แคมเปญฟิชชิ่งมัลแวร์ Emotet กลับมาทำงานอีกครั้งหลังจากที่แฮ็กเกอร์ได้แก้ไขข้อผิดพลาดที่ทำให้ผู้ใช้ไม่ติดมัลแวร์แม้จะเปิดไฟล์แนบจากอีเมลที่เป็นอันตราย

Emotet เป็นมัลแวร์ที่แพร่กระจายผ่านแคมเปญสแปม ซึ่งมีไฟล์แนบที่เป็นอันตราย หากผู้ใช้เปิดไฟล์แนบ สคริปต์จะดาวน์โหลด Emotet DLL และโหลดลงในหน่วยความจำ เมื่อโหลดแล้ว มัลแวร์จะค้นหา และขโมยอีเมลเพื่อใช้ในแคมเปญสแปมในอนาคต และลงเพย์โหลดอื่นๆทิ้งไว้ เช่น Cobalt Strike หรือมัลแวร์อื่นๆ ที่มักนำไปสู่การโจมตีของแรนซัมแวร์

(more…)

กลุ่มแฮ็กเกอร์ที่เรารู้จักในชื่อ Haskers Gang ได้ปล่อยมัลแวร์ขโมยข้อมูล ZingoStealer ออกมาฟรี เพื่อช่วยให้กลุ่มอาชญากรกลุ่มอื่นๆ ใช้เครื่องมือนี้เพื่อแสวงหาผลประโยชน์ได้

นักวิจัยของ Cisco Talos กล่าวว่า "มัลแวร์มีความสามารถในการขโมยข้อมูล และสามารถดาวน์โหลดมัลแวร์อื่นๆเพิ่มเติมไปยังระบบที่ถูกควบคุมได้

นับตั้งแต่ถูกพบเมื่อเดือนที่แล้ว ZingoStealer มีการพัฒนาอย่างต่อเนื่อง และเน้นเป้าหมายเฉพาะกับเหยื่อที่พูดภาษารัสเซีย โดยใส่ลงในเกม และซอฟต์แวร์ที่ละเมิดลิขสิทธิ์ โดย Haskers Gang เป็นที่รู้จักมาตั้งแต่อย่างน้อยมกราคมปี 2020

นอกเหนือจากการรวบรวมข้อมูลที่มีความสำคัญ เช่น ข้อมูลการเข้าสู่ระบบ การขโมยข้อมูลกระเป๋าเงิน cryptocurrency และการขุด cryptocurrency ในระบบของเหยื่อ มัลแวร์จะใช้เทเลแกรมเป็นทั้งช่องทางการเผยแพร่ข้อมูลที่ขโมยมา และการเผยแพร่การอัปเดต

โดยผู้ต้องการใช้งาน ZingoStealer สามารถเลือกที่จะจ่ายเงินประมาณ 3 ดอลลาร์เพื่อเข้ารหัสมัลแวร์ในโปรแกรมเข้ารหัสแบบกำหนดเองที่เรียกว่า ExoCrypt ซึ่งทำให้สามารถเลี่ยงการป้องกันไวรัสโดยไม่ต้องพึ่งพาโซลูชันการเข้ารหัสจากที่อื่น

การรวมซอฟต์แวร์การขุด cryptocurrency XMRig เข้ากับ Stealer

นักวิจัยอ้างว่าการรวมแพ็คเกจซอฟต์แวร์ขุดคริปโตเคอเรนซี XMRig เข้ากับตัว Stealer ** นั้นเป็นความพยายามของผู้เขียนมัลแวร์เพื่อสร้างรายได้ สำหรับการขุดเหรียญ Monero

ในส่วนของ ZingoStealer นั้น ถูกออกแบบเป็น .NET binary ที่สามารถรวบรวมข้อมูลที่บันทึกโดยเว็บเบราว์เซอร์เช่น Google Chrome, Mozilla Firefox, Opera และ Opera GX ยิ่งไปกว่านั้น มัลแวร์ได้รับการติดตั้งเพื่อปรับใช้ตามความวัตถุประสงค์ของผู้โจมตี เช่น RedLine Stealer ซึ่งเป็นตัว Stealer ที่มีฟังก์ชันมากมาย ซึ่งจะขโมย knowledge จากแอปพลิเคชัน เบราว์เซอร์ กระเป๋าสตางค์ และส่วนเสริมของสกุลเงินดิจิทัลมากมาย แสดงให้เห็นว่าเหตุใดผู้สร้างมัลแวร์จึงให้ ZingoStealer โดยไม่มีค่าใช้จ่าย

"ดังนั้นผู้ใช้ควรตระหนักถึงภัยคุกคามที่เกิดจากแอปพลิเคชันประเภทนี้ และตรวจสอบให้แน่ใจว่าใช้งานเฉพาะแอปพลิเคชันที่แจกจ่ายผ่านกลไกที่ถูกต้องเท่านั้น" นักวิจัยกล่าว

ที่มา: thecybersecurity.

มัลแวร์ SharkBot ได้แทรกซึมเข้าไปอยู่ใน Google Play Store โดยปลอมตัวเป็นโปรแกรมป้องกันไวรัส

แม้ว่าตัวแอปยังไม่เป็นที่นิยม หรือถูกดาวน์โหลดไปมากนัก แต่การที่ตัวแอปยังสามารถอยู่บน Play Store ได้ แสดงให้เห็นว่าผู้เผยแพร่มัลแวร์ยังคงสามารถหลบเลี่ยงการตรวจจับของ Google ได้เป็นอย่างดีจนถึงปัจจุบัน

แอพพลิเคชั่นบน Android ที่จริง ๆ แล้วคือ SharkBot

รายละเอียดผู้เผยแพร่บน Play Store

SharkBot สามารถทำอะไรได้บ้าง?

มัลแวร์ดังกล่าวถูกค้นพบครั้งแรกโดย Cleafy ในเดือนตุลาคม 2564 โดยฟีเจอร์ที่สำคัญที่สุด ที่ทำให้แตกต่างจาก Banking Trojan อื่น ๆ คือการโอนเงินผ่านระบบโอนอัตโนมัติ (ATS) บนอุปกรณ์ที่ถูกควบคุม

(more…)

มัลแวร์ Xenomorph ที่ถูกเผยแพร่ผ่านทาง Google Play Store ได้ถูกติดตั้งบนอุปกรณ์ Android มากกว่า 50,000 เครื่องเพื่อขโมยข้อมูลธนาคาร โดย Xenomorph มีเป้าหมายที่จะขโมยข้อมูลที่มีความสำคัญทางด้านการเงิน เข้าครอบครองบัญชี แอบทำธุรกรรม จากนั้นก็ขายข้อมูลที่ถูกขโมยให้กับผู้ซื้อที่สนใจ

ความสามารถของมัลแวร์ Xenomorph
มัลแวร์ Xenomorph ถูกนำเข้าสู่ Google Play Store ผ่านแอพพลิเคชันประเภท Perfomance-boosting เช่น "Fast Cleaner" ซึ่งพบการติดตั้งไปแล้วกว่า 50,000 ครั้ง (โดยไฟล์การติดตั้งในครั้งแรกจะมีขนาดไฟล์ที่ไม่ใหญ่มาก และตัวมันจะทำการดาวน์โหลดเพิ่มเติมในภายหลังเพื่อลดความน่าสงสัย)

Xenomorph Android อยู่ระหว่างการพัฒนาดังนั้นความสามารถ และฟังก์ชันต่าง ๆ ยังไม่เยอะมาก อย่างไรก็ตามมันยังคงเป็นภัยคุกคามที่สำคัญ ตัวอย่างเช่น มัลแวร์สามารถดักการแจ้งเตือน และบันทึก SMS ที่ส่งเข้ามาได้ ทำให้ผู้โจมตีสามารถดักเอา OTP ที่ถูกส่งเข้ามาที่เครื่องในการทำธุรกรรมได้ เป็นต้น หลังจากการติดตั้งแอพพลิเคชันจะส่งรายการแพ็กเกจที่ติดตั้งบนอุปกรณ์ที่ติดไวรัสเพื่อติดตั้ง Payload ต่าง ๆ และแก้ไข หรือร้องขอสิทธิต่าง ๆ ในการเข้าถึงแอพพลิเคชันอื่นๆเพิ่มเติม

ควรหลีกเลี่ยงการติดตั้งแอพพลิเคชันที่มีความสามารถที่ดูเกินจริง การตรวจสอบรีวิวของผู้ใช้รายอื่นอาจช่วยหลีกเลี่ยงแอพพลิเคชันที่เป็นอันตรายได้

ที่มา : Bleepingcomputer

Microsoft ประกาศว่า จะทำให้การเปิดใช้งาน VBA Macros ใน Microsoft Office ได้ยากขึ้น VBA Macros เป็นฟีเจอร์ที่มีประโยชน์สำหรับผู้ใช้งาน แต่ก็เป็นจุดอ่อนที่แฮกเกอร์ใช้เป็นช่องทางในการแพร่กระจาย Malware จึงจำเป็นที่ต้องกำจัดจุดอ่อนนี้เพื่อความปลอดภัยของผู้ใช้งานโดยจะเริ่มต้นในช่วงเดือนเมษายนนี้

การใช้ VBA Macros ที่มีอยู่ในเอกสาร Office เป็นวิธีที่นิยมอย่างมากในการแพร่กระจาย malware ที่เป็นอันตราย และการโจมตีแบบฟิชชิ่งจากมัลแวร์ต่างๆเช่น Emotet , TrickBot , Qbot และ Dridex อีกด้วย

“โดยการจัดการในครั้งนี้มีผลเฉพาะกับ Office บนอุปกรณ์ที่ใช้ Windows และแอปพลิเคชันต่อไปนี้เท่านั้น: Access, Excel, PowerPoint, Visio และ Word" Microsoft Office Product Group ได้กล่าวไว้

Microsoft จะเริ่มจัดการฟีเจอร์ Macros ในเวอร์ชัน 2023 ของ Microsoft 365 ซึ่งคาดว่าจะมีผลในต้นเดือนเมษายน 2022

หลังจากตัดสินใจบล็อคฟีเจอร์ Macros แล้ว ผู้ใช้ Office จะไม่สามารถเปิดใช้งาน Macors ได้อีก เพื่อเป็นการหยุดการแพร่กระจายของ Malware บนเครือข่ายโดยอัตโนมัติเมื่อเปิด Office docs ที่อันตราย รวมถึงโทรจันที่พยายามขโมยข้อมูลต่างๆ และเครื่องมือที่เป็นอันตรายที่ใช้โดยแก๊งแรนซัมแวร์

ณ ปัจจุบัน จนกว่าการบล็อกจะมีผลบังคับใช้ ถ้ามีการเปิดเอกสาร จะมีการตรวจสอบว่ามันถูกแท็กด้วย " Mark of the Web " (MoTW) หรือไม่ ซึ่งจะหมายความว่าไฟล์นั้นได้ถูกดาวน์โหลดมาจากอินเทอร์เน็ต

หากพบแท็ก " Mark of the Web " Microsoft จะเปิดเอกสารในโหมดอ่านอย่างเดียว บล็อกการใช้งานเว้นแต่ผู้ใช้จะคลิกที่ปุ่ม ' Enable Editing ' หรือ ' Enable Content ' ที่แสดงที่ด้านบนของเอกสาร

ดังนั้นการลบปุ่มเหล่านี้ออก บล็อกมาโครจากแหล่งที่ไม่น่าเชื่อถือโดยค่าเริ่มต้น เอกสารที่เป็นอันตรายส่วนใหญ่จะไม่สามารถทำงานได้ ซึ่งเป็นการหยุดการแพร่กระจายของมัลแวร์โดยแฮกเกอร์ที่ใช้ช่องโหว่นี้

จากข้อมูลของ Microsoft การปรับปรุงความปลอดภัยที่สำคัญนี้จะเผยแพร่ไปยังช่องทางการอัปเดต Office อื่นๆ เช่น Current Channel, Monthly Enterprise Channel, and Semi-Annual ในภายหลัง

และจะมีการอัปเดตการเปลี่ยนแปลงนี้ให้กับผู้ใช้ Office LTSC, Office 2021, Office 2019, Office 2016 และ Office 2013 ในอนาคต

“เราจะยังคงปรับปรุงการใช้งาน macro สำหรับผู้ใช้งานของเราอย่างต่อเนื่อง ทั้งนี้เพื่อทำให้ยากขึ้นที่จะหลอกให้ผู้ใช้เรียกใช้โค้ดที่เป็นอันตรายผ่าน social engineering ในขณะที่การใช้มาโครที่ถูกต้อง ยังสามารถเปิดใช้งานได้ตามความเหมาะสมผ่าน Publisher ที่เชื่อถือได้ และ/หรือ Location ที่เชื่อถือได้” Tristan Davis จาก Microsoft กล่าว

ถึงกระนั้นหลังจากที่ Office อัปเดตเปิดตัว และบล็อกฟีเจอร์ Macros ในเอกสารที่ดาวน์โหลดจากอินเทอร์เน็ต แต่เราจะยังคงสามารถเปิดใช้งานได้โดยไปที่ properties ของเอกสารและเลือกปุ่ม " Unlock " ที่ด้านล่างขวา

เมื่อเดือนที่แล้ว Microsoft ยังกล่าวด้วยว่า มาโคร Excel 4.0 (XLM) จะถูกปิดใช้งาน เพื่อป้องกันลูกค้าจากเอกสารอันตรายที่ออกแบบมาเพื่อติดตั้งมัลแวร์

การเปลี่ยนแปลงดังกล่าวได้รับการประกาศครั้งแรกในเดือนตุลาคมเมื่อ Microsoft เปิดเผยครั้งแรกว่า จะปิดการใช้งานมาโคร XLM ทั้งหมด หากผู้ใช้หรือผู้ดูแลระบบไม่ได้เปิดหรือปิดฟีเจอร์ด้วยตนเอง

ที่มา : bleepingcomputer

มัลแวร์ RedLine ปลอมเป็นตัวติดตั้งอัปเกรด Windows 11

ผู้โจมตีได้เริ่มเผยแพร่ตัวติดตั้งอัปเกรด Windows 11 ปลอม ให้กับผู้ใช้ Windows 10 ดาวน์โหลด แต่จะเป็นการถูกติดตั้งมัลแวร์ RedLine แทน ซึ่งมัลแวร์ได้ใช้ช่วงเวลาเดียวกันกับที่ทาง Microsoft ได้ประกาศเผยแพร่การอัปเกรด Windows 11 ในการแพร่กระจายตัวติดตั้งปลอมนี้

มัลแวร์ Redline stealer
Redline stealer ** เป็นมัลแวร์ที่ถูกใช้งานอย่างแพร่หลาย มีคุณสมบัติในการขโมยข้อมูล Credentials คุกกี้ของเบราว์เซอร์ บัตรเครดิต และขโมยข้อมูลกระเป๋าเงินดิจิทัล มีความสามารถในการโหลด Payload C2 server

ขั้นตอนของการโจมตี
นักวิจัยของ HP ได้วิเคราะห์แคมเปญนี้ว่า

ผู้โจมตีใช้โดเมน "windows-upgraded[.]com" ซึ่งถูกออกแบบเว็บไซต์ให้เหมือน Windows 11 ที่ถูกต้อง
เมื่อกด "DOWNLOAD NOW" ระบบจะทำการดาวน์โหลดไฟล์
Windows11InstallationAssistant.

 

มัลแวร์ FinFisher ได้รับการอัปเกรดเพื่อแพร่กระจายไปบนอุปกรณ์ Windows โดยใช้ชุดบูต UEFI (Unified Extensible Firmware Interface) โดยใช้ประโยชน์จาก Windows Boot Manager ซึ่งทำให้ Attack Vector ที่นำไปสู่การติดมัลแวร์เปลี่ยนไป ทำให้สามารถหลบเลี่ยงการตรวจจับ และการวิเคราะห์ได้

FinFisher (หรือที่รู้จักในชื่อ FinSpy หรือ Wingbird) ถูกตรวจพบตั้งแต่ปี 2011 โดยเป็นสปายแวร์สำหรับ Windows, macOS และ Linux ที่พัฒนาโดยบริษัท Anglo-German firm Gamma International ซึ่งมักจะจัดหาซอฟแวร์สอดแนมให้กับหน่วยงานบังคับใช้กฎหมาย และหน่วยข่าวกรองโดยเฉพาะ เช่นเดียวกับ Pegasus ของ NSO Group

FinFisher จะรวบรวมข้อมูล Credential ของผู้ใช้ รายชื่อไฟล์ เอกสารสำคัญ บันทึกการกดแป้นพิมพ์ เนื้อหาในอีเมลจาก Thunderbird, Outlook, Apple Mail และ Icedove ดักจับข้อมูลผู้ใช้บน Skype ข้อความแชท การโทร และโอนไฟล์ต่างๆ รวมไปถึงการบันทึกเสียง และวิดีโอโดยการเข้าถึงไมโครโฟน และเว็บแคมของเครื่องเหยื่อ

ในขณะที่เครื่องมือนี้เคยใช้งานผ่านตัวติดตั้งที่ถูกดัดแปลงของแอปพลิเคชัน เช่น TeamViewer, VLC และ WinRAR การอัปเดตที่ตามมาในปี 2014 ทำให้เกิดการติดผ่าน Master Boot Record (MBR) โดยมีเป้าหมายเพื่อโหลดไฟล์ที่เป็นอันตราย ในลักษณะที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับ

ฟีเจอร์ล่าสุดที่เพิ่มเข้ามาคือความสามารถในการปรับใช้ UEFI bootkit เพื่อโหลด FinSpy โดยตัวอย่างใหม่แสดงคุณสมบัติแทนที่ Windows UEFI boot loader ด้วยตัวแปรที่เป็นอันตราย และวิธีการหลีกเลี่ยงการตรวจจับอื่นๆ ทีมวิจัย และวิเคราะห์ระดับโลก (GReAT) ของ Kaspersky กล่าวว่าวิธีการติดไวรัสนี้ทำให้ผู้โจมตีสามารถติดตั้ง bootkit ได้โดยไม่ต้องผ่านการตรวจสอบความปลอดภัยของเฟิร์มแวร์

ที่มา : thehackernews.

มัลแวร์ชนิดใหม่ที่มีชื่อว่า FontOnLake พึ่งถูกค้นพบ ได้เริ่มแพร่ระบาดบน Linux โดยซ่อนอยู่ใน Legitimate binaries มัลแวร์ FontOnLake ยังพบว่ามีการแพร่กระจายอยู่ในวงแคบ และด้วยการออกแบบมาอย่างดีทำให้ตัวมันสามารถฝังตัวอยู่บนเครื่องที่ติดมัลแวร์ได้นานขึ้น

ซ่อนอยู่ภายใน Legit utilities

FontOnLake มีหลายโมดูลที่ใช้งานร่วมกัน และเปิดการเชื่อมต่อกลับไปยังผู้ควบคุมตัวมัน เพื่อดำเนินการขโมยข้อมูลที่มีความสำคัญ และพยายามซ่อนตัวอยู่บนเครื่องที่ติดมัลแวร์ให้ได้นานที่สุด

นักวิจัยที่ ESET พบตัวอย่างมัลแวร์จำนวนหนึ่งที่ถูกอัปโหลดไปยัง VirusTotal ตลอดทั้งปีที่ผ่านมา โดยตัวอย่างแรกพบในเดือนพฤษภาคม 2020

FontOnLake ถูกให้ความสนใจเนื่องจากวิธีที่ใช้ในการซ่อนตัว และการออกแบบการทำงานที่ซับซ้อน ซึ่งมีแนวโน้มว่าจะถูกใช้ในการโจมตีแบบกำหนดเป้าหมาย (Target Attack) โดยผู้โจมตีที่มีการใช้ Command and control (C2) เซิร์ฟเวอร์ที่ไม่เหมือนกันเลยจากการตรวจสอบจากตัวอย่างเกือบทั้งหมด รวมไปถึงพอร์ตที่ใช้ด้วย

นักวิจัยของ ESET พบว่าวิธีแพร่กระจายของ FontOnLake นั้นผ่านทางแอพพลิเคชั่นโทรจัน แต่ยังไม่ทราบวิธีการที่ใช้หลอกให้เหยื่อดาวน์โหลดตัวมัน

ในบรรดา Linux utilities ที่ FontOnLake ใช้ได้แก่:

cat - ใช้สำหรับโชว์เนื้อหาของไฟล์
kill - แสดงรายการโปรเซสที่ทำงานอยู่ทั้งหมด
sftp - Secure FTP utility
sshd - OpenSSH เซิร์ฟเวอร์โปรเซส

จากข้อมูลของนักวิจัย ยูทิลิตี้โทรจันมีแนวโน้มที่จะถูกแก้ไขตั้งแต่ระดับซอร์สโค้ด ซึ่งบ่งชี้ว่าผู้โจมตีได้ทำการดัดแปลง และเอาไปแทนที่ยูทิลิตี้เดิมที่ถูกต้องตั้งแต่แรก

นอกเหนือจากการใช้ส่งมัลแวร์เข้าไปที่เครื่องแล้ว ไบนารีที่ถูกดัดแปลงพวกนี้ยังใช้สำหรับการโหลดเพย์โหลดเพิ่มเติม รวบรวมข้อมูล หรือดำเนินการโจมตีอื่นๆ

นักวิจัยค้นพบแบ็คดอร์ที่ถูกพัฒนาขึ้นเองสามตัวที่เขียนด้วยภาษา C++ ซึ่งเชื่อมโยงกับตระกูลมัลแวร์ FontOnLake ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงเครื่องที่ถูกยึดไว้จากระยะไกลได้ ฟังก์ชันทั่วไปสำหรับทั้งสามตัวคือการขโมยข้อมูล sshd แอคเคาท์ และ bash command ที่เคยใช้ และส่งไปยังเซิร์ฟเวอร์ C2 โดยมีการใช้คำสั่ง heartbeat ที่สร้างขึ้นเองเพื่อรักษาการเชื่อมต่อกับเซิร์ฟเวอร์ C2 อีกด้วย

Based on open-source rootkit
ในรายงานทางเทคนิคที่เผยแพร่ในสัปดาห์นี้ ESET ตั้งข้อสังเกตว่าการมีอยู่ของ FontOnLake ในระบบที่ถูกบุกรุกนั้นถูกซ่อนด้วย rootkit ซึ่งมีหน้าที่ในการอัปเดตการเชื่อมต่อของ backdoors

 

 

 

 

 

 

 

ตัวอย่าง rootkit ทั้งหมดที่ ESET พบใน kernel เป้าหมายเวอร์ชัน 2.6.32-696.el6.x86_64 และ 3.10.0-229.el7.X86_64 ทั้งสองเวอร์ชันที่ค้นพบนั้นใช้ open-source rootkit project อายุแปดปีที่เรียกว่า Suterusu ที่สามารถซ่อนโปรเซส ไฟล์ และการเชื่อมต่อออกไปภายนอกได้

นักวิจัยเชื่อว่าผู้สร้าง FontOnLake มีความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์อย่างมาก และมีการปิดการใช้งานเซิร์ฟเวอร์ C2 ที่ใช้ทันทีที่พบว่ามีตัวอย่างถูกอัพโหลดเข้าไปตรวจสอบที่ VirusTotal

ที่มา: bleepingcomputer

Microsoft ได้พบ malware ตัวใหม่ที่ถูกใช้โดยกลุ่ม Nobelium ซึ่งเป็นกลุ่มที่อยู่เบื้องหลังการโจมตี SolarWinds supply chain attacks เมื่อปีที่แล้ว โดยตัว Malware ดังกล่าวมีชื่อว่า FoggyWeb ที่ถูกขนานนามว่าเป็น Backdoor แบบ Passive และมีเป้าหมายที่อยู่ในระดับสูง FoggyWeb เป็น Malware ที่ออกแบบมาเพื่อช่วยให้ผู้โจมตีสามารถ-ขโมยข้อมูลที่สำคัญจาก Active Directory Federation Services (AD FS) ที่ถูกโจมตี หรือ decrypted token-signing certificate และ token-decryption certificate ตลอดจนใช้ดาวน์โหลด และเรียกใช้ malicious component จาก Command-and-Control (C2) Server และดำเนินการบน Server ที่ถูกโจมตี

ล่าสุดทาง Microsoft แจ้งเตือนให้กับลูกค้าที่ตกเป็นเป้าหมายหรือถูกโจมตีโดย Backdoor นี้แล้ว และได้ให้คำแนะนำดังนี้

1.ตรวจสอบโครงสร้างพื้นฐานภายในองค์กรและคลาวด์ว่ามีการกำหนดค่าต่าง ๆ ปลอดภัยหรือไม่ เช่นการตั้ง Group Policy สำหรับการใช้งานต่าง ๆ หรือ กำหนดสิทธิ์การเข้าถึงของผู้ใช้งานให้อยู่ในหลัก Least Privilege แล้วหรือไม่

2.ลบการเข้าถึงของผู้ใช้และแอป และตรวจสอบการกำหนดค่าสำหรับแต่ละรายการ และสร้าง Credentials ใหม่ตามแนวทาง documented industry best practices

3.ใช้ Hardware Security Module (HSM) ตามที่ได้อธิบายไว้ในการรักษาความปลอดภัยของ AD FS Server เพื่อป้องกันการถูกขโมยข้อมูลที่สำคัญโดย FoggyWeb

ที่มา: BleepingComputer

ผู้เชี่ยวชาญเปิดเผยข้อมูลเกี่ยวกับ Malware-as-a-Service ของรัสเซียที่เขียนขึ้นใน Rust

 

มีการพบ Nascent ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่เพิ่งเกิดขึ้นใหม่ มีการขาย และแจกจ่ายบนฟอรัมใต้ดินของรัสเซีย โดยมัลแวร์ถูกเขียนเป็นภาษา Rust โดย Rust เป็นภาษาโปรแกรมภาษาใหม่ที่พัฒนาโดย Mozilla ซึ่งเป็นสัญญาณบ่งบอกถึงแนวโน้มใหม่ที่ผู้โจมตีใช้ภาษาโปรแกรมที่แปลกใหม่มากขึ้นเพื่อหลีกเลี่ยงการรักษาความปลอดภัย หลบเลี่ยงการวิเคราะห์

มีการขนานนามผู้โจมตีนี้ว่า "Ficker Stealer" ซึ่งมีชื่อเสียงในด้านการเผยแพร่มัลแวร์ผ่านลิงก์เว็บโทรจัน และเว็บไซต์ที่ถูกบุกรุก ล่อเหยื่อให้เข้าสู่หน้า Landing Page ที่หลอกลวง โดยอ้างว่าให้บริการดาวน์โหลดฟรีของบริการที่ต้องชำระเงิน เช่น Spotify Music, YouTube Premium และแอปพลิเคชัน Microsoft Store อื่นๆ

Ficker ขายและแจกจ่าย Malware-as-a-Service (MaaS) ผ่านฟอรัมออนไลน์ของรัสเซีย ทีมวิจัย และข่าวกรองของ BlackBerry กล่าวในรายงานว่า "ผู้สร้างซึ่งมีนามแฝงคือ @ficker เสนอแพ็คเกจแบบชำระเงินหลายแบบโดยมีค่าธรรมเนียมการสมัครสมาชิกที่แตกต่างกันเพื่อใช้โปรแกรมที่เป็นอันตรายดังกล่าว"

มีการพบ Malware-as-a-Service ครั้งแรกในเดือนสิงหาคม 2020 เป็นมัลแวร์บน Windows ถูกใช้เพื่อขโมยข้อมูลที่ sensitive รวมถึงข้อมูลการเข้าสู่ระบบ ข้อมูลบัตรเครดิต กระเป๋าเงินดิจิตอล และข้อมูลเบราว์เซอร์ นอกเหนือจากการทำงานเป็นเครื่องมือในการดึงไฟล์ที่ sensitive ยังสามารถทำหน้าที่เป็นตัวดาวน์โหลดเพื่อดาวน์โหลด และเรียกใช้มัลแวร์อีกด้วย

นอกจากนี้ เป็นที่ทราบกันดีว่า Ficker ถูกส่งผ่านแคมเปญสแปม ซึ่งเกี่ยวข้องกับการส่งอีเมลฟิชชิ่งที่กำหนดเป้าหมายด้วยเอกสารแนบ Excel ซึ่งเมื่อเปิดขึ้นจะปล่อยตัวโหลด Hancitor ซึ่งจะทำให้เพย์โหลดทำงาน

มัลแวร์ยังมีการตรวจสอบการป้องกันการวิเคราะห์อื่นๆที่ป้องกันไม่ให้ทำงานในสภาพแวดล้อมเสมือนจริง(VM) และบนเครื่องเหยื่อที่อยู่ในอาร์เมเนีย อาเซอร์ไบจาน เบลารุส คาซัคสถาน รัสเซีย และอุซเบกิสถาน สิ่งที่น่าสังเกตเป็นพิเศษก็คือ Ficker ได้รับการออกแบบมาให้รันคำสั่ง และส่งข้อมูลโดยตรงไปยังผู้โจมตี ซึ่งแตกต่างจากผู้ขโมยข้อมูลแบบเดิมๆที่จะเขียนข้อมูลที่ถูกขโมยลงดิสก์ มัลแวร์ยังมีความสามารถในการจับภาพหน้าจอ ซึ่งช่วยให้ผู้ให้บริการมัลแวร์สามารถจับภาพหน้าจอของเหยื่อจากระยะไกล มัลแวร์ยังช่วยให้สามารถดึงไฟล์และดาวน์โหลดได้

ที่มา: thehackernews