HackRead ประกาศแจ้งเตือนผู้ใช้งานหลังจากตรวจพบการหลอกลวงในลักษณะใหม่ซึ่งอาศัยการโจมตีพฤติกรรมของผู้ใช้งานร่วมกับการใช้ Google AdWords

Google AdWords คือบริการโฆษณาออนไลน์ที่ช่วยโปรโมทโฆษณาให้ผู้ใช้หากมีการจ่ายเงินให้ Google เพื่อแสดงโฆษณาในช่องโฆษณาที่โดดเด่นในระหว่างผลลัพธ์ของเครื่องมือค้นหา ตัวอย่างเช่นหากผู้ใช้ค้นหาด้วย Google โดยใช้คำว่า "ดาวน์โหลด Antivirus" ช่องด้านบนจะแสดงโฆษณา ในบางกรณีผลการค้นหาสี่อันดับแรกจะแสดงโฆษณาที่จ่ายโดยคนหรือ บริษัท เพื่อให้ได้ยอดขายหรือการเข้าชมอย่างรวดเร็ว

เมื่อคลิกที่ "ดาวน์โหลด Chrome" ผู้ใช้จะถูกนำไปที่ลิงก์ Google โหลดไฟล์มีชื่อว่า ChromeSetup.

MalwareBytes เผยเทคนิคสคริปต์ขุดบิทคอยน์ที่ทำงานได้แม้จะปิดโปรแกรมเบราว์เซอร์ไปแล้ว

Jérôme Segura นักวิเคราะห์มัลแวร์จาก MalwareBytes ได้มีการเผยแพร่ผลการวิเคราะห์มัลแวร์รวมไปถึงเทคนิคใหม่ที่มัลแวร์ขุดบิทคอยน์ใช้งานเพื่อให้มัลแวร์สามารถทำงานได้แม้ผู้ใช้งานจะมีการปิดโปรแกรมเว็บเบราว์เซอร์ไปแล้ว

โดยปกตินั้นมัลแวร์ขุดบิทคอยน์หรือขุดสกุลเงินดิจิตอลอื่นๆ นั้นอาศัยจังหวะที่ผู้ใช้งานเปิดหน้าเว็บไซต์ที่มีสคริปต์อันตรายฝังอยู่ซึ่งจะเริ่มทำการขุดทันที ส่งผลให้ระบบของผู้ใช้นั้นช้าลงเนื่องจากทรัพยากรของระบบส่วนใหญ่ถูกใช้โดยไปโดยมัลแวร์ อย่างไรก็ตามหากผู้ใช้งานทำการปิดหน้าเพจของเว็บไซต์ที่มีการฝังสคริปต์อันตรายนั้นไปหรือทำการปิดโปรแกรมเว็บเบราว์เซอร์ สคริปต์อันตรายดังกล่าวก็จะถูกหยุดการทำงาน

อย่างไรก็ตาม Segura ค้นพบว่า มัลแวร์ขุดบิทคอยน์มีการใช้งานฟีเจอร์ของเว็บเบราว์เซอร์ฟีเจอร์หนึ่งชื่อ Pop-under โดยฟีเจอร์ดังกล่าวนั้นมักถูกใช้งานในการแสดงโฆษณาโดยบังคับให้มีการเรียกโฆษณาขึ้นมาและซ่อนการแสดงผลโฆษณาดังกล่าวไว้เบื้องหลังไม่ให้ผู้ใช้งานเห็นในทันที

สิ่งที่มัลแวร์ทำนั้นคือเมื่อผู้ใช้งานทำการคลิกที่จุดใดๆ ของเว็บเพจ (จำเป็นต้องมีการคลิกก่อนเนื่องจากเบราว์เซอร์รุ่นใหม่บังคับให้การใช้งาน Pop-under จำเป็นต้องมี user interaction) สคริปต์จะทำการสร้างหน้าต่างใหม่เบื้องหลังหน้าเว็บเพจนั้น และทำการแก้ไขขนาดของหน้าต่างใหม่ให้สามารถซ่อนอยู่เบื้องหลังของ taskbar บริเวณขอบขวาล่างของหน้าจอทันทีโดยที่ผู้ใช้งานไม่ทันสังเกต

Recommendation

MalwareBytes แนะนำให้ผู้ใช้งานตรวจสอบการทำงานของแต่ละโปรเซสหากพบอาการของระบบที่ผิดปกติ และถ้าเจอโปรเซสใดโปรเซสหนึ่งของระบบที่มีการใช้งานทรัพยากรที่ผิดปกติ ให้ดำเนินการปิดทันที เพราะโปรเซสดังกล่าวอาจเป็นโปรเซสที่เกี่ยวข้องกับหน้าต่างที่ซ่อนอยู่ก็เป็นไปได้

ที่มา : thehackernews , malwarebytes

ทีมความปลอดภัยจาก Google พบ Adroid Malware ตัวใหม่ชื่อว่า Tizi ซึ่งถูกใช้กับเป้าหมายในประเทศแถบแอฟริกา ถูกจัดให้อยู่ในหมวด Spyware ซึ่งทาง Google บอกว่า malware ตัวนี้มีความสามารถหลากหลาย แต่จะมุ่งเน้นไปในส่วนของแอพพลิเคชั่น และกิจกรรมบนเครื่องที่เกี่ยวข้องกับ Social Media เป็นหลัก

กลุ่มวิเคราะห์ภัยคุกคาม และวิศวกรด้านความปลอดภัยของ Google Play Protection ได้ระบุว่า Tizi สามารถถูกใช้เพื่อจุดประสงค์ ดังต่อไปนี้

ขโมยข้อมูลจากแอพพลิเคชั่น social media ที่มีชื่อเสียงต่างๆ เช่น Facebook,Twitter,Whatsapp, Skype และ LinkedIn เป็นต้น
สามารถบันทึกการสนทนาจาก WhatsApp, Viber และ Skype
สามารถบันทึกภาพหน้าจอโดยไม่แจ้งเตือนผู้ใช้งาน
สามารถส่ง หรือดักข้อความ SMS บนเครื่องเหยื่อ
ส่งข้อมูล GPS ของเครื่องผ่าน SMS ไปยัง C&C
อื่นๆ

วิศวกรจาก Google ยังกล่าวว่า Tizi ถูกพบตั้งแต่กันยายน 2017 จากการสแกนโดยใช้ Google Play Protect ทำให้พบแอพพลิเคชั่นที่มีการติด malware ตัวนี้ถูกลงไว้บนเครื่องของผู้ใช้งาน เมื่อทำการตรวจสอบย้อนหลังพบว่ามีแอพพลิเคชั่นที่ติด malware ตัวนี้ตั้งแต่ปี 2015 ซึ่งทาง Google ได้บล็อกบัญชีผู้พัฒนาแอพพลิเคชั่นดังกล่าว และทำการลบแอพพลิเคชั่นดังกล่าวออกจากเครื่องที่มีการติดตั้งแล้ว จากข้อมูลที่นักวิจัยรวบรวมมาพบว่าผู้ได้รับผลกระทบส่วนใหญ่อยู่ในแอฟริกา และใช้ช่องโหว่เก่าในการโจมตีเครื่อง ทำให้เครื่องที่มีการ patch ตั้งแต่ เมษายน 2016 เป็นต้นมาจะไม่ได้รับผลกระทบจากช่องโหว่ข้างต้น
Google ได้แนะนำขั้นตอนสำหรับการเพิ่มความปลอดภัยบนเครื่อง Android ของตนเอง ดังนี้

1. ตรวจสอบความผิดปกติของสิทธิ์บนแอพพลิเคชั่นที่ได้อนุญาตให้เข้าถึงความสามารถต่างๆบนเครื่อง เช่น เป็นแอพพลิเคชั่น flashlight แต่มีการร้องขอการเข้าถึง SMS บนเครื่อง เป็นต้น
2. เปิดใช้งาน Lock Screen บนเครื่องเพื่อความปลอดภัย
3. Patch เครื่องของตนเองให้เป็นระบบปฏิบัติการล่าสุดอยู่เสมอ
4. ตั้งค่าให้เครื่องแสดงตำแหน่งของตนเอง สำหรับการระบุตำแหน่งของเครื่องได้เมื่อสูญหาย
5. เปิดใช้งาน Google Play Protection เพื่อป้องกันการลงแอพพลิเคชั่นที่มีความเสี่ยง และช่วย Scan เครื่องเพื่อตรวจสอบความปลอดภัย

ที่มา: bleepingcomputer

มัลแวร์ wp-vcd กลับมาอีกครั้ง ผู้ใช้งาน WordPress ควรระมัดระวัง โดยมัลแวร์จะเข้าไปซ่อนตัวในไฟล์ของ WordPress จากนั้นจะเพิ่มผู้ใช้งานให้มีสิทธิ์เป็นผู้ดูแลระบบอย่างลับๆ และเข้าควบคุมเว็ปไซต์ที่ติดมัลแวร์ตัวนี้
Manuel D’Orso นักวิจัยด้านความปลอดภัยของอิตาลีได้ค้นพบมัลแวร์นี้เป็นครั้งแรก โดยพบว่ามัลแวร์ตัวนี้ถูกโหลดเข้ามาโดยการ include ไฟล์ wp-vcd.

แจ้งเตือนการโจมตีผ่านไฟล์เอกสารรูปแบบใหม่ ไม่ต้องใช้มาโครสคริตป์

นักวิจัยด้านความปลอดภัย Etienne Stalmans และ Saif El-Sherei จาก Sensepost ได้เผยแพร่วิธีในการควบคุมการทำงานของไฟล์เอกสารเพื่อให้ดาวโหลดและติดตั้งมัลแวร์รูปแบบใหม่โดยใช้ฟีเจอร์ของ Microsoft Office เรียกว่า Dynamic Data Exchange (DDE)

Dynamic Data Exchange (DDE) นั้นเป็นฟีเจอร์ที่อนุญาตให้ Microsoft Office สามารถเรียกใช้แอปพลิเคชันอื่นได้เพื่อการรับส่งข้อมูลระหว่างกัน โดยในการใช้งาน DDE ในการโจมตีนั้นจะไม่มีการปรากฎถึงคำเตือนด้านความปลอดภัยที่มักจะปรากฎเมื่อใช้งานมาโครสคริปต์ แต่จะมีการปรากฎของการแจ้งเตือนถึงผู้ใช้งานว่าจะมีการเรียกใช้งานโปรแกรมอื่น ซึ่งอ้างอิงจาก Sensepost คำเตือนเหล่านี้ก็สามรถถูกแก้ไขได้ด้วย

วิธีการใช้งาน DDE ในการโจมตีนั้นมีการตรวจพบแล้วโดย Cisco Talos เพื่อการแพร่กระจายมัลแวร์ DNSMessenger

แนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังในการเปิดไฟล์เอกสาร และหากต้องการวิธีในตรวจสอบ แจ้งเตือนและป้องกันการโจมตีในลักษณะนี้สามารถติดต่อไอ-ซีเคียวเพื่อรับคำปรึกษาได้ทันทีครับ

ที่มา : bleepingcomputer , thehackernews

การคุกคามแบบ ATM จะมีความซับซ้อนขึ้นเมื่อเป้าหมายคือเครือข่ายของธนาคาร ไม่ใช่เครื่อง ATM โดยตรง

TrendMicro ได้มีการเผยแพร่บทความเกี่ยวกับความปลอดภัยของระบบ ATM เมื่อสัปดาห์ที่ผ่านมา โดยมีใจความสำคัญของบทความอยู่ที่การแจ้งเตือนผู้ดูแลระบบว่าพฤติกรรมของผู้โจมตีที่มุ่งโจมตีระบบ ATM ทางกายภาพนั้นกำลังจะเปลี่ยนไปเป็นการโจมตีผ่านทางเครือข่ายของธนาคารเพื่อควบคุมการทำงานของ ATM ต่อ

เมื่อมีการการเข้าถึงเครือข่ายของธนาคารและติดตั้ง ATM Malware อย่างสมบูรณ์นั้นหมายความว่าอาชญากรจะไม่ต้องไปที่เครื่อง ATM อีกต่อไป อย่างไรก็ตามการแทรกแซงระบบเครือข่ายจำเป็นต้องมีการลงมือปฏิบัติและความรู้ทางด้านเทคนิคมากกว่าวิธีการเข้าถึงตู้ ATM โดยทั่วไปมากขึ้น เพราะการแทรกแซงระบบนี้มาจากเข้าถึงเครือข่าย ATM จากผ่านทางเครือข่ายธนาคารหลัก

ในโครงสร้างเครือข่ายที่ดีควรแยกเครือข่าย ATM และเครือข่ายหลักของธนาคาร วิธีนี้ทำให้การถูกแทรกแซงเครือข่ายหนึ่งจะไม่ส่งผลกับอีกเครือข่ายอื่น แต่ไม่ใช่ว่าธนาคารทุกที่จะใช้การแบ่งส่วนเครือข่าย บางแห่งได้รายงานว่าถึงแม้จะเครือข่ายทั้งสองจะถูกแยกออกจากกัน แต่อาชญากรก็สามารถแอบสร้างการเชื่อมต่อภายในเครือข่ายหลักของธนาคารเพื่อเชื่อมต่อไปติดตั้ง Malware ในตู้ ATM ของธนาคาร

อาชญากรแทรกซึมเข้าไปในเครือข่ายของธนาคารโดยใช้วิธีง่ายๆในการส่ง Phishing Email ให้กับพนักงานธนาคาร เมื่อเข้ามาแล้วพวกเขาจะทำการสแกนรอบๆระบบเครือข่ายเพื่อค้นหาข้อมูลสำคัญเพื่อระบุและเข้าถึง Subnetworks รวมทั้งเครื่องเอทีเอ็ม

หนึ่งในการโจมตีเครือข่ายที่สำคัญที่สุดคือ Ripper ซึ่งเป็น ATM Malware แรกที่รู้จักกันดี Malware ดังกล่าวเป็นผู้รับผิดชอบการโจมตีเครื่อง ATM นับพันๆเครื่องในประเทศไทยในปี พ.ศ. 2559 Ripper มีความาสามารถในการ Jackpotting ทำให้สามารถจ่ายเงินสดจากเครื่อง ATM ในปริมาณมากจนถึงจุดที่เครื่องว่างเปล่า ลักษณะที่ร้ายกาจอีกอย่างหนึ่งของ Malware นี้ก็คือสามารถทำลายตนเองได้โดยการลบร่องรอยของการทำงานและทำให้การพิสูจน์ตัวตนหลังการติดเชื้อยากขึ้น

ผู้อ่านท่านใดต้องการข้อมูลเพิ่มเติมเกี่ยวกับการป้องกัน สามารถติดต่อไปที่ publicrelations@trendmicro.

McAfee บริษัทด้านความปลอดภัยไซเบอร์ ได้รายงานถึงการเพิ่มขึ้นของ Faceliker อย่างรวดเร็วในช่วงไตรมาสที่ 2 ที่ผ่านมา ซึ่งเป็นเรื่องที่น่าแปลกใจ

Faceliker เป็นมัลแวร์ที่จะทำการเพิ่มยอด like ให้กับ Content ที่ต้องการผ่านการสั่งงาน Javascript (click-jacking) มักจะพบว่าแฝงมากับโปรแกรมส่วนขยาย(Add-on) ของ Browser โดยเฉพาะส่วนขยายของ Chrome โดยผู้ใช้จะถูกล่อลวงให้ไปยังหน้าเว็บไซต์ที่หลอกให้ติดตั้งส่วนขยายเหล่านี้ผ่านทาง E-mail หรือสแปม บน Facebook Messenger ทั้งนี้ Faceliker ไม่ใช่มัลแวร์ใหม่แต่อย่างไร แต่ได้ปรากฎออกมาตั้งแต่ปีที่แล้ว

ผลกระทบจาก Faceliker Malware นั้นไม่มากมายนัก มีเพียงการที่ Page หรือ Post ของผู้ไม่หวังดีจะถูกพบเห็นบน Facebook News Feed ได้ง่ายขึ้นเท่านั้น แต่ก็อาจมีการพัฒนาให้ทำการขโมย Password บน Browser หรือทำการเพิ่มโฆษณาบนหน้าเวปไซต์ที่เข้าใช้งานปกติก็เป็นไปได้ แต่อย่างไรก็ตาม Facebook เองก็ได้คำนึงถึงจุดนี้จึงได้มี Feature ที่ให้ผู้ใช้งานสามารถเข้าไปดู Activity Log ของตนเอง เพื่อตรวจสอบว่ามีพฤติกรรมผิดปกติใดๆที่ตนเองไม่ได้กระทำหรือไม่ (โดยสามารถดูข้อมูลเพิ่มเติมได้จาก https://www.

Sonic Drive-In ร้านอาหารฟาสต์ฟู้ดที่มีชื่อเสียงและมีสาขาหลายแห่งในสหรัฐอเมริกา ถูกเข้าถึงระบบการชำระเงินภายในร้าน ข้อมูลบัตรเครดิตและเดบิตของลูกค้าถูกขโมยมากกว่า 1 ล้านราย และพบว่าข้อมูลดังกล่าวถูกนำไปขายในตลาดใต้ดิน ซึ่งสถาบันการเงินหลายแห่งได้สังเกตเห็นพฤติกรรมการทำธุรกรรมที่ดูผิดปกติของบัตรที่มีการใช้งานที่ Sonic Drive-In มาก่อน ทั้งนั้คาดว่าผู้โจมตีน่าจะใช้ Point-of-Sale(PoS) มัลแวร์ ในการโจรกรรมข้อมูลจากสาขาต่างๆ โดยปัจจุบัน Sonic Drive-In มีสาขาอยู่ประมาณ 3,600 สาขา ใน 45 รัฐทั่วสหรัฐอเมริกา

ที่มา : krebsonsecurity

แจ้งเตือน Locky สายพันธุ์ใหม่ เข้ารหัสพร้อมนามสกุล "ykcol"

Fortinet ออกประกาศแจ้งเตือนการแพร่กระจายของมัลแวร์เรียกค่าไถ่ Locky สายพันธุใหม่ซึ่งมีจุดแตกต่างสำคัญคือมีการเปลี่ยนนามสกุลของไฟล์ที่ถูกเข้ารหัสเป็น ".ykcol"

การแพร่กระจายของ Locky ในรอบนี้นั้นมีลักษณะที่แตกต่างกันถึง 6 แบบ โดยทั้งหมดยังคงใช้วิธีการแพร่กระจายผ่านทางอีเมลพร้อมไฟล์แนบนามสกุล .7z และ .rar โดยไฟล์ดังกล่าวเมื่อถูกเปิดออกจะทำการเรียกไปยังเว็บไซต์ที่ถูกแฮกเพื่อแพร่กระจายมัลแวร์เพื่อดาวโหลดไฟล์มัลแวร์ อ้างอิงจากข้อมูลของ Fortinet ผู้ที่ได้รับกระทบในตอนนี้มีมากที่สุดถึง 3000 รายในสหรัฐฯ Locky ในเวอร์ชันนี้เรียกร้องค่าไถ่ 0.25 BTC หรือประมาณ 1,000 ดอลลาร์สหรัฐฯ

ในปี 2017 นี้มีการตรวจพบ Locky ทั้งหมด 4 สายพันธุ์แล้วด้วยกันคือ .loptr, .diablo6, lukitus และล่าสุด .ykcol

Recommendation แนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อเปิดไฟล์แนบจากอีเมลหรือคลิกลิงค์ใดๆ จากอีเมล สำหรับผู้ดูแลระบบ แนะนำให้ตรวจสอบลิงค์สำหรับดาวโหลดมัลแวร์ในแหล่งที่มาและดำเนินการบล็อคการเข้าถึงลิงค์ดังกล่าวโดยทันที

ที่มา : blog.

ทีมนักวิจัยด้านความปลอดภัยจาก Check Point ได้มีการเปิดเผยเทคนิคของมัลแวร์ชนิดใหม่ "Bashware" ซึ่งใช้ในการหลบเลี่ยงการตรวจจับจากระบบตรวจจับและป้องกันต่างๆ ที่ติดตั้งไว้บนเครื่อง เทคนิคนี้อาศัยฟีเจอร์ Subsystem for Linux (WSL) ซึ่งพึ่งมีการเปิดตัวใน Windows 10

ฟีเจอร์ Subsytem for Linux (WSL) เป็นฟีเจอร์ที่ทำให้ผู้ใช้งานบนระบบปฏิบัติการ Windows 10 สามารถรันโปรแกรมและดำเนินการต่างๆ ได้เสมือนกับการดำเนินการบนระบบปฏิบัติการลินุกซ์ ฟีเจอร์ WSL นี้ใช้รูปแบบของการแชร์การทำงานบนระบบปฏิบัติการเดียวกันแทนที่จะเป็นการใช้เทคโนโลยีจำลองการทำงาน (virtualization) ซึ่งทำให้ใช้ทรัพยากรของระบบน้อยกว่าวิธีการจำลองการทำงานเยอะมาก

เทคนิค Bashware นี้ อาศัยฟีเจอร์ WSL ในการติดตั้งโปรแกรม เช่น wine ซึ่งทำให้โปรแกรมแบบ executable บนวินโดวส์ (นามสกุล .EXE) สามารถรันบนสภาพแวดล้อมของลินุกซ์ได้ หลังจากนั้นจึงใช้ wine ในการรันไฟล์ที่เป็นอันตราย จากการทดสอบของ Check Point นั้นแสดงให้เห็นอย่างชัดเจนว่าระบบป้องกันบางระบบนั้นไม่สามารถตรวจหาการรันของโปรแกรมที่เป็นอันตรายซึ่งถูกรันอยู่ภายใต้ฟีเจอร์ WSL ได้
Recommendation แม้ว่าฟีเจอร์ WSL จะไม่ได้มีการเปิดการทำงานเป็นค่าเริ่มต้น แต่ผู้โจมตีก็สามารถเปิดฟีเจอร์ดังกล่าวได้อัตโนมัติ ดังนั้นการป้องกันที่ดีที่สุดคือการไม่ติดตั้งไฟล์ที่อันตรายหรือต้องสงสัยซึ่งเป็นต้นเหตุของการแพร่กระจายของมัลแวร์จะเป็นการดีที่สุด

ที่มา : checkpoint