พบ Spyware ในแอนดรอยด์ตัวใหม่ ที่ปลอมตัวเป็นแอปพลิเคชันรับส่งข้อความยอดนิยมเพื่อขโมยข้อมูลที่สำคัญของผู้ใช้งาน

โดย Cyble Research & Intelligence Labs (CRIL) พบสปายแวร์ในแอนดรอยด์ตัวใหม่ที่มุ่งเป้าเพื่อขโมยข้อมูลที่สำคัญของผู้ใช้งาน เนื่องจากมัลแวร์นี้มีความแปลกใหม่ ดังนั้นนักวิจัยจึงเรียกมัลแวร์ตัวนี้ว่า 'HelloTeacher' โดยอ้างอิงจากบริการทดสอบที่มีอยู่ในซอร์สโค้ด

มัลแวร์ HelloTeacher จะปลอมตัวเป็นแอปพลิเคชันรับส่งข้อความยอดนิยม เช่น Viber หรือ kik Messenger เพื่อหลอกให้เป้าหมายติดตั้งแอปพลิเคชันที่เป็นอันตราย โดยตัวมัลแวร์มีความสามารถที่หลากหลาย เช่น การดึงข้อมูลรายชื่อผู้ติดต่อ, ข้อความ SMS, รูปภาพ, รายการแอปพลิเคชันที่ติดตั้ง, การจับภาพหน้าจอ และบันทึกหน้าจอของอุปกรณ์ที่ติดมัลแวร์

นอกจากนี้ผู้พัฒนามัลแวร์ HelloTeacher ยังพยายามเพิ่มฟังก์ชันของ banking trojan โดยใช้ฟีเจอร์อย่าง Accessibility Service โดยเป้าหมายหลักในการโจมตีเป็นธนาคารชื่อดังสามแห่งในเวียดนาม:

Package name

com.

Misspelled Packages (แพ็คเกจที่จงใจตั้งชื่อให้ใกล้เคียงกับแพ็คเกจยอดนิยม) กำลังล่อลวงเหยื่อที่ไม่ได้ระมัดระวัง โดยเหตุการณ์นี้มาจากรายงานของผู้ดูแลระบบ PyPI ในวันที่ 20 พฤษภาคม 2023 ที่ประกาศการระงับการลงทะเบียนชื่อผู้ใช้ และโปรเจกต์ใหม่ชั่วคราว สาเหตุเกิดจากการมีผู้ใช้ และโปรเจกต์ที่เป็นอันตรายเพิ่มขึ้นจำนวนมากในช่วงสัปดาห์ที่ผ่านมา

ประกาศของผู้ดูแลระบบ PyPI ระบุว่า "ปริมาณของผู้ใช้งาน และโปรเจกต์ที่เป็นอันตรายที่ถูกสร้างขึ้นในช่วงสัปดาห์ที่ผ่านมาเพิ่มขึ้นเร็วกว่าที่เราจะสามารถตอบสนองได้ในเวลาที่เหมาะสม โดยเฉพาะเมื่อผู้ดูแลระบบของ PyPI หลายคนลาออก"

PyPI (Python Package Index) เป็นที่เก็บซอฟต์แวร์ third-party อย่างเป็นทางการสำหรับ Python ซึ่งเป็นเว็บไซต์ที่ให้บริการในการจัดเก็บ และแจกจ่ายแพ็คเกจที่ถูกพัฒนาขึ้นด้วยภาษา Python โดย PyPI เป็นที่นิยมอย่างแพร่หลายสำหรับการพัฒนาแพ็คเกจด้วยภาษา Python ซึ่งช่วยให้นักพัฒนาสามารถเข้าถึง และดาวน์โหลดแพ็คเกจ Python ที่สร้างไว้ล่วงหน้าได้อย่างง่ายดาย ช่วยลดเวลา และความพยายามในการสร้างโค้ดตั้งแต่เริ่มต้น

Cyble Research and Intelligence Labs (CRIL) ได้ดำเนินการติดตามแพ็คเกจ Python ที่เป็นอันตราย และเร็ว ๆ นี้ CRIL ยังได้รายงานเรื่อง InfoSteraler ที่ถูกเรียกว่า KEKW ซึ่งกำลังแพร่กระจายผ่านแพ็คเกจ Python ที่เป็นอันตรายหลายรายการ

หลังจากการประกาศแจ้งเตือนของ PyPI นักวิจัยจาก Cyble ได้ดำเนินการตรวจสอบเพิ่มเติมเกี่ยวกับเหตุการณ์ดังกล่าว โดยพบแพ็คเกจ Python ที่เป็นอันตรายมากกว่า 160 รายการ จากสถิติที่เรียกดูจาก PePy พบว่าแพ็คเกจเหล่านี้มีการดาวน์โหลดไปแล้วมากกว่า 45,000 ครั้ง และยังพบว่ามีการดาวน์โหลดแพ็คเกจ python ที่เป็นอันตรายเพิ่มขึ้นต่อเดือน ซึ่งแพ็คเกจทั้งหมดเหล่านี้ถูกลบออกโดย PyPI และป้องกันการติดมัลแวร์ใหม่แล้ว

ภาพที่ 1 - จำนวนแพคเกจที่เป็นอันตรายที่ถูกดาวน์โหลดในแต่ละเดือน

การวิเคราะห์รายละเอียดเกี่ยวกับแพ็คเกจ Python ที่เป็นอันตรายกว่า 160 รายการ งานวิจัยครอบคลุมประเด็นที่น่าสนใจต่าง ๆ ได้แก่

Misspelled packages ถูกใช้งานโดยผู้ไม่หวังดี
กระแพร่กระจายของมัลแวร์ตัวใหม่ แพร่กระจายผ่านแพ็คเกจที่เป็นอันตราย
การนำเทคนิคของ obfuscation แบบใหม่มาใช้โดย W4SP Stealer
เทคนิคที่ใช้โดยผู้ไม่หวังดีที่ใช้ประโยชน์จากโมดูล EvilPIP

การวิเคราะห์

แพ็คเกจ Python ที่เป็นอันตราย

Misspelled Packages

ในการตรวจสอบของ CRIL เปิดเผยว่าผู้ไม่หวังดี (Threat Actors) ได้อัปโหลด Misspelled Python Packages โดยมุ่งเป้าหมายไปที่ผู้ใช้ Python โดยเฉพาะ ตัวอย่างที่โดดเด่น คือ การพบแพ็คเกจที่เป็นอันตรายที่ชื่อว่า 'reaquests' แพ็คเกจนี้มีจุดประสงค์ที่จะปลอมเป็นแพ็คเกจ Python ที่ถูกต้อง และใช้กันอย่างแพร่หลายที่ชื่อ 'requests' ซึ่งเป็นเครื่องมือยอดนิยมสำหรับดำเนินการ HTTP request ระหว่างผู้ใช้งานหลายล้านคน

การอัปโหลด Misspelled Packages นี้เป็นการเปิดเผยความเสี่ยงที่สำคัญโดยเฉพาะอย่างยิ่งหากผู้โจมตีรายอื่นนำเทคนิคนี้มาใช้ ซึ่งวิธีการดังกล่าวอาจทำให้ผู้ใช้งานที่ไม่ได้ระมัดระวังติดมัลแวร์จำนวนมากได้อย่างง่ายดาย โดยปกติแพ็คเกจ Python จะติดตั้งโดยใช้คำสั่ง “pip install package_name” ในกรณีที่ผู้ใช้พิมพ์ชื่อแพ็คเกจผิดพลาดอย่างไม่ได้ตั้งใจ พวกเขาก็จะติดตั้งแพ็คเกจ Python ที่เป็นอันตรายโดยไม่รู้ตัว

reaquests-0.1-py3-none-any
ดาวน์โหลดทั้งหมด : 252

ภาพด้านล่างแสดงสถิติการดาวน์โหลดในช่วง 3 เดือนที่ผ่านมา

ภาพที่ 2 - แหล่งที่มา PePy

จากการวิเคราะห์แพ็คเกจที่เป็นอันตรายดังกล่าว จากการตรวจสอบพบว่ามีการออกแบบเพื่อแพร่กระจายมัลแวร์ด้วย InfoStealer ซึ่งมัลแวร์ประเภทนี้มุ่งเป้าหมายไปที่เว็บเบราว์เซอร์ Google Chrome ของผู้ใช้งาน และดึงข้อมูลการเข้าสู่ระบบ โดยข้อมูลที่ถูกขโมยมาจะถูกส่งออกไปผ่านทาง Discord Webhook

ภาพที่ 3 - Stealer Code

รูปแบบมัลแวร์

เครื่องมือดาวน์โหลด (Downloader)

ในระหว่างการตรวจสอบ พบชุดของแพ็คเกจต่อไปนี้ที่ใช้งานเครื่องมือดาวน์โหลดที่เหมือนกัน ที่น่าสงสัยคือชุดแพ็คเกจเหล่านี้มีบันทึกการดาวน์โหลดทั้งหมด 1,355 ครั้ง

pyou-0.0.1-py3-none-any
tasksaio-0.0.1-py3-none-any
taskaio-0.0.1-py3-none-any
libcolors-0.0.1-py3-none-any
colorlibs-0.0.1-py3-none-any
pipcolors-0.0.1-py3-none-any
pycolorings-0.0.1-py3-none-any

เครื่องมือดาวน์โหลดที่กล่าวถึง ทำงานโดยการเรียกสคริปต์ระยะไกลจาก URL ที่กำหนด และเรียกใช้ผ่านตัวแปร Python ในกระบวนการนี้ เครื่องมือใช้ไฟล์ชั่วคราวเพื่อเก็บ และดำเนินการทำงานของสคริปต์จากระยะไกล ในกรณีนี้ถูกชี้ไปที่โฮสต์ "https[:]//paste[.]fo/raw/" และถูกปกปิดโดยใช้ Hyperion ซึ่งเป็นเครื่องมือปกปิดรหัส Python แบบโอเพ่นซอร์สที่มีชื่อเสียงสำหรับความสามารถในการปรับใช้เลเยอร์หลาย ๆ ชั้นของการปกปิดรหัสสคริปต์

ภาพด้านล่างแสดงแผนผังการทำงานของสคริปต์ดาวน์โหลดในกระบวนการดึงเนื้อหาจากภายนอก

ภาพที่ 4 – เครื่องมือดาวน์โหลด

Creal Stealer

Creel Stealer เป็นเครื่องมือขโมยข้อมูลแบบโอเพ่นซอร์สที่ได้รับการใช้งานอย่างแพร่หลายจากผู้ไม่หวังดี ถึงแม้ CRIL จะพบว่ามีการแพร่กระจายของมัลแวร์ขโมยนี้ผ่านเว็บไซต์ฟิชชิ่ง แต่ไม่มีหลักฐานใด ๆ ที่พบว่ามีการแพร่กระจายผ่านแพ็คเกจ Python มาก่อน ในการวิเคราะห์ยังพบว่ามีแพ็คเกจ Python หลายรายการที่แพร่กระจายมัลแวร์ Creal Stealer

ด้านล่างเป็นตัวอย่างของแพ็คเกจเหล่านี้ ซึ่งถูกดาวน์โหลดกว่า 1300 ครั้ง

amazonpxnau-0.0.1-py3-none-any.

พบตัวอย่างใหม่ของ RapperBot Botnet มีการเพิ่มฟังก์ชัน cryptojacking ที่มีความสามารถในการขุด Cryptocurrency บนคอมพิวเตอร์ที่ใช้ CPU Intel x64

ด้วยการพัฒนาอย่างต่อเนื่อง ในช่วงแรกผู้พัฒนามัลแวร์ได้เพิ่มความสามารถในการขุด Cryptocurrency ซึ่งแยกออกจากการทำงานของ Botnet จนกระทั่งในช่วงปลายเดือนมกราคมที่ผ่านมาฟังก์ชันการขุด Cryptocurrency ก็ถูกรวมเข้ากับ Botnet ในที่สุด

แคมเปญการขุด Cryptocurrency ของ RapperBot

นักวิจัยของ Fortinet's FortiGuard Labs ติดตามปฏิบัติการของ RapperBot ตั้งแต่เดือนมิถุนายน 2565 และรายงานว่า RapperBot นั้นเน้นการโจมตีเซิร์ฟเวอร์ Linux SSH ด้วยวิธีการ brute-force และรวบรวมเซิร์ฟเวอร์เหล่านั้นเพื่อใช้ในการโจมตีแบบ DDoS

จากนั้นในเดือนพฤศจิกายน นักวิจัยพบการอัปเดตเวอร์ชันของ RapperBot ทีใช้การแพร่กระจายตัวเองผ่าน Telnet และรวบรวมคำสั่งที่เหมาะสมกับการโจมตีเซิฟเวอร์ของบริษัทเกม

โดยในสัปดาห์นี้ FortiGuard Labs มีการรายงานเกี่ยวกับเวอร์ชันของ RapperBot ที่มีการใช้ XMRig Monero เพื่อขุด Cryptocurrency บนเครื่องคอมพิวเตอร์ที่ใช้ CPU Intel x64

นักวิจัยระบุว่าแคมเปญนี้เริ่มถูกนำมาใช้งานตั้งแต่เดือนมกราคม และกำหนดเป้าหมายไปที่อุปกรณ์ IoT เป็นหลัก

ปัจจุบันโค้ดสำหรับการขุด Cryptocurrency ได้ถูกรวมเข้ากับ RapperBot และได้รับการเข้ารหัสแบบ double-layer XOR ซึ่งสามาถซ่อน mining pools และ Monero mining addresses จากนักวิเคราะห์ได้อย่างมีประสิทธิภาพ

FortiGuard Labs พบว่า Botnet ดังกล่าวได้มีการตั้งค่าการขุดจาก C2 เซิฟเวอร์ แทนการใช้งาน hardcoded static pool addresses และ multiple pool นอกจากนี้ยังมีการใช้กระเป่าเงินดิจิทัลหลายอันในการสำรองข้อมูล

IP ของ C2 มีการโฮสต์ mining proxy ไว้ 2 ตัว เพื่อให้การตรวจสอบ และติดตามยากยิ่งขึ้น นอกจากนี้หาก C2 เซิฟเวอร์ออฟไลน์ RapperBot เองก็มีการตั้งค่าให้ไปใช้ mining pool สาธารณะแทน

เพื่อเพิ่มประสิทธิภาพการขุดให้สูงสุด มัลแวร์ตัวนี้จะมีการตรวจสอบ และระบุ Process บนเครื่องของเหยื่อ หากพบ Process ของมัลแวร์ตัวอื่น ก็จะหยุดการทำงานของ Process ดังกล่าวอีกด้วย

ในการวิเคระห์ RapperBot เวอร์ชันล่าสุด binary network protocol ที่ใช้สำหรับการติดต่อกับ C2 เซิฟเวอร์ได้รับการปรับปรุงใหม่โดยใช้วิธีการเข้ารหัสแบบ two-layer เพื่อหลบหลีกการตรวจจับ นอกจากนี้ขนาด และช่วงเวลาของการส่ง request ไปยังเซิร์ฟเวอร์ C2 นั้นถูกสุ่มให้มีความแต่กต่างกันเพื่อให้การเชื่อมต่อนั้นตรวจพบได้ยากขึ้น

ในขณะที่นักวิจัยยังไม่สังเกตเห็นคำสั่ง DDoS ที่ส่งมาจากเซิร์ฟเวอร์ C2 ไปยังตัวอย่างที่วิเคราะห์ได้ แต่พวกเขาพบว่าเวอร์ชันล่าสุดของ Bot รองรับคำสั่งดังต่อไปนี้:

Perform DDoS attacks (UDP, TCP, and HTTP GET)
Stop DDoS attacks
Terminate itself (and any child processes)

RapperBot ดูเหมือนจะพัฒนาอย่างรวดเร็ว และเพิ่มความสามารถต่าง ๆ เพื่อเพิ่มรายได้ให้กับกลุ่มผู้โจมตี

เพื่อป้องกันอุปกรณ์จากการโจมตีของ RapperBot และมัลแวร์ที่คล้ายกัน

ผู้ใช้งานควรอัปเดตซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ และปิด Service ที่ไม่จำเป็นต้องใช้งาน
เปลี่ยนรหัสผ่านเริ่มต้นเป็นรหัสผ่านที่รัดกุม
ใช้ Firewall เพื่อ Block request ที่ไม่ได้รับอนุญาต

ที่มา : bleepingcomputer

Proof of concept (POC) exploit code ของช่องโหว่ที่มีระดับ critical ในไลบรารียอดนิยม 'VM2' JavaScript sandbox ซึ่งถูกนำไปใช้ในซอฟต์แวร์จำนวนมากเพื่อความปลอดภัยสำหรับการทำงานแบบ virtualized

โดยไลบรารีดังกล่าวออกแบบมาเพื่อทดสอบโค้ดที่อาจไม่น่าเชื่อถือ บนเซิร์ฟเวอร์แยกของ Node.

แคมเปญฟิชชิ่ง Emotet รูปแบบใหม่ ที่มุ่งเป้าไปยังผู้เสียภาษีในสหรัฐฯ โดยการปลอมแปลงเป็นแบบฟอร์ม W-9 ที่ถูกส่งโดยหน่วยงาน Internal Revenue Service และบริษัทของเหยื่อ

Emotet เป็นมัลแวร์ที่มักแพร่กระจายผ่านทางอีเมลฟิชชิ่ง โดยในอดีตมีการใช้งานเอกสาร Microsoft Word และ Excel ที่มีการฝังมาโครไว้เพื่อทำการติดตั้งมัลแวร์

อย่างไรก็ตาม หลังจากที่ Microsoft ได้ทำการแก้ไขโดยการบล็อกมาโครเป็นค่าเริ่มต้นบน office ทาง Emotet ก็เปลี่ยนไปใช้ไฟล์ Microsoft OneNote ที่มีการฝังสคริปต์แทน เพื่อทำการติดตั้งมัลแวร์

เมื่อ Emotet ถูกติดตั้งแล้ว มัลแวร์จะทำหน้าที่ขโมยอีเมลของเหยือเพื่อใช้ในการโจมตีแบบ reply-chain, ส่งอีเมลสแปมเพิ่มเติม รวมถึงติดตั้งมัลแวร์อื่น ๆ เพื่อเปิดช่องทางการเข้าถึงระบบของเหยื่อสำหรับกลุ่มผู้โจมตีอื่น ๆ หรือกลุ่ม Ransomware

Emotet เตรียมพร้อมสำหรับช่วงเก็บภาษีของสหรัฐฯ

การทำงานของ Emotet มักใช้แคมเปญฟิชชิ่งที่มีธีมให้สอดคล้องกับวันหยุดพิเศษ และกิจกรรมทางธุรกิจที่เกิดขึ้นทุกปี เช่น ช่วงเวลาการเก็บภาษีของสหรัฐฯ ในปัจจุบัน

ในแคมเปญฟิชชิ่งล่าสุด (more…)

วันที่ 11 พฤศจิกายนที่ผ่านมา มีรายงานจากสำนักข่าวในประเทศไทยระบุว่า เว็บไซต์ศาลรัฐธรรมนูญ ถูกแฮกโดยเปลี่ยนชื่อไซต์เป็น Kangaroo Court และเปลี่ยนแปลงการแสดงผลหน้าเว็บไซต์เป็นมิวสิกวิดีโอเพลง Guillotine (It Goes Yah) ของวงดนตรีแนวฮิปฮอปจากสหรัฐชื่อ Death Grips และทำให้ไม่สามารถเข้าได้นั้น ซึ่งต่อมาทางกระทรวงดิจิทัลฯ ประกาศว่ากำลังเร่งหาตัวผู้กระทำผิด

ล่าสุดวันที่ 13 พฤศจิกายน มีรายข่าวจากสำนักข่าวว่าเจ้าหน้าที่ตำรวจสามารถจับกุมมือแฮกได้แล้ว หลังจากแกะรอยจากไอพีจนสามารถจับกุมได้ที่ จ.อุบลราชธานี เป็นชายวัย 33 ปี จบปริญญาตรีด้านวิทยาศาสตร์การแพทย์ โดยผู้ที่ถูกจับกุมให้การรับสารภาพว่าเป็นผู้แฮกเว็บไซต์ศาลรัฐธรรมนูญจริง จึงมีการสอบปากคำพร้อมยึดอุปกรณ์คอมพิวเตอร์ที่เกี่ยวข้องกับการกระทำความผิดเพื่อส่งให้กลุ่มงานตรวจพิสูจน์พยานหลักฐานดิจิทัลต่อไป

หากมีความคืบหน้าเพิ่มเติมทาง i-secure จะอัปเดตข้อมูลให้ทราบอีกครั้ง

กลุ่มนักวิจัยด้านความปลอดภัยจากบริษัท Kromtech เผยผลการทดสอบความเร็วในการแพร่กระจายของมัลแวร์เรียกค่าไถ่ที่มีเป้าหมายโจมตีเซิร์ฟเวอร์ MongoDB ที่มีช่องโหว่ ค้นพบว่ามัลแวร์ใช้เวลาเพียงแค่ 3 ชั่วโมงในการค้นหาเซิร์ฟเวอร์ที่มีช่องโหว่และอีก 13 วินาทีเพื่อลบฐานข้อมูล

ปัญหาหลักของเซิร์ฟเวอร์ MongoDB โดยส่วนมากนั้นมีที่มาจากการตั้งค่าที่ไม่ปลอดภัยซึ่งมักจะถูกตั้งค่ามาทันทีที่เริ่มติดตั้งและมีการใช้งาน บริการ Shodan ตรวจพบเซิร์ฟเวอร์ MongoDB กว่า 30,000 รายที่ยังคงมีความเสี่ยงที่จะถูกโจมตีและได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่

รูปแบบการโจมตีที่แฮกเกอร์ดำเนินการนั้น ทันทีที่แฮกเกอร์สามารถเข้าถึงฐานข้อมูลได้จากระยะไกล แฮกเกอร์จะทำการลบฐานข้อมูลรวมไปถึงไฟล์บันทึกการเข้าถึงต่างๆ เพื่อลบร่องรอยตัวเอง หลังจากนั้นแฮกเกอร์จะทำการสร้างฐานข้อมูลใหม่เพื่อแจ้งให้ผู้ใช้งานทราบและเรียงร้องค่าไถ่

Recommendation : การป้องกันในเบื้องต้นนั้น แนะนำให้ผู้ใช้งานและผู้ดูแลระบบทำการตั้งค่าระบบตาม Security Best Practices (https://www.

นักวิจัยจาก Kaspersky Lab ได้มีการเปิดเผยข้อมูลว่าฟังก์ชันเดิมของ Prilex คือการปรับแต่ง Malware ด้วยฟังก์ชันพิเศษเพื่อขโมยข้อมูลบัตรจากระบบ POS หมายความว่าระบบ POS เมื่อติด Malware แล้วอาจถูกปรับแต่ง และทำให้บุคคลที่สามสามารถเข้ามาดักจับข้อมูลระหว่างทางได้ โดยช่วงระยะทางดังกล่าวคือตอนที่ลูกค้ามีการจ่ายเงินผ่านระบบ POS ที่ติด Malware ข้อมูลดังกล่าวจะถูกส่งไปให้กับ Hacker โดยอัตโนมัติ ในประเทศบราซิลกลุ่ม Hacker ได้มีการพัฒนาโคงสร้างของ Malware และสร้างบัตรปลอมขึ้นมา มีข้อผิดพลาดเกิดขึ้นในการพัฒนาตัว EMV( ระบบรักษาความปลอดภัยสำหรับการทำธุรกรรมทางการเงิน) ซึ่งนั่นทำให้ข้อมูลที่ผ่านกระบวนการยืนยันไม่ได้รับการยืนยัน และที่แน่ไปกว่านั้นคือบัตรปลอมเหล่านี้สามารถใช้ได้กับทุกระบบ POS ในบราซิล

นักวิจัยจาก Kaspersky Lab ระบุถึงรายละเอียดโครงสร้างตัว Prilex ว่ามี Java applet และแอพพลิเคชันชื่อว่า Daphne ซึ่งเขียนข้อมูลลงบนบัตรปลอม และจะประเมินจำนวนข้อมูลที่สามารถดึออกมาได้ Prilex ยังมีฐานข้อมูลที่เอาไว้เก็บรหัสของบัตรต่างๆ ข้อมูลจะถูกขายเป็นแพ็คเกจในบราซิล โดยปกติเมื่อมีการใช้บัตรที่ระบบ POS จะประกอบไปด้วย 4 ขั้นตอน Namely Initialization, Data Authentication, Cardholder Verification, และ Transaction มีเพียงแค่ขั้นตอนแรกและสุดท้ายที่จำเป็น สองอันตรงกลางสามารถข้ามขั้นตอนไปได้ เมื่อมีการใช้บัตรปลอมดังกล่าว ระบบ POS จะได้รับสัญญาณว่าข้ามขั้นตอน data authentication ได้ และตัวระบบไม่จำเป็นต้องมองหา Cryptographic Keys ของบัตร

Santiago Pontiroli นักวิจัยจาก Kaspersky ได้ออกมาบอกว่า Orilex ในเวลานี้เป็น Malware ที่รองรับการใช้งานของ Hacker แบบเต็มตัวเพราะมีหน้า UI ที่ออกแบบมาดี และมีไฟล์ต้นแบบในการสร้างโครงสร้างบัตรต่างๆ ทำให้กลายเป็นธุรกิจในตลาดมืด

ที่มา : hackread

กลุ่มนักวิจัยด้านความปลอดภับจาก RIPS Technologies ได้มีการเปิดเผยถึงการค้นพบช่องโหว่ secord-order SQL injection ใน Joomla! เวอร์ชันก่อนหน้า 3.8.4 และมากกว่า 3.7.0 ซึ่งส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิ์ตัวเองเป็นผู้ดูแลระบบเว็บไซต์ได้

ช่องโหว่นี้ได้รับการแพตช์ในแพตช์ด้านความปลอดภัยที่ถูกเผยแพร่ออกมาในวันที่ 30 มกราคม แนะนำให้ผู้ใช้งาน Joomla! ทำการตรวจสอบและอัปเดตโดยด่วน
Affected Platform - Joomla! รุ่นน้อยกว่า 3.8.4 และ มากกว่า 3.7.0

ที่มา : Ripstech