“SpyLoan” Android มัลแวร์บน Google Play ถูกติดตั้งไปแล้วกว่า 8 ล้านครั้ง

พบแอปพลิเคชันของมัลแวร์ SpyLoan ชุดใหม่จำนวน 15 แอปพลิเคชันบน Google Play โดยมียอดดาวน์โหลดไปแล้วกว่า 8 ล้านครั้ง ซึ่งมุ่งเป้าหมายไปที่ผู้ใช้งานในภูมิภาคอเมริกาใต้, เอเชียตะวันออกเฉียงใต้ และแอฟริกาเป็นหลัก (more…)

Windows Push Notifications ถูกนำไปใช้เพื่อหลอกขโมยข้อมูลเหยื่อ

จากรายงานของ McAfee ปัจจุบันผู้ไม่หวังดีใช้ Browser Push Notifications ซึ่งมีลักษณะที่คล้ายกับ Windows Push Notifications มาใช้ในการหลอกล่อให้เหยื่อดำเนินการตามที่ต้องการ

โดยจะปลอมการแจ้งเตือนที่มีลักษณะเหมือนการแจ้งเตือนปกติ เพื่อให้เหยื่อหลงเชื่อ และดำเนินการกดติดตั้ง ซอฟต์แวร์ ที่เป็นอันตราย ซึ่งซอฟต์แวร์เหล่านั้นจะทำหน้าที่ในการเก็บรวบรวมข้อมูลของผู้ใช้งาน

ในรายงานผู้เชี่ยวชาญอธิบายวิธีการโจมตีในรูปแบบ Social Engineering นี้ จะหลอกให้เหยื่อนั้นทำการติดตั้ง Windows Defender ปลอม ซึ่งความจริงแล้วเป็นซอฟต์แวร์อันตราย

แทนที่จะใช้วิธีส่งอีเมลล์สำหรับโจมตีด้วยวิธีการ Phishing ผู้โจมตีจะแฮ็คการแจ้งเตือนแบบ Pop-up ของเว็ปไซต์ และใช้ข้อความโดยใช้ชื่อ และ Logo ของ McAfee โดยทำเหมือนว่าเป็น Windows Defender Update และเมื่อเหยื่อกดที่ข้อความแจ้งเตือนนั้น ก็จะเป็นการนำเหยื่อให้เข้าสู่หน้าเว็บไซต์ปลอม หลังจากนั้นก็จะเป็นการแจ้งข้อมูลหลอกเหยื่อต่างๆ เช่น McAfee ของพวกเขาหมดอายุ, McAfee ตรวจพบภัยคุกคามในระบบของพวกเขา, หรือ ข้อความที่อ้างว่าเป็นลิงก์โดยตรงที่ใช้ในการสมัครสมาชิก McAfee

Craig Schmugar วิศวกรอาวุโสของ McAfee ได้เขียนอธิบายวิธีการไว้ใน blog post "ในการหลอกเหยื่อ ผู้ไม่หวังดีจะใช้ปุ่มลบโฆษณา, ปุ่มลบเเจ้งเตือน หรือ ปุ่มที่คล้ายๆ กันนำเหยื่อไปยังเว็บไซต์ที่ผู้ไม่หวังดีต้องการ ซึ่งส่วนใหญ่จะเป็นเว็บไซต์ที่ต้องการให้ผู้ใช้อนุญาตให้มีการแจ้งเตือนเพิ่มเติม ซึ่งหากเหยื่อเข้าไปยังเว็บไซต์เหล่านั้นก็จะทำให้เกิด pop-up แจ้งเตือนขึ้นจำนวนมาก"

ซอฟต์แวร์ ที่เป็นอันตรายถ้าหากถูกติดตั้งไปแล้วนั้นสามารถที่จะขโมยข้อมูลระบบได้ซึ่งประกอบไปด้วย ข้อมูล process, ข้อมูลของไดรฟ์, Serial numbers, ข้อมูลของ Ram และ ข้อมูลของ Graphics card
นอกจากนี้ยังสามารถเข้าถึงข้อมูลโปรไฟล์แอปพลิเคชันเช่น Chrome, Exodus wallets, Ethereum wallets, Opera และ Telegram Desktops และข้อมูลบัตรเครดิตของเหยื่อได้

"ในขณะที่การ Phishing ด้วยอีเมลนั้นยังเป็นที่นิยมในโจมตีของเหล่าผู้ไม่หวังดี แต่พวกเขานั้นก็ยังพยายามที่จะแสวงหาช่องทางอื่นๆ อีกในการโจมตี เช่น ทางโซเชียลมีเดีย หรือ ในเหตุการณ์นี้ที่พวกเขานั้นใช้ Windows Push Notifications เพื่อหวังว่าเหยื่อนั้นจะหลงเชื่อ และกดติดตั้ง ซอฟต์แวร์ ที่เป็นอันตรายตามที่พวกเขาต้องการ" Javvad Malik security awareness advocate ของ KnowBe4. กล่าว

ผลกระทบในภายภาคหน้า
Malik กล่าวว่า "หากเหยื่อเชื่อว่าไฟล์ที่ดาวน์โหลดมานั้นเป็นไฟล์ที่ถูกต้อง พวกเขาก็อาจจะมองข้ามคำเตือนด้านความปลอดภัย หรือแจ้งเตือนด้านความปลอดภัย ในบางกรณีพวกเขาอาจจะทำการปิดการทำงานของ ซอฟต์แวร์รักษาความปลอดภัย เพื่อที่จะให้การดาวน์โหลดนั้นดำเนินการได้สะดวก เมื่อซอฟต์แวร์ที่เป็นอันตรายทำการติดตั้งสำเร็จ ผู้ไม่หวังดีก็จะสามารถเข้าถึงเครื่องของเหยื่อได้ และสามารถทำอะไรก็ได้ตามที่พวกเขาต้องการไม่ว่าจะเป็น ปล่อย Ransomware, ขโมยข้อมูล, หรือ การเคลื่อนย้ายจากเครื่องของเหยื่อเข้าไปยังองค์กรของพวกเขา เพื่อวัตถุประสงค์อื่นๆ อีกต่อไป"

นักวิจัยตั้งข้อสังเกตว่า "เว็บไซต์ปลอมของผู้ไม่หวังดีนั้นจะมีไฟล์ ms-appinstaller (MSIX) ให้ดาวน์โหลด เมื่อไฟล์ถูกดาวน์โหลด และถูกเรียกใช้ เหยื่อก็จะได้รับแจ้งให้ติดตั้ง Defender Update จาก 'Publisher: Microsoft' หลังจากติดตั้งแอปพลิเคชัน 'Defender Update' จะปรากฏในเมนูเริ่มต้นเหมือนกับแอป Windows อื่นๆ"

แทนที่จะไปอัปเดตจริง ผู้ไม่หวังดีก็จะหลอกให้เหยื่อคลิ้กผ่านทางลัดที่เป็นซอฟต์แวร์อันตรายที่ถูกติดตั้งไป หลังนั้นซอฟต์แวร์ดังกล่าวก็จะไปดาวน์โหลดโทรจันเพื่อมาขโมยข้อมูลของเหยื่อ

คำแนะนำในการลดความเสี่ยง

เหล่านักวิจัยเรียกร้องให้องค์กรต่างๆ ให้ความรู้แก่พนักงานในการอ่านข้อความแจ้งเตือน รวมไปถึงการอนุญาตให้สิทธ์ต่างๆ อย่างถี่ถ้วน และคลิก "อนุญาต" บนไซต์ที่เชื่อถือได้เท่านั้น นอกจากนี้พวกเขายังแนะนำให้ปิดการใช้งานการแจ้งเตือนบนหน้าเว็บเพื่อลดความเสี่ยง

"ในปัจจุบันกลโกงต่างๆ นั้นทำได้แนบเนียน และน่าเชื่อถือ ดังนั้นสิ่งที่จะดีกว่าการ Block ที่รวดเร็วคือการอ่าน และทำความเข้าใจอย่างช้าๆ ก่อนที่จะอนุญาตอะไรไป" Schmugar กล่าว และ เขาแนะนำเพิ่มเติมว่า สำหรับการอัปเดตระบบปฏิบัติการ Windows นั้นพนักงานควรทำการตรวจสอบด้วยตนเอง และอัปเดตผ่านเมนูเริ่มต้น หรือป้อนที่อยู่เว็บที่ถูกต้องด้วยตนเอง แทนที่จะคลิกลิงก์ที่ได้รับมา

ที่มา : bankinfosecurity

McAfee ประกาศบรรลุข้อตกลงในการขายส่วนกิจการฝั่ง Enterprise ให้กับบริษัท Symphony Technology Group ด้วยมูลค่า 4 พันล้านเหรียญ

McAfee ประกาศบรรลุข้อตกลงในการขายส่วนกิจการฝั่ง Enterprise ให้กับบริษัท Symphony Technology Group ด้วยมูลค่า 4 พันล้านเหรียญ

McAfee กล่าวว่าปัจจุบันธุรกิจส่วน Enterprise มีพาร์ตเนอร์ถึง 86% ที่เป็นบริษัทและองค์กรระดับ Fortune 100 และมีรายได้ในปี 2020 ที่ผ่านมามากกว่า 1,300 ล้านดอลลาร์ ข้อตกลงดังกล่าวจะทำให้ McAfee มีเงินทุนที่จะทำการมุ่งเน้นไปที่ธุรกิจการรักษาความปลอดภัยสำหรับผู้บริโภคและจะเร่งกลยุทธ์ในการเป็นผู้นำทางด้านความปลอดภัยส่วนบุคคลสำหรับผู้บริโภคและเพื่อคว้าตลาดทางด้านรักษาความปลอดภัยทางไซเบอร์ที่กำลังเติบโตมากขึ้น ซึ่งกระบวนการซื้อขายกิจการคาดว่าจะเสร็จสมบูรณ์ภายในปี 2021 หลังได้รับการอนุมัติจากหน่วยงานกำกับดูแลทางด้านกฎข้อบังคับและเงื่อนไขการปิดบัญชี

ทั้งนี้ McAfee เคยถูกซื้อกิจการโดยอินเทลในปี 2010 สำหรับ 7.68 พันล้านเหรียญสหรัฐ และในปี 2014 อินเทลประกาศว่า McAfee กลายเป็น Intel Security อย่างไรก็ตามในปี 2016 อินเทลตัดสินใจเเปลื่ยนชื่อบริษัท McAfee อีกครั้งหลังจากที่ TPG Capital เข้าซื้อจำนวนหุ้น 51% ซึ่งในปัจจุบัน McAfee มีผลิตภัณฑ์สำหรับปกป้องอุปกรณ์มากกว่า 600 ล้านเครื่องทั่วโลก

ที่มา: securityweek, helpnetsecurity, theregister

North Korean Hackers Used ‘Torisma’ Spyware in Job Offers-based Attacks

กลุ่มแฮกเกอร์เกาหลีเหนือใช้ Spyware ชนิดใหม่ Torisma ทำการโจมตีผู้ใช้โดยการแนบไปกับอีเมลรับสมัครงาน

นักวิจัยด้านความปลอดภัย Christiaan Beek และ Ryan Sherstibitoff จาก McAfee ได้เปิดเผยถึงแคมเปญการปฏิบัติการทางไซเบอร์ใหม่และมีการเชื่อมโยงกับกลุ่ม Hidden Cobra ซึ่งเป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือและใช้โค้ดเนมการปฏิบัติการว่า "Operation North Star”

แคมเปญ Operation North Star เป็นแคมเปญการโจมตีและการสอดแนมเหยื่อที่เป็นเป้าหมาย โดยการโจมตีนี้ถูกกำหนดเป้าหมายเป็น IP address ของผู้ให้บริการ Internet service providers (ISP) ในประเทศออสเตรเลีย, อิสราเอล, รัสเซียและผู้ให้บริการการป้องกันประเทศที่อยู่ในรัสเซียและอินเดีย โดยเครื่องมือที่ถูกใช้นั้นเป็น Spyware ที่ยังไม่เคยตรวจพบมาก่อนซึ่งมีชื่อว่า “Torisma”

จากการวิเคราะห์เบื้องต้นของ McAfee ชี้ให้เห็นว่ากลุ่มเฮกเกอร์ได้ใช้ประโยชน์จากเว็บไซต์ job recruitment ที่เป็นที่ยอดนิยมในสหรัฐฯ และอิตาลีทำการโจมตีในลักษณะ spear phishing โดยส่งอีเมลเพื่อล่อลวงเหยื่อให้เปิดไฟล์แนบภายในอีเมล ภายในไฟล์จะมีโค้ดที่ใช้ดำเนินการต่อเพื่อประเมินข้อมูลระบบของเหยื่อเช่น วันที่, ที่อยู่ IP, User-Agent เป็นต้น จากนั้นจะทำการตรวจเช็ค IP ที่เป็นเป้าหมายกลับ IP ผู้ที่ตกเป็นเป้าหมาย ถ้าหากตรงกัน กลุ่มเฮกเกอร์จะทำการติดตั้งมัลแวร์ Torisma เพื่อใช้ในการสอดแนมเหยื่อ

ทั้งนี้กลุ่มเเฮกเกอร์ยังใช้โดเมนของเว็บไซต์การประมูล, เว็บไซต์บริษัทการพิมพ์ และ เว็บไซต์บริษัทฝึกอบรมด้านไอทีในการส่งอีเมล spear-phishing เพื่อหลีกเลี่ยงการตรวจจับมาตรการรักษาความปลอดภัยของบางองค์กรได้อีกด้วย

ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์และเปิดไฟล์แนบในอีเมลเพื่อป้องกันการฟิชชิ่งด้วยอีเมล

ที่มา: thehackernews

แจ้งเตือนช่องโหว่แบบ Logical ในผลิตภัณฑ์ Antivirus หลายรายการ นำไปใช้ยกระดับสิทธิ์และข้ามผ่านกระบวนการจัดการสิทธิ์ได้

Eran Shimony จาก CyberArk อออกมาเปิดเผยถึงการค้นพบช่องโหว่ในผลิตภัณฑ์ Antivirus กว่า 15 ช่องโหว่ กระทบผลิตภัณฑ์ของ Kaspersky, McAfee, Symantec, Fortinet, CheckPoint, Trend Micro, Avira และ Microsoft Defender ช่องโหว่ทั้งหมดเป็นลักษณะของช่องโหว่แบบ logical หรือหมายถึงช่องโหว่ในเรื่องของการจัดการที่ไม่เหมาะสม ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาดังกล่าวในการโจมตีได้

Eran อธิบายถึงที่มาของช่องโหว่เอาไว้ในบล็อกของ CyberArk ช่องโหว่บางส่วนเกิดจากการจัดการสิทธิ์ที่ไม่เหมาะสมเมื่อมีการเขียนข้อมูลลงในพาธ C:\ProgramData รวมไปถึงการไม่ตรวจสอบและแก้ไขสิทธิ์ของไดเรกทอรีหรือไฟล์ที่โปรแกรม Antivirus ที่มีสิทธิ์สูงจะเข้าไปยุ่งเกี่ยวด้วยอย่างเหมาะสม แฮกเกอร์ซึ่งทราบเงื่อนไขของการโจมตีสามารถสร้างเงื่อนไขเพื่อให้โปรแกรม Antivirus ซึ่งมีสิทธิ์สูงอยู่แล้วเข้าไปแก้ไขไฟล์อื่น ๆ ในระบบ หรือลบไฟล์อื่น ๆ ในระบบได้

นอกเหนือจากเรื่องสิทธิ์ที่เกี่ยวกับพาธ C:\ProgramData แล้ว Eran ยังมีการระบุถึงช่องโหว่ DLL injection ในซอฟต์แวร์ Installer ยอดนิยมที่มักถูกใช้โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์ อาทิ InstallShield, InnoSetup, NsisInstaller และ Wix installer ด้วย

ช่องโหว่ดังกล่าวได้รับการแจ้งและแพตช์โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์แล้ว ขอให้ผู้ใช้งานทำการติดตามแพตช์และทำการอัปเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยใช้ช่องโหว่นี้โดยทันที

ที่มา : thehackernews

McAfee’s own anti-hacking service exposed users to banking malware

McAfee บล็อคการเข้าถึง URL แพร่กระจายของมัลแวร์ ซึ่งมาจากบริการของ McAfee เอง
นักวิจัยด้านความปลอดภัย Benkow ได้ประกาศการค้นพบมัลแวร์ในตระกูลของ Emotet ซึ่งใช้ในการแพร่กระจายมัลแวร์ตัวอื่น อย่างไรก็ตามการประกาศการค้นพบมัลแวร์ในครั้งนี้นั้นมีความพิเศษอยู่นิดหน่อยตรงที่ URL ที่ใช้ในการช่วยแพร่กระจายมัลแวร์นั้นดันมาจากบริการหนึ่งของ McAfee

จากการตรวจสอบในเบื้องต้น ไฟล์เอกสารที่มีการฝังสคริปต์มาโครที่เป็นอันตรายนั้นถูกอัปโหลดและใช้เว็บไซต์สาธารณะรายหนึ่งในการแพร่กระจาย เว็บไซต์สาธารณะดังกล่าวถูก "แชร์" ผ่านทางโดเมน cp.

McAfee Releases Security Bulletin for Web Gateway

McAfee ได้มีการปล่อยอัพเดทเพื่ออุดช่องโหว่ที่พบใน Web Gateway ซึ่งช่องโหว่เหล่านี้อาจทำให้ถูกโจมตี และเข้าควบคุมเครื่องจากระยะไกลได้ (remote attacking) โดยผู้ใช้งาน, ผู้ดูแลระบบสามารถเข้าไปศึกษารายละเอียด และทำการอัพเดทได้จากเว็บไซต์ของ McAfee (SB10205) ทั้งนี้ควรติดตามข่าวด้านความปลอดภัย และทำการอัพเดทอย่างสม่ำเสมอ

ที่มา : us-cert

McAfee is McAfee again

 บริษัทด้านความปลอดภัย McAfee หลังจากถูกซื้อไปในปี 2010 ด้วยมูลค่า 7.68 พันล้านเหรียญสหรัฐฯ โดย Intel และถูกเปลี่ยนชื่อเป็น Intel Security ได้กลับมาเป็นบริษัท McAfee อีกครั้งหลังจากดีลล่าสุดระหว่าง TPG และ Intel ที่ทำให้ Intel ถือหุ้น 49% จากทั้งหมด ส่วนอีก 51% เป็นของ TPG
ผลจากดีลล่าสุดทำให้ McAfee กลับมาเป็นบริษัทด้านความปลอดภัยที่ไม่ได้อยู่ภายใต้ร่มของบริษัทใดอีกครั้งซึ่งนับว่าเป็นผลดีต่อบริษัทในแง่ของความคล่องตัวและอิสระมากขึ้น
สำหรับในการบริหารนั้น Chris Young ซึ่งเคยทำหน้าที่บริหาร Intel Security มาแล้วตลอด 2 ปีที่ผ่านมาจะยังคงนั่งตำแหน่ง CEO อยู่ โดยมี Bryan Taylor จากฝั่ง TPG นั่งในตำแหน่งประธานบอร์ดและมี Steve Grobman ในตำแหน่ง CTO
Steve Grobman ให้สัมภาษณ์กับ Zdnet ว่า "ทิศทางและกลยุทธ์ของ McAfee จะยังคงเหมือนเดิมไม่มีเปลี่ยนแปลง แต่สิ่งที่กำลังจะเปลี่ยนไปคือความเร็วและความยืดหยุ่นที่จะมีมากขึ้น" อีกทั้งยังเพิ่มเติมด้วยว่า "วิธีการบริหารบริษัทผลิตชิปมันต่างสิ่งที่บริษัทด้านความมั่นคงปลอดภัยในระบบคอมพิวเตอร์ต้องการ"

ที่มา : techcrunch,theregister,TPG