Infostealer Malware คืออะไร
Infostealer เป็นมัลแวร์ที่มีเป้าหมายเฉพาะเจาะจงไปที่การขโมยข้อมูลภายในเครื่องที่ติดมัลแวร์ โดยการใช้ Infostealer เป็นที่นิยมในกลุ่ม Hacker เพื่อใช้เก็บรวบรวมบัญชีผู้ใช้ และรหัสผ่าน เพื่อนำมาใช้เป็นขั้นตอนแรกในการเข้าสู่ระบบภายในองค์กร (Intial Access) ซึ่งหลังจากเข้าถึงระบบได้แล้ว ก็อาจจะทำการโจมตีในรูปแบบ Ransomware หรือขโมยข้อมูลที่มีความสำคัญอื่น ๆ ออกไปได้
(more…)
Guardz Research พบแคมเปญการโจมตีทางไซเบอร์ที่มีความซับซ้อน และมีการประสานงานอย่างดี (more…)
รัฐนิวยอร์กได้ประกาศการชำระเงินจำนวน 2,000,000 ดอลลาร์ของ PayPal หลังจากที่ถูกกล่าวหาว่าละเมิดข้อกำหนดด้านความปลอดภัยทางไซเบอร์ของรัฐ ซึ่งนำไปสู่การถูกละเมิดข้อมูลในปี 2022 (more…)
Google ประกาศว่า การยืนยันตัวตนแบบหลายปัจจัย (MFA) จะเป็นข้อบังคับในทุกบัญชีของ Google Cloud ภายในสิ้นปี 2025 เพื่อเสริมความปลอดภัย (more…)
ตั้งแต่เดือนกรกฎาคมเป็นต้นไป Microsoft จะเริ่มบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับผู้ที่ลงทะเบียนเข้าใช้งาน Azure ทุกคน
(more…)
Okta บริษัทจัดการข้อมูลประจำตัว และการเข้าถึงข้อมูล ออกมาแจ้งเตือนการโจมตีรูปแบบ Social Engineering ที่มีการกำหนดเป้าหมายไปที่ฝ่าย IT service desk ในสหรัฐอเมริกา โดยมีการพยายามหลอกให้พวกเขารีเซ็ต multi-factor authentication (MFA) ของผู้ใช้งานที่มีสิทธิ์สูง ซึ่งเป้าหมายของผู้โจมตีคือขโมย Super Administrator ที่มีสิทธิ์สูง เพื่อเข้าถึง และใช้ข้อมูลส่วนตัวของผู้ที่ถูกโจมตีมาแอบอ้าง (more…)
Coinbase แพลตฟอร์มการแลกเปลี่ยน cryptocurrency ชื่อดัง ออกมายอมรับว่าถูกแฮ็กเกอร์ขโมยข้อมูลการเข้าสู่ระบบของพนักงาน เพื่อพยายามเข้าถึงระบบของบริษัทจากภายนอก
ผลจากการโจมตีทำให้แฮ็กเกอร์ได้ข้อมูลติดต่อของพนักงาน Coinbase จำนวนหนึ่ง โดยข้อมูลทางการเงิน และข้อมูลของลูกค้ายังไม่ได้รับผลกระทบ
รายละเอียดการโจมตี
แฮ็กเกอร์มุ่งเป้าไปที่ engineer ของ Coinbase จำนวนมาก ในวันอาทิตย์ที่ 5 กุมภาพันธ์ โดยมีการส่งข้อความแจ้งเตือนทาง SMS เพื่อให้ล็อกอินเข้าสู่บัญชีของบริษัทเพื่ออ่านข้อความสำคัญ โดยที่พนักงานส่วนใหญ่ไม่ได้สนใจข้อความ แต่มีพนักงานคนหนึ่งคลิกลิงก์ไปยังหน้าฟิชชิ่ง และมีการป้อนข้อมูล credentials
ขั้นตอนต่อไป แฮ็กเกอร์พยายามเข้าสู่ระบบภายในของ Coinbase โดยใช้ข้อมูล credentials ที่ถูกขโมยไป แต่ล้มเหลวเนื่องจากการเข้าถึงได้รับการป้องกันด้วย multi-factor authentication (MFA) และ 20 นาทีต่อมา แฮ็กเกอร์ก็เปลี่ยนไปใช้กลยุทธ์อื่น โดยโทรหาพนักงาน และอ้างว่าติดต่อมาจากทีม IT ของ Coinbase และสั่งให้เหยื่อลงชื่อเข้าใช้งานระบบ และทำตามคำแนะนำ
CSIRT ของ Coinbase ตรวจพบพฤติกรรมที่ผิดปกติภายใน 10 นาทีนับตั้งแต่เริ่มการโจมตี และติดต่อเหยื่อเพื่อสอบถามเกี่ยวกับพฤติกรรมล่าสุดที่ผิดปกติจากบัญชี หลังจากนั้นพนักงานก็ตระหนักว่ามีบางอย่างผิดปกติ และหยุดการสื่อสารกับผู้โจมตี
การป้องกัน
Coinbase ได้แชร์ TTPs ที่สามารถใช้เพื่อระบุการโจมตีที่คล้ายกัน และเพื่อป้องกันการโจมตีดังกล่าว:
การเข้าใช้งาน web traffic ไปยังที่อยู่ : sso-[.]com, sso[.]com, login.
เทคนิคการโจมตีด้วยฟิชชิ่งรูปแบบใหม่มีการใช้แอปพลิเคชัน Microsoft Edge WebView2 เพื่อขโมยคุกกี้ของเหยื่อ ทำให้ผู้โจมตีสามารถ Bypass multi-factor authentication ได้ เมื่อลงชื่อเข้าใช้บัญชีที่ถูกขโมยมา
จากเหตุการณ์การรั่วไหลของข้อมูลจากการโจมตีด้วย Remote access trojan และแคมเปญฟิชชิ่งต่างๆ จึงทำให้มีข้อมูล login credential ที่ถูกขโมยมาเป็นจำนวนมาก (more…)
Aberebot banking trojan บน Android กลับมาอีกครั้งในชื่อ 'Escobar' พร้อมคุณสมบัติใหม่สามารถขโมยรหัส multi-factor authentication จาก Google Authenticator ได้
คุณสมบัติใหม่ของ Aberebot เวอร์ชันล่าสุดคือสามารถควบคุมอุปกรณ์ Android ที่ติดมัลแวร์โดยใช้ VNC และยังสามารถบันทึกเสียง และแอบถ่ายภาพได้ โดยเป้าหมายหลักของมันคือการขโมยข้อมูลเพื่อเข้าถึงบัญชีธนาคารของเหยื่อ แอบทำธุรกรรม และขโมยเงินในบัญชีของเหยื่อ
แพลตฟอร์ม DARKBEAST ของ KELA ผู้พัฒนา Aberebot มีการโปรโมทมัลแวร์ในเวอร์ชันใหม่ที่ชื่อว่า 'Escobar Bot Android Banking Trojan' โดยผู้ใดสนใจสามารถเช่ามัลแวร์รุ่นเบต้าได้ในราคา 3,000 ดอลลาร์/เดือน และวางแผนที่จะเพิ่มราคาเป็น 5,000 ดอลลาร์ หลังจากพัฒนาเสร็จแล้ว
(more…)
Alex Weinert ผู้อำนวยการฝ่าย Identity Security จากไมโครซอฟต์ ได้มีการพูดถึงแนวทางการเลือกใช้ Multi-factor authentication (MFA) ในบล็อกล่าสุดของเขาว่า หากเป็นไปได้นั้น ผู้ใช้ทุกคนควรหยุดใช้งานโซลูชันของ MFA ที่ต้องพึ่งการส่งข้อมูลทางเครือข่ายโทรศัพท์ ไม่ว่าจะเป็นข้อความ OTP หรือการโทรเข้ามา และเปลี่ยนไปใช้แอปพลิเคชันหรือ security key
ปัญหาของความปลอดภัยในเครือข่ายโทรศัพท์ที่ทำให้กระทบต่อความปลอดภัยของ MFA เป็นที่ทราบกันดีอยู่แล้ว Weinert ระบุว่าทั้ง SMS และพูดคุยกันในเครือข่ายโทรศัพท์นั้นเป็นรูปแบบของการส่งข้อมูลที่ไม่ถูกเข้ารหัส ส่งให้ผู้ข้อมูลในลักษณะดังกล่าวสามารถถูกดับจับได้โดยเทคนิคการโจมตีผ่าน SDR, FEMTO cell และการโจมตีเครือข่าย SS7 ได้ ลักษณะของการยืนยันตัวตนทางเครือข่ายโทรศัพท์ยังมีความเสี่ยงต่อการโจมตีในลักษณะ SIM swapping ซึ่งเทคนิคการโจมตีแบบวิศวกรรมทางสังคมด้วย
Weinert กล่าวย้ำว่า การยืนยันตัวตนผ่านทางเครือข่ายโทรศัพท์ทั้งในรูปแบบของ SMS หรือสัญญาณเสียงนั้นเป็นวิธีการยืนยันตัวตนที่มีความปลอดภัยต่ำที่สุด สิ่งที่ผู้ใช้งานควรปฏิบัติคือการเปลี่ยนไปใช้โซลูชัน MFA อย่างเช่นแอปพลิเคชันหรือใช้ security key ที่มีความปลอดภัยกว่าแทน
เราขอแนะนำให้ผู้ใช้งานเปิดใช้ฟีเจอร์ MFA เสมอ และหากเป็นไปได้ให้เลือกวิธีการ MFA ที่ปลอดภัยที่สุด แม้วิธีการอย่าง SMS หรือสัญญาณเสียงจะไม่ปลอดภัยภันเท่าที่ควร แต่การมีการป้องกันเอาไว้ก็ยังดีกว่าไม่มีการป้องกันใด ๆ เลย
ที่มา: zdnet.