Hacker ใช้ free TryCloudflare เพื่อส่ง RAT ไปยังเป้าหมาย

Hacker ใช้ free TryCloudflare เพื่อส่ง RAT ไปยังเป้าหมาย

นักวิจัยแจ้งเตือนการค้นพบกลุ่ม Hacker กำลังใช้ Cloudflare Tunnel service ในแคมเปญการโจมตีที่จะส่ง remote access trojans (RATs) ไปยังเป้าหมาย (more…)

มัลแวร์ IcedID สายพันธ์ุใหม่เปลี่ยนจากขโมยข้อมูลธนาคารเป็นการติดตั้งมัลแวร์แทน

พบ IcedID สายพันธุ์ใหม่ ที่ไม่มีฟังก์ชันการหลอกลวงเอาข้อมูลธนาคารออนไลน์จากเหยื่อ แต่จะมุ่งเน้นไปที่การติดตั้งมัลแวร์เพิ่มเติมบนระบบที่ถูกโจมตี

ข้อมูลจาก Proofpoint พบว่า IcedID สายพันธุ์ใหม่เหล่านี้ถูกใช้โดยผู้โจมตีที่แตกต่างกัน 3 รายใน 7 แคมเปญตั้งแต่ปลายปีที่ผ่านมา โดยเน้นไปที่การติดตั้งเพย์โหลดสำหรับมัลแวร์อื่น ๆ เพิ่มเติม โดยเฉพาะอย่างยิ่งแรนซัมแวร์ (more…)

พบกลุ่ม APT ใช้วิธี OAuth Consent Phishing โจมตีบัญชีผู้ใช้ Microsoft Office 365

นักวิจัยด้านความปลอดภัยจาก Proofpoint ได้เผยการตรวจพบกลุ่ม APT ที่ชื่อ TA2552 ใช้วิธีฟิชชิงโดยการใช้ระบบ OAuth2 (มาตรฐานของระบบการยืนยันตัวตนและจัดการสิทธิ์การเข้าใช้งานในระบบต่างๆ ที่จะเปิดให้ third-party application เข้าถึงและจัดการสิทธิ์บัญชี) ในการเข้าถึงบัญชี Office 365 เพื่อขโมยรายชื่อติดต่อและอีเมลของผู้ใช้

กลุ่ม TA2552 ได้ทำการแอบอ้างเป็น Servicio de Administración Tributaria (SAT) ซึ่งเป็นหน่วยงานด้านภาษีของเม็กซิโก, Netflix Mexico และ Amazon Prime Mexico ทำการส่งอีเมลที่สร้างขึ้นมาเป็นพิเศษและมีเนื้อหาอีเมลที่เกี่ยวข้องภาษีและเนื้อหาที่เกี่ยวข้องกับการพบปัญหาในบัญชีผู้ใช้ Netflix Mexico และ Amazon Prime Mexic เมื่อเหยื่อทำการคลิกลิงก์ที่อยู่ภายใน เหยื่อจะถูกรีไดเร็คไปยังการลงชื่อเข้าใช้บัญชี O365 (Office 365) และเมื่อลงชื่อเข้าใช้ O365 เว็บไซต์ของผู้ประสงค์ร้าย ที่ถูกสร้างด้วยการลงทะเบียนผ่าน Namecheap และโฮสต์บน Cloudflare จะร้องขอสิทธิ์การเข้าถึงแอปพลิเคชันแบบ read-only เมื่อผู้ใช้กดยอมรับก็จะเปิดทางให้ผู้ประสงค์ร้ายสามารถเข้าถึงรายชื่อผู้ติดต่อ, โปรไฟล์และอีเมลของผู้ใช้

จาการอนุญาตสิทธิ์ในการเข้าถึงข้อมูลจะทำให้ผู้ประสงค์ร้ายสามารถสอดแนมในบัญชีเพื่อทำการขโมยข้อมูลหรือแม้แต่การขัดขวางข้อความการร้องขอรีเซ็ตรหัสผ่านจากบัญชีอื่น เช่น Online Banking

ทั้งนี้ผู้ใช้ควรมีความระมัดระวังในการใช้งานอีเมล เมื่อพบข้อความและเนื้อหาอีเมลมาจากหน่วยงานหรือระบบที่เราไม่รู้จักควรทำการตรวจสอบเเหล่งที่มาของอีเมลเพื่อเป็นการป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา : threatpost

 

 

PORN SITE BECOMES HUB FOR MALVERTISING CAMPAIGNS

นักวิจัยจาก Proofpoint ค้นพบแคมเปญล่าสุดของ KovCoreG ที่มีเป้าหมายเป็น Pornhub ส่งผลให้ผู้ใช้อินเทอร์เน็ตในสหรัฐอเมริกา, แคนาดา, สหราชอาณาจักร และออสเตรเลีย หลายล้านคนติดมัลแวร์

กลุ่มแฮ็คเกอร์ KovCoreG เป็นที่รู้จักกันดีสำหรับการแพร่กระจายมัลแวร์ Kovter ในปี 2015 และล่าสุดในปี 2017 กลุ่มแฮ็คเกอร์ของ KovCoreG ใช้ประโยชน์จากเครือข่ายโฆษณาบน PornHub หนึ่งในเว็บไซต์สำหรับผู้ใหญ่ที่มีผู้เยี่ยมชมมากที่สุดในโลกเพื่อเผยแพร่การอัปเดตเบราว์เซอร์ปลอม ได้แก่ Chrome, Firefox และให้อัปเดตแฟลชสำหรับ Microsoft Edge / Internet Explorer ซึ่งหากผู้ใช้กดดาวน์โหลดตัวอัปเดต ไฟล์ที่โหลดมาจะเป็นไฟล์ JavaScript ที่ทำการติดตั้งมัลแวร์ Kovter

หลังจากได้รับแจ้ง ทาง PornHub ได้ปิดโฆษณาที่ใช้แพร่กระจายมัลแวร์ดังกล่าวแล้ว

ที่มา: threatpost

Kaspersky releases free decryptor for CryptXXX Ransomware

สัปดาห์ที่ผ่านมา นักวิจัยด้านความมั่นคงปลอดภัยจาก Proofpoint ได้ออกมาเปิดเผยถึง Ransomware หรือมัลแวร์เรียกค่าไถ่ตัวใหม่ ชื่อว่า “CyrptXXX” ที่นอกจากจะเข้ารหัสไฟล์ข้อมูลเรียกค่าไถ่แล้ว ยังพยายามขโมยเงิน Bitcoin และ Username/Password ที่ใช้ล็อกอินของเหยื่ออีกด้วย แต่ข่าวดีคือ Kaspersky Lab ได้ออก Decrypter สำหรับปลดล็อก CryptXXX ได้สำเร็จ โดยไม่ต้องเสียค่าไถ่อีกต่อไป
หลังจาก CryptXXX ถูกติดตั้งสู่เครื่องคอมพิวเตอร์แล้ว มันจะทำการเข้ารหัสไฟล์ข้อมูลแล้วต่อท้ายนามสกุลไฟล์เป็น .crypt จากนั้นจะแสดงข้อความเรียกค่าไถ่เป็นจำนวนเงิน $500 หรือประมาณ 18,000 บาทเพื่อแลกกับกุญแจปลดรหัส แต่ที่ร้ายกาจคือ CryptXXX จะแอบขโมย Bitcoin wallet และข้อมูล Credential ต่างๆ เช่น FTP Client, Instant Messaging Client, Email และ Browser อีกด้วย
อย่างไรก็ตาม Kaspersky Lab ค้นพบจุดอ่อนของ Ransomware ดังกล่าว และได้ทำการออก Decrypter สำหรับปลดรหัสไฟล์โดยไม่ต้องจ่ายค่าไถ่เป็นที่เรียบร้อย เรียกว่า “RannohDecryptor” หลังจากที่ปลดรหัสไฟล์เรียบร้อยแล้ว สามารถถอนการติดตั้งโปรแกรม Decrypter ออกได้ทันที นอกจากนี้ แนะนำว่าให้ใช้โปรแกรม Anti-malware สแกนเครื่องคอมพิวเตอร์ทั้งหมดอีกครั้ง เพื่อให้มั่นใจว่ามัลแวร์ถูกกำจัดออกไปจากเครื่องจนหมดจริง

ที่มา : bleepingcomputer

Connected TVs, fridge help launch global cyberattack

Proofpoint บริษัทด้านความปลอดภัยบนอินเตอร์เน็ตค้นพบสิ่งที่พวกเค้าเรียกว่าภัยคุกคามไซเบอร์ระดับโลก (global cyberattack) มีการโจมตีมากกว่าวันละ 100,000 ชิ้น สิ่งของที่โดนโจมตีประกอบไปด้วย เราท์เตอร์, ทีวีที่ต่ออินเตอร์เน็ตได้ และล่าสุดนี้ก็คือตู้เย็นอัจฉริยะ นี่ถือเป็นภัยคุกคามบนโลกไซเบอร์ที่เกิดขึ้นกับเครื่องใช้ไฟฟ้าอัจฉริยะที่ต่ออินเตอร์เน็ตได้ หรือที่ต่างประเทศเรียกข้าวของเครื่องใช้เหล่านี้ว่า ”Internet of Things”

จากรายงานกล่าวว่า ระหว่างวันที่ 23 ธันวาคมถึงวันที่ 6 มกราคมที่ผ่านมา มีอีเมลที่แฝงด้วยมัลแวร์ส่งไปหาบุคคลและหน่วยงานธุรกิจทั่วโลกเป็นจำนวนมาก เฉพาะในเว็บของ Proofpoint ก็ได้รับอีเมลมากกว่า 750,000 ฉบับ ซึ่งถูกส่งออกมาจากเครื่องใช้ไฟฟ้านับ 100,000 เครื่อง ที่ถูกสั่งงานโดย “thingbots,” หรือโปรแกรมหุ่นยนต์ที่ถูกติดตั้งจากระยะไกลลงบนเครื่องใช้ยุคดิจิตอลเหล่านี้ ถึงตอนนี้ยังไม่มีข้อมลที่ชัดเจนว่าเหยื่อที่ตกเป็นเป้าหมายเหล่านี้ ถูกโจรกรรมข้อมูลส่วนตัวไปได้หรือไม่

Bot-nets กลายเป็นเรื่องใหญ่ที่ต้องให้ความสำคัญ และการปรากฎตัวของ thingbots ยิ่งทำให้สถานการณ์ย่ำแย่ลงไปอีก เพราะระบบป้องกันของอุปกรณ์เหล่านี้ถือว่าไม่มีประสิทธิภาพ แถมผู้บริโภคก็ยังไม่มีวิธีตรวจจับหรือแก้ปัญหามัลแวร์เหล่านี้ เพราะไม่มีโปรแกรมแอนตี้ไวรัสแบบเดียวกับคอมพิวเตอร์ เหล่าแฮกเกอร์รู้ถึงจุดอ่อนเหล่านี้ดี ปริมาณการแฮกก็เลยยิ่งสูงขึ้นตามจำนวนเครื่องใช้ไฟฟ้าที่ต่ออินเตอร์เน็ตได้

ที่มา : CNN

Connected TVs, fridge help launch global cyberattack

Proofpoint บริษัทด้านความปลอดภัยบนอินเตอร์เน็ตค้นพบสิ่งที่พวกเค้าเรียกว่าภัยคุกคามไซเบอร์ระดับโลก (global cyberattack) มีการโจมตีมากกว่าวันละ 100,000 ชิ้น สิ่งของที่โดนโจมตีประกอบไปด้วย เราท์เตอร์, ทีวีที่ต่ออินเตอร์เน็ตได้ และล่าสุดนี้ก็คือตู้เย็นอัจฉริยะ นี่ถือเป็นภัยคุกคามบนโลกไซเบอร์ที่เกิดขึ้นกับเครื่องใช้ไฟฟ้าอัจฉริยะที่ต่ออินเตอร์เน็ตได้ หรือที่ต่างประเทศเรียกข้าวของเครื่องใช้เหล่านี้ว่า ”Internet of Things”

จากรายงานกล่าวว่า ระหว่างวันที่ 23 ธันวาคมถึงวันที่ 6 มกราคมที่ผ่านมา มีอีเมลที่แฝงด้วยมัลแวร์ส่งไปหาบุคคลและหน่วยงานธุรกิจทั่วโลกเป็นจำนวนมาก เฉพาะในเว็บของ Proofpoint ก็ได้รับอีเมลมากกว่า 750,000 ฉบับ ซึ่งถูกส่งออกมาจากเครื่องใช้ไฟฟ้านับ 100,000 เครื่อง ที่ถูกสั่งงานโดย “thingbots,” หรือโปรแกรมหุ่นยนต์ที่ถูกติดตั้งจากระยะไกลลงบนเครื่องใช้ยุคดิจิตอลเหล่านี้ ถึงตอนนี้ยังไม่มีข้อมลที่ชัดเจนว่าเหยื่อที่ตกเป็นเป้าหมายเหล่านี้ ถูกโจรกรรมข้อมูลส่วนตัวไปได้หรือไม่

Bot-nets กลายเป็นเรื่องใหญ่ที่ต้องให้ความสำคัญ และการปรากฎตัวของ thingbots ยิ่งทำให้สถานการณ์ย่ำแย่ลงไปอีก เพราะระบบป้องกันของอุปกรณ์เหล่านี้ถือว่าไม่มีประสิทธิภาพ แถมผู้บริโภคก็ยังไม่มีวิธีตรวจจับหรือแก้ปัญหามัลแวร์เหล่านี้ เพราะไม่มีโปรแกรมแอนตี้ไวรัสแบบเดียวกับคอมพิวเตอร์ เหล่าแฮกเกอร์รู้ถึงจุดอ่อนเหล่านี้ดี ปริมาณการแฮกก็เลยยิ่งสูงขึ้นตามจำนวนเครื่องใช้ไฟฟ้าที่ต่ออินเตอร์เน็ตได้

ที่มา : CNN