Skype worm spreads, using LOL trick to infect unwary users

พบการสแปมข้อความผ่านทาง Skype Message โดยจะส่งข้อความมาว่า “นี่คือรูปโปรไฟล์ใหม่ของคุณหรือเปล่า?” โดยแนบลิ้งค์มาด้วย ถ้าเหยื่อกดลิ้งค์ก็จะเป็นการโหลด Zip ไฟล์ที่ชื่อ skype_06102012_image.

The Russian Mastermind Behind Backdoor.Proxybox

สามเดือนที่ผ่านมาได้มีการสืบสวนมัลแวร์ที่ชื่อ Backdoor.Proxybox และจากการสืบสวนก็พบว่ามัลแวร์ตัวนี้ได้มีการใช้บริการ Web Proxy ของรัสเซียที่ชื่อ Proxybox ในการซ่อน Command and Control(C&C) Server เอาไว้ มัลแวร์ตัวนี้แพร่โดยการลง Payload ไว้ในเครื่องของเหยื่อเสมือนเป็น Service ของเครื่องเหยื่อ หลังจากนั้นจะ Copy Payload ไปยังระบบและลง rootkit ไว้ในเครื่องของเหยื่อ rootkit จะทำหน้าที่ปกป้อง payload และไฟล์ที่เกี่ยวข้องกับมัลแวร์ตัวนี้จากการสแกน Payload จะเซฟตัวเองเป็นไฟล์ .DLL และเมื่อเปิดเครื่องมันจะทำเสมือนตัวเองเป็น low-level proxy service และเชื่อมต่อเครื่องของเหยื่อไปยัง C&C Server ทำให้เครื่องของเหยื่อกลายเป็นบอท จากการสืบสวนพบว่า C&C Server จะพยายามทำให้เครื่องที่อยู่ภายใต้การควบคุมออนไลน์ต่อวันไม่ต่ำกว่า 40,000 เครื่อง และได้มีการขายบอทเหล่านี้ในหน้าเวบบอร์ดของ Proxybox และเวบบอร์ดใต้ดินอื่นๆของรัสเซีย จากการสืบสวนบัญชีที่ใช้โอนเงินไปให้เจ้าของบอทพบว่าบัญชีใช้ชื่อเจ้าของเป็นชื่อยูเครนและอาศัยอยู่ในรัสเซีย

ที่มา : symantec

Ransomware adds audio component to force users to pay up

จากการวิจัยของนักวิจัยของ Trend Micro ได้พบว่าการโจมตีในรูปแบบ Ransomware (การล็อคเครื่องของเหยื่อทำให้ใช้งานไม่ได้ โดยถ้าจะใช้ต้องจ่ายเงินให้แฮกเกอร์เพื่อปลดล็อคเครื่อง) โดยเพิ่มการดาวน์โหลดไฟล์ MP3 ที่ไม่มีอันตรายลงไปในเครื่องของเหยื่อ ซึ่งอยู่ในโฟลเดอร์เดียวกับที่มัลแวร์ได้ลงไว้ และจะล็อคเครื่องของเหยื่อแล้วบอกเหยื่อว่าเครื่องของเหยื่อถูกบล็อคเนื่องจาก FBI พบว่ามีการใช้งานไฟล์ที่ละเมิดลิขสิทธิ์ ถ้าต้องการให้เครื่องของตนใช้งานได้ต้องจ่ายค่าปรับ 200 ดอลล่าร์เพื่อปลดล็อคเครื่อง

ที่มา : net-security

White House Military Office breached by Chinese hackers

ทางการสหรัฐออกมายอมรับกรณีถูกโจมตีเครือข่ายภายในประเทศ โดยเครือข่ายเป้าหมายนั้นคือ The White House Military Office (WHMO) ซึ่งมีหน้าที่อำนวยความสะดวกด้านการทหารโดยตรงให้กับทำเนียบขาว จากการตรวจสอบเบื้องต้นพบว่าการโจมตีครั้งนี้ยังเกิดอยู่ในชั้นเครือข่ายที่ไม่เป็นความลับและระบบมีการตัดการเชื่อมต่อทันทีที่เกิดภัยคุกคาม ทำให้การโจมตีครั้งนี้ยังไม่สมบูรณ์ ซึ่งพบว่าเซิร์ฟเวอร์ที่ทำการโจมตีนั้นตั้งอยู่ในประเทศจีน โดยเชื่อว่าผู้อยู่เบื้องหลังคือกองทัพปลดแอกประชาชนจีน

ซึ่งเป้าหมายของการโจมตีอาจจะเป็นแค่ WHMO หรือกระทรวงกลาโหม เนื่องจาก WHMO นั้นมีหน้าที่อำนวยการโดยตรงต่อประธานาธิบดีเช่นการจัดการด้านอาหาร การพยาบาล การเดินทางส่วนตัว หรือการควบคุมการยิงขีปนาวุธ โดยอยู่ในการควบคุมของกระทรวงกลาโหม

ที่มา : net-security

Iran Restores Gmail Service

จีเมลสามารถใช้งานในอิหร่านได้แล้วหลังจากใช้งานไม่ได้ในสัปดาห์ที่ผ่านมา โดยรัฐบาลอิหร่านได้บล็อกยูทูปมาตั้งแต่ปี 2009 และบล็อกจีเมลหลังจากวีดีโอปัญหาหมิ่นศาสนาบนยูทูปจึงได้ทำการบล็อก แต่ในวันนี้สามารถใช้งานจีเมลได้ตามปกติแล้ว (1 ต.ค.55)

(ข้อมูลเพิ่มเติม: รัฐบาลอิหร่านทำการบล็อกยูทูปตั้งแต่ปี 2009 เนื่องจากปัญหาทางการเมือง เนื่องจากมีคนนำไปใช้เป็นสื่อในการต่อต้านรัฐบาล)

ที่มา : sans

XSS vulnerability found in MasterCard site by nullcrew

แฮกเกอร์กลุ่ม NullCrew พบช่องโหว่ xss (Cross site scripting) ใน sub domain: mobilereadiness ในเว็บของ mastercard ซึ่งสามารถที่จะส่งสคริปท์ให้ redirect ผู้ใช้ไปยังเว็บที่ attacker ต้องการได้

ที่มา : ehackingnews

Student hacks into school board database to demonstrate security weakness

ที่แคนาดา เมื่อต้นปี นักเรียนเกรด 9 จากโรงเรียน Missisauga  ได้แฮกเข้าฐานข้อมูลของโรงเรียนโดยอุปกรณ์ เช่น hacking software ที่เขานำมาเองโดยใช้คอมพิวเตอร์ในห้องเรียนวิชา business technology โดยเขาสามารถเข้าถึงข้อมูลส่วนตัวของนักเรียนและครูได้ อาจารย์ทราบเรื่องนี้จากการที่นักเรียนคนดังกล่าวเล่าให้ฟังว่าเขาสามารถแฮกระบบของโรงเรียนได้

ที่มา : ehackingnews

Researcher explain how 4.5 million DSL modems were hacked in Brazil last year

จากการแฮกเร้าเตอร์ที่ใช้ตามบ้านจำนวน 4.5 ล้านเร้าเตอร์ของบราซิลในปีที่ที่แล้ว(2011) นักวิจัยของ Kaspersky ที่ชื่อ Fabio Assolini  ได้ทำการสวบสวนและสรุปออกมาเป็นรายงานว่า การแฮกครั้งนี้เกิดจากเร้าเตอร์ที่ไม่ค่อยมีการอัพเดททำให้มีช่องโหว่ที่แฮกเกอร์สามารถ Remote เข้าไปยึดเร้าเตอร์ได้ และ สาเหตุอีกอย่างก็คือการที่ผู้ใช้ใช้รหัสที่เป็นค่า Default มาจากโรงงานทำให้แฮกเกอร์สามารถเข้าไปควบคุมเร้าเตอร์ได้อย่างง่ายดาย หลังจากที่แฮกเกอร์สามารถเข้ายึดเร้าเตอร์ของเหยื่อได้แล้ว แฮกเกอร์จะเข้าไปเปลี่ยนการตั้งค่า DNS ของเร้าเตอร์ทำให้เมื่อเหยื่อเข้าใช้เวบไซด์ตามปกติอย่างเช่น Google, Youtube หรือ Facebook เหยื่อจะถูก Redirect ไปยังเพจที่มีการฝังมัลแวร์เอาไว้แทน และเมื่อเหยื่อติดมัลแวร์แล้ว แฮกเกอร์ก็จะใช้มัลแวร์ที่ฝังไว้ในเครื่องของเหยื่อเพื่อขโมยข้อมูลของเหยื่อออกมา จุดประสงค์ของการแฮกครั้งนี้ก็คือ เงิน โดยได้มีการเปิดเผย IRC Chat ระหว่างแฮกเกอร์ที่ร่วมในการแฮกครั้งนี้ โดยได้มีการอธิบายไว้ว่า แฮกเกอร์คนอื่นๆได้ใช้วิธีไหนในการที่จะได้เงินมากกว่า 100,000 เรอัล(ประมาณ 50,000 ดอลล่าห์สหรัฐ) และแฮกเกอร์เหล่านั้นก็มีแผนที่จะใช้เงินที่ได้จากแฮกเป็นค่าใช้จ่ายในการเดินทางไปยังเมืองริโอเดอจาโรของประเทศบราซิล

ที่มา : ehackingnews