ถ้าหากพบว่า Account facebook ของคุณถูก logout โดยที่ไม่ทราบสาเหตุในช่วงนี้ ไม่ต้องกังวลไป เป็นฝีมือของ facebook เอง ผู้ใช้งานมากกว่า 90 ล้านคนจะถูกบังคับให้ออกจากระบบ เพื่อป้องกันการรั่วไฟลของข้อมูลผู้ใช้งานที่มาจากช่องโหว่ล่าสุด

โดยเมื่อวันศุกร์ที่ผ่านมา แฮกเกอร์ ใช้ประโยชน์จากช่องโหว่บนเว็บไซต์ 3 ช่องโหว่ในการเข้าถึงข้อมูล facebook account ของผู้ใช้งานกว่า 50 ล้านราย Guy Rosen ได้ทำการเผยแพร่ข้อมูลเหตุการณ์ในครั้งนี้ ซึ่งประกอบด้วย 10 ข้อมสำคัญ ดังต่อไปนี้
1. Facebook ตรวจพบการรั่วไหลของข้อมูลหลังจากพบการเข้าถึงที่เพิ่มขึ้นมากผิดปกติ
2. แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ทั้งหมด 3 ช่องโหว่ด้วยกัน ได้แก่ ในส่วนของการอัปโหลดไฟล์วีดีโอ happy birthday ในส่วนของ view as , การสร้าง token ที่ไม่ถูกต้องเมื่อทำการอัปโหลดวีดีโอผ่าน facebook แอพพลิเคชั่นบน mobile และการสร้าง token ที่มีสิทธิ์เป็นเจ้าของบัญชีให้กับ viewer ที่ดูผ่าน view as
3. แฮกเกอร์ ได้ token ที่สามารถใช้เข้าดูข้อมูลของผู้ใช้งาน facebook ไปกว่า 50 ล้านราย
4. แฮกเกอร์ ไม่ได้รหัสผ่านของผู้ใช้งานที่ข้อมูลรั่วไหลแต่อย่างใด หากแต่สามารถเข้าถึงข้อมูลต่างๆ ได้จาก access token ที่ได้ ผ่านทาง api ที่ app ต่างๆมีการใช้งานอยู่
5. แฮกเกอร์สามารถดาวโหลดข้อมูลของผู้ใช้งานได้ผ่าน API facebook
6. Application อื่นๆ ที่สามารถทำการ login ด้วย facebook มีความเสี่ยงที่จะถูกเข้าถึงได้ เช่นเดียวกับ facebook
7. Facebook ทำการ reset access token ของผู้ใช้งานจำนวนกว่า 90 ล้านบัญชี
8. ผู้ใช้งานควรตรวจสอบการเข้าใช้งาน facebook จากอุปกรณ์ต่างๆ ว่ามีการเข้าถึงบัญชีบนอุปกรณ์ต่างๆ จากตำแหน่งที่ผิดปกติหรือไม่
9. จากเหตุการณ์นี้ อาจจะไม่เกี่ยวข้องกับแฮกเกอร์ชาวไต้หวัน Chang Chi-Yuang ที่เคยแจ้งว่าพบช่องโหว่ zero-day บน facebook ก่อนหน้านี้
10. Facebook กำลังถูกดำเนินคดี กับเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่นี้

เหตุการณ์ในครั้งนี้ทาง facebook ได้ทำการ reset การ login ให้กับผู้ใช้งานหลายสิบล้านบัญชี และให้คำแนะนำแก่ผู้ใช้งานที่ได้รับผลกระทบ ให้ยกเลิกการเชื่อมต่อไปยัง application ที่สามารถทำการ login จาก facebook ได้ ในขณะนี้ช่องโหว่ที่พบได้รับการแก้ไขแล้ว และ facebook กำลังร่วมมือกับ FBI ตรวจสอบสิ่งที่เกิดขึ้นโดยเร็วที่สุด

ที่มา : The Hacker News

เว็บ Fiverr และ Freelancer ที่เป็นเว็บเสนองานให้กับผู้รับทำงานฟรีแลนซ์ทั่วโลกถูกผู้โจมตีใช้แพร่ malware โดยเว็บสองเว็บดังกล่าวถูกใส่ malware ไปในข้อเสนอการทำงาน เมื่อเหยื่อเปิดไฟล์แนบที่ปลอมเป็นรายละเอียดงาน malware จะทำงานและแอบติดตั้ง Keylogger โดยเหยื่อไม่รู้ตัว AgentTesla และ Remote Access Trojans (RATs) เป็นตัวอย่างของ Keylogger ที่เป็นไปได้ว่าจะถูกติดตั้งให้กับเหยื่อโดยอ้างอิงจากรายงานของทีม MalwareHunterTeam โดยสามารถโจมตีได้หลายรูปแบบ เช่น โจมตีคอมพิวเตอร์ของเหยื่อเมื่อเหยื่อเปิดไฟล์ดังกล่าว หรือ ถ้าผู้โจมตีต้องการยึดครองโทรศัพท์ของเหยื่อ ไฟล์แนบปลอมจะแจ้งเหยื่อว่าไฟล์นั้นเปิดได้แค่ผ่านทางโทรศัพท์ ทำให้เหยื่อหลงเชื่อแล้วเปิดไฟล์ดังกล่าวในโทรศัพท์แทน

เพื่อป้องกันการโจมตีลักษณะนี้ ผู้ใช้งานควรอัพเดทแอนติไวรัสและ OS patch เสมอและถ้าหากเจอไฟล์ที่ไม่ไว้วางใจอาจนำไปแสกนใน Virustotal เพื่อตรวจสอบก่อน

ที่มา : E Hacking News

แม้ว่าช่วงครึ่งปีแรกของ 2560 ไม่พบการโจมตีใดๆ จาก Necurs botnet เลย แต่เมื่อเร็ว ๆ นี้ได้มีการพบว่าถูกใช้ในการแพร่กระจาย Locky ransomware ผ่านอีเมลล์นับล้านฉบับ

นักวิจัยด้านความปลอดภัยจาก Symantec พบว่ากลุ่มแฮกเกอร์ผู้อยู่เบื้องหลัง Necurs botnet ได้มีการเพิ่มฟังค์ชันบางอย่างในชุดเครื่องมือหลัก เพื่อให้ได้ข้อมูลเชิงลึกเพิ่มเติมของเหยื่อผ่านการใช้ Screenshots และส่งกลับไป นอกจากนี้ผู้โจมตีได้ทำการอัพเกรดมัลแวร์ ให้มีฟีเจอร์สำหรับรายงานข้อผิดพลาด (error-reporting) ในกรณีที่เกิดปัญหาในการดาวน์โหลด เพื่อส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ คล้ายกับฟีเจอร์สำหรับรายงานข้อผิดพลาด (error-reporting ) ของซอฟต์แวร์ที่ถูกต้อง

Necurs botnet มีการแพร่กระจายอยู่เพียง 5 ปีเท่านั้น แต่มันสามารถทำให้เครื่องของเหยื่อเป็นฐานในการแพร่กระจายมัลแวร์ (Zombie) ได้ถึง 6 ล้านเครื่อง ส่งผลทำให้เครื่องเหยื่อมีการดาวน์โหลด banking Trojans และ Ransomware ผ่านอีเมลล์ไปแล้วนับล้านฉบับ โดยส่วนใหญ่ผู้โจมตีจะปลอมแปลงอีเมลล์เป็นใบแจ้งหนี้ (INVOICE) โดยมีรายละเอียดดังนี้

Subject: Status of invoice [หมายเลขใบ INVOICE ปลอม]
Attachment: [หมายเลขใบ INVOICE ปลอม].html
เนื้อหาของอีเมลล์ประกอบด้วยข้อความที่จูงใจให้ผู้อ่านอยากเปิดเอกสารแนบเพื่อตรวจสอบใบแจ้งหนี้ หากผู้ใช้เปิดไฟล์ .html ที่แนบมา ระบบจะทำการดาวน์โหลด JavaScript ผ่านทาง iframe ที่ฝังมาเพื่อดาวน์โหลด Payload ที่อาจเป็น Locky หรือ Trickybot มาด้วย

วิธีป้องกันอันตรายจากอีเมลล์
1. ไม่ทำการเปิด หรือทำการลบอีเมลล์ที่ไม่มีแหล่งที่มาน่าเชื่อถือ โดยเฉพาะอย่างยิ่งหากเป็นอีเมลล์ที่มีลิงก์หรือไฟล์เอกสารแนบ
2. อัพเกรดโปรแกรมรักษาความปลอดภัยและซอฟต์แวร์อย่างสม่ำเสมอ
3. ทำการสำรองข้อมูลของเครื่องอย่างสม่ำเสมอ

ที่มา : digitaljournal

Canonical เปิดตัว Ubuntu 17.10 พร้อมด้วยเดสก์ท็อป GNOME ใหม่บน Wayland และ KDE, MATE, Budgie รุ่นใหม่ รวมถึงการนำ Kubernetes 1.8 มาช่วยจัดการ Container ซึ่งตอนนี้ Support ทั้ง Docker และ Google Container Engine นอกจากนี้ยังมีการปรับปรุง และเพิ่มเติมบางอย่าง ยกตัวอย่างเช่น
- เล็งเห็นถึงความนิยมในหมู่ Developer ที่ใช้ Atom editor ร่วมกับการใช้ Microsoft Visual Studio Code ในการพัฒนาโปรแกรม
- รองรับ Firefox 56 และ Thunderbird 52 และโปรแกรม LibreOffice 5.4.1
- รองรับ Driverless printing อาทิ IPP Everywhere, Apple AirPrint, Mopria และ WiFi Direct
- รองรับ Snaps สำหรับ Install และอัพเดตแอพพลิเคชั่น ที่ทำงานได้รวดเร็วและมีขนาดที่เล็กกว่า deb
- รองรับ catkin Snapcraft plugin สำหรับ Robot Operating System (ROS) ซึ่งเป็น framework สำหรับการอัพเดท software บน robots และ drones ที่มีความปลอดภัย และง่ายในการใช้งาน
- ใช้ Linux kernel 4.13 รองรับ Hardware จาก ARM, IBM, Dell, Intel รวมทั้ง OPAL HDD ซึ่งมี SED(self-encrypting-drives) เพิ่มความปลอดภัยของ HDD มากขึ้น
- มีการใช้ Netplan ที่อยู่ในรูปแบบ YAML เป็นค่าเริ่มต้น สำหรับเข้ามาใช้เป็นตัวจัดการ Network

ที่มา : helpnetsecurity

นักวิจัยด้านความปลอดภัยจาก CheckPoint ได้ค้นพบมัลแวร์ตัวใหม่ชื่อ IoTroop เมื่อเดือนกันยายน และพบว่า 60% อุปกรณ์ Network มีช่องโหว่

IoTroop มีเป้าหมายเชื่อมต่อกับอุปกรณ์ที่ไม่ได้รับการป้องกัน เช่น Routers และ Wireless IP Cameras ที่ผลิตโดย D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys, Synology และ GoAhead มัลแวร์จะแพร่กระจายไปยังอุปกรณ์ IoT ที่เข้าถึงได้จาก Default Password และ Usernames จากนั้นทำการเปลี่ยนให้อุปกรณ์ IoT กลายเป็น Botnet และโจมตี Distributed Denial of Service (DDoS) มีองค์กรต่างๆ ทั่วโลกกว่าล้านแห่งที่ได้รับผลกระทบและยังคงเพิ่มสูงขึ้น

มัลแวร์ IoTroop มีความคล้ายคลึงกับ Mirai แต่มีความแตกต่างระหว่างมัลแวร์ตัวนี้กับ Mirai คือมีความซับซ้อนมากขึ้นและใช้ช่องโหว่มากกว่าสิบรายการเข้าควบคุมอุปกรณ์ ในกรณี Wireless IP Camera ของ GoAhead ผู้บุกรุกใช้ช่องโหว่การ Bypass Authentication (CVE-2017-8225) ซึ่งมีผลกระทบมากกว่า 1,250 รุ่น สำหรับอุปกรณ์อื่นๆ เช่น Linksys RangePlus WRT110 Wireless Router ถูกโจมตีผ่านช่องโหว่ Remote command execution ช่องโหว่นี้มีอยู่เพราะ router’s web interface ไม่สามารถ sanitize ping เป้าหมายและขาดการป้องกันการปลอมแปลง Tokens ผู้ที่อยู่เบื้องหลังมีการระบุเซิร์ฟเวอร์คำสั่ง ควบคุมและมีการอัพเดตกลุ่มที่อยู่ไอพีสำหรับเข้าโจมตี

ยังไม่ทราบแน่ชัดว่าใครเป็นผู้อยู่เบื้องหลัง malware/botnet แฮกเกอร์มีเป้าหมายที่ใด และมีระยะเวลาในการโจมตีนานเท่าใด

ที่มา : threatpost

แจ้งเตือนมัลแวร์เรียกค่าไถ่ชนิดใหม่ "Magniber"

นักวิจัยด้านความปลอดภัย Michael Gillespie ได้ประกาศการค้นพบมัลแวร์เรียกค่าไถ่ชนิดใหม่ภายใต้ชื่อ Magniber ซึ่งใช้ช่องทางการแพร่กระจายผ่านทางการโจมตีแบบ drive-by download หรือทาง exploit kit โดยลักษณะของ Magniber นั้นมีความคล้ายคลึงกับมัลแวร์เรียกค่าไถ่ Cerber ซึ่งแพร่กระจายมานานแล้วเป็นอย่างมาก โดยเฉพาะอย่างยิ่งลักษณะไฟล์ที่เข้ารหัสและระบบการจ่ายเงินค่าไถ่

นักวิจัยด้านปลอดภัยคนอื่นๆ ได้มีการตรวจพบ Magniber ในเวลาไร่เรี่ยกัน โดย Magniber เมื่อเริ่มต้นทำงานบนระบบแล้วจะมีการตรวจสอบว่าภาษาของระบบนั้นถูกตั้งค่าให้เป็นภาษาเกาหลีหรือไม่ หากว่าระบบมีการใช้งานภาษาเกาหลีเป็นภาษาหลักก็จะเริ่มทำการเข้ารหัสทันที แต่หากระบบมีการใช้งานเป็นภาษาอื่นก็จะไม่ได้ดำเนินการเข้ารหัส ดังนั้นการแพร่กระจายของ Magniber จึงตรวจพบในเกาหลีใต้เป็นจำนวนมาก

ผู้ใช้งานทั่วไปสามารถป้องกันผลกระทบจาก Magniber ได้โดยการอัพเดป OS และซอฟต์แวร์ที่ใช้งานให้เป็นเวอร์ชันใหม่อยู่เสมอ โดยเฉพาะอย่างยิ่งปลั๊กอินของเบราว์เซอร์อย่าง Java runtime และ Adobe Flash Player

ที่มา : BLEEPINGCOMPUTER

นักวิจัยด้านความปลอดภัยพบเว็บไซต์ของ Equifax และ TransUnion มีการ redirect ไปยังเว็บไซต์เพื่อดาวน์โหลด adware และ malware มาติดตั้งบนเครื่อง โดยผู้ที่พบได้ทำการอัพโหลดไฟล์วิดีโอ แสดงตัวอย่างการเข้าถึงเว็บไซต์ Equifax.

KeePass ได้แนะนำให้ผู้ใช้งาน Update โปรแกรมให้เป็น KeePass 2.37 ที่มีความเสถียร และเพิ่มเติมคุณลักษณะใหม่ ๆ โดยมีสิ่งที่เพิ่มเติม และปรับปรุงให้ดีขึ้น เช่น

- เมื่อสร้าง Database ใหม่แล้ว KeePass จะทำการสร้าง Emergency Sheet ขึ้นมาให้ และทำการเก็บไว้ในตำแหน่งที่ปลอดภัย และจำกัดให้บาง User สามารถเข้าถึงได้เท่านั้น รวมทั้งจะมี Dialog สำหรับแจ้งข้อมูลของ Database เพิ่มเติมขึ้นมาให้
- เพิ่มฟังก์ชันเพื่อค้นหากลุ่มของรหัสผ่านที่คล้ายกัน
- ปรับปรุงสคริปต์ PrepMonoDev.

พบ Ransomware สายพันธุ์ใหม่ที่ชื่อว่า “Bad Rabbit” ระบาดในประเทศรัสเซีย และยูเครน โดยมีพฤติกรรมการเข้ารหัสคล้ายคลึงกับ Not-Petya คือทาการเข้ารหัส Harddisk ทาให้ไม่สามารถเปิดเครื่องได้ และเชื่อว่ามีพฤติกรรมการแพร่กระจายผ่านการใช้งาน SMB
วิธีการติดพบว่ามาจากการเข้าไปยังเว็ปไซต์ที่มีการวาง javascript เอาไว้ ซึ่งขณะนี้พบเพียงว่าเว็ปไซต์ดังกล่าวอยู่ในประเทศรัสเซีย, บัลแกเรีย และตุรกี จากนั้นจะมี Pop-up แจ้งเตือนเพื่อหลอกให้ทาการอัพเดท Flash Player

เมื่อกดปุ่ม Install ระบบจะทาการดาวน์โหลด Ransomware ที่มีชื่อไฟล์ว่า “install_flash_player.

แฮกเกอร์มักจะทำการโจมตีช่องโหว่ของฮาร์ดแวร์และซอฟต์แวร์เพื่อเข้าเครื่อง ATM และทำให้เครื่องจ่ายเงินสดออกมา แต่ตอนนี้ใครๆ ก็สามารถทำได้ง่ายขึ้น เพียงแค่หาซื้อมัลแวร์จากตลาดใต้ดินก็สามารถขโมยเงินสดนับล้านจากตู้ ATM ได้

นักวิจัยจาก Kaspersky Lab เปิดเผยหลังจากพบโพสต์ฟอรัมในการโฆษณาขายมัลแวร์ชื่อว่า Cutlet Maker จากเว็บไซต์ใต้ดินในราคาประมาณ 5,000 ดอลลาร์ โพสต์ฟอรัมได้ให้คำอธิบายสั้น ๆ พร้อมรายละเอียดของชุดเครื่องมือของมัลแวร์ตัวนี้ ที่ออกแบบมาเพื่อโจมตีเป้าหมายซึ่งเป็นเครื่อง ATM รุ่นต่างๆ โดยการใช้ประโยชน์จาก API เฉพาะของ vendor จึงไม่จำเป็นต้องอาศัยผู้ใช้งาน และข้อมูลของผู้ใช้งาน ATM แต่อย่างไร จึงไม่ส่งผลกระทบต่อลูกค้าของธนาคารโดยตรง

ชุดเครื่องมือนี้ประกอบด้วย
- Cutlet Maker มัลแวร์ ATM เป็นองค์ประกอบหลักของชุดเครื่องมือ
- Stimulator แอพพลิเคชันที่รวบรวมสถานะเงินสดของตู้ ATM เป้าหมาย
- c0decalc แอพพลิเคชั่นในรูปแบบ terminal สำหรับสร้างรหัสผ่านให้มัลแวร์

นักวิจัยกล่าวว่าจำเป็นจะต้องนำชุดเครื่องมือดังกล่าวใส่ไว้ใน Flash Drive จากนั้นนำไปเสียบยังเครื่อง ATM ที่ต้องการ และสั่งรันมัลแวร์ดังกล่าว การทำงานของมัลแวร์จำเป็นจะต้องใช้อาศัยคนสองคนในการขโมยเงินจากระบบ ATM โดยบุคคลแรกจะถูกเรียกว่า "drop" และบุคคลที่สองจะถูกเรียกว่า "drop master" โดยคนแรกจะนำมัลแวร์ไปรันบนเครื่อง ATM ที่ต้องการ และจำเป็นจะต้องส่งข้อมูลไปให้แก่บุคคลที่สอง ซึ่งจำเป็นต้องนำข้อมูลดังกล่าวซึ่งเป็นตัวเลขไปใส่ใน c0decalc ซึ่งจะทำการสร้างรหัสเพื่อนำไปใช้ในขั้นตอนการรันมัลแวร์ เพื่อให้ ATM ทำการจ่ายเงินออกมา

ทั้งนี้พบว่ามัลแวร์ "Cutlet Maker" นี้ถูกเผยแพร่ครั้งแรกในเว็ปไซต์ AlphaBay ซึ่งได้ถูกปิดโดยเอฟบีไอไปก่อนหน้านี้ โดยตัวมัลแวร์ และส่วนของ Stimulator ถูกเขียนขึ้นมาด้วย Delphi และพบว่าถูกคอมไพล์เมื่อวันที่ 30 กรกฎาคม และวันที่ 16 กรกฎาคมปีที่แล้ว ตามลำดับ ส่วนตัว c0decalc ถูกเขียนขึ้นมาด้วย Visual C และพบว่าถูกคอมไพล์ตั้งแต่วันที่ 13 พฤศจิกายนปีที่แล้ว

ที่มา : The Hacker News