AdGuard resets all user passwords after credential stuffing attack

AdGuard ซึ่งเป็นผลิตภัณฑ์ ad blocker ที่ได้รับความนิยมสำหรับ Android, iOS, Windows และ Mac ได้รีเซ็ตรหัสผ่านของผู้ใช้ทั้งหมดหลังจากถูกโจมตี

Andrey Meshkov ซึ่งเป็น CTO ของบริษัท AdGuard ประกาศการรีเซ็ตรหัสผ่านดังกล่าวเมื่อวันที่ 21 กันยายน 2018 โดยทางบริษัทตัดสินใจหลังจากพบการโจมตีจากผู้ไม่หวังดีที่พยายามคาดเดารหัสผ่านของผู้ใช้งาน Meshkov กล่าวว่าผู้โจมตีใช้ email และรหัสผ่านที่หลุดจากที่อื่นๆ ที่เคยถูกเผยแพร่ไปยังสาธารณะ ซึ่งผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้งานของ AdGuard จำนวนหนึ่ง โดยบัญชีดังกล่าวใช้สำหรับการจัดเก็บการตั้งค่าการบล็อกโฆษณา

Meshkov กล่าวว่าบริษัทไม่ทราบว่าผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้ใดบ้าง ซึ่งรหัสผ่านของทุกบัญชีของ AdGuard ที่เก็บไว้ใน database มีการเข้ารหัส ทำให้ทางบริษัทไม่สามารถตรวจสอบได้ว่ารหัสผ่านใดบ้างที่ซ้ำกับรหัสผ่านที่เคยหลุดและมีการเผยแพร่แล้ว ทำให้ตัดสินใจที่จะทำการรีเซ็ตรหัสผ่านของผู้ใช้งานทั้งหมด

ทาง AdGuard ได้ทำการเชื่อมต่อกับ API ของ Have I Been Pwned เพื่อเตือนผู้ใช้ในกรณีที่ผู้ใช้เลือกรหัสผ่านใหม่ที่ซ้ำกับรหัสที่เคยหลุดและมีการเผยแพร่แล้ว พร้อมทั้งแก้ไขให้กฎการเลือกรหัสผ่านเข้มงวดมากขึ้นและตั้งใจที่จะสนับสนุนการรับรองการยืนยันสิทธิ์ 2FA ในอนาคต

ที่มา : zdnet

Critical Security Update Released for Adobe Reader and Acrobat

Adobe ออกแพตช์เฉพาะกิจเพื่อแก้ไขช่องโหว่ร้ายแรงมากใน Adobe Reader และ Adobe Acrobat

หลังจากที่ Adobe ได้ออกแพตช์อัปเดทประจำเดือนกันยายนปี 2018 ในสัปดาห์ที่แล้ว ในวันที่ 19 กันยายน 2018 ได้มีการออกแพตช์เฉพาะกิจเพื่อแก้ไขช่องโหว่ร้ายแรงมากใน Adobe Reader และ Adobe Acrobat ทั้งหมด 7 ช่องโหว่ เป็่นช่องโหว่ระดับร้ายแรงมาก 1 ช่องโหว่ และช่องโหว่ที่ร้ายแรง 6 ช่องโหว่

โดยช่องโหว่ร้ายแรงมากได้รับหมายเลข CVE-2018-12848 เป็นช่องโหว่ที่ทำให้เกิดการเขียนค่าเกินกว่าส่วนที่กำหนดได้ (Out-of-bounds write) ทำให้ผู้โจมตีสามารถใช้คำสั่งที่เป็นอันตรายได้หากผู้ใช้เปิดไฟล์ที่เป็นอันตราย

สำหรับอีก 6 ช่องโหว่เป็นช่องโหว่ที่ทำให้สามารถอ่านค่าเกินกว่าส่วนที่กำหนดได้ (Out-of-bounds read) ทำให้ผู้โจมตีสามารถอ่านข้อมูลของผู้ใช้งานได้ อาจทำให้เกิดเหตุข้อมูลรั่วไหว โดยสามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับแพตช์ดังกล่าวได้จาก https://helpx.

Hackers Steal Customers’ Credit Cards From Newegg Electronics Retailer

Magecart กลุ่มแฮกเกอร์ที่อยู่เบื้องหลังของการขโมยข้อมูล Ticketmaster และ British Airways ทำการโจมตีเว็บไซต์ "Newegg" และขโมยข้อมูลบัตรเครดิตของลูกค้าทั้งหมดที่ป้อนข้อมูลบัตรเพื่อชำระเงินระหว่างวันที่ 14 สิงหาคม ถึง 18 กันยายน 2018 ตามการวิเคราะห์จาก Volexity และ RiskIQ

Magecart ใช้สิ่งที่นักวิจัยเรียกว่า digital credit card skimmer ทำการแทรก malicious Javascript code บนหน้า checkout ของเว็บไซต์ เพื่อทำการเก็บหน้าการชำระเงินของลูกค้าไว้และส่งไปยัง server ผู้โจมตี ทั้งนี้ย้อนกลับไปในปี 2015 Magecart ได้จดทะเบียนโดเมนชื่อ neweggstats(dot)com ซึ่งคล้ายกับโดเมน newegg(dot)com ที่ถูกต้องและมีการใช้รับใบรับรอง SSL ที่ออกโดย Comodo

หากเป็นหนึ่งในลูกค้า Newegg ที่ป้อนรายละเอียดบัตรเครดิตของตนบนเว็บไซต์ในระหว่างช่วงโจมตี ควรติดต่อธนาคารทันที เพื่อปิดการใช้งานบัตรและขอเปลี่ยนแปลงข้อมูลบัตรเครดิตใหม่

ทั้งนี้ปัจจุบันกลุ่ม Megacart นี้ถือเป็นกลุ่มแฮกเกอร์ที่ถูกพูดถึงบ่อย เนื่องจากได้ทำการโจมตีอย่างต่อเนื่อง โดยพุ่งเป้าไปที่การโจรกรรมข้อมูลสำคัญต่างๆ ดังนั้นองค์กรใดที่มีการทำธุรกรรมหรือเก็บข้อมูลที่สำคัญของผู้ใช้งาน ควรติดตามข่าวและระมัดระวังผู้โจมตีกลุ่มนี้เป็นพิเศษ ซึ่งสามารถใช้บริการที่เกี่ยวข้องกับ Dark web monitoring เพื่อช่วยสอดส่องข้อมูลที่อาจจะรั่วไหลไปในเว็บใต้ดิน หรือพฤติกรรมของกลุ่มแฮกเกอร์ต่างๆ ที่เคลื่อนไหวอยู่ในเว็บใต้ดินได้

ที่มา : thehackernews

Tech support scammers have created over 3,000 pages on the Microsoft TechNet portal to promote various shady services.

บริการ tech support ปลอมได้พยายามทำโฆษณาให้ปรากฏในการค้นหาด้วย Search Engine ด้วยการสร้างหน้าเว็บมากกว่า 3000 หน้าใน Microsoft TechNet portal เพื่อพยายามโดยอาศัยความน่าเชื่อถือของ Microsoft บริการ tech support ปลอมพยายามเข้าถึงเป้าหมายเป็นวงกว้าง ตั้งแต่แหล่งเทรดเหรียญสกุลเงินดิจิตอลอย่าง Binance หรือ Bittrex ไปจนถึง Google Wallet และ Instagram

ทั้งนี้ปัญหาโฆษณาบริการ tech support ปลอมเคยถูกพบในเว็บบอร์ดของ Quip เมื่อปลายเดือนสิงหาคม 2018 และเว็บบอร์ดของ Spotify เมื่อปี 2017

Microsoft ได้นำหน้าเว็บเหล่านี้ออกไปเรียบร้อยแล้ว และจากรายงานระบุว่าหน้าเหล่านั้นก็ได้หายไปจาก cache ของทั้ง Google และ Bing เรียบร้อยแล้ว ทั้งนี้วิธีการทำ Tech support scamming ถือเป็นวิธีที่ง่ายและไม่ซับซ้อน ใช้เวลาในการทำไม่นาน

วิธีการ Tech support scammers เป็นวิธีที่ง่ายและไม่ซับซ้อน การสร้าง Page เพื่อล่อลวงก็สามารถทำได้ในเวลาไม่นาน

ทาง Microsoft และ Google ได้นำหน้าเว็บ Tech support scammers เหล่านี้ออกจากค้นหาของ Search Engine ของตนเป็นที่เรียบร้อย

ที่มา : zdnet

New PyLocky Ransomware stands out for anti-machine learning capability

นักวิจัย Trend Micro พบ ransomware ตัวใหม่ชื่อ PyLocky ซึ่งถูกใช้โจมตีในเดือนกรกฎาคมถึงเดือนสิงหาคม โดยใช้ข้อความเรียกค่าไถ่แบบเดียวกับ Locky ransomware
PyLocky ถูกเขียนด้วย Python และมีการใส่เครื่องมือ PyInstaller ไว้ ซึ่ง PyInstaller มีการใช้งานทั่วไปเพื่อให้โปรแกรม Python กลายเป็น stand-alone executables ทั้งนี้นักวิจัยพบว่า PyLocky มีความโดดเด่นจากมัลแวร์อื่นๆ ด้วยความสามารถเรื่อง anti-machine learning

ผู้เชี่ยวชาญได้เตือนถึงความสามารถในการหลีกเลี่ยงวิธีการวิเคราะห์เนื่องจากการใช้ Inno Setup Installer และ PyInstaller ร่วมกัน มัลแวร์ PyLocky จะแพร่กระจายผ่านอีเมลสแปม โดยเป้าหมายหลักๆในยุโรป และฝรั่งเศส
อีเมลสแปม PyLocky ถูกแพร่ไปยังผู้รับด้วยหัวข้อเรื่องที่ใช้วิธีการของ social engeering โดยอีเมลจะมีลิงก์ที่จะนำผู้ใช้ไปยัง URL ที่เป็นอันตราย โดย URL จะเข้าไปยังไฟล์ ZIP (Facture_23100.31.07.2018.zip) ที่มีไฟล์ Facture_23100.31.07.2018.exe เมื่อไฟล์ถูกรัน เครื่องจะติด PyLocky และถูกเข้ารหัสข้อมูล รูปภาพ ไฟล์เสียงโปรแกรม เกม ฐานข้อมูลและไฟล์เก็บข้อมูลอื่น ๆ หลังจากนั้น PyLocky จะวางข้อความเรียกค่าไถ่ โดยอาจเป็นภาษาอังกฤษ ฝรั่งเศส เกาหลี หรืออิตาลี และส่งข้อมูลทั้งหมดไปยัง C & C เซิร์ฟเวอร์

ที่มา : securityaffairs

New XBash malware combines ransomware, coinminer, botnet, and worm features in deadly combo

พบมัลแวร์ตัวใหม่ XBash ที่มีคุณสมบัติทั้ง 4 ประเภท ได้แก่ ransomware, coinminers, botnets, และ worms สร้างความเสียหายให้กับ Linux และ Windows servers

มัลแวร์ตัวใหม่นี้ถูกพัฒนาด้วยกลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ "Iron" และ "Rocke" คาดว่ากลุ่มนี้อยู่ที่ประเทศจีน นักวิจัยจาก Palo Alto Networks กล่าวว่ากลุ่มนี้ได้พัฒนามัลแวร์สายพันธุ์ใหม่ที่ชื่อว่า "XBash" ซึ่งเป็นการนำความสามารถของ botnet, coinminer และ ransomware มารวมเข้าด้วยกัน และพบว่ามีการนำความสามารถของ worm เพิ่มเข้ามาด้วย อย่างไรก็ตามความสามารถของ botnet และ ransomware จะใช้งานได้เฉพาะระบบ Linux เท่านั้น ขณะที่ coinminer ใช้งานได้เฉพาะบนระบบ Windows

วิธีการทำงานของ XBash คือการใช้ (1) โมดูล botnet สำหรับสแกนหาช่องโหว่ของเครื่อง Hadoop, Redis หรือ ActiveMQ ที่เป็นระบบ Linux และสแกนหาเครื่องเซิร์ฟเวอร์อื่นๆ ที่ยังมีการใช้พาสเวิร์ดที่ไม่ปลอดภัย เพื่อทำการวาง botnet และ ransomware แต่สำหรับระบบที่เป็น Windows จะใช้ช่องโหว่ของ Redis เพื่อทำการวาง coinminer เท่านั้น

(2) ส่วนของโมดูล ransomware จะทำการค้นหา Database service บนเครื่อง เมื่อพบจะทำการสแกนและลบฐานข้อมูลทิ้ง จากนั้นจะทำการวาง Ransom note ไว้ โดยเหยื่อจะต้องจ่ายเป็นจำนวน 0.02 Bitcoin ($125) เพื่อแลกกับการได้ข้อมูลคืนมา

(3) ส่วนของโมดูล worm จะทำหน้าที่แพร่กระจาย ไปยังเครือข่ายภายในที่อยู่ใน subnet เดียวกัน จากการวิเคราะห์นักวิจัยพบว่าโมดูลนี้จะถูกติดตั้งบน Windows เท่านั้น โดยมีการเรียกใช้เครื่องมือที่ชื่อว่า "LanScan"

นักวิจัยเชื่อว่าหลังจากนี้น่าจะมีการพัฒนาโมดูลของ coinminer สำหรับเซิร์ฟเวอร์ที่เป็น Linux ตามออกมาด้วยเช่นกัน เนื่องจากจะช่วยให้สามารถสร้างผลประโยชน์ได้มากขึ้นกว่าที่เป็นอยู่ในขณะนี้

ที่มา: zdnet