ในเดือนตุลาคม 2023 นักวิจัยจาก Group-IB ได้เผยแพร่รายงานเกี่ยวกับโทรจันบน Android ที่เป็นที่ไม่รู้จักมาก่อน Link ซึ่งมุ่งเป้าโจมตีไปที่ธนาคาร และสถาบันการเงินมากกว่า 50 แห่งในเวียดนาม และตั้งชื่อว่า GoldDigger โดยหลังจากการค้นพบโทรจันดังกล่าวในครั้งแรก นักวิจัยได้ทำการติดตามภัยคุกคามดังกล่าวอย่างต่อเนื่อง และพบกลุ่ม Banking Trojans ที่มุ่งเป้าไปที่ภูมิภาคเอเชียแปซิฟิก โดยมุ่งเน้นเป็นพิเศษไปที่สองประเทศคือไทยกับเวียดนาม แต่ก็มีสัญญาณใหม่ ๆ ที่แสดงให้เห็นว่าพื้นที่การโจมตีอาจขยายออกไป ซึ่ง Group-IB มีการส่งการแจ้งเตือนไปยังหน่วยงานที่เป็นเป้าหมายในการโจมตีแล้ว (more…)

Microsoft ระบุว่ากลุ่ม Lazarus ** กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือได้โจมตีบริษัท CyberLink บริษัทซอฟต์แวร์ของไต้หวัน และติดตั้งโทรจันเพื่อใช้ในการโจมตีแบบ supply chain attack กับเหยื่อรายใหญ่ ๆ ทั่วโลก จากข้อมูลของ Microsoft Threat Intelligence พฤติกรรมต้องสงสัยเกี่ยวข้องกับไฟล์ติดตั้งของ CyberLink ที่ถูกเปลี่ยนแปลงแก้ไข ซึ่งเกิดขึ้นตั้งแต่วันที่ 20 ตุลาคม 2023

(more…)

กลุ่มผู้โจมตีทางไซเบอร์ที่รู้จักกันในชื่อ Tick ทำการโจมตีไปยังบริษัทที่ให้บริการซอฟแวร์ Data-Loss Prevention(DLP)  ในเอเชียตะวันออก ที่ให้บริการกับหน่วยงานรัฐบาล และกองทัพ

นักวิจัยจาก ESET Facundo Muñoz ระบุว่า "ผู้โจมตีทำการโจมตีเซิร์ฟเวอร์สำหรับอัปเดตภายในของบริษัท DLP เพื่อส่งมัลแวร์เข้าไปภายในเครื่อข่ายของนักพัฒนา software และติดตั้ง trojan บนตัวติดตั้งของระบบ DLP ของทางบริษัท โดยอาจมีเป้าหมายเพื่อติดตั้งมัลแวร์ลงบนระบบของลูกค้าของบริษัทดังกล่าว" (more…)

PlugX Trojan ถูกพบว่าปลอมตัวเป็นเครื่องมือโอเพนซอร์สที่ใช้ตรวจสอบข้อผิดพลาดของ Windows ที่เรียกว่า x64dbg เพื่อหลบเลี่ยงการตรวจจับด้านความปลอดภัย และเข้าควบคุมระบบเป้าหมาย

โดย Buddy Tancio, Jed Valderama และ Catherine Loveria นักวิจัย Trend Micro ระบุในรายงานเมื่อสัปดาห์ที่ผ่านมาว่า "ไฟล์ดังกล่าวเป็นเครื่องมือโอเพนซอร์สที่ใช้สำหรับตรวจสอบข้อผิดพลาดบน Windows ในการตรวจสอบ kernel-mode, user-mode code, crash dumps, และ CPU registers"

PlugX หรือที่รู้จักกันในอีกชื่อว่า Korplug เป็น post-exploitation โมดูลที่มีความสามารถหลากหลาย เช่น การขโมยข้อมูล และความสามารถในการควบคุมเครื่องคอมพิวเตอร์ที่ถูกโจมตี

PlugX ถูกรายงานเป็นครั้งแรกในปี 2012 แต่ตัวอย่างตัวแรกของมัลแวร์ ถูกพบตั้งแต่เมื่อเดือนกุมภาพันธ์ 2008 จากรายงานของ Trend Micro ซึ่งในระหว่างนั้น PlugX ได้ถูกใช้โดยกลุ่มผู้โจมตีที่มีความเกี่ยวข้องกับรัฐบาลจีน รวมถึงกลุ่มอาชญากรรมทางด้านไซเบอร์ต่าง ๆ

หนึ่งในวิธีการหลักที่ PlugX ใช้คือ DLL side-loading เพื่อโหลด DLL ที่เป็นอันตรายจากซอฟแวร์ที่มี digital signed อย่างถูกต้อง ซึ่งในกรณีนี้คือเครื่องมือสำหรับ Debugging ที่ชื่อ x64dbg (x32dbg.

นักวิจัยจาก Trend Micro บริษัทรักษาความปลอดภัยทางไซเบอร์ พบ Backdoor ตัวใหม่ ในชื่อ WhiskerSpy ที่ถูกเผยแพร่โดยกลุ่ม Hacker ที่มีชื่อว่า Earth Kitsune ซึ่งมุ่งเป้าหมายการโจมตีไปยังกลุ่มผู้สนับสนุนประเทศเกาหลีเหนือ โดย Trend Micro ได้เริ่มติดตามการดำเนินกิจกรรมของกลุ่ม Hacker ดังกล่าวมาตั้งแต่ปี 2019 (more…)

กลุ่มผู้ใช้งานที่ใช้ภาษาจีนเป็นหลักในเอเชียตะวันออกเฉียงใต้ และเอเชียตะวันออกกำลังตกเป็นเป้าหมายของแคมเปญ Google Ads เพื่อหลอกลวงให้ดาวน์โหลด trojans ที่ใช้ในการเข้าถึงจากระยะไกล เช่น FatalRAT ไปยังเครื่องเหยื่อ

ผู้โจมตีจะใช้การซื้อโฆษณา เพื่อให้แสดงในผลของการค้นหาบน Google เมื่อผู้ใช้พยายามดาวน์โหลด Application ที่เป็นที่นิยม จะถูกนำไปยังหน้าเว็บไซต์สำหรับดาวน์โหลดโปรแกรมซึ่งถูกฝัง Trojan เอาไว้ โดย ESET ระบุในรายงานว่าปัจจุบันโฆษณาดังกล่าวได้ถูกลบออกไปแล้ว

Google Chrome ก็เป็นหนึ่งใน Application ที่มีหน้าเว็บไซต์สำหรับดาวน์โหลดปลอมขึ้นมา รวมไปถึง Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao และ WPS Office

โดย ESET ระบุในรายงานที่พบในช่วงระหว่างเดือนสิงหาคม 2565 ถึงมกราคม 2566 ว่า "เว็บไซต์ และโปรแกรมที่ดาวน์โหลดจากเว็บไซต์ส่วนใหญ่เป็นภาษาจีน และในบางกรณีก็มีซอฟต์แวร์เวอร์ชั่นภาษาจีนที่ไม่สามารถใช้งานได้ในจีนด้วยเช่นกัน"

โดยเหยื่อส่วนใหญ่จะอาศัยอยู่ที่ ไต้หวัน จีน ฮ่องกง มาเลเซีย ญี่ปุ่น ฟิลิปปินส์ ไทย สิงคโปร์ อินโดนีเซีย และเมียนมาร์

สิ่งที่สำคัญที่สุดในการโจมตีคือการสร้างเว็บไซต์ที่มีโดเมนลักษณะคล้ายกัน หรือที่เรียกว่า typosquatted domain เพื่อเผยแพร่ซอฟต์แวร์ที่เป็นอันตราย ซึ่งบางกรณีถึงแม้จะมีไฟล์ติดตั้งของซอฟต์แวร์ที่ถูกต้อง แต่ก็ยังมีการแอบติดตั้ง FatalRAT ด้วยเช่นเดียวกัน

โดยผู้โจมตีจะสามารถควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์ รวมถึงสั่งรันคำสั่งที่เป็นอันตราย, เก็บข้อมูลจาก web browsers และตรวจจับการพิมพ์บน Keyboard

นักวิจัยระบุว่า "Hacker ใช้ความพยายามในการตั้งชื่อโดเมนให้มีความคล้ายกับชื่อที่เป็นทางการมากที่สุดเท่าที่จะทำได้ และ website ปลอมส่วนมากจะมีหน้าตาเหมือนกันกับ website ที่ถูกต้อง"

การค้นพบนี้เกิดขึ้นภายในเวลาไม่ถึงหนึ่งปีหลังจากที่ Trend Micro เปิดเผยแคมเปญ Purple Fox ที่ใช้ประโยชน์จากซอฟต์แวร์ที่เลียนแบบ Adobe, Google Chrome, Telegram และ WhatsApp เพื่อเผยแพร่ FatalRAT

ที่มา : thehackernews

เมื่อวันจันทร์ที่ผ่านมา (30 ธ.ค. 2565) กลุ่มผู้โจมตีที่ยังไม่ทราบที่มาได้ทำการขโมย Code-Signing Certificates ที่เข้ารหัสไว้บางเวอร์ชัน บนที่เก็บข้อมูลที่เลิกใช้แล้วของ GitHub Desktop for Mac และ Atom app ออกไปได้ ซึ่งทาง Microsoft ยืนยันว่าข้อมูลที่ได้ออกไปไม่มีข้อมูลของลูกค้า และ Credentials ที่ถูกเข้าถึงได้ถูกเพิกถอนออกไปแล้ว (more…)

นักวิจัยด้านความปลอดภัย Nipun Gupta และ Aazim Bill SE Yaswant พบ Trojan App ที่ชื่อว่า Schoolyard Bully Trojan บน Google Play Store โดยมียอดผู้ดาวน์โหลดแอปดังกล่าวไปแล้วกว่า 3 แสน รายใน 71 ประเทศ ซึ่งปัจจุบันได้ถูกถอดจาก Google Play Store ไปแล้ว แต่ก็ยังมีเผยแพร่อยู่บน 3rd party อื่น ๆ เช่น Telegram หรือ Whatsapp เป็นต้น

ลักษณะการทำงาน

Trojan ได้ถูกออกแบบมาเพื่อขโมย Facebook credentials เป็นหลัก โดยจะปลอมเป็นแอปพลิเคชั่นสำหรับการศึกษาที่ดูใช้งานได้ตามปกติ หรือแอปสำหรับอ่านนิยายออนไลน์เพื่อหลอกล่อให้เหยื่อดาวน์โหลดมาโดยไม่เกิดความสงสัย

ซึ่งหลังจากที่เหยื่อมีการโหลดมาแอปมาติดตั้งไว้บนเครื่องแล้วจะมีการหลอกล่อเหยื่อให้เปิดหน้าใช้งานเข้าสู่ระบบของ Facebook ใน WebView ซึ่งภายในหน้าเว็บนั้นจะมีการฝัง JavaScript ที่มีความสามารถในการขโมยข้อมูลจำพวก เบอร์โทรศัพท์ อีเมล และรหัสผ่านของผู้ใช้ ส่งไปยัง Command-and-control (C2) ที่ถูกกำหนดไว้ของผู้โจมตี

นอกจากนี้ Schoolyard Bully Trojan ยังมีความสามารถในการใช้ประโยชน์จาก native libraries เช่น libabc.

ในการใช้งานอินเทอร์เน็ตทั่วไป ผู้ใช้งานมักพบกับหน้าจอ DDoS Protection ในการเข้าใช้งานเว็ปไซต์ต่างๆ ซึ่งมันมีหน้าที่สำหรับปกป้องเว็ปไซต์ปลายทางจากการโจมตี เช่น การส่ง Request ปลอมเป็นจำนวนมากที่ทำให้เซิฟเวอร์ล่ม แต่ในปัจจุบัน พบผู้ไม่หวังดีได้ใช้ประโยชน์จากหน้าจอแสดงผลเหล่านี้เพื่อแพร่กระจายมัลแวร์

ลักษณะการทำงาน

เหตุการณ์นี้ค้นพบโดบผู้เชี่ยวชาญจาก Sucuri ซึ่งพบผู้โจมตีได้ทำการแฮ็กเว็ปไซต์ที่เขียนด้วย WordPress เมื่อทำการแฮ็กได้สำเร็จ ผู้โจมตีจะทำการเพิ่มเพย์โหลด JavaScript ลงไป เพื่อแสดงหน้าจอ Cloudflare DDoS Protection ปลอม

เมื่อผู้ใช้งานเข้าสู่เว็ปไซต์ที่ถูกแฮ็ก จะพบ Pop-Up ขึ้นมาให้คลิกเพื่อข้ามหน้าจอ DDoS Protection เมื่อคลิกจะเป็นการดาวน์โหลดไฟล์ security_install.

ในการใช้งานอินเทอร์เน็ตทั่วไป ผู้ใช้งานมักพบกับหน้าจอ DDoS Protection ในการเข้าใช้งานเว็ปไซต์ต่างๆ ซึ่งมันมีหน้าที่สำหรับปกป้องเว็ปไซต์ปลายทางจากการโจมตี เช่น การส่ง Request ปลอมเป็นจำนวนมากที่ทำให้เซิฟเวอร์ล่ม แต่ในปัจจุบัน พบผู้ไม่หวังดีได้ใช้ประโยชน์จากหน้าจอแสดงผลเหล่านี้เพื่อแพร่กระจายมัลแวร์

ลักษณะการทำงาน

เหตุการณ์นี้ค้นพบโดบผู้เชี่ยวชาญจาก Sucuri ซึ่งพบผู้โจมตีได้ทำการแฮ็กเว็ปไซต์ที่เขียนด้วย WordPress เมื่อทำการแฮ็กได้สำเร็จ ผู้โจมตีจะทำการเพิ่มเพย์โหลด JavaScript ลงไป เพื่อแสดงหน้าจอ Cloudflare DDoS Protection ปลอม

เมื่อผู้ใช้งานเข้าสู่เว็ปไซต์ที่ถูกแฮ็ก จะพบ Pop-Up ขึ้นมาให้คลิกเพื่อข้ามหน้าจอ DDoS Protection เมื่อคลิกจะเป็นการดาวน์โหลดไฟล์ security_install.