พบ CoreBot Trojan อีกครั้งหลังจากหายไปสองปี นับตั้งแต่การโจมตีลูกค้าธนาคารออนไลน์ครั้งล่าสุด CoreBot Trojan ถูกพบบ่อยในช่วงหน้าร้อน 2015 หลังจากที่เปลี่ยนเป้าหมายมาโจมตีธนาคาร หลังจากมีการระบาดช่วงสั้นๆ CoreBot Trojan ดูเหมือนว่าจะหายไปก่อนจะกลับมาอีกครั้งในช่วงสัปดาห์ที่ผ่านมา นักวิจัยจาก Deep Instinct ออกมาให้รายละเอียดว่าเวอร์ชันใหม่ของ CoreBot กำลังแพร่กระจายผ่านการ Spam Email เพื่อขโมยข้อมูลของลูกค้า ลูกค้าของ TD, Des-Jardins, RBC, Scotia Bank, Banque National ล้วนเป็นเป้าหมายของการโจมตี หากสามารถเจาะเข้ามาสำเร็จจะทำให้ผู้ที่โจมตีได้ข้อมูลสำคัญๆ ของเหยื่อจากการที่เหยื่อล็อกอินเข้าระบบเว็บไซต์เหล่านั้น CoreBot เวอร์ชันใหม่จะมีการแสดงข้อความปลอมว่าขอบคุณที่จ่ายเงินให้เพื่อทำให้เหยื่อตื่นตระหนก และคิดตัวเองได้เสียเงินไปแล้ว
ลิ้งค์ที่อยู่ในอีเมลหากถูกกดเข้าไปแล้วจะเป็นการสั่งเริ่มกระบวนการดาวน์โหลดไฟล์อันตราย ซึ่งแตกตายกับ CoreBot เวอร์ชันเก่าตรงที่เวอร์ชันเก่าจะมีไฟล์อันตรายดังหล่าวอยู่ในเมลแล้ว เวอร์ชันยังมีเทคนิคใหม่เพิ่มขึ้นมาเพื่อหลบหลีกการตรวจจับโค้ดแปลกปลอมในไฟล์ นักวิจัยให้ข้อมูลเพิ่มเติมว่า command and control server domain ได้มีการเปลี่ยน IP จากการโจมตีครั้งก่อน ในขณะเดียวกัน IP ที่ใช้ในการกระจายเมลครั้งนี้ดูเหมือนว่าจะมาจากประเทศฝรั่งเศษ และประเทศแคนนาดา นักวิจัยยังบอกอีกว่า CoreBot เวอร์ชันนี้มีความคล้ายกับ Banking Malware ตัวอื่นๆ แต่ยังไม่ได้บอกว่าตัวไหน Deep Instinct บอกกับ ZDNet ว่าจากการตรวจสอบโค้ด พบว่าอาจมาจากประเทศจีน ปัจจุบันยังคงมีการวิเคราะห์เกี่ยวกับ CoreBot และลูกค้าธนาคารได้รับคำเตือนให้ระวังข้อความแปลกๆ เกี่ยวกับการทำธุรกรรมใดๆ

ที่มา : ZDNet

เมื่อเดือนกันยายนที่ผ่านมา พบว่ามีการโจมตีสถาบันการเงินโดยการใช้ Trojan เหยื่อผู้เคราะห์ร้ายส่วนใหญ่เป็นธนาคารของรัสเซีย แต่ยังพบว่ามีองค์กรที่ถูกโจมตีอยู่ในมาเลเซียและอาร์เมเนียด้วย ผู้โจมตีใช้วิธีการเข้าถึงเครือข่ายภายในธนาคาร จากนั้นจึงทำการแฝงตัวอยู่ในระบบเป็นระยะเวลานาน เพื่อทำการบันทึกวิดีโอเกี่ยวกับกิจกรรมประจำวันบนเครื่องของพนักงาน และศึกษาพฤติกรรมการทำงานต่างๆในธนาคารเป้าหมาย ดูว่ามีการใช้ Software ใดบ้างในระบบ และใช้ข้อมูลที่ได้มานั้นในการขโมยเงินให้มากที่สุด
ลักษณะการแพร่กระจายจะเริ่มจากการเข้าถึงระบบของธนาคาร แล้วใช้ Email ของพนักงานในการส่ง Email Phishing เพื่อทำการขอเปิดบัญชี โดย Email ที่ส่งไปนั้นจะแนบไฟล์รูปแบบ "Microsoft Compiled HTML Help" โดยมีนามสกุลไฟล์คือ .CHM ที่สามารถใส่คำสั่ง JavaScript ทำการ redirect ผู้ใช้ไปที่ URL ภายนอกได้ หลังจากเมื่อเปิดไฟล์ที่แนบมาจะทำการดาวน์โหลดและดำเนินขั้นตอนอื่นๆต่อไป ทั้งนี้ dropper ที่พบ จะเป็น win32 binary ไฟล์ และหน้าที่หลักคือการสื่อสารกับ C&C เพื่อส่ง ID ของเครื่องที่ติด, ดาวน์โหลด และสั่งให้ payload ทำงาน

ที่มา : Securelist

พบ Banking Trojan ใหม่ชื่อว่า Android.BankBot.211.origin ซึ่งมีฟังก์ชันการทำงานคือ การควบคุมศูนย์กลางการทำงานของ Mobile Devices และขโมยข้อมูลลับของลูกค้าด้วยฟังก์ชันบริการของเครื่องเหยื่อที่สามารถใช้เข้าถึงได้ เมื่อ Trojan ดังกล่าวสามารถฝังตัวเองเข้าไปได้โดยสมบูรณ์แบบ และสั่งรันตัวเองอีกครั้งแล้ว ตัว Trojan จะพยายามทำให้ตัวเองได้สิทธิ์การเข้าถึงข้อมูลผ่านบริการการเข้าถึงต่างๆ Android.

นักวิจัยจาก Kaspersky Lab ได้กล่าวว่าพวกเขามีตัวอย่างของ Nukebot Malware ที่มีเป้าหมายหลักเป็นธุรกิจกลุ่มธนาคารที่มีพฤติกรรมขโมยข้อมูล , รหัสผ่าน Email , รหัสผ่าน Browser โดยทางนักวิจัยได้รวบรวมตัวอย่างมาจากหลายแหล่งซึ่งดูเหมือนจะเป็นเพียงรุ่นทดสอบ บางตัวอย่างที่ Kaspersky Lab ครอบครองอยู่เป็นเพียงรูปแบบข้อความ แต่ตอนนี้นักวิจัยสามารถดึงรูปแบบคำสั่ง , ส่วนควบคุม Addresses , และข้อมูลอื่นๆที่ใช้ในการวิเคราะห์จากมัลแวร์ Nukebot ออกมาได้ แต่ข้อมูลที่ได้มาถูกเข้ารหัสไว้ การเข้ารหัสนี้ทำให้นักวิจัยจำเป็นต้องหาทางดึงคีย์ถอดรหัสออกเพื่อการสร้างค่าสตริง

ในส่วนการโจมตีแบบ Web Injections ต้องเลียนแบบการโต้ตอบกับเซิร์ฟเวอร์ C & C โดย C & C addresses จะหาได้ในขั้นตอนการเริ่มทำงานทำงาน Bot จะส่งคีย์ RC4 ที่ใช้ในการถอดรหัส Injections เราใช้วิธีเลียนแบบ Bot แล้วสามารถรวบรวมการแทรกเว็บจากเซิร์ฟเวอร์จำนวนมากได้

แต่ Nukebot บางรุ่นก็ไม่ได้ใช้ web injections แตใช้การกระจายตัวแบบ Droppers จากนั้น Malware จะดาวน์โหลด Password Recovery Utilities เพื่อใช้ในการเจาะรหัสผ่านมาจากเซิร์ฟเวอร์ระยะไกลภายใต้การควบคุมของผู้โจมตี

threatpost

นักวิจัยจาก Proofpoint  พบการแพร่กระจายของ Chthonic banking Trojan ซึ่งแนบเป็น malicious link จาก User PayPal ด้วยการเปิดให้ refund เงินและหลอกให้เหยื่อกด link ดังกล่าวเพื่อ redirect ไป download JavaScript file ชื่อ paypalTransactionDetails.

ผู้เชี่ยวชาญของ Kaspersky ตรวจพบโทรจันตัวใหม่ “Triada” ที่มุ่งโจมตีแอนดรอยด์เวอร์ชั่น 4.4.4 และเวอร์ชั่นต่ำกว่า มีความซับซ้อนเทียบเท่ามัลแวร์ระบบวินโดวส์
มัลแวร์ประเภทนี้จะแพร่กระจายผ่านแอพพลิเคชั่นที่ผู้ใช้งานดาวน์โหลดหรือติดตั้งจากแหล่งที่ไม่น่าเชื่อถือ บางครั้งแอพพลิเคชั่นเหล่านี้ก็พบได้ใน Google Appstore แฝงตัวมาในรูปของเกมส์และแอพบันเทิง อาจติดตั้งลงเครื่องระหว่างการอัพเดทแอพอื่น ๆ และอาจติดตั้งไว้ในเครื่องไว้ก่อนแล้ว
นอกจากนี้ เมื่อทำการ Root เครื่องแล้ว โทรจันจะดาวน์โหลดและติดตั้ง Backdoor จากนั้นจะดาวน์โหลดและเปิดใช้งานโมดูล 2 รายการ ที่มีความสามารถในการดาวน์โหลด ติดตั้ง และเปิดแอพพลิเคชั่นได้เอง
มัลแวร์ตัวนี้มีความสามารถในการหลบซ่อนขั้นสูง โดยจะเข้าระบบการทำงานและฝังตัวในหน่วยความจำสั้นของดีไวซ์ ทำให้แอนตี้ไวรัสตรวจจับและการลบได้ยากขึ้น Triada ปฏิบัติงานเงียบ ๆ ซ่อนตัวหลบไม่ให้ผู้ใช้งานและแอพพลิเคชั่นอื่น ๆ ตรวจพบ
โทรจันไทรอาด้าสามารถดัดแปลงข้อความ SMS ที่ส่งออกโดยแอพพลิเคชั่นอื่น ซึ่งนับเป็นฟังก์ชั่นใหม่ของมัลแวร์เลยทีเดียว เมื่อผู้ใช้งานทำการซื้อขายผ่านแอพเกมด้วย SMS โจรไซเบอร์จะแก้ไขข้อมูลเพื่อรับเงินแทนเจ้าของเกมตัวจริง
การถอนการติดตั้งมัลแวร์ออกจากเครื่องทำได้ยากมาก ผู้ใช้งานมีทางเลือกในการกำจัดมัลแวร์แค่ 2 ทาง คือ การ Root Device และลบแอพพลิเคชั่นด้วยตนเอง

ที่มา : scmagazineuk

นักวิจัยด้านความปลอดภัยจาก Symantec ค้นพบ Trojan สายพันธุ์ใหม่ที่ทำให้แฮกเกอร์สามารถรีโมทควบคุมเครื่องที่ติด Trojan นี้ได้อย่างสมบูรณ์. นักวิจัยด้านความปลอดภัยตั้งชื่อ Trojan นี้ว่า Duuzer มีเป้าหมายเป็นองค์กรต่างๆ ในประเทศเกาหลีใต้
Duuzer ถูกออกแบบมาเพื่อระบบที่มีสถาปัตยกรรมแบบทั้ง 32bit และ 64bit ที่ทำงานอยู่บน Windows 7, Windows Vista และ Windows XP. ทั้งนี้เมื่อ Duuzer ติดที่เครื่องเหยื่อแล้วจะสามารถควบคุมเครื่องได้ รวมไปถึง สามารถเก็บข้อมูลของระบบและข้อมูลของไดร์ฟต่างๆ, สร้าง process และปิด process,
เข้าถึง แก้ไขและลบไฟล์ต่างๆ, อัพโหลดและดาวน์โหลดไฟล์ต่างๆ, เปลี่ยนเวลาในการแก้ไขไฟล์, สั่งรันคำสั่งที่เป็นอันตราย, ขโมยข้อมูลต่างๆ จากในเครื่อง รวมไปถึงเก็บข้อมูลต่างๆของระบบปฏิบัติการที่เหยื่อใช้ได้ด้วย

อย่างไรก็ตาม Duuzer มีการตรวจสอบก่อนจะทำงานว่า เครื่องที่รันสรุปย่อ นักวิจัยด้านความปลอดภัยจาก Symantec ค้นพบ Trojan สายพันธุ์ใหม่ที่ทำให้แฮกเกอร์สามารถรีโมทควบคุมเครื่องที่ติด Trojan นี้ได้อย่างสมบูรณ์. นักวิจัยด้านความปลอดภัยตั้งชื่อ Trojan นี้ว่า Duuzer มีเป้าหมายเป็นองค์กรต่างๆ ในประเทศเกาหลีใต้
Duuzer ถูกออกแบบมาเพื่อระบบที่มีสถาปัตยกรรมแบบทั้ง 32bit และ 64bit ที่ทำงานอยู่บน Windows 7, Windows Vista และ Windows XP. ทั้งนี้เมื่อ Duuzer ติดที่เครื่องเหยื่อแล้วจะสามารถควบคุมเครื่องได้ รวมไปถึง สามารถเก็บข้อมูลของระบบและข้อมูลของไดร์ฟต่างๆ, สร้าง process และปิด process,
เข้าถึง แก้ไขและลบไฟล์ต่างๆ, อัพโหลดและดาวน์โหลดไฟล์ต่างๆ, เปลี่ยนเวลาในการแก้ไขไฟล์, สั่งรันคำสั่งที่เป็นอันตราย, ขโมยข้อมูลต่างๆ จากในเครื่อง รวมไปถึงเก็บข้อมูลต่างๆของระบบปฏิบัติการที่เหยื่อใช้ได้ด้วย

อย่างไรก็ตาม Duuzer มีการตรวจสอบก่อนจะทำงานว่า เครื่องที่รันอยู่นั้นอยู่บน Virtual Machine เช่น VMWare หรือ VirtualBox หรือไม่ ถ้ารันอยู่บนโปรแกรมประเภท VM จะไม่ทำงานใดๆ ทำให้การวิเคราะห์นั้นทำได้ยากยิ่งขึ้น

นอกจากนี้ Duuzer ยังถูกตั้งค่าให้ทำงานทุกครั้งที่เปิดเครื่อง และแพร่กระจายตัวเองไปยังเครื่องคอมพิวเตอร์อื่นๆได้อีกด้วย Symantec แนะนำอีกว่า วิธีที่ดีที่สุดในการป้องกันคอมพิวเตอร์จาก Trojan คือ เปลี่ยนชื่อผู้ใช้และรหัสผ่าน, อย่าให้รหัสผ่านที่ง่ายต่อการคาดเดา, อัพเดทระบบปฏิบัติการหรือซอฟต์แวร์ต่างๆ อย่างสม่ำเสมอให้เป็นเวอร์ชั่นล่าสุด รวมไปถึงการไม่เปิดไฟล์ที่ต้องสงสัยจากไฟล์แนบ หรือคลิกลิงค์ที่น่าสงสัยในอีเมล์

ที่มา : Symantec

จากข่าวรายงานว่าผู้สร้างมัลแวร์ได้ปล่อยโทรจัน โดยแนบไปกับอีเมลที่แจ้งข่าวดีให้ผู้รับดาวน์โหลดซอฟต์แวร์ Adobe ฟรี หรือแจก License Key ฟรี ในการแพร่กระจายโทรจันครั้งนี้ ใช้เทคนิคที่เรียกว่า Social Engineering เป็นตัวหลอกให้เหยื่อสนใจ และตอบสนองโดยการเปิดไฟล์แนบของอีเมลโดยไม่ทันระวัง เทคนิคที่ใช้ในครั้งนี้คือ ส่งอีเมลหลอกด้วยหัวข้อดังนี้

Download your adobe software
Download your license key
Thank you for your order
Your order is processed

มีการใช้อีเมลที่คล้ายกับ Adobe เช่น “Adobe Software <soft@adobes.

กลุ่มแฮกเกอร์ได้มีการใช้ข่าวการระเบิดของโรงงานทำปุ๋ยในรัฐเท็กซัสในการแพร่กระจายมัลแวร์หลังจากเหตุการณ์เพิ่งเกิดขึ้นได้เพียงแค่ 1 วันเท่านั้น โดยแฮกเกอร์จะส่งอีเมลที่มีการใช้หัวข้ออีเมลว่า "CAUGHT ON CAMERA: Fertilizer Plant Explosion Near Waco, Texas"(ภาพการระเบิดของโรงงานทำปุ๋ยใกล้เมือง Waco ในรัฐเท็กซัสที่ถูกจับภาพได้) ซึ่งในอีเมลนั้นจะแนบลิงค์มาด้วย ถ้าเหยื่อกดคลิกที่ลิงค์ก็จะเป็นการ redirect ไปยังเว็บเพจที่มีการฝังคลิป Youtube เอาไว้และในหน้าเว็บเพจนั้นแฮกเกอร์จะฝัง iFrame ครอบหน้าเว็บเพจนั้นไว้อีกทีหนึ่ง ซึ่ง iFrame ตัวนี้จะทำการ exploit เครื่องของเหยื่อโดยการใช้ Redkit exploit kit หลังจาก exploit เครื่องของเหยื่อแล้วมันจะสั่งให้ดาวโหลดโทรจันที่มีชื่อว่า Troj/ExpJS-II และ Troj/Iframe-JG มาลงที่เครื่องของเหยื่อเพื่อเปิด backdoor เอาไว้ เราสามารถป้องกันการโจมตีแบบนี้ได้ง่ายๆโดยการ เข้าไปอ่านข่าวตามเว็บไซด์ข่าวที่น่าเชื่อถือโดยตรงแทนที่จะคลิกลิงค์ในอีเมลที่ส่งมาเพื่ออ่านข่าว

ที่มา: nakedsecurity.

กลุ่มแฮกเกอร์ได้มีการใช้ข่าวการระเบิดของโรงงานทำปุ๋ยในรัฐเท็กซัสในการแพร่กระจายมัลแวร์หลังจากเหตุการณ์เพิ่งเกิดขึ้นได้เพียงแค่ 1 วันเท่านั้น โดยแฮกเกอร์จะส่งอีเมลที่มีการใช้หัวข้ออีเมลว่า "CAUGHT ON CAMERA: Fertilizer Plant Explosion Near Waco, Texas"(ภาพการระเบิดของโรงงานทำปุ๋ยใกล้เมือง Waco ในรัฐเท็กซัสที่ถูกจับภาพได้) ซึ่งในอีเมลนั้นจะแนบลิงค์มาด้วย ถ้าเหยื่อกดคลิกที่ลิงค์ก็จะเป็นการ redirect ไปยังเว็บเพจที่มีการฝังคลิป Youtube เอาไว้และในหน้าเว็บเพจนั้นแฮกเกอร์จะฝัง iFrame ครอบหน้าเว็บเพจนั้นไว้อีกทีหนึ่ง ซึ่ง iFrame ตัวนี้จะทำการ exploit เครื่องของเหยื่อโดยการใช้ Redkit exploit kit หลังจาก exploit เครื่องของเหยื่อแล้วมันจะสั่งให้ดาวโหลดโทรจันที่มีชื่อว่า Troj/ExpJS-II และ Troj/Iframe-JG มาลงที่เครื่องของเหยื่อเพื่อเปิด backdoor เอาไว้ เราสามารถป้องกันการโจมตีแบบนี้ได้ง่ายๆโดยการ เข้าไปอ่านข่าวตามเว็บไซด์ข่าวที่น่าเชื่อถือโดยตรงแทนที่จะคลิกลิงค์ในอีเมลที่ส่งมาเพื่ออ่านข่าว

ที่มา: nakedsecurity.