Patrick Wardle ได้วิเคราะห์มัลแวร์ตัวใหม่ที่ออกแบบมาเพื่อโจมตีไปที่การตั้งค่า DNS บนอุปกรณ์ macOS ชื่อ OSX / MaMi หรือ "SBMaMiSettings" ปัจจุบันสามารถตรวจจับได้โดย ESET และ Ikarus มีชื่อ Signature ว่า OSX / DNSChanger.

พบมัลแวร์ Digmine ซึ่งติดตั้ง Monero cryptocurrency miner และ Chrome extension ที่เป็นอันตรายโดยแพร่กระจายไปยังเหยื่อรายใหม่ผ่าน Facebook Messenger โดยเหยื่อจะได้รับไฟล์ชื่อ video_xxxx.

นักวิจัยด้านความปลอดภัยได้แจ้งเตือนเกี่ยวกับมัลแวร์ตัวใหม่ ถูกออกแบบมาเพื่อรวบรวมข้อมูลเกี่ยวกับบัญชีธนาคารและบัตรเครดิต ซึ่งอาจเชื่อมโยงกับอาชญากรรมไซเบอร์กลุ่มที่มีชื่อว่า "Cron"

Catelites Bot มีลักษณะคล้ายคลึงกับ CronBot banking Trojan ซึ่งพบว่าเคยถูกใช้ในการโจรกรรมเงินไป 900,000 เหรียญ แม้ในท้ายที่สุดกลุ่มของผู้ที่อยู่เบื้องหลังมัลแวร์นี้ จะถูกจับกุมในช่วงต้นปีที่ผ่านมาโดยทางการรัสเซีย ส่วนใหญ่มัลแวร์ตัวนี้จะถูกแพร่กระจายอยู่ในระบบ Android ผ่านทางแอพพลิเคชั่นปลอมที่อยู่บน third-party stores, โฆษณา และหน้า phishing เมื่อเหยื่อหลงเชื่อ จะมีการร้องขอสิทธิ์ Admin ของเครื่อง หากอนุญาตมัลแวร์ดังกล่าวจะทำการลบไอคอนเดิม และแทนที่ด้วยไอคอนปลอมที่ดูคล้ายคลึงกับแอพพลิเคชั่นที่มีความน่าเชื่อถืออื่นๆ เพื่อหลอกให้เหยื่อป้อนรายละเอียดบัตรเครดิตลงไป

จากข่าวรายงานอีกว่า มัลแวร์ตัวนี้ยังมีฟังก์ชันการทำงานที่ทำให้มันสามารถปลอมแปลงตนเองให้มีหน้าตาคล้ายกับแอพพลิเคชันด้านการเงินที่ถูกต้องกว่า 2,200 แห่ง และซ้อนทับตัวเองแทนแอพพลิเคชั่นตัวจริงที่มีการเรียกใช้งาน เพื่อใช้ข้อมูลที่ได้นั้นเข้าถึงบัญชีธนาคาร และบัตรเครดิตของผู้ใช้งาน

ที่มา : infosecurity-magazine

HackRead ประกาศแจ้งเตือนผู้ใช้งานหลังจากตรวจพบการหลอกลวงในลักษณะใหม่ซึ่งอาศัยการโจมตีพฤติกรรมของผู้ใช้งานร่วมกับการใช้ Google AdWords

Google AdWords คือบริการโฆษณาออนไลน์ที่ช่วยโปรโมทโฆษณาให้ผู้ใช้หากมีการจ่ายเงินให้ Google เพื่อแสดงโฆษณาในช่องโฆษณาที่โดดเด่นในระหว่างผลลัพธ์ของเครื่องมือค้นหา ตัวอย่างเช่นหากผู้ใช้ค้นหาด้วย Google โดยใช้คำว่า "ดาวน์โหลด Antivirus" ช่องด้านบนจะแสดงโฆษณา ในบางกรณีผลการค้นหาสี่อันดับแรกจะแสดงโฆษณาที่จ่ายโดยคนหรือ บริษัท เพื่อให้ได้ยอดขายหรือการเข้าชมอย่างรวดเร็ว

เมื่อคลิกที่ "ดาวน์โหลด Chrome" ผู้ใช้จะถูกนำไปที่ลิงก์ Google โหลดไฟล์มีชื่อว่า ChromeSetup.

MalwareBytes เผยเทคนิคสคริปต์ขุดบิทคอยน์ที่ทำงานได้แม้จะปิดโปรแกรมเบราว์เซอร์ไปแล้ว

Jérôme Segura นักวิเคราะห์มัลแวร์จาก MalwareBytes ได้มีการเผยแพร่ผลการวิเคราะห์มัลแวร์รวมไปถึงเทคนิคใหม่ที่มัลแวร์ขุดบิทคอยน์ใช้งานเพื่อให้มัลแวร์สามารถทำงานได้แม้ผู้ใช้งานจะมีการปิดโปรแกรมเว็บเบราว์เซอร์ไปแล้ว

โดยปกตินั้นมัลแวร์ขุดบิทคอยน์หรือขุดสกุลเงินดิจิตอลอื่นๆ นั้นอาศัยจังหวะที่ผู้ใช้งานเปิดหน้าเว็บไซต์ที่มีสคริปต์อันตรายฝังอยู่ซึ่งจะเริ่มทำการขุดทันที ส่งผลให้ระบบของผู้ใช้นั้นช้าลงเนื่องจากทรัพยากรของระบบส่วนใหญ่ถูกใช้โดยไปโดยมัลแวร์ อย่างไรก็ตามหากผู้ใช้งานทำการปิดหน้าเพจของเว็บไซต์ที่มีการฝังสคริปต์อันตรายนั้นไปหรือทำการปิดโปรแกรมเว็บเบราว์เซอร์ สคริปต์อันตรายดังกล่าวก็จะถูกหยุดการทำงาน

อย่างไรก็ตาม Segura ค้นพบว่า มัลแวร์ขุดบิทคอยน์มีการใช้งานฟีเจอร์ของเว็บเบราว์เซอร์ฟีเจอร์หนึ่งชื่อ Pop-under โดยฟีเจอร์ดังกล่าวนั้นมักถูกใช้งานในการแสดงโฆษณาโดยบังคับให้มีการเรียกโฆษณาขึ้นมาและซ่อนการแสดงผลโฆษณาดังกล่าวไว้เบื้องหลังไม่ให้ผู้ใช้งานเห็นในทันที

สิ่งที่มัลแวร์ทำนั้นคือเมื่อผู้ใช้งานทำการคลิกที่จุดใดๆ ของเว็บเพจ (จำเป็นต้องมีการคลิกก่อนเนื่องจากเบราว์เซอร์รุ่นใหม่บังคับให้การใช้งาน Pop-under จำเป็นต้องมี user interaction) สคริปต์จะทำการสร้างหน้าต่างใหม่เบื้องหลังหน้าเว็บเพจนั้น และทำการแก้ไขขนาดของหน้าต่างใหม่ให้สามารถซ่อนอยู่เบื้องหลังของ taskbar บริเวณขอบขวาล่างของหน้าจอทันทีโดยที่ผู้ใช้งานไม่ทันสังเกต

Recommendation

MalwareBytes แนะนำให้ผู้ใช้งานตรวจสอบการทำงานของแต่ละโปรเซสหากพบอาการของระบบที่ผิดปกติ และถ้าเจอโปรเซสใดโปรเซสหนึ่งของระบบที่มีการใช้งานทรัพยากรที่ผิดปกติ ให้ดำเนินการปิดทันที เพราะโปรเซสดังกล่าวอาจเป็นโปรเซสที่เกี่ยวข้องกับหน้าต่างที่ซ่อนอยู่ก็เป็นไปได้

ที่มา : thehackernews , malwarebytes

ทีมความปลอดภัยจาก Google พบ Adroid Malware ตัวใหม่ชื่อว่า Tizi ซึ่งถูกใช้กับเป้าหมายในประเทศแถบแอฟริกา ถูกจัดให้อยู่ในหมวด Spyware ซึ่งทาง Google บอกว่า malware ตัวนี้มีความสามารถหลากหลาย แต่จะมุ่งเน้นไปในส่วนของแอพพลิเคชั่น และกิจกรรมบนเครื่องที่เกี่ยวข้องกับ Social Media เป็นหลัก

กลุ่มวิเคราะห์ภัยคุกคาม และวิศวกรด้านความปลอดภัยของ Google Play Protection ได้ระบุว่า Tizi สามารถถูกใช้เพื่อจุดประสงค์ ดังต่อไปนี้

ขโมยข้อมูลจากแอพพลิเคชั่น social media ที่มีชื่อเสียงต่างๆ เช่น Facebook,Twitter,Whatsapp, Skype และ LinkedIn เป็นต้น
สามารถบันทึกการสนทนาจาก WhatsApp, Viber และ Skype
สามารถบันทึกภาพหน้าจอโดยไม่แจ้งเตือนผู้ใช้งาน
สามารถส่ง หรือดักข้อความ SMS บนเครื่องเหยื่อ
ส่งข้อมูล GPS ของเครื่องผ่าน SMS ไปยัง C&C
อื่นๆ

วิศวกรจาก Google ยังกล่าวว่า Tizi ถูกพบตั้งแต่กันยายน 2017 จากการสแกนโดยใช้ Google Play Protect ทำให้พบแอพพลิเคชั่นที่มีการติด malware ตัวนี้ถูกลงไว้บนเครื่องของผู้ใช้งาน เมื่อทำการตรวจสอบย้อนหลังพบว่ามีแอพพลิเคชั่นที่ติด malware ตัวนี้ตั้งแต่ปี 2015 ซึ่งทาง Google ได้บล็อกบัญชีผู้พัฒนาแอพพลิเคชั่นดังกล่าว และทำการลบแอพพลิเคชั่นดังกล่าวออกจากเครื่องที่มีการติดตั้งแล้ว จากข้อมูลที่นักวิจัยรวบรวมมาพบว่าผู้ได้รับผลกระทบส่วนใหญ่อยู่ในแอฟริกา และใช้ช่องโหว่เก่าในการโจมตีเครื่อง ทำให้เครื่องที่มีการ patch ตั้งแต่ เมษายน 2016 เป็นต้นมาจะไม่ได้รับผลกระทบจากช่องโหว่ข้างต้น
Google ได้แนะนำขั้นตอนสำหรับการเพิ่มความปลอดภัยบนเครื่อง Android ของตนเอง ดังนี้

1. ตรวจสอบความผิดปกติของสิทธิ์บนแอพพลิเคชั่นที่ได้อนุญาตให้เข้าถึงความสามารถต่างๆบนเครื่อง เช่น เป็นแอพพลิเคชั่น flashlight แต่มีการร้องขอการเข้าถึง SMS บนเครื่อง เป็นต้น
2. เปิดใช้งาน Lock Screen บนเครื่องเพื่อความปลอดภัย
3. Patch เครื่องของตนเองให้เป็นระบบปฏิบัติการล่าสุดอยู่เสมอ
4. ตั้งค่าให้เครื่องแสดงตำแหน่งของตนเอง สำหรับการระบุตำแหน่งของเครื่องได้เมื่อสูญหาย
5. เปิดใช้งาน Google Play Protection เพื่อป้องกันการลงแอพพลิเคชั่นที่มีความเสี่ยง และช่วย Scan เครื่องเพื่อตรวจสอบความปลอดภัย

ที่มา: bleepingcomputer

มัลแวร์ wp-vcd กลับมาอีกครั้ง ผู้ใช้งาน WordPress ควรระมัดระวัง โดยมัลแวร์จะเข้าไปซ่อนตัวในไฟล์ของ WordPress จากนั้นจะเพิ่มผู้ใช้งานให้มีสิทธิ์เป็นผู้ดูแลระบบอย่างลับๆ และเข้าควบคุมเว็ปไซต์ที่ติดมัลแวร์ตัวนี้
Manuel D’Orso นักวิจัยด้านความปลอดภัยของอิตาลีได้ค้นพบมัลแวร์นี้เป็นครั้งแรก โดยพบว่ามัลแวร์ตัวนี้ถูกโหลดเข้ามาโดยการ include ไฟล์ wp-vcd.

แจ้งเตือนการโจมตีผ่านไฟล์เอกสารรูปแบบใหม่ ไม่ต้องใช้มาโครสคริตป์

นักวิจัยด้านความปลอดภัย Etienne Stalmans และ Saif El-Sherei จาก Sensepost ได้เผยแพร่วิธีในการควบคุมการทำงานของไฟล์เอกสารเพื่อให้ดาวโหลดและติดตั้งมัลแวร์รูปแบบใหม่โดยใช้ฟีเจอร์ของ Microsoft Office เรียกว่า Dynamic Data Exchange (DDE)

Dynamic Data Exchange (DDE) นั้นเป็นฟีเจอร์ที่อนุญาตให้ Microsoft Office สามารถเรียกใช้แอปพลิเคชันอื่นได้เพื่อการรับส่งข้อมูลระหว่างกัน โดยในการใช้งาน DDE ในการโจมตีนั้นจะไม่มีการปรากฎถึงคำเตือนด้านความปลอดภัยที่มักจะปรากฎเมื่อใช้งานมาโครสคริปต์ แต่จะมีการปรากฎของการแจ้งเตือนถึงผู้ใช้งานว่าจะมีการเรียกใช้งานโปรแกรมอื่น ซึ่งอ้างอิงจาก Sensepost คำเตือนเหล่านี้ก็สามรถถูกแก้ไขได้ด้วย

วิธีการใช้งาน DDE ในการโจมตีนั้นมีการตรวจพบแล้วโดย Cisco Talos เพื่อการแพร่กระจายมัลแวร์ DNSMessenger

แนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังในการเปิดไฟล์เอกสาร และหากต้องการวิธีในตรวจสอบ แจ้งเตือนและป้องกันการโจมตีในลักษณะนี้สามารถติดต่อไอ-ซีเคียวเพื่อรับคำปรึกษาได้ทันทีครับ

ที่มา : bleepingcomputer , thehackernews

การคุกคามแบบ ATM จะมีความซับซ้อนขึ้นเมื่อเป้าหมายคือเครือข่ายของธนาคาร ไม่ใช่เครื่อง ATM โดยตรง

TrendMicro ได้มีการเผยแพร่บทความเกี่ยวกับความปลอดภัยของระบบ ATM เมื่อสัปดาห์ที่ผ่านมา โดยมีใจความสำคัญของบทความอยู่ที่การแจ้งเตือนผู้ดูแลระบบว่าพฤติกรรมของผู้โจมตีที่มุ่งโจมตีระบบ ATM ทางกายภาพนั้นกำลังจะเปลี่ยนไปเป็นการโจมตีผ่านทางเครือข่ายของธนาคารเพื่อควบคุมการทำงานของ ATM ต่อ

เมื่อมีการการเข้าถึงเครือข่ายของธนาคารและติดตั้ง ATM Malware อย่างสมบูรณ์นั้นหมายความว่าอาชญากรจะไม่ต้องไปที่เครื่อง ATM อีกต่อไป อย่างไรก็ตามการแทรกแซงระบบเครือข่ายจำเป็นต้องมีการลงมือปฏิบัติและความรู้ทางด้านเทคนิคมากกว่าวิธีการเข้าถึงตู้ ATM โดยทั่วไปมากขึ้น เพราะการแทรกแซงระบบนี้มาจากเข้าถึงเครือข่าย ATM จากผ่านทางเครือข่ายธนาคารหลัก

ในโครงสร้างเครือข่ายที่ดีควรแยกเครือข่าย ATM และเครือข่ายหลักของธนาคาร วิธีนี้ทำให้การถูกแทรกแซงเครือข่ายหนึ่งจะไม่ส่งผลกับอีกเครือข่ายอื่น แต่ไม่ใช่ว่าธนาคารทุกที่จะใช้การแบ่งส่วนเครือข่าย บางแห่งได้รายงานว่าถึงแม้จะเครือข่ายทั้งสองจะถูกแยกออกจากกัน แต่อาชญากรก็สามารถแอบสร้างการเชื่อมต่อภายในเครือข่ายหลักของธนาคารเพื่อเชื่อมต่อไปติดตั้ง Malware ในตู้ ATM ของธนาคาร

อาชญากรแทรกซึมเข้าไปในเครือข่ายของธนาคารโดยใช้วิธีง่ายๆในการส่ง Phishing Email ให้กับพนักงานธนาคาร เมื่อเข้ามาแล้วพวกเขาจะทำการสแกนรอบๆระบบเครือข่ายเพื่อค้นหาข้อมูลสำคัญเพื่อระบุและเข้าถึง Subnetworks รวมทั้งเครื่องเอทีเอ็ม

หนึ่งในการโจมตีเครือข่ายที่สำคัญที่สุดคือ Ripper ซึ่งเป็น ATM Malware แรกที่รู้จักกันดี Malware ดังกล่าวเป็นผู้รับผิดชอบการโจมตีเครื่อง ATM นับพันๆเครื่องในประเทศไทยในปี พ.ศ. 2559 Ripper มีความาสามารถในการ Jackpotting ทำให้สามารถจ่ายเงินสดจากเครื่อง ATM ในปริมาณมากจนถึงจุดที่เครื่องว่างเปล่า ลักษณะที่ร้ายกาจอีกอย่างหนึ่งของ Malware นี้ก็คือสามารถทำลายตนเองได้โดยการลบร่องรอยของการทำงานและทำให้การพิสูจน์ตัวตนหลังการติดเชื้อยากขึ้น

ผู้อ่านท่านใดต้องการข้อมูลเพิ่มเติมเกี่ยวกับการป้องกัน สามารถติดต่อไปที่ publicrelations@trendmicro.

McAfee บริษัทด้านความปลอดภัยไซเบอร์ ได้รายงานถึงการเพิ่มขึ้นของ Faceliker อย่างรวดเร็วในช่วงไตรมาสที่ 2 ที่ผ่านมา ซึ่งเป็นเรื่องที่น่าแปลกใจ

Faceliker เป็นมัลแวร์ที่จะทำการเพิ่มยอด like ให้กับ Content ที่ต้องการผ่านการสั่งงาน Javascript (click-jacking) มักจะพบว่าแฝงมากับโปรแกรมส่วนขยาย(Add-on) ของ Browser โดยเฉพาะส่วนขยายของ Chrome โดยผู้ใช้จะถูกล่อลวงให้ไปยังหน้าเว็บไซต์ที่หลอกให้ติดตั้งส่วนขยายเหล่านี้ผ่านทาง E-mail หรือสแปม บน Facebook Messenger ทั้งนี้ Faceliker ไม่ใช่มัลแวร์ใหม่แต่อย่างไร แต่ได้ปรากฎออกมาตั้งแต่ปีที่แล้ว

ผลกระทบจาก Faceliker Malware นั้นไม่มากมายนัก มีเพียงการที่ Page หรือ Post ของผู้ไม่หวังดีจะถูกพบเห็นบน Facebook News Feed ได้ง่ายขึ้นเท่านั้น แต่ก็อาจมีการพัฒนาให้ทำการขโมย Password บน Browser หรือทำการเพิ่มโฆษณาบนหน้าเวปไซต์ที่เข้าใช้งานปกติก็เป็นไปได้ แต่อย่างไรก็ตาม Facebook เองก็ได้คำนึงถึงจุดนี้จึงได้มี Feature ที่ให้ผู้ใช้งานสามารถเข้าไปดู Activity Log ของตนเอง เพื่อตรวจสอบว่ามีพฤติกรรมผิดปกติใดๆที่ตนเองไม่ได้กระทำหรือไม่ (โดยสามารถดูข้อมูลเพิ่มเติมได้จาก https://www.