คลังเก็บป้ายกำกับ: MALWARE

Google ลบ 25 แอปอันตรายออกจาก Play Store หลังพบสามารถขโมย Password บัญชี Facebook ได้

ถึงแม้ว่า Google จะเข้มงวดกับเหล่าแอปที่อยู่ใน Play Store และพยายามจะคัดเลือกเฉพาะแอปที่ปลอดภัยมาเพื่อให้ผู้ใช้งานได้ใช้กันอย่างสบายใจ แต่ก็ยังไม่วาย มีเหล่าแฮกเกอร์ที่พยายามหาช่องโหว่เข้ามาโจมตีกันได้อยู่เรื่อยๆ โดยล่าสุดได้มีการค้นพบ 25 แอปอันตรายใน Play Store ที่มีความสามารถประเภท Phishing หลอกเอา Password ของบัญชี Facebook จากผู้ใช้งานได้แบบเนียนๆ 

แอปอันตรายทั้ง 25 แอปดังกล่าว ถึงแม้ว่าตอนนี้ทาง Google จะลบออกไปจาก Play Store หมดแล้ว แต่ผู้ที่เคยดาวน์โหลดไปติดตั้งมาก่อนนี้ ก็ยังคงมีความเสี่ยงที่จะโดนขโมยบัญชีโซเชียลเน็ตเวิร์คได้อยู่ โดยมีรายงานว่าแอปทั้ง 25 แอป มียอดดาวน์โหลดจากทั่วโลกไปแล้วกว่า 2.34 ล้านครั้ง

การทำงานของแอปอันตรายเหล่านี้ จะมีการฝังโค้ดเอาไว้ในตัวแอป ซึ่งหากติดตั้งลงเครื่องในตอนแรกจะยังไม่มีอะไรเกิดขึ้น แต่ตัวแอปจะทำงานทันทีหากมีการเปิดแอป Facebook ขึ้นมา โดยมันจะสร้างหน้าต่างสำหรับ Log in เด้งขึ้นมาซ้อนบนหน้าจอแอป Facebook อีกที และหากผู้ใช้งานไม่เอะใจว่าทำไมต้องมา Log in อีกครั้ง แล้วใส่ทั้ง E-Mail และ Password ของตัวเองเข้าไป ก็เสร็จโจรทันที เพราะข้อมูลพวกนั้นจะถูกส่งไปให้แฮกเกอร์ที่สร้างแอปนั่นเอง นอกจากนี้ยังมีรายงานว่าหน้า Log in ปลอมนั้น เนียนจนแยกไม่ออกเลยทีเดียว

หน้าจอ Log in ปลอมที่เนียนจนแยกไม่ออก

ส่วนรายชื่อแอปอันตรายทั้ง 25 แอป ก็มีตามนี้เลยครับ

  1. Super Wallpapers
  2. Flashlight
  3. Padenatef
  4. Wallpaper Level
  5. Contour Level wallpaper
  6. iPlayer & iWallpaper
  7. Video Maker
  8. Color Wallpapers
  9. Pedometer
  10. Powerful Flashlight
  11. Super Bright Flashlight
  12. Super Flashlight
  13. Solitare Game
  14. Accurate scanning of QR code
  15. Classic card game
  16. Junk file cleaning
  17. Synthetic Z
  18. File Manager
  19. Composite Z
  20. Screenshot Capture
  21. Daily Horoscope Wallpapers
  22. Wuxia Reader
  23. Plus Weather
  24. Anime Live Wallpaper
  25. Health Step Counter

ถ้าใครที่เห็นว่าเคยดาวน์โหลดแอปในรายชื่อดังกล่าวมาติดตั้ง ก็ให้รีบลบทิ้งทันที หรือถ้าใครจำไม่ได้ว่าเคยดาวน์โหลดมาแล้วรึเปล่า ก็ไปเปลี่ยน Password บัญชี Facebook เพื่อความชัวร์ก็ดีเหมือนกันครับ

 

ที่มา : ZDNet

from:https://droidsans.com/google-ban-25-dangerous-apps-from-play-store/

ระวัง! มัลแวร์ EvilQuest คอยเรียกค่าไถ่ macOS จากโปรแกรมเถื่อน

Mac ไม่มีไวรัสไม่ใช่เรื่องจริงเสมอไป ความจริงก็คือมีเพี […] More

from:https://www.iphonemod.net/evilquest-mac-ransomware.html

พบธนาคารจีนบังคับลงแอปจ่ายภาษี แต่แอปติดตั้งมัลแวร์ด้วย

Trustwave รายงานถึงมัลแวร์ GoldenSpy ที่แพร่กระจายผ่านโปรแกรม Intelligent Tax โดยธนาคารจีนบังคับให้ลูกค้าองค์กรต้องติดตั้งแอปนี้ โดย Trustwave ไม่ได้ระบุว่ามัลแวร์นี้พยายามทำอะไรมุ่งร้ายระบบบ้าง

อย่างไรก็ดี GoldenSpy มีพฤติกรรมไม่น่าไว้วางใจ โดย Intelligent Tax จะติดตั้ง GoldenSpy หลังตัว installer ทำงานเรียบร้อยแล้วสองชั่วโมง เมื่อหลบเลี่ยงการตรวจจับการติดตั้ง, จากนั้น GoldenSpy จะติดตั้งตัวเองไว้สองตัวหากตัวใดตัวหนึ่งถูกลบอีกตัวก็จะดาวน์โหลดมารันใหม่ และตัว GoldenSpy จะรันในสิทธิ์ระดับ SYSTEM สามารถดาวน์โหลดซอฟต์แวร์อะไรมาติดตั้งก็ได้

ทาง Trustwave พบ GoldenSpy มาตั้งแต่เดือนเมษายนที่ผ่านมา แต่พบว่ามีมัลแวร์ตัวใกล้เคียงกันมาตั้งแต่ปี 2016 โดยพบว่า Aisino ผู้ผลิตซอฟต์แวร์ Intelligent Tax ลงนามสัญญาร่วมมือด้าน big data กับ Chenkuo Technology ตั้งแต่ปี 2016 เช่นกัน โดยใบรับรองมัลแวร์ GoldenSpy ระบุชื่อบริษัท Chenkuo Network Technology

ที่มา – Trustwave

No Description

Topics: 

from:https://www.blognone.com/node/117199

ทูลฟรีสำหรับช่วยตรวจสอบว่า “ข้อมูลตัวเองรั่วไหล” ไปยังเว็บตลาดมืดหรือไม่?

ช่วงสัปดาห์ที่แล้ว มีบริษัทด้านความปลอดภัยแอพพลิเคชันชื่อ ImmuniWeb ได้ออกมาเผยแพร่ทูลฟรีตัวใหม่สำหรับใช้ตรวจสอบและวัดการปรากฏตัวชององค์กรในเว็บตลาดมืด ที่ช่วยให้เจ้าหน้าที่ด้านความปลอดภัยทางไซเบอร์ทำงานได้ง่ายขึ้น

ทูลฟรีตัวนี้จะไล่ตรวจสอบตลาดซื้อขายในเว็บมืด เว็บบอร์ดเกี่ยวกับการแฮ็ก รวมไปถึงแหล่งข้อมูลในเว็บปกติอย่าง Pastebin และ GitHub เป็นต้น เพื่อแสดงให้เห็นแนวโน้มที่ข้อมูลของคุณหลุดออกสู่ภายนอกหรือถูกนำไปขาย

ซึ่งสิ่งที่คุณต้องทำนั้นมีเพียงแค่การป้อนชื่อโดเมนของคุณเท่านั้น มีข้อสังเกตว่าปริมาณข้อมูลรหัสผ่านที่ถูกจารกรรมออกมาแพร่หลายในเว็บมืดนั้นเพิ่มจำนวนขึ้นเร็วมาก อย่างสัปดาห์นี้มีผู้ใช้ LiveJournal มากกว่า 26 ล้านราย

ที่โดนขโมยข้อมูลที่รวมถึงรหัสผ่านแบบไม่ได้เข้ารหัสด้วย แล้วนำไปจำหน่ายในเว็บตลาดมืดด้วยราคาเพียง 35 ดอลลาร์สหรัฐฯ ต่อรายการ รวมไปถึงการเจาะฐานข้อมูล SQL ของร้านค้าออนไลน์จำนวน 31 รายการ (ที่รวมข้อมูลลูกค้าภายในกว่า 1.6 ล้านรายการ) ด้วย

ในช่วงปี 2019 ที่ผ่านมานั้นมีรายงานกรณีข้อมูลรั่วไหลจำนวน 7,098 ครั้ง กระทบกับข้อมูลจำนวนมากกว่า 15.1 พันล้านรายการ จนทำลายสถิติปีที่เลวร้ายที่สุดที่อ้างอิงตามรายงานของทาง Risk Based Security

โดยกว่า 80% ของเหตุข้อมูลรั่วไหลนั้น เป็นการแฮ็กข้อมูลที่นำไปสู่การจารกรรมรหัสผ่าน อ้างอิงตามข้อมูลรายงาน Data Breach Investigations Report 2020 ของ Verizon โดยพบว่ารหัสผ่านที่ถูกจารกรรมจำนวนมากกว่า 21 ล้านรายการนั้นมาจากบริษัทในกลุ่ม Fortune 500

ซ้ำร้ายกว่านั้น รหัสผ่านกลุ่มดังกล่าวยังสามารถซื้อได้ในเว็บตลาดมืดด้วย อ้างอิงจากรายงาน ImmuniWeb ของปี 2019 ดังนั้นทาง ImmuniWeb จึงนำเทคโนโลยี AI แบบ Deep Learning มาใช้ค้นหาและกำจัดข้อมูลปลอม จนกลั่นออกมาเป็นข้อมูลคะแนนความเสี่ยงของลูกค้าที่นำไปดำเนินการต่อได้

ที่มา : THN

from:https://www.enterpriseitpro.net/dark-web-monitoring-tool/

มัลแวร์ ComRAT ตัวใหม่ใช้ Gmail ในการรับคำสั่งเพื่อดูดข้อมูลเหยื่อ

เมื่อวันอังคารที่ผ่านมา มีนักวิจัยด้านความปลอดภัยทางไซเบอร์ค้นพบมัลแวร์ประตูหลังอย่าง ComRat รุ่นใหม่ที่มีความสามารถสูงขึ้น แบ๊กดอร์ตัวนี้เป็นหนึ่งในมัลแวร์ที่กลุ่มวายร้ายชื่อ Turla APT นำมาใช้ และครั้งนี้ได้ใช้ประโยชน์จากอินเทอร์เฟซหน้าเว็บ ในการแอบรับคำสั่งและสืบข้อมูลความลับด้วย

ทั้งนี้บริษัทด้านความปลอดภัยทางไซเบอร์ ESET ได้ระบุไว้ในรายงานที่ออกมาแชร์ให้สำนักข่าว The Hacker News ไว้ว่า พบเป้าหมายการโจมตีแบบเจาะจงอยู่อย่างน้อย 3 รายได้แก่ กระทรวงการต่างประเทศสองแห่งในภูมิภาคยุโรปตะวันออก และอีกแห่งเป็นสภาผู้แทนราษฎรในเขตคอเคซัส

สำหรับกลุ่ม Turla หรือที่รู้จักกันในชื่อ Snake นั้นมีความเคลื่อนไหวอย่างต่อเนื่องเป็นเวลาเกือบสิบปี โดยมีประวัติยาวนานในการโจมตีแบบหลอกลวงที่เจาะจงเป้าหมาย และฝังประตูหลังในระบบของสถานกงสุล และหน่วยงานทางทหารมาตั้งแต่ปี 2004 ก่อนหน้านี้ใช้แพลตฟอร์มสืบข้อมูลชื่อ Agent.BTZ ก่อนจะพัฒนามาเป็น ComRAT ในปัจจุบัน

ที่มา : THN

from:https://www.enterpriseitpro.net/new-comrat-malware-uses-gmail/

ไม่โครซอฟท์เตือนการระบาดของอีเมล์ที่ชื่อ “Coronavirus Report”

เมื่อไม่นานมานี้มีผู้โจมตีใช้ไฟล์เอกสาร Excel 4.0 ที่เป็นอันตรายในการแพร่กระจาย Remote Access Tool (RAT) ที่ออกแบบมาสำหรับโจมตีโดยเฉพาะผ่านตัว NetSupport Manager ในขบวนการหลอกลวงฟิชชิ่งแบบเจาะจงเป้าหมาย

โดย NetSupport Manager ถือเป็นทูลตามปกติที่ใช้สำหรับแก้ปัญหาและให้ความช่วยเหลือทางเทคนิคจากระยะไกล แต่ครั้งนี้อาชญากรไซเบอร์ได้ใช้เรื่องของการแพร่ระบาดของไวรัสโคโรน่ามาเป็นเหยื่อล่อ พร้อมทั้งแฝงตัวอยู่ในเอกสารเอ็กเซล เพื่อที่จะหลอกให้เหยื่อกดเปิด RAT ให้ทำงาน

ซึ่งทีมนักวิจัยด้านความปลอดภัยของไมโครซอฟท์ได้ออกมาแจ้งเตือนถึงขบวนการนี้ว่าตรวจพบตั้งแต่วันที่ 12 พฤษภาคมที่ผ่านมา มีการใช้ไฟล์แนบที่ออกแบบมาให้แตกต่างกันหลายร้อยแบบด้วย

โดยพบแนวโน้มการเพิ่มขึ้นของการโจมตีดังกล่าวอย่างต่อเนื่อง ไฟล์เอ็กเซลที่นำมาใช้ก็มีการผูกสูตรให้ซับซ้อนจนจับแทบไม่ได้ แต่ทุกรูปแบบต่างก็มีมาโครที่เขียนโยงไปยังลิ้งค์ URL เดียวกันเพื่อดาวน์โหลดข้อมูลอันตราย

ที่มา : threatpost

from:https://www.enterpriseitpro.net/microsoft-warns-coronavirus-report-emails/

GitHub เตือนนักพัฒนา Java พบมัลแวร์พยายามกระจายตัวผ่าน NetBeans IDE

GitHub เตือนนักพัฒนา Java ให้ระมัดระวังการใช้งาน NetBeans IDE เนื่องจากพบมัลแวร์พยายามกระจายตัวผ่าน IDE โดยพบแล้วใน 26 Repositories บน GitHub

 
GitHub ได้ตั้งชื่อมัลแวร์ตัวนี้ว่า Octopus Scanner ซึ่งมัลแวร์เองมีลักษณะการทำงานเช่นเดียวกับไวรัส สามารถทำงานได้ทั้งบน Windows, Linux และ macOS เมื่อผู้ใช้งานดาวน์โหลด Project และพยายาม Compile ตัวมัลแวร์จะมีการทำงานพยายามกระจายตัวไปยังเครื่องอื่นๆในระบบเครือข่าย นอกจากนี้ยังพยายามฝังตัวลงใน Java Project ของเหยื่อที่มีการติดตั้ง NetBeans IDE อีกด้วย ซึ่งท้ายที่สุดแล้วมัลแวร์จะทำการดาวน์โหลด Remote Access Trojan (RAT) เพื่อใช้ในการสร้าง Backdoor และดึงข้อมูลออกไป ซึ่งข้อมูลที่ได้ออกไปนั้นอาจเป็นซอร์สโค้ดหรือข้อมูลความลับต่างๆของเหยื่อ
 
GitHub ได้ให้ความเห็นไว้ว่ามัลแวร์ตัวนี้อาจถูกสร้างขึ้นมาเพื่อโจมตีแบบ Targeted Attack เนื่องจาก NetBeans นั้นไม่ได้รับความนิยมในปัจจุบัน และมีการใช้งานจากผู้ใช้งานบางกลุ่มเท่านั้น อย่างไรก็ตามมัลแวร์ตัวนี้ถูกพบมานานกว่า 1 ปีแล้ว จึงอาจมีการฝังตัวใน Java Project อื่นๆอีกมาก นักพัฒนาจึงควรระมัดระวัง
 

from:https://www.techtalkthai.com/githubs-finds-malware-spread-through-netbeans-ide/

รายงานเผย ! กลุ่ม APT เบนเข็มจ้องโจมตีภูมิภาคเอเชียหนักขึ้น

จากรายงานภัยคุกคามล่าสุดของแคสเปอร์สกี้ พบว่าในไตรมาสแรกของปี 2020 ภัยคุกคามไซเบอร์ขั้นสูง หรือ APT มีการติดเชื้อและแพร่กระจายมัลแวร์ผ่านแพลตฟอร์มโมบายเพิ่มสูงขึ้นมาก รวมถึงมีกิจกรรมการโจมตีทางไซเบอร์ในทวีปเอเชียเพิ่มมากขึ้น โดยมีผู้ก่อภัยคุกคามหน้าใหม่ๆ ส่วนผู้ก่อภัยคุกคามหน้าเดิมก็เพิ่มปฏิบัติการที่ซับซ้อนและระมัดระวังมากขึ้น

รายงานนี้ยังระบุเจาะจงว่ากิจกรรมร้ายไซเบอร์เพิ่มจำนวนสูงขึ้นมากในภูมิภาคเอเชียตะวันออกเฉียงใต้ เกาหลี และญี่ปุ่น พบกลุ่มผู้ก่อภัยคุกคามรายใหม่ๆ ที่มีความคิดสร้างสรรค์ทางร้าย บางกลุ่มก็มีงบประมาณจำกัด แต่ก็สามารถปฏิบัติการตีคู่กันไปกับกลุ่ม APT ชื่อดังๆ อย่าง CactusPete และ Lazarus ได้

นอกจากนี้ พบการใช้แพลตฟอร์มโมบายเป็นช่องทางการโจมตีและแพร่กระจายมัลแวร์เพิ่มสูงขึ้น เร็วๆ นี้ แคสเปอร์สกี้ได้เปิดเผยรายงานจำนวนแคมเปญที่มุ่งเน้นการโจมตีโมบาย ซึ่งรวมถึงแคมเปญไลท์สปาย (LightSpy) ที่โจมตีผู้ใช้โมบายระบบ Android และ iOS ที่ฮ่องกง และแคมเปญแฟนท่อมแลนซ์ (PhantomLance) ที่โจมตีเป้าหมายในภูมิภาคเอเชียตะวันออกเฉียงใต้ ซึ่งแคมเปญทั้งสองรายการนี้ประสบความสำเร็จในการใช้แพลตฟอร์มออนไลน์หลากหลายรูปแบบในการแพร่กระจายมัลแวร์ ทั้งฟอรั่มในอินเทอร์เน็ต โซเชียลมีเดีย และกูเกิ้ลแอปสโตร์

ไม่เพียงแต่กลุ่ม APT ที่มีเป้าหมายเป็นเอเชียเท่านั้นที่พัฒนามัลแวร์โมบาย ตัวอย่างเช่น กลุ่ม TransparentTribe ที่ทำแคมเปญโมดูลใหม่ที่ชื่อ “USBWorm” สำหรับแพร่กระจายมัลแวร์ผ่านโมบาย ก็มีเป้าหมายโจมตีอาฟกานิสถานและอินเดีย มัลแวร์นี้เป็นเวอร์ชั่นแก้ไขจาก “AhMyth” ที่ใช้ใน RAT ของแอนดรอยด์ ซึ่งเป็นโอเพ่นซอร์สใน GitHub

อีกทัั้งโรคระบาด Covid-19 ก็ถูกใช้เป็นเครื่องมือโดยกลุ่ม APT ต่างๆ เช่น กลุ่ม Kimsuky, Hades และ DarkHotel ตั้งแต่ช่วงกลางเดือนมีนาคมเพื่อหลอกล่อเหยื่อ อีกด้วย

ที่มา : ข่าวพีอาร์

from:https://www.enterpriseitpro.net/kaspersky-apt-moblie-asia/

ระวัง! สปายแวร์บนแอนดรอยด์ที่ชื่อ Mandrake แอบซ่อนตัวนานกว่า 4 ปี

นักวิจัยด้านความปลอดภัยจาก Bitdefender ค้นพบสปายแวร์ตัวใหม่ที่มีความซับซ้อนสูง จ้องเล่นงานผู้ใช้แอนดรอยด์เพื่อหาประโยชน์ด้านการเงิน โดยมีการกระจายตัวเองผ่าน Google Apps Marketplace อีกด้วย

นักวิจัยตั้งชื่อว่า “Mandrake” คาดว่ามีผู้ใช้ตกเป็นเหยื่อหลายแสนรายแล้วในช่วง 4 ปีที่ผ่านมา มัลแวร์ตัวนี้จะเข้าควบคุมโทรศัพท์แอนดรอยด์ที่ติดเชื้ออย่างสมบูรณ์ สามารถปรับระดับเสียงของโทรศัพท์ลง บล็อกโทรศัพท์หรือแมสเสจ ไปจนถึงการขโมยรหัสผ่าน ดูดข้อมูล สั่งโอนเงิน หรือแม้แต่เอาข้อมูลเราไปข่มขู่แบล็กเมล์ได้

ขบวนการ Mandrake นี้มีการแฝงตัวในแอพพลิเคชั่นอันตราย 7 รายการได้แก่ “Abfix, CoinCast, SnapTune Vid, Currency XE Converter, Office Scanner, Horoskope, and Car News“

ทั้งหมดนี้มีอยู่บน Google Play ทั้งสิ้นเพื่อสร้างความน่าเชื่อถือ ในการปลอมตัวให้ดูเหมือนแอพที่ปลอดภัยนั้น แต่ละแอพจะมีเว็บไซต์ย่อย หน้าเพจเฟซบุ๊ก และบัญชีผู้ใช้โซเชียลมีเดียอื่นอย่างทวิตเตอร์, Telgram, Reddit หรือแม้แต่ยูทูปให้ดูน่าเชื่อถือด้วย

ที่มา : GBHackers

from:https://www.enterpriseitpro.net/beware-of-an-android-spyware-mandrake-that-went-undetected-for-last-4-years/

แฮ็กเกอร์ทะลวง Symantec Web Gateway ได้โดยใช้บอทเน็ต Mirai และ Hoaxcalls

พบขบวนการบอทเน็ต Mirai และ Hoaxcalls ครั้งใหม่ที่โจมตีช่องโหว่บนระบบ Symantec Secure Web Gateway ที่เปิดให้รันโค้ดได้จากระยะไกล

โดย Mirai ถือเป็นหนึ่งในมัลแวร์บน IoT ที่มีชื่อเสียงมากที่คอยโจมตีอุปกรณ์ IoT โดยเฉพาะเช่น กล้องไอพีและอุปกรณ์ DVR ด้วยการเข้าควบคุมอุปกรณ์เหล่านี้ผ่านพอร์ตที่เปิดอยู่ ด้วยรหัสผ่านแบบดีฟอลต์ รวมทั้งใช้ประโยชน์จากช่องโหว่ที่เกิดขึ้น

ซึ่งอุปกรณ์ที่เป็นเหยื่อจะถูกเพิ่มเข้าไปในเครือข่ายของบอทเน็ตอีกที ที่ผ่านมา Mirai ถูกนำมาใช้แพร่เชื้อในวงกว้างเพื่อนำมาใช้โจมตีแบบ DDoS ที่มีความรุนแรงสูงบนแพลตฟอร์มที่หลากหลาย แต่ในขบวนการล่าสุดนี้

จะเป็นการใช้วิธียิงสุ่มเดารหัสผ่านแทน ขณะที่ Hoaxcalls เป็นบอทเน็ตที่กลายพันธุ์มาจาก Tsunami และ Gafgyt ซึ่งค้นพบครั้งแรกเมื่อเมษายนที่ผ่านมา มีความสามารถในการหุ้มพร็อกซี่ทราฟิก พร้อมทั้งเปิดฉากโจมตีแบบ DDoS ขนาดใหญ่ได้ด้วย

ที่มา : GBHackers

from:https://www.enterpriseitpro.net/hackers-bypass-symantec-web-gateways/