มัลแวร์ตัวใหม่บน MAC Computers “UpdateAgent” ถูกใช้โจมตีผ่าน Adware

ทีมข่าวกรองภัยคุกคาม Microsoft 365 เรียกมัลแวร์โทรจันใหม่นี้ว่า "UpdateAgent" icrosoft กล่าวว่า UpdateAgent ได้ผ่านการทำซ้ำหลายครั้งหรือมีการติดมัลแวร์ในอุปกรณ์หลายครั้ง ส่งผลให้มีความสามารถ "การเพิ่มความก้าวหน้าของความสามารถที่ซับซ้อน" โดยนับตั้งแต่รายงานการโจมตีครั้งแรกเมื่อเดือนกันยายน 2563 จนถึงปัจจุบัน

ความสามารถของ UpdateAgent คือ เข้าถึงการใช้สิทธิ์ของผู้ใช้ที่มีอยู่ในทางที่ผิดอย่างลับ ๆ และหลีกเลี่ยง macOS Gatekeeper ซึ่งเป็น feature ด้านความปลอดภัยบนระบบ macOS

มัลแวร์ UpdateAgent แพร่กระจายผ่านการดาวน์โหลด หรือป๊อปอัปโฆษณาที่ปลอมแปลงเป็นซอฟต์แวร์ที่ดูปกติ เช่น video applications, support agent เป็นต้น และพบว่ามัลแวร์ UpdateAgent สามารถใช้ประโยชน์จากโครงสร้างพื้นฐานของคลาวด์ เช่น Amazon S3 และ CloudFront เพื่อทำให้อุปกรณ์ที่ติดมัลแวร์แล้วสามารถติดซ้ำได้อีกครั้ง ซึ่งรวมถึง Adware ในรูปแบบไฟล์ .DMG หรือ .ZIP

เมื่อติดมัลแวร์แล้ว มัลแวร์ Adload จะใช้วิธีการ ad injection และเทคนิค man-in-middle(MitM) เพื่อเปลี่ยนเส้นทางการใช้งานอินเทอร์เน็ตของผู้ใช้ให้ผ่านทางเซิฟเวอร์ของผู้โจมตี แล้วแทรกโฆษณาหลอกลวงในหน้าเว็บหรือผลลัพธ์ของเครื่องมือค้นหา เพื่อเพิ่มโอกาสในการติดมัลแวร์อื่นๆบนเครื่องๆได้อีก

นักวิจัยเตือนว่า "UpdateAgent มีเอกลักษณ์เฉพาะตัวด้วยการอัพเกรดเทคนิคในการพยายามฝังตัวอยู่บนเครื่องเหยื่ออย่างต่อเนื่อง ซึ่งบ่งชี้ว่าโทรจันนี้มีแนวโน้มที่จะใช้เทคนิคที่ซับซ้อนมากขึ้นในแคมเปญต่อไปในอนาคต"

ที่มา : thehackernews

ผู้เชี่ยวชาญเปิดเผยข้อมูลเกี่ยวกับ Malware-as-a-Service ของรัสเซียที่เขียนขึ้นใน Rust

ผู้เชี่ยวชาญเปิดเผยข้อมูลเกี่ยวกับ Malware-as-a-Service ของรัสเซียที่เขียนขึ้นใน Rust

 

มีการพบ Nascent ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่เพิ่งเกิดขึ้นใหม่ มีการขาย และแจกจ่ายบนฟอรัมใต้ดินของรัสเซีย โดยมัลแวร์ถูกเขียนเป็นภาษา Rust โดย Rust เป็นภาษาโปรแกรมภาษาใหม่ที่พัฒนาโดย Mozilla ซึ่งเป็นสัญญาณบ่งบอกถึงแนวโน้มใหม่ที่ผู้โจมตีใช้ภาษาโปรแกรมที่แปลกใหม่มากขึ้นเพื่อหลีกเลี่ยงการรักษาความปลอดภัย หลบเลี่ยงการวิเคราะห์

มีการขนานนามผู้โจมตีนี้ว่า "Ficker Stealer" ซึ่งมีชื่อเสียงในด้านการเผยแพร่มัลแวร์ผ่านลิงก์เว็บโทรจัน และเว็บไซต์ที่ถูกบุกรุก ล่อเหยื่อให้เข้าสู่หน้า Landing Page ที่หลอกลวง โดยอ้างว่าให้บริการดาวน์โหลดฟรีของบริการที่ต้องชำระเงิน เช่น Spotify Music, YouTube Premium และแอปพลิเคชัน Microsoft Store อื่นๆ

Ficker ขายและแจกจ่าย Malware-as-a-Service (MaaS) ผ่านฟอรัมออนไลน์ของรัสเซีย ทีมวิจัย และข่าวกรองของ BlackBerry กล่าวในรายงานว่า "ผู้สร้างซึ่งมีนามแฝงคือ @ficker เสนอแพ็คเกจแบบชำระเงินหลายแบบโดยมีค่าธรรมเนียมการสมัครสมาชิกที่แตกต่างกันเพื่อใช้โปรแกรมที่เป็นอันตรายดังกล่าว"

มีการพบ Malware-as-a-Service ครั้งแรกในเดือนสิงหาคม 2020 เป็นมัลแวร์บน Windows ถูกใช้เพื่อขโมยข้อมูลที่ sensitive รวมถึงข้อมูลการเข้าสู่ระบบ ข้อมูลบัตรเครดิต กระเป๋าเงินดิจิตอล และข้อมูลเบราว์เซอร์ นอกเหนือจากการทำงานเป็นเครื่องมือในการดึงไฟล์ที่ sensitive ยังสามารถทำหน้าที่เป็นตัวดาวน์โหลดเพื่อดาวน์โหลด และเรียกใช้มัลแวร์อีกด้วย

นอกจากนี้ เป็นที่ทราบกันดีว่า Ficker ถูกส่งผ่านแคมเปญสแปม ซึ่งเกี่ยวข้องกับการส่งอีเมลฟิชชิ่งที่กำหนดเป้าหมายด้วยเอกสารแนบ Excel ซึ่งเมื่อเปิดขึ้นจะปล่อยตัวโหลด Hancitor ซึ่งจะทำให้เพย์โหลดทำงาน

มัลแวร์ยังมีการตรวจสอบการป้องกันการวิเคราะห์อื่นๆที่ป้องกันไม่ให้ทำงานในสภาพแวดล้อมเสมือนจริง(VM) และบนเครื่องเหยื่อที่อยู่ในอาร์เมเนีย อาเซอร์ไบจาน เบลารุส คาซัคสถาน รัสเซีย และอุซเบกิสถาน สิ่งที่น่าสังเกตเป็นพิเศษก็คือ Ficker ได้รับการออกแบบมาให้รันคำสั่ง และส่งข้อมูลโดยตรงไปยังผู้โจมตี ซึ่งแตกต่างจากผู้ขโมยข้อมูลแบบเดิมๆที่จะเขียนข้อมูลที่ถูกขโมยลงดิสก์ มัลแวร์ยังมีความสามารถในการจับภาพหน้าจอ ซึ่งช่วยให้ผู้ให้บริการมัลแวร์สามารถจับภาพหน้าจอของเหยื่อจากระยะไกล มัลแวร์ยังช่วยให้สามารถดึงไฟล์และดาวน์โหลดได้

ที่มา: thehackernews

Hackers Using Microsoft Build Engine to Deliver Malware Fileless

แฮกเกอร์ได้มีการใช้ Microsoft Build Engine (MSBuild) ในทางที่ผิด โดยใช้ส่ง Trojan และ Malware ประเภท Fileless ซึ่งมีเป้าหมายในการขโมยข้อมูลบนระบบ Windows

นักวิจัยจากบริษัท Anomali ที่ให้บริการด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์ กล่าวว่าเมื่อวันพฤหัสที่ผ่านมา (13 May 2021) ไฟล์ที่มีโค้ดอันตรายที่มีการเข้ารหัสและเชลล์โค้ดสำหรับติดตั้ง Blackdoor เพื่อใช้ในการเข้าควบคุมเครื่องของเหยื่อเพื่อขโมยข้อมูลได้มีการถูกสร้างขึ้น

MSBuild คือ เครื่องมือโอเพ่นซอร์สสำหรับ Compile .NET และ Visual Studio ที่ถูกพัฒนาโดยบริษัท Microsoft ที่มีไว้ใช้สำหรับ Compiling source code, Packaging, Testing, Deploying Applications

การใช้ MSBuild เป็นเครื่องมือในการเข้าควบคุมเครื่องเป้าหมายโดยไม่ต้องใช้ไฟล์ (Fileless) เป็นแนวคิดในการหลบหลีกการถูกตรวจจับเนื่องจาก Malware ตัวนี้ถูกสร้างขึ้นโดยใช้ Application ที่ถูกกฎหมายโดยรูปการทำงานจะเป็นการโหลด Code ลงที่ Memory ทำให้ไม่มีการทิ้งร่องรอยบนระบบและสามารถซ่อนตัวได้โดยที่ไม่ถูกตรวจจับ

ตามที่มีการเขียนระบุไว้ว่ามีเพียงผู้ให้บริการโซลูชันการรักษาความปลอดภัยทางไซเบอร์ 2 รายเท่านั้นที่ระบุว่าหนึ่งในไฟล์ MSBuild ที่มีการอัปโหลดไปยัง VirusTotal vyx.

แจ้งเตือน! แคมเปญใหม่ของผู้ประสงค์ร้ายกำลังใช้ Google Alerts เพื่อหลอกผู้ใช้ให้อัปเดต Adobe Flash Player เวอร์ชันใหม่

BleepingComputer แจ้งเตือนถึงการค้นพบแคมเปญใหม่ของผู้ประสงค์ร้ายกำลังใช้ Google Alerts เพื่อทำการโปรโมตการอัปเดต Adobe Flash Player ปลอมที่ถูกใช้ในการดาวน์โหลดและติดตั้งโปรแกรมอื่น ๆ บนคอมพิวเตอร์ของผู้ใช้

ผู้ประสงค์ร้ายกำลังเริ่มแคมเปญใหม่โดยการสร้างเนื้อหาการอัปเดต Adobe Flash Player เวอร์ชันใหม่ปลอมเพื่อให้ Google Search จัดทำ Index และถึงแม้ว่า Adobe Flash Player จะ End of life Support และจะไม่ได้รับการสนับสนุนจากเบราว์เซอร์ทุกตัวอีกต่อไป แต่ผู้ใช้หลายคนอาจจะยังไม่ทราบและเมื่อคลิกที่ลิงก์ ผู้ใช้จะถูกรีไดเร็คไปยังเว็บไซต์ที่เป็นอันตรายของผู้ประสงค์ร้าย ซึ่งหากผู้ใช้เข้าไปที่ URL โดยตรงเว็บไซต์จะระบุว่าไม่มีเว็บไซต์ดังกล่าว

หากผู้ใช้คลิกที่ปุ่มอัปเดตโดยผู้ใช้คิดว่ากำลังดาวน์โหลดไฟล์และติดตั้งการอัปเดตล่าสุด Adobe Flash Player ผู้ใช้จะได้รับไฟล์ setup.

แจ้งเตือนกลุ่มแฮกเกอร์ Lebanese Cedar พุ่งเป้าโจมตี Oracle 10g และ Jira/Confluence เพื่อขโมยข้อมูล มีเหยื่อในไทย

บริษัทด้านความปลอดภัยสัญชาติอิสราเอล ClearSky ออกรายงานวิเคราะห์พฤติกรรมของกลุ่มแฮกเกอร์สัญชาติเลบานอนภายใต้ชื่อ Lebanense Cedar ซึ่งพุ่งเป้าโจมตีระบบทั่วโลกมาตั้งแต่ช่วงปี 2012 เพื่อการจารกรรมข้อมูล เป้าหมายส่วนใหญ่อยู่ในตะวันออกกลางและมีบางส่วนอยู่ในไทย ภาคส่วนธุรกิจที่ตกเป็นเป้าหมายหลักนั้นได้แก่กลุ่มโทรคมนาคมและกลุ่มบริษัทไอทีฯ

พฤติกรรมการโจมตีของกลุ่ม Lebanese Cedar จะมีพุ่งเป้าไปที่ระบบที่มีช่องโหว่อยู่แล้วเพื่อทำการโจมตี จากการรวบรวมข้อมูลโดย ClearSky นั้น Lebanese Cedar จะพุ่งเป้าไปที่ระบบ 3 ลักษณะได้แก่ ระบบ Atlassian Confluence Server โดยจะโจมตีช่องโหว่รหัส CVE-2019-3396, ระบบ Atlassian Jira Server/Data Center โดยจะโจมตีช่องโหว่รหัส CVE-2019-11581 และระบบ Oracle 10g 11.1.2.0 โดยจะโจมตีช่องโหว่รหัส CVE-2012-3152

จุดเด่นของกลุ่ม Lebanese Cedar นอกเหนือจากการพุ่งเป้าโจมตีช่องโหว่ซึ่งไม่ค่อยเป็นที่สนใจแล้ว กลุ่มฯ ยังมีการพัฒนาแบ็คดอร์และเครื่องมือในการฝังตัวในระบบของเหยื่อเอง อาทิ web shell ที่พัฒนาโดยภาษา JSP และมัลแวร์ในกลุ่ม Trojan

รายงานของ ClearSky ฉบับเต็มมีรายละเอียดการโจมตีและ IOC สำหรับการระบุหาการมีอยู่ของภัยคุกคามไว้แล้ว โดยสามารถดูข้อมูลเพิ่มเติมได้ที่ : clearskysec

ที่มา: bleepingcomputer | zdnet

Increased Emotet Malware Activity

สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) ของสหรัฐอเมริกาออกคำเตือนถึงการเพิ่มขึ้นของการโจมตีด้วยมัลแวร์ Emotet
Emotet เป็นโทรจันที่มีความซับซ้อนซึ่งโดยทั่วไปจะทำหน้าที่เป็นตัวดาวน์โหลดหรือ dropper มัลแวร์อื่น ๆ โดยส่วนใหญ่มัลแวร์ดังกล่าวจะแพร่กระจายผ่านไฟล์แนบทางอีเมลที่เป็นอันตรายและพยายามแพร่กระจายภายในเครือข่ายโดยการ Brute Force ข้อมูลประจำตัวของผู้ใช้และการ shared drives หากโจมตีสำเร็จผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญของผู้ใช้งานได้

CISA แนะนำผู้ใช้งานและผู้ดูแลระบบปฏิบัติตาม best practice ต่อไปนี้เพื่อป้องกัน

บล็อกไฟล์อันตรายที่ถูกแนบมากับอีเมล (เช่น ไฟล์ .dll และ .exe)
บล็อกไฟล์แนบอีเมลที่ไม่สามารถสแกนได้โดยซอฟต์แวร์ป้องกันไวรัส (เช่นไฟล์. zip)
แนะนำให้ทำการตั้งค่า Group Policy Object และ Firewall rule
แนะนำให้ติดตั้งโปรแกรมป้องกันไวรัสและทำการแพทช์อย่างสม่ำเสมอ
ติดตั้งตัวกรองที่เกตเวย์อีเมลและบล็อก IP ที่น่าสงสัยที่ไฟร์วอลล์
ยึดตามหลักการของ least privilege
ตั้งค่า Domain-Based Message Authentication, Reporting & Conformance (DMARC)
จัดการแบ่งโซนเน็ตเวิร์ค
จำกัดสิทธิการเข้าถึงที่ไม่จำเป็น

CISA แนะนำให้ผู้ใช้และผู้ดูแลระบบตรวจสอบแหล่งข้อมูลต่อไปนี้สำหรับข้อมูลเกี่ยวกับการป้องกัน Emotet และมัลแวร์อื่น ๆ

CISA Alert Emotet Malware https://www.

Microsoft warns about email spam campaign abusing Office vulnerability

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

โดยเมื่อไฟล์ RTF ถูกเปิดมันจะรันสคริปต์หลายประเภทที่แตกต่างกัน (VBScript, PowerShell, PHP, อื่น ๆ ) เพื่อดาวน์โหลด Payload โดย Payload สุดท้ายคือ Backdoor trojan ซึ่งผู้โจมตีไม่สามารถสั่งคำสั่งไปยัง Backdoor trojan ดังกล่าวได้แล้วเนื่องจากเซิร์ฟเวอร์ที่ถูกควบคุมถูกปิดไปแล้ว แต่ Microsoft ยังคงเตือนภัยว่าอาจมีการโจมตีในลักษณะเดียวกันโดยใช้ Backdoor trojan ตัวใหม่ได้

อย่างไรก็ตามช่องโหว่ CVE-2017-11882 ได้รับการแพตช์แล้วตั้งแต่เดือนพฤศจิกายน 2017 แนะนำให้ผู้ใช้ Windows ทุกคนติดตั้งแพตช์การรักษาความปลอดภัยสำหรับช่องโหว่นี้ เนื่องจากช่องโหว่นี้กำลังถูกใช้โจมตีอยู่บ่อยครั้ง โดยบริษัท Recorded Future ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดเป็นอันดับสามในปี 2018 และ Kaspersky ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดอันดับหนึ่งในปี 2018 รวมถึงมีการเตือนจาก FireEye ในวันที่ 5 มิถุนายน 2019 ถึงการโจมตีด้วยช่องโหว่นี้ไปยังเอเชียกลางด้วย Backdoor ตัวใหม่ที่ชื่อว่า HawkBall

ที่มา : zdnet

Adwind Trojan circumvents antivirus software to infect your PC

นักวิจัย Cisco Talos และ ReversingLabs รายงานเกี่ยวกับ Adwind ซึ่งเป็นมัลแวร์ประเภท Remote Access Trojan (RAT) ที่เคยการโจมตีไปยังโรงงานต่างๆทั่วโลก ได้กลับมาพร้อมกับการทำงานที่หลบเลี่ยงซอฟต์แวร์ป้องกันไวรัสทำให้สามารถเจาะเข้าไปยังระบบได้สำเร็จ Adwind สามารถรวบรวมข้อมูล PC, keystrokes, ข้อมูล credentials, ข้อมูลเสียงภาพหรือวีดีโอ และยังสามารถที่จะขโมยคีย์ที่ใช้ในการเข้าถึง cryptocurrency wallets ที่ติดไวรัสได้
Adwind จะติดตั้งจาก payload ใน phishing อีเมลที่สร้างขึ้นประกอบด้วยไฟล์ JAR ที่เป็นอันตรายซึ่งเมื่อรันแล้วจะเชื่อมต่อกับเซิร์ฟเวอร์ command-and-control (C2) ของ Adwind เพื่อดาวน์โหลด payloads อื่นๆ และถ่ายโอนข้อมูลที่ขโมยมาได้ มีการเชื่อมโยง Adwind เข้ากับการโจมตี 400,000 ครั้งในธุรกิจในด้านการเงิน การผลิต การขนส่งสินค้าและอุตสาหกรรมโทรคมนาคม ประเทศที่มีการตรวจพบเจอได้แก่ Turkey, the US, India, Vietnam, และ Hong Kong
เมื่อเดือนสิงหาที่ผ่านมา มีการค้นพบการแพร่กระจาย Adwind 3.0 ครั้งใหม่ที่มุ่งเน้นไปที่เครื่อง Windows, Linux, Mac โดยเฉพาะเครื่องของผู้ที่ตกเป็นเหยื่อในตรุกีและเยอรมัน สิ่งที่น่าสนใจสำหรับการแพร่กรจายครั้งใหม่นี้คือการรวมการโจมตีเข้ากับการแลกเปลี่ยนข้อมูลแบบไดนามิก (DDE) ซึ่งมีเป้าหมายเพื่อทำให้เกิดความเสียหายกับ Microsoft Excel และหลีกเลี่ยงซอฟต์แวร์ป้องกันไวรัสที่ตรวจจับมัลแวร์ผ่าน signature การแพร่กระจายครั้งนี้จะส่งข้อความ phishing อีเมลที่เป็นอันตรายซึ่งมีไฟล์. CSV หรือ. XLS ซึ่งทั้งสองไฟล์นี้ถูกเปิดโดย Excel เป็นค่าเริ่มต้น
Cisco Talos กล่าวว่าเทคนิคใหม่นี้ได้ถูกเพื่อ obfuscation โดยจุดเริ่มต้นของไฟล์อันตรายนี้ไม่มีส่วนของ Header ของไฟล์ให้ตรวจสอบซึ่งอาจทำให้ซอฟต์แวร์ป้องกันไวรัสสับสนได้ เพราะซอฟต์แวร์ป้องกันไวรัสคาดว่าจะเจออักขระ ASCII ที่บอกว่าไฟล์นี้เป็นไฟล์ CSV เมื่อไม่พบอักขระดังกล่าว โปรแกรมจะมองว่าไฟล์มีความเสียหายแต่ยังสามารถเปิดใช้งานบน Excel ได้
อย่างไรก็ตามเทคนิคนี้สามารถถูกตรวจจับได้ด้วย อุปกรณ์ sandbox และซอฟต์แวร์ป้องกันไวรัสที่ตรวจจับมัลแวร์ผ่าน behavior

ที่มา: zdnet

 

CoreBot banking trojan malware returns after two-year break

พบ CoreBot Trojan อีกครั้งหลังจากหายไปสองปี นับตั้งแต่การโจมตีลูกค้าธนาคารออนไลน์ครั้งล่าสุด CoreBot Trojan ถูกพบบ่อยในช่วงหน้าร้อน 2015 หลังจากที่เปลี่ยนเป้าหมายมาโจมตีธนาคาร หลังจากมีการระบาดช่วงสั้นๆ CoreBot Trojan ดูเหมือนว่าจะหายไปก่อนจะกลับมาอีกครั้งในช่วงสัปดาห์ที่ผ่านมา นักวิจัยจาก Deep Instinct ออกมาให้รายละเอียดว่าเวอร์ชันใหม่ของ CoreBot กำลังแพร่กระจายผ่านการ Spam Email เพื่อขโมยข้อมูลของลูกค้า ลูกค้าของ TD, Des-Jardins, RBC, Scotia Bank, Banque National ล้วนเป็นเป้าหมายของการโจมตี หากสามารถเจาะเข้ามาสำเร็จจะทำให้ผู้ที่โจมตีได้ข้อมูลสำคัญๆ ของเหยื่อจากการที่เหยื่อล็อกอินเข้าระบบเว็บไซต์เหล่านั้น CoreBot เวอร์ชันใหม่จะมีการแสดงข้อความปลอมว่าขอบคุณที่จ่ายเงินให้เพื่อทำให้เหยื่อตื่นตระหนก และคิดตัวเองได้เสียเงินไปแล้ว
ลิ้งค์ที่อยู่ในอีเมลหากถูกกดเข้าไปแล้วจะเป็นการสั่งเริ่มกระบวนการดาวน์โหลดไฟล์อันตราย ซึ่งแตกตายกับ CoreBot เวอร์ชันเก่าตรงที่เวอร์ชันเก่าจะมีไฟล์อันตรายดังหล่าวอยู่ในเมลแล้ว เวอร์ชันยังมีเทคนิคใหม่เพิ่มขึ้นมาเพื่อหลบหลีกการตรวจจับโค้ดแปลกปลอมในไฟล์ นักวิจัยให้ข้อมูลเพิ่มเติมว่า command and control server domain ได้มีการเปลี่ยน IP จากการโจมตีครั้งก่อน ในขณะเดียวกัน IP ที่ใช้ในการกระจายเมลครั้งนี้ดูเหมือนว่าจะมาจากประเทศฝรั่งเศษ และประเทศแคนนาดา นักวิจัยยังบอกอีกว่า CoreBot เวอร์ชันนี้มีความคล้ายกับ Banking Malware ตัวอื่นๆ แต่ยังไม่ได้บอกว่าตัวไหน Deep Instinct บอกกับ ZDNet ว่าจากการตรวจสอบโค้ด พบว่าอาจมาจากประเทศจีน ปัจจุบันยังคงมีการวิเคราะห์เกี่ยวกับ CoreBot และลูกค้าธนาคารได้รับคำเตือนให้ระวังข้อความแปลกๆ เกี่ยวกับการทำธุรกรรมใดๆ

ที่มา : ZDNet