ผู้เชี่ยวชาญด้านความปลอดภัยจาก Trend Micro ได้พบมัลแวร์ Android รุ่นใหม่ชื่อว่า ZNIU ที่ใช้ประโยชน์จากช่องโหว่ Dirty COW ซึ่งเป็นช่องโหว่บน Linux kernel โดยช่องโหว่นี้จะทำให้ผู้ใช้ที่มีสิทธิ์อ่านไฟล์ สามารถมีสิทธิ์เขียนไฟล์ด้วย ถึงแม้ว่าไฟล์นั้นต้องการสิทธิ์ของ root ในการเขียนก็ตาม รวมถึงสามารถสั่ง setuid ไฟล์นั้นเพื่อให้ถูกรันด้วยสิทธิ์ของ root ได้ด้วย

มัลแวร์ ZNIU ถูกตรวจพบแล้วในกว่า 40 ประเทศทั่วโลกเมื่อเดือนที่แล้ว และพบว่ามี Application มากกว่า 1200 รายการ ที่มีการติดต่อไปยังเวปไซต์ที่คาดว่าเกี่ยวข้องกับมัลแวร์ตัวนี้ โดยจะพบใน Application สำหรับผู้ใหญ่(Porn Application) มากที่สุด Application เหล่านี้จะมีการใช้งาน rootkit เพื่อใช้ในการโจมตีผ่านช่องโหว่ Dirty COW ผู้เชี่ยวชาญกล่าวว่า Code ที่ใช้ในการโจมตีจะทำงานได้เฉพาะกับอุปกรณ์แอนดรอยด์ที่ใช้สถาปัตยกรรม ARM/X86 64 บิตเท่านั้น และสามารถเจาะเข้าไปเพื่อทำการสร้าง backdoor บน SELinux ได้ เมื่อมีการติดตั้ง Application เรียบร้อยแล้ว จะมีการเรียกไปยังเวปไซต์ที่เป็นอันตราย เพื่อทำการดาวน์โหลด rootkit มาลงบนเครื่อง จากนั้นจึงทำการเพิ่มสิทธิ์ตัวเองให้เป็น root และจะมีการสร้าง backdoor ขึ้นมา ทั้งนี้พบว่า Domain และ Server ในการส่งคำสั่งและการควบคุมมัลแวร์อยู่ในประเทศจีน นอกเหนือจากนี้ยังพบว่ามัลแวร์มีพฤติกรรมหลอกลวงเพื่อหาเงินผ่านการใช้ SMS-enabled payment service ซึ่งเป็นบริการที่สามารถใช้ได้ในประเทศจีนเท่านั้น

ทั้งนี้ผู้ใช้งานควรเลือกติดตั้ง Application ที่มาจาก Google Play หรือ third-party ที่น่าเชื่อถือเท่านั้น หรือลง Application ที่ช่วยเรื่องความปลอดภัยบนมือถือที่ใช้งาน

ที่มา:securityaffairs

Apple ได้มีการปล่อย iOS 11.0.1 ออกมาให้อัพเดทกันแล้ว หลังจากได้มีการปล่อย iOS 11.0.0 ออกมาก่อนหน้านี้ โดยการอัพเดทครั้งนี้มีการปิดช่องโหว่บางรายการของ iOS เวอร์ชั่นก่อนหน้า รวมถึงช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าควบคุมเครื่องจากระยะไกล(Remote Attack) ด้วย

ที่มา:us-cert

หลายเดือนก่อน มีการค้นพบมัลแวร์ชื่อว่า "RETADUP" ที่ถูกใช้โจมตีในโรงพยาบาลอิสราเอล จากการตรวจสอบพบ Android มัลแวร์ที่ชื่อว่า "GhostCtrl" ในระบบ โดยจะถูกใช้ในการโจมตี หรือโจรกรรมข้อมูล ในขณะเดียวกันก็ได้พบว่ามีการโจมตีเกิดขึ้นในโซนอเมริกาใต้ ซึ่งพบว่าเป็นมัลแวร์ตระกูลเดียวกับ RETADUP ที่พบมาก่อนหน้านี้ แต่มีจุดประสงค์เพื่อโจมตีเป้าหมายเพียงอย่างเดียว ไม่ได้ต้องการที่จะโจรกรรมข้อมูลแต่อย่างไร เชื่อว่ามัลแวร์กลุ่มนี้น่าจะเน้นการโจมตีเฉพาะเป้าหมายที่เป็นกลุ่มอุตสาหกรรม และรัฐบาล และยังไม่พบหลักฐานว่ามีการซื้อขายมัลแวร์ดังกล่าวในตลาดมืด

ในระบบที่ติดมัลแวร์ "RETADUP" นี้ จะพบเครื่องมือที่ใช้ในการขุดสกุลเงินดิจิตอล(cryptocurrency) ที่หลากหลายแตกต่างกันออกไป ในอดีต RETADUP จะใช้เครื่องมือที่ชื่อว่า "cpuminer-multi" ซึ่งเป็น Opensource ที่ใช้ในการขุดเงินดิจิตอล แต่ในตัวที่พบล่าสุดนี้เป็นการเขียน Code ให้ทำงานโดยตรง และได้มีการปรับพฤติกรรมการทำงานให้แตกต่างกับตัวเก่าออกไปหลายอย่าง เช่น แบ่งการทำงานออกเป็น 2 ส่วน คือส่วนที่ทำให้ติด(Infector) และส่วนการ remote(RAT), มีการใช้ HTTP GET Request ในการรับส่งข้อมูลกับ C&C และพบว่ามีการนำส่วนที่เกี่ยวข้องกับการโจรกรรมข้อมูลออกไป

ทั้งนี้ยังมีข้อสงสัยหลายประการที่ยังไม่สามารถหาคำตอบได้เกี่ยวกับมัลแวร์ตระกูลนี้ เช่น การโจมตีเกิดจากกลุ่ม หรือบุคคลใด, ปัจจัยอะไรบ้างที่ทำให้เกิดการโจมตี, และจุดประสงค์ของการโจมตีที่ยังไม่ชัดเจน ถึงแม้การขุดเงินดิจิตอลจะดูเหมือนเป็นแรงจูงใจที่ดี แต่ตัวบ่งชี้จากเป้าหมายที่ถูกโจมตีนั้นน่าจะเหมาะกับการโจรกรรมข้อมูลมากกว่า

ที่มา:trendmicro

iTerm2 เป็นแอปพลิเคชันที่มีความนิยมในหมู่ผู้ใช้ macOS เพราะมีความสามารถหลากหลายกว่า Terminal ที่ติดตั้งมากับระบบ โปรแกรมเวอร์ชัน 3.0.0 มีฟีเจอร์ที่ใช้ในการตรวจสอบลิงค์เพิ่มเข้ามา เพื่อจะตรวจสอบว่าข้อมูลดังกล่าวเป็นลิงค์ และมีอยู่จริงหรือไม่ โดยส่งข้อมูลดังกล่าวผ่าน DNS request เช่นเดียวกับการนำเมาส์ไปชี้ที่ username, password, API key หรือข้อมูลสำคัญที่เป็นความลับ ก็มีโอกาสที่ข้อมูลเหล่านั้นจะหลุด และรั่วไหลออกไปได้ผ่าน DNS request เช่นเดียวกัน ซึ่งไม่ได้มีการเข้ารหัสระหว่างการส่ง อย่างไรก็ตามใน version 3.1.1 ได้ทำการนำฟีเจอร์นี้ออกไปแล้ว

ทั้งนี้ผู้ที่ใช้งานเวอร์ชั้น 3.0.0 และ 3.0.12 อยู่ อย่างน้อยที่สุดควรจะอัพเดตให้เป็นเวอร์ชั่น 3.0.13 ซึ่งได้มีการเพิ่มให้สามารถทำการปิดฟีเจอร์ DNS lookups โดยไปที่ Preferences ⋙ Advanced ⋙ Semantic History และเลือกเป็น NO

ที่มา:bleepingcomputer