กลุ่มผู้โจมตีด้วย ransomware ได้พุ่งเป้าไปที่บริษัทการเงินยักษ์ใหญ่ระดับ Fortune 100 โดยใช้มัลแวร์สายพันธุ์ใหม่ที่ชื่อว่า "PDFSider" ในการส่ง payload ที่เป็นอันตรายเข้าสู่ระบบปฏิบัติการ Windows

การโจมตีครั้งนี้ คนร้ายใช้วิธีการแบบ Social Engineering เพื่อให้ได้สิทธิ์การเข้าถึงระบบจากระยะไกล โดยการแอบอ้างว่าเป็นเจ้าหน้าที่ฝ่ายสนับสนุนทางเทคนิค และหลอกให้พนักงานบริษัทติดตั้งเครื่องมือ Microsoft Quick Assist

นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Resecurity ได้ตรวจพบ PDFSider ในระหว่างการเข้าจัดการเหตุภัยคุกคาม และระบุว่ามัลแวร์ตัวนี้เป็น Backdoor ที่ซ่อนตัวได้อย่างแนบเนียนเพื่อการแฝงตัวในระบบแบบระยะยาว อีกทั้งยังมีลักษณะเฉพาะที่มักพบในเทคนิคการโจมตีขั้นสูงแบบ APT

เป็นไฟล์ .EXE ก็จริง แต่ภายในแฝงไปด้วยไฟล์ .DLL ที่อันตราย

โฆษกของ Resecurity เปิดเผยกับ BleepingComputer โดยระบุว่า พบเห็นการใช้ PDFSider ในปฏิบัติการโจมตีของกลุ่ม Qilin ransomware อย่างไรก็ตาม ทีม Threat Hunting ของบริษัทระบุว่า backdoor ตัวนี้ถูกนำไปใช้งานจริงอย่างแพร่หลายโดยกลุ่ม ransomware หลายกลุ่มเพื่อใช้เป็นช่องทางในการปล่อยมัลแวร์เข้าสู่ระบบ

PDFSider backdoor จะถูกส่งผ่านอีเมล spearphishing ที่แนบไฟล์ ZIP ซึ่งภายในมีไฟล์โปรแกรมที่ถูกต้องที่มี digitally signed ของเครื่องมือ PDF24 Creator จากบริษัท Miron Geek Software GmbH อย่างไรก็ตาม ในแพ็กเกจดังกล่าวกลับมีไฟล์ DLL เวอร์ชันอันตราย (cryptbase.

พบการใช้โดเมนที่สะกดผิด ซึ่งปลอมแปลงเป็นเครื่องมือ Microsoft Activation Scripts (MAS) ถูกนำมาใช้เพื่อแพร่กระจายสคริปต์ PowerShell ที่เป็นอันตราย และอาจทำให้เหยื่อติดมัลแวร์ที่ชื่อว่า Cosmali Loader

(more…)

เบราว์เซอร์ที่ใช้ Chromium-based เช่น Chrome, Edge, และ Brave จัดการ extensions ที่ติดตั้งผ่านไฟล์ JSON preference ซึ่งจัดเก็บไว้ที่ %AppData%\Google\User Data\Default\Preferences (สำหรับเครื่องที่อยู่ในโดเมน) หรือ Secure Preferences (สำหรับระบบทั่วไป)

(more…)

เมื่อวันจันทร์ที่ผ่านมา Google ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 3 รายการในเบราว์เซอร์ Chrome ซึ่งรวมถึงหนึ่งช่องโหว่ที่บริษัทพบว่าถูกนำไปใช้ในการโจมตีแล้ว (more…)