พบการระบาดของมัลแวร์ กระทบผู้ใช้ส่วนใหญ่ในรัสเซียและตุรกีกว่า 400,000 คน ภายในช่วงระยะเวลา 12 ชั่วโมง จากการใช้ backdoor บน BitTorrent สัญชาติรัสเซีย ที่ชื่อว่า "MediaGet"
ไมโครซอฟท์เปิดเผยรายงานเชิงลึกเกี่ยวกับการทำงานของโทรจันตัวนี้ ที่มีชื่อว่า Dofoil หรือ Smoke Loader โดยจะถูกติดตั้งลงบนคอมพิวเตอร์ของผู้ใช้ผ่านทางไฟล์ชื่อ my.
พบ Malware ในระบบ POS (Point of Sale) ของร้านอาหาร Applebee กว่า 160 ร้าน ทำให้มีข้อมูลบัตรเครดิตของลูกค้ารั่วไหลออกไป
ทางด้าน RMH ซึ่งเป็นผู้ถือสิทธิ์แฟรนไชส์ โดยเป็นทั้งเจ้าของและผู้จัดการกว่า 160 สาขาได้ออกมาบอกว่าพบ Malware ระบาดอยู่ในระบบ POS ซึ่งทำให้ Hacker สามารถขโมยข้อมูลรายบุคคล เช่น ชื่อ เลขบัตร วันหมดอายุของบัตร เป็นต้น ร้าน Applebee ได้รับผลกระทบอยู่หลายวัน โดยช่วงแรกเกิดขึ้นประมาณ พฤศจิกายน หรือ ธันวาคม 2017 ตามรายงานจากเว็บไซต์ของ RHM
ทาง RHM เชื่อว่า Malware ดังกล่าวถูกออกแบบมาให้ดักจับข้อมูลบัตร และอาจส่งผลกระทบต่อระบบซื้อขายบางรายการสำหรับสาขาที่ติด Malware RHM ได้บอกกับทาง Threatpost ว่ามีการสืบสวนเรื่องนี้โดยได้รับความช่วยเหลือจากบริษัทด้านรักษาความปลอดภัยชั้นนำ และได้มีการรายงานเรื่องนี้ไปยังผู้บังคับใช้กฎหมาย โฆษกของ RHM บอกกับทาง Threatpost ว่าสามารถควบคุมเหตุการณ์ทันทีที่พบเมื่อวันที่ 13 กุมภาพันธ์ 2018 RHM ให้ข้อมูลเพิ่มเติมว่าได้ใช้งานตัวระบบ POS แยกจากเครือข่ายของทาง Applebee ต่างหาก และจะมีผลแค่กับสาขาที่ทาง RHM เป็นเจ้าของเท่านั้น POS Malware คือภัยคุกคามที่กำลังเพิ่มจำนวนขึ้นสำหรับผู้ที่ลงทุนในอุตสาหกรรมอย่างโรงพยาบาล
Fred Kneip, CEO ของบริษัท CyberGRX บอกกับทาง Threatpost ว่า RHM ได้แนะนำให้ลูกค้าตรวจสอบข้อมูลการใช้บัตรอยู่เสมอ แต่การป้องกัน POS Malware ที่ดีที่สุดต้องมาจากตัวผู้ค้าเอง
ที่มา : threatpost
นักวิจัยจาก McAfee Advanced Threat Research (ATR) ได้มีการเปิดเผยแคมเปญการโจมตีล่าสุดภายใต้ชื่อ HaoBao ซึ่งพุ่งเป้าโจมตีผู้ครอบครองบิทคอยน์และสถาบันการเงินผ่านช่องทางอีเมลพร้อมไฟล์แนบอันตรายที่ดาวโหลดและติดตั้งมัลแวร์
McAfee ATR เชื่อว่าผู้ที่อยู่เบื้องหลังการโจมตีครั้งนี้นั้นเกี่ยวข้องกับกลุ่มแฮกเกอร์ Lazarus ซึ่งเคยฝากผลงานในการแฮก Sony อ้างอิงจากการใช้งานลักษณะอีเมลฟิชชื่งที่คล้ายกับที่ Lazarus เคยใช้
อีเมลที่ใช้แพร่กระจายมัลแวร์นั้นถูกปลอมแปลงเป็นอีเมลเกี่ยวกับการสมัครงานโดยมีลิงค์สำหรับดาวโหลดเอกสารเชื่อมไปยัง Dropbox โดยเอกสารดังกล่าวจะมีการฝังมาโครสคริปต์เพื่อดาวโหลดและติดตั้งมัลแวร์ ตัวมัลแวร์เองมีความสามารถในการขโมยข้อมูลออกจากเครื่องที่มีการแพร่กระจายรวมไปถึงสแกนหาการใช้งานที่เกี่ยวข้องกับบิทคอยน์ด้วย
Recommendation แนะนำให้ตรวจสอบพฤติกรรมการทำงานของระบบเทียบเคียงกับ IOC ที่ปรากฎตามแหล่งที่มา และดำเนินการตามความเหมาะสมหากพบเจอการแพร่กระจายของมัลแวร์อย่างเร็วที่สุด
ที่มา : securingtomorrow.
ระบบที่เกี่ยวข้องกับมหกรรมโอลิมปิกฤดูหนาวประจำปี 2018 ซึ่งจัดขึ้นที่เมืองพย็องชัง เกาหลีใต้ ถูกรบกวนและโจมตีอย่างหนักในช่วงก่อนและระหว่างพิธีเปิดเป็นเวลากว่า 12 ชั่วโมง ส่งผลให้หลายระบบล่มและไม่สามารถให้บริการได้ เชื่อ "เกาหลีเหนือ", "จีน" และ "รัสเซีย" อยู่เบื้องหลังการโจมตี
Cisco Talos ได้ออกมาให้รายละเอียดเกี่ยวกับการโจมตีภายใต้ชื่อแคมเปญ "Olympic Destroyer" ในภายหลังว่า การโจมตีทางไซเบอร์ในครั้งนี้นั้นมุ่งหวังไปที่การทำลายและขัดขวางการทำงานของระบบเป็นสำคัญ หลังจากมีการตรวจพบมัลแวร์ที่มุ่งลบข้อมูลและแพร่กระจายโดยอาศัยการหาข้อมูลการเข้าถึงระบบจากเครื่องที่มีการติดเชื้อแล้ว
ในขณะนี้รายละเอียดที่ยังไม่ชัดเจนคือวิธีการที่ผู้โจมตีทำการปล่อยมัลแวร์เข้ามาในระบบ อย่างไรก็ตามการทำงานของมัลแวร์ประเภทนี้นั้นเผยให้เห็นเด่นชัดถึงจุดประสงค์การโจมตี มัลแวร์มีการแพร่กระจายโดยอาศัยโปรแกรท PsExec หลังจากนั้นจึงมีการลบข้อมูลสำคัญ เช่น ไฟล์สำรองของระบบและบันทึกการทำงาน รวมไปถึงปิดการใช้งานฟังก์ชันการกู้คืนระบบและทุกเซอร์วิสเพื่อทำให้ระบบไม่สามารถเปิดใช้งานได้
ที่มา : Bleepingcomputer
สรุปย่อ
ทีมนักวิจัยด้านความปลอดภัย Unit 42 จาก Palo Alto Networks ได้ประกาศสถิติการแพร่กระจายของมัลแวร์ประเภท miner ซึ่งพุ่งเป้าไปที่การสร้างผลกำไรในสกุลเงินออนไลน์แบบเสมือนย้อนหลัง 4 เดือน โดยพบว่ายอดดาวโหลดไฟล์โปรแกรมของมัลแวร์ประเภทดังกล่าวในอันดับที่ 1 นั้นมีที่มาจากประเทศไทยกว่า 3,500,000 ครั้ง และมากกว่าอันดับ 2 เกือบเท่าตัว
ทีมตอบสนองการโจมตีและภัยคุกคามจากบริษัทขอแนะนำให้ทำการตรวจสอบการแพร่กระจายของมัลแวร์ตามคำแนะนำในหัวข้อ "ขั้นตอนแนะนำในการจัดการกับภัยคุกคาม" ด้านล่างโดยด่วนที่สุด
ทำความรู้จักกับภัยคุกคามประเภทมัลแวร์ขุดบิทคอยน์
กระบวนการหนึ่งที่สำคัญของระบบเงินแบบไม่มีศูนย์กลาง (decentralized system) คือการที่ผู้ใช้งานในระบบนั้นมีหน้าที่ในการช่วยกันตรวจสอบธุรกรรมที่เกิดขึ้นว่าถูกต้องหรือไม่ และเพื่อจูงใจให้เกิดการตรวจสอบต่อไปเรื่อยๆ ผู้ที่ช่วยในการตรวจสอบธุรกรรมก็จะได้รับ "ผลตอบแทน" นั้นเป็นรางวัล กระบวนการที่ผู้ใช้งานช่วยกันพิสูจน์ความถูกต้องของธุรกรรมนั้นถูกเรียกชื่อตามวิธีการว่า mining
อย่างไรก็ตามการ mining เพื่อให้ได้ผลตอบแทนนั้นแท้จริงเปรียบเสมือนกับการแก้ปัญหาโจทย์ทางคณิตศาสตร์รูปแบบหนึ่งที่เป็นงานที่คอมพิวเตอร์ถนัด การแย่งชิงเพื่อให้สามารถแก้โจทย์ปัญหาได้ก่อนจึงเกิดขึ้นในรูปแบบของการทุ่มพลังในการประมวลผลของคอมพิวเตอร์หลายสิบหรือหลายร้อยเครื่องเพื่อแข่งขันกันว่าผู้ใดจะได้ "คำตอบที่ถูกต้อง" หรือ "ผลตอบแทน" ก่อนกัน
แน่นอนว่าทุกๆ คนนั้นอยากเป็นผู้ชนะ และชัยชนะที่มาพร้อมกับผลตอบแทนมูลค่าสูงย่อมทำให้เกิดการแข่งขันที่สกปรก ผู้ประสงค์ร้ายหรือแฮกเกอร์จึงอาศัยการโจมตีช่องโหว่ของระบบคอมพิวเตอร์ต่างๆ เพื่อแพร่กระจายโปรแกรมสำหรับ mining ซึ่งเมื่อเริ่มทำงานแล้ว โปรแกรม mining จะดึงทรัพยากรของระบบคอมพิวเตอร์ทั้งหมดเพื่อใช้ในการกระบวนการ mining โดยมีปลายทางเพื่อสร้างผลตอบแทนให้กับเจ้าของกระเป๋าหรือเจ้าของบัญชีที่ควบคุมมัลแวร์ให้มากที่สุด
การแพร่กระจายของมัลแวร์ขุดบิทคอยน์
สำหรับมัลแวร์ miner ซึ่งพุ่งเป้าไปที่สกุลเงิน Monero นั้น ทีม Unit 42 ได้ทำการสรุปวิธีการที่ผู้ประสงค์ร้ายใช้ในการแพร่กระจายมัลแวร์ซึ่งมีความแตกต่างกันตามช่วงเวลาตามรายละเอียดดังนี้
ในส่วนของการดาวโหลดและติดตั้งตัวเองนั้น ผู้ประสงค์ร้ายได้มีการใช้งานบริการ Adf.
Patrick Wardle ได้วิเคราะห์มัลแวร์ตัวใหม่ที่ออกแบบมาเพื่อโจมตีไปที่การตั้งค่า DNS บนอุปกรณ์ macOS ชื่อ OSX / MaMi หรือ "SBMaMiSettings" ปัจจุบันสามารถตรวจจับได้โดย ESET และ Ikarus มีชื่อ Signature ว่า OSX / DNSChanger.
พบมัลแวร์ Digmine ซึ่งติดตั้ง Monero cryptocurrency miner และ Chrome extension ที่เป็นอันตรายโดยแพร่กระจายไปยังเหยื่อรายใหม่ผ่าน Facebook Messenger โดยเหยื่อจะได้รับไฟล์ชื่อ video_xxxx.
นักวิจัยด้านความปลอดภัยได้แจ้งเตือนเกี่ยวกับมัลแวร์ตัวใหม่ ถูกออกแบบมาเพื่อรวบรวมข้อมูลเกี่ยวกับบัญชีธนาคารและบัตรเครดิต ซึ่งอาจเชื่อมโยงกับอาชญากรรมไซเบอร์กลุ่มที่มีชื่อว่า "Cron"
Catelites Bot มีลักษณะคล้ายคลึงกับ CronBot banking Trojan ซึ่งพบว่าเคยถูกใช้ในการโจรกรรมเงินไป 900,000 เหรียญ แม้ในท้ายที่สุดกลุ่มของผู้ที่อยู่เบื้องหลังมัลแวร์นี้ จะถูกจับกุมในช่วงต้นปีที่ผ่านมาโดยทางการรัสเซีย ส่วนใหญ่มัลแวร์ตัวนี้จะถูกแพร่กระจายอยู่ในระบบ Android ผ่านทางแอพพลิเคชั่นปลอมที่อยู่บน third-party stores, โฆษณา และหน้า phishing เมื่อเหยื่อหลงเชื่อ จะมีการร้องขอสิทธิ์ Admin ของเครื่อง หากอนุญาตมัลแวร์ดังกล่าวจะทำการลบไอคอนเดิม และแทนที่ด้วยไอคอนปลอมที่ดูคล้ายคลึงกับแอพพลิเคชั่นที่มีความน่าเชื่อถืออื่นๆ เพื่อหลอกให้เหยื่อป้อนรายละเอียดบัตรเครดิตลงไป
จากข่าวรายงานอีกว่า มัลแวร์ตัวนี้ยังมีฟังก์ชันการทำงานที่ทำให้มันสามารถปลอมแปลงตนเองให้มีหน้าตาคล้ายกับแอพพลิเคชันด้านการเงินที่ถูกต้องกว่า 2,200 แห่ง และซ้อนทับตัวเองแทนแอพพลิเคชั่นตัวจริงที่มีการเรียกใช้งาน เพื่อใช้ข้อมูลที่ได้นั้นเข้าถึงบัญชีธนาคาร และบัตรเครดิตของผู้ใช้งาน
ที่มา : infosecurity-magazine
HackRead ประกาศแจ้งเตือนผู้ใช้งานหลังจากตรวจพบการหลอกลวงในลักษณะใหม่ซึ่งอาศัยการโจมตีพฤติกรรมของผู้ใช้งานร่วมกับการใช้ Google AdWords
Google AdWords คือบริการโฆษณาออนไลน์ที่ช่วยโปรโมทโฆษณาให้ผู้ใช้หากมีการจ่ายเงินให้ Google เพื่อแสดงโฆษณาในช่องโฆษณาที่โดดเด่นในระหว่างผลลัพธ์ของเครื่องมือค้นหา ตัวอย่างเช่นหากผู้ใช้ค้นหาด้วย Google โดยใช้คำว่า "ดาวน์โหลด Antivirus" ช่องด้านบนจะแสดงโฆษณา ในบางกรณีผลการค้นหาสี่อันดับแรกจะแสดงโฆษณาที่จ่ายโดยคนหรือ บริษัท เพื่อให้ได้ยอดขายหรือการเข้าชมอย่างรวดเร็ว
เมื่อคลิกที่ "ดาวน์โหลด Chrome" ผู้ใช้จะถูกนำไปที่ลิงก์ Google โหลดไฟล์มีชื่อว่า ChromeSetup.
MalwareBytes เผยเทคนิคสคริปต์ขุดบิทคอยน์ที่ทำงานได้แม้จะปิดโปรแกรมเบราว์เซอร์ไปแล้ว
Jérôme Segura นักวิเคราะห์มัลแวร์จาก MalwareBytes ได้มีการเผยแพร่ผลการวิเคราะห์มัลแวร์รวมไปถึงเทคนิคใหม่ที่มัลแวร์ขุดบิทคอยน์ใช้งานเพื่อให้มัลแวร์สามารถทำงานได้แม้ผู้ใช้งานจะมีการปิดโปรแกรมเว็บเบราว์เซอร์ไปแล้ว
โดยปกตินั้นมัลแวร์ขุดบิทคอยน์หรือขุดสกุลเงินดิจิตอลอื่นๆ นั้นอาศัยจังหวะที่ผู้ใช้งานเปิดหน้าเว็บไซต์ที่มีสคริปต์อันตรายฝังอยู่ซึ่งจะเริ่มทำการขุดทันที ส่งผลให้ระบบของผู้ใช้นั้นช้าลงเนื่องจากทรัพยากรของระบบส่วนใหญ่ถูกใช้โดยไปโดยมัลแวร์ อย่างไรก็ตามหากผู้ใช้งานทำการปิดหน้าเพจของเว็บไซต์ที่มีการฝังสคริปต์อันตรายนั้นไปหรือทำการปิดโปรแกรมเว็บเบราว์เซอร์ สคริปต์อันตรายดังกล่าวก็จะถูกหยุดการทำงาน
อย่างไรก็ตาม Segura ค้นพบว่า มัลแวร์ขุดบิทคอยน์มีการใช้งานฟีเจอร์ของเว็บเบราว์เซอร์ฟีเจอร์หนึ่งชื่อ Pop-under โดยฟีเจอร์ดังกล่าวนั้นมักถูกใช้งานในการแสดงโฆษณาโดยบังคับให้มีการเรียกโฆษณาขึ้นมาและซ่อนการแสดงผลโฆษณาดังกล่าวไว้เบื้องหลังไม่ให้ผู้ใช้งานเห็นในทันที
สิ่งที่มัลแวร์ทำนั้นคือเมื่อผู้ใช้งานทำการคลิกที่จุดใดๆ ของเว็บเพจ (จำเป็นต้องมีการคลิกก่อนเนื่องจากเบราว์เซอร์รุ่นใหม่บังคับให้การใช้งาน Pop-under จำเป็นต้องมี user interaction) สคริปต์จะทำการสร้างหน้าต่างใหม่เบื้องหลังหน้าเว็บเพจนั้น และทำการแก้ไขขนาดของหน้าต่างใหม่ให้สามารถซ่อนอยู่เบื้องหลังของ taskbar บริเวณขอบขวาล่างของหน้าจอทันทีโดยที่ผู้ใช้งานไม่ทันสังเกต
Recommendation
MalwareBytes แนะนำให้ผู้ใช้งานตรวจสอบการทำงานของแต่ละโปรเซสหากพบอาการของระบบที่ผิดปกติ และถ้าเจอโปรเซสใดโปรเซสหนึ่งของระบบที่มีการใช้งานทรัพยากรที่ผิดปกติ ให้ดำเนินการปิดทันที เพราะโปรเซสดังกล่าวอาจเป็นโปรเซสที่เกี่ยวข้องกับหน้าต่างที่ซ่อนอยู่ก็เป็นไปได้
ที่มา : thehackernews , malwarebytes