Trojan ใหม่ชื่อ TCLBanker ซึ่งมุ่งเป้าการโจมตีไปที่แพลตฟอร์มธนาคาร, Fintech และ Cryptocurrency ถึง 59 แห่ง โดยอาศัยตัวติดตั้ง MSI ของโปรแกรม Logitech AI Prompt Builder ที่ถูกฝังมัลแวร์ไว้เพื่อแพร่กระจายมัลแวร์เข้าสู่ระบบ

นอกจากนี้ มัลแวร์ยังมี Worm modules ที่สามารถแพร่กระจายตัวเองผ่านทาง WhatsApp และ Outlook เพื่อโจมตีเหยื่อรายใหม่ได้โดยอัตโนมัติ

Trojan ที่โจมตีระบบธนาคารใหม่นี้ถูกค้นพบโดย Elastic Security Labs โดยทีมนักวิจัยเชื่อว่ามันเป็นการพัฒนาต่อยอดครั้งสำคัญจากตระกูลมัลแวร์รุ่นเก่าอย่าง Maverick/Sorvepotel

แม้ว่าในปัจจุบัน TCLBanker จะดูเหมือนมุ่งเป้าไปที่ประเทศบราซิลเป็นหลัก แต่มัลแวร์จากกลุ่มประเทศละตินอเมริกา (LATAM) ในอดีตก็เคยมีการอัปเดตเพื่อขยายเป้าหมายการโจมตีมาแล้ว ดังนั้นความเสี่ยงที่ภัยคุกคามนี้จะขยายตัวลุกลามไปยังพื้นที่อื่นจึงมีอยู่จริง

ความสามารถของ TCLBanker

Elastic เตือนว่า TCLBanker มีระบบป้องกันการถูกวิเคราะห์ และการทำ Debugging ที่แน่นหนามาก โดยใช้กระบวนการถอดรหัส Payload ที่อิงตามสภาพแวดล้อม ซึ่งจะหยุดทำงานทันทีหากอยู่ในระบบ Sandbox หรือสภาพแวดล้อมของนักวิเคราะห์

นอกจากนี้ มัลแวร์ยังรัน Thread แบบ Watchdog ที่ทำงานแฝงตัวอยู่ตลอดเวลา เพื่อคอยสอดส่อง และตรวจจับเครื่องมือวิเคราะห์ต่าง ๆ อย่างต่อเนื่อง เช่น x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra, de4dot และโปรแกรมอื่น ๆ

มัลแวร์ตัวนี้จะถูกโหลดขึ้นมาทำงานภายใต้การทำงานของแอปพลิเคชัน Logitech ที่ถูกต้อง ผ่านเทคนิค DLL Side-loading ดังนั้นมันจึงไม่ไปกทำให้เกิดการแจ้งเตือนใด ๆ จากโปรแกรมรักษาความปลอดภัยที่ปกป้องเครื่องคอมพิวเตอร์ที่ติดมัลแวร์อยู่

นักวิจัยตั้งข้อสังเกตว่า แม้ตัว Loader ของมัลแวร์จะมีฟีเจอร์การทำงานที่หลากหลาย แต่ก็ไม่มีฟีเจอร์ใดที่มีความซับซ้อนขั้นสูงอย่างแท้จริง และจากร่องรอยในโค้ดก็แสดงให้เห็นว่าอาจมีการนำ AI มาช่วยในการพัฒนามัลแวร์ตัวนี้ด้วย

สำหรับ Module ที่ใช้ในการโจมตีระบบธนาคาร มันจะคอยตรวจสอบ Address bar ของ Browser ในทุก ๆ วินาที โดยอาศัย Windows UI Automation API เพื่อเฝ้าดูว่าเหยื่อได้เปิดเว็บไซต์ใดเว็บไซต์หนึ่งจาก 59 แพลตฟอร์มที่เป็นเป้าหมายหรือไม่

เมื่อเหตุการณ์นั้นเกิดขึ้น มันจะสร้างการเชื่อมต่อ WebSocket session กับเซิร์ฟเวอร์ Command-and-Control (C2) ทำการส่งข้อมูลของเหยื่อ และข้อมูลระบบกลับไป จากนั้นจะเริ่มกระบวนการควบคุมระบบจากระยะไกล

โดยความสามารถที่แฮ็กเกอร์ สามารถสั่งการได้นั้น ประกอบไปด้วย

การสตรีมหน้าจอแบบ Real-time
การจับภาพหน้าจอ
การดักจับข้อมูลการกด Keyboard
การขโมยข้อมูลที่คัดลอกไว้ใน Clipboard
การรันคำสั่งระบบผ่าน Shell command
การจัดการหน้าต่างโปรแกรม
การเข้าถึงระบบไฟล์
การตรวจสอบ และแสดงรายการโปรเซสที่กำลังทำงาน
การควบคุม Mouse และ Keyboard จากระยะไกล

ในระหว่างที่มี Sessions การทำงาน โปรเซส Task Manager จะถูกสั่งปิดเพื่อป้องกันไม่ให้ผู้ใช้เข้ามาขัดจังหวะ และเพื่อซ่อนกิจกรรมที่เป็นอันตรายไม่ให้เหยื่อสังเกตเห็น

เพื่อช่วยในการขโมยข้อมูล TCLBanker จะใช้ระบบ Overlay ที่ทำงานบนพื้นฐานของ WPF ซึ่งสามารถแสดงหน้าต่างปลอมต่าง ๆ เพื่อหลอกลวงเหยื่อได้ เช่น หน้าต่างแจ้งให้กรอกข้อมูล Credential ปลอม, Keypads สำหรับกดรหัส PIN, แบบฟอร์มเก็บข้อมูลเบอร์โทรศัพท์, หน้าจอรอรับการช่วยเหลือจากฝ่ายสนับสนุนของธนาคารปลอม, หน้าจอการอัปเดต Windows ปลอม และหน้าจอแสดงความคืบหน้าปลอมในรูปแบบต่าง ๆ

นอกจากนี้ ยังมีการใช้ Overlays แบบ Cutout ที่จะแสดงทับอยู่ด้านบนสุดเสมอ โดยจะยอมให้เหยื่อมองเห็นเฉพาะบางส่วนของแอปพลิเคชันจริงที่ถูกเลือกไว้เท่านั้น ในขณะที่ส่วนอื่น ๆ จะถูกบดบังเอาไว้

Worms บน WhatsApp และ Outlook

สิ่งที่น่าสนใจอีกอย่างหนึ่งของ TCLBanker คือความสามารถในการแพร่กระจายตัวเองได้โดยอัตโนมัติไปยังรายชื่อผู้ติดต่อที่เชื่อมโยงกับเหยื่อรายแรก

มัลแวร์ตัวนี้จะค้นหาโปรไฟล์ของ Browser ตระกูล Chromium เพื่อหาข้อมูล IndexedDB ของ WhatsApp Web ที่มีการเข้าสู่ระบบค้างไว้ จากนั้นจะสั่งรันหน้าต่าง Chromium แบบซ่อนตัวขึ้นมาเพื่อทำการยึดบัญชีของเหยื่อ

จากนั้น มันจะรวบรวมรายชื่อผู้ติดต่อ ทำการคัดกรองเอาเฉพาะเบอร์โทรศัพท์ของประเทศบราซิล และส่งข้อความสแปมไปหาคนเหล่านั้นจากบัญชีของเหยื่อ เพื่อหลอกล่อให้เป้าหมายให้กดเข้าไปยังแพลตฟอร์มที่ใช้สำหรับแพร่กระจายมัลแวร์ TCLBanker

ส่วน Worm module อีกตัวหนึ่งจะโจมตี Microsoft Outlook ผ่านระบบ COM automation โดยจะสั่งเปิดแอปพลิเคชัน เพื่อรวบรวมรายชื่อผู้ติดต่อรวมถึง email address ของผู้ส่ง แล้วทำการส่งอีเมล Phishing ออกไปโดยใช้บัญชีอีเมลของเหยื่อ

Elastic สรุปทิ้งท้ายว่า TCLBanker ถือเป็นตัวอย่างที่ชัดเจนที่แสดงให้เห็นถึงวิวัฒนาการของมัลแวร์ในกลุ่มประเทศละตินอเมริกา (LATAM) ซึ่งมีฟีเจอร์การโจมตีต่าง ๆ ให้กับอาชญากรทางไซเบอร์ระดับล่าง จากที่ในอดีตฟีเจอร์เหล่านี้จะมีให้ใช้งานเฉพาะในเครื่องมือที่มีความซับซ้อนขั้นสูงเท่านั้น

 

ที่มา : bleepingcomputer.

มีการค้นพบมัลแวร์บนระบบ Linux ที่ไม่เคยถูกบันทึกข้อมูลมาก่อนชื่อ Quasar Linux (QLNX) ซึ่งกำลังมุ่งเป้าโจมตีระบบของเหล่านักพัฒนา ด้วยความสามารถผสมผสานทั้งการเป็น Rootkit, Backdoor และการขโมยข้อมูล Credential

ชุดมัลแวร์นี้ ถูกนำไปใช้งานในสภาพแวดล้อมการพัฒนา และ DevOps บน npm, PyPI, GitHub, AWS, Docker และ Kubernetes ซึ่งอาจนำไปสู่การโจมตีแบบ Supply-chain โดยผู้ไม่หวังดีจะทำการเผยแพร่แพ็กเกจอันตรายลงบนแพลตฟอร์มการกระจายโค้ดต่าง ๆ

นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Trend Micro ได้วิเคราะห์ QLNX และพบว่า "มันจะใช้เทคนิค Dynamically Compiles Rootkit shared objects และ PAM backdoor modules บนเครื่องเป้าหมายอัตโนมัติ โดยใช้ gcc [GNU Compiler Collection]"

รายงานจากบริษัทในสัปดาห์นี้ระบุว่า QLNX ถูกออกแบบมาเพื่อเน้นการซ่อนตัว และการแฝงตัวอยู่ระยะยาวโดยมันจะทำงานอยู่บนหน่วยความจำ พร้อมกับลบไฟล์ไบนารีต้นฉบับออกจากดิสก์, ลบ Logs, เปลี่ยนชื่อ Process และ Clear ค่า environment variables สำหรับการทำ forensics

มัลแวร์นี้ยังใช้กลไกการแฝงตัวที่แตกต่างกันถึง 7 รูปแบบ รวมถึง LD_PRELOAD, systemd, crontab, init.

หน่วยงานด้านความปลอดภัยทางไซเบอร์ในสหรัฐอเมริกา และสหราชอาณาจักรออกแจ้งเตือนเกี่ยวกับมัลแวร์ที่มีการ Custom ขึ้นมาเป็นพิเศษที่ชื่อว่า Firestarter ซึ่งยังคงฝังตัวอยู่บนอุปกรณ์ Cisco Firepower และ Secure Firewall ที่รันซอฟต์แวร์ Adaptive Security Appliance (ASA) หรือ Firepower Threat Defense (FTD)

(more…)

Hacker ได้แฮ็กบัญชี npm ของ Axios package ซึ่งเป็น JavaScript HTTP client ที่มียอดดาวน์โหลดมากกว่า 100 ล้านครั้งต่อสัปดาห์ เพื่อส่ง Remote Access Trojans (RAT) ไปยังระบบ Linux, Windows และ macOS

(more…)

CISA เปิดเผยรายละเอียดใหม่เกี่ยวกับมัลแวร์ RESURGE ซึ่งเป็นโปรแกรมอันตรายที่แฝงตัวเข้ามา และกำลังอาจถูกใช้ในการโจมตีแบบ Zero-day โดยอาศัยช่องโหว่ CVE-2025-0282 เพื่อโจมตีระบบบนอุปกรณ์ Ivanti Connect Secure

ข้อมูลที่อัปเดตนี้เน้นไปที่ความสามารถของมัลแวร์ในการแฝงตัวอยู่บนอุปกรณ์โดยไม่ถูกตรวจพบ รวมถึงเทคนิคการหลบหลีก และการยืนยันตัวตนในระดับเครือข่ายที่มีความซับซ้อน ซึ่งจะช่วยให้มันสามารถสื่อสารกับผู้โจมตีได้อย่างลับ ๆ

ก่อนหน้านี้ CISA ได้รายงานข้อมูลของมัลแวร์ตัวนี้ไว้เมื่อวันที่ 28 มีนาคมปีที่แล้ว โดยระบุว่ามันสามารถแฝงตัวอยู่ได้แม้จะมีการรีบูตเครื่อง, สามารถสร้าง webshells เพื่อขโมยข้อมูล Credentials, สร้างบัญชีผู้ใช้ใหม่, รีเซ็ตรหัสผ่าน และยกระดับสิทธิ์การเข้าถึงระบบได้

ตามรายงานของนักวิจัยจากบริษัท Mandiant ระบุว่า ช่องโหว่ร้ายแรงระดับ Critical ดังกล่าวถูกติดตามด้วยหมายเลข CVE-2025-0282 และกำลังถูกนำมาใช้ในการโจมตีแบบ Zero-day ตั้งแต่ช่วงกลางเดือนธันวาคม 2024 โดยกลุ่มผู้ไม่หวังดีที่มีความเชื่อมโยงกับจีน ซึ่งทางบริษัทติดตามพฤติกรรมเป็นการภายในภายใต้ชื่อรหัส UNC5221

การซ่อนตัวในระดับเครือข่าย

ประกาศที่อัปเดตของ CISA ให้ข้อมูลทางเทคนิคเพิ่มเติมเกี่ยวกับ RESURGE ซึ่งเป็นไฟล์ Linux Shared Object แบบ 32 bit ที่เป็นอันตรายชื่อว่า libdsupgrade.

การโจมตีทางไซเบอร์ที่มีเป้าหมายไปยังโครงข่ายไฟฟ้าของโปแลนด์ ในช่วงปลายเดือนธันวาคม 2025 ได้ถูกเชื่อมโยงไปยัง Sandworm กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่งพยายามปล่อยมัลแวร์ Data-wiping ตัวใหม่ที่ชื่อว่า "DynoWiper" ในระหว่างการโจมตีดังกล่าว

Sandworm (หรือที่รู้จักกันในชื่อ UAC-0113, APT44 และ Seashell Blizzard) คือกลุ่มแฮ็กเกอร์ระดับชาติของรัสเซีย ที่ปฏิบัติการมาตั้งแต่ปี 2009 เชื่อกันว่ากลุ่มนี้เป็นส่วนหนึ่งของหน่วยทหาร 74455 ภายใต้สังกัดกรมข่าวกรองหลัก (GRU) ของรัสเซีย และมีชื่อเสียงจากการก่อเหตุโจมตีที่สร้างความโกลาหล และความเสียหายอย่างรุนแรง (more…)

แคมเปญมัลแวร์ GlassWorm ที่ส่งผลกระทบต่อมาร์เก็ตเพลส OpenVSX และ Visual Studio Code เมื่อเดือนที่แล้ว ได้กลับมาอีกครั้ง โดยมาพร้อมกับ VSCode extensions ใหม่ 3 ตัว ที่มียอดดาวน์โหลดไปแล้วกว่า 10,000 ครั้ง

GlassWorm เป็นแคมเปญ และมัลแวร์ที่ใช้การโจมตีจากธุรกรรมบน Solana เพื่อดึงข้อมูล payload ที่มุ่งเป้าขโมยข้อมูล account credentials ของ GitHub, NPM และ OpenVSX รวมถึงข้อมูล cryptocurrency wallet จาก extensions 49 รายการ

มัลแวร์ตัวนี้ใช้ Unicode ที่มองไม่เห็น ซึ่งแสดงผลเป็นช่องว่าง แต่จะทำงานเป็นโค้ด JavaScript เพื่อเอื้อต่อการกระทำที่เป็นอันตราย

มัลแวร์ปรากฏตัวครั้งแรกผ่าน extensions 12 รายการบนมาร์เก็ตเพลส VS Code ของ Microsoft และ OpenVSX ซึ่งถูกดาวน์โหลดไป 35,800 ครั้ง อย่างไรก็ตาม เชื่อกันว่าจำนวนการดาวน์โหลดนั้นถูกปั่นตัวเลขโดยผู้โจมตี ทำให้ไม่ทราบผลกระทบที่แท้จริงทั้งหมดของแคมเปญนี้

เพื่อตอบสนองต่อการโจมตีครั้งนี้ OpenVSX ได้ทำการ rotated access tokens สำหรับบัญชีที่ถูก GlassWorm โจมตีเข้าไป (โดยไม่เปิดเผยจำนวน) พร้อมทั้งปรับปรุงระบบความปลอดภัย และได้ปิดเคสเหตุการณ์ดังกล่าวแล้ว

GlassWorm กลับมาอีกครั้ง

จากข้อมูลของ Koi Security ที่ติดตามแคมเปญนี้มาโดยตลอด พบว่าผู้โจมตีกลับมามุ่งเป้าที่ OpenVSX อีกครั้ง โดยใช้โครงสร้างพื้นฐานเดิม แต่มีการอัปเดต endpoints สำหรับ command-and-control (C2) และการทำธุรกรรมบนเครือข่าย Solana

OpenVSX extensions 3 รายการทีมี GlassWorm payload ได้แก่ :

ai-driven-dev.

แพ็คเกจที่เป็นอันตรายหลายรายการบน NuGet มี payload เพื่อทำลายระบบที่ถูกตั้งเวลาให้เริ่มทำงานในปี 2027 และ 2028 โดยมุ่งเป้าไปที่การใช้งานฐานข้อมูล และอุปกรณ์ควบคุมภาคอุตสาหกรรมของ Siemens S7

โค้ดอันตรายที่ฝังอยู่ใช้วิธีการกระตุ้นการทำงานแบบ probabilistic trigger ดังนั้น มันอาจจะทำงาน หรือไม่ทำงานก็ได้ ขึ้นอยู่กับชุด parameter ต่าง ๆ บนอุปกรณ์ที่ติดมัลแวร์

NuGet เป็นระบบ package manager แบบ open-source และระบบจัดจำหน่ายซอฟต์แวร์ ที่ช่วยให้นักพัฒนาสามารถดาวน์โหลด และรวมไลบรารี .NET ที่พร้อมใช้งานสำหรับ projects ของตนได้

Socket นักวิจัยจากบริษัทด้านความปลอดภัย ได้ค้นพบแพ็คเกจที่เป็นอันตราย 9 รายการบน NuGet ซึ่งทั้งหมดเผยแพร่ภายใต้นักพัฒนาที่ใช้ชื่อ "shanhai666" โดยแพ็คเกจเหล่านี้มีฟังก์ชันการทำงานที่ดูเหมือนถูกต้องตามปกติ แต่แฝงมาพร้อมกับโค้ดที่เป็นอันตราย

แพ็คเกจเหล่านี้ "มีการมุ่งเป้าในเชิงกลยุทธ์ไปยังผู้ให้บริการฐานข้อมูลหลัก 3 รายที่ใช้ในแอปพลิเคชัน .NET (SQL Server, PostgreSQL, SQLite)" อย่างไรก็ตาม แพ็คเกจที่อันตรายที่สุดในกลุ่มนี้คือ Sharp7Extend ซึ่งมุ่งเป้าไปที่ผู้ใช้ไลบรารี Sharp7 ที่ถูกต้อง ที่ใช้สำหรับการสื่อสารผ่าน ethernet กับ controllers (PLCs) แบบตั้งโปรแกรมได้ของ Siemens

นักวิจัยของ Socket ระบุว่า "ผู้ไม่หวังดีใช้การโจมตีจากนักพัฒนาที่ค้นหา extensions ของ Sharp7 ด้วยการเติมคำว่า "Extend" ต่อท้ายชื่อ Sharp7 ที่ดูน่าเชื่อถือ"

ภายใต้นักพัฒนาที่ใช้ชื่อ shanhai666 ทาง NuGet ได้แสดงรายการแพ็คเกจไว้ 12 รายการ แต่มีเพียง 9 รายการเท่านั้นที่มีโค้ดอันตรายแฝงอยู่ :

SqlUnicorn.

การโจมตีแบบ ClickFix มีการพัฒนาไปสู่รูปแบบที่ซับซ้อนยิ่งขึ้น โดยใช้วิดีโอสาธิตขั้นตอนให้เหยื่อติดตั้งมัลแวร์ด้วยตัวเอง มีตัวจับเวลานับถอยหลังเพื่อกดดันให้เหยื่อรีบปฏิบัติตามคำสั่ง และสามารถตรวจจับระบบปฏิบัติการของเครื่องเป้าหมายโดยอัตโนมัติเพื่อแสดงคำสั่งที่เหมาะสมได้อย่างแม่นยำ

(more…)

มีรายงานการค้นพบแพ็คเกจอันตราย 10 รายการบน npm registry ที่เลียนแบบ software projects ที่ถูกต้อง โดยแพ็คเกจเหล่านี้จะดาวน์โหลด component สำหรับขโมยข้อมูล ที่จะรวบรวมข้อมูลสำคัญจากระบบ Windows, Linux และ macOS

แพ็คเกจเหล่านี้ถูกอัปโหลดไปยัง npm เมื่อวันที่ 4 กรกฎาคม และไม่ถูกตรวจพบเป็นเวลานาน เนื่องจากการเข้ารหัสหลายชั้น ซึ่งช่วยให้รอดพ้นจากกลไกการวิเคราะห์โค้ดแบบทั่วไป

ตามรายงานของนักวิจัยจากบริษัทความปลอดภัยทางไซเบอร์ Socket ระบุว่า แพ็คเกจทั้ง 10 นี้มียอดดาวน์โหลดเกือบ 10,000 ครั้ง และได้ขโมยข้อมูล credentials จาก system keyrings, เบราว์เซอร์ และ authentication services

แพ็คเกจเหล่านี้ยังคงดาวน์โหลดได้ แม้ว่า Socket จะรายงานไปยัง npm แล้วก็ตาม:

typescriptjs
deezcord.