Avast ยอมรับติดแท็ก Google app ว่าเป็นมัลแวร์บน Android

บริษัทด้านความปลอดภัยทางไซเบอร์สัญชาติเช็ก Avast ยืนยันว่าซอฟต์แวร์ป้องกันไวรัสของตนได้ระบุว่า Google Android app เป็นมัลแวร์บนโทรศัพท์ Huawei, Vivo และ Honor ตั้งแต่วันเสาร์ที่ผ่านมา
(more…)

ReversingLabs พบการเผยแพร่แพ็คเกจ Python ที่เป็นอันตรายบน PyPI ในชื่อ SentinelOne SDK ที่น่าเชื่อถือจากบริษัทรักษาความปลอดภัยทางไซเบอร์ของอเมริกา โดยมีเป้าหมายคือการขโมยข้อมูลจากนักพัฒนาที่ดาวน์โหลดแพ็คเกจ

โดยที่ SentinelOne เป็นบริษัทซอฟต์แวร์การรักษาความปลอดภัยทางไซเบอร์ที่มีชื่อเสียงทางด้าน Endpoint detection and response (EDR)

โดย Hacker เขียนอธิบายใน SentinelOne SDK package ที่เผยแพร่เอาไว้ว่าเป็นแพ็คเกจ Python ที่รวบรวมฟังก์ชัน SentinelOne API ไว้อย่างครบถ้วน

แต่จากการตรวจสอบแพ็คเกจ Python นี้ พบว่าเป็นสำเนาของ SentinelOne SDK จริง เนื่องจากมี auth tokens, secrets และ API keys ที่ถูกต้อง แต่ไฟล์ถูกดัดแปลงด้วยการฝังโทรจันเอาไว้ รวมไปถึงโค้ดที่เป็นอันตรายเพื่อทำการเก็บรวบรวมข้อมูล และส่งข้อมูลกลับไปยัง Hacker เช่น ข้อมูลประวัติ Bash/ Zsh, SSH keys, ไฟล์ .gitconfig, ไฟล์ hosts, ข้อมูลค่า AWS configuration, ข้อมูลค่า Kube configuration และอื่น ๆ โดยคาดว่าเป็นการโจมตีที่มุ่งเป้าหมายไปยังบริการคลาวด์ และเซิร์ฟเวอร์ของนักพัฒนา รวมไปถึงมัลแวร์ดังกล่าวยังสามารถเก็บรวบรวมข้อมูลในระบบปฏิบัติการ Linux ได้อีกด้วย

ReversingLabs ยังพบว่า มีอีก 5 แพ็คเกจที่ชื่อคล้ายกัน และถูกอัปโหลดโดยผู้เผยแพร่คนเดียวกัน ระหว่างวันที่ 8 ถึง 11 ธันวาคม 2022 ซึ่งแพ็คเกจเหล่านี้ไม่มีไฟล์ api.

นักวิจัยจาก Snyk ออกบทความเผยแพร่การค้นพบพฤติกรรมอันตราย SDK โฆษณาใน iOS ชื่อ Mintegral SDK จากบริษัทโฆษณา Mobvista ประเทศจีนมีพฤติกรรมขโมยข้อมูลของผู้ใช้งานและขโมยการกดคลิกโฆษณาของ SDK โฆษณาตัวอื่น Mintegral SDK มีแอปใช้งานกว่า 1,200 แอป รวมยอดผู้ใช้งานกว่า 300 ล้านคนต่อเดือน

Snyk ระบุว่า Mintegral SDK เก็บข้อมูลของผู้ใช้งานผ่านการเก็บ URL request ที่เกิดขึ้นบนแอปที่ใช้ Mintegral SDK ซึ่งเป็นไปได้ที่จะมีข้อมูลส่วนบุคคลของผู้ใช้งานและข้อมูลสำคัญอื่นๆ ปนไปกับ URL request เหล่านั้น นอกจากนี้ยังมีการขโมยรายได้เมื่อผู้ใช้งานมีการกดโฆษณาบน SDK โฆษณาตัวอื่นมาเป็นรายได้ของ Mintegral SDK

ทั้งนี้ทาง Apple ระบุว่าได้ตรวจสอบรายงานของ Snyk เกี่ยวกับ Mintegral SDK แล้วและยังไม่พบหลักฐานว่า Mintegral SDK เป็นอันตรายต่อผู้ใช้งานในขณะนี้ โดย Mintegral SDK แถลงเพิ่มเติมว่าการเก็บข้อมูลที่ทำเป็นการทำเพื่อการทำโฆษณาให้เฉพาะเจาะจงกับผู้ใช้เท่านั้น ไม่ได้มีการละเมิด terms of service ของ Apple

ที่มา:

thehackernews.

Intel ทำการแพทช์ช่องโหว่ใน Media SDK และ Intel NUC ใน mini PC

เมื่อวันอังคารที่ผ่านมา Intel ได้ปล่อยแพทช์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ 4 รายการ โดยมี 2 รายการที่มีความรุนแรงสูง (High) คือ ปัญหาช่องโหว่ใน Media SDK เวอร์ชั่นก่อน 2018 R2.1 ที่ส่งผลให้ผู้ไม่หวังดีที่สามารถผ่านการยืนยันตัวตนมาได้ (Authenticated) สามารถได้รับสิทธิ์ที่สูงขึ้น (CVE-2018-18094) ผู้ใ้ชงานต้องทำการอัพเดตเป็นเวอร์ชั่น 2018 R2.1 สามารดาวน์โหลดได้จากลิงค์ด้านล่าง

ช่องโหว่ความรุนแรงสูง (High) ที่ได้รับการแก้ไขอีกรายการ ถูกพบใน Intel NUC ซึ่งเป็นชุดเครื่องมือที่เกี่ยวข้องกับการทำงาน (Processing), หน่วยความจำ และ Storage ของแอพพลิเคชั่นใน mini PC (CVE-2019-0163) ซึ่งเป็นปัญหาข้อบกพร่องในส่วนของ input validation ใน firmware ของผลิตภัณฑ์ ส่งผลให้ผู้ใช้งานสามารถยกระดับสิทธิ์ให้สูงขึ้น (Privilege Escalation), DoS และการเปิดเผยข้อมูลโดยไม่ตั้งใจ

ดาวน์โหลด: https://software.

Trend Micro ได้ออกมาประกาศค้นพบช่องโหว่บน SDK ของ Baidu ที่ชื่อว่า “Moplus” ซึ่งช่องโหว่นี้ทำหน้าที่คล้าย Backdoor ที่ช่วยให้แฮกเกอร์เข้ามาควบคุมอุปกรณ์ Android ได้ เรียกช่องโหว่นี้ว่า “Wormhole” โดยคาดว่าส่งผลกระทบกับแอพพลิเคชั่นมากกว่า 14,000 แอพ ซึ่งประมาณ 4,000 แอพพลิเคชั่นในนั้นเป็นแอพที่พัฒนาจาก Baidu โดยตรง และจากการตรวจสอบพบว่ามีผู้ใช้มากกว่า 100 ล้านคนที่ดาวน์โหลดแอพพลิเคชั่นเหล่านี้ไปใช้งานบนเครื่องของตน
ช่องโหว่ Wormhole ช่วยให้แฮกเกอร์สามารถเปิดการใช้งาน HTTP Server บนอุปกรณ์ของผู้ใช้ โดยรันเป็น Background เพื่อไม่ให้เจ้าของเครื่องรู้ตัว ซึ่ง HTTP Server นี้จะคอยรับคำสั่งจากแฮกเกอร์ผ่านอินเตอร์เน็ต หมายเลขพอร์ท 6529 และ 40310 โดยคำสั่งที่ส่งมา เช่น การส่ง SMS, โทรศัพท์ไปหาผู้อื่น, สร้าง Contact ใหม่, แอบดูรายละเอียดของโทรศัพท์, ดาวน์โหลดและอัพโหลดไฟล์จากอุปกรณ์, แอบติดตั้งแอพพลิเคชั่น, ตรวจสอบตำแหน่งของอุปกรณ์ และอื่นๆ
Trend Micro ได้แจ้งช่องโหว่ Wormhole ไปยัง Baidu และ Google เป็นที่เรียบร้อยแล้ว และทาง Baidu ก็ได้ดำเนินการแก้ไขปัญหา นั่นคือได้มีการออก Moplus SDK เวอร์ชั่นใหม่ที่ปิดช่องโหว่ดังกล่าว จึงแนะนำให้ผู้ใช้งานรีบอัพเดทแอพพลิเคชั่นบนเครื่องโดยเร็วเพื่อป้องกันการโจมตีจากแฮกเกอร์ อย่างไรก็ตาม ยังพบว่ามี HTTP Server ที่ยังออนไลน์และถูกใช้งานอยู่

ที่มา : thehackernews