Emotet แพร่กระจายผ่านแบบฟอร์มภาษี W-9 ปลอมจาก IRS

แคมเปญฟิชชิ่ง Emotet รูปแบบใหม่ ที่มุ่งเป้าไปยังผู้เสียภาษีในสหรัฐฯ โดยการปลอมแปลงเป็นแบบฟอร์ม W-9 ที่ถูกส่งโดยหน่วยงาน Internal Revenue Service และบริษัทของเหยื่อ

Emotet เป็นมัลแวร์ที่มักแพร่กระจายผ่านทางอีเมลฟิชชิ่ง โดยในอดีตมีการใช้งานเอกสาร Microsoft Word และ Excel ที่มีการฝังมาโครไว้เพื่อทำการติดตั้งมัลแวร์

อย่างไรก็ตาม หลังจากที่ Microsoft ได้ทำการแก้ไขโดยการบล็อกมาโครเป็นค่าเริ่มต้นบน office ทาง Emotet ก็เปลี่ยนไปใช้ไฟล์ Microsoft OneNote ที่มีการฝังสคริปต์แทน เพื่อทำการติดตั้งมัลแวร์

เมื่อ Emotet ถูกติดตั้งแล้ว มัลแวร์จะทำหน้าที่ขโมยอีเมลของเหยือเพื่อใช้ในการโจมตีแบบ reply-chain, ส่งอีเมลสแปมเพิ่มเติม รวมถึงติดตั้งมัลแวร์อื่น ๆ เพื่อเปิดช่องทางการเข้าถึงระบบของเหยื่อสำหรับกลุ่มผู้โจมตีอื่น ๆ หรือกลุ่ม Ransomware

Emotet เตรียมพร้อมสำหรับช่วงเก็บภาษีของสหรัฐฯ

การทำงานของ Emotet มักใช้แคมเปญฟิชชิ่งที่มีธีมให้สอดคล้องกับวันหยุดพิเศษ และกิจกรรมทางธุรกิจที่เกิดขึ้นทุกปี เช่น ช่วงเวลาการเก็บภาษีของสหรัฐฯ ในปัจจุบัน

ในแคมเปญฟิชชิ่งล่าสุด (more…)

‘Nexus’ มัลแวร์ Banking Trojan ตัวใหม่บน Android มุ่งเป้าโจมตีไปยังแอปพลิเคชันทางด้านการเงินกว่า 450 แอปพลิเคชัน

'Nexus' มัลแวร์ Banking Trojan ตัวใหม่บนระบบ Android กำลังถูกนำมาใช้โดยผู้ไม่หวังดีหลายราย โดยมุ่งเป้าการโจมตีไปที่แอปพลิเคชันทางด้านการเงินกว่า 450 แอปพลิเคชัน

บริษัทด้านความปลอดภัยทางไซเบอร์จากอิตาลี Cleafy ระบุในรายงานที่เปิดเผยต่อสาธารณะในสัปดาห์นี้ว่า "Nexus กำลังอยู่ในช่วงเริ่มต้นของการพัฒนา โดยมีฟีเจอร์หลักทั้งหมดสำหรับการโจมตีในรูปแบบ ATO (Account Takeover) กับ banking portals และบริการ cryptocurrency เช่น การขโมยข้อมูล credentials และการดักจับ SMS

โทรจันดังกล่าวถูกพบครั้งแรกโดย Cyble ในฟอรัมของกลุ่มแฮ็กเกอร์เมื่อช่วงต้นปีที่ผ่านมา โดยมีค่าบริการสำหรับสมัครสมาชิก 3,000 ดอลลาร์ต่อเดือน

อย่างไรก็ตามมีหลักฐานจากข้อมูลของ Rohit Bansal (@0xrb) นักวิจัยด้านความปลอดภัยทางไซเบอร์ และได้รับการยืนยันโดยผู้สร้างมัลแวร์บน Telegram ว่ามัลแวร์อาจถูกใช้ในการโจมตีจริงตั้งแต่เดือนมิถุนายน 2022 เป็นอย่างน้อย หรือหกเดือนก่อนที่จะมีการประกาศขายอย่างเป็นทางการบนฟอรัมของกลุ่มแฮ็กเกอร์

Nexus มีความคล้ายกับ banking trojan อีกตัวที่ชื่อ SOVA โดย Nexus ใช้ซอร์สโค้ดบางส่วนของ SOVA รวมกับโมดูลแรนซัมแวร์ที่อยู่ในระหว่างการพัฒนา (more…)

Windows, Ubuntu และ VMWare Workstation ถูกแฮ็กในวันสุดท้ายของการแข่งขัน Pwn2Own

ในวันที่สามของการแข่งขัน Pwn2Own นักวิจัยด้านความปลอดภัยได้รับเงินรางวัลรวมกันกว่า 185,000 ดอลลาร์ หลังจากสาธิตการโจมตีด้วยช่องโหว่ Zero-Day 5 รายการ โดยมีเป้าหมายเป็น Windows 11, Ubuntu Desktop และ VMware Workstation

มีการสาธิตช่องโหว่ Zero-Day บน Ubuntu 3 รายการ ที่สามารถโจมตีได้จริง โดย Kyle Zeng จาก ASU SEFCOM (double free bug), Mingi Cho จาก Theori (ช่องโหว่ Use-After-Free) และ Bien Pham (@bienpnn) จาก Qrious Security

สำหรับสองรายชื่อแรกที่สามารถใช้ Zero-Day ในการโจมตีได้ ได้รับเงินรางวัลคนละ 30,000 ดอลลาร์ ในขณะที่ Pham ได้รับเงินรางวัล 15,000 ดอลลาร์ เนื่องจากมี bug collision

Windows 11 ที่ได้รับการอัปเดตล่าสุด ถูกโจมตีได้อีกครั้งในการแข่งขัน โดยมี Thomas Imbert (@masthoon) จาก Synacktiv (@Synacktiv) ได้รับเงินรางวัล 30,000 ดอลลาร์สำหรับช่องโหว่ Use-After-Free (UAF) (more…)

หน่วยงานปราบปรามอาชญากรรมแห่งชาติของสหราชอาณาจักร ตั้งเว็บไซต์ DDoS-For-Hire ปลอมเพื่อหลอกจับกุมอาชญากรทางไซเบอร์

หน่วยงานปราบปรามอาชญากรรมแห่งชาติของสหราชอาณาจักร (NCA) เปิดเผยว่าได้ทำการสร้างเครือข่ายของเว็บไซต์ DDoS-for-hire ปลอม เพื่อแฝงตัวเข้าไปสู่กลุ่มอาชญากรรมในโลกออนไลน์

หน่วยงานบังคับใช้กฎหมายระบุว่า "เว็บไซต์ที่ถูกดำเนินการโดย NCA ซึ่งมีผู้เข้าถึงเว็บไซต์กว่าพันคน ถูกสร้างขึ้นให้ดูเหมือนว่ามีเครื่องมือ และบริการที่ช่วยให้อาชญากรทางไซเบอร์สามารถนำไปดำเนินการโจมตีเป้าหมายได้"

โดยหลังจากที่ผู้ใช้งานลงทะเบียนเข้าใช้งานเว็บไซต์ แทนที่จะได้รับสิทธิ์ในการเข้าถึงเครื่องมือสำหรับการโจมตี แต่ข้อมูลของพวกเขากลับถูกรวบรวมโดยเจ้าหน้าที่จาก NCA แทน

(more…)

QNAP แจ้งเตือนผู้ใช้เกี่ยวกับการโจมตีด้วย Brute-force attacks ที่กำหนดเป้าหมายไปยังอุปกรณ์ QNAP NAS

QNAP ออกแจ้งเตือนผู้ใช้เกี่ยวกับแคมเปญ การโจมตีด้วย Brute-force attacks ที่กำหนดเป้าหมายไปยังอุปกรณ์ QNAP NAS อย่างต่อเนื่อง และได้ออกคำแนะนำให้ผู้ใช้ทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

QNAP ได้รับรายงานว่าผู้ใช้หลายรายกำลังถูกผู้ไม่หวังดีพยายามที่จะเข้าสู่ระบบของอุปกรณ์ QNAP โดยใช้วิธีโจมตีด้วยเทคนิค Brute-force attacks หากอุปกรณ์ QNAP มีการใช้รหัสผ่านที่ง่ายหรือคาดเดาได้ เช่น “password” หรือ “12345” จะทำให้ผู้ประสงค์ร้ายสามารถเข้าถึงอุปกรณ์ได้โดยง่าย และสามารถขโมยเอกสารที่มีความสำคัญหรือติดตั้งมัลแวร์ได้ โดยผู้ดูแลควรหมั่นตรวจสอบข้อมูล log การเข้าสู่ระบบ เนื่องจากการคาดเดารหัสผ่านจะทำให้เกิด log ที่แจ้ง "Failed to login" หากเจอ log ลักษณะดังกล่าวในปริมาณมากกว่าปกติ หรือเจอบ่อย ๆ ควรมีการตรวจสอบการตั้งค่าความปลอดภัยของอุปกรณ์

QNAP ได้ออกคำแนะนำให้ผู้ใช้อุปกรณ์ NAS ทำการเปลี่ยนหมายเลขพอร์ตของ Default access และควรทำการใช้รหัสผ่านที่คาดเดาได้ยาก จากนั้นปิดใช้งานบัญชี admin หากไม่จำเป็นที่จะต้องใช้งาน เนื่องจากบัญชีดังกล่าวตกเป็นเป้าหมายในการโจมตี และผู้ดูแลระบบควรทำการสร้างบัญชีผู้ดูแลระบบใหม่ เพื่อป้องกันการตกเป็นเป้าหมายจากการโจมตี ทั้งนี้ผู้ดูแลระบบสามารถเข้าไปอ่านรายละเอียดการตั้งค่าความปลอดภัยได้ที่: qnap

ที่มา: bleepingcomputer

นักวิจัยพบฐานข้อมูลโบรกเกอร์ฟอเร็กซ์ FBS ถูกเปิดเผยที่มีข้อมูลผู้ใช้มากกว่า 16,000 ล้านรายการ

นักวิจัยด้านความปลอดภัยได้ค้นพบฐานข้อมูลเว็บไซต์ Forex trading ของโบรกเกอร์ FBS ที่มีขนาดข้อมูลเกือบ 20 TB ที่อยู่บนเซิร์ฟเวอร์ ElasticSearch ซึ่งมีข้อมูลมากกว่า 16,000 ล้านรายการ

FBS เป็นโบรกเกอร์ออนไลน์ Forex trading ที่มีผู้ใช้มากกว่า 16 ล้านคนบนแพลตฟอร์มซึ่งครอบคลุม 190 ประเทศ โดยนักวิจัยด้านความปลอดภัยได้พบเซิร์ฟเวอร์ ElasticSearch ที่เปิดทิ้งไว้โดยไม่มีการป้องกันด้วยรหัสผ่านหรือการเข้ารหัสใด ๆ ซึ่งทำให้ทุกคนสามารถเข้าถึงข้อมูล FBS ได้

โดยข้อมูลที่ถูกค้นพบประกอบไปด้วย ชื่อ, รหัสผ่าน, อีเมล, หมายเลขหนังสือเดินทาง, บัตรประจำตัวประชาชน, บัตรเครดิต, ธุรกรรมทางการเงินและอื่น ๆ นอกจากนี้ยังมีไฟล์ที่ถูกอัปโหลดโดยผู้ใช้เพื่อยืนยันการตรวจสอบบัญชี ซึ่งมีเอกสารเช่น รูปถ่ายส่วนตัว, บัตรประจำตัวประชาชน, ใบขับขี่, สูติบัตร, ใบแจ้งยอดบัญชีธนาคาร, ค่าสาธารณูปโภคและรูปภาพบัตรเครดิตของธนาคารในฝรั่งเศสและสวีเดน และรายละเอียด Transaction รวม 500,000 ดอลลาร์

ผู้ใช้ที่เป็นสมาชิกโบรกเกอร์ FBS ควรทำการตรวจสอบบัญชีและควรทำการเปลื่ยนรหัสผ่านและเปิดการใช้งาน Two-factor authentication (2FA) บนแพลตฟอร์มและเฝ้าระวังกิจกรรมที่ผิดปกติที่อาจส่งผลกระทบกับการเงิน ทั้งนี้ผู้ใช้ควรระมัดระวังการถูกใช้ข้อมูลที่ถูกรั่วไหลเพื่อทำการหลอกลวงด้วยเทคนิคฟิชชิง รวมทั้งไม่ควรเปิดเผยข้อมูลที่เป็นความลับส่วนบุคคลใด ๆ ที่ร้องขอทางอีเมลหรือทางโทรศัพท์

ที่มา: itpro

พบมัลแวร์เรียกค่าไถ่ Black Kingdom อาศัยช่องโหว่ ProxyLogon ของ Exchange Server ในการโจมตี

Microsoft พบ web shell ที่เชื่อว่าถูกใช้โดยมัลแวร์เรียกค่าไถ่ที่ชื่อว่า "Black Kingdom" อาศัยช่องโหว่ของ Exchange Server ในการโจมตี มีเครื่อง Exchange Server ตกเป็นเหยื่อมากกว่า 1,500 ราย แต่ไม่ใช่ทุกรายที่จะโดนเข้ารหัสไฟล์ หรือโดนกระบวนการ human-operated นอกจากนี้พบว่ามีตัวอย่างไฟล์มัลแวร์มากกว่า 30 รายการที่ถูกส่งไปตรวจสอบกับเว็บไซต์ ID Ransomware ตั้งแต่วันที่ 18 มีนาคมที่ผ่านมา ระบุว่ามีการเรียกค่าไถ่เป็นจำนวนเงินมากกว่า 100,000 เหรียญ และมีการโจรกรรมข้อมูลออกไปด้วย

นอกเหนือจาก Black Kingdom แล้ว ก่อนหน้านี้ก็ยังพบว่ามีมัลแวร์อื่น ๆ อาทิเช่น DearCry Ransomware และ Cryptoming malware ที่อาศัยช่องโหว่ของ Exchange Server ในการโจมตีด้วยเช่นเดียวกัน ผู้ใช้งาน Exchange Server ที่เป็น On-premise หรือ Hybrid หากยังไม่ได้อัปแพตช์ควรดำเนินการโดยเร็วที่สุด

ที่มา: bleepingcomputer

Apple ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาความปลอดภัยบนอุปกรณ์ ควรติดตั้งแพตช์ดังกล่าวทันที

แพตช์ที่ออกมาเป็นการแก้ปัญหา zero-day ที่พบ โดยอุปกรณ์ที่ได้รับผลกระทบครอบคลุมทั้ง iPhones, iPads และ Apple Watches ที่ยังรองรับการใช้งานระบบปฏิบัติการ iOS 12 อยู่ มีรายการเวอร์ชันอัปเดต ดังต่อไปนี้

iOS 14 (iPhones ล่าสุด) ให้อัปเดตเป็น 14.4.2
iOS 12 (iPhones เก่า และ iPads) ให้อัปเดตเป็น 12.5.2
iPadOS 14 ให้อัปเดตเป็น 14.4.2
watchOS ให้อัปเดตเป็น 7.3.3

เป็นการแก้ปัญหาช่องโหว่ในส่วนของ WebKit ที่เป็น core web browser ของ Apple, cross-site scripting (XSS) และ Same Origin Policy (SOP) โดยช่องโหว่ดังกล่าว มีผลให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลส่วนตัวที่ไม่ต้องการเปิดเผย, สั่งรันคำสั่งอันตรายบนเครื่อง (RCE) หรือ ยกระดับสิทธิ์ (EoP) ได้

ที่มา: nakedsecurity

OpenSSL ออกแพตช์เวอร์ชัน 1.1.1k เพื่อแก้ปัญหาช่องโหว่ความรุนแรงสูง 2 รายการ

ช่องโหว่ดังกล่าวประกอบด้วย CVE-2021-3449 และ CVE-2021-3450

CVE-2021-3449: ช่องโหว่ที่สามารถทำให้เกิด DoS บนเครื่องที่โดนโจมตีได้ด้วยการส่ง ClientHello ที่ได้รับการปรับแต่งจาก Client มายังเครื่อง Server ที่มีช่องโหว่ มีผลกระทบกับ Server ที่ใช้ OpenSSL 1.1.1 ร่วมกับ TLS 1.2
CVE-2021-3450: ช่องโหว่ในกระบวนการพิสูจน์ certificate chain เมื่อเป็นการใช้ X509_V_FLAG_X509_STRICT ส่งผลให้เกิด certificate bypassing ส่งผลให้ไม่มีการ reject TLS certificates ที่ไม่ได้ถูก sign ด้วย browser-trusted certificate authority (CA) ได้ มีผลกระทบตั้งแต่ OpenSSL 1.1.1h เป็นต้นไป

ผู้ใช้งานเวอร์ชันที่ได้รับผลกระทบ ควรดำเนินอัปแพตช์ให้เป็นเวอร์ชันล่าสุด

ที่มา: thehackernews

ใครๆ ก็พลาดกันได้! พบรายงานข้อผิดพลาดบนเครื่องมือทดสอบถอดรหัสของ LockBit ransomware ส่งผลให้เหยื่อสามารถนำไปใช้ถอดรหัสได้ไม่จำกัด

ข้อมูลนี้ถูกหยิบยกมาพูดคุยบนเว็บไซต์ใต้ดินที่เกี่ยวข้องกับอาชญากรรมทางไซเบอร์แห่งหนึ่ง เป็นปัญหาที่เกิดขึ้นกับเครื่องมือสำหรับถอดรหัสที่เป็นตัวทดสอบ (Trial Decryptor) สำหรับให้เหยื่อทดลองใช้ อย่างไรก็ตามเชื่อว่าปัจจุบันกลุ่มที่อยู่เบื้องหลัง LockBit ransomware น่าจะทราบปัญหาดังกล่าวและทำการแก้ไขปัญหาดังกล่าวแล้ว

 

ที่มา: therecord