แจ้งเตือนระดับวิกฤติ ช่องโหว่ล่าสุดบน WhatsApp ถูกโจมตีเพื่อฝัง Spyware สัญชาติอิสราเอล

นิตยสาร Financial Times ออกรายงานเมื่อช่วงเช้าที่ผ่านมาหลังจากมีการตรวจพบข้อมูลที่เชื่อถือได้ว่าบริษัทสัญชาติ NSO Group ซึ่งอยู่เบื้องหลังการโจมตีระบบมือถือเพื่อสอดแนม ได้ทำการโจมตีช่องโหว่ใน WhatsApp ซึ่งส่งผลให้ผู้โจมตีสามารถฝังมัลแวร์ลงที่เครื่องเป้าหมายได้

บริษัท NSO Group เป็นบริษัทสัญชาติอิสราเอลที่มีชื่อเสียงในเรื่องของการพัฒนาเทคโนโลยีสอดแนม โดยเคยมีผลงานในการพัฒนาหนึ่งในมัลแวร์บนระบบ iOS "Pegasus" ตามคำสั่งของลูกค้า อีกทั้งยังมีประวัติในการโจมตีช่องโหว่ zero-day หลายรายการด้วย โดยเชื่อกันว่า NSO Group ใช้ช่องโหว่นี้ในการโจมตีและติดตั้งมัลแวร์ลงในเป้าหมายที่ถูกจ้างวาน

ทางตัวแทนของ WhatsApp ได้ออกมาให้ข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ว่า ช่องโหว่ดังกล่าวที่รหัส CVE-2019-3568 เป็นช่องโหว่ซึ่งพึ่งถูกค้นพบเมื่อต้นเดือนที่ผ่านมา โดยลักษณะของช่องโหว่ Buffer Overflow ในส่วน VOIP stack ของแอป ซึ่งส่งผลให้ผู้โจมตีสามารถโจมตีระบบและรันโค้ดที่เป็นอันตรายจากระยะไกลได้ด้วยการส่งแพ็คเกต SRTCP มายังเบอร์โทรศัพท์ หรือหมายถึงการโทรหาเป้าหมายทั้งในระบบปฏิบัติการ iOS และแอนดรอยด์เท่านั้นเอง ช่องโหว่จะถูกโจมตีทันทีแม้ว่าเป้าหมายจะไม่ได้รับสายที่โทรเข้ามา

ทางตัวแทนของ WhatsApp ยังยืนยันเพิ่มเติมว่า มีการตรวจพบหมายเลขจำนวนหนึ่งซึ่งตกเป็นเป้าหมายและถูกโจมตี ซึ่งหนึ่งนั้นเป็นนักเคลื่อนไหวทางสิทธิมนุษยชนชาวอังกฤษ

Recommendation
ในขณะนี้ทาง WhatsApp ได้มีการปล่อยแอปพลิเคชันที่มีการแพตช์ช่องโหว่ดังกล่าวให้แก่ผู้ใช้งานแล้ว แนะนำให้ผู้ใช้งานทำการอัปเดตโดยด่วนทันที

ที่มา : cnet

Microsoft แพตซ์ช่องโหว่ด้านความปลอดภัยบน Office ซึ่งพบว่าถูกใช้ในการโจมตีกลุ่มเป้าหมายที่เป็นผู้ใช้ภาษารัสเซีย โดยมีจุดมุ่งหมายเพื่อลง spyware สำหรับสอดแนมที่ชื่อว่า "FinSpy"
นักวิจัย FireEye พบช่องโหว่ zero-day ที่ส่งผลให้มัลแวร์แพร่กระจายโดยไฟล์เอกสาร Microsoft Office RTF เมื่อเปิดเอกสาร ทำให้เครื่องคอมพิวเตอร์เป้าหมายโดนติดตั้ง spyware ที่ชื่อว่า "FinSpy" ซึ่งเป็นซอฟต์แวร์สอดแนมของบริษัทในเครือ Gamma Group ซึ่งเป็นบริษัทที่ขายโปรแกรมสอดแนมให้กับรัฐบาลทั่วโลก
ในปี 2014 WikiLeaks เคยเปิดเผยข้อมูลว่ารัฐบาลใหญ่ ๆ หลายแห่งอยู่ในรายชื่อลูกค้าที่ใช้งาน "FinFisher" ซึ่งเป็น spyware เช่นเดียวกับ "FinSpy" โดย FireEye ไม่สามารถระบุได้อย่างชัดเจนว่าใครเป็นผู้โจมตี แต่คาดว่าน่าจะเป็นบุคคลจากรัฐบาลประเทศใดสักแห่ง และเหตุการณ์อาจเริ่มตั้งแต่ช่วงต้นเดือนกรกฎาคม แต่เพิ่งจะถูกตรวจพบ
Microsoft ได้จัดให้ช่องโหว่ดังกล่าวอยู่ในระดับ "important" โดยล่าสุด Microsoft ได้มีการปล่อยให้อัพเดท เพื่อแก้ไขช่องโหว่ล่าสุดทั้งหมด 81 รายการ ใน Tuesday Patch ประจำเดือนกันยายน ซึ่งรวมช่องโหว่นี้ด้วย

ที่มา : zdnet

Spyware ที่สั่งการผ่าน Telegram’s Bot API โดยมีเป้าหมายที่ผู้ใช้ Android ในประเทศอิหร่าน
Spyware จะหลอกว่าตัวมันเองนั้นปลอดภัยโดยการสวมรอยเป็นแอปพลิเคชัน Cleaner Pro หรือ Profile Checker นอกจากนี้ยังมีแอปพลิเคชันอันตรายสำหรับ Facebook เช่นกัน โดยจะมีคำบรรยายว่าจะช่วยให้ผู้ใช้ทราบว่าใคร “unfriended” ผู้ใช้ไปบ้าง เมื่อผู้ใช้ดาวน์โหลดแอปพลิเคชันก็จะขอข้อมูล Telegram ของผู้ใช้เพื่อเรียกดูจำนวนผู้ที่เคยดูโปรไฟล์ของผู้ใช้ หลังจากนั้นแอปพลิเคชันจะหายไปแต่ความจริงแล้วแอบทำงานอย่างลับๆ

เมื่ออุปกรณ์ของเหยื่อติดต่อสื่อสารกับผู้บุกรุกผ่านทาง Telegram Bot API ที่สามารถส่งและรับคำสั่งได้แล้วสิ่งแรกที่แอปนี้ทำคือบันทึกภาพของเหยื่อโดยใช้กล้องด้านหน้าของอุปกรณ์ จะมีการขโมยข้อความรวมถึงหมายเลขโทรศัพท์ของผู้ส่งและผู้รับ , รายชื่อผู้ติดต่อ , Google email address , รูปถ่าย , ข้อมูลเกี่ยวกับแอปพลิเคชันที่ติดตั้ง โดยข้อมูลจะถูกจัดเก็บไว้อย่างผิดกฎหมายในไฟล์ใหม่ที่แยกต่างหากสำหรับการอัปโหลดภายหลังไปยังเซิร์ฟเวอร์ของผู้โจมตี และยังสามารถลบหรือร้องขอไฟล์ส่วนตัวของเหยื่อได้ไม่ใช่เฉพาะไฟล์ที่แอปฯของผู้ไม่หวังดีสร้างขึ้นมาใหม่
Spyware ได้อัปโหลดไฟล์ทั้งหมดผ่านทางสคริปต์ PHP และบันทึกไว้ในไดเร็กทอรี / rat / uploads บนเซิร์ฟเวอร์ โดยไฟล์เหล่านี้ทุกคนที่รู้ URL สามารถเข้าถึงได้ สาเหตุอาจเพราะผู้ไม่หวังดีวางมาตรการรักษาความปลอดภัยไม่เพียงพอ

ผู้ใช้งานสามารถหลีกเลี่ยง Spyware และการโจมตีรูปแบบอื่นได้ โดยปฎิบัติตามนี้
- ติดตั้งแอปพลิเคชันจากแหล่งที่เชื่อถือได้เท่านั้น
- สังเกตแอปพลิเคชันอื่นๆผู้พัฒนา และควรอ่านรีวิวแต่ไม่ควรไว้ใจแอปฯที่มีคำรีวิวที่ไม่น่าใว้ใจ เช่น “แอปที่ดีที่สุดตลอดกาล” , “Thank you!” , “รักแอปฯนี้ที่สุดเลย”
- ควรอ่านรายละเอียดสิทธิ์การเข้าถึงที่แอปพลิเคชันร้องขอ

ที่มา : avast

บริษัทด้านความปลอดภัย Kaspersky ได้ค้นพบมัลแวร์ชื่อว่า “Galileo” เป็นมัลแวร์ประเภท Remote Control System (RCS) มันจะถูกควบคุมโดย international infrastructure เพื่ออนุญาตให้ spyware เข้าไปยึดเครื่องคุณให้อยู่ภายใต้การควบคุมของบริษัท HackingTeam มันจะพุ่งเป้าไปที่เหล่านักข่าว, นักการเมือง, นักเคลื่อนไหวและผู้ที่ทำงานเกี่ยวกับสิทธิมนุษยชน

Kaspersky บอกว่าไอโฟนที่ได้ผลกระทบก็คือ ไอโฟนที่ผ่านการเจลเบรคมาแล้ว โดยแฮกเกอร์สามารถสั่งให้เครื่องมือเจลเบรคอย่าง ‘Evasi0n’ ทำงานจากระยะไกล เพื่อให้ติดมัลแวร์ได้ ถ้าใครไม่อยากติดก็ควรเลี่ยงการเจลเบรคเครื่อง รวมถึงอัพเดทระบบปฏิบัติการเป็นเวอร์ชั่นล่าสุด

ส่วนทางด้านแอนดรอยด์นั้นก็ได้รับผลกระทบเช่นกัน แต่ทาง Kaspersky ยังไม่มีข้อมูลเชิงลึกว่ามีอุปกรณ์กี่เครื่องที่ได้รับผลกระทบ แนะนำว่าให้ผู้ใช้ลงแอพอย่างแอนตี้ไวรัสเพื่อช่วยสแกนเครื่องตรวจสอบว่าติดมัลแวร์หรือไม่

ที่มา : slashgear