมื่อผู้ใช้เข้าสู่หน้าเว็บไซต์ปลอมแล้ว ผู้ใช้จะได้รับข้อความแจ้งให้ทราบถึงปัญหาทางเทคนิค เช่น ปัญหาของไมโครโฟน หรือหูฟัง

หากผู้ใช้คลิกปุ่ม Try Fix ที่แสดงขึ้นมาจะมีการติดตั้งมัลแวร์ ClickFix โดยจะมีการ Copyโค้ด PowerShell จากเว็บไซต์ลงไปยังพรอมต์ของ Windows ภายในเครื่อง ส่งผลทำให้คอมพิวเตอร์ของผู้ใช้ติดมัลแวร์ และดึงเพย์โหลดจากโดเมน googiedrivers[.]com

เพย์โหลดในขั้นสุดท้ายคือมัลแวร์ขโมยข้อมูล Stealc หรือ Rhadamanthys บน Windows ส่วนในเครื่อง macOS ผู้โจมตีจะติดตั้ง AMOS Stealer ในรูปแบบไฟล์ .DMG (อิมเมจดิสก์ของ Apple) ที่มีชื่อว่า 'Launcher_v194'

Sekoia ได้ระบุว่า มัลแวร์ยังสามารถกระจายไปยังกลุ่มอื่นที่นอกเหนือจาก Google Meet ได้อีก เช่น โปรแกรม Zoom, โปรแกรมอ่านไฟล์ PDF, วิดีโอเกมปลอม (Lunacy, Calipso, Battleforge, Ragon), เว็บเบราว์เซอร์ และโครงการ web3 (NGT Studio) รวมไปถึงแอปส่งข้อความ (Nortex)

ที่มา : https://www.

กลุ่มแฮ็กเกอร์ที่มีชื่อเสียงอย่าง FIN7 ได้เปิดตัวเครือข่ายเว็บไซต์ปลอมที่ใช้เทคโนโลยี AI ในการสร้างภาพนู้ดปลอม เพื่อใช้ในการแพร่กระจายมัลแวร์ที่ขโมยข้อมูลให้กับผู้เข้าใช้งานเว็บไซต์

FIN7 เป็นกลุ่มแฮ็กเกอร์ชาวรัสเซียที่ได้ดำเนินการฉ้อโกงทางการเงิน และอาชญากรรมทางไซเบอร์มาตั้งแต่ปี 2013 โดยมีความเชื่อมโยงกับกลุ่มแรนซัมแวร์ เช่น DarkSide, BlackMatter และ BlackCat ซึ่งเมื่อไม่นานมานี้ได้ทำการหลอกลวงเครือข่ายพันธมิตร ด้วยการขโมยเงินค่าไถ่จำนวน 20 ล้านดอลลาร์ที่ได้มาจาก UnitedHealth

FIN7 เป็นที่รู้จักในด้านการโจมตีแบบฟิชชิ่ง และการใช้เทคนิค social engineering ที่ซับซ้อน เช่น การปลอมตัวเป็น BestBuy เพื่อส่ง USB keys ที่มีมัลแวร์ หรือการสร้างบริษัทความปลอดภัยปลอมเพื่อจ้างนักทดสอบระบบความปลอดภัย (pentesters) และนักพัฒนาซอฟต์แวร์มาทำการโจมตีด้วยแรนซัมแวร์โดยที่พวกเขาไม่รู้ตัว

ดังนั้นจึงไม่น่าแปลกใจที่พบว่าพวกเขาได้ถูกเชื่อมโยงกับเครือข่ายเว็บไซต์ ที่อ้างว่ามีโปรแกรมสร้างภาพเปลือยที่ขับเคลื่อนด้วย AI โดยอ้างว่าสามารถสร้างภาพเปลือยปลอมจากภาพถ่ายของบุคคลที่สวมใส่เสื้อผ้าได้

เทคโนโลยีนี้เป็นที่ถกเถียงกันอย่างมากเนื่องจากอาจสร้างความเสียหายให้กับผู้ถูกกระทำโดยการสร้างภาพที่ไม่เหมาะสมโดยไม่ได้รับความยินยอม และในหลายประเทศทั่วโลกเทคโนโลยีนี้ถูกห้ามใช้อย่างเด็ดขาด อย่างไรก็ตาม ความสนใจในเทคโนโลยีนี้ยังคงมีอยู่มาก

เครือข่ายของ deepnude generators

เว็บไซต์ deepnude ปลอมของ FIN7 ทำหน้าที่เป็นกับดักสำหรับผู้ที่สนใจในการสร้างภาพเปลือยปลอมของคนดังหรือบุคคลอื่น ๆ ในปี 2019 ผู้โจมตีได้ใช้เว็บไซต์คล้ายกันนี้ในการแพร่กระจายมัลแวร์ขโมยข้อมูล แม้จะเป็นช่วงก่อนที่ AI จะมีการเติบโตอย่างรวดเร็ว

เครือข่าย deepnude generators นี้ดำเนินการภายใต้แบรนด์เดียวกันที่ชื่อว่า "AI Nude" และถูกโปรโมตผ่านเทคนิค black hat SEO เพื่อดันให้เว็บไซต์เหล่านี้ติดอันดับสูงในการค้นหา

ตามรายงานของ Silent Push กลุ่ม FIN7 อยู่เบื้องหลังการดำเนินการเว็บไซต์ต่าง ๆ เช่น "aiNude[.]ai", "easynude[.]website" และ nude-ai[.]pro" โดยตรง ซึ่งเสนอ "การทดลองใช้ฟรี" หรือ "ดาวน์โหลดฟรี" แต่ในความเป็นจริงแล้ว FIN7 เพียงใช้เว็บไซต์เพื่อแพร่กระจายมัลแวร์

เว็บไซต์ทั้งหมดใช้การออกแบบที่คล้ายกันซึ่งรับประกันว่าสามารถสร้างภาพเปลือย AI ได้ฟรีจากรูปถ่ายที่อัปโหลดขึ้นไป

เว็บไซต์ปลอมเหล่านี้อนุญาตให้ผู้ใช้สามารถอัปโหลดรูปถ่ายที่ต้องการสร้างเป็นภาพ deepfake นู้ดได้ อย่างไรก็ตาม หลังจากที่อ้างว่าภาพ "deepnude" ได้ถูกสร้างขึ้นแล้ว ภาพนั้นจะไม่แสดงบนหน้าจอ แต่ผู้ใช้จะได้รับแจ้งให้คลิกลิงก์เพื่อดาวน์โหลดภาพที่สร้างขึ้น

เมื่อคลิกลิงก์ดังกล่าว ผู้ใช้จะถูกพาไปยังอีกเว็บไซต์หนึ่งที่แสดงรหัสผ่าน และลิงก์สำหรับไฟล์ที่ถูกป้องกันด้วยรหัสผ่านซึ่งถูกโฮสต์บน Dropbox แม้ว่าปัจจุบันเว็บไซต์นี้ยังคงทำงานอยู่ แต่ลิงก์ Dropbox นั้นไม่สามารถใช้งานได้แล้ว

อย่างไรก็ตาม แทนที่จะเป็นภาพ deepnude ไฟล์ที่ถูกเก็บอยู่ในไฟล์ archive นั้น แท้จริงแล้วคือมัลแวร์ขโมยข้อมูลที่ชื่อ Lumma Stealer เมื่อถูกเรียกใช้งาน มัลแวร์นี้จะขโมยข้อมูล credentials และคุกกี้ที่ถูกบันทึกในเว็บเบราว์เซอร์, กระเป๋าเงินคริปโต และข้อมูลอื่น ๆ จากคอมพิวเตอร์

Silent Push ยังพบว่าเว็บไซต์บางแห่งโปรโมตโปรแกรมสร้าง deepnude สำหรับระบบ Windows ซึ่งจะติดตั้งมัลแวร์ Redline Stealer และ D3F@ck Loader แทน โดยมัลแวร์เหล่านี้ก็ใช้ในการขโมยข้อมูลจากอุปกรณ์ที่ถูกโจมตีเช่นกัน

เว็บไซต์ทั้งเจ็ดที่ Silent Push ตรวจพบได้ถูกปิดไปแล้ว แต่ผู้ใช้ที่อาจดาวน์โหลดไฟล์จากเว็บไซต์เหล่านี้ควรพิจารณาว่าตนเองอาจติดมัลแวร์แล้ว

แคมเปญ FIN7 อื่น ๆ

Silent Push ยังตรวจพบแคมเปญอื่น ๆ ของ FIN7 ที่ปล่อยมัลแวร์ NetSupport RAT ผ่านเว็บไซต์ที่หลอกให้ผู้เข้าชมติดตั้ง extension ของเบราว์เซอร์

ในกรณีอื่น ๆ FIN7 ใช้ payloads ที่ดูเหมือนจะปลอมแปลงเป็นแบรนด์ และแอปพลิเคชันที่เป็นที่รู้จัก เช่น Cannon, Zoom, Fortnite, Fortinet VPN, Razer Gaming, และ PuTTY

Payloads เหล่านี้อาจถูกแพร่กระจายไปยังเหยื่อโดยใช้กลยุทธ์ SEO และการโฆษณาที่มีมัลแวร์หลอกให้เหยื่อดาวน์โหลดโปรแกรมติดตั้งที่แฝงโทรจันไว้

FIN7 ถูกเปิดโปงเมื่อไม่นานมานี้จากการขายเครื่องมือ "AvNeutralizer" ที่พัฒนาขึ้นเพื่อปิดการทำงานของระบบ EDR ให้กับอาชญากรไซเบอร์อื่น ๆ โดยมุ่งเป้าไปที่พนักงานไอทีของผู้ผลิตรถยนต์ในการโจมตีแบบฟิชชิ่ง และได้ใช้แรนซัมแวร์ Cl0p ในการโจมตีองค์กรต่าง ๆ

ที่มา : https://www.

Stroz Friedberg ซึ่งเป็น risk management firm ของบริษัท Aon Insurance เป็นผู้ค้นพบ 'sedexp' มัลแวร์บน Linux ซึ่งได้แฝงตัวในระบบ และหลีกเลี่ยงการตรวจจับมาได้ตั้งแต่ปี 2022 ทำให้สามารถสร้าง reverse shell สำหรับการเข้าถึงจากระยะไกล และขยายการโจมตีบนระบบต่อไปได้ โดยใช้เทคนิค persistence “udev rule” ที่ไม่มีอยู่ใน MITRE ATT&CK framework รวมถึงนักวิจัยตั้งข้อสังเกตว่า sedexp เป็น advanced threat ที่ซ่อนตัวอยู่ในเครือข่ายของเป้าหมาย

(more…)