ANY.RUN เว็บไซต์ที่ให้บริการวิเคราะห์พฤติกรรมการทำงานของมัลแวร์ (Sandbox) ได้เผยแพร่ 15 อันดับของมัลแวร์ที่ถูกอัพโหลดเพื่อตรวจสอบเมื่อสัปดาห์ที่แล้ว โดยมี 3 อันดับแรก ดังต่อไปนี้

พบว่าอันดับ 1 ตกเป็นของ Agent Tesla มัลแวร์สาย Assassin ที่จะแฝงตัวเพื่อทำภารกิจสอดส่องพฤติกรรมการทำงานของผู้ใช้งาน และดักจับการพิมพ์ที่อาจเป็นรหัสผ่านบนเครื่องที่ตกเป็นเหยื่อ เมื่อสบโอกาสก็จะนำข้อมูลที่ได้ไปเผด็จศึก พบว่าไฟล์ของมัลแวร์อันดับต้นๆ ที่ถูกส่งมาตรวจสอบจะอยู่ในรูปแบบไฟล์ ZIP และ EXE ที่มีชื่อไฟล์เป็นพวกเอกสารการสั่งซื้อ เช่น Purchase Order (PO) หรือ Shipping Document เป็นต้น

(อย่างไรก็ตาม จากการตรวจสอบล่าสุด พบว่าโดน Emotet เตะลงมาแล้ว)

อันดับที่ 2 ตกเป็นของ Emotet มัลแวร์สาย Alchemist ที่พบว่ามีการเล่นแร่แปรธาตุมักจะสอดแทรกความสามารถใหม่ตลอดเวลา จากการที่พบว่ามัลแวร์ตระกูลนี้จะหลายเวอร์ชั่นมาก ตั้งแต่ที่มีการพบครั้งแรกเมื่อปี 2014 โดยหลักๆ ตัวมันเองจะเป็นมัลแวร์ตั้งต้น (dropper) เพื่อไปดาวน์โหลดพรรคพวกตัวอื่นๆ เข้ามาต่อไป พบว่าตัวอย่างไฟล์ที่ถูกส่งมาให้ตรวจสอบก็ยังคงเป็นไฟล์เอกสาร Microsoft Office ที่มีการฝัง Macro ไว้ และเอกสารปลอมที่มีนามสกุลเป็น EXE ด้วย

(จุดที่น่าสังเกตคือ ถ้าดูตามสถิติโดยรวมทั้งหมดและล่าสุดแล้ว พบว่า Emotet ถูกจัดว่าเป็นอันดับ 1 ที่ถูกพบมากที่สุด)

อันดับที่ 3 พบว่าเป็น LokiBot มัลแวร์สาย Thief ที่มีจุดหมายเพื่อแฝงตัวเข้ามาขโมยข้อมูลออกไปเป็นหลัก ไม่ว่าจะ Web Browsers, FTP, E-mail และแอพพลิเคชั่นอื่นๆ ที่มีการใช้งานอยู่บนเครื่อง ก็อีกเช่นเดียวกันตัวอย่างไฟล์ที่พบว่าถูกส่งขึ้นมาตรวจสอบ หนีไม่พ้นไฟล์เอกสาร Microsoft Office ที่มีชื่อไฟล์เป็นเอกสารที่เกี่ยวกับกระบวนการสั่งซื้อ เช่น Payment, Invoice และ Quotation เป็นต้น

จะเห็นว่าไฟล์มัลแวร์ที่ถูกส่งขึ้นมาตรวจสอบนั้นจะอยู่ในรูปแบบไฟล์เอกสาร หรือเหมือนว่าจะเป็นไฟล์เอกสาร และมีชื่อไฟล์เพื่อหลอกให้เชื่อว่าเป็นเอกสารเกี่ยวกับกระบวนการสั่งซื้อ ดังนั้นหากคุณเป็นฝ่ายจัดซื้อ หรือฝ่ายบัญชีของบริษัท

คุณกำลังตกเป็นเป้าหมายของผู้ไม่หวังดีอยู่นะ !!! ระวังตัวมากๆ นะครับ

ที่มา: https://any.

การค้นหาเท็กซ์บุ๊คและเรียงความอิเล็กทรอนิกส์บนอินเตอร์เน็ตทำให้กลุ่มนักเรียนมีโอกาสถูกโจมตีจากการค้นพบของนักวิจัย Kaspersky Lab พบการโจมตีมากกว่า 365,000 ครั้งในหนึ่งปี

หลังจากการตรวจสอบการโจมตีด้วยเอกสารแพร่กระจายมัลแวร์ที่ใช้ชื่อไฟล์เกี่ยวกับการศึกษาในผู้ใช้ Kaspersky พบว่ามีผู้เป็นเหยื่อกว่า 365,000 ครั้งในหนึ่งปีการศึกษา มัลแวร์ส่วนมากที่พบในการโจมตีดังกล่าวคือ MediaGet torrent application downloader, WinLNK.Agent.

พบการโจมตีด้วยมัลแวร์ Cardinal RAT อีกครั้ง โดยรอบนี้พุ่งเป้าไปที่บริษัทเทคโนโลยีทางการเงินในอิสราเอล

นักวิจัยจาก Palo Alto Networks เป็นผู้พบการกลับมาของมัลแวร์ในครั้งนี้ หลังจากที่พบครั้งแรกเมื่อปี 2017 มัลแวร์จะถูกดาวน์โหลดผ่านมัลแวร์ตั้งต้นที่ถูกเรียกว่า“ Carp” ที่จะมีการใช้ Macro ในเอกสาร Microsoft Excel เพื่อติดตั้ง Cardinal RAT บนเครื่องเหยื่อ มัลแวร์สามารถขโมยชื่อผู้ใช้และรหัสผ่าน, ล้างคุกกี้จากเบราว์เซอร์, keylogger และถ่ายภาพหน้าจอของเครื่องเหยื่อ

Cardinal RAT รุ่นล่าสุด (รุ่น 1.7.2) มีการเปลี่ยนแปลงที่สำคัญที่สุดคือการเพิ่มวิธีหลบหลีกการตรวจจับจาก Anti-virus ด้วยการใช้ steganography (การซ่อนชุดคำสั่งในไฟล์รูปภาพ) นักวิจัยยังค้นพบความสัมพันธ์ที่เป็นไปได้ระหว่าง Cardinal RAT กับมัลแวร์ที่ชื่อว่า "EVILNUM" โดยพบว่าบริษัทที่พบ Cardinal RAT จะมีการพบ EVILNUM ด้วย มัลแวร์ทั้งสองมีเป้าหมายเป็นบริษัทการเงินเหมือนกัน และลักษณะการโจมตีเหยื่อจะมีการส่งไฟล์แนบเป็นเอกสารที่มีการฝังโค๊ดอันตรายมาหลอกลวงเหยื่อเหมือนกัน ในเอกสารจะมีการระบุข้อมูลเป็นชื่อหรือเลขส่วนตัวที่เกี่ยวข้องกับการซื้อขาย forex หรือสกุลเงินดิจิตอลเหมือนกัน

ดังนั้นเพื่อลดความเสี่ยง องค์กรควรมีระบบตรวจสอบ spam ที่มีประสิทธิภาพ, ไม่อนุญาตให้อีเมลที่มีการแนบไฟล์เป็น .LNK หรือ zip ไฟล์ที่มี .LNK ไฟล์อยู่ข้างในไฟล์เดียว และอีเมลที่มีไฟล์แนบเป็นเอกสารที่มี Macro จากภายนอก สามารถส่งมาถึงผู้ใช้งานในองค์กรได้

ที่มา: threatpost.

นักวิจัยได้มีการเปิดเผยข้อมูลเกี่ยวกับ Phishing Campaign ล่าสุดที่พุ่งเป้าไปยังผู้ใช้งาน Online banking มีการพยายามปลอมเป็น Google เพื่อขโมยข้อมูลสำคัญ

จากรายงานของนักวิจัยจาก Sucuri ระบุว่าผู้โจมตีมีเป้าหมายเป็นผู้ใช้งานและธนาคารในโปแลนด์ โดยอาศัยการแอบอ้างว่าเป็นระบบ Google reCAPTCHA
อีเมลดังกล่าวจะมีเนื้อหาที่แจ้งว่าพบการทำรายการ (transaction) ที่ผิดปกติ หากพบว่าเป็นรายการที่ไม่ถูกต้องให้กดปุ่ม "verify" เพื่อยืนยันความผิดปกติที่เกิดขึ้น แทนที่จะใช้เป็นการเปลี่ยนเส้นทาง (redirect) ไปยังหน้าปลอมของธนาคารเหมือนการหลอกลวงอื่นๆ แต่กลับเป็นการเปิด PHP ที่จะแสดงหน้า error 404 ปลอมขึ้นมาแทน หน้าดังกล่าวจะมีสคริปต์สำหรับตรวจสอบว่าเป็นการเรียกจาก Google crawler หรือไม่ หากพบว่าไม่ใช่ก็จะแสดงหน้า Google reCAPTCHA ที่ถูกเขียนด้วย JavaScript และ HTML ขึ้นมา หากเหยื่อหลงเชื่อกด CAPTCHA สคริปต์จะทำการตรวจสอบว่าเรียกมาจากอุปกรณ์ใด หากเป็น Android จะมีการดาวน์โหลดไฟล์ .apk หากไม่ใช่จะทำการดาวน์โหลด .zip แทน แต่จากตัวอย่างที่พบส่วนมากจะเป็นมัลแวร์บน Android โดยตัวมัลแวร์จะทำการเก็บข้อมูลสถานะของอุปกรณ์มือถือ, ตำแหน่งที่ใช้งาน และรายชื่อผู้ติดต่อ, มีการตรวจสอบรายการข้อความบนเครื่อง และทำการส่งข้อความ หรือโทรศัพท์ออกไปผ่านเครื่องของเหยื่อ, มีการบันทึกเสียงผู้ใช้งาน รวมถึงขโมยข้อมูลสำคัญอื่นๆ ออกไป

มัลแวร์ดังกล่าวถูกตรวจจับได้แล้วด้วย anti-virus หลายๆ ตัว ที่มีการให้ signature แตกต่างกันออกไป ยกตัวอย่างเช่น Banker, BankBot, Evo-gen, Artemis และอื่นๆ การหลีกเลี่ยงที่จะตกเป็นเหยื่อ ผู้ใช้งานควรจะมีการสังเกตและตรวจสอบความถูกต้องของอีเมลที่ได้รับมาทั้งชื่อผู้ส่ง (sender), เนื้อหา (content) และลิงก์ที่ถูกระบุมาในอีเมลว่าถูกต้องจริงๆ หรือไม่ก่อนทำการเปิดไฟล์แนบ หรือกดลิงก์ใดๆ

ที่มา: www.

มีการพบ Application ที่เป็นมัลแวร์หลุดรอดจากกระบวนการตรวจสอบของ App store บน iOS

Golduck ถูกพบว่าเป็นมัลแวร์ที่จะทำการแพร่กระจาย adware และอาจมีความสามารถในการควบคุมเครื่องได้ ถูกพบครั้งแรกใน Application บนระบบ Android แต่ล่าสุดมีการพบใน Application ที่อยู่ใน Apple App Store และพบว่ามี Application มากกว่า 12 รายการ ที่มีพฤติกรรมการถ่ายโอนข้อมูลไปยังเซิร์ฟเวอร์อันตรายที่เกี่ยวข้องกับ Golduck (C&C) ซึ่งข้อมูลจะประกอบไปด้วย IP Address และข้อมูลตำแหน่ง ประเภทอุปกรณ์และจำนวนโฆษณาที่แสดงบนอุปกรณ์

นักวิจัย Wandera ได้แจ้งรายชื่อเกมส์ 14 รายการตามรายการด้านล่าง ที่มีการเชื่อมต่อกับเซิร์ฟเวอร์ที่เกี่ยวข้องกับการทำงานของมัลแวร์ Golduck ไปยัง Apple โดยล่าสุดทาง Apple ได้นำ Application เหล่านั้นออกจาก Apple Store เป็นที่เรียบร้อยแล้ว และ Application ดังกล่าวส่วนใหญ่ถูกพัฒนาโดยผู้พัฒนาเพียง 3 ราย ได้แก่ Nguyen Hue, Gaing Thi, Tran Tu
• Commando Metal: Classic Contra
• Super Pentron Adventure: Super Hard
• Classic Tank vs Super Bomber
• Super Adventure of Maritron
• Roy Adventure Troll Game
• Trap Dungeons: Super Adventure
• Bounce Classic Legend
• Block Game
• Classic Bomber: Super Legend
• Brain It On: Stickman Physics
• Bomber Game: Classic Bomberman
• Classic Brick – Retro Block
• The Climber Brick
• Chicken Shoot Galaxy Invaders

ที่มา:bleepingcomputer.

อาชญากรไซเบอร์กำลังกำหนดเป้าหมายไปยังเครื่องของเหยื่อเพื่อทำการโจมตี โดยโจมตีผ่านทางช่องโหว่ของโปรแกรมเว็บเบราว์เซอร์และส่วนเสริมก่อนที่จะติดตั้งมัลแวร์ที่สามารถขโมยข้อมูลและปล่อยแรนซัมแวร์เข้าสู่ระบบได้ อ้างอิงจากนักวิจัยของ Malwarebytes ซึ่งมีการค้นพบว่าการแพร่กระจายของมัลแวร์ในรูปแบบใหม่นั้นอาศัยทั้งการขโมยข้อมูลและเข้ารหัสในตัวด้วยมัลแวร์สองประเภทคือ Vidar และ GandCrab

Vidar คือมัลแวร์รูปแบบใหม่ซึ่งมีเป้าหมายคือการขโมยข้อมูลจำนวนมหาศาลของผู้ตกเป็นเหยื่อ เช่น รหัสผ่าน เอกสาร ภาพหน้าจอ ประวัติเบราว์เซอร์ ข้อมูลการส่งข้อความ รายละเอียดบัตรเครดิต และอื่นๆ

Vidar ยังสามารถกำหนดเป้าหมายเป็นกระเป๋าเงินเสมือนที่เก็บ Bitcoin และ Cryptocurrencies อื่นๆ ได้ มัลแวร์ตัวนี้มีความสามารถสูงในการปรับแต่งตัวเองและกำลังได้รับความนิยมในกลุ่มแฮกเกอร์ต่างๆ ด้วย สำหรับที่มาของชื่อมัลแวร์ Vidar นั้น ดูเหมือนว่าจะได้รับการตั้งชื่อตามเทพพระเจ้านอร์ส “Víðarr the Silent” ชื่อที่ผู้เขียนอาจเลือกเพื่อสะท้อนความสามารถที่ซ่อนเร้น

Vidar ได้รับการออกแบบมาให้ทำงานอย่างลับๆ ทำให้ผู้ที่ตกเป็นเหยื่อไม่ทราบว่าระบบของพวกเขาถูกโจมตีขณะที่ผู้โจมตีทำให้ข้อมูลส่วนตัวถูกส่งคำสั่งออกไปและควบคุมเครื่องเซิร์ฟเวอร์ (C&C) และยังทำให้เครื่องของเหยื่อทำงานเป็นตัวดาวโหลดมัลแวร์อื่นๆ และทำให้เกิดการแพร่กระจายของ GandCrab Ransomware อีกด้วย

ที่มา:zdnet.

ทีมงานวิจัยของ McAfee ได้พบกับแคมเปญมัลแวร์ใหม่ๆ ซึ่งมีเป้าหมายโจมตีไปยังองค์กรภาคเอกชนและภาครัฐหลายสิบองค์กรทั่วโลก

แคมเปญมัลแวร์ ที่ได้รับการขนานนามว่า “Operation Sharpshooter” ซึ่งมีเป้าหมายมากกว่า 100 องค์กรใน 24 ประเทศภายในเวลาเพียงไม่กี่สัปดาห์ องค์กรที่ได้รับผลกระทบจากมัลแวร์ดังกล่าว ได้แก่ องค์กรเกี่ยวกับพลังงาน นิวเคลียร์ ความปลอดภัย และบริษัทเกี่ยวกับการเงิน โดยพบว่ามีองค์กรที่ได้รับผลกระทบอย่างน้อย 87 หน่วยงานทั่วโลก ในระยะเวลาเพียงสองเดือนเท่านั้น

สคริปต์อันตรายในไฟล์เอกสารลวงที่จะซ่อนเนื้อหาสคริปต์ที่เป็นอันตราย ซึ่งจะโจมตีอัตโนมัติหลังจากโหลดข้อมูลจากอีเมล์หลอกลวง (phishing email) หรือมีการเชื่อมโยงไปยังเอกสาร Microsoft Word ในบัญชี Dropbox ที่จะทำให้ติดตั้งและฝังสคริปต์ Rising Sun ภายในเครื่อง และยังทำหน้าที่เป็น backdoor ที่ทำการสอดแนมบนเครือข่ายของเหยื่ออีกด้วย

ภัยคุกคามระดับสูงแบบใหม่นี้อาศัยการทำงานกับ Fileless Malware (หรือเรียกว่ามัลแวร์ที่ไม่มีไฟล์ มีลักษณะการทำงานโดยอาศัยการส่ง Payload เข้าไปทำงานใน Ram ผ่านสคริปต์ PowerShell และรันคำสั่งโดยไม่มีไฟล์หรือสร้างโฟลเดอร์บนฮาร์ดดิสก์ ทำให้ไม่สามารถตรวจจับได้) และเครื่องมือสำหรับเจาะช่องโหว่หรือโจมตีที่มีการใช้โค๊ดจากโทรจันที่ถูกสร้างโดยกลุ่มแฮ็กเกอร์ Lazarus ที่เป็นกลุ่มอาชญากรรมทางไซเบอร์ที่อยู่ในเกาหลีเหนือ ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่แพร่ WannaCry Ransomware และอาชญากรรมไซเบอร์อื่นๆ ทั่วโลก เป็นต้น

ที่มา : E Hacking News

นักวิจัยด้านความปลอดภัยของ Qihoo 360 จากประเทศจีนเปิดเผยการโจมตี Hijacked บนเราเตอร์ที่ใช้ในบ้านกว่า 100,000 เครื่องพร้อมทำการแก้ไขการตั้งค่า DNS เพื่อ redirects การร้องขอ DNS ของผู้ใช้งานไปยังเว็บไซต์ที่เป็นอันตราย (phishing site) เพื่อขโมยข้อมูลสำคัญในการเข้าสู่ระบบของผู้ใช้ โดยตั้งชื่อแคมเปญดังกล่าวว่า GhostDNS

Netlab นักวิจัยด้านความปลอดภัยของ Qihoo 360 เปิดเผยการทำงานของ GhostDNS ว่าจะทำการสแกนหา IP ของเราเตอร์ที่มีช่องโหว่ ใช้รหัสผ่านที่คาดเดาง่ายหรือไม่มีรหัสผ่านในการเข้าสู่ระบบการตั้งค่าเราเตอร์ และทำการแก้ไขการตั้งค่า DNS ใหม่ เพื่อ redirects การร้องขอ DNS ของผู้ใช้งานทั้งหมดที่ส่งผ่านเราเตอร์ที่ถูกบุกรุกไปยัง DNS Server ที่เป็นอันตรายเพื่อขโมยข้อมูลส่วนตัวของผู้ใช้ ทำให้เมื่อผู้ใช้พยายามเข้าสู่เว็บไซต์ที่ถูกต้องจะถูกส่งไปยังเว็บไซต์ที่อันตรายแทน ซึ่งเว็บไซต์ที่ถูก redirect ส่วนใหญ่เป็นเว็บไซต์ของธนาคารในประเทศบราซิลและบริการเว็บโฮสติ้งต่างๆ เช่น Netflix, Citibank.

Secureworks Counter Threat Unit (CTU) พบว่าแฮกเกอร์กลุ่ม Cobalt หรือที่รู้จักกันในอีกชื่อว่า "Gold Kingswood" ที่มีเป้าหมายโจมตีสถาบันการเงินทั่วโลก กำลังดำเนินการแพร่กระจายมัลแวร์ "SpicyOmelette"

SpicyOmelette เป็น javascript ที่มีความซับซ้อน มีความสามารถถูกใช้ในการ remote ทำให้แฮกเกอร์สามารถโจมตีระบบได้จากระยะไกล มัลแวร์ตัวนี้ถูกแพร่กระจายผ่านช่องทาง Phishing e-mail โดยมุ่งเป้าไปที่พนักงานในบริษัท ใน e-mail จะมีไฟล์ PDF แนบมาด้วย เมื่อเปิดไฟล์จะถูก redirect ไปยัง URL ที่ถูกชี้ไปยัง AWS ที่แฮกเกอร์เป็นคนควบคุม เมื่อเข้าหน้าเว็บที่ถูก redirect ไปนี้จะถูกทำการติดตั้ง SpicyOmelette ซึ่งหน้าเว็บดังกล่าวจะมีการ sign ด้วย trusted certificate เมื่อ SpicyOmelette ติดตั้งลงบนเครื่องของเป้าหมาย จะทำการรวบรวมข้อมูล IP, ชื่อระบบ และทำการติดตั้งไฟล์อันตรายอื่นเพิ่มเติม รวมทั้งสามารถสแกนหา antivirus ที่ติดตั้งอยู่ภายในเครื่องได้ มัลแวร์ยังสามารถเพิ่มสิทธิ์ตัวเอง (privilege escalation) ด้วยการขโมย credential อื่นๆ บนเครื่อง สามารถทำการเก็บข้อมูลเพื่อใช้ในการระบุว่าเป็นระบบที่มีความสำคัญหรือไม่ เช่น Payment Gateway หรือรูปแบบโครงสร้างของเครื่อง ATM

ก่อนหน้านี้เชื่อว่ากลุ่ม Cobalt มีส่วนเกี่ยวข้องในการขโมยเงินหลายล้านดอลลาร์จากสถาบันการเงินทั่วโลก แม้จะมีการจับกุมผู้ต้องสงสัยได้แต่ทาง CTU คาดว่ากลุ่มแฮกเกอร์ดังกล่าวจะไม่มีการหยุดกระทำการใดๆ และยังคงมีการพัฒนาการโจรกรรมต่อไปเรื่อยๆ และองค์กรการเงินยังคงอยู่ในความเสี่ยงต่อภัยคุกคามจากกลุ่มนี้อยู่

ที่มา : ZDNet

เว็บ Fiverr และ Freelancer ที่เป็นเว็บเสนองานให้กับผู้รับทำงานฟรีแลนซ์ทั่วโลกถูกผู้โจมตีใช้แพร่ malware โดยเว็บสองเว็บดังกล่าวถูกใส่ malware ไปในข้อเสนอการทำงาน เมื่อเหยื่อเปิดไฟล์แนบที่ปลอมเป็นรายละเอียดงาน malware จะทำงานและแอบติดตั้ง Keylogger โดยเหยื่อไม่รู้ตัว AgentTesla และ Remote Access Trojans (RATs) เป็นตัวอย่างของ Keylogger ที่เป็นไปได้ว่าจะถูกติดตั้งให้กับเหยื่อโดยอ้างอิงจากรายงานของทีม MalwareHunterTeam โดยสามารถโจมตีได้หลายรูปแบบ เช่น โจมตีคอมพิวเตอร์ของเหยื่อเมื่อเหยื่อเปิดไฟล์ดังกล่าว หรือ ถ้าผู้โจมตีต้องการยึดครองโทรศัพท์ของเหยื่อ ไฟล์แนบปลอมจะแจ้งเหยื่อว่าไฟล์นั้นเปิดได้แค่ผ่านทางโทรศัพท์ ทำให้เหยื่อหลงเชื่อแล้วเปิดไฟล์ดังกล่าวในโทรศัพท์แทน

เพื่อป้องกันการโจมตีลักษณะนี้ ผู้ใช้งานควรอัพเดทแอนติไวรัสและ OS patch เสมอและถ้าหากเจอไฟล์ที่ไม่ไว้วางใจอาจนำไปแสกนใน Virustotal เพื่อตรวจสอบก่อน

ที่มา : E Hacking News