คลังเก็บป้ายกำกับ: มัลแวร์

พบมัลแวร์ใหม่ที่เลียนแบบตัวสแกนบนวินโดวส์ เพื่อติดเชื้อแรนซั่มแวร์บนพีซี

ปัจจุบันมีผู้ใช้วินโดวส์ 10 ทั่วโลกจำนวนมากกว่า 800 ล้านราย ขณะที่ยังมีผู้ใช้ที่ยังใช้วินโดวส์ 7 อยู่จำนวนมากกว่านี้เยอะ สถิตินี้ทำให้ไม่แปลกใจเลยที่ผู้ใช้งานวินโดวส์ยังคงเป็นเหยื่ออันโอชะลำดับต้นๆ ของเหล่าอาชญากรไซเบอร์

และในวันที่ 3 ตุลาคมที่ผ่านมานั้น มีการค้นพบโทรจันที่ทำตัวเหมือนเป็นระบบสแกนด้านความปลอดภัยของไมโครซอฟท์ แต่จริงๆ แล้วกลับเป็นโปรแกรมอันตราย ซึ่งนักวิจัยด้านความปลอดภัยทางไซเบอร์ชื่อ Xavier Merten ได้โพสต์รูปที่แคบหน้าจออีเมล์ที่หลอกให้ดาวน์โหลดมัลแวร์ที่ตัวเองเจอมา

โชคดีที่อีเมล์ต้นทางดูได้ง่ายว่าเป็นเมล์หลอกลวง แต่ถ้าเผลอกดดาวน์โหลดแล้ว จะพบกับไฟล์ WSS.zip ที่มีไฟล์ Executable อยู่ภายในซึ่งเป็นตัวสแกนปลอม เมื่อกดรันแล้วก็จะทำงานในฐานะแรนซั่มแวร์ด้วยการแสดงหน้าต่างแจ้งเรียกค่าไถ่

เมื่อตรวจสอบค่า SHA256 ของไฟล์ซิปดังกล่าวด้วยทูลออนไลน์อย่าง VirusTotal ก็พบประเภทและชื่อของไวรัสจำนวนมากที่ตรวจพบได้ด้วยซอฟต์แวร์แอนติไวรัสหลายตัว อย่างไรก็ดี ถ้าเผลอกดรันไปแล้ว ผู้ใช้จะพบทุกไฟล์ถูกเข้ารหัสอยู่ภายใต้โฟลเดอร์ Users ในไดรฟ์ C โดยใช้สกุลไฟล์ ”.Lost_Files_Encrypt”

ที่มา : Hackread

from:https://www.enterpriseitpro.net/new-malware-mimics-windows-scanner-to-infect-pcs-with-ransomware/

โฆษณา

ไมโครซอฟท์และ Cisco Talos พบมัลแวร์สายพันธุ์ใหม่ Nodersok

นักวิจัยด้านความปลอดภัยทางไซเบอร์จากทั้งไมโครซอฟท์และ Cisco Talos ต่างพบมัลแวร์สายพันธุ์ใหม่ที่ถูกเรียกชื่อว่า Nodersok (หรือ Divergent) ซึ่งมัลแวร์นี้ถูกรายงานการนำไปใช้โจมตีเครือข่ายองค์กรต่างๆ และสามารถไปใช้โจมตีแบบหลอกให้คลิก (Click-Fraud) ได้

ทาง Cisco Talos ระบุว่า มัลแวร์ตระกูล Nodersok นี้ถูกพัฒนาขึ้นด้วยเป้าหมายในการ “สร้างรายได้ให้แก่ผู้โจมตี” ผ่านการหลอกให้คลิก ซึ่งรูปแบบการทำงานของมัลแวร์นี้คล้ายกับมัลแวร์แบบ Click-Fraud ตัวอื่นอย่าง Kovter

มัลแวร์จะเข้าสู่ระบบในรูปของไฟล์ Executable แบบ Portable โดยติดตั้งตัวเองบนระบบในรูปแอพพลิเคชั่น HTML หรือที่เรียกว่า HTA ซึ่งจะโหลดข้อมูลมัลแวร์มาจากรีจิสทรี จากนั้นจาวาสคริปต์จึงโหลดไฟล์สคริปต์ใน HTA

ซึ่งจะเป็นการรันคำสั่ง PowerShell ที่ไปดาวน์โหลดและรันการทำงานของทูลต่างๆ มากมาย เช่น ตัวที่สามารถปิดการทำงานของ Windows Defender ได้ จากนั้นมัลแวร์จะสามารถเข้าถึง ดูดข้อมูลแพ็กเก็ต และสร้างพร็อกซี่ของตัวเองได้ต่อไป

ที่มา : CB

from:https://www.enterpriseitpro.net/microsoft-and-cisco-talos-have-found-a-new-malware-nodersok/

PC วินโดวส์นับพันเครื่องติดเชื้อมัลแวร์แบบไฟร์เลส Nodersok/Divergent

ข้อมูลเปย์โหลดที่ทางนักวิจัยของ Cisco Talos ตั้งชื่อว่า “Divergent” และที่ทางไมโครซอฟท์ตั้งชื่อว่า “Nodersok” นั้น ได้เข้าไปใช้ประโยชน์จาก Node.exe ซึ่งเป็นตัวทำงานของ NodeJS จากไมโครซอฟท์ ร่วมกับโปรแกรมจับแพ็กเก็ตปกติที่มีอยู่อย่าง WinDivert เพื่อแผลงฤทธิ์เป็นมัลแวร์

อ้างอิงจากข้อมูลของไมโครซอฟท์นั้น คอมพิวเตอร์หลายพันเครื่องต่างโดนติดเชื้อ โดยเฉพาะในสหรัฐฯ และยุโรป อย่างไรก็ตาม มีแค่ 3% ของเป้าหมายที่เป็นองค์กรขนาดใหญ่ นอกจากนี้ต่างเป็นผู้ใช้งานทั่วไปที่ต่างไม่รู้ตัวว่าติดเชื้อมาก่อน

ด้วยพฤติกรรมการหลบเลี่ยงการตรวจจับของมัลแวร์กลุ่มนี้ถือว่าอยู่ในกลุ่มมัลแวร์ที่เรียกว่า Fileless ซึ่งทำให้ผู้ใช้ดาวน์โหลดแอพพลิเคชั่น HTML ที่มองดูน่าสงสัยน้อยมาก มากกว่าจะโหลดมาในรูปไฟล์ Executable ที่สะดุดตา

นอกจากนี้ ยังมีการใช้โปรแกรมที่ถูกต้องอย่าง WinDivert เป็นส่วนหนึ่งของเทคนิตการโจมตีเพื่อหลบเลี่ยงการตรวจจับจากซิกเนเจอร์ของแอนติไวรัส ทั้งยังมีการปิดฟังก์ชั่นของ Windows Defender ที่ทำหน้าที่เป็นด่านป้องกันบนคอมพิวเตอร์อีกด้วย

ที่มา : Hackread

from:https://www.enterpriseitpro.net/thousands-of-windows-pcs-infected-by-nodersok/

มัลแวร์ตัวใหม่ “Adwind” มุ่งโจมตีกลุ่มธุรกิจสาธารณูปโภคผ่านไฟล์ PDF

นักวิจัยค้นพบขบวนการโจมตีแบบฟิชชิ่งใหม่ล่าสุดที่สามารถฝ่าด่านระบบป้องกันของ Microsoft APT เพื่อปล่อยมัลแวร์ที่ชื่อ Adwind ผ่านไฟล์ PDF ที่ออกแบบมาเป็นพิเศษสำหรับโจมตีเครือข่ายของกลุ่มธุรกิจที่เกี่ยวกับกิจการสาธารณูปโภคโดยเฉพาะ

มัลแวร์Adwind หรือใช้ชื่อเล่นอื่นมากมายเช่น Unrecom, Sockrat, JSocket, และ jRat เป็น RAT แบบข้ามแพลตฟอร์มที่แพร่กระจายผ่านบริการรับจ้างปล่อยมัลแวร์หรือ Malware-as-a-Service ที่พบได้ในตลาดมืดใต้ดิน ที่ผู้ใช้สามารถซื้อมาใช้โจมตีเหยื่อที่ต้องการได้

ซึ่งในช่วงปี 2013 – 2018 นั้น มัลแวร์ Adwind ได้ติดเชื้อผู้ใช้จำนวนมากกว่าครึ่งล้านทั่วโลก มีเหยื่ออยู่ในหลากหลายวงการไม่ว่าจะเป็นตามโรงงานอุตสาหกรรม, สถาบันการเงิน, ภาควิศวกรรม, ภาครัฐ, โทรคมนาคม, ธุรกิจซอฟต์แวร์ต่างๆ

มีการโจมตีบางครั้งที่ Adwind ใช้โค้ด DDE ฝังเข้าไปติดเชื้อข้ามแพลตฟอร์ม แล้วใช้ความสามารถด้านสปายแวร์ในการขโมยข้อมูลจากเหยื่อเพื่อรายงานกลับไปยังผู้สร้างมัลแวร์ผ่านเซิร์ฟเวอร์สั่งการ อย่าง Adwind เวอร์ชั่นก่อนที่แพร่ผ่านแพลตฟอร์ม A360 Cloud Driveมาแล้ว

ที่มา : GBhackers

from:https://www.enterpriseitpro.net/malware-as-a-service-adwind/

บริการสุดร้ายกาจใหม่ล่าสุด ! ให้เช่ามัลแวร์แอนดรอยด์ชื่อ “Cerberus”

นักวิจัยค้นพบมัลแวร์บนแอนดรอยด์ชื่อ “Cerberus” ที่เปิดให้เช่าผ่านบริการแบบ Malware-as-a-Service บนเว็บบอร์ดใต้ดินมาแล้วเป็นเวลา 2 ปี ซึ่งมีการใช้มัลแวร์ดังกล่าวในปฏิบัติการโจมตีส่วนตัวหลากหลายกรณีด้วยกัน

สิ่งที่แตกต่างจากโทรจันที่โจมตีระบบธนาคารอย่าง Anubis ที่ใช้โค้ดจากโทรจันธนาคารตัวอื่นก็คือ Cerberus ได้ถูกพัฒนาต่อเนื่องมาหลายปีตั้งแต่เริ่มต้น โดยไม่ได้ใช้ส่วนใดส่วนหนึ่งหรือโค้ดจากโทรจันตัวอื่นเลย

ผู้พัฒนามัลแวร์ หรือกลุ่มอาชญากรที่พัฒนามัลแวร์สำหรับแอนดรอยด์ Cerberus ตัวนี้ได้ออกแถลงการณ์สาธารณะบนบัญชีทวิตเตอร์ทางการเกี่ยวกับฟีเจอร์ของมัลแวร์ พร้อมแชร์รูปที่แคปหน้าจอการตรวจสอบผ่านระบบ Virustotal มาแสดงด้วย

รวมไปถึงมีการโฆษณาผ่านวิดีโอเป็นกิจจะลักษณะ แม้กระทั่งมีการสนทนาร่วมกับนักวิจัยด้านความปลอดภัยแบบนิรนาม ซึ่งเหล่านักวิจัยเชื่อว่าพฤติกรรมที่ผิดปกตินี้มีเจตนาเพื่อเรียกความสนใจ อันนำไปสู่การเติบโตของธุรกิจมัลแวร์ให้เช่าของตัวเองต่อไป

ที่มา : GBhackers

from:https://www.enterpriseitpro.net/cerberus-malware-android/

อุปกรณ์แอนดรอยด์กว่า 25 ล้านเครื่อง โดนเล่นงานจากมัลแวร์ “Agent Smith”

เหล่านักวิจัยด้านมัลแวร์ได้ค้นพบขบวนการอันตรายครั้งใหม่ที่พุ่งเป้าไปที่อุปกรณ์แอนดรอยด์ ด้วยการแทนที่แอพที่ถูกต้องด้วยสำเนาแอพที่ถูกฝังมัลแวร์เพื่อบังคับให้แสดงโฆษณา หรือแม้แต่เข้าแทรกแซงการแสดงผลของโฆษณาเดิมที่ถูกต้องตามปกติ

โดยล่าสุดพบอุปกรณ์จำนวนกว่า 25 ล้านเครื่องติดเชื้อมัลแวร์ที่นักวิจัยใช้ชื่อว่า “Agent Smith” ตัวนี้กันแล้ว ซึ่งติดหลังจากผู้ใช้ติดตั้งแอพที่โหลดมาจากสโตร์ของแอนดรอยด์ที่ไม่ได้เป็นทางการ เหยื่อหลายรายถูกล่อลวงด้วยแอพอย่างตัวตกแต่งภาพ, เกม, หรือแม้แต่แอพสำหรับผู้ใหญ่ที่แฝงมาด้วยข้อมูลอันตราย

เมื่อแอพดังกล่าวถูกติดตั้งบนอุปกรณ์แล้ว ก็จะมีการถอดรหัสพร้อมติดตั้งตัว Agent Smith ที่เป็นมัลแวร์ที่คอยหลบซ่อนตัวตนในฐานะยูทิลิตี้จาก Google – Google Updater, Google Update for U, หรือแม้แต่ “com.google.vending”

ขั้นตอนต่อมา มัลแวร์จะตรวจสอบแอพบนอุปกรณ์ที่อยู่ในรายการที่ตรงกับที่ฝังข้อมูลไว้ หรือได้รับจากเซิร์ฟเวอร์ควบคุม เพื่อติดตั้ง APK และโมดูลโฆษณาอันตรายมาแทนที่แพกเกจหลักของแอพบนเครื่องโดยที่ผู้ใช้ไม่ทันรู้ตัว

ที่มา : Bleepingcomputer

from:https://www.enterpriseitpro.net/25-million-android-devices-infected-by-agent-smith-malware/

ตัวถอดรหัสไฟล์ที่ถูกล็อกจากแรนซั่มแวร์ pyLocky ให้ดาวน์โหลดฟรีแล้ว!

ตัวถอดรหัสไฟล์ที่ถูกล็อกจากแรนซั่มแวร์ pyLocky ทั้งเวอร์ชั่น 1 และ 2 ได้ถถูกปล่อยออกมาโดยทางการฝรั่งเศสแล้ว เพื่อเปิดให้เหยื่อนำไปปลดล็อกไฟล์ของตนเองได้ฟรีแบบไม่มีค่าใช้จ่าย โดยทางกระทรวงมหาดไทยของฝรั่งเศสได้ประกาศผ่านโพสต์ของตนเอง

ระบุว่าตัวถอดรหัสนี้ถูกพัฒนาขึ้นจากความร่วมมือระหว่างหน่วยงานทางกฎหมายของฝรั่งเศส, สำนักความปลอดภัยมาตุภูมิทางด้านระบบและเทคโนโลยีสารสนเทศของฝรั่งเศส, และนักวิจัยอาสาสมัคร มีข้อสังเกตว่าแม้ pyLocky จะไม่ได้ระบาดเป็นวงกว้างเท่าไร แต่ทางการฝรั่งเศสกล่าวว่าเป็นแรนซั่มแวร์ที่สร้างความเสียหายค่อนข้างมากในยุโรป

โดยพบเหยื่อจำนวนมากในฝรั่งเศส ทั้งในสภาพแวดล้อมระดับองค์กรไม่ว่าจะเป็น SME, ธุรกิจขนาดใหญ่, สมาคมต่างๆ ไปจนถึงตามครัวเรือน สำหรับตัวถอดรหัสนี้สามารถแก้ล็อกไฟล์ที่เกิดจากแรนซั่มแวร์ pyLocky ทั้งเวอร์ชั่น 1 และเวอร์ชั่น 2

สำหรับสกุลไฟล์ที่ถูกเข้ารหัสที่รองรับจากเวอร์ชั่น 1 ได้แก่ .lockedfile หรือ .lockymapและในเวอร์ชั่น 2 คือ .lockyซึ่งผู้เสียหายสามารถเข้าดาวน์โหลดโปรแกรมถอดรหัสได้จาก “ตัวถอดรหัส pyLocky” ซึ่งในการใช้งานตัวถอดรหัสนี้ จำเป็นต้องติดตั้ง Java Runtime ด้วย

ที่มา : Bleepingcomputer

from:https://www.enterpriseitpro.net/pylocky-decryptor-released-by-french-authorities/