เมื่อวันพุธที่ผ่านมา ( 9 มิถุนายน 2564 ) พบฐานข้อมูลบนคลาวด์เป็นข้อมูลที่ถูกขโมยมากว่า 1.2 TB ประกอบไปด้วยข้อมูล cookie และ credentials ที่มาจากคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows จำนวน 3.2 ล้านเครื่อง จากมัลแวร์ที่ไม่เคยพบมาก่อน ที่เรียกว่า “nameless”

ในบล็อกของ NordLocker บริษัทซอฟต์แวร์เข้ารหัสไฟล์ที่รวมกับที่เก็บข้อมูลบนคลาวด์ที่เข้ารหัสแบบ end-to-end ได้กล่าวไว้ว่า ไวรัสสามารถหลบซ่อนการตรวจจับพร้อมกับข้อมูลที่ขโมยกว่า 6 ล้านไฟล์ ที่ขโมยมาจากเครื่องเดสก์ท็อป และยังสามารถถ่ายภาพผู้ใช้งานได้หากอุปกรณ์นั้นมีเว็บแคม โดยมัลแวร์จะแพร่กระจายผ่านซอฟต์แวร์ Adobe PhotoShop ที่ละเมิดลิขสิทธิ์ เครื่องมือ Crack Windows และเกมส์ละเมิดลิขสิทธิ์ต่าง ๆ ซึ่งกลุ่มแฮ็กเกอร์ได้ทำการเปิดเผยข้อมูลดังกล่าวโดยไม่ได้ตั้งใจและผู้ให้บริการคลาวด์ได้รับแจ้งว่าให้ทำการ take down โฮสต์ดังกล่าวไป ซึ่งข้อมูลที่ถูกขโมยนั้นอยู่ระหว่าง ปี 2018 ถึง 2020 โดยมี cookie กว่า 2 พันล้านรายการ

Sean Nikkel นักวิเคราะห์ภัยคุกคามทางไซเบอร์อาวุโสของ Digital Shadows ได้กล่าวว่า เรายังคงต้องประสบกับปัญหาทางข้อมูลถูกโจมตีหรือรั่วไหล ตราบใดที่ผู้คนไม่ได้ใช้แนวทางปฏิบัติด้านความปลอดภัยที่ดีทั้งหมด ซึ่งหากบริษัทจัดเก็บข้อมูลไว้บนระบบคลาวด์ จะมีตัวเลือกมากมายสำหรับการรักษาความปลอดภัยบนคลาวด์ และควรจัดหมวดหมู่ของข้อมูลว่าข้อมูลนั้นจำเป็นหรือเป็นข้อมูลที่ไม่ควรเปิดเผย และควรจัดเก็บข้อมูลให้เป็นไปตามการปฏิบัติตามข้อกำหนดด้านความปลอดภัย และตรวจสอบอย่างสม่ำเสมอเพื่อไม่ให้เกิดช่องโหว่ต่าง ๆ และอย่างน้อยที่สุด ให้ทำการเข้ารหัสที่ปลอดภัยให้กับข้อมูล และตรวจสอบ หรือทดสอบระบบเป็นระยะ ๆ

Law Floyd ผู้อำนวยการฝ่ายบริการคลาวด์ของ Telos กล่าวเสริมว่า ผู้เชี่ยวชาญด้านความปลอดภัยควรใช้การควบคุมการเข้าถึงที่เข้มงวดกับฐานข้อมูล และตรวจสอบให้แน่ใจว่า port ที่เปิดให้เข้าถึงฐานข้อมูลนั้นเป็น port ที่จำเป็นเท่านั้น และควรสร้าง policy ที่เหมาะสม รวมทั้งตรวจสอบให้แน่ใจว่าบุคลากรได้รับการศึกษาเกี่ยวกับ policy เหล่านี้อย่างเหมาะสม

ที่มา : scmagazine

แฮกเกอร์ได้มีการใช้ Microsoft Build Engine (MSBuild) ในทางที่ผิด โดยใช้ส่ง Trojan และ Malware ประเภท Fileless ซึ่งมีเป้าหมายในการขโมยข้อมูลบนระบบ Windows

นักวิจัยจากบริษัท Anomali ที่ให้บริการด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์ กล่าวว่าเมื่อวันพฤหัสที่ผ่านมา (13 May 2021) ไฟล์ที่มีโค้ดอันตรายที่มีการเข้ารหัสและเชลล์โค้ดสำหรับติดตั้ง Blackdoor เพื่อใช้ในการเข้าควบคุมเครื่องของเหยื่อเพื่อขโมยข้อมูลได้มีการถูกสร้างขึ้น

MSBuild คือ เครื่องมือโอเพ่นซอร์สสำหรับ Compile .NET และ Visual Studio ที่ถูกพัฒนาโดยบริษัท Microsoft ที่มีไว้ใช้สำหรับ Compiling source code, Packaging, Testing, Deploying Applications

การใช้ MSBuild เป็นเครื่องมือในการเข้าควบคุมเครื่องเป้าหมายโดยไม่ต้องใช้ไฟล์ (Fileless) เป็นแนวคิดในการหลบหลีกการถูกตรวจจับเนื่องจาก Malware ตัวนี้ถูกสร้างขึ้นโดยใช้ Application ที่ถูกกฎหมายโดยรูปการทำงานจะเป็นการโหลด Code ลงที่ Memory ทำให้ไม่มีการทิ้งร่องรอยบนระบบและสามารถซ่อนตัวได้โดยที่ไม่ถูกตรวจจับ

ตามที่มีการเขียนระบุไว้ว่ามีเพียงผู้ให้บริการโซลูชันการรักษาความปลอดภัยทางไซเบอร์ 2 รายเท่านั้นที่ระบุว่าหนึ่งในไฟล์ MSBuild ที่มีการอัปโหลดไปยัง VirusTotal vyx.

เอฟบีไอพบ spear-phishing สวมรอยเป็นธนาคาร Truist Bank เพื่อกระจายมัลแวร์

ผู้โจมตีแอบอ้างตัวเองเป็น Truist Bank ซึ่งเป็นธนาคารของอเมริกา และทำการส่งสเปียร์ฟิชชิ่ง
ผู้โจมตีจะส่งอีเมลและแนบเว็บไซต์ โดยภายในอีเมลหรือเว็บไซต์นั้นจะมีมัลแวร์หรือโทรจันแบบเข้าถึงระยะไกลได้ (RAT : Remote Administration Tool ) ในการกระจายมัลแวร์ให้กับผู้ที่ตกเป็นเหยื่อ

FBI ได้เผยแพร่เอกสาร TLP:WHITE. โดยมีการกล่าวว่า ในกลุ่มแฮกเกอร์ได้ปรับแต่งแคมเปญฟิชชิ่ง โดยการจดทะเบียนโดเมน หัวข้ออีเมล และแอพพลิชั่น เพื่อแอบอ้างว่าเป็นสถานบันการเงินนั้น ๆ

โดยการทำงานร่วมกันกับ DHS-CISA (Department of Homeland Security's - Cybersecurity and Infrastructure Security Agency) โดยได้มีการออก IOC (Indicators of compromise) เพื่อใช้ในการตรวจจับและป้องกันการโจมตีดังกล่าวแล้ว

มีการโจมตีที่เป้าหมายที่เป็น บริษัทพลังงานหมุนเวียน ในเดือนกุมภาพันธ์ 2564 แฮกเกอร์ได้มีการส่งอีเมลฟิชชิ่งสั่งให้เป้าหมายทำการติดตั้งแอปพลิเคชั่นที่เป็นอันตราย โดยแอบอ้างเป็นแอป Truist Financial SecureBank และต้องดำเนินการให้เสร็จหลังเงินกู้ 62 ล้านดอลลาร์

FBI ได้กล่าวเพิ่มเติมว่า “จำนวนเงินที่หลอกลวงไปนั้นจะขึ้นอยู่กับรูปแบบธุรกิจของเป้าหมาย และในอีเมลล์ฟิชชิ่งยังมีลิงค์สำหรับดาวน์โหลดแอปพลิเคชั่นพร้อมชื่อผู้ใช้และรหัสผ่านสำหรับการเข้าถึงอีกด้วย อีเมลฟิชชิ่งจะดูเหมือนว่าส่งมาจากสถาบันการเงินในสหราชอาณาจักรโดยระบุว่าการกู้ยืมเงินสถาบันการเงินในอเมริกาให้กับเหยื่อนั้นได้รับการยืนยันแล้ว และสามารถเข้าถึงได้ผ่านแอปพลิเคชั่นที่แฮกเกอร์ได้แนบลิงค์มาด้วย”

แฮกเกอร์จะปลอมแปลงโฮสต์ของแอปพลิเคชั่นที่ลงทะเบียนไว้ก่อนการโจมตีโดยการแอบอ้างว่าเป็น Truist และดูเหมือนว่าสถาบันการเงินอื่น ๆ ในอเมริกาและสหราชอาณาจักร เช่น MayBank, FNB America และ Cumberland Private ก็ถูกแอบอ้างในแคมเปญสเปียฟิชชิ่งนี้เช่นกัน

ความสามารถในการขโมยข้อมูลของมัลแวร์ โดยจากการตรวจสอบบน Virustotal พบรายละเอียดเกี่ยวกับความสามารถของมัลแวร์ซึ่งประกอบไปด้วย
- การยกระดับสิทธิ์
- การเชื่อมต่อกับ UDP
- การจัดการรีจิสทรีของระบบ
- จับภาพหน้าจอ
- การฟังการสื่อสารที่เชื่อมต่อเข้ามา
- การตรวจจับการกดแป้นพิมพ์
- ดาวน์โหลดหรือวางไฟล์ไว้บนเครื่อง
- การแทรกโค้ดด้วยการรีโมทจากระยะไกล

และเมื่อเดือนที่แล้ว Michael Page ซึ่งเป็น บริษัท จัดหางานชั้นนำของโลกได้ถูกแอบอ้างในแคมเปญที่คล้ายกันนี้ โดยเป้าหมายจะถูกหลอกให้ติดตั้ง Trojan (Ursnif) ซึ่งเป็นมัลแวร์ที่จะเก็บข้อมูลการใช้งานของเป้าหมาย

จากการดูข้อมูลที่เก็บมาจากระบบที่ติดมัลแวร์พบว่าผู้โจมตีจะสามารถขโมยข้อมูลการเข้าสู่ระบบของเป้าหมายและข้อมูลที่เป็นความลับอื่น ๆ เพื่อที่จะได้เข้าควบคุมบัญชีหรือระบบของเป้าหมาย และจากการวางเหยื่อล่อ (Decoy) พบว่าพฤติกรรมของมัลแวร์เป็นพฤติกรรมที่เคยใช้กลุ่ม Lazarus ซึ่งเป็นกลุ่มที่เชื่อได้ว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ

คำแนะนำ
● ควรระวังเมื่อใช้งานอีเมล เช่น ตรวจสอบชื่อผู้ส่ง, ลิ้งค์, ไฟล์แนบ ว่าน่าเชื่อถือหรือไม่
● ไม่ควรตั้งค่าอนุญาตให้เครื่องผู้ใช้สามารถติดตั้งโปรแกรมเองได้
● อัพเดทซอฟต์แวร์แอนตี้ไวรัสให้เป็นปัจจุบันเสมอ

ที่มา : ● bleepingcomputer.

นักวิจัยด้านความปลอดภัย M. Shahpasandi ได้เปิดเผยถึงความเคลื่อนไหวล่าสุดจากผู้ดูแลระบบ Ziggy Ransomware ซึ่งได้ทำการประกาศผ่านทาง Telegram ว่ากำลังปิดระบบการทำงานของ Ziggy Ransomware และจะปล่อยคีย์ถอดรหัสทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

ผู้ดูแลระบบ Ziggy Ransomware กล่าวว่าพวกเขารู้สึกผิดเกี่ยวกับการกระทำและมีความกังวลเกี่ยวกับการดำเนินการบังคับใช้กฏหมายซึ่งเกิดขึ้นแล้วกับ Emotet และ Netwalker Ransomware เป็นเหตุให้ผู้ดูแลระบบจึงตัดสินใจปิดระบบและปล่อยคีย์ทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

ผู้ดูแลระบบ Ziggy Ransomware ได้ทำการโพสต์ไฟล์ SQL ที่มีคีย์ถอดรหัสจำนวน 922 คีย์สำหรับเหยื่อที่ถูกเข้ารหัส ซึ่งไฟล์ SQL จะแสดงคีย์สามคีย์ที่จำเป็นในการถอดรหัสไฟล์ นอกจากนี้ผู้ดูแลระบบแรนซัมแวร์ยังโพสต์ตัวถอดรหัสและซอร์สโค้ดสำหรับตัวถอดรหัสอื่นที่ทำให้สามารถสร้างซอฟต์แวร์ถอดรหัสแบบออฟไลน์ เพื่อถอดรหัสให้กับเหยื่อที่ติดไวรัสและไม่สามารถเชื่อมต่อกับอินเทอร์เน็ตหรือไม่สามารถเข้าถึงเซิร์ฟเวอร์ที่ดูแลควบคุมได้

ทั้งนี้ BleepingComputer ได้แนะนำให้ผู้ที่ตกเป็นเหยื่อใช้ตัวถอดรหัสของบริษัทรักษาความปลอดภัยอย่าง Emsisoft แทนที่จะเป็นตัวถอดรหัสที่มาจากกลุ่ม Ziggy Ransomware เพื่อ ป้องกันมัลแวร์อื่น ๆ เช่นแบ็คดอร์ที่อาจเเฝงไว้กับตัวถอดรหัส

ที่มา: bleepingcomputer

 

Google ได้ลบและบังคับให้ถอนการติดตั้ง Extension ที่มีชื่อว่า “The Great Suspender” ออกจาก Chrome web store โดย The Great Suspender เป็น Extension ที่นิยมอย่างมากและมีผู้ใช้มากกว่า 2,000,000 ราย หลังจากมีการตรวจพบว่า The Great Suspender มีโค้ดของมัลแวร์ฝังอยู่

Great Suspender เป็น Extension ใน Google Chrome ที่จะระงับแท็บที่ไม่ได้ใช้งานและยกเลิกการโหลดทรัพยากรเพื่อลดการใช้หน่วยความจำของเบราว์เซอร์ ซึ่งเมื่อผู้ใช้พร้อมที่จะใช้แท็บอีกครั้งผู้ใช้คลิกที่แท็บเพื่อใช้งานต่อได้

Google ได้ตรวจสอบ Extension และพบว่าผู้พัฒนา Extension ที่ได้ทำการซึ้อ โปรเจกต์ในเดือนมิถุนายน 2020 เพื่อนำไปพัฒนาต่อได้ทำการเพิ่มฟีเจอร์ที่ทำให้สามารถเรียกใช้โค้ดได้โดยผู้ใช้ไม่ได้อนุญาตจากเซิร์ฟเวอร์ระยะไกลรวมถึง Extension มีโค้ดในการติดตามผู้ใช้ทางออนไลน์และกระทำการแฝงโฆษณาไว้ ซึ่งฟีเจอร์ดังกล่าวอยู่ใน The Great Suspender เวอร์ชัน 7.1.8

ทั้งนี้สำหรับผู้ที่ต้องการใช้ Extension ที่ชื่อว่า The Great Suspender อย่างถูกต้องและเวอร์ชันดังเดิมสามารถเข้าไปดาวน์โหลดได้ที่ GitHub ซึ่งเป็นเวอร์ชันสุดท้ายของ Extension คือเวอร์ชัน 7.1.6 ได้ที่: github

ที่มา: bleepingcomputer, thehackernews

Unit42 จาก Palo Alto Networks ประกาศการค้นพบแคมเปญการโจมตีใหม่จากกลุ่มแฮกเกอร์ TeanTNT ซึ่งพุ่งเป้าโจมตีสภาพแวดล้อมระบบที่มีการใช้งาน Kubernetes ด้วยมัลแวร์ Hildegard โดยมีจุดประสงค์หลักในการทำ Cryptojacking

ผู้โจมตีจะทำการเข้าถึงคลัสเตอร์ที่อนุญาตให้มีการเข้าถึงได้โดยไม่ต้องระบุตัวตน จากนั้นผู้โจมตีจะทำการติดตั้งมัลแวร์ Hildegard ซึ่งมีความสามารถในการแพร่กระจายตัวเองไปยัง container ที่มีอยู่เพื่อกระบวนการขุดเหมือง

ลักษณะสำคัญของมัลแวร์ Hidlegard คือมีการติดตั้งกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมผ่านโปรโตคอล IRC, มีฟังก์ชันในการซ่อนกระบวนการทำงานและโปรเซสในลักษณะที่คล้ายมัลแวร์ในกลุ่ม Rootkit และยังไม่สามารถถูกใช้เพื่อขโมยข้อมูลที่มีอยู่ออกไปด้วย

เราขอแนะนำให้ผู้ใช้งาน ผู้พัฒนาและผู้ดูแลระบบตรวจสอบการตั้งค่าของสภาพแวดล้อมว่ามีการตั้งค่าอย่างปลอดภัย รวมไปถึงเฝ้าระวังเพื่อระบุหาการทำงานที่ผิดปกติที่อาจเกิดขึ้นในระดับ container ด้วย

ที่มา: securityweek.

ทีม Cybersecurity จาก ESET ได้เปิดเผยถึงการค้นพบมัลแวร์ที่มีชื่อว่า “Kobalos” ซึ่งกำหนดเป้าหมายการโจมตีไปยังซูเปอร์คอมพิวเตอร์ที่ถูกใช้โดยผู้ให้บริการอินเทอร์เน็ตรายใหญ่ในเอเชีย (Internet Service Provider - ISP), ผู้จัดจำหน่าย Endpoint Security ในประเทศสหรัฐอเมริกาและเซิร์ฟเวอร์ส่วนตัวจำนวนหนึ่ง

Kobalos เป็นมัลแวร์ที่มีโค้ดเบสขนาดเล็กแต่มีความซับซ้อน ซึ่งมัลแวร์จะส่งผลกระทบต่อระบบปฏิบัติการ Linux, BSD, SolarisI, IBM AIX และ Microsoft Windows ด้วย

ทีม Cybersecurity จาก ESET ได้ร่วมกับทีมรักษาความปลอดภัยทางคอมพิวเตอร์จาก CERN ในการทำ Reverse engineering มัลแวร์ Kobalos พบว่ามัลแวร์ได้กำหนดเป้าหมายไปที่คลัสเตอร์คอมพิวเตอร์ประสิทธิภาพสูง (High Performance Computer - HPC) โดยในบางกรณีของการติดไวรัสจะพบมัลแวร์ 'sidekick' ถูกใช้ในการลักลอบเชื่อมต่อกับ SSH เซิร์ฟเวอร์เพื่อขโมยข้อมูล Credentials ที่ใช้ในการเข้าถึงคลัสเตอร์ HPC และจะปรับใช้มัลแวร์ Kobalos

เมื่อมัลแวร์เข้าสู่ซูเปอร์คอมพิวเตอร์แล้วโค้ดจะถูกฝังในเซิร์ฟเวอร์ OpenSSH ที่จะทำให้เรียกใช้งานได้ผ่านพอร์ตเฉพาะ โดยทำหน้าที่เป็นตัวกลางสำหรับการเชื่อมต่อเซิร์ฟเวอร์แบบ Command-and-Control (C&C) นอกจากนี้ Kobalos ยังมีความสามารถในการเปลี่ยนเซิร์ฟเวอร์ที่ถูกบุกรุกให้เป็นเซิร์ฟเวอร์ (C&C) ของผู้ประสงค์ร้ายอีกด้วย

ทั้งนี้ผู้ดูแลระบบ HPC ควรทำการตรวจสอบเซิร์ฟเวอร์อยู่เป็นประจำและจำกัดการเข้าถึงเซิร์ฟเวอร์ โดยการกำหนดเฉพาะ IP ที่อนุญาตพิเศษเท่านั้นถึงจะเข้าสู่ระบบได้ เพื่อป้องกันผู้ประสงค์ร้ายใช้ความสามารถของมัลแวร์ในการเข้าถึงเซิร์ฟเวอร์โดยไม่ได้รับอนุญาต

ที่มา: zdnet.

Kirk Sayre นักวิจัยด้านความปลอดภัยได้เปิดเผยถึงการค้นพบแคมเปญฟิชชิ่งที่ใช้คำสั่ง Finger เพื่อดาวน์โหลดและติดตั้งมัลแวร์ MineBridge บนอุปกรณ์ของผู้ที่ตกเป็นเหยื่อ

คำสั่ง "Finger" เป็นยูทิลิตี้ที่ช่วยให้ผู้ใช้สามารถเรียกดูรายชื่อและข้อมูลเกี่ยวกับผู้ใช้ได้จากระยะไกล ซึ่งในเดือนกันยายน 2020 ทีผ่านมา ได้มีนักวิจัยด้านความปลอดภัยออกรายงานถึงการค้นพบวิธีใช้ Finger เป็น Living-off-the-Land binaries (LOLBINS) เพื่อดาวน์โหลดมัลแวร์จากคอมพิวเตอร์ระยะไกล

FireEye ได้ออกรายงานเกี่ยวกับมัลแวร์ MineBridge หลังจากพบแคมเปญฟิชชิ่งจำนวนมากที่กำหนดเป้าหมายไปยังองค์กรในเกาหลีใต้ โดยใช้อีเมลฟิชชิ่งที่มีเอกสาร Word ที่เป็นอันตรายและมีเนื้อหาเป็นประวัติย่อของผู้สมัครงาน เมื่อเหยื่อคลิกที่ปุ่ม "Enabled Editing" หรือ "Enable Content" โค้ดมาโครที่อยู่ภายในเอกสารที่เป็นอันตรายจะทำงาน และจะมีการใช้คำสั่ง Finger เพื่อดาวน์โหลด Certificate ที่เข้ารหัส Base64 จากเซิร์ฟเวอร์ระยะไกลของผู้ประสงค์ร้าย จากนั้น Certificate ที่ถูกดาวน์โหลดจะถูกถอดรหัสและจะถูกเรียกใช้เพื่อดาวน์โหลดมัลแวร์ MineBridge และ DLL ที่เป็นอันตรายของ MineBridge บนเครื่องของผู้ที่ตกเป็นเหยื่อ

ทั้งนี้เพื่อเป็นการป้องกันการตกเป็นเหยื่อ ผู้ใช้ควรระมัดระวังในการเปิดเอกสารที่แนบมากับอีเมล หรือคลิกลิงก์ในอีเมลจากผู้ส่งที่ไม่รู้จัก

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้รายงานถึงการค้นพบ Android banking trojan ชนิดใหม่ที่สามารถสอดแนมและขโมยข้อมูลจากแอปพลิเคชันของผู้ใช้ Android ได้ โดยหลังจากนักวิจัยพบจำนวนแอปพลิเคชัน 153 แอปพลิเคชันที่มีอันตรายและนักวิจัยได้เรียกโทรจันชนิดนี้ว่า Ghimob

นักวิจัยกล่าวว่า Ghimob เป็นโทรจันได้รับการพัฒนาโดยกลุ่มเดียวกันที่อยู่เบื้องหลังมัลแวร์ Windows Astaroth หรือ Guildma การตรวจพบเกิดจากทีมนักวิจัยได้รับข้อเสนอให้ทำการดาวน์โหลด Android ที่เป็นอันตรายบนเว็บไซต์เเห่งหนึ่งและเมื่อทำการตรวจสอบเซิร์ฟเวอร์ที่ใช้งานพบว่าเป็นเซิร์ฟเวอร์ที่ก่อนหน้านี้ถูกใช้โดยกลุ่มมัลแวร์ Astaroth (Guildama)

แอปที่อยู่ภายในเว็บไซต์พบว่ามีการเลียนแบบแอปและแบรนด์ที่เป็นทางการโดยมีชื่อเช่น Google Defender, Google Docs, WhatsApp Updater หรือ Flash Update หากผู้ใช้ประมาทและทำการติดตั้งแอป ถึงแม้จะมีคำเตือนที่แสดงบนอุปกรณ์ของผู้ใช้ก็ตาม แอปที่เป็นอันตรายเหล่านี้จะร้องขอการเข้าถึงบริการ ซึ่งจะเป็นขั้นตอนสุดท้ายในกระบวนการติดไวรัสและถ้าหากได้รับอนุญาต แอปจะค้นหาข้อมูลภายในโทรศัพท์ที่ติดไวรัสเพื่อดูรายการแอปของผู้ใช้ จากนั้นจะแสดงหน้าล็อกอินปลอมเพื่อพยายามขโมยข้อมูล Credential ของผู้ใช้ ซึ่งหลังจากความพยายามฟิชชิงข้อมูลสำเร็จข้อมูล Credential ที่รวบรวมไว้ทั้งหมดจะถูกส่งกลับไปยังกลุ่ม Ghimob ซึ่งจะใช้ข้อมูลเหล่านี้ในการเข้าถึงบัญชีของเหยื่อและเริ่มทำธุรกรรมที่ผิดกฎหมาย

นักวิจัยยังกล่าวอีกว่าแอปที่แฝงมัลแวร์ Ghimob ไว้นั้นได้กำหนดเป้าหมายส่วนใหญ่เป็นของธนาคารในบราซิล , เยอรมนี, โปรตุเกส, เปรู, ปารากวัย, แองโกลาและโมซัมบิก และยังได้เพิ่มเป้าหมายไปยังแอปพลิเคชันที่มีเกี่ยวข้องกับ cryptocurrency exchange เพื่อพยายามเข้าถึงบัญชีสกุลเงินดิจิทัล

ทั้งนี้ผู้ใช้ Android ควรมีระมัดระวังในการดาวน์โหลดแอปพลิเคชันจากเเหล่งที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: zdnet.

ไมโครซอฟต์มีการแจ้งเตือนแบบไม่เป็นสาธารณะในช่วงต้นเดือนที่ผ่านมาถึงพฤติกรรมของกลุ่มมัลแวร์เรียกค่าไถ่ที่ใช้วิธีการแพร่กระจายในลักษณะ Fake Update ของโปรแกรม Microsoft Teams ฝังแบ็คดอร์ โดยมีการทำโฆษณาปลอมเพื่อหลอกให้เหยื่อดาวโหลดด้วย

พฤติกรรมการใช้ Fake Update นั้นเป็นพฤติกรรมในการแพร่กระจายมัลแวร์เรียกค่าไถ่ DoppelPaymer ตั้งแต่ปี 2019 อย่างไรก็ตามในปีที่ผ่านมา พฤติกรรมดังกล่าวนี้ถูกใช้เพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่ WastedLocker มากกว่า

เมื่อเหยื่อหลงเชื่อและดาวโหลดแอปพลิเคชันปลอม แบ็คดอร์ที่ฝังเอาไว้ในโปรแกรมปลอมจะถูกติดตั้งและสร้างช่องทางกลับไปหาระบบของผู้โจมตี จากข้อมูลของไมโครซอฟต์ ผู้โจมตีมีการใช้ช่องโหว่ ZeroLogon ในการยกระดับสิทธิ์และทำ lateral movement ด้วย

ไมโครซอฟต์ออกคำแนะนำให้ใช้เบราว์เซอร์ซึ่งมีความสามารถในการตรวจสอบไฟล์ที่เป็นอันตราย จำกัดสิทธิ์และตั้งค่าความปลอดภัยใน active directory ให้เหมาะสมและลด attach surface ออกจากระบบด้วยการ hardening

ที่มา: bleepingcomputer.