นักวิจัยของ ESET พบแคมเปญมัลแวร์ตัวใหม่ที่มุ่งเป้าการโจมตีไปยัง Android ของ “GravityRAT” ซึ่งพบการโจมตีมาตั้งแต่เดือนสิงหาคม 2022 โดยการติดตั้งแอปพลิเคชันแชทที่ฝังโทรจันในชื่อ 'BingeChat' เพื่อขโมยข้อมูลจากอุปกรณ์ของเหยื่อ

โดยทาง ESET พบความสามารถใหม่ที่น่าสนใจของ “GravityRAT” เวอร์ชันล่าสุด คือความสามารถในการขโมยข้อมูลไฟล์ WhatsApp backup ในอุปกรณ์ของเหยื่อ

โดย WhatsApp backup ถูกสร้างขึ้นเพื่อช่วยให้ผู้ใช้งานสามารถย้ายประวัติข้อความ ไฟล์มีเดีย และข้อมูลไปยังอุปกรณ์ใหม่ ซึ่งอาจมีข้อมูลที่มีความสำคัญต่าง ๆ เช่น ข้อความ วิดีโอ ภาพถ่าย เอกสาร และอื่น ๆ ในรูปแบบที่ไม่ได้ถูกเข้ารหัส (more…)

พบการประกาศขายข้อมูลของผู้ใช้งาน WhatsApp เกือบ 500 ล้านราย ในฟอรั่มของ Dark Web ชื่อดัง โดยในฟอรั่มได้อ้างว่าเป็นฐานข้อมูลของผู้ใช้งาน WhatsApp ในปี 2022 จำนวนกว่า 487 ล้านหมายเลข

โดย WhatsApp ถือว่าเป็นหนึ่งในแอพพลิเคชัน Instant messaging และ VoIP ยอดนิยม ที่มีผู้ใช้งานมากกว่า 2,000 ล้านคนต่อเดือนทั่วโลก

โดยในรายละเอียดของข้อมูลที่ถูกประกาศขาย ประกอบไปด้วยชุดข้อมูลของผู้ใช้ WhatsApp จากกว่า 84 ประเทศ เช่น

ผู้ใช้ในประเทศสหรัฐอเมริกา จำนวน 32 ล้านรายชื่อ
ผู้ใช้ในประเทศอียิปต์ จำนวน 45 ล้านรายชื่อ
ผู้ใช้ในประเทศอิตาลี จำนวน 35 ล้านรายชื่อ
ผู้ใช้ในประเทศซาอุดีอาระเบีย จำนวน 29 ล้านรายชื่อ
ผู้ใช้ในประเทศฝรั่งเศส จำนวน 20 ล้านรายชื่อ
ผู้ใช้ในประเทศตุรกี จำนวน 20 ล้านรายชื่อ
ผู้ใช้ในประเทศรัสเซีย จำนวน 10 ล้านรายชื่อ
ผู้ใช้ในประเทศอังกฤษ จำนวน 11 ล้านรายชื่อ

โดย Hacker ได้เสนอขายชุดข้อมูลเหล่านี้ แยกเป็นรายประเทศ เช่น ข้อมูลผู้ใช้ในประเทศสหรัฐอเมริกา ขายในราคา 7,000 ดอลลาร์, ข้อมูลผู้ใช้ในประเทศอังกฤษ ขายในราคา 2,500 ดอลลาร์ และข้อมูลผู้ใช้ในประเทศเยอรมนี ขายในราคา 2,000 ดอลลาร์ รวมไปถึง Hacker ยังได้ปล่อยตัวอย่างชุดข้อมูลที่มีข้อมูลผู้ใช้งานของประเทศอังกฤษ 1,097 ราย และประเทศสหรัฐอเมริกา 817 ราย เพื่อพิสูจน์ว่าข้อมูลเหล่านี้เป็นของจริง และนำไปใช้งานได้

จากการตรวจสอบของ Cybernews พบว่าชุดข้อมูลตัวอย่างที่ได้มานั้นเป็นข้อมูลของผู้ใช้งานจริง และสามารถติดต่อไปยังผู้ใช้งานได้ โดย Hacker ที่ขายข้อมูลไม่ได้บอกว่าได้ชุดข้อมูลเหล่านี้มาด้วยวิธีการใด โดยระบุเพียงว่าพวกเขามีวิธีการที่สามารถเข้าถึงฐานข้อมูล เพื่อให้ได้ข้อมูลดังกล่าวมา รวมทั้งยังยืนยันกับ Cybernews ว่าข้อมูลดังกล่าวทั้งหมดสามารถนำไปใช้ได้จริง

ปัจจุบัน Cybernews ได้ติดต่อไปยังบริษัท Meta ซึ่งเป็นบริษัทแม่ของ WhatsApp เพื่อสอบถามถึงเหตุการณ์ที่เกิดขึ้น แต่ยังไม่ได้รับการตอบกลับ โดยเมื่อไม่กี่วันก่อนหน้านี้ก็จะพบว่ามีการรั่วไหลของข้อมูลภายในของ LinkedIn และ Facebook Business accounts ซึ่งอยู่ภายใต้บริษัท Meta ที่ถูกนำมาขายในฟอรั่มของ Dark Web ชื่อดังเช่นเดียวกัน

ผลกระทบ

โดยชุดข้อมูลที่รั่วไหลเหล่านี้ อาจถูกเหล่า Hackers นำไปใช้ประโยชน์ในการโจมตีในรูปแบบ Social Engineering ได้ ไม่ว่าจะเป็นการหลอกลวงผ่านข้อความ หรือการโทร (Smishing and Vishing Attacks), การโจมตีผ่าน Email (Phishing Attack) รวมไปถึงการโจมตีในรูปแบบ Business Email Compromise

การป้องกัน

ระมัดระวังการเปิดข้อความ SMS อีเมลล์ หรือไฟล์แนบที่ถูกส่งมา ถึงแม้ผู้ส่งจะเป็นบุคคลใกล้ชิด เพื่อนร่วมงาน หรือบุคคลที่มีชื่อเสียงก็ตาม

ที่มา : cybernews

นักวิจัยด้านภัยคุกคามของ Citizen Lab ได้ค้นพบช่องโหว่ zero-click iMessage ซึ่งใช้ในการติดตั้งสปายแวร์ NSO Group บน iPhone ของนักการเมือง นักข่าว และนักเดินทางชาวคาตาลัน

ก่อนหน้านี้มีการพบช่องโหว่ด้านความปลอดภัยแบบ Zero-click ของ iOS มีชื่อว่า HOMAGE มีผลกระทบกับบางเวอร์ชัน ที่เป็นเวอร์ชันก่อน iOS 13.2 (เวอร์ชัน iOS ที่เสถียรล่าสุดคือ 15.4) มันถูกใช้ในแคมเปญที่มุ่งเป้าไปยังบุคคลอย่างน้อย 65 รายด้วย Pegasus Spyware ของ NSO ระหว่างปี 2017-2020 โดยการใช้ช่องโหว่จาก Kismet iMessage และช่องโหว่จาก WhatsApp

ในบรรดาผู้ที่ตกเป็นเหยื่อของการโจมตีนี้ Citizen Lab กล่าวถึงสมาชิกชาวคาตาลัน ของรัฐสภายุโรป (MEPs) ประธานาธิบดีคาตาลันทุกคนตั้งแต่ปี 2010 รวมถึงสมาชิกสภานิติบัญญัติแห่งคาตาลัน ลูกขุน นักข่าว และสมาชิกขององค์กรภาคประชาสังคม และครอบครัวของพวกเขา

“ในบรรดาเป้าหมายที่เป็นชาวคาตาลัน ไม่พบว่ามีเครื่องที่ใช้ iOS เวอร์ชันที่สูงกว่า 13.1.3 ที่ถูกโจมตีจาก HOMAGE ซึ่งเป็นไปได้ว่าช่องโหว่ดังกล่าวได้รับการแก้ไขไปแล้วใน iOS 13.2”

"เรายังไม่พบว่าช่องโหว่แบบ zero-day, zero-click ถูกใช้กับเป้าหมายชาวคาตาลัน สำหรับ iOS เวอร์ชัน 13.1.3 จนถึง iOS 13.5.1"

(more…)

กลุ่ม APT จากอิหร่านใช้วิธีการ Social Engineering โดยปลอมตัวเป็นนักข่าวเพื่อหลอกเหยื่อ

นักวิจัยจาก ClearSky ออกรายงานล่าสุดซึ่งมีการเปิดเผยการโจมตีที่เกิดขึ้นในช่วงเดือนกรกฎาคมถึงสิงหาคม 2020 ที่ผ่านมา โดยรายงานดังกล่าวพุ่งประเด็นไปที่พฤติกรรมของกลุ่มแฮกเกอร์อิหร่าน CharmingKitten (APT35) ที่มุ่งโจมตีนักวิชาการ กลุ่มสิทธิมนุษยชน และนักข่าวที่มีเชี่ยวชาญเกี่ยวกับอิหร่าน

หนึ่งในเทคนิคการเข้าถึงเป้าหมายที่ถูกเปิดเผยออกมานั้นคือพฤติกรรมที่แฮกเกอร์อิหร่านปลอมตัวเป็นนักข่าวเพื่อหลอกล่อเหยื่อ โดยพยายามติดต่อเหยื่อผ่านทาง LinkedIn จากนั้นมีการโทรคุยผ่าน WhatsApp เพื่อหลอกให้เหยื่อเชื่อใจ ก่อนจะส่ง phishing หรือมัลแวร์ให้กับเหยื่อ

ในอดีตกลุ่ม CharmingKitten เคยมีการปลอมตัวในลักษณะนี้มาก่อน แต่ใช้เพียงแค่อีเมลกับ SMS นักวิจัยระบุว่าการพยายามโทรหาเหยื่อเสี่ยงต่อการเปิดเผยตัวผู้โจมตี แต่ถ้าสำเร็จจะทำให้เหยื่อเชื่อใจได้มากขึ้น

ที่มา: zdnet

นักวิจัยด้านความปลอดภัย Jayaram ได้เปิดเผยว่าหมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชี WhatsApp นั้นได้รับการบันทึกใน Google Search โซึ่งอาจส่งผลให้เกิดปัญหาด้านความเป็นส่วนตัวของผู้ใช้งาน

WhatsApp นั้นมีฟีเจอร์ที่ชื่อว่า “Click to Chat” ซึ่งเป็นฟีเจอร์ที่ช่วยให้ผู้ใช้เริ่มต้นการแชทกับใครบางคนโดยไม่ต้องบันทึกหมายเลขโทรศัพท์ในรายชื่อผู้ติดต่อของโทรศัพท์ ฟีเจอร์นี้จะช่วยให้ผู้ใช้สร้าง URL ด้วยหมายเลขโทรศัพท์และสร้าง QR code ให้กับผู้ใช้งาน เพื่อให้ผู้ใช้งานมีความสะดวกในการเริ่มติดต่อสื่อการกับผู้อื่น

Jayaram กล่าวว่าปัญหานั้นเกิดจากการที่ Google Search ได้มีการรวมเอาผลการค้นหาหมายเลขโทรศัพท์ซึ่งจะเเสดงผลผ่าน URL (https://wa.

แจ้งเตือนระดับวิกฤติ ช่องโหว่ล่าสุดบน WhatsApp ถูกโจมตีเพื่อฝัง Spyware สัญชาติอิสราเอล

นิตยสาร Financial Times ออกรายงานเมื่อช่วงเช้าที่ผ่านมาหลังจากมีการตรวจพบข้อมูลที่เชื่อถือได้ว่าบริษัทสัญชาติ NSO Group ซึ่งอยู่เบื้องหลังการโจมตีระบบมือถือเพื่อสอดแนม ได้ทำการโจมตีช่องโหว่ใน WhatsApp ซึ่งส่งผลให้ผู้โจมตีสามารถฝังมัลแวร์ลงที่เครื่องเป้าหมายได้

บริษัท NSO Group เป็นบริษัทสัญชาติอิสราเอลที่มีชื่อเสียงในเรื่องของการพัฒนาเทคโนโลยีสอดแนม โดยเคยมีผลงานในการพัฒนาหนึ่งในมัลแวร์บนระบบ iOS "Pegasus" ตามคำสั่งของลูกค้า อีกทั้งยังมีประวัติในการโจมตีช่องโหว่ zero-day หลายรายการด้วย โดยเชื่อกันว่า NSO Group ใช้ช่องโหว่นี้ในการโจมตีและติดตั้งมัลแวร์ลงในเป้าหมายที่ถูกจ้างวาน

ทางตัวแทนของ WhatsApp ได้ออกมาให้ข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ว่า ช่องโหว่ดังกล่าวที่รหัส CVE-2019-3568 เป็นช่องโหว่ซึ่งพึ่งถูกค้นพบเมื่อต้นเดือนที่ผ่านมา โดยลักษณะของช่องโหว่ Buffer Overflow ในส่วน VOIP stack ของแอป ซึ่งส่งผลให้ผู้โจมตีสามารถโจมตีระบบและรันโค้ดที่เป็นอันตรายจากระยะไกลได้ด้วยการส่งแพ็คเกต SRTCP มายังเบอร์โทรศัพท์ หรือหมายถึงการโทรหาเป้าหมายทั้งในระบบปฏิบัติการ iOS และแอนดรอยด์เท่านั้นเอง ช่องโหว่จะถูกโจมตีทันทีแม้ว่าเป้าหมายจะไม่ได้รับสายที่โทรเข้ามา

ทางตัวแทนของ WhatsApp ยังยืนยันเพิ่มเติมว่า มีการตรวจพบหมายเลขจำนวนหนึ่งซึ่งตกเป็นเป้าหมายและถูกโจมตี ซึ่งหนึ่งนั้นเป็นนักเคลื่อนไหวทางสิทธิมนุษยชนชาวอังกฤษ

Recommendation
ในขณะนี้ทาง WhatsApp ได้มีการปล่อยแอปพลิเคชันที่มีการแพตช์ช่องโหว่ดังกล่าวให้แก่ผู้ใช้งานแล้ว แนะนำให้ผู้ใช้งานทำการอัปเดตโดยด่วนทันที

ที่มา : cnet

นักวิจัย checkpoint ค้นพบช่องโหว่ด้านความปลอดภัยของ WhatsApp แอพพลิเคชั่น โดยความผิดปกติที่พบคือ ผู้โจมตีสามารถแก้ไขข้อความที่ส่งหากันทั้งในแชทส่วนตัวและกลุ่ม

ผู้โจมตีใช้ประโยชน์จากช่องโหว่ของโปรโตคอล protobuf2 ที่ WhatsApp ใช้ในการส่งข้อความเข้ารหัสระหว่าง WhatsApp Mobile และ WhatsApp Web เพื่อดักจับข้อความและแปลงให้กลับมาเป็น JSON ทำให้สามารถเห็น parameter ที่ถูกใช้ในการส่งข้อมูลและเปลี่ยนค่ามันได้ ผู้โจมตีจึงสามารถสร้างเนื้อหา หรือข่าวปลอมเพื่อส่งให้เหยื่อ หรือภายใน group chat ได้, ผู้โจมตีสามารถใช้ 'quote' ซึ่งเป็นการ reply ด้วยการอ้างอิงข้อความใดๆ ใน group chat โดยสามารถเปลี่ยนทั้งผู้ส่งและข้อความที่ส่ง รวมทั้งผู้โจมตีสามารถดักข้อความที่ถูกส่งในกลุ่มเพื่อกำหนดว่าจะให้ใครในกลุ่มเห็น หรือไม่เห็นข้อความ พร้อมทั้งส่งข้อความดังกล่าวไปให้บุคคลอื่นได้ด้วย

นักวิจัยได้ทำการสร้าง extension ใหม่ที่ใช้กับ Burp Suite ขึ้นมาเพื่อใช้ทดสอบ โดยเครื่องมือตัวนี้มีชื่อว่า "WhatsApp Protocol Decryption Burp Tool" ซึ่งมีการแชร์อยู่บน GitHub ทั้งนี้ได้มีการแจ้งช่องโหว่ไปยังผู้ผลิตแล้ว แต่ได้รับการตอบกลับมาว่ายังไม่มีแผนที่จะทำการเปลี่ยนแปลงใดๆกับแอพพลิเคชั่นดังกล่าว ปัจจุบันพบว่า WhatsApp เป็นแอพพลิเคชั่นอันดับต้นๆที่ถูกใช้ในการส่งข่าวปลอม และส่งข้อมูลที่บิดเบือน

ที่มา : thehackernews

อาชญากรไซเบอร์มักเป็นที่รู้กันว่าสามารถใช้ประโยชน์จากทุกสิ่งทุกอย่างที่เป็นที่นิยมในหมู่ผู้คนเพื่อแพร่กระจายมัลแวร์และ Play Store ก็เป็นหนึ่งในช่องทางการแพร่กระจายเป็นอย่างดี ข้อเท็จจริงนี้ได้รับการยืนยันเมื่อมีการพบผู้ใช้งานระบบปฏิบัติการ Android ได้มีการดาวน์โหลดแอปพลิเคชั่นแชทชื่อดัง WhatsApp ซึ่งแท้จริงแล้วเป็นแอปพลิเคชันปลอมที่ถูกมีการแอบอ้างโดยใช้โลโก้และปลอมแปลงชื่อผู้ผลิตของแอปจริง (WhatsApp Inc.

WhatsApp และ Telegram เป็นแอพยอดนิยมที่ใช้กันในยุโรปและอเมริกา ซึ่งแน่นอนว่าแอพแชตทั้งคู่นั้นเน้นเรื่อง Privacy ของผู้ใช้งานเป็นสำคัญ การพูดคุยกันระหว่าง user จะถูกเข้ารหัสอยู่ตลอดเพื่อให้การพูดคุยเหล่านั้นไม่ถูกดักฟังไม่ว่าจากรัฐบาลหรือแม้แต่ Hacker เองก็ตามที แต่แน่นอนว่า Security ไม่ความปลอดภัยอะไร 100% อยู่แล้ว ล่าสุด Checkpoint ตรวจสอบพบวิธีการยึด account ของผู้อื่นได้
WhatsApp และ Telegram ไม่ได้มีแต่ Application เท่านั้นยังมีบริการที่เป็นเว็บด้วยเช่นกัน ซึ่งให้บริการเปรียบเสมือนการใช้งานผ่าน Application โดย Checkpoint พบช่องโหว่ในบริการดังกล่าวที่ทำให้สามารถยึด account ใดๆของเหยื่อได้เมื่อเหยื่อเปิดไฟล์ที่ถูกสร้างมาพิเศษผ่านเว็บไซด์ จากนั้นจึงเข้า account ของเหยื่อเพื่อไป download ภาพหรือบทสนทาใดๆของเหยื่อก็ได้
แน่นอนว่าการโจมตีต้องมีการหลอกล่อเหยื่อด้วยเช่นกัน (Social Engineering) แต่เนื่องด้วย WhatsApp และ Telegram มีการเข้ารหัสไฟล์ในตอนที่ส่ง ทำให้เหยื่อไม่สามารถทราบหน้าตาตัวอย่างไฟล์ได้เลยก่อนที่จะเปิดไฟล์ยิ่งทำให้การหลอกล่อทำให้ง่ายขึ้น
ทาง Checkpoint ได้แจ้ง Security Team ของทั้ง 2 ที่ตั้งแต่ 7 มีนาคม 2017 ที่ผ่านมา และทางทีมงาน security ของทั้งคู่ได้จัดการแก้ไขให้เรียบร้อยแล้ว

ที่มา : checkpoint

พบช่องโหว่ที่อันตรายใน WhatsApp เวอร์ชั่น Web มีผู้ใช้งานมากกว่า 200 ล้านคนที่ตกอยู่ในความเสี่ยง
Kasif Dekel นักวิจัยด้านความปลอดภัยจาก Check Point พบช่องโหว่ของ WhatsApp vCard ที่ทำให้ผู้ไม่ประสงค์ดีสามารถโจมตี สามารถทำให้ผู้ใช้งานดาวน์โหลดมัลแวร์หรือ ransomware เข้าไปในคอมพิวเตอร์ได้ทันที

นอกจากนี้ ช่องโหว่สามารถทำได้ง่ายเพียงแค่สร้าง .Bat ไฟล์และส่งข้อความไปให้เพื่อนหรือผู้ใช้คนอื่นๆ เมื่อผู้ใช้คลิ๊กเปิดไฟล์ ก็จะรันมัลแวร์หรือโค้ดอันตรายซึ่งอาจส่งผลกระทบโดยตรง เช่น เครื่องถูกยึดอย่างสมบูรณ์, ถูก Monitor การใช้งานต่างๆ, ใช้เครื่องเหยื่อเพื่อแพร่กระจายไวรัส เป็นต้น

ทีมด้านความปลอดภัยของ WhatsApp ได้อัพเดทเพื่อแก้ไขช่องโหว่นี้ใน Web Client แล้ว ซึ่งช่องโหว่นี้จะกระทบกับผู้ใช้ WhatsApp เวอร์ชั่นก่อน V0.1.4481

ที่มา : thehackernews