Palo Alto Networks แจ้งเตือนการแพร่ระบาดของโทรจัน UBoatRAT ในแถบเอเชีย

กลุ่มนักวิจัยด้านความปลอดภัยจาก Palo Alto Networks ได้ประกาศแจ้งเตือนการค้นพบการแพร่กระจายของมัลแวร์ประเภทโทรจันหรือ RAT "UBoatRAT" ซึ่งพุ่งเป้าการโจมตีในแถบเอเชีย

มัลแวร์ UBoatRAT ใช้วิธีการแพร่กระจายผ่านทางลิงค์แชร์ไฟล์ซึ่งอยู่บนบริการของ Google Drive โดยมัลแวร์จะมีการดึงรายการของเซิร์ฟเวอร์ที่ใช้ในการสั่งการและควบคุม (C&C servers) บน GitHub และใช้ฟีเจอร์ BITS ของวินโดวส์ในการดาวโหลดและฝังตัวในระบบต่างๆ กระบวนการติดต่อกับ C&C server นั้นถูกออกแบบให้ใช้โปรโตคอลที่มีการเข้ารหัสแบบเฉพาะ

เมื่อเริ่มต้นทำงาน มัลแวร์ UBoatRAT จะมีการคัดลอกตัวเองไปยังพาธ C:\programdata\svchost.

สำหรับผู้ใช้อุปกรณ์ Palo Alto Networks มีข่าวที่ต้องการแจ้งให้ทราบว่ามีการสร้าง Category ใหม่สำหรับบริการกรอง URL ของ Palo Alto Networks โดย Category ที่เพิ่งเพิ่มขึ้นคือ “Command-and-Control” ซึ่งก่อนหน้านี้ถูกรวมอยู่ใน Category "Malware" มาตลอด ซึ่งการเพิ่ม Category "Command-and-Control" ขึ้นมานั้นเป็นการแยกข้อมูลมาจาก Category เดิม

ในวันที่ 12 กันยายน 2017 Category "Command-and-Control" ได้ถูกเผยแพร่ให้กับผู้ใช้งาน Palo Alto Networks Firewall เป็นที่เรียบร้อย อย่างไรก็ตามผู้ใช้ต้องตั้งค่าของอุปกรณ์ด้วยตนเองเพื่อให้สามารถใช้งาน Category

ข้อควรปฏิบัติ: แนะนำให้ดำเนินการอัพเดตและตั้งค่าโดยเร็วที่สุดโดยตั้งค่า Policy Action สำหรับ Command-and-Control ใหม่นี้เป็น BLOCK สำหรับแต่ละ Security Profile แม้ว่าจะยังไม่มีการจัดกลุ่มข้อมูลใดๆ ลงใน Category ก็ตาม เนื่องจากหากมีการเข้าถึงใดๆ ที่ไม่ปลอดภัยจากผู้ใช้งานและยังไม่มีการตั้งค่าเป็น BLOCK อาจส่งผลให้เกิดความเสี่ยงทางด้านความปลอดภัยได้

ทาง Palo Alto Networks ยังไม่ได้กำหนดวันที่ที่แน่ชัดสำหรับการเปิดใช้งาน Category นี้อย่างเป็นทางการแต่คาดการณ์ว่าผู้ใช้งานจะสามารถใช้งานฟีเจอร์ใหม่นี้ได้เร็วนี้ๆ ผู้ใช้งานสามารถติดตามข่าวและการเปลี่ยนแปลงใดๆ ของฟีเจอร์ได้จากหน้า FAQ (https://live.

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Palo Alto Networks เปิดเผยรายละเอียดการโจมตีบนฟีเจอร์ของ Android ที่เรียกว่า Toast Notification ซึ่งทำให้มัลแวร์ หรือผู้โจมตีได้รับสิทธิ์ระดับ Admin
Toast Notification ถูกใช้ในการแสดงข้อความแจ้งเตือนบนหน้าจอ ซึ่ง Toast Notification จะแสดงอยู่ในตำแหน่งล่าง ๆ ของหน้าจอ เป็น pop-up แสดงข้อความสั้น ๆ ให้ผู้ใช้ทราบ เช่น เมื่อมีการเพิ่มข้อมูล และบันทึกข้อมูลเรียบร้อยแล้ว หรือหน้าต่างสำหรับยืนยันการทำงานต่างๆ
เมื่อเหยื่อหลงกลติดตั้งแอพพลิเคชั่นแล้ว จะมี pop-up แจ้งเตือนให้ผู้ใช้งานดำเนินการบางอย่าง โดยใช้ความสามารถของ Toast Notification ซึ่งจะทำให้ pop-up นั้นได้สิทธิ์ Admin เหนือแอพพลิเคชั่นอื่นๆโดยปริยาย หรือที่เรียกว่า "Draw on top"
Android ที่ได้รับผลกระทบคือ ทุกเวอร์ชันก่อน Android 8.0 Oreo (CVE-2017-0752) จึงแนะนำให้ผู้ใช้อุปกรณ์ Android อัพเกรดเป็นเวอร์ชันล่าสุด 8.0 Oreo หรือดาวน์โหลดแพตซ์ได้ที่ https://source.

นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks พบมัลแวร์เรียกค่าไถ่หรือ Ransomware ที่มีเป้าหมายเป็น OSX ในชื่อ KeRanger โดยนักวิจัยระบุว่าพบ KeRanger Ransomware ถูกฝังมากับ Tranmission เวอร์ชั่น 2.90, 2.91 หรือโปรแกรมสำหรับโหลด BitTorrent ใน Mac ที่มีผู้ใช้จำนวนหลายล้านคนทั่วโลก, เมื่อติดตั้ง Tranmission ที่มี KeRanger ฝังอยู่ไปแล้วประมาณ 3 วัน ไฟล์ใน Harddisk ของเครื่องผู้ใช้อาทิเช่น เอกสารที่สำคัญ, รูปภาพ, ไฟล์วีดีโอ, email archives file และฐานข้อมูลต่างๆ จะถูกเข้ารหัส, KeRanger จะเรียกค่าไถ่เป็นราคา 1 Bitcoin หรือประมาณ $410 อย่างไรก็ตามทางนักวิจัยเชื่อว่าที่ Tranmission ถูก KeRanger ฝังมานั้นอาจเกิดจากเว็บไซต์ Tranmission ถูกแฮกไปแก้ไขไฟล์ dmg ที่ใช้ติดตั้ง Tranmission, สำหรับผู้ใช้ที่มีการติดตั้ง Tranmission ไว้ควรอัพเกรดไปเป็นเวอร์ชั่น 2.92 โดยเร็วที่สุด

ที่มา : thehackernews

บริษัทวิจัยด้านความปลอดภัย Palo Alto Networks ได้ออกประกาศเมื่อช่วงสุดสัปดาห์ที่ผ่านมา มีการตรวจพบมัลแวร์ที่ชื่อ "KeyRider" แพร่ระบาดบนแพลตฟอร์มของ iOS โดยผู้ใช้งานที่จะได้รับผลกระทบจากการแพร่ระบาดในครั้งนี้ คือคนที่ทำการเจลเบรคอุปกรณ์สาย iOS ซึ่งมัลแวร์ตัวนี้อาจจะมีต้นทางมาจากจีน โดยทำการดักเอา Apple ID ของผู้ใช้งาน แล้วส่งกลับไปยังแฮกเกอร์ หลังจากนั้นแฮกเกอร์จะนำเอา Apple ID ไปใช้งานและมีความเป็นไปได้ที่จะแฮกเอาทั้งรหัสประจำตัวของโทรศัพท์และใบรับรองความปลอดภัยไปเพื่อเข้าถึงบริการของ Apple Pay ด้วย ซึ่งมีผู้ได้รับผลกระทบแล้วกว่า 2 แสนราย

นอกจากนั้นแล้ว ทางบริษัทยังมีการรายงานเพิ่มเติมว่ามีการตรวจพบ ransomware เพื่อบังคับให้ผู้ใช้จ่ายเงินแลกกับการได้กลับมาควบคุมโทรศัพท์เหมือนเดิมด้วย โดยคำแนะนำที่ดีที่สุดในการป้องกันจากการแพร่ระบาดของมัลแวร์และ ransomware คือการไม่เจลเบรคเครื่อง ส่วนคนที่ได้รับผลกระทบนอกจากเปลี่ยนรหัสผ่าน Apple ID และเปิดการยืนยันตัวตนสองขั้นตอน (two-factor authentication) แล้ว ยังต้องหมั่นตรวจสอบความผิดปกติในรายการซื้อสินค้าต่างๆ ผ่าน Apple ID ด้วย

ที่มา : blognone