Cybersecurity & Infrastructure Security Agency (CISA) ของสหรัฐอเมริกา ได้เพิ่มช่องโหว่ที่ส่งผลกระทบต่อโทรศัพท์มือถือ Samsung จำนวนหลายรายการลงในแคตตาล็อกของช่องโหว่ที่มีข้อมูลว่ากำลังถูกใช้ในการโจมตี (Known Exploited Vulnerabilities Catalog) และปัจจุบันช่องโหว่ดังกล่าวพบว่ากำลังถูกใช้ในการโจมตีจาก Spyware

ในวันพฤหัสบดีที่ผ่านมา CISA ได้เพิ่มช่องโหว่ใหม่ 8 รายการลงในแคตตาล็อก ซึ่งรวมถึงช่องโหว่ของเราเตอร์ และ access point ของ D-Link ที่ถูกใช้ประโยชน์โดย Mirai botnet และยังมีช่องโหว่ความปลอดภัยที่เหลืออีก 6 รายการที่ส่งผลกระทบต่ออุปกรณ์มือถือ Samsung และทั้งหมดได้รับการแก้ไขไปแล้วในปี 2021

ช่องโหว่ดังกล่าวรวมถึง CVE-2021-25487 ที่เป็นช่องโหว่ out-of-bounds read ใน modem interface driver ที่อาจทำให้สามารถสั่งรันโค้ดที่เป็นอันตรายได้โดยไม่ได้รับอนุญาต ซึ่งได้รับการแก้ไขไปแล้วตั้งแต่เดือนตุลาคม 2021 แม้ว่า Samsung จะจัดระดับความรุนแรงของช่องโหว่อยู่ในระดับ 'ปานกลาง' แต่คำแนะนำของ NVD ระบุว่าเป็นช่องโหว่ 'ระดับความรุนแรงสูง' ตามคะแนน CVSS

แพตซ์อัปเดตรอบเดียวกันในเดือนตุลาคม 2021 ยังรวมถึงการแก้ไขช่องโหว่ CVE-2021-25489 ซึ่งเป็นช่องโหว่ของ format string ที่มีระดับความรุนแรงต่ำใน modem interface driver ซึ่งอาจนำไปสู่เงื่อนไขการโจมตีแบบ DoS ได้

CISA ยังเพิ่มช่องโหว่ CVE-2021-25394 และ CVE-2021-25395 ซึ่งเป็นช่องโหว่ระดับ 'ปานกลาง' ที่เกี่ยวข้องกับช่องโหว่ use-after-free ใน MFC charger driver และทั้ง 2 ช่องโหว่ได้รับการแก้ไขโดย Samsung ในเดือนพฤษภาคม 2021

2 ช่องโหว่ที่เหลือคือ CVE-2021-25371 เป็นช่องโหว่ระดับ 'ปานกลาง' ที่ทำให้ผู้โจมตีสามารถโหลดไฟล์ ELF ที่ไม่เกี่ยวข้องภายใน DSP driver ได้ และ CVE-2021-25372 เป็นช่องโหว่ out-of-bounds access ระดับ 'ปานกลาง' ใน DSP driver เช่นเดียวกัน ซึ่งทั้ง 2 ช่องโหว่ได้รับการแก้ไขไปแล้วในเดือนมีนาคม 2021

ยังไม่มีรายงานที่อธิบายวิธีการโจมตีช่องโหว่ของอุปกรณ์มือถือ Samsung ที่ถูกเพิ่มในรายการ 'must-patch' ของ CISA ในสัปดาห์นี้ อย่างไรก็ตาม มีความเป็นไปได้ที่ช่องโหว่เหล่านี้กำลังถูกใช้ประโยชน์โดย Spyware

Samsung และ CISA ได้เตือนผู้ใช้งานเกี่ยวกับช่องโหว่ CVE-2023-21492 ที่เกี่ยวข้องกับ kernel pointer exposure ที่เกี่ยวข้องกับ log files ซึ่งอาจทำให้ผู้โจมตีที่มีสิทธิสูงในระบบ สามารถละเลยเทคนิคการป้องกันการโจมตีแบบ ASLR ได้

นักวิจัยจาก Google ผู้พบช่องโหว่ CVE-2023-21492 ได้ระบุว่าช่องโหว่นี้เป็นช่องโหว่ที่เป็นรู้จักมาตั้งแต่ปี 2021

นอกจากนี้ ในเดือนพฤศจิกายน 2022 Google ได้เปิดเผยรายละเอียดของช่องโหว่ในโทรศัพท์ Samsung 3 รายการที่คล้ายกันกับ CVE ปี 2021 ซึ่งได้ถูกใช้ประโยชน์จาก Spyware

ช่องโหว่ทั้ง 3 รายการที่เปิดเผยในเดือนพฤศจิกายน 2022 ได้รับการแก้ไขไปแล้วตั้งแต่เดือนมีนาคม 2021 นอกจากนี้ Google ยังได้ระบุว่าได้รับทราบช่องโหว่อื่น ๆ ของ Samsung อีกหลายช่องโหว่ที่มีรหัสระบุ CVE ในปี 2021 ซึ่งถูกนำมาใช้ประโยชน์ในการโจมตี ถือเป็นข้อมูลที่แสดงให้เห็นว่าช่องโหว่ที่ CISA เพิ่มในรายการในสัปดาห์นี้ได้ถูกใช้ประโยชน์จาก Spyware ซึ่งพฤติกรรมดังกล่าวได้รับการตรวจสอบโดย Google

โดยทวีตจาก Maddie Stone นักวิจัยของ Google Project Zero ที่ยืนยันว่าช่องโหว่ทั้งหมดของ Samsung ถูกค้นพบโดยเป็นส่วนหนึ่งของการวิจัยเดียวกัน และได้ถูกเพิ่มลงใน Google’s zero-day exploitation tracker ของ Google สำหรับปี 2021

อ้างอิง : https://www.

Cybersecurity and Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์สหรัฐ สั่งให้หน่วยงานของรัฐบาลกลาง ทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีเพื่อติดตั้งสปายแวร์บนอุปกรณ์มือถือ

โดยช่องโหว่ที่ CISA แนะนำให้รีบทำการอัปเดต ถูกพบว่าเป็นส่วนหนึ่งของแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่ผู้ใช้งาน Android และ iOS ที่ถูกค้นพบโดยทีมนักวิจัย Threat Analysis Group (TAG) ของ Google

ซึ่งพบการโจมตีครั้งแรกในเดือนพฤศจิกายน 2022 ต่อมาได้พบการมุ่งเป้าการโจมตีไปยังผู้ใช้งาน Android ของ Samsung ที่ใช้ Samsung Internet Browser รวมไปถึงแคมเปญการโจมตีไปยัง Android เพื่อถอดรหัส และขโมยข้อมูลจากแอปแชท และเบราว์เซอร์

โดยทาง CISA ได้เพิ่มช่องโหว่ห้าในสิบรายการที่ถูกใช้ในแคมเปญการโจมตีด้วยสปายแวร์สองรายการในแคตตาล็อก Known Exploited Vulnerabilities (KEV):

CVE-2021-30900 ช่องโหว่ใน Apple iOS, iPadOS และ macOS
CVE-2022-38181 ช่องโหว่ใน Arm Mali GPU Kernel Driver Use-After-Free
CVE-2023-0266 ช่องโหว่ใน Linux Kernel Use-After-Free
CVE-2022-3038 ช่องโหว่ใน Google Chrome Use-After-Free
CVE-2022-22706 ช่องโหว่ในArm Mali GPU Kernel Driver

ทั้งนี้ CISA ได้ให้เวลาหน่วยงานกลาง Federal Civilian Executive Branch Agencies (FCEB) เป็นเวลา 3 สัปดาห์ เพื่อทำการอัปเดตเพื่อแก้ไขช่องโหว่ 5 รายการที่ได้เพิ่มไปใน KEV ตามคำสั่งการปฏิบัติงานที่มีผลผูกพัน BOD 22-01 ที่ออกในเดือนพฤศจิกายน 2021 ซึ่งกำหนดไว้ว่าหน่วยงาน FCEB จะต้องรักษาความปลอดภัยเครือข่ายของตนจากช่องโหว่ทั้งหมดที่เพิ่มเข้าไปในรายการช่องโหว่ของ CISA ซึ่งเป็นช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี รวมไปถึงประกาศขอความร่วมมือให้หน่วยงาน องค์กร และบริษัทต่าง ๆ รีบทำการอัปเดตช่องโหว่เพื่อป้องกันการถูกโจมตีด้วยเช่นกัน

ที่มา : bleepingcomputer

ThreatFabric หน่วยงานด้านความปลอดภัยทางไซเบอร์ ได้เผยแพร่ข้อมูลการพบ SpyNote (หรือที่รู้จักกันในชื่อ SpyMax) ซึ่งเป็น Android malware ที่ได้รับการปรับปรุงเอาลักษณะเฉพาะของสปายแวร์ และโทรจันสำหรับขโมยข้อมูลธนาคารรวมเข้าด้วยกัน ซึ่งเริ่มถูกพบครั้งแรกเมื่อเดือนตุลาคม 2022

การโจมตี

โดย SpyNote มีความสามารถมากมาย ได้แก่ การอนุญาตให้ติดตั้งแอปพลิเคชันโดยพลการ, การรวบรวมข้อมูล, ข้อความ SMS, การโทร, วิดีโอ และการบันทึกเสียง, การติดตามตำแหน่ง GPS, การขัดขวางการถอนการติดตั้งแอปพลิเคชัน

นอกจากนี้ SpyNote ยังมีฟังก์ชันการขอสิทธิ์การเข้าถึงบริการ เพื่อให้สามารถเข้าถึงรหัสการรับรองความถูกต้องสองขั้นตอน (2FA) จาก Google Authenticator และบันทึกการกดแป้นพิมพ์เพื่อขโมยข้อมูลที่เกี่ยวข้องกับแอปพลิเคชันของธนาคาร การขโมยรหัสผ่าน Facebook และ Gmail ตลอดจนจับภาพหน้าจอโดยใช้ MediaProjection API ของ Android

ThreatFabric ได้ระบุว่า ขณะนี้ SpyNote (เรียกว่า SpyNote.

กลุ่มแฮ็กเกอร์กลุ่มใหม่ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลอิหร่านชื่อ APT42 ถูกพบว่ามีการใช้มัลแวร์บน Android ที่ถูกสร้างขึ้นเพื่อโจมตีเป้าหมายที่ต้องการ

บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางอินเทอร์เน็ต ได้รวบรวมหลักฐานเพียงพอที่จะระบุได้ว่า APT42 เป็นกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน ซึ่งมีส่วนเกี่ยวข้องในการสอดแนมทางอินเทอร์เน็ตต่อบุคคล และองค์กรที่รัฐบาลอิหร่านให้ความสนใจเป็นพิเศษ

APT42 ถูกพบครั้งแรกเมื่อ 7 ปีที่แล้ว และเกี่ยวข้องกับแคมเปญ spear-phishing ที่มุ่งเป้าไปที่เจ้าหน้าที่ของรัฐ ผู้กำหนดนโยบาย นักข่าว นักวิชาการทั่วโลก และผู้คัดค้านชาวอิหร่าน

เป้าหมายของแฮ็กเกอร์คือการขโมยข้อมูลบัญชี ในหลายกรณีกลุ่มแฮ็กเกอร์ยังติดตั้งมัลแวร์บน Android ที่สามารถติดตามการเข้าถึงอุปกรณ์ จัดเก็บ และดึงข้อมูลการสื่อสารของเหยื่อได้

เป้าหมายของแคมเปญ

จากข้อมูลของ Mandiant ผู้ค้นพบ APT42 พบว่ากลุ่ม APT42 ได้ปฏิบัติการมาแล้วอย่างน้อย 30 ครั้งใน 14 ประเทศตั้งแต่ปี 2558 ซึ่งอาจเป็นข้อมูลเพียงบางส่วนเท่านั้น

กลุ่ม APT42 เปลี่ยนเป้าหมายหลายครั้งเพื่อให้ตรงกับความสนใจในการรวบรวมข่าวกรองที่เปลี่ยนแปลงไป ตัวอย่างเช่น ในปี 2563 ใช้อีเมลฟิชชิงที่แอบอ้างเป็นผู้เชี่ยวชาญวัคซีนของมหาวิทยาลัยอ็อกซ์ฟอร์ดเพื่อกำหนดเป้าหมายเป็นบริษัทเภสัชภัณฑ์จากต่างประเทศ

ในปี 2564 APT42 ใช้ที่อยู่อีเมลขององค์กรสื่อของสหรัฐฯ ที่ถูกแฮ็ก เพื่อกำหนดเป้าหมายเหยื่อด้วยคำขอสัมภาษณ์ปลอม ๆ โดยทำการติดต่อกับพวกเขาเป็นเวลานานกว่า 37 วันก่อนที่จะโจมตีด้วยการหลอกเอาข้อมูล

ไม่นานมานี้ ในเดือนกุมภาพันธ์ พ.ศ. 2565 แฮ็กเกอร์ได้ปลอมเป็นสำนักข่าวของอังกฤษมีเป้าหมายเป็นอาจารย์ด้านรัฐศาสตร์ในเบลเยียม และสหรัฐอาหรับเอมิเรตส์

ในกรณีส่วนใหญ่ แฮ็กเกอร์จะมุ่งเป้าไปที่การเก็บรวบรวมข้อมูลประจำตัว โดยหลอกเหยื่อไปยังหน้าฟิชชิ่งที่ดูเหมือนเป็น login portals ที่ถูกต้อง ด้วยการส่งลิงก์ที่ถูกย่อให้สั้นลง หรือไฟล์แนบ PDF ที่นำไปสู่หน้าที่ให้กรอกข้อมูลประจำตัว รวมไปถึงเก็บข้อมูล MFA ได้ด้วย

Android malware

มัลแวร์บนอุปกรณ์ Android ที่ใช้ในแคมเปญของกลุ่ม APT42 จะช่วยให้ผู้โจมตีติดตามเป้าหมายได้อย่างใกล้ชิด ขโมยข้อมูลการโทร SMS และแอบบันทึกเสียง

Mandiant ระบุว่า “สปายแวร์บน Android นั้นแพร่กระจายไปยังเป้าหมายที่เป็นชาวอิหร่านเป็นหลัก ผ่านทางข้อความ SMS ที่มีลิงก์ไปยังแอพส่งข้อความหรือ VPN ที่สามารถช่วยหลีกเลี่ยงข้อจำกัดที่รัฐบาลกำหนด”

Mandiant ระบุในรายงานว่า “มัลแวร์ Android โจมตีบุคคลที่รัฐบาลอิหร่านให้ความสนใจและใช้วิธีการที่มีประสิทธิภาพ เพื่อให้ได้ข้อมูลที่สำคัญเกี่ยวกับเป้าหมาย รวมทั้งข้อมูลบนโทรศัพท์มือถือ รายชื่อผู้ติดต่อ และข้อมูลส่วนบุคคล”

Mandiant ยังรายงานการค้นพบแลนดิ้งเพจสำหรับการดาวน์โหลดแอป IM เป็นภาษาอาหรับ ดังนั้น ผู้โจมตีอาจติดตั้งมัลแวร์ Android นอกประเทศอิหร่านได้ด้วย

มัลแวร์ยังมีความสามารถในการบันทึกการใช้งานโทรศัพท์ เปิดไมโครโฟน และบันทึกภาพ และถ่ายภาพตามคำสั่ง อ่านข้อความ และติดตามตำแหน่ง GPS ของเหยื่อแบบ real time

ที่มา : bleepingcomputer

กลุ่มแฮกเกอร์เกาหลีเหนือใช้ Spyware ชนิดใหม่ Torisma ทำการโจมตีผู้ใช้โดยการแนบไปกับอีเมลรับสมัครงาน

นักวิจัยด้านความปลอดภัย Christiaan Beek และ Ryan Sherstibitoff จาก McAfee ได้เปิดเผยถึงแคมเปญการปฏิบัติการทางไซเบอร์ใหม่และมีการเชื่อมโยงกับกลุ่ม Hidden Cobra ซึ่งเป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือและใช้โค้ดเนมการปฏิบัติการว่า "Operation North Star”

แคมเปญ Operation North Star เป็นแคมเปญการโจมตีและการสอดแนมเหยื่อที่เป็นเป้าหมาย โดยการโจมตีนี้ถูกกำหนดเป้าหมายเป็น IP address ของผู้ให้บริการ Internet service providers (ISP) ในประเทศออสเตรเลีย, อิสราเอล, รัสเซียและผู้ให้บริการการป้องกันประเทศที่อยู่ในรัสเซียและอินเดีย โดยเครื่องมือที่ถูกใช้นั้นเป็น Spyware ที่ยังไม่เคยตรวจพบมาก่อนซึ่งมีชื่อว่า “Torisma”

จากการวิเคราะห์เบื้องต้นของ McAfee ชี้ให้เห็นว่ากลุ่มเฮกเกอร์ได้ใช้ประโยชน์จากเว็บไซต์ job recruitment ที่เป็นที่ยอดนิยมในสหรัฐฯ และอิตาลีทำการโจมตีในลักษณะ spear phishing โดยส่งอีเมลเพื่อล่อลวงเหยื่อให้เปิดไฟล์แนบภายในอีเมล ภายในไฟล์จะมีโค้ดที่ใช้ดำเนินการต่อเพื่อประเมินข้อมูลระบบของเหยื่อเช่น วันที่, ที่อยู่ IP, User-Agent เป็นต้น จากนั้นจะทำการตรวจเช็ค IP ที่เป็นเป้าหมายกลับ IP ผู้ที่ตกเป็นเป้าหมาย ถ้าหากตรงกัน กลุ่มเฮกเกอร์จะทำการติดตั้งมัลแวร์ Torisma เพื่อใช้ในการสอดแนมเหยื่อ

ทั้งนี้กลุ่มเเฮกเกอร์ยังใช้โดเมนของเว็บไซต์การประมูล, เว็บไซต์บริษัทการพิมพ์ และ เว็บไซต์บริษัทฝึกอบรมด้านไอทีในการส่งอีเมล spear-phishing เพื่อหลีกเลี่ยงการตรวจจับมาตรการรักษาความปลอดภัยของบางองค์กรได้อีกด้วย

ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์และเปิดไฟล์แนบในอีเมลเพื่อป้องกันการฟิชชิ่งด้วยอีเมล

ที่มา: thehackernews

การค้นหาเท็กซ์บุ๊คและเรียงความอิเล็กทรอนิกส์บนอินเตอร์เน็ตทำให้กลุ่มนักเรียนมีโอกาสถูกโจมตีจากการค้นพบของนักวิจัย Kaspersky Lab พบการโจมตีมากกว่า 365,000 ครั้งในหนึ่งปี

หลังจากการตรวจสอบการโจมตีด้วยเอกสารแพร่กระจายมัลแวร์ที่ใช้ชื่อไฟล์เกี่ยวกับการศึกษาในผู้ใช้ Kaspersky พบว่ามีผู้เป็นเหยื่อกว่า 365,000 ครั้งในหนึ่งปีการศึกษา มัลแวร์ส่วนมากที่พบในการโจมตีดังกล่าวคือ MediaGet torrent application downloader, WinLNK.Agent.

แจ้งเตือนระดับวิกฤติ ช่องโหว่ล่าสุดบน WhatsApp ถูกโจมตีเพื่อฝัง Spyware สัญชาติอิสราเอล

นิตยสาร Financial Times ออกรายงานเมื่อช่วงเช้าที่ผ่านมาหลังจากมีการตรวจพบข้อมูลที่เชื่อถือได้ว่าบริษัทสัญชาติ NSO Group ซึ่งอยู่เบื้องหลังการโจมตีระบบมือถือเพื่อสอดแนม ได้ทำการโจมตีช่องโหว่ใน WhatsApp ซึ่งส่งผลให้ผู้โจมตีสามารถฝังมัลแวร์ลงที่เครื่องเป้าหมายได้

บริษัท NSO Group เป็นบริษัทสัญชาติอิสราเอลที่มีชื่อเสียงในเรื่องของการพัฒนาเทคโนโลยีสอดแนม โดยเคยมีผลงานในการพัฒนาหนึ่งในมัลแวร์บนระบบ iOS "Pegasus" ตามคำสั่งของลูกค้า อีกทั้งยังมีประวัติในการโจมตีช่องโหว่ zero-day หลายรายการด้วย โดยเชื่อกันว่า NSO Group ใช้ช่องโหว่นี้ในการโจมตีและติดตั้งมัลแวร์ลงในเป้าหมายที่ถูกจ้างวาน

ทางตัวแทนของ WhatsApp ได้ออกมาให้ข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ว่า ช่องโหว่ดังกล่าวที่รหัส CVE-2019-3568 เป็นช่องโหว่ซึ่งพึ่งถูกค้นพบเมื่อต้นเดือนที่ผ่านมา โดยลักษณะของช่องโหว่ Buffer Overflow ในส่วน VOIP stack ของแอป ซึ่งส่งผลให้ผู้โจมตีสามารถโจมตีระบบและรันโค้ดที่เป็นอันตรายจากระยะไกลได้ด้วยการส่งแพ็คเกต SRTCP มายังเบอร์โทรศัพท์ หรือหมายถึงการโทรหาเป้าหมายทั้งในระบบปฏิบัติการ iOS และแอนดรอยด์เท่านั้นเอง ช่องโหว่จะถูกโจมตีทันทีแม้ว่าเป้าหมายจะไม่ได้รับสายที่โทรเข้ามา

ทางตัวแทนของ WhatsApp ยังยืนยันเพิ่มเติมว่า มีการตรวจพบหมายเลขจำนวนหนึ่งซึ่งตกเป็นเป้าหมายและถูกโจมตี ซึ่งหนึ่งนั้นเป็นนักเคลื่อนไหวทางสิทธิมนุษยชนชาวอังกฤษ

Recommendation
ในขณะนี้ทาง WhatsApp ได้มีการปล่อยแอปพลิเคชันที่มีการแพตช์ช่องโหว่ดังกล่าวให้แก่ผู้ใช้งานแล้ว แนะนำให้ผู้ใช้งานทำการอัปเดตโดยด่วนทันที

ที่มา : cnet

Microsoft แพตซ์ช่องโหว่ด้านความปลอดภัยบน Office ซึ่งพบว่าถูกใช้ในการโจมตีกลุ่มเป้าหมายที่เป็นผู้ใช้ภาษารัสเซีย โดยมีจุดมุ่งหมายเพื่อลง spyware สำหรับสอดแนมที่ชื่อว่า "FinSpy"
นักวิจัย FireEye พบช่องโหว่ zero-day ที่ส่งผลให้มัลแวร์แพร่กระจายโดยไฟล์เอกสาร Microsoft Office RTF เมื่อเปิดเอกสาร ทำให้เครื่องคอมพิวเตอร์เป้าหมายโดนติดตั้ง spyware ที่ชื่อว่า "FinSpy" ซึ่งเป็นซอฟต์แวร์สอดแนมของบริษัทในเครือ Gamma Group ซึ่งเป็นบริษัทที่ขายโปรแกรมสอดแนมให้กับรัฐบาลทั่วโลก
ในปี 2014 WikiLeaks เคยเปิดเผยข้อมูลว่ารัฐบาลใหญ่ ๆ หลายแห่งอยู่ในรายชื่อลูกค้าที่ใช้งาน "FinFisher" ซึ่งเป็น spyware เช่นเดียวกับ "FinSpy" โดย FireEye ไม่สามารถระบุได้อย่างชัดเจนว่าใครเป็นผู้โจมตี แต่คาดว่าน่าจะเป็นบุคคลจากรัฐบาลประเทศใดสักแห่ง และเหตุการณ์อาจเริ่มตั้งแต่ช่วงต้นเดือนกรกฎาคม แต่เพิ่งจะถูกตรวจพบ
Microsoft ได้จัดให้ช่องโหว่ดังกล่าวอยู่ในระดับ "important" โดยล่าสุด Microsoft ได้มีการปล่อยให้อัพเดท เพื่อแก้ไขช่องโหว่ล่าสุดทั้งหมด 81 รายการ ใน Tuesday Patch ประจำเดือนกันยายน ซึ่งรวมช่องโหว่นี้ด้วย

ที่มา : zdnet

Spyware ที่สั่งการผ่าน Telegram’s Bot API โดยมีเป้าหมายที่ผู้ใช้ Android ในประเทศอิหร่าน
Spyware จะหลอกว่าตัวมันเองนั้นปลอดภัยโดยการสวมรอยเป็นแอปพลิเคชัน Cleaner Pro หรือ Profile Checker นอกจากนี้ยังมีแอปพลิเคชันอันตรายสำหรับ Facebook เช่นกัน โดยจะมีคำบรรยายว่าจะช่วยให้ผู้ใช้ทราบว่าใคร “unfriended” ผู้ใช้ไปบ้าง เมื่อผู้ใช้ดาวน์โหลดแอปพลิเคชันก็จะขอข้อมูล Telegram ของผู้ใช้เพื่อเรียกดูจำนวนผู้ที่เคยดูโปรไฟล์ของผู้ใช้ หลังจากนั้นแอปพลิเคชันจะหายไปแต่ความจริงแล้วแอบทำงานอย่างลับๆ

เมื่ออุปกรณ์ของเหยื่อติดต่อสื่อสารกับผู้บุกรุกผ่านทาง Telegram Bot API ที่สามารถส่งและรับคำสั่งได้แล้วสิ่งแรกที่แอปนี้ทำคือบันทึกภาพของเหยื่อโดยใช้กล้องด้านหน้าของอุปกรณ์ จะมีการขโมยข้อความรวมถึงหมายเลขโทรศัพท์ของผู้ส่งและผู้รับ , รายชื่อผู้ติดต่อ , Google email address , รูปถ่าย , ข้อมูลเกี่ยวกับแอปพลิเคชันที่ติดตั้ง โดยข้อมูลจะถูกจัดเก็บไว้อย่างผิดกฎหมายในไฟล์ใหม่ที่แยกต่างหากสำหรับการอัปโหลดภายหลังไปยังเซิร์ฟเวอร์ของผู้โจมตี และยังสามารถลบหรือร้องขอไฟล์ส่วนตัวของเหยื่อได้ไม่ใช่เฉพาะไฟล์ที่แอปฯของผู้ไม่หวังดีสร้างขึ้นมาใหม่
Spyware ได้อัปโหลดไฟล์ทั้งหมดผ่านทางสคริปต์ PHP และบันทึกไว้ในไดเร็กทอรี / rat / uploads บนเซิร์ฟเวอร์ โดยไฟล์เหล่านี้ทุกคนที่รู้ URL สามารถเข้าถึงได้ สาเหตุอาจเพราะผู้ไม่หวังดีวางมาตรการรักษาความปลอดภัยไม่เพียงพอ

ผู้ใช้งานสามารถหลีกเลี่ยง Spyware และการโจมตีรูปแบบอื่นได้ โดยปฎิบัติตามนี้
- ติดตั้งแอปพลิเคชันจากแหล่งที่เชื่อถือได้เท่านั้น
- สังเกตแอปพลิเคชันอื่นๆผู้พัฒนา และควรอ่านรีวิวแต่ไม่ควรไว้ใจแอปฯที่มีคำรีวิวที่ไม่น่าใว้ใจ เช่น “แอปที่ดีที่สุดตลอดกาล” , “Thank you!” , “รักแอปฯนี้ที่สุดเลย”
- ควรอ่านรายละเอียดสิทธิ์การเข้าถึงที่แอปพลิเคชันร้องขอ

ที่มา : avast

บริษัทด้านความปลอดภัย Kaspersky ได้ค้นพบมัลแวร์ชื่อว่า “Galileo” เป็นมัลแวร์ประเภท Remote Control System (RCS) มันจะถูกควบคุมโดย international infrastructure เพื่ออนุญาตให้ spyware เข้าไปยึดเครื่องคุณให้อยู่ภายใต้การควบคุมของบริษัท HackingTeam มันจะพุ่งเป้าไปที่เหล่านักข่าว, นักการเมือง, นักเคลื่อนไหวและผู้ที่ทำงานเกี่ยวกับสิทธิมนุษยชน

Kaspersky บอกว่าไอโฟนที่ได้ผลกระทบก็คือ ไอโฟนที่ผ่านการเจลเบรคมาแล้ว โดยแฮกเกอร์สามารถสั่งให้เครื่องมือเจลเบรคอย่าง ‘Evasi0n’ ทำงานจากระยะไกล เพื่อให้ติดมัลแวร์ได้ ถ้าใครไม่อยากติดก็ควรเลี่ยงการเจลเบรคเครื่อง รวมถึงอัพเดทระบบปฏิบัติการเป็นเวอร์ชั่นล่าสุด

ส่วนทางด้านแอนดรอยด์นั้นก็ได้รับผลกระทบเช่นกัน แต่ทาง Kaspersky ยังไม่มีข้อมูลเชิงลึกว่ามีอุปกรณ์กี่เครื่องที่ได้รับผลกระทบ แนะนำว่าให้ผู้ใช้ลงแอพอย่างแอนตี้ไวรัสเพื่อช่วยสแกนเครื่องตรวจสอบว่าติดมัลแวร์หรือไม่

ที่มา : slashgear