แคมเปญมัลแวร์ที่กำลังแพร่ระบาดอยู่ในขณะนี้ กำลังมุ่งเป้าไปที่ผู้ใช้งาน WhatsApp ในหลายประเทศ โดยใช้ข้อความหลอกลวงเพื่อส่งไฟล์ VBScript ซึ่งจะนำไปสู่การเข้าถึงระบบจากระยะไกล

(more…)

Trojan ใหม่ชื่อ TCLBanker ซึ่งมุ่งเป้าการโจมตีไปที่แพลตฟอร์มธนาคาร, Fintech และ Cryptocurrency ถึง 59 แห่ง โดยอาศัยตัวติดตั้ง MSI ของโปรแกรม Logitech AI Prompt Builder ที่ถูกฝังมัลแวร์ไว้เพื่อแพร่กระจายมัลแวร์เข้าสู่ระบบ

นอกจากนี้ มัลแวร์ยังมี Worm modules ที่สามารถแพร่กระจายตัวเองผ่านทาง WhatsApp และ Outlook เพื่อโจมตีเหยื่อรายใหม่ได้โดยอัตโนมัติ

Trojan ที่โจมตีระบบธนาคารใหม่นี้ถูกค้นพบโดย Elastic Security Labs โดยทีมนักวิจัยเชื่อว่ามันเป็นการพัฒนาต่อยอดครั้งสำคัญจากตระกูลมัลแวร์รุ่นเก่าอย่าง Maverick/Sorvepotel

แม้ว่าในปัจจุบัน TCLBanker จะดูเหมือนมุ่งเป้าไปที่ประเทศบราซิลเป็นหลัก แต่มัลแวร์จากกลุ่มประเทศละตินอเมริกา (LATAM) ในอดีตก็เคยมีการอัปเดตเพื่อขยายเป้าหมายการโจมตีมาแล้ว ดังนั้นความเสี่ยงที่ภัยคุกคามนี้จะขยายตัวลุกลามไปยังพื้นที่อื่นจึงมีอยู่จริง

ความสามารถของ TCLBanker

Elastic เตือนว่า TCLBanker มีระบบป้องกันการถูกวิเคราะห์ และการทำ Debugging ที่แน่นหนามาก โดยใช้กระบวนการถอดรหัส Payload ที่อิงตามสภาพแวดล้อม ซึ่งจะหยุดทำงานทันทีหากอยู่ในระบบ Sandbox หรือสภาพแวดล้อมของนักวิเคราะห์

นอกจากนี้ มัลแวร์ยังรัน Thread แบบ Watchdog ที่ทำงานแฝงตัวอยู่ตลอดเวลา เพื่อคอยสอดส่อง และตรวจจับเครื่องมือวิเคราะห์ต่าง ๆ อย่างต่อเนื่อง เช่น x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra, de4dot และโปรแกรมอื่น ๆ

มัลแวร์ตัวนี้จะถูกโหลดขึ้นมาทำงานภายใต้การทำงานของแอปพลิเคชัน Logitech ที่ถูกต้อง ผ่านเทคนิค DLL Side-loading ดังนั้นมันจึงไม่ไปกทำให้เกิดการแจ้งเตือนใด ๆ จากโปรแกรมรักษาความปลอดภัยที่ปกป้องเครื่องคอมพิวเตอร์ที่ติดมัลแวร์อยู่

นักวิจัยตั้งข้อสังเกตว่า แม้ตัว Loader ของมัลแวร์จะมีฟีเจอร์การทำงานที่หลากหลาย แต่ก็ไม่มีฟีเจอร์ใดที่มีความซับซ้อนขั้นสูงอย่างแท้จริง และจากร่องรอยในโค้ดก็แสดงให้เห็นว่าอาจมีการนำ AI มาช่วยในการพัฒนามัลแวร์ตัวนี้ด้วย

สำหรับ Module ที่ใช้ในการโจมตีระบบธนาคาร มันจะคอยตรวจสอบ Address bar ของ Browser ในทุก ๆ วินาที โดยอาศัย Windows UI Automation API เพื่อเฝ้าดูว่าเหยื่อได้เปิดเว็บไซต์ใดเว็บไซต์หนึ่งจาก 59 แพลตฟอร์มที่เป็นเป้าหมายหรือไม่

เมื่อเหตุการณ์นั้นเกิดขึ้น มันจะสร้างการเชื่อมต่อ WebSocket session กับเซิร์ฟเวอร์ Command-and-Control (C2) ทำการส่งข้อมูลของเหยื่อ และข้อมูลระบบกลับไป จากนั้นจะเริ่มกระบวนการควบคุมระบบจากระยะไกล

โดยความสามารถที่แฮ็กเกอร์ สามารถสั่งการได้นั้น ประกอบไปด้วย

การสตรีมหน้าจอแบบ Real-time
การจับภาพหน้าจอ
การดักจับข้อมูลการกด Keyboard
การขโมยข้อมูลที่คัดลอกไว้ใน Clipboard
การรันคำสั่งระบบผ่าน Shell command
การจัดการหน้าต่างโปรแกรม
การเข้าถึงระบบไฟล์
การตรวจสอบ และแสดงรายการโปรเซสที่กำลังทำงาน
การควบคุม Mouse และ Keyboard จากระยะไกล

ในระหว่างที่มี Sessions การทำงาน โปรเซส Task Manager จะถูกสั่งปิดเพื่อป้องกันไม่ให้ผู้ใช้เข้ามาขัดจังหวะ และเพื่อซ่อนกิจกรรมที่เป็นอันตรายไม่ให้เหยื่อสังเกตเห็น

เพื่อช่วยในการขโมยข้อมูล TCLBanker จะใช้ระบบ Overlay ที่ทำงานบนพื้นฐานของ WPF ซึ่งสามารถแสดงหน้าต่างปลอมต่าง ๆ เพื่อหลอกลวงเหยื่อได้ เช่น หน้าต่างแจ้งให้กรอกข้อมูล Credential ปลอม, Keypads สำหรับกดรหัส PIN, แบบฟอร์มเก็บข้อมูลเบอร์โทรศัพท์, หน้าจอรอรับการช่วยเหลือจากฝ่ายสนับสนุนของธนาคารปลอม, หน้าจอการอัปเดต Windows ปลอม และหน้าจอแสดงความคืบหน้าปลอมในรูปแบบต่าง ๆ

นอกจากนี้ ยังมีการใช้ Overlays แบบ Cutout ที่จะแสดงทับอยู่ด้านบนสุดเสมอ โดยจะยอมให้เหยื่อมองเห็นเฉพาะบางส่วนของแอปพลิเคชันจริงที่ถูกเลือกไว้เท่านั้น ในขณะที่ส่วนอื่น ๆ จะถูกบดบังเอาไว้

Worms บน WhatsApp และ Outlook

สิ่งที่น่าสนใจอีกอย่างหนึ่งของ TCLBanker คือความสามารถในการแพร่กระจายตัวเองได้โดยอัตโนมัติไปยังรายชื่อผู้ติดต่อที่เชื่อมโยงกับเหยื่อรายแรก

มัลแวร์ตัวนี้จะค้นหาโปรไฟล์ของ Browser ตระกูล Chromium เพื่อหาข้อมูล IndexedDB ของ WhatsApp Web ที่มีการเข้าสู่ระบบค้างไว้ จากนั้นจะสั่งรันหน้าต่าง Chromium แบบซ่อนตัวขึ้นมาเพื่อทำการยึดบัญชีของเหยื่อ

จากนั้น มันจะรวบรวมรายชื่อผู้ติดต่อ ทำการคัดกรองเอาเฉพาะเบอร์โทรศัพท์ของประเทศบราซิล และส่งข้อความสแปมไปหาคนเหล่านั้นจากบัญชีของเหยื่อ เพื่อหลอกล่อให้เป้าหมายให้กดเข้าไปยังแพลตฟอร์มที่ใช้สำหรับแพร่กระจายมัลแวร์ TCLBanker

ส่วน Worm module อีกตัวหนึ่งจะโจมตี Microsoft Outlook ผ่านระบบ COM automation โดยจะสั่งเปิดแอปพลิเคชัน เพื่อรวบรวมรายชื่อผู้ติดต่อรวมถึง email address ของผู้ส่ง แล้วทำการส่งอีเมล Phishing ออกไปโดยใช้บัญชีอีเมลของเหยื่อ

Elastic สรุปทิ้งท้ายว่า TCLBanker ถือเป็นตัวอย่างที่ชัดเจนที่แสดงให้เห็นถึงวิวัฒนาการของมัลแวร์ในกลุ่มประเทศละตินอเมริกา (LATAM) ซึ่งมีฟีเจอร์การโจมตีต่าง ๆ ให้กับอาชญากรทางไซเบอร์ระดับล่าง จากที่ในอดีตฟีเจอร์เหล่านี้จะมีให้ใช้งานเฉพาะในเครื่องมือที่มีความซับซ้อนขั้นสูงเท่านั้น

 

ที่มา : bleepingcomputer.

WhatsApp เริ่มเปิดใช้งานบัญชีที่ผู้ปกครองจัดการสำหรับเด็กก่อนวัยรุ่นแล้ว โดยอนุญาตให้ผู้ปกครองตัดสินใจได้ว่าใครสามารถติดต่อพวกเขาได้ และกลุ่มใดที่พวกเขาสามารถเข้าร่วมได้

บัญชีเหล่านี้จะถูกจำกัดการใช้งานไว้เพียงการส่งข้อความ และการโทรเท่านั้น โดยจะไม่สามารถเข้าถึง Meta AI, Channels, Status หรือการแชร์ Location ได้ ทั้งนี้ ข้อความของเด็กจะยังคงได้รับการเข้ารหัสแบบ End-to-end encrypted ซึ่งบุคคลที่สามไม่สามารถเข้าถึงได้ รวมถึงผู้ปกครองเองก็จะไม่สามารถอ่านแชท หรือดักฟังการโทรของเด็กได้เช่นกัน (more…)

Meta เปิดตัวระบบ Anti-scam รูปแบบใหม่ในทุกแพลตฟอร์ม โดยมีการนำระบบตรวจจับ และระบบแจ้งเตือนที่แสดงผลต่อผู้ใช้งานมาใช้ เพื่อปกป้องผู้ใช้งานจากกลุ่ม Scammer

ฟีเจอร์ใหม่นี้ถูกออกแบบมาเพื่อช่วยดักจับความพยายามในการหลอกลวง ก่อนที่ผู้ใช้งาน WhatsApp, Facebook และ Messenger จะเผลอไปโต้ตอบ หรือมีส่วนร่วมด้วย

ขณะนี้ทาง WhatsApp จะทำการแจ้งเตือนผู้ใช้งานเมื่อพบสัญญาณว่า Request ในการทำ Device-linking อาจเป็นการหลอกลวง ซึ่งเป็นกลยุทธ์ที่กลุ่ม Scammer ใช้เพื่อควบคุมบัญชี โดยการหลอกให้ผู้ใช้งานแชร์ Linking code หรือสแกน QR code ที่เป็นอันตราย (more…)

รัฐบาลรัสเซียกำลังพยายามบล็อก WhatsApp ภายในประเทศ ในขณะที่มาตรการปราบปรามแพลตฟอร์มการสื่อสารที่อยู่นอกเหนือการควบคุมของรัฐกำลังทวีความรุนแรงขึ้น

WhatsApp ได้ออกมาประกาศถึงการกระทำดังกล่าวผ่านทาง X โดยระบุว่านี่เป็นการก้าวถอยหลัง ซึ่งมีแต่จะทำให้ความปลอดภัยของประชาชนในรัสเซียลดน้อยลง

WhatsApp ยังให้คำมั่นแก่ผู้ใช้งานในรัสเซียว่าจะพยายามทำทุกวิถีทางเพื่อให้พวกเขาสามารถเชื่อมต่อถึงกันได้ต่อไป

สื่อของรัสเซียรายงานว่า เมื่อไม่นานมานี้ Roskomnadzor ซึ่งเป็นหน่วยงานเฝ้าระวังอินเทอร์เน็ตของประเทศ ได้ถอดโดเมน whatsapp.

แพ็กเกจอันตรายใน Registry ของ Node Package Manager (NPM) โดยแอบอ้างว่าเป็นไลบรารี WhatsApp Web API ของจริง เพื่อขโมยข้อความของ WhatsApp, รวบรวมรายชื่อผู้ติดต่อ และเข้าถึงบัญชีของผู้ใช้งาน

แพ็กเกจอันตรายนี้เป็นการ Fork (แยกส่วนมาพัฒนาต่อ) จากโปรเจกต์ยอดนิยมที่ชื่อว่า WhiskeySockets Baileys โดยตัวแพ็กเกจยังคงฟังก์ชันการทำงานที่ใช้งานได้จริงเอาไว้เพื่อให้แนบเนียน มันถูกเผยแพร่บน npm ภายใต้ชื่อ lotusbail มาเป็นเวลาอย่างน้อย 6 เดือนแล้ว และมียอดดาวน์โหลดสะสมไปแล้วกว่า 56,000 ครั้ง (more…)

ผู้ไม่หวังดีกำลังใช้ช่องโหว่จากฟีเจอร์ device-linking ที่ใช้งานกันตามปกติ เพื่อทำการเข้าควบคุมบัญชี WhatsApp ผ่านการ pairing code ในปฏิบัติการโจมตีที่เรียกว่า GhostPairing (more…)

ทีมนักวิจัยได้รวบรวมรายการเบอร์โทรศัพท์มือถือของผู้ใช้ WhatsApp จำนวน 3.5 พันล้านหมายเลข พร้อมข้อมูลส่วนตัวที่เกี่ยวข้อง โดยอาศัยช่องโหว่จาก API สำหรับค้นหารายชื่อผู้ติดต่อที่ไม่มีระบบจำกัดจำนวนการเรียกใช้งาน (more…)

ผู้ไม่หวังดีกำลังโจมตีโดยใช้ช่องโหว่ zero-day ในไลบรารีการประมวลผลรูปภาพบนระบบ Android ของ Samsung เพื่อแพร่กระจาย Spyware ที่ยังไม่เคยถูกพบมาก่อนชื่อ 'LandFall' โดยใช้รูปภาพอันตรายที่ส่งผ่านทาง WhatsApp

ช่องโหว่ด้านความปลอดภัยดังกล่าวได้รับการแก้ไขแล้วในเดือนเมษายนที่ผ่านมา แต่นักวิจัยพบหลักฐานว่าผู้ไม่หวังดีได้เริ่มใช้ LandFall มาตั้งแต่เดือนกรกฎาคม 2024 เป็นอย่างน้อย และมุ่งเป้าไปที่ผู้ใช้ Samsung Galaxy บางรายในแถบตะวันออกกลาง

ช่องโหว่ zero-day ดังกล่าวมีหมายเลข CVE-2025-21042 ซึ่งเป็นช่องโหว่ประเภท "out-of-bounds write" ในไลบรารี libimagecodec.

WhatsApp เปิดตัวการสำรองข้อมูลแบบ passkey-encrypted สำหรับอุปกรณ์ iOS และ Android ซึ่งช่วยให้ผู้ใช้งานสามารถเข้ารหัสประวัติการแชทของตนโดยใช้ลายนิ้วมือ, สแกนใบหน้า หรือรหัสล็อกหน้าจอ

Passkeys เป็นวิธีการยืนยันตัวตนแบบไม่ต้องใช้รหัส ช่วยให้ผู้ใช้งาน sign in เข้าใช้โดยใช้ข้อมูลไบโอเมตริก (เช่น การจดจำใบหน้า หรือลายนิ้วมือ), PIN หรือรูปแบบความปลอดภัย แทนรหัสผ่านแบบเดิม โดยช่วยให้สามารถล็อกอินเข้าสู่เว็บไซต์ บริการออนไลน์ หรือแอปต่าง ๆ ได้โดยไม่จำเป็นต้องจำรหัสผ่านที่ซับซ้อน หรือใช้โปรแกรมจัดการรหัสผ่าน

เมื่อสร้าง Passkeys อุปกรณ์ของผู้ใช้งานจะสร้าง cryptographic key pair ที่ไม่ซ้ำกัน ซึ่งประกอบด้วย private key ที่จัดเก็บไว้ในอุปกรณ์ และ public key ที่ส่งไปยังเว็บไซต์ หรือแอปฯ ด้วยเหตุนี้ Passkeys จึงให้ความปลอดภัยที่สูงกว่าการยืนยันตัวตนแบบทั่วไปอย่างมาก เนื่องจากไม่สามารถถูกขโมยจากเหตุการณ์ข้อมูลรั่วไหลได้ เพราะ private key จะไม่หลุดออกจากอุปกรณ์ของผู้ใช้งานเลย

WhatsApp ระบุว่า "Passkeys จะช่วยให้ผู้ใช้งานใช้ลายนิ้วมือ, สแกนใบหน้า หรือรหัสล็อกหน้าจอเพื่อ encrypt การสำรองข้อมูลแชทแทนที่จะต้องจดจำรหัสผ่าน หรือ 64-digit encryption key ที่ยุ่งยาก"

"ตอนนี้ เพียงแค่แตะ หรือสแกนหน้า ความปลอดภัยแบบเดียวกับที่ปกป้องแชทส่วนตัว และการโทรของผู้ใช้งานบน WhatsApp ก็จะถูกนำไปใช้กับการสำรองข้อมูลแชท เพื่อให้ข้อมูลเหล่านั้นปลอดภัย เข้าถึงได้ และเป็นส่วนตัวอยู่เสมอ"

ในการเริ่มต้น ให้เปิดใช้งานฟีเจอร์ความปลอดภัยนี้โดยไปที่ การตั้งค่า WhatsApp จากนั้นเลือก Chats > Chat backup  > End-to-end encrypted backup

Meta ได้เริ่มทยอยเปิดตัวฟีเจอร์นี้ทั่วโลก โดยคาดว่าจะทยอยเปิดตัวให้ผู้ใช้ทุกคนได้ใช้งานในอีกไม่กี่สัปดาห์ และเดือนข้างหน้า

WhatsApp ได้เปิดตัวการสำรองข้อมูล end-to-end encrypted (E2EE) บน iOS และ Android เมื่อ 4 ปีก่อนในเดือนตุลาคม 2021 ซึ่งช่วยให้ผู้ใช้ iOS สามารถจัดเก็บข้อมูลสำรองไว้บน iCloud และผู้ใช้ Android สามารถจัดเก็บไว้บน Google Drive ได้

เมื่อเปิดใช้งานแล้ว การสำรองข้อมูลแชท E2EE จะช่วยให้ผู้ใช้ WhatsApp สามารถกู้คืนข้อความบนอุปกรณ์ใดก็ได้ หากมีรหัสผ่าน หรือ Passkeys ที่ใช้ในการ encrypt ข้อมูล

เมื่อหนึ่งปีที่แล้ว WhatsApp ยังได้เริ่ม encrypt ฐานข้อมูลผู้ติดต่อเพื่อการซิงโครไนซ์ที่รักษาความเป็นส่วนตัว เมื่อสัปดาห์ที่แล้ว ก็ได้เพิ่มเครื่องมือใหม่เพื่อช่วยผู้ใช้ป้องกันตนเองจากการหลอกลวงที่อาจเกิดขึ้น

ที่มา : bleepingcomputer