ในงาน BlackHat USA 2017 ที่ผ่านมา นักวิจัยด้านความปลอดภัยของ SafeBreach ได้นำเสนอมัลแวร์ที่ได้สร้างขึ้นมาทดสอบ ซึ่งมีความสามารถในการขโมยข้อมูลจากเครื่องที่ไม่ได้มีการเชื่อมต่ออินเทอร์เน็ตโดยตรง โดยการใช้ประโยชน์จาก Anti-Virus ที่เมื่อมีการตรวจพบว่ามีการทำงานของโปรแกรมที่ผิดปกติบนเครื่อง Endpoint จะทำการส่งข้อมูลขึ้นไปวิเคราะห์บน Cloud แต่มัลแวร์ตัวนี้จะมีการฝัง Code อีกชุดนึงเอาไว้ เมื่อ Code ชุดนี้ถูก Execute มันจะทำหน้าที่ในการค้นหาเครื่อง Endpoint อื่นๆที่มีการติดต่อกับ Cloud ตัวนี้อยู่ เพื่อทำการขโมยข้อมูล ดังนั้นหากผลิตภัณฑ์ Anti-Virus ใช้ sandbox ที่มีการเชื่อมต่ออินเทอร์เน็ต ก็มีความเป็นไปได้ที่จะใช้วิธีนี้ได้สำเร็จ โดยวิธีการบรรเทาผลกระทบที่ดีที่สุดคือการบล็อก sandbox ไม่ให้มีการติดต่อกับอินเตอร์เน็ต แต่ทั้งนี้ก็จะเป็นการจำกัดความสามารถในการวิเคราะห์มัลแวร์ที่มีพฤติกรรมการติดต่อไปยังเครื่อง C&C ไปในตัวด้วย

ทั้งนี้ได้มีการตั้งชื่อมัลแวร์ตัวนี้ว่า Spacebin และได้มีการเผยแพร่ไว้บน GitHub เรียบร้อยแล้ว ซึ่งมีทั้ง Source Code ทั้งที่เป็นฝั่ง Client Side และ Server Side อย่างไรก็ตามงานวิจัยนี้เป็นเพียงการทดสอบแนวคิดที่นักวิจัยได้คิดค้นขึ้นมาเท่านั้น ไม่ควรนำไปทดสอบภายใต้ระบบที่อาจจะส่งผลกระทบ หรือสร้างความเดือดร้อนแก่ผู้อื่น

ที่มา : securityweek

พบ Banking Trojan ใหม่ชื่อว่า Android.BankBot.211.origin ซึ่งมีฟังก์ชันการทำงานคือ การควบคุมศูนย์กลางการทำงานของ Mobile Devices และขโมยข้อมูลลับของลูกค้าด้วยฟังก์ชันบริการของเครื่องเหยื่อที่สามารถใช้เข้าถึงได้ เมื่อ Trojan ดังกล่าวสามารถฝังตัวเองเข้าไปได้โดยสมบูรณ์แบบ และสั่งรันตัวเองอีกครั้งแล้ว ตัว Trojan จะพยายามทำให้ตัวเองได้สิทธิ์การเข้าถึงข้อมูลผ่านบริการการเข้าถึงต่างๆ Android.

ช่องโหว่นี้อยู่ในส่วนของ Valve's Source SDK ที่เป็น library ที่ช่วยการปรับปรุง mods และฟีเจอร์อื่นๆของเกม ทำให้ผู้ไม่หวังดีสามารถติดตั้ง Malware ที่เป็นอันตรายลงในคอมพิวเตอร์ของผู้ใช้ได้ ช่องโหว่นี้ใช้เทคนิคการโจมตีแบบ Buffer Overflow Source SDK มีไว้เพื่อให้นักพัฒนาอิสระสามารถสร้างส่วนเสริมของเกมได้ แต่ผู้ไม่หวังดีนำไปใช้เพื่อใส่ Exploit Code สำหรับช่องโหว่ที่ค้นพบ ตัวอย่างเช่น ในเกมแนว FPS มีการใส่โค้ดที่ทำให้ผู้เล่นโดนโจมตีอยู่ฝ่ายเดียว

ในช่วงสองสามเดือนที่ผ่านมา Valve ได้พยายามแก้ไขช่องโหว่ใน Source SDK และแจ้งสตูดิโอเกมต่างๆเพื่อปรับปรุงเกมของพวกเขา เช่น CS: GO, TF2, Hl2: DM, Portal 2 และ L4D2 และยังแจ้งเหล่าผู้พัฒนา Mods ให้อัพเดต Steam Source SDK เพื่อความปลอดภัย

นักวิจัยคิดว่าช่องโหว่นี้ไม่ได้กระทบแค่ผู้เล่นเกมทั่วไป แต่บริษัทที่มีการติดตั้งเครื่องเกมในสำนักงานจะมีความเสี่ยงตามไปด้วย ดังนั้นจึงไม่ควรติดตั้งเกมลงในอุปกรณ์ที่ใช้ในการทำงานและไม่ควรใช้ระบบ Network ร่วมกัน การติดตั้ง ASLR ที่ช่วยป้องกัน Buffer Overflow ก็สามารถป้องกันได้ในระดับหนึ่ง และไม่ควรติดตั้ง Mods จากผู้พัฒนาที่ไม่น่าเชื่อถือ

ที่มา : bleepingcomputer

นักวิจัยจาก Kaspersky Lab ได้กล่าวว่าพวกเขามีตัวอย่างของ Nukebot Malware ที่มีเป้าหมายหลักเป็นธุรกิจกลุ่มธนาคารที่มีพฤติกรรมขโมยข้อมูล , รหัสผ่าน Email , รหัสผ่าน Browser โดยทางนักวิจัยได้รวบรวมตัวอย่างมาจากหลายแหล่งซึ่งดูเหมือนจะเป็นเพียงรุ่นทดสอบ บางตัวอย่างที่ Kaspersky Lab ครอบครองอยู่เป็นเพียงรูปแบบข้อความ แต่ตอนนี้นักวิจัยสามารถดึงรูปแบบคำสั่ง , ส่วนควบคุม Addresses , และข้อมูลอื่นๆที่ใช้ในการวิเคราะห์จากมัลแวร์ Nukebot ออกมาได้ แต่ข้อมูลที่ได้มาถูกเข้ารหัสไว้ การเข้ารหัสนี้ทำให้นักวิจัยจำเป็นต้องหาทางดึงคีย์ถอดรหัสออกเพื่อการสร้างค่าสตริง

ในส่วนการโจมตีแบบ Web Injections ต้องเลียนแบบการโต้ตอบกับเซิร์ฟเวอร์ C & C โดย C & C addresses จะหาได้ในขั้นตอนการเริ่มทำงานทำงาน Bot จะส่งคีย์ RC4 ที่ใช้ในการถอดรหัส Injections เราใช้วิธีเลียนแบบ Bot แล้วสามารถรวบรวมการแทรกเว็บจากเซิร์ฟเวอร์จำนวนมากได้

แต่ Nukebot บางรุ่นก็ไม่ได้ใช้ web injections แตใช้การกระจายตัวแบบ Droppers จากนั้น Malware จะดาวน์โหลด Password Recovery Utilities เพื่อใช้ในการเจาะรหัสผ่านมาจากเซิร์ฟเวอร์ระยะไกลภายใต้การควบคุมของผู้โจมตี

threatpost

นักวิจัยจาก Proofpoint เพิ่งค้นพบมัลแวร์ที่เรียกว่า "Ovidiy stealer" ซึ่งมีเป้าหมายหลักคือขโมยรหัสผ่านจากผู้ที่ตกเป็นเหยื่อ เป็นครั้งแรกในรูปแบบที่ขายผ่านระบบออนไลน์ในราคาที่ต่ำซึ่งอยู่ระหว่าง $7 ถึง $13 เหรียญ ซึ่งถูก ขายอยู่ในตลาดรัสเซียและมีเวอร์ชันเป็นจำนวนมาก การวิจัยแสดงให้เห็นว่ามัลแวร์เริ่มเข้ามาในเดือนมิถุนายน ณ ปัจจุบันนักวิจัยได้ตรวจพบเวอร์ชัน 1.0.1 ถึง 1.0.5 Ovidiy มีการวางตลาดในโมดูลต่างๆโดยแต่ละโมดูลมีผลต่อ
อินเทอร์เน็ตเบราเซอร์เฉพาะ ปัจจุบันเบราว์เซอร์ที่โมดูลมัลแวร์ส่งผลกระทบคือ Google Chrome, FileZilla, Kometa, Amigo, Torch, Orbitum และ Opera

การทำงานของมัลแวร์จะถูกแจกจ่ายเป็นไฟล์ลิงก์แนบอีเมล เมื่อสิ่งที่แนบมาหรือไฟล์ที่ติดไวรัสถูกเรียกใช้ มัลแวร์จะถูกเก็บไว้ในไดเรกทอรีของเหยื่อและจะดำเนินการคำสั่งจากไดเร็กทอรี มัลแวร์จะเชื่อมต่อกับศูนย์บัญชาการและควบคุมผ่านทางการเชื่อมต่อ SSL / TLS และใช้โดเมนเดียวกับเว็บไซต์
ตอนนี้เว็บไซต์ดังกล่าวได้นำ ovidiystealer [.] ru ออกเป็นที่เรียบร้อยแล้ว

ที่มา : hackread

นักวิจัยจาก Arbor Networks Security เตือนว่ามีการตรวจพบ malware ตัวใหม่ซึ่งแพร่กระจายผ่าน dropper โดยการโหลด และติดตั้งลงบนระบบจากผู้ใช้งาน ภัยคุกคามครั้งใหม่นี้มีความเกี่ยวข้องกับ command and control (C&C) servers ซึ่งถูกใช้งานโดย Flokibot ซึ่งเป็นส่วนหนึ่งใน campaign ที่มีเป้าหมายเป็นประเทศ Brazil โดยเป็นที่เชื่อกันว่า malware ตัวนี้ถูก compile ในช่วงปลายเดือนมิถุนายนที่ผ่านมา และใช้ dropper ในการเข้าสู่ตัว explorer.

บริษัทความปลอดภัย Darktrace ระบุว่าเริ่มค้นพบมัลแวร์รูปแบบใหม่ๆ ที่นำเทคนิคด้าน AI มาใช้งาน เพื่อให้มัลแวร์สามารถเรียนรู้สภาพแวดล้อม และปลอมตัวได้เนียนกว่าเดิม

Nicole Eagan ซีอีโอของ Darktrace กล่าวว่ามัลแวร์กลุ่มนี้จะปรับพฤติกรรมไปเรื่อยๆ เพื่อให้อยู่ในระบบโดยไม่ถูกตรวจจับได้นานที่สุดเท่าที่จะทำได้ อย่างไรก็ตาม มัลแวร์กลุ่มนี้ยังไม่ได้มีศักยภาพด้าน AI เต็มขั้น แต่ก็เริ่มหยิบบางส่วนมาใช้งาน

อีกประเด็นที่น่าสนใจคือมัลแวร์เหล่านี้ถูกพบในประเทศกำลังพัฒนา มากกว่าประเทศพัฒนาแล้ว เนื่องจากบริษัทยักษ์ใหญ่ในประเทศพัฒนาแล้วมีระบบป้องกันทางไอทีที่เข้มแข็งกว่า ส่งผลให้แฮ็กเกอร์หันไปทดสอบมัลแวร์ของตัวเองในประเทศที่ไม่ได้สนใจความปลอดภัยไซเบอร์มากนัก ตัวอย่างที่โด่งดังคือ การแฮ็กธนาคารกลางของบังกลาเทศ ที่ในภายหลัง Symantec พบการโจมตีรูปแบบเดียวกัน ถูกใช้ในอีก 31 ประเทศ

ที่มา : BLOGNONE

Malware as a Service เป็นบริการสำหรับที่ใครอยากจะเป็นเจ้าของ malware โดยไม่สามารถเขียนเองได้ โดยบริการดังกล่าวจะมีให้ทั้ง panel ในการควบคุม malware, วิธีการส่ง spam, วิธีการสร้าง malware และอื่นๆ ซึ่งได้รับความนิยมมาหลายปีแล้ว

นักวิจัยได้พบ webiste ที่ชื่อว่า MacSpy มีการให้บริการแบบ Malware as a Service สำหรับการสร้าง malware ใน MacOS และอีกเว็บไซด์หนึ่งคือ MacRansom โดยเป็นการให้บริการแบบ Ransomware as a Service ใน MacOS เช่นกัน โดยทั้ง 2 เว็บไซด์เป็นการให้บริการอยู่ใน Dark Web ซึ่งเป็นเว็บไซด์ที่ล้วนแล้วแต่เป็นแหล่งหาที่มาไม่ได้

เว็บไซด์ทั้ง 2 เปิดให้บริการมาตั้งแต่วันที่ 25 พค. 2017 และถูกพบโดย reporter ขณะทำการ scan Dark Web โดยเว็บไซด์ทั้ง 2 เป็นผู้พัฒนาเดียวกัน โดยดูจากเว็บไซด์ที่ถูกสร้างขึ้นนั้นเหมือนกันมาก
ตอนนี้ทาง Fortinet และ ClientVault ได้ทำการแงะ malware จากเว็บไซด์ทั้ง 2 เรียบร้อยแล้ว โดยจากการวิเคราะห์สรุปเป็นดังนี้

MacRansom
- ผู้เขียน MacRansom จำเป็นต้องอนุญาต client แต่ละคนเอง, ทั้งต้องต่อรองค่าธรรมเนียมเอง และต้องทำ ransomware sample ให้เองในแต่ละครั้ง ซึ่งดูไม่ตรงจุดประสงค์ของการให้บริการแบบ RaaS ซักเท่าไหร่
- Ransomware เป็นการใช้งาน symmetric key ในการเข้ารหัส ซึ่งมีการฝัง key สำหรับการเข้ารหัสอยู่ใน source code ด้วย
- หนึ่งใน key ที่ใช้ในการเข้ารหัสเป็นการทำงานด้วยเลขที่สุ่มมาและถูกทิ้งไว้ใน memory หลังจากที่เข้ารหัสเสร็จ
- Ransomware ไม่มีการคุยกับ C&C Server นั่นหมายความว่าผู้เขียน Ransomware ไม่สามารถถอดรหัสไฟล์ได้
- Ransomware ไม่มีการใช้งานหน้าเว็บเพจการจ่ายเงินผ่าน Tor ซึ่งทำให้ user จำเป็นต้องติดต่อกับคนให้บริการเพื่อจ่ายเงินและรับ key การถอดรหัสผ่าน email แทน
- Ransomware file ไม่มีการใช้ signed ใดๆ นั่นหมายความว่าจะมีการแจ้งเตือน เมื่อมีการรัน MacOS Installation

MacSpy
- ผู้เขียน MacSpy มีการ copy code มาจาก Stack Overflow
- Spyware payload ไม่ได้มีการใช้ signed ใดๆ นั่นหมายความว่าจะมีการแจ้งเตือน เมื่อมีการรัน MacOS Installation

จากทั้งหมดทั้งมวล MacSpy น่าจะเขียนได้ดีกว่านี้ แต่ user น่าจะกลัว MacRansom มากกว่า เพราะ Ransomware มีผลกระทบกับไฟล์ของ user ทั้งนี้ยังไม่พบว่ามีการนำไฟล์ malware ทั้ง 2 ไปใช้ในการโจมตีเหตุการณ์ใดๆ
Ruben Dodge ซึ่งเป็นนักข่าวทางด้านความปลอดภัยกล่าวว่า Malware นั้นไม่ดูซับซ้อนแต่อย่างใด สามารถเช็คได้จาก Virtual Machine แต่จากงานวิจัยพบว่าตลาดของ Malware ใน Mac นั้นโตขึ้นอย่างต่อเนื่อง

ที่มา : bleepingcomputer

IBM Storwize เป็น Storage สำหรับองค์กร โดยมีหลากหลายรุ่นให้เลือกใช้ ซึ่งจำเป็นต้องมีการ setup configuration ผ่าน computer ด้วย ซึ่งการ setup configuration นั้นจะกระทำผ่าน USB ที่แนบมาให้ด้วย แต่ล่าสุดพบว่า USB ที่แนบมาด้วยนั้นมีการฝัง malware มาด้วย
ถือว่าความเชื่อถือของ Lenovo กลับมาถูกทำลายอีกครั้งหลังจากพบว่า USB Flash drive ที่เป็นเครื่องมือสำหรับการ setup การเริ่มต้น (initialization tool) ที่มากับ IBM Storwize สำหรับ Lenovo V3500, V3700 และ V5000 Gen 1 storage system พบว่ามีไฟล์ที่ malicious code ฝังอยู่

เมื่อ initialization tool รันจาก USB ใน Computer เพื่อเริ่ม configuration ตัวเครื่องมือจะ copy ตัวเองไปใน folder ชั่วคราวบน Hard drive ของ Desktop ซึ่งทำให้มีการ copy malicious file เข้าไปใน folder ชั่วคราวนั้นด้วย ซึ่งไฟล์นั้นๆจะไม่ถูกรันโดยตัวเครื่องมือ setup เอง ยกเว้นว่า user จะเป็นคนกดรันเอง
ทาง Lenovo แนะนำให้ทำการทำลาย USB flash drive ทันที จากนั้นให้ติดต่อ Lenovo เพื่อขอ USB flash drive ใหม่ หรือไม่ก็ download Initialization tool package จาก Lenovo Support ได้เลย (https://www.

เมื่อวันที่ 19 ตุลาคม 2558 ทีมวิจัยด้านระบบรักษาความปลอดภัยของ pcworld.com ได้ค้นพบโปรแกรมเว็บเบราว์เซอร์มัลแวร์ที่เลียนแบบอินเทอร์เฟซของ Chrome โดยชื่อของมันก็คือ “eFast Browser” ซึ่งมันจะติดตั้งและทำงานแทนที่ Chrome อย่างแนบเนียน นอกจากนี้มันยังทำให้ตัวเองเป็นโปรแกรมหลักสำหรับเปิดไฟล์ต่างๆ เช่น HTML, JPG, PDF และ GIF รวมทั้งขโมยข้อมูลต่างๆ แม้ขณะเปิด URL ที่เป็น HTTP, HTTPS และ MAILTO
eFast Browser จะแอบติดตั้งในเครื่องคอมพิวเตอร์ด้วยการแฝงตัวมากับไฟล์ติดตั้งของโปรแกรมอื่นๆ ซึ่งผู้ใช้มักจะติดตั้งมันไปด้วยโดยไม่รู้ตัว สำหรับวิธีการเช็กว่าเว็บเบราว์เซอร์ที่ใช้งานอยู่เป็น Chrome หรือ eFast Browser นั้นสามารถเข้าไปเช็กได้ที่ Settings > About โดยจะมีชื่อโปรแกรมที่แท้จริงระบุเอาไว้ชัดเจน ส่วนวิธีการลบโปรแกรม eFast Browser นั้นสามารถถอนการติดตั้งได้เช่นเดียวกับโปรแกรมอื่นๆ ทั่วไป

ที่มา : PCWorld