Errors ใน Google Meet ปลอม ถูกใช้เพื่อแพร่กระจายมัลแวร์ขโมยข้อมูล

แคมเปญใหม่ที่ชื่อว่า ClickFix กำลังหลอกล่อผู้ใช้งานให้ไปที่หน้าการประชุม Google Meet ปลอม ที่แสดงข้อความ Errors ปลอมเกี่ยวกับการเชื่อมต่อ ทำให้มีการติดตั้งมัลแวร์สำหรับขโมยข้อมูลบนระบบปฏิบัติการ Windows และ macOS

ClickFix เป็นเทคนิค social-engineering ที่ถูกพบในเดือนพฤษภาคม โดยถูกรายงานครั้งแรกจากบริษัทด้านความปลอดภัยทางไซเบอร์ Proofpoint ซึ่งมาจากผู้โจมตีกลุ่ม (TA571) ที่ใช้ข้อความในการปลอมแปลงเป็น Errors สำหรับ Google Chrome, Microsoft Word และ OneDrive

ข้อผิดพลาดเหล่านี้จะกระตุ้นให้ผู้ใช้งานทำการคัดลอกโค้ด PowerShell ลงในคลิปบอร์ด โดยอ้างว่าจะช่วยแก้ปัญหาเมื่อรันโค้ดใน Windows Command Prompt

โดยจะส่งผลให้เกิดการแพร่กระจายมัลแวร์ไปยังระบบอื่น ๆ โดยมัลแวร์ที่มีการแแพร่กระจาย เช่น DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, a clipboard hijacker และ Lumma Stealer

ในเดือนกรกฎาคม McAfee รายงานว่าแคมเปญ ClickFix เริ่มเป็นที่นิยมมากขึ้น โดยเฉพาะในสหรัฐอเมริกา และญี่ปุ่น

รายงานฉบับใหม่จาก Sekoia ซึ่งเป็นผู้ให้บริการความปลอดภัยทางไซเบอร์แบบ SaaS ระบุว่าแคมเปญ ClickFix ได้ถูกพัฒนาขึ้นอย่างมาก โดยปัจจุบันใช้การล่อลวงผ่าน Google Meet และยังมีการใช้อีเมลฟิชชิงที่กำหนดเป้าหมายไปยังบริษัทขนส่ง และโลจิสติกส์ รวมถึงมีการทำหน้า Facebook ปลอม และมีการหลอกลวงบน GitHub อีกด้วย

ตามรายงานจากบริษัทความปลอดภัยทางไซเบอร์ของฝรั่งเศสระบุว่า แคมเปญล่าสุดบางส่วนดำเนินการโดยกลุ่มผู้โจมตี 2 กลุ่ม ได้แก่ Slavic Nation Empire (SNE) และ Scamquerteo ซึ่งถือเป็นทีมย่อยของแก๊งหลอกลวงสกุลเงินดิจิทัล Marko Polo และ CryptoLove

หลอกลวงผ่าน Google Meet

ผู้โจมตีกำลังใช้หน้าเว็บไซต์ปลอมสำหรับ Google Meet ซึ่งเป็นบริการการสื่อสารผ่านวิดีโอที่เป็นส่วนหนึ่งของ Google Workspace ที่ได้รับความนิยมในสภาพแวดล้อมขององค์กรสำหรับการประชุมทางไกล และการสัมมนาผ่านเว็บ รวมถึงการทำงานร่วมกันทางออนไลน์

ผู้โจมตีจะส่งอีเมลถึงผู้ใช้ที่มีลักษณะเหมือนคำเชิญของ Google Meet ที่ดูเหมือนเป็นของจริง ซึ่งจะเกี่ยวข้องกับการประชุม การสัมมนา หรือเหตุการณ์สำคัญอื่น ๆ

URL เหล่านี้มีความคล้ายคลึงกับลิงก์ Google Meet ที่เป็นของจริง โดยมีรายละเอียดดังนี้

meet[.]google[.]us-join[.]com
meet[.]google[.]web-join[.]com
meet[.]googie[.]com-join[.]us
meet[.]google[.]cdm-join[.]us

เมื่อผู้ใช้เข้าสู่หน้าเว็บไซต์ปลอมแล้ว ผู้ใช้จะได้รับข้อความแจ้งให้ทราบถึงปัญหาทางเทคนิค เช่น ปัญหาของไมโครโฟน หรือหูฟัง

หากผู้ใช้คลิกปุ่ม Try Fix ที่แสดงขึ้นมาจะมีการติดตั้งมัลแวร์ ClickFix โดยจะมีการ Copyโค้ด PowerShell จากเว็บไซต์ลงไปยังพรอมต์ของ Windows ภายในเครื่อง ส่งผลทำให้คอมพิวเตอร์ของผู้ใช้ติดมัลแวร์ และดึงเพย์โหลดจากโดเมน googiedrivers[.]com

เพย์โหลดในขั้นสุดท้ายคือมัลแวร์ขโมยข้อมูล Stealc หรือ Rhadamanthys บน Windows ส่วนในเครื่อง macOS ผู้โจมตีจะติดตั้ง AMOS Stealer ในรูปแบบไฟล์ .DMG (อิมเมจดิสก์ของ Apple) ที่มีชื่อว่า 'Launcher_v194'

Sekoia ได้ระบุว่า มัลแวร์ยังสามารถกระจายไปยังกลุ่มอื่นที่นอกเหนือจาก Google Meet ได้อีก เช่น โปรแกรม Zoom, โปรแกรมอ่านไฟล์ PDF, วิดีโอเกมปลอม (Lunacy, Calipso, Battleforge, Ragon), เว็บเบราว์เซอร์ และโครงการ web3 (NGT Studio) รวมไปถึงแอปส่งข้อความ (Nortex)

ที่มา : https://www.

ปัญหาใน Da Hood ผู้ไม่หวังดีใช้แพ็กเกจ PyPI ที่เป็นอันตรายเพื่อโจมตี Roblox Cheaters

โลกของเกมส่วนใหญ่จะเป็นสถานที่ที่มีการแข่งขันสูง โดยผู้เล่นหลายคนหันไปหาความช่วยเหลือจากโปรแกรมภายนอก (‘game hacks’) เพื่อให้ได้เปรียบ แม้ว่าโปรแกรมเหล่านี้บางโปรแกรมจะให้การช่วยเหลือในเกมอย่างถูกต้อง แต่ผู้ไม่หวังดีมักใช้ประโยชน์จากความสนใจของกลุ่มผู้ที่ชอบดัดแปลงเกม เพื่อนำมัลแวร์มาแพร่กระจาย หนึ่งในตัวอย่างนี้พบในชุมชนที่พัฒนาโปรแกรมโกงของเกมยอดนิยมอย่าง Roblox

Roblox เป็นแพลตฟอร์มเกมออนไลน์ และระบบสร้างเกมที่ได้รับความนิยม ซึ่งอนุญาตให้ผู้ใช้งานเล่น หรือสร้างเกมแบบผู้เล่นหลายคนได้ หนึ่งในตัวอย่างคือ Da Hood ซึ่งเป็นเกมในโครงสร้างของ Roblox โดยเกมนี้เกิดขึ้นในวัฒนธรรมแก๊งค์ ผู้เล่นสามารถเลือกที่จะเป็นตำรวจ หรืออาชญากร, เข้าร่วมกิจกรรมของแก๊งค์ หรือทำการต่อสู้กับแก๊งค์ เกมนี้ได้รับความนิยมอย่างมาก โดยปัจจุบันอยู่ในอันดับที่ 20 เกมยอดนิยมบน Roblox และมีการเข้าชมมากกว่า 2.6 พันล้านครั้ง

ผู้เล่นเกมจำนวนมาก รวมถึงผู้เล่น Roblox (และ Da Hood) เลือกติดตั้งโปรแกรมโกง (‘externals’), แฮ็ก และการปรับแต่ง (‘mods’) เพื่อเพิ่มประสบการณ์ในการเล่นเกม Mods สามารถเปลี่ยนแปลงรูปลักษณ์ หรือพฤติกรรมของเกม ในขณะที่โปรแกรมโกงอาจช่วยให้ผู้เล่นได้รับข้อได้เปรียบบางอย่างในระหว่างเล่นเกม เช่น “aimlock” ซึ่งช่วยเพิ่มความแม่นยำในเกมยิงปืน ตลอดระยะเวลาที่ผ่านมา มีชุมชนขนาดใหญ่เกิดขึ้นบนแพลตฟอร์มต่าง ๆ เช่น Reddit, YouTube และ Discord ซึ่งช่วยให้ผู้เล่นสามารถแลกเปลี่ยนเคล็ดลับ และเครื่องมือเกี่ยวกับ mods และ cheats สำหรับเกมต่าง ๆ ได้

Cheating the Cheaters: วิธีที่โปรแกรมภายนอก และ Mods ทำให้ผู้เล่นเสี่ยงต่อการติดมัลแวร์

เป็นที่ทราบกันดีว่าการติดตั้งโปรแกรมโกง และ Mods เหล่านี้สามารถทำให้ผู้เล่นเสี่ยงต่อการติดมัลแวร์ ผู้ไม่หวังดีสามารถใช้แพลตฟอร์มเกมยอดนิยม, ฟอรัม และชุมชนต่าง ๆ เพื่อแพร่กระจายมัลแวร์ เช่น โปรแกรมขโมยข้อมูล (stealers), RATs (Remote Access Trojans) และ cryptominers หนึ่งในตัวอย่างของแคมเปญในลักษณะนี้ได้ถูกบันทึกไว้ในงานวิจัยของ Cisco Talos ผู้ที่ใช้โปรแกรมโกงมักถูกชักชวนให้ปิดการใช้งานแอนตี้ไวรัส และการป้องกันแบบเรียลไทม์ เพื่อให้โปรแกรมโกงสามารถทำงานได้ ซึ่งทำให้พวกเขายิ่งเสี่ยงต่อการติดมัลแวร์มากขึ้น ดังที่เราจะเห็นในตัวอย่างต่อไปนี้

การค้นพบของนักวิจัย

ในการวิจัยล่าสุดเกี่ยวกับแพ็กเกจ PyPI ที่ถูกโจมตี และเป็นอันตราย ทีมวิจัยภัยคุกคามของ Imperva ได้ระบุแคมเปญมัลแวร์ที่กำลังดำเนินอยู่ ซึ่งมุ่งเป้าไปที่ผู้ที่ใช้งานที่ใช้โปรแกรมโกงใน Roblox โดยในการตรวจสอบนี้พบข้อมูลที่สำคัญหลายประการ

แพ็กเกจ Python ที่เป็นอันตรายถูกอัปโหลดไปยัง PyPI ซึ่งมีโค้ดที่ออกแบบมาเพื่อดาวน์โหลดไฟล์ Windows ที่เป็นอันตราย
แพ็กเกจเหล่านี้ถูกสร้างขึ้นเพื่อใช้ประโยชน์จากผู้ที่ใช้โปรแกรมโกงในเกม Da Hood ของ Roblox โดยปลอมตัวเป็นโปรแกรมโกงประเภท “external” เพื่อหลอกผู้ใช้งาน
ผู้ไม่หวังดีใช้แพลตฟอร์มต่าง ๆ เช่น GitHub, Discord และ YouTube เพื่อเผยแพร่โปรแกรมโกงเหล่านี้
ในบรรดาไฟล์ Windows ที่ค้นพบมีกรณีของ Skuld Stealer และ Blank Grabber ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่เป็นที่รู้จักกันดี

เราจะเปิดเผยเกี่ยวกับแคมเปญนี้ และกลยุทธ์ที่พัฒนาขึ้นเรื่อย ๆ ของกลุ่มผู้ไม่หวังดีที่มุ่งเป้าไปยังชุมชนผู้ใช้โปรแกรมโกงในเกม

การติดตามร่องรอย

ทุกอย่างเริ่มต้นด้วยแพ็กเกจที่ชื่อว่า ‘pysleek’ ซึ่งถูกตรวจจับโดยระบบตรวจสอบ เมื่อตรวจสอบเพิ่มเติม นักวิจัยพบว่าแพ็กเกจนี้ดาวน์โหลดไฟล์ไบนารีที่ชื่อว่า ‘zwerve.

ชายคนหนึ่งสารภาพว่าขโมยเงินดิจิทัลมูลค่า 37 ล้านเหรียญจากเหยื่อ 571 ราย

ชายวัย 21 ปีจากรัฐอินเดียนาที่ชื่อว่า Evan Frederick Light ได้สารภาพผิดว่าขโมยสกุลเงินดิจิทัลมูลค่า 37,704,560 ดอลลาร์จากเหยื่อ 571 รายในเหตุการณ์โจมตีทางไซเบอร์เมื่อปี 2022

ตามประกาศของกระทรวงยุติธรรมสหรัฐฯ Light ได้ขโมยสกุลเงินดิจิทัลจากบริษัทที่เกี่ยวกับ Investment holdings ที่ไม่เปิดเผยชื่อซึ่งมีสำนักงานอยู่ในเมืองซูฟอลส์ รัฐเซาท์ดาโคตา

ข้อเท็จจริงที่ทาง BleepingComputer ได้รับมาระบุว่า Light และผู้สมรู้ร่วมคิดที่ไม่ทราบชื่อได้ขโมยข้อมูล identity ของลูกค้าที่มีความน่าเชื่อถือของบริษัทเพื่อเข้าถึงเซิร์ฟเวอร์ของบริษัท จากนั้นพวกเขาจึงใช้ประโยชน์จากช่องโหว่เพื่อแพร่กระจายมัลแวร์ไปในเครือข่ายภายใน

Light ระบุว่าได้ขโมยข้อมูลส่วนบุคคลภายในบริษัทในส่วนของลูกค้า ซึ่งข้อมูลดังกล่าวถูกนำไปใช้ในการขโมยสกุลเงินดิจิทัล

โดยมีข้อมูลว่าหลังจากเข้าถึงเซิร์ฟเวอร์ของบริษัทได้สำเร็จแล้ว Light และผู้สมรู้ร่วมคิดได้ขโมยข้อมูลส่วนบุคคลของลูกค้าหลายรายออกจากเซิร์ฟเวอร์ จากนั้นได้มีการใช้การเข้าถึงนี้เพื่อขโมยสกุลเงิน โดยเปรียบเหมือนว่าเป็นลูกค้าที่กำลังถือสินทรัพย์ดังกล่าวอยู่กับบริษัท

โดยรวมแล้ว Light ระบุว่า เขาได้ขโมยสกุลเงินดิจิทัลมูลค่า 37,704,560 ดอลลาร์ จากเหยื่อ 571 ราย จากนั้นดำเนินการโอนไปยังบริการ coin-mixing และเว็บไซต์การพนันต่าง ๆ เพื่อปกปิดร่องรอยหลักฐาน และเพื่อซ่อนตัวตน

แม้ว่าจะพยายามปกปิดตัวตน แต่เอฟบีไอก็สามารถติดตาม และจับกุม Light ได้ ส่งผลให้เขาถูกตั้งข้อกล่าวหาในเดือนพฤษภาคม 2023

ในตอนแรก Light ไม่ได้ให้การรับสารภาพ แต่ตอนนี้เขาได้ยอมรับว่าเขามีส่วนเกี่ยวข้องกับการโจมตีทางไซเบอร์

ขณะนี้ Light ต้องโทษจำคุกสูงสุด 20 ปี โดยจะถูกปล่อยตัวภายใต้การดูแลเป็นเวลา 3 ปี และต้องชดใช้ค่าเสียหาย

ยังต้องรอดูว่าเหยื่อจะได้เงินคืนหรือไม่ เนื่องจากทางการยังไม่ได้ประกาศยึดทรัพย์สินใด ๆ ที่ถือครองโดย Light

เมื่อเดือนที่แล้ว FBI รายงานว่ามูลค่าความเสียหายยของสกุลเงินดิจิทัลสูงถึง 5.6 พันล้านเหรียญสหรัฐในปี 2023 และนับตั้งแต่ปี 2019 เป็นต้นมา ก็สร้างสถิติใหม่ทุกปี

เพื่อรักษาความปลอดภัยของสกุลเงินดิจิทัลให้ดีที่สุด ขอแนะนำให้ใช้กระเป๋าเงินแบบ cold wallets ซึ่งจะจัดเก็บสกุลเงินดิจิทัลแบบออฟไลน์ และมีโอกาสถูกแฮ็กน้อยกว่า และเปิดใช้งาน multi-factor authentication รวมไปถึงไม่ควรแชร์ข้อมูลที่สำคัญทางออนไลน์

ที่มา : https://www.

Google Pay แจ้งเตือนผู้ใช้งานเกี่ยวกับอีเมล “เพิ่มบัตรใหม่” โดยไม่ได้ตั้งใจ

สัปดาห์นี้ผู้ใช้งานรู้สึกตื่นตระหนกเมื่อได้รับอีเมลจาก Google Pay ซึ่งระบุว่าพวกเขาได้มีการ "เพิ่มบัตรใหม่" ลงในบัญชี Google ของตนได้สำเร็จ

การแจ้งเตือนนี้ทำให้ผู้ใช้ตกใจ และแสดงความกังวลในโซเชียลมีเดีย ท่ามกลางความกังวลว่าพวกเขาอาจตกเป็นเหยื่อของการละเมิดข้อมูล

สำหรับหลาย ๆ คน บัตรที่ถูกระบุถึงในอีเมลนั้นได้ถูกออกให้เมื่อหลายปีก่อน และปัจจุบันหมดอายุแล้ว ซึ่งทำให้เกิดความสับสนมากขึ้น

อีเมลที่แจ้งว่า 'เพิ่มบัตรใหม่' ใน Google Pay ทำให้ผู้ใช้ตื่นตระหนก

ระหว่างวันพุธถึงวันพฤหัสบดีในสัปดาห์ที่ผ่านมา ผู้ใช้งาน Google Pay หลายคนได้รับอีเมลเกี่ยวกับการเพิ่มบัตรใหม่ในบัญชี Google Pay ของพวกเขา

ผู้ใช้งานที่กังวลได้โพสต์ข้อมูลบนโซเชียลมีเดีย และฟอรัมสนับสนุนของ Google เพื่อขอคำชี้แจงเกี่ยวกับการแจ้งเตือนเหล่านี้ และพวกเขาเป็นเหยื่อของการถูกโจมตีหรือไม่

ผู้ใช้งาน Google Pay ชื่อ Arran Dickson รายงานว่าได้รับการแจ้งเตือนทางอีเมลที่ผิดปกติช่วง 04.00 น. เกี่ยวกับบัตรเก่าที่หมดอายุแล้ว และได้สอบถามไปยัง Google ว่านี่ควรต้องกังวลกับเหตุการณ์นี้หรือไม่

ผู้ใช้งานคนอื่น ๆ ก็เข้ามาแสดงความคิดเห็น รวมถึง Anthony Parkes ที่ระบุว่าเขาได้รับอีเมลเช่นนี้ถึง 15 ฉบับ ซึ่งทำให้เขาเริ่มสงสัยว่าเขาถูกแฮ็กหรือไม่

ฟอรัมสนับสนุนของ Google ยังมีหัวข้อที่เป็น trending โดยมีการโหวตจากผู้ใช้งานเป็นจำนวนหลายร้อยคน อีกทั้งยังมีหัวข้อที่คล้ายกันปรากฏบน Reddit เช่นเดียวกัน

Google ยืนยันว่าไม่มีการละเมิดข้อมูล และอีเมลนั้นเป็นความผิดพลาดที่เกิดขึ้นโดยไม่ได้ตั้งใจ

เมื่อวันเสาร์ที่ผ่านมา Google ได้ส่งอีเมลเพิ่มเติมไปยังผู้ใช้งานที่ได้รับผลกระทบ โดยระบุว่าอีเมลการแจ้งเตือนก่อนหน้านั้นเป็น "ความผิดพลาด" และไม่มีเหตุผลให้ต้องกังวล

การแก้ไขที่ส่งจากทีม Google Pay ระบุไว้ว่า "คุณอาจได้รับอีเมลหนึ่ง หรือหลายฉบับเกี่ยวกับวิธีการชำระเงินที่ถูกเพิ่มลงในบัญชี Google ของคุณ หากได้รับอีเมลเหล่านี้ ถือเป็นความผิดพลาดที่ได้ถูกแก้ไขแล้ว เราขออภัยในความไม่สะดวกนี้ ไม่มีการเข้าถึงบัญชี Google ของคุณโดยไม่ได้รับอนุญาต และข้อมูลของคุณไม่ได้ถูกละเมิด คุณไม่จำเป็นต้องดำเนินการใด ๆ คุณสามารถตรวจสอบวิธีการชำระเงินของคุณได้ทุกเมื่อในบัญชี Google ของคุณ"

ดังนั้น ผู้ที่ได้รับอีเมลการ 'เพิ่มบัตรใหม่' ในสัปดาห์นี้สามารถเพิกเฉยต่ออีเมลดังกล่าวได้อย่างปลอดภัย

ตามแนวทางปฏิบัติที่ดีที่สุด ผู้ใช้ควรตรวจสอบวิธีการชำระเงิน และรายการธุรกรรมที่ระบุไว้ภายใต้บัญชี Google ของตน และผลิตภัณฑ์กระเป๋าเงินดิจิทัลอื่น ๆ อยู่เป็นประจำ

ที่มา : https://www.

ฟีเจอร์ ‘VoiceOver’ ของ iPhone สามารถอ่านออกเสียงรหัสผ่านได้

 

Apple ได้แก้ไขช่องโหว่สองรายการที่อาจส่งผลกระทบกับเจ้าของ iPhone และ iPad ที่ให้ความสำคัญกับความเป็นส่วนตัว

ช่องโหว่แรก เป็นปัญหาที่เกี่ยวข้องกับฟีเจอร์การเข้าถึง VoiceOver ของ Apple ซึ่งอาจทำให้ iPhone หรือ iPad ออกเสียงรหัสผ่านที่สำคัญได้ ส่วนข้อผิดพลาดอีกรายการส่งผลกระทบกับข้อความเสียงใน iPhone รุ่นใหม่ ซึ่งอาจทำให้บันทึกเสียงผู้ใช้งานในช่วงเวลาสั้น ๆ ก่อนที่พวกเขาจะรู้ว่ากำลังถูกบันทึกเสียงอยู่

ระบบปฏิบัติการเวอร์ชันใหม่พร้อมใช้งานสำหรับทั้ง iOS และ iPadOS (18.0.1) ซึ่งได้แก้ไขช่องโหว่ด้วยการปรับปรุงการตรวจสอบ และการยืนยันตามลำดับ ผู้ใช้ควรอัปเดตอุปกรณ์ของตนเพื่อหลีกเลี่ยงความเสี่ยงที่อาจเกิดขึ้น

ตามที่ Michael Covington รองประธานฝ่าย portfolio strategy ของ Jamf ระบุว่า "ข่าวดีคือช่องโหว่ทั้งสองรายการนั้น ไม่เกี่ยวข้องกับการโจมตี แต่เป็นช่องโหว่ที่เกิดขึ้นจากการใช้งานอุปกรณ์ และความเป็นส่วนตัวของผู้ใช้"

อย่างไรก็ตาม สำหรับธุรกิจที่ใช้มือถือในการทำงาน ขอแนะนำให้ให้ความสำคัญกับช่องโหว่ทั้งสองรายการนี้ และดำเนินการที่เหมาะสมเพื่ออัปเดตอุปกรณ์ให้เร็วที่สุดเท่าที่จะเป็นไปได้

ช่องโหว่ #1: การอ่านออกเสียงรหัสผ่าน

ช่องโหว่แรกเกี่ยวข้องกับ VoiceOver ซึ่งเป็นฟีเจอร์การเข้าถึงที่ให้คำบรรยายเสียงแก่ผู้ใช้ที่มีความบกพร่องทางการมองเห็นเกี่ยวกับองค์ประกอบต่าง ๆ บนหน้าจอ เช่น ข้อความ, ปุ่ม, รูปภาพ และอื่น ๆ นอกจากนี้ VoiceOver ยังอนุญาตให้ผู้ใช้สามารถนำทางอุปกรณ์ของตนด้วยคำสั่งเสียง และท่าทางต่าง ๆ ได้อีกด้วย

อย่างไรก็ตาม อาจไม่ใช่ทุกอย่างในอุปกรณ์ที่จะต้องอ่านออกเสียง เช่น รหัสผ่าน เมื่อเดือนที่แล้ว ในส่วนของ iOS และ iPadOS 18 แอปพลิเคชันใหม่ชื่อ 'Passwords' ได้ถูกเปิดตัวโดย Apple ซึ่งช่วยให้ผู้ใช้งานสามารถเก็บ และจัดการข้อมูลการเข้าสู่ระบบได้อย่างง่ายดาย โดย CVE-2024-44204 เป็นช่องโหว่ด้าน logic ที่อาจทำให้ VoiceOver อ่านรหัสผ่านของผู้ใช้งานออกมาได้

VoiceOver ปิดใช้งานโดยค่าเริ่มต้น ซึ่งหมายความว่าผู้ใช้ iPhone เพียงบางกลุ่มเท่านั้นที่อาจได้รับผลกระทบ

Covington ระบุไว้ว่า "เหตุการณ์นี้ไม่ใช่ครั้งแรกที่พบการใช้ accessibility ฟีเจอร์ในทางที่ผิด ตัวอย่างก่อนหน้านี้รวมถึงเทคโนโลยีอ่านหน้าจอที่ถูกใช้โดยแอปพลิเคชันที่ทำงานผิดปกติเพื่อดึงข้อมูลรายละเอียดบนหน้าจอ และขโมยข้อมูลจากอุปกรณ์ โชคดีที่ accessibility ฟีเจอร์ส่วนใหญ่ต้องผ่านการทดสอบด้านความปลอดภัย และความเป็นส่วนตัวอย่างเข้มงวด ดังนั้นเหตุการณ์เหล่านี้จึงไม่ค่อยเกิดขึ้นบ่อยนัก"

ช่องโหว่ #2: เริ่มต้นบันทึกเสียงก่อนเวลา

หากผู้ใช้ iPhone อยู่ระหว่างเดินทาง มีอะไรจะพูดมากมาย หรืออาจจะไม่อยากพิมพ์ พวกเขาอาจเลือกที่จะบันทึกข้อความเสียงใน iMessage แทนการพิมพ์ข้อความธรรมดา หลังจากที่พวกเขากดเครื่องหมายบวกที่ด้านซ้ายของกล่องข้อความ และเลือก "เสียง" อุปกรณ์จะแจ้งว่าเริ่มบันทึกโดยมีคลื่นเสียงสีแดงที่แสดงแทนกล่องข้อความ และมีจุดสีส้มเล็ก ๆ ที่ด้านบนของหน้าจอ

นักวิจัยด้านความปลอดภัยเพิ่งค้นพบว่าข้อความเสียงอาจบันทึกเสียงได้ไม่กี่วินาทีก่อนที่ผู้ใช้จะรู้ว่ามีการเปิดไมโครโฟนอยู่ โดยช่องโหว่ CVE-2024-44207 ส่งผลกระทบกับ iPhone 16 รุ่นใหม่ทั้งหมด

แม้ว่าจะดูเหมือนเป็นปัญหาที่เล็กน้อย แต่ Covington แสดงให้เห็นว่า "การขาดการเชื่อมต่อระหว่างฟังก์ชั่นของอุปกรณ์ และ visual indicators ที่เกี่ยวข้องนี้ เป็นสิ่งที่ทีมวิจัยภัยคุกคามของ Jamf ได้เชื่อมโยงกับเทคนิคการแฝงตัวที่ใช้โดยผู้ไม่หวังดีเพื่อรักษาการมีอยู่บนอุปกรณ์หลังจากการโจมตีสำเร็จ การแก้ไขช่องโหว่นี้ก่อนที่มันจะถูกนำไปใช้ในทางที่ผิดถือเป็นความสำเร็จครั้งใหญ่ของ Apple"

ทั้งนี้ช่องโหว่ VoiceOver และช่องโหว่การส่งข้อความเสียงยังไม่ได้รับการจัดอันดับในระบบการให้คะแนนช่องโหว่ทั่วไป (CVSS) ในขณะนี้ และยังไม่มีรายละเอียดเพิ่มเติมที่เผยแพร่ออกมาในเวลานี้

ที่มา : https://www.

HelloTeacher มัลแวร์บนแอนดรอยด์ตัวใหม่มุ่งเป้าไปที่ผู้ใช้บริการธนาคารในเวียดนาม

พบ Spyware ในแอนดรอยด์ตัวใหม่ ที่ปลอมตัวเป็นแอปพลิเคชันรับส่งข้อความยอดนิยมเพื่อขโมยข้อมูลที่สำคัญของผู้ใช้งาน

โดย Cyble Research & Intelligence Labs (CRIL) พบสปายแวร์ในแอนดรอยด์ตัวใหม่ที่มุ่งเป้าเพื่อขโมยข้อมูลที่สำคัญของผู้ใช้งาน เนื่องจากมัลแวร์นี้มีความแปลกใหม่ ดังนั้นนักวิจัยจึงเรียกมัลแวร์ตัวนี้ว่า 'HelloTeacher' โดยอ้างอิงจากบริการทดสอบที่มีอยู่ในซอร์สโค้ด

มัลแวร์ HelloTeacher จะปลอมตัวเป็นแอปพลิเคชันรับส่งข้อความยอดนิยม เช่น Viber หรือ kik Messenger เพื่อหลอกให้เป้าหมายติดตั้งแอปพลิเคชันที่เป็นอันตราย โดยตัวมัลแวร์มีความสามารถที่หลากหลาย เช่น การดึงข้อมูลรายชื่อผู้ติดต่อ, ข้อความ SMS, รูปภาพ, รายการแอปพลิเคชันที่ติดตั้ง, การจับภาพหน้าจอ และบันทึกหน้าจอของอุปกรณ์ที่ติดมัลแวร์

นอกจากนี้ผู้พัฒนามัลแวร์ HelloTeacher ยังพยายามเพิ่มฟังก์ชันของ banking trojan โดยใช้ฟีเจอร์อย่าง Accessibility Service โดยเป้าหมายหลักในการโจมตีเป็นธนาคารชื่อดังสามแห่งในเวียดนาม:

Package name

com.

ผู้ใช้งานกว่า 45,000 ราย ตกเป็นเหยื่อจาก PyPI แพ็คเกจที่เป็นอันตราย

Misspelled Packages (แพ็คเกจที่จงใจตั้งชื่อให้ใกล้เคียงกับแพ็คเกจยอดนิยม) กำลังล่อลวงเหยื่อที่ไม่ได้ระมัดระวัง โดยเหตุการณ์นี้มาจากรายงานของผู้ดูแลระบบ PyPI ในวันที่ 20 พฤษภาคม 2023 ที่ประกาศการระงับการลงทะเบียนชื่อผู้ใช้ และโปรเจกต์ใหม่ชั่วคราว สาเหตุเกิดจากการมีผู้ใช้ และโปรเจกต์ที่เป็นอันตรายเพิ่มขึ้นจำนวนมากในช่วงสัปดาห์ที่ผ่านมา

ประกาศของผู้ดูแลระบบ PyPI ระบุว่า "ปริมาณของผู้ใช้งาน และโปรเจกต์ที่เป็นอันตรายที่ถูกสร้างขึ้นในช่วงสัปดาห์ที่ผ่านมาเพิ่มขึ้นเร็วกว่าที่เราจะสามารถตอบสนองได้ในเวลาที่เหมาะสม โดยเฉพาะเมื่อผู้ดูแลระบบของ PyPI หลายคนลาออก"

PyPI (Python Package Index) เป็นที่เก็บซอฟต์แวร์ third-party อย่างเป็นทางการสำหรับ Python ซึ่งเป็นเว็บไซต์ที่ให้บริการในการจัดเก็บ และแจกจ่ายแพ็คเกจที่ถูกพัฒนาขึ้นด้วยภาษา Python โดย PyPI เป็นที่นิยมอย่างแพร่หลายสำหรับการพัฒนาแพ็คเกจด้วยภาษา Python ซึ่งช่วยให้นักพัฒนาสามารถเข้าถึง และดาวน์โหลดแพ็คเกจ Python ที่สร้างไว้ล่วงหน้าได้อย่างง่ายดาย ช่วยลดเวลา และความพยายามในการสร้างโค้ดตั้งแต่เริ่มต้น

Cyble Research and Intelligence Labs (CRIL) ได้ดำเนินการติดตามแพ็คเกจ Python ที่เป็นอันตราย และเร็ว ๆ นี้ CRIL ยังได้รายงานเรื่อง InfoSteraler ที่ถูกเรียกว่า KEKW ซึ่งกำลังแพร่กระจายผ่านแพ็คเกจ Python ที่เป็นอันตรายหลายรายการ

หลังจากการประกาศแจ้งเตือนของ PyPI นักวิจัยจาก Cyble ได้ดำเนินการตรวจสอบเพิ่มเติมเกี่ยวกับเหตุการณ์ดังกล่าว โดยพบแพ็คเกจ Python ที่เป็นอันตรายมากกว่า 160 รายการ จากสถิติที่เรียกดูจาก PePy พบว่าแพ็คเกจเหล่านี้มีการดาวน์โหลดไปแล้วมากกว่า 45,000 ครั้ง และยังพบว่ามีการดาวน์โหลดแพ็คเกจ python ที่เป็นอันตรายเพิ่มขึ้นต่อเดือน ซึ่งแพ็คเกจทั้งหมดเหล่านี้ถูกลบออกโดย PyPI และป้องกันการติดมัลแวร์ใหม่แล้ว

ภาพที่ 1 - จำนวนแพคเกจที่เป็นอันตรายที่ถูกดาวน์โหลดในแต่ละเดือน

การวิเคราะห์รายละเอียดเกี่ยวกับแพ็คเกจ Python ที่เป็นอันตรายกว่า 160 รายการ งานวิจัยครอบคลุมประเด็นที่น่าสนใจต่าง ๆ ได้แก่

Misspelled packages ถูกใช้งานโดยผู้ไม่หวังดี
กระแพร่กระจายของมัลแวร์ตัวใหม่ แพร่กระจายผ่านแพ็คเกจที่เป็นอันตราย
การนำเทคนิคของ obfuscation แบบใหม่มาใช้โดย W4SP Stealer
เทคนิคที่ใช้โดยผู้ไม่หวังดีที่ใช้ประโยชน์จากโมดูล EvilPIP

การวิเคราะห์

แพ็คเกจ Python ที่เป็นอันตราย

Misspelled Packages

ในการตรวจสอบของ CRIL เปิดเผยว่าผู้ไม่หวังดี (Threat Actors) ได้อัปโหลด Misspelled Python Packages โดยมุ่งเป้าหมายไปที่ผู้ใช้ Python โดยเฉพาะ ตัวอย่างที่โดดเด่น คือ การพบแพ็คเกจที่เป็นอันตรายที่ชื่อว่า 'reaquests' แพ็คเกจนี้มีจุดประสงค์ที่จะปลอมเป็นแพ็คเกจ Python ที่ถูกต้อง และใช้กันอย่างแพร่หลายที่ชื่อ 'requests' ซึ่งเป็นเครื่องมือยอดนิยมสำหรับดำเนินการ HTTP request ระหว่างผู้ใช้งานหลายล้านคน

การอัปโหลด Misspelled Packages นี้เป็นการเปิดเผยความเสี่ยงที่สำคัญโดยเฉพาะอย่างยิ่งหากผู้โจมตีรายอื่นนำเทคนิคนี้มาใช้ ซึ่งวิธีการดังกล่าวอาจทำให้ผู้ใช้งานที่ไม่ได้ระมัดระวังติดมัลแวร์จำนวนมากได้อย่างง่ายดาย โดยปกติแพ็คเกจ Python จะติดตั้งโดยใช้คำสั่ง “pip install package_name” ในกรณีที่ผู้ใช้พิมพ์ชื่อแพ็คเกจผิดพลาดอย่างไม่ได้ตั้งใจ พวกเขาก็จะติดตั้งแพ็คเกจ Python ที่เป็นอันตรายโดยไม่รู้ตัว

reaquests-0.1-py3-none-any
ดาวน์โหลดทั้งหมด : 252

ภาพด้านล่างแสดงสถิติการดาวน์โหลดในช่วง 3 เดือนที่ผ่านมา

ภาพที่ 2 - แหล่งที่มา PePy

จากการวิเคราะห์แพ็คเกจที่เป็นอันตรายดังกล่าว จากการตรวจสอบพบว่ามีการออกแบบเพื่อแพร่กระจายมัลแวร์ด้วย InfoStealer ซึ่งมัลแวร์ประเภทนี้มุ่งเป้าหมายไปที่เว็บเบราว์เซอร์ Google Chrome ของผู้ใช้งาน และดึงข้อมูลการเข้าสู่ระบบ โดยข้อมูลที่ถูกขโมยมาจะถูกส่งออกไปผ่านทาง Discord Webhook

ภาพที่ 3 - Stealer Code

รูปแบบมัลแวร์

เครื่องมือดาวน์โหลด (Downloader)

ในระหว่างการตรวจสอบ พบชุดของแพ็คเกจต่อไปนี้ที่ใช้งานเครื่องมือดาวน์โหลดที่เหมือนกัน ที่น่าสงสัยคือชุดแพ็คเกจเหล่านี้มีบันทึกการดาวน์โหลดทั้งหมด 1,355 ครั้ง

pyou-0.0.1-py3-none-any
tasksaio-0.0.1-py3-none-any
taskaio-0.0.1-py3-none-any
libcolors-0.0.1-py3-none-any
colorlibs-0.0.1-py3-none-any
pipcolors-0.0.1-py3-none-any
pycolorings-0.0.1-py3-none-any

เครื่องมือดาวน์โหลดที่กล่าวถึง ทำงานโดยการเรียกสคริปต์ระยะไกลจาก URL ที่กำหนด และเรียกใช้ผ่านตัวแปร Python ในกระบวนการนี้ เครื่องมือใช้ไฟล์ชั่วคราวเพื่อเก็บ และดำเนินการทำงานของสคริปต์จากระยะไกล ในกรณีนี้ถูกชี้ไปที่โฮสต์ "https[:]//paste[.]fo/raw/" และถูกปกปิดโดยใช้ Hyperion ซึ่งเป็นเครื่องมือปกปิดรหัส Python แบบโอเพ่นซอร์สที่มีชื่อเสียงสำหรับความสามารถในการปรับใช้เลเยอร์หลาย ๆ ชั้นของการปกปิดรหัสสคริปต์

ภาพด้านล่างแสดงแผนผังการทำงานของสคริปต์ดาวน์โหลดในกระบวนการดึงเนื้อหาจากภายนอก

ภาพที่ 4 – เครื่องมือดาวน์โหลด

Creal Stealer

Creel Stealer เป็นเครื่องมือขโมยข้อมูลแบบโอเพ่นซอร์สที่ได้รับการใช้งานอย่างแพร่หลายจากผู้ไม่หวังดี ถึงแม้ CRIL จะพบว่ามีการแพร่กระจายของมัลแวร์ขโมยนี้ผ่านเว็บไซต์ฟิชชิ่ง แต่ไม่มีหลักฐานใด ๆ ที่พบว่ามีการแพร่กระจายผ่านแพ็คเกจ Python มาก่อน ในการวิเคราะห์ยังพบว่ามีแพ็คเกจ Python หลายรายการที่แพร่กระจายมัลแวร์ Creal Stealer

ด้านล่างเป็นตัวอย่างของแพ็คเกจเหล่านี้ ซึ่งถูกดาวน์โหลดกว่า 1300 ครั้ง

amazonpxnau-0.0.1-py3-none-any.

มัลแวร์ RapperBot DDoS เพิ่มช่องหารายได้ใหม่ด้วย cryptojacking

พบตัวอย่างใหม่ของ RapperBot Botnet มีการเพิ่มฟังก์ชัน cryptojacking ที่มีความสามารถในการขุด Cryptocurrency บนคอมพิวเตอร์ที่ใช้ CPU Intel x64

ด้วยการพัฒนาอย่างต่อเนื่อง ในช่วงแรกผู้พัฒนามัลแวร์ได้เพิ่มความสามารถในการขุด Cryptocurrency ซึ่งแยกออกจากการทำงานของ Botnet จนกระทั่งในช่วงปลายเดือนมกราคมที่ผ่านมาฟังก์ชันการขุด Cryptocurrency ก็ถูกรวมเข้ากับ Botnet ในที่สุด

แคมเปญการขุด Cryptocurrency ของ RapperBot

นักวิจัยของ Fortinet's FortiGuard Labs ติดตามปฏิบัติการของ RapperBot ตั้งแต่เดือนมิถุนายน 2565 และรายงานว่า RapperBot นั้นเน้นการโจมตีเซิร์ฟเวอร์ Linux SSH ด้วยวิธีการ brute-force และรวบรวมเซิร์ฟเวอร์เหล่านั้นเพื่อใช้ในการโจมตีแบบ DDoS

จากนั้นในเดือนพฤศจิกายน นักวิจัยพบการอัปเดตเวอร์ชันของ RapperBot ทีใช้การแพร่กระจายตัวเองผ่าน Telnet และรวบรวมคำสั่งที่เหมาะสมกับการโจมตีเซิฟเวอร์ของบริษัทเกม

โดยในสัปดาห์นี้ FortiGuard Labs มีการรายงานเกี่ยวกับเวอร์ชันของ RapperBot ที่มีการใช้ XMRig Monero เพื่อขุด Cryptocurrency บนเครื่องคอมพิวเตอร์ที่ใช้ CPU Intel x64

นักวิจัยระบุว่าแคมเปญนี้เริ่มถูกนำมาใช้งานตั้งแต่เดือนมกราคม และกำหนดเป้าหมายไปที่อุปกรณ์ IoT เป็นหลัก

ปัจจุบันโค้ดสำหรับการขุด Cryptocurrency ได้ถูกรวมเข้ากับ RapperBot และได้รับการเข้ารหัสแบบ double-layer XOR ซึ่งสามาถซ่อน mining pools และ Monero mining addresses จากนักวิเคราะห์ได้อย่างมีประสิทธิภาพ

FortiGuard Labs พบว่า Botnet ดังกล่าวได้มีการตั้งค่าการขุดจาก C2 เซิฟเวอร์ แทนการใช้งาน hardcoded static pool addresses และ multiple pool นอกจากนี้ยังมีการใช้กระเป่าเงินดิจิทัลหลายอันในการสำรองข้อมูล

IP ของ C2 มีการโฮสต์ mining proxy ไว้ 2 ตัว เพื่อให้การตรวจสอบ และติดตามยากยิ่งขึ้น นอกจากนี้หาก C2 เซิฟเวอร์ออฟไลน์ RapperBot เองก็มีการตั้งค่าให้ไปใช้ mining pool สาธารณะแทน

เพื่อเพิ่มประสิทธิภาพการขุดให้สูงสุด มัลแวร์ตัวนี้จะมีการตรวจสอบ และระบุ Process บนเครื่องของเหยื่อ หากพบ Process ของมัลแวร์ตัวอื่น ก็จะหยุดการทำงานของ Process ดังกล่าวอีกด้วย

ในการวิเคระห์ RapperBot เวอร์ชันล่าสุด binary network protocol ที่ใช้สำหรับการติดต่อกับ C2 เซิฟเวอร์ได้รับการปรับปรุงใหม่โดยใช้วิธีการเข้ารหัสแบบ two-layer เพื่อหลบหลีกการตรวจจับ นอกจากนี้ขนาด และช่วงเวลาของการส่ง request ไปยังเซิร์ฟเวอร์ C2 นั้นถูกสุ่มให้มีความแต่กต่างกันเพื่อให้การเชื่อมต่อนั้นตรวจพบได้ยากขึ้น

ในขณะที่นักวิจัยยังไม่สังเกตเห็นคำสั่ง DDoS ที่ส่งมาจากเซิร์ฟเวอร์ C2 ไปยังตัวอย่างที่วิเคราะห์ได้ แต่พวกเขาพบว่าเวอร์ชันล่าสุดของ Bot รองรับคำสั่งดังต่อไปนี้:

Perform DDoS attacks (UDP, TCP, and HTTP GET)
Stop DDoS attacks
Terminate itself (and any child processes)

RapperBot ดูเหมือนจะพัฒนาอย่างรวดเร็ว และเพิ่มความสามารถต่าง ๆ เพื่อเพิ่มรายได้ให้กับกลุ่มผู้โจมตี

เพื่อป้องกันอุปกรณ์จากการโจมตีของ RapperBot และมัลแวร์ที่คล้ายกัน

ผู้ใช้งานควรอัปเดตซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ และปิด Service ที่ไม่จำเป็นต้องใช้งาน
เปลี่ยนรหัสผ่านเริ่มต้นเป็นรหัสผ่านที่รัดกุม
ใช้ Firewall เพื่อ Block request ที่ไม่ได้รับอนุญาต

ที่มา : bleepingcomputer

เครื่องมือสำหรับโจมตีช่องโหว่ระดับ Critical ในไลบรารี VM2 JavaScript sandbox ถูกเผยแพร่ออกสู่สาธารณะแล้ว

Proof of concept (POC) exploit code ของช่องโหว่ที่มีระดับ critical ในไลบรารียอดนิยม 'VM2' JavaScript sandbox ซึ่งถูกนำไปใช้ในซอฟต์แวร์จำนวนมากเพื่อความปลอดภัยสำหรับการทำงานแบบ virtualized

โดยไลบรารีดังกล่าวออกแบบมาเพื่อทดสอบโค้ดที่อาจไม่น่าเชื่อถือ บนเซิร์ฟเวอร์แยกของ Node.

Emotet แพร่กระจายผ่านแบบฟอร์มภาษี W-9 ปลอมจาก IRS

แคมเปญฟิชชิ่ง Emotet รูปแบบใหม่ ที่มุ่งเป้าไปยังผู้เสียภาษีในสหรัฐฯ โดยการปลอมแปลงเป็นแบบฟอร์ม W-9 ที่ถูกส่งโดยหน่วยงาน Internal Revenue Service และบริษัทของเหยื่อ

Emotet เป็นมัลแวร์ที่มักแพร่กระจายผ่านทางอีเมลฟิชชิ่ง โดยในอดีตมีการใช้งานเอกสาร Microsoft Word และ Excel ที่มีการฝังมาโครไว้เพื่อทำการติดตั้งมัลแวร์

อย่างไรก็ตาม หลังจากที่ Microsoft ได้ทำการแก้ไขโดยการบล็อกมาโครเป็นค่าเริ่มต้นบน office ทาง Emotet ก็เปลี่ยนไปใช้ไฟล์ Microsoft OneNote ที่มีการฝังสคริปต์แทน เพื่อทำการติดตั้งมัลแวร์

เมื่อ Emotet ถูกติดตั้งแล้ว มัลแวร์จะทำหน้าที่ขโมยอีเมลของเหยือเพื่อใช้ในการโจมตีแบบ reply-chain, ส่งอีเมลสแปมเพิ่มเติม รวมถึงติดตั้งมัลแวร์อื่น ๆ เพื่อเปิดช่องทางการเข้าถึงระบบของเหยื่อสำหรับกลุ่มผู้โจมตีอื่น ๆ หรือกลุ่ม Ransomware

Emotet เตรียมพร้อมสำหรับช่วงเก็บภาษีของสหรัฐฯ

การทำงานของ Emotet มักใช้แคมเปญฟิชชิ่งที่มีธีมให้สอดคล้องกับวันหยุดพิเศษ และกิจกรรมทางธุรกิจที่เกิดขึ้นทุกปี เช่น ช่วงเวลาการเก็บภาษีของสหรัฐฯ ในปัจจุบัน

ในแคมเปญฟิชชิ่งล่าสุด (more…)