Increased Emotet Malware Activity

สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) ของสหรัฐอเมริกาออกคำเตือนถึงการเพิ่มขึ้นของการโจมตีด้วยมัลแวร์ Emotet
Emotet เป็นโทรจันที่มีความซับซ้อนซึ่งโดยทั่วไปจะทำหน้าที่เป็นตัวดาวน์โหลดหรือ dropper มัลแวร์อื่น ๆ โดยส่วนใหญ่มัลแวร์ดังกล่าวจะแพร่กระจายผ่านไฟล์แนบทางอีเมลที่เป็นอันตรายและพยายามแพร่กระจายภายในเครือข่ายโดยการ Brute Force ข้อมูลประจำตัวของผู้ใช้และการ shared drives หากโจมตีสำเร็จผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญของผู้ใช้งานได้

CISA แนะนำผู้ใช้งานและผู้ดูแลระบบปฏิบัติตาม best practice ต่อไปนี้เพื่อป้องกัน

บล็อกไฟล์อันตรายที่ถูกแนบมากับอีเมล (เช่น ไฟล์ .dll และ .exe)
บล็อกไฟล์แนบอีเมลที่ไม่สามารถสแกนได้โดยซอฟต์แวร์ป้องกันไวรัส (เช่นไฟล์. zip)
แนะนำให้ทำการตั้งค่า Group Policy Object และ Firewall rule
แนะนำให้ติดตั้งโปรแกรมป้องกันไวรัสและทำการแพทช์อย่างสม่ำเสมอ
ติดตั้งตัวกรองที่เกตเวย์อีเมลและบล็อก IP ที่น่าสงสัยที่ไฟร์วอลล์
ยึดตามหลักการของ least privilege
ตั้งค่า Domain-Based Message Authentication, Reporting & Conformance (DMARC)
จัดการแบ่งโซนเน็ตเวิร์ค
จำกัดสิทธิการเข้าถึงที่ไม่จำเป็น

CISA แนะนำให้ผู้ใช้และผู้ดูแลระบบตรวจสอบแหล่งข้อมูลต่อไปนี้สำหรับข้อมูลเกี่ยวกับการป้องกัน Emotet และมัลแวร์อื่น ๆ

CISA Alert Emotet Malware https://www.

Microsoft warns about email spam campaign abusing Office vulnerability

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

โดยเมื่อไฟล์ RTF ถูกเปิดมันจะรันสคริปต์หลายประเภทที่แตกต่างกัน (VBScript, PowerShell, PHP, อื่น ๆ ) เพื่อดาวน์โหลด Payload โดย Payload สุดท้ายคือ Backdoor trojan ซึ่งผู้โจมตีไม่สามารถสั่งคำสั่งไปยัง Backdoor trojan ดังกล่าวได้แล้วเนื่องจากเซิร์ฟเวอร์ที่ถูกควบคุมถูกปิดไปแล้ว แต่ Microsoft ยังคงเตือนภัยว่าอาจมีการโจมตีในลักษณะเดียวกันโดยใช้ Backdoor trojan ตัวใหม่ได้

อย่างไรก็ตามช่องโหว่ CVE-2017-11882 ได้รับการแพตช์แล้วตั้งแต่เดือนพฤศจิกายน 2017 แนะนำให้ผู้ใช้ Windows ทุกคนติดตั้งแพตช์การรักษาความปลอดภัยสำหรับช่องโหว่นี้ เนื่องจากช่องโหว่นี้กำลังถูกใช้โจมตีอยู่บ่อยครั้ง โดยบริษัท Recorded Future ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดเป็นอันดับสามในปี 2018 และ Kaspersky ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดอันดับหนึ่งในปี 2018 รวมถึงมีการเตือนจาก FireEye ในวันที่ 5 มิถุนายน 2019 ถึงการโจมตีด้วยช่องโหว่นี้ไปยังเอเชียกลางด้วย Backdoor ตัวใหม่ที่ชื่อว่า HawkBall

ที่มา : zdnet

Adwind Trojan circumvents antivirus software to infect your PC

นักวิจัย Cisco Talos และ ReversingLabs รายงานเกี่ยวกับ Adwind ซึ่งเป็นมัลแวร์ประเภท Remote Access Trojan (RAT) ที่เคยการโจมตีไปยังโรงงานต่างๆทั่วโลก ได้กลับมาพร้อมกับการทำงานที่หลบเลี่ยงซอฟต์แวร์ป้องกันไวรัสทำให้สามารถเจาะเข้าไปยังระบบได้สำเร็จ Adwind สามารถรวบรวมข้อมูล PC, keystrokes, ข้อมูล credentials, ข้อมูลเสียงภาพหรือวีดีโอ และยังสามารถที่จะขโมยคีย์ที่ใช้ในการเข้าถึง cryptocurrency wallets ที่ติดไวรัสได้
Adwind จะติดตั้งจาก payload ใน phishing อีเมลที่สร้างขึ้นประกอบด้วยไฟล์ JAR ที่เป็นอันตรายซึ่งเมื่อรันแล้วจะเชื่อมต่อกับเซิร์ฟเวอร์ command-and-control (C2) ของ Adwind เพื่อดาวน์โหลด payloads อื่นๆ และถ่ายโอนข้อมูลที่ขโมยมาได้ มีการเชื่อมโยง Adwind เข้ากับการโจมตี 400,000 ครั้งในธุรกิจในด้านการเงิน การผลิต การขนส่งสินค้าและอุตสาหกรรมโทรคมนาคม ประเทศที่มีการตรวจพบเจอได้แก่ Turkey, the US, India, Vietnam, และ Hong Kong
เมื่อเดือนสิงหาที่ผ่านมา มีการค้นพบการแพร่กระจาย Adwind 3.0 ครั้งใหม่ที่มุ่งเน้นไปที่เครื่อง Windows, Linux, Mac โดยเฉพาะเครื่องของผู้ที่ตกเป็นเหยื่อในตรุกีและเยอรมัน สิ่งที่น่าสนใจสำหรับการแพร่กรจายครั้งใหม่นี้คือการรวมการโจมตีเข้ากับการแลกเปลี่ยนข้อมูลแบบไดนามิก (DDE) ซึ่งมีเป้าหมายเพื่อทำให้เกิดความเสียหายกับ Microsoft Excel และหลีกเลี่ยงซอฟต์แวร์ป้องกันไวรัสที่ตรวจจับมัลแวร์ผ่าน signature การแพร่กระจายครั้งนี้จะส่งข้อความ phishing อีเมลที่เป็นอันตรายซึ่งมีไฟล์. CSV หรือ. XLS ซึ่งทั้งสองไฟล์นี้ถูกเปิดโดย Excel เป็นค่าเริ่มต้น
Cisco Talos กล่าวว่าเทคนิคใหม่นี้ได้ถูกเพื่อ obfuscation โดยจุดเริ่มต้นของไฟล์อันตรายนี้ไม่มีส่วนของ Header ของไฟล์ให้ตรวจสอบซึ่งอาจทำให้ซอฟต์แวร์ป้องกันไวรัสสับสนได้ เพราะซอฟต์แวร์ป้องกันไวรัสคาดว่าจะเจออักขระ ASCII ที่บอกว่าไฟล์นี้เป็นไฟล์ CSV เมื่อไม่พบอักขระดังกล่าว โปรแกรมจะมองว่าไฟล์มีความเสียหายแต่ยังสามารถเปิดใช้งานบน Excel ได้
อย่างไรก็ตามเทคนิคนี้สามารถถูกตรวจจับได้ด้วย อุปกรณ์ sandbox และซอฟต์แวร์ป้องกันไวรัสที่ตรวจจับมัลแวร์ผ่าน behavior

ที่มา: zdnet

 

CoreBot banking trojan malware returns after two-year break

พบ CoreBot Trojan อีกครั้งหลังจากหายไปสองปี นับตั้งแต่การโจมตีลูกค้าธนาคารออนไลน์ครั้งล่าสุด CoreBot Trojan ถูกพบบ่อยในช่วงหน้าร้อน 2015 หลังจากที่เปลี่ยนเป้าหมายมาโจมตีธนาคาร หลังจากมีการระบาดช่วงสั้นๆ CoreBot Trojan ดูเหมือนว่าจะหายไปก่อนจะกลับมาอีกครั้งในช่วงสัปดาห์ที่ผ่านมา นักวิจัยจาก Deep Instinct ออกมาให้รายละเอียดว่าเวอร์ชันใหม่ของ CoreBot กำลังแพร่กระจายผ่านการ Spam Email เพื่อขโมยข้อมูลของลูกค้า ลูกค้าของ TD, Des-Jardins, RBC, Scotia Bank, Banque National ล้วนเป็นเป้าหมายของการโจมตี หากสามารถเจาะเข้ามาสำเร็จจะทำให้ผู้ที่โจมตีได้ข้อมูลสำคัญๆ ของเหยื่อจากการที่เหยื่อล็อกอินเข้าระบบเว็บไซต์เหล่านั้น CoreBot เวอร์ชันใหม่จะมีการแสดงข้อความปลอมว่าขอบคุณที่จ่ายเงินให้เพื่อทำให้เหยื่อตื่นตระหนก และคิดตัวเองได้เสียเงินไปแล้ว
ลิ้งค์ที่อยู่ในอีเมลหากถูกกดเข้าไปแล้วจะเป็นการสั่งเริ่มกระบวนการดาวน์โหลดไฟล์อันตราย ซึ่งแตกตายกับ CoreBot เวอร์ชันเก่าตรงที่เวอร์ชันเก่าจะมีไฟล์อันตรายดังหล่าวอยู่ในเมลแล้ว เวอร์ชันยังมีเทคนิคใหม่เพิ่มขึ้นมาเพื่อหลบหลีกการตรวจจับโค้ดแปลกปลอมในไฟล์ นักวิจัยให้ข้อมูลเพิ่มเติมว่า command and control server domain ได้มีการเปลี่ยน IP จากการโจมตีครั้งก่อน ในขณะเดียวกัน IP ที่ใช้ในการกระจายเมลครั้งนี้ดูเหมือนว่าจะมาจากประเทศฝรั่งเศษ และประเทศแคนนาดา นักวิจัยยังบอกอีกว่า CoreBot เวอร์ชันนี้มีความคล้ายกับ Banking Malware ตัวอื่นๆ แต่ยังไม่ได้บอกว่าตัวไหน Deep Instinct บอกกับ ZDNet ว่าจากการตรวจสอบโค้ด พบว่าอาจมาจากประเทศจีน ปัจจุบันยังคงมีการวิเคราะห์เกี่ยวกับ CoreBot และลูกค้าธนาคารได้รับคำเตือนให้ระวังข้อความแปลกๆ เกี่ยวกับการทำธุรกรรมใดๆ

ที่มา : ZDNet

Silence – a new Trojan attacking financial organizations

เมื่อเดือนกันยายนที่ผ่านมา พบว่ามีการโจมตีสถาบันการเงินโดยการใช้ Trojan เหยื่อผู้เคราะห์ร้ายส่วนใหญ่เป็นธนาคารของรัสเซีย แต่ยังพบว่ามีองค์กรที่ถูกโจมตีอยู่ในมาเลเซียและอาร์เมเนียด้วย ผู้โจมตีใช้วิธีการเข้าถึงเครือข่ายภายในธนาคาร จากนั้นจึงทำการแฝงตัวอยู่ในระบบเป็นระยะเวลานาน เพื่อทำการบันทึกวิดีโอเกี่ยวกับกิจกรรมประจำวันบนเครื่องของพนักงาน และศึกษาพฤติกรรมการทำงานต่างๆในธนาคารเป้าหมาย ดูว่ามีการใช้ Software ใดบ้างในระบบ และใช้ข้อมูลที่ได้มานั้นในการขโมยเงินให้มากที่สุด
ลักษณะการแพร่กระจายจะเริ่มจากการเข้าถึงระบบของธนาคาร แล้วใช้ Email ของพนักงานในการส่ง Email Phishing เพื่อทำการขอเปิดบัญชี โดย Email ที่ส่งไปนั้นจะแนบไฟล์รูปแบบ "Microsoft Compiled HTML Help" โดยมีนามสกุลไฟล์คือ .CHM ที่สามารถใส่คำสั่ง JavaScript ทำการ redirect ผู้ใช้ไปที่ URL ภายนอกได้ หลังจากเมื่อเปิดไฟล์ที่แนบมาจะทำการดาวน์โหลดและดำเนินขั้นตอนอื่นๆต่อไป ทั้งนี้ dropper ที่พบ จะเป็น win32 binary ไฟล์ และหน้าที่หลักคือการสื่อสารกับ C&C เพื่อส่ง ID ของเครื่องที่ติด, ดาวน์โหลด และสั่งให้ payload ทำงาน

ที่มา : Securelist

พบ Banking Trojan ในแอนดรอยด์ ขโมยข้อมูลลับลูกค้า

พบ Banking Trojan ใหม่ชื่อว่า Android.BankBot.211.origin ซึ่งมีฟังก์ชันการทำงานคือ การควบคุมศูนย์กลางการทำงานของ Mobile Devices และขโมยข้อมูลลับของลูกค้าด้วยฟังก์ชันบริการของเครื่องเหยื่อที่สามารถใช้เข้าถึงได้ เมื่อ Trojan ดังกล่าวสามารถฝังตัวเองเข้าไปได้โดยสมบูรณ์แบบ และสั่งรันตัวเองอีกครั้งแล้ว ตัว Trojan จะพยายามทำให้ตัวเองได้สิทธิ์การเข้าถึงข้อมูลผ่านบริการการเข้าถึงต่างๆ Android.

NUKEBOT ฉบับดัดแปลงที่ใช้เพื่อการขโมยข้อมูลธนาคาร

นักวิจัยจาก Kaspersky Lab ได้กล่าวว่าพวกเขามีตัวอย่างของ Nukebot Malware ที่มีเป้าหมายหลักเป็นธุรกิจกลุ่มธนาคารที่มีพฤติกรรมขโมยข้อมูล , รหัสผ่าน Email , รหัสผ่าน Browser โดยทางนักวิจัยได้รวบรวมตัวอย่างมาจากหลายแหล่งซึ่งดูเหมือนจะเป็นเพียงรุ่นทดสอบ บางตัวอย่างที่ Kaspersky Lab ครอบครองอยู่เป็นเพียงรูปแบบข้อความ แต่ตอนนี้นักวิจัยสามารถดึงรูปแบบคำสั่ง , ส่วนควบคุม Addresses , และข้อมูลอื่นๆที่ใช้ในการวิเคราะห์จากมัลแวร์ Nukebot ออกมาได้ แต่ข้อมูลที่ได้มาถูกเข้ารหัสไว้ การเข้ารหัสนี้ทำให้นักวิจัยจำเป็นต้องหาทางดึงคีย์ถอดรหัสออกเพื่อการสร้างค่าสตริง

ในส่วนการโจมตีแบบ Web Injections ต้องเลียนแบบการโต้ตอบกับเซิร์ฟเวอร์ C & C โดย C & C addresses จะหาได้ในขั้นตอนการเริ่มทำงานทำงาน Bot จะส่งคีย์ RC4 ที่ใช้ในการถอดรหัส Injections เราใช้วิธีเลียนแบบ Bot แล้วสามารถรวบรวมการแทรกเว็บจากเซิร์ฟเวอร์จำนวนมากได้

แต่ Nukebot บางรุ่นก็ไม่ได้ใช้ web injections แตใช้การกระจายตัวแบบ Droppers จากนั้น Malware จะดาวน์โหลด Password Recovery Utilities เพื่อใช้ในการเจาะรหัสผ่านมาจากเซิร์ฟเวอร์ระยะไกลภายใต้การควบคุมของผู้โจมตี

threatpost

Chthonic banking Trojan spread by PayPal accounts

นักวิจัยจาก Proofpoint  พบการแพร่กระจายของ Chthonic banking Trojan ซึ่งแนบเป็น malicious link จาก User PayPal ด้วยการเปิดให้ refund เงินและหลอกให้เหยื่อกด link ดังกล่าวเพื่อ redirect ไป download JavaScript file ชื่อ paypalTransactionDetails.

Triada trojan on Android devices “complex as Windows malware”

ผู้เชี่ยวชาญของ Kaspersky ตรวจพบโทรจันตัวใหม่ “Triada” ที่มุ่งโจมตีแอนดรอยด์เวอร์ชั่น 4.4.4 และเวอร์ชั่นต่ำกว่า มีความซับซ้อนเทียบเท่ามัลแวร์ระบบวินโดวส์
มัลแวร์ประเภทนี้จะแพร่กระจายผ่านแอพพลิเคชั่นที่ผู้ใช้งานดาวน์โหลดหรือติดตั้งจากแหล่งที่ไม่น่าเชื่อถือ บางครั้งแอพพลิเคชั่นเหล่านี้ก็พบได้ใน Google Appstore แฝงตัวมาในรูปของเกมส์และแอพบันเทิง อาจติดตั้งลงเครื่องระหว่างการอัพเดทแอพอื่น ๆ และอาจติดตั้งไว้ในเครื่องไว้ก่อนแล้ว
นอกจากนี้ เมื่อทำการ Root เครื่องแล้ว โทรจันจะดาวน์โหลดและติดตั้ง Backdoor จากนั้นจะดาวน์โหลดและเปิดใช้งานโมดูล 2 รายการ ที่มีความสามารถในการดาวน์โหลด ติดตั้ง และเปิดแอพพลิเคชั่นได้เอง
มัลแวร์ตัวนี้มีความสามารถในการหลบซ่อนขั้นสูง โดยจะเข้าระบบการทำงานและฝังตัวในหน่วยความจำสั้นของดีไวซ์ ทำให้แอนตี้ไวรัสตรวจจับและการลบได้ยากขึ้น Triada ปฏิบัติงานเงียบ ๆ ซ่อนตัวหลบไม่ให้ผู้ใช้งานและแอพพลิเคชั่นอื่น ๆ ตรวจพบ
โทรจันไทรอาด้าสามารถดัดแปลงข้อความ SMS ที่ส่งออกโดยแอพพลิเคชั่นอื่น ซึ่งนับเป็นฟังก์ชั่นใหม่ของมัลแวร์เลยทีเดียว เมื่อผู้ใช้งานทำการซื้อขายผ่านแอพเกมด้วย SMS โจรไซเบอร์จะแก้ไขข้อมูลเพื่อรับเงินแทนเจ้าของเกมตัวจริง
การถอนการติดตั้งมัลแวร์ออกจากเครื่องทำได้ยากมาก ผู้ใช้งานมีทางเลือกในการกำจัดมัลแวร์แค่ 2 ทาง คือ การ Root Device และลบแอพพลิเคชั่นด้วยตนเอง

ที่มา : scmagazineuk