Malware as a Service เป็นบริการสำหรับที่ใครอยากจะเป็นเจ้าของ malware โดยไม่สามารถเขียนเองได้ โดยบริการดังกล่าวจะมีให้ทั้ง panel ในการควบคุม malware, วิธีการส่ง spam, วิธีการสร้าง malware และอื่นๆ ซึ่งได้รับความนิยมมาหลายปีแล้ว

นักวิจัยได้พบ webiste ที่ชื่อว่า MacSpy มีการให้บริการแบบ Malware as a Service สำหรับการสร้าง malware ใน MacOS และอีกเว็บไซด์หนึ่งคือ MacRansom โดยเป็นการให้บริการแบบ Ransomware as a Service ใน MacOS เช่นกัน โดยทั้ง 2 เว็บไซด์เป็นการให้บริการอยู่ใน Dark Web ซึ่งเป็นเว็บไซด์ที่ล้วนแล้วแต่เป็นแหล่งหาที่มาไม่ได้

เว็บไซด์ทั้ง 2 เปิดให้บริการมาตั้งแต่วันที่ 25 พค. 2017 และถูกพบโดย reporter ขณะทำการ scan Dark Web โดยเว็บไซด์ทั้ง 2 เป็นผู้พัฒนาเดียวกัน โดยดูจากเว็บไซด์ที่ถูกสร้างขึ้นนั้นเหมือนกันมาก
ตอนนี้ทาง Fortinet และ ClientVault ได้ทำการแงะ malware จากเว็บไซด์ทั้ง 2 เรียบร้อยแล้ว โดยจากการวิเคราะห์สรุปเป็นดังนี้

MacRansom
- ผู้เขียน MacRansom จำเป็นต้องอนุญาต client แต่ละคนเอง, ทั้งต้องต่อรองค่าธรรมเนียมเอง และต้องทำ ransomware sample ให้เองในแต่ละครั้ง ซึ่งดูไม่ตรงจุดประสงค์ของการให้บริการแบบ RaaS ซักเท่าไหร่
- Ransomware เป็นการใช้งาน symmetric key ในการเข้ารหัส ซึ่งมีการฝัง key สำหรับการเข้ารหัสอยู่ใน source code ด้วย
- หนึ่งใน key ที่ใช้ในการเข้ารหัสเป็นการทำงานด้วยเลขที่สุ่มมาและถูกทิ้งไว้ใน memory หลังจากที่เข้ารหัสเสร็จ
- Ransomware ไม่มีการคุยกับ C&C Server นั่นหมายความว่าผู้เขียน Ransomware ไม่สามารถถอดรหัสไฟล์ได้
- Ransomware ไม่มีการใช้งานหน้าเว็บเพจการจ่ายเงินผ่าน Tor ซึ่งทำให้ user จำเป็นต้องติดต่อกับคนให้บริการเพื่อจ่ายเงินและรับ key การถอดรหัสผ่าน email แทน
- Ransomware file ไม่มีการใช้ signed ใดๆ นั่นหมายความว่าจะมีการแจ้งเตือน เมื่อมีการรัน MacOS Installation

MacSpy
- ผู้เขียน MacSpy มีการ copy code มาจาก Stack Overflow
- Spyware payload ไม่ได้มีการใช้ signed ใดๆ นั่นหมายความว่าจะมีการแจ้งเตือน เมื่อมีการรัน MacOS Installation

จากทั้งหมดทั้งมวล MacSpy น่าจะเขียนได้ดีกว่านี้ แต่ user น่าจะกลัว MacRansom มากกว่า เพราะ Ransomware มีผลกระทบกับไฟล์ของ user ทั้งนี้ยังไม่พบว่ามีการนำไฟล์ malware ทั้ง 2 ไปใช้ในการโจมตีเหตุการณ์ใดๆ
Ruben Dodge ซึ่งเป็นนักข่าวทางด้านความปลอดภัยกล่าวว่า Malware นั้นไม่ดูซับซ้อนแต่อย่างใด สามารถเช็คได้จาก Virtual Machine แต่จากงานวิจัยพบว่าตลาดของ Malware ใน Mac นั้นโตขึ้นอย่างต่อเนื่อง

ที่มา : bleepingcomputer

IBM Storwize เป็น Storage สำหรับองค์กร โดยมีหลากหลายรุ่นให้เลือกใช้ ซึ่งจำเป็นต้องมีการ setup configuration ผ่าน computer ด้วย ซึ่งการ setup configuration นั้นจะกระทำผ่าน USB ที่แนบมาให้ด้วย แต่ล่าสุดพบว่า USB ที่แนบมาด้วยนั้นมีการฝัง malware มาด้วย
ถือว่าความเชื่อถือของ Lenovo กลับมาถูกทำลายอีกครั้งหลังจากพบว่า USB Flash drive ที่เป็นเครื่องมือสำหรับการ setup การเริ่มต้น (initialization tool) ที่มากับ IBM Storwize สำหรับ Lenovo V3500, V3700 และ V5000 Gen 1 storage system พบว่ามีไฟล์ที่ malicious code ฝังอยู่

เมื่อ initialization tool รันจาก USB ใน Computer เพื่อเริ่ม configuration ตัวเครื่องมือจะ copy ตัวเองไปใน folder ชั่วคราวบน Hard drive ของ Desktop ซึ่งทำให้มีการ copy malicious file เข้าไปใน folder ชั่วคราวนั้นด้วย ซึ่งไฟล์นั้นๆจะไม่ถูกรันโดยตัวเครื่องมือ setup เอง ยกเว้นว่า user จะเป็นคนกดรันเอง
ทาง Lenovo แนะนำให้ทำการทำลาย USB flash drive ทันที จากนั้นให้ติดต่อ Lenovo เพื่อขอ USB flash drive ใหม่ หรือไม่ก็ download Initialization tool package จาก Lenovo Support ได้เลย (https://www.

เมื่อวันที่ 19 ตุลาคม 2558 ทีมวิจัยด้านระบบรักษาความปลอดภัยของ pcworld.com ได้ค้นพบโปรแกรมเว็บเบราว์เซอร์มัลแวร์ที่เลียนแบบอินเทอร์เฟซของ Chrome โดยชื่อของมันก็คือ “eFast Browser” ซึ่งมันจะติดตั้งและทำงานแทนที่ Chrome อย่างแนบเนียน นอกจากนี้มันยังทำให้ตัวเองเป็นโปรแกรมหลักสำหรับเปิดไฟล์ต่างๆ เช่น HTML, JPG, PDF และ GIF รวมทั้งขโมยข้อมูลต่างๆ แม้ขณะเปิด URL ที่เป็น HTTP, HTTPS และ MAILTO
eFast Browser จะแอบติดตั้งในเครื่องคอมพิวเตอร์ด้วยการแฝงตัวมากับไฟล์ติดตั้งของโปรแกรมอื่นๆ ซึ่งผู้ใช้มักจะติดตั้งมันไปด้วยโดยไม่รู้ตัว สำหรับวิธีการเช็กว่าเว็บเบราว์เซอร์ที่ใช้งานอยู่เป็น Chrome หรือ eFast Browser นั้นสามารถเข้าไปเช็กได้ที่ Settings > About โดยจะมีชื่อโปรแกรมที่แท้จริงระบุเอาไว้ชัดเจน ส่วนวิธีการลบโปรแกรม eFast Browser นั้นสามารถถอนการติดตั้งได้เช่นเดียวกับโปรแกรมอื่นๆ ทั่วไป

ที่มา : PCWorld

Hilton เครือโรงแรมชั้นนำระดับโลก ได้ออกมาแถลงข่าวว่าถูกแฮกระบบ Sales ของโรงแรม และถูกขโมยข้อมูลบัตรเครดิตของลูกค้าไป โดยมีการคาดการณ์ว่าการถูกโจมตีครั้งนี้มีต้นตอมาจากมัลแวร์ที่ถูกติดตั้งลงไปยังเครื่อง Point-of-Sale (POS) ของทางโรงแรมทั่วประเทศสหรัฐอเมริกา
ทั้งนี้ยังไม่มีการเปิดเผยจำนวนของข้อมูลบัตรเครดิตที่ถูกขโมยออกไป แต่จากการตรวจสอบของทาง VISA พบว่า มัลแวร์นี้ฝังตัวอยู่นระบบของ Hilton ตั้งแต่วันที่ 21 เดือนเมษายน จนถึงวันที่ 27 กรกฎาคมที่ผ่านมานี้ และนี่ไม่ใช่ครั้งแรกของธุรกิจชื่อดังที่ถูกโจมตีในลักษณะนี้ โดยในปี 2014 ที่ผ่านมา ทั้ง Target, Home Dopot และ UPS ต่างก็เคยถูกโจมตีมาแล้วเช่นกัน

ที่มา : theregister

บริษัทด้านความปลอดภัย Eset รายงานข่าวโทรจันตัวใหม่ชื่อว่า “Simplelocker” มันพุ่งเป้าไปที่ข้อมูลที่ถูกเก็บไว้บนการ์ด SD ของสมาร์ทโฟนและแท็บเล็ต โดยเข้ารหัสไฟล์เพื่อเรียกเงินเป็นค่าไถ่ในการปลดล็อค โดยข้อความที่ปรากฎขึ้นบนหน้าจอนั้นเป็นภาษารัสเซียและให้จ่ายเงินเป็นสกุลของยูเครน

ผู้เชี่ยวชาญให้คำแนะนำว่า "เหล่าแฮกเกอร์จะเริ่มปล่อยมัลแวร์เข้ารหัสไฟล์ของเป้าหมาย โดยมีอุปกรณ์แอนดรอยด์เป็นเป้าหมายใหม่ ซึ่งผู้ใช้จะต้องระมัดระวังเป็นอย่างมาก หากติดตั้งแอพฯ ผ่านช่องทางอื่นที่ไม่ใช่ Play Store รวมถึงต้องกดดันให้ผู้ผลิตเครื่องหมั่นอัพเดทความปลอดภัยอย่างสม่ำเสมอเพื่อป้องกันช่องโหว่ต่างๆ"

Eset บอกว่าอุปกรณ์ที่ติดโทรจันเหล่านี้จะถูกล็อค สาเหตุเกิดขึ้นเพราะเจ้าของเครื่องเข้าไปดูคลิปอนาจาร เมื่อเครื่องถูกล็อคคุณจะต้องจ่ายเงินประมาณ 760 บาทเพื่อปลดล็อค โดยจะต้องโอนเงินผ่านระบบ MoneXy cash transfer ของยูเครน ภายใน 24 ชั่วโมงหลังจ่ายเงินเครื่องถึงจะใช้งานได้ตามปกติ แต่ถ้าไม่จ่ายข้อมูลที่เข้ารหัสไว้จะถูกลบ ไฟล์ที่ถูกเข้ารหัสก็จะมีตั้งแต่ไฟล์รูปภาพ jpeg และ gif, ไฟล์เอกสาร dox และ txt, ไฟล์วิดีโอ mkv, avi และ mp4

ที่มา : bbc

นักวิจัยด้านความปลอดภัย BSI รายงานว่า ข้อมูลผู้ใช้ออนไลน์ชาวเยอรมันถูกขโมยข้อมูลส่วนตัวไปประมาณ 16 ล้านคน อาจจะส่งผลกระทบไปยัง social networking sites เช่นกัน

นักวิจัยนั้นได้วิเคราะห์ข้อมูลจาก botnet network ของเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ พบว่าแฮกเกอร์สามารถโจมตีขโมยเอาข้อมูลชื่อผู้ใช้ และรหัสผ่าน อีเมล์ของเหยื่อได้

ทางเจ้าหน้าที่ก็ได้จัดเตรียมเว็บไซต์ที่เป็นภาษาเยอรมัน เพื่อให้ผู้ใช้สามารถตรวจสอบ ว่าอีเมล์ปลอดภัยหรือไม่ อีกทั้งเจ้าหน้าที่แนะนำว่าให้ผู้ใช้เปลี่ยนรหัสผ่านทั้งหมดที่เกี่ยวข้องกับอีเมล์ เพื่อป้องกันการโจมตีจากแฮกเกอร์

ที่มา : thehackernews

เครื่องคอมพิวเตอร์ในห้องควบคุมของโรงไฟฟ้านิวเคลียร์ Monju ของญี่ปุ่นได้ถูกตรวจพบว่าติดมัลแวร์ โดยมัลแวร์ตัวนี้ดูเหมือนว่าไม่ได้เป็นมัลแวร์ที่ถูกทำมาเพื่อโจมตีเครื่องใดเครื่องหนึ่งเป็นพิเศษ มัลแวร์ตัวนี้เข้าถึงเครื่องดังกล่าวจากการที่พนักงานได้ทำการอัพเดตโปรแกมเล่นวีดีโอ โดยเครื่องที่ติดเป็น 1 ใน 8 เครื่องที่อยู่ในห้องควบคุมซึ่งใช้เป็นเครื่องสำหรับป้อนค่าเอกสารเข้าไปเก็บเป็นไฟล์บนเครื่องคอมพิวเตอร์ และเป็นเครื่องที่มีเอกสารที่มีข้อมูลสำคัญอย่างเช่น ข้อมูลของพนักงาน เป็นต้น ผู้ดูแลระบบเห็นพฤติกรรมที่ผิดปกติตั้งแต่วันที่ 2 มกราคมเป็นต้นมา โดยเครื่องดังกล่าวถูกเข้าถึงมากกว่า 30 ครั้งภายใน 5 วันหลังจากที่พนักงานได้ทำการอัพเดตโปรแกรม

ที่มา : ehackingnews

นิตยสารพีซีรายงานว่านักวิจัยของ F-Secure ได้ค้นพบโทรจันในแอพลิเคชั่นปลอมบนแอนดรอยด์ "Minecraft - Pocket Edition" ซึ่งแอพปลอมดังกล่าว ผู้ใช้จ่ายเงินแค่ 2.50 ยูโรเท่านั้น (แอพแท้ต้องจ่ายในราคา 5.49 ยูโร)
เมื่อผู้ใช้ดาวน์โหลดแอพปลอมแล้ว มันจะส่ง SMS ไปยังหมายเลขโทรศัพท์มือพรีเมี่ยม และลงทะเบียนบริการที่มีราคาแพง
นักวิจัยได้สังเกตเห็นว่าแอพที่เป็นอันตรายใช้เครื่องมือที่เรียกว่า "Smalihook"ในการเจาะเข้าไปในแอพ และยังแนะนำอีกว่าไม่ควรดาวน์โหลดแอพลิเคชั่นจากร้านค้า ควรดาวน์โหลดจาก Google Play เท่านั้น

ที่มา : ehackingnews

นิตยสารพีซีรายงานว่านักวิจัยของ F-Secure ได้ค้นพบโทรจันในแอพลิเคชั่นปลอมบนแอนดรอยด์ "Minecraft - Pocket Edition" ซึ่งแอพปลอมดังกล่าว ผู้ใช้จ่ายเงินแค่ 2.50 ยูโรเท่านั้น (แอพแท้ต้องจ่ายในราคา 5.49 ยูโร)
เมื่อผู้ใช้ดาวน์โหลดแอพปลอมแล้ว มันจะส่ง SMS ไปยังหมายเลขโทรศัพท์มือพรีเมี่ยม และลงทะเบียนบริการที่มีราคาแพง
นักวิจัยได้สังเกตเห็นว่าแอพที่เป็นอันตรายใช้เครื่องมือที่เรียกว่า "Smalihook"ในการเจาะเข้าไปในแอพ และยังแนะนำอีกว่าไม่ควรดาวน์โหลดแอพลิเคชั่นจากร้านค้า ควรดาวน์โหลดจาก Google Play เท่านั้น

ที่มา : ehackingnews