สัปดาห์ที่แล้วมีรายงานการค้นพบช่องโหว่ร้ายแรงบน WinRAR ที่ทำให้แฮกเกอร์แตกไฟล์มุ่งร้ายที่ไหนก็ได้ในเครื่อง ล่าสุดมีรายงานจาก 360 Threat Intelligent Center ว่ามีแฮกเกอร์ใช้ช่องโหว่นี้แพร่มัลแวร์แล้ว โดยใช้รูปนางแบบในชุดว่ายน้ำหรือรูปนู้ดเป็นตัวล่อ

แน่นอนตัวไฟล์เป็นฟอร์แมต ACE แม้จะใช้นามสกุลไฟล์เป็น .rar ขณะที่ไฟล์ข้างในเมื่อกดดูพรีวิวจะพบว่าเป็นไฟล์รูปนางแบบในชุดว่ายน้ำหรือรูปโป๊หลายรูป เนื่องจากการกดพรีวิวทีละรูปจาก WinRAR ทำได้ลำบาก ผู้ใช้จึงมีแนวโน้มจะแตกไฟล์ทั้งหมดออกมา โดยมีไฟล์ OfficeUpdateService.exe ถูกแตกออกมาพร้อมกันและจะไปอยู่ที่ %AppData%\Microsoft\Windows\Start Menu\Programs\Startup ซึ่งจะทำงานหลังผู้ใช้รีสตาร์ทหรือล็อกอินเข้ามาใหม่

นักวิจัย TrendMicro แจ้งเตือนการค้นพบมัลแวร์สกุล .exe ที่ปกติรันบนวินโดวส์ถูกใช้เป็นเครื่องมือในการเผยแพร่มัลแวร์บนแมค โดยอาศัยช่องโหว่ที่ระบบป้องกันของ MacOS ไม่สแกนไฟล์ .exe (เพราะรันไม่ได้อยู่แล้ว) แต่เมื่อนักวิจัยนำไฟล์ .exe ตัวนี้ไปรันบนวินโดวส์กลับรันไม่ได้แทน

นักวิจัยระบุว่าแฮกเกอร์เผยแพร่มัลแวร์ตัวนี้ผ่านทาง torrent ซึ่งเป็นไฟล์สกุล .dmg ที่รันบนแมค ไฟล์ดังกล่าวที่จริงแล้วเป็น executable ที่สร้างจาก mono ทำให้รันได้บนแมค โดยเมื่อเครื่องเหยื่อติดมัลแวร์แล้ว มันจะติดตั้ง adware ชื่อว่า Little Snitch และ Adobe Flash Player ปลอม รวมถึงเพลย์โหลดอีกตัวเพื่อเก็บข้อมูลเครื่องของเหยื่อและส่งกลับไปยังเซิร์ฟเวอร์ C&C (Command & Control) ของแฮกเกอร์

Trend Micro รายงานการค้นพบแอปกล้องบิวตี้บนแอนดรอยด์ 29 แอปที่มียอดดาวน์โหลดตั้งแต่หลักพันไปจนถึงหลักล้าน มีพฤติกรรมมุ่งร้าย อาทิ แสดงป๊อปอัพโฆษณาพิชชิ่งไปหน้าเว็บไซต์ที่ลวงให้กรอกข้อมูล, ไม่แสดงไอคอนแอปเพื่อป้องกันการลบการติดตั้ง ไปจนถึงแอบอัพโหลดรูปภาพที่ผู้ใช้อัพโหลดเพื่อใส่ฟิลเตอร์ ไปยังเซิร์ฟเวอร์นอกแล้วแสดงข้อความให้อัพเดตแอปหลอกๆ แทน เป็นต้น

นอกจากนี้ Trend Micro ยังพบด้วยว่าแอปเหล่านี้หลีกเลี่ยงการตรวจสอบของ Play Store ด้วยอาศัยการแปลงโค้ดเพื่อไม่ให้ระบบป้องกันอ่านไบนารี ขณะที่ URL ของเซิร์ฟเวอร์นอกก็ถูกเข้ารหัสแบบ BASE64 ซ้อนกันถึง 2 ชั้น โดยทาง Google ได้ทราบเรื่องนี้และนำแอปเหล่านี้ออกจากสโตร์แล้ว

Palo Alto Network บริษัทด้านความปลอดภัยเครือข่ายประกาศการค้นพบมัลแวร์ CookieMiner ที่แพร่กระจายบน macOS เพื่อขโมยข้อมูลสำคัญที่เกี่ยวกับการเงินอย่างข้อมูลบัตรเครดิตที่เซฟไว้ในเบราว์เซอร์ ไปจนถึงข้อมูลล็อกอินหรือกุญแจกระเป๋าเงินคริปโต

พฤติกรรมของ CookieMiner คือเมื่อติดในเครื่องเหยื่อ จะติดเครื่องซอฟต์แวร์ขุดเงินคริปโตสกุล Koto ที่ใช้งานกันส่วนมากในญี่ปุ่น พร้อมดึงข้อมูลคุกกี้จาก Chrome และ Safari ที่เป็นคุกกี้จากเว็บที่ให้บริการคริปโตหรือแลกเปลี่ยนสกุลเงินคริปโต, ข้อมูลบัตรเครดิต ยูสเซอร์เนมและพาสเวิร์ดจากเบราว์เซอร์, กุญแจและกระเป๋าเงินคริปโต สุดท้ายคือข้อมูล SMS ที่เหยื่อแบ็คอัพไว้ใน iTunes

เว็บไซต์ top10vpn ออกรายงานการทดสอบแอป VPN บนแอนดรอยด์จาก Play Store กว่า 150 แอป โดยดูเรื่องการเข้ารหัส, การเก็บข้อมูลต่างๆ รวมถึงดูพฤติกรรมแปลกๆ น่าสงสัย ไปจนถึงค้นหามัลแวร์

ปรากฏว่าพบแอป VPN มากกว่า 25% ทำข้อมูล DNS รั่ว, พบ 4 แอปทำข้อมูล WebRTC รั่ว และพบ 2 แอปทำข้อมูลทั้ง DNS, WebRTC และไอพีแอดเดรสรั่ว และเมื่อนำแอปไปสแกนหามัลแวร์บน VirusTotal ของ Google ก็พบ 27 แอปที่ถูกระบุว่ามีมัลแวร์

Trend Micro รายงานการค้นพบแอปมัลแวร์ 2 ตัวบน Play Store ได้แก่ Currency Converter และ BatterySaverMobi ที่หลอกการตรวจจับของกูเกิล หรือแอปแอนตี้ไวรัสอื่นๆ ด้วยการอาศัย Motion Sensor บนสมาร์ทโฟน

ตัวแอปจะดูว่าตัวเองถูกสแกนหรือไม่ก็ด้วยการตรวจสอบจาก Motion Sensor หากเซ็นเซอร์กำลังทำงาน (เวลาเจ้าของเครื่องหยิบมือถือขึ้นมาใช้หรือใส่ในกระเป๋า จะมีการสั่นหรือเคลื่อนที่ตลอดเวลา) แสดงว่าแอปไม่ได้รันอยู่ใน sandbox ของกูเกิลหรือแอนตี้ไวรัส

นักวิจัยของ TrendMicro ประกาศการค้นพบการโจมตีด้วยโทรจันจะที่รันคำสั่งที่ถูกฝังอยู่บนรูปหรือมีม (meme) บน Twitter ด้วยเทคนิค Steganography หรือการซ่อนแพ็คเกจไว้ใต้รูปภาพ,ข้อความหรือวิดิโอ เพื่อหลบการตรวจจับ

รูปหรือมีมข้างต้นมีการฝังคำสั่งเอาไว้และจะถูกรันโดยโทรจันที่ชื่อว่า TROJAN.MSIL.BERBOMTHUM.AA ที่ทาง TrendMicro ไม่ทราบว่าติดในเครื่องเหยื่อได้ยังไง โดยคำสั่งที่ถูกฝังเอาไว้ในรูปมี /print เพื่อแคปหน้าจอ, /processes ดูโปรเซสที่รันอยู่, /clipboard จับเนื้อหาบนคลิปบอร์ด, /username ดูชื่อยูสเซอร์เนมของเครื่องเหยื่อและ /docs ดูชื่อไฟล์จากไดเรกทอรี่ที่ถูกกำหนดเอาไว้

แอปเปิลตัดสินใจถอด Adware Doctor ซึ่งเป็นแอปหมวด Utility แบบเสียเงินยอดนิยมอันดับ 1 บน Mac App Store หลังได้รับรายงานจากผู้ใช้บางส่วนว่าแอปนี้มีการเก็บข้อมูลประวัติการใช้เบราว์เซอร์ แล้วส่งออกไปยังปลายทางที่ประเทศจีน

Adware Doctor ระบุคุณสมบัติของโปรแกรมว่า สามารถสแกน Mac เพื่อค้นหามัลแวร์และลบไฟล์น่าสงสัยได้ ซึ่งคุณสมบัติดังกล่าวทำให้แอปต้องร้องขอสิทธิเข้าถึงข้อมูลอื่นใน Mac ทั้งหมด จึงทำให้สามารถดักเก็บข้อมูลอื่นได้

เว็บ MalwareBytes พบว่าแอปดังกล่าวเดิมชื่อ Adware Medic อยู่บน Mac App Store เมื่อปี 2015 แต่แอปเปิลได้สั่งถอดแอปนี้เนื่องจากปัญหาชื่อของแอป จึงกลับมาในชื่อใหม่ว่า Adware Doctor

Banco de Chile ธนาคารของชิลีแถลงยืนยันการถูกโจมตีด้วยมัลแวร์เมื่อวันที่ 24 พฤษภาคมที่ผ่านมา เป็นเหตุให้การทำระบบธุรกรรมผ่านธนาคารทั้งหมดล่ม ก่อนที่ธนาคารจะถูกขโมยราว 10 ล้านเหรียญสหรัฐ (ข่าวเก่า)

มัลแวร์ที่โจมตีธนาคารนั้นแสร้งทำทีเหมือนจะแค่สร้างความเสียหายทางข้อมูล ด้วยการลบข้อมูลใน MBR ของธนาคารจนทำให้ระบบธุรกรรมผ่านธนาคารล่ม มีแค่บริการผ่านทางอินเทอร์เน็ต, แอปโมบายล์และ ATM เท่านั้นที่ใช้ได้ ก่อนที่ธนาคารจะรู้ตัวว่าการลบข้อมูลนั้นเป็นการหันเหความสนใจ ก็เมื่อพบว่าถูกแฮกเกอร์แฮกและขโมยเงินกว่า 10 ล้านเหรียญสหรัฐผ่านทางระบบ SWIFT ไปยังบัญชีในฮ่องกง

Banco de Chile ธนาคารอันดับหนึ่งของชิลีถูกมัลแวร์ KillDisk/KillMBR เล่นงานอย่างหนัก ทำให้บริการจำนวนมากใช้งานไม่ได้ แต่ระบบธนาคารออนไลน์ยังคงทำงานได้ต่อไป โดยถูกโจมตีมาตั้งแต่ช่วงปลายเดือนพฤษภาคมที่ผ่านมา รายงานล่าสุดระบุว่ามีคอมพิวเตอร์ถูกโจมตีถึง 9,000 เครื่อง และเซิร์ฟเวอร์อีก 500 เครื่อง

มัลแวร์ที่พบจะเขียนทับ master boot record (MBR) จนเครื่องบูตไม่ขึ้น ทำให้ธนาคารไม่สามารถให้บริการได้

ช่วงเวลาเดียวกัน TrendMicro รายงานถึงการโจมตีสถาบันการเงินในละตินอเมริกา โดยไม่ได้ระบุประเทศหรือระบุชื่อธนาคาร แต่ระบุว่าแฮกเกอร์กำลังใช้มัลแวร์ KillDisk สร้างความวุ่นวายให้กับธนาคารเพื่อเบี่ยงความสนใจ ขณะที่ตัวแฮกเกอร์กำลังพยายามแฮกระบบเชื่อมต่อ SWIFT เพื่อขโมยเงินออกจากธนาคาร

หลังจาก Cisco Talos เผยแพร่รายงานมัลแวร์ VPNFilter เมื่อวานนี้ วันนี้ทาง FBI ก็ยื่นขอหมายยึดโดเมน toknowall.com ซึ่งเป็นหนึ่งในสามช่องทางสำหรับกระจายมัลแวร์ขั้นที่สอง

VPNFilter มีช่องทางแพร่มัลแวร์ขั้นที่สองด้วยการให้มัลแวร์ขั้นแรกดาวน์โหลดภาพจาก Photobucket หรือเว็บ ToKnowAll.com เมื่อดาวน์โหลดภาพที่ระบุได้แล้ว จะนำค่าไอพีจากใน EXIF มาดาวน์โหลดมัลแวร์ขั้นที่สองอีกครั้ง

Cisco Talos เปิดเผยรายงานวิจัยที่อยู่ระหว่างการศึกษาถึงมัลแวร์ที่ชื่อว่า VPNFilter แพร่ระบาดในอุปกรณ์เน็ตเวิร์คสำหรับสำนักงานขนาดเล็ก เช่น แบรนด์ Linksys, Mikrotik, NETGEAR, TP-Link ไปจนถึงสตอเรจอย่าง QNAP การแพร่กระจายเป็นวงกว้างกระทบอุปกรณ์แล้วกว่า 500,000 ตัวใน 54 ประเทศ โดยยังไม่แน่ชัดว่าตัวมัลแวร์ใช้ช่องโหว่อะไรเจาะเข้าเครื่องเหยื่อ แต่เครื่องที่ตกเป็นเหยื่อมักใช้ซอฟต์แวร์เก่าที่มีช่องโหว่ที่รับรู้โดยทั่วกันอยู่แล้ว

VPNFilter เป็นมัลแวร์ที่ทำงานสองขั้นตอน ขั้นตอนแรกคือการฝังมัลแวร์หลัก ที่ทำงานแม้เครื่องรีบูตไปแล้ว เมื่อฝังมัลแวร์ได้มันจะติดต่อเซิร์ฟเวอร์สั่งการเพื่อขอมัลแวร์ขั้นที่สองมารันต่อไป

Martyn Williams นักข่าวอิสระที่ให้ความสนใจเรื่องเทคโนโลยีของเกาหลีเหนือ ได้รับอีเมลปริศนาเมื่อปี 2014 จากคนที่ชื่อว่า Kang Yong Hak ซึ่งคาดว่าน่าจะเป็นวิศวกรคอมพิวเตอร์ของญี่ปุ่น (แต่ชื่อเกาหลี?) ภายในอีเมลเป็นลิงก์ Dropbox ที่มีไฟล์ของซอฟต์แวร์แอนตี้ไวรัสที่ชื่อว่า SiliVaccine ของเกาหลีเหนือ

ทาง Research Checkpoint ที่(น่าจะเพิ่ง)ได้รับซอฟต์แวร์ของ SiliVaccine มาระบุว่า พบโค้ดในเอ็นจินของ SiliVaccine ส่วนหนึ่งตรงกับโค้ดของเอ็นจินของ Trend Micro ซึ่งโค้ดที่เหมือนกันนี้ถูกซ่อนเอาไว้อย่างดีใน SiliVaccine

ไมโครซอฟท์เปิดตัว Windows Defender Browser Protection ซึ่งเป็นส่วนเสริม Chrome ช่วยป้องกันมัลแวร์และการ phishing เสริมเข้าไปกับฟีเจอร์ Safe Browsing ของ Chrome

ไมโครซอฟท์ระบุว่า Windows Defender Browser Protection ใช้เอนจินต์และฐานข้อมูลเดียวกับที่ใช้บน Microsoft Edge ที่ไมโครซอฟท์เคลมว่าป้องกันการ Phishing ได้ 99% สูงกว่า Chrome

ดาวน์โหลด Windows Defender Browser Protection ได้ที่นี่

ไม่รู้ว่าแฮกเกอร์นึกสนุกหรืออะไรเมื่อ MalwareHunterTeam พบ Ransomware ที่ชื่อว่า PUBG Ransomware ที่ไม่ได้คิดจะเอาเงินจากเหยื่อ แต่แค่อยากให้เหยื่อเล่น PUBG

เมื่อเครื่องเหยื่อถูกเข้ารหัส Ransomware จะเปิดหน้าต่างขึ้นมาบอกว่าไฟล์ในเครื่องทั้งหมดถูกเข้ารหัส ซึ่งวิธีการปลดล็อคก็แค่กรอกโค้ดที่ให้มาแล้วกด Restore หรือเปิดเกม PUBG เล่น ซึ่งถึงแม้ข้อความจะบอกว่าต้องเล่นอย่างน้อย 1 ชั่วโมง แต่เอาเข้าจริงเข้าเล่นแค่ 3 วินาที ไฟล์ทั้งหมดก็จะถูกปลดล็อกแล้ว

ครั้งนี้ไม่ใช่ครั้งแรกที่แฮกเกอร์ทำ Ransomware ออกมาขำๆ ปีที่แล้วก็มีการพบ Ransomware ที่ชื่อ ResenWare ที่จะปลดล็อคไฟล์ให้ก็ต่อเมื่อเหยื่อเปิดเกม TH12 และทำคะแนนถึง .2 พันล้านคะแนน

Google เผยได้ลบโฆษณาที่ละเมิดนโยบายของแพลตฟอร์มไปแล้ว 3.2 พันล้านตัวในปี 2017 มากกว่าปี 2016 ถึง 88% โดยโฆษณาที่ละเมิดประกอบด้วย โฆษณาหลอกให้กด ฝังมัลแวร์ โฆษณาที่มาพร้อมตัวฟิชชิ่ง

Troy Mursch นักวิจัยด้านความปลอดภัยออกรายงานใน Bad Packet Reports ว่าพบเว็บไซต์ที่ถูกฝังด้วยสคริปต์ขุดเงินคริปโตไม่ต่ำกว่า 48,953 เว็บ ซึ่งจากจำนวนนี้เป็น WordPress กว่า 7,368 เว็บ

สคริปต์ขุดเหมืองที่ถูกพบมากที่สุดคือ CoinHive คิดเป็นถึง 81.6% หรือกว่า 39,025 เว็บ ส่วนที่เหลือเป็น Crypto-Loot, CoinImp, Minr และ deepMiner ขณะที่ตัวเลขเว็บที่ถูกฝังสคริปต์ขุดเงินที่ Mursch พบในช่วงปลายปีที่แล้วอยู่ที่ราว 30,000 เว็บไซต์เท่านั้น

สิ่งที่เราๆ ทำได้ก็คงมีแค่ใช้ส่วนเสริมเบราว์เซอร์ที่ป้องกันการขุดเหมืองอย่าง AntiMiner, NoCoin หรือ MinerBlock เป็นต้น

Cisco เปิดเผยรายงาน Cybersecurity Report ประจำปี 2018 โดยข้อมูลทั้งหมดส่วนหนึ่งมาจากฐานข้อมูลของ Cisco เอง อีกส่วนมาจากการตอบแบบสอบถามจาก Chief Information Security Officers (CISO) กว่า 3,600 คนทั่วโลก โดยมีประเด็นน่าสนใจดังนี้

• ทราฟิคเว็บทั่วโลกมีการเข้ารหัส HTTPS กันมากขึ้นเป็น 50% จากที่ปี 2016 ที่อยู่ราว 38%
• มัลแวร์จึงถูกเข้ารหัสมากขึ้นตามไปด้วย โดยกระบวนการเข้ารหัสเกิดขึ้นที่ไบนารีไฟล์กว่า 70%
• Machine Learning และ AI เริ่มถูกนำมาใช้งานเพื่อรับมือภัยคุกคามมากขึ้น อย่างไรก็ตามการใช้งาน ML หรือ AI ยังอยู่ในช่วงแรกเริ่มเท่านั้น ทำให้เกิด False Positive ค่อนข้างมาก และต้องใช้เวลาเทรนด์ไปเรื่อยๆ

Kaspersky รายงานถึงการสำรวจมัลแวร์รอบล่าสุด โดยมุ่งสำรวจว่ามัลแวร์มีความเกี่ยวข้องกับเว็บโป๊มากน้อยเพียงใด จากเดิมที่เราอาจจะมีความเชื่อว่าเว็บเหล่านี้เกี่ยวข้องกับการแพร่มัลแวร์อยู่บ้าง แต่ไม่มีการสำรวจในเชิงปริมาณมากนัก

รานงานระบุว่ามัลแวร์บนโทรศัพท์มือถือนั้น 25.4% ของผู้ที่ติด ติดมัลแวร์ที่เกี่ยวข้องกับเนื้อหาภาพโป๊ รวมมีเหยื่อในปี 2017 จำนวน 1.2 ล้านคน โดยแบ่งเป็นมัลแวร์ 23 ตระกูล ตัวแอปอ้างตัวเองเป็นแอปภาพโป๊แต่ที่จริงแอบรูตเครื่อง, ขโมยข้อมูลธนาคาร

กูเกิลประกาศสถิติว่าในปี 2017 ทั้งปี ถอดแอพที่ทำผิดเงื่อนไขการใช้งานออกจาก Play Store มากถึง 700,000 ตัว เพิ่มขึ้นจากปี 2016 ถึง 70%

ระบบของ Play Store ต่างไปจาก App Store ของแอปเปิล เพราะฝั่งกูเกิลเน้นใช้ระบบอัตโนมัติช่วยตรวจสอบเป็นหลัก โดยกูเกิลบอกว่าอัลกอริทึมที่ใช้ตรวจสอบนั้นแม่นยำขึ้นเรื่อยๆ จนเป็นผลให้ถอดแอพประสงค์ร้ายได้มากขึ้น

กูเกิลยังบอกว่าแอพที่มีเนื้อหาไม่เหมาะสม (abusive contents) จะถูกตรวจสอบได้ก่อนขึ้น Play Store เกือบหมด (ความแม่นยำ 99%) ส่วนแอพสายมัลแวร์ที่พยายามซ่อนตัวไม่ให้จับได้ แม้จะได้ขึ้น Store แต่ก็ถูกตามไปสอยร่วงในเวลาไม่นาน

Sucuri บริษัทด้านความปลอดภัยออกมาแจ้งเตือนว่าพบเว็บไซต์ที่ใช้งาน WordPress กว่า 2,092 เว็บ ถูกฝังด้วยสคริปต์ msdns[.]online, cdns[.]ws, หรือ cdjs[.]online ซึ่งเป็น Keylogger ที่ดักพาสเวิร์ดทั้งของแอดมินและผู้เยี่ยมชม รวมถึงแอบติดตั้ง JavaScript ขุดเหมืองบนเบราว์เซอร์ของผู้เข้าชมเว็บด้วย

Sucuri บอกว่าสคริปต์ดังกล่าวเป็นโค้ดเดียวกับสคริปต์ cloudflare[.]solutions ที่เคยระบาดช่วงปลายปีที่แล้วบนเว็บไซต์ที่ใช้ WordPress กว่า 5,500 เว็บไซต์ ขณะที่สคริปต์เหล่านี้ถูกฝังเอาไว้ในดาต้าเบสของ WordPress หรือในไฟล์ธีม function.php โดยทาง Sucuri ไม่ได้ระบุว่าเว็บเหล่านี้ถูกเจาะได้ยังไง แต่ก็คาดว่าอาจมาจากช่องโหว่ในซอฟต์แวร์รุ่นเก่าๆ

นักวิจัยจาก ICEBRG บริษัทด้านความปลอดภัยได้เปิดเผยรายงานการค้นพบส่วนเสริม Chrome 4 ตัวได้แก่ HTTP Request Header, Nyoogle, Stickies และ Lite Bookmarks ที่มียอดดาวน์โหลดรวมกันกว่า 5 แสนครั้ง แฝงมาด้วยมัลแวร์ ขณะที่ทาง Google ลบส่วนเสริมทั้ง 4 ตัวแล้วหลังได้รับการแจ้งไปก่อนหน้านี้

ICEBRG ระบุว่าพบทราฟฟิคน่าสงสัยจากเครื่องเวิร์คสเตชันลูกค้า เลยตรวจสอบก่อนจะพบว่ามาจากส่วนเสริมที่ชื่อ HTTP Request Header ซึ่งจะแอบเปิดหน้าเว็บโฆษณาขึ้นมา ขณะที่ส่วนเสริมอีก 3 ตัวก็มีพฤติกรรมลักษณะเดียวกัน

กระแส cryptocurrency ระบาดไปทุกวงการ ไม่เว้นแม้แต่วงการผู้สร้างมัลแวร์ ที่กำลังเริ่มเปลี่ยนจากการเรียกค่าไถ่ข้อมูลของผู้ใช้ (ransomware) มาเป็นการยึดเครื่องมาเพื่อขุดเหมืองแทน

หน่วยวิจัยความปลอดภัย FortiGuard Labs ในเครือบริษัท Fortinet ค้นพบว่ากลุ่มแฮ็กเกอร์ผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ VenusLocker ปรับเปลี่ยนแนวทางใหม่ เปลี่ยนมาเป็นนำมัลแวร์ไปติดพีซี เพื่อใช้ขุดเหรียญ Monero

ช่วงเวลาสิ้นปี บริษัทด้านความปลอดภัยไซเบอร์ต่างออกมาคาดการณ์ภัยคุกคามที่จะเปิดขึ้นในปีถัดไป บริษัท Symantec คาดการณ์ว่าอุปกรณ์ IoT และบล็อกเชนจะถูกเพ่งเล็งจากอาชญากรไซเบอร์ และยังระบุว่าแฮกเกอร์จะใช้ AI และ Machine Learning เป็นเครื่องมือโจมตี และมีโอกาสที่เราจะได้เห็น AI ฝั่งแฮกเกอร์ กับ AI ฝั่งความปลอดภัยต่อสู้กัน

US-CERT ร่วมกับ Department of Homeland Security (DHS) และ FBI ออกประกาศแจ้งเตือนถึงมัลแวร์ Volgmer และ FALLCHILL ที่มีความเกี่ยวข้องกับเกาหลีเหนือ

FALLCHILL เป็นมัลแวร์แบบ RAT (Remote Access Trojan) ที่เปิดทางให้แฮกเกอร์เข้าควบคุมเครื่องได้เต็มรูปแบบ เมื่อเครื่องของเหยื่อถูกติดตั้ง FALLCHILL แล้วจะเก็บข้อมูลทั่วไปของเครื่องกลับไปยังเซิร์ฟเวอร์ควบคุม และรอรับคำสั่งรันโปรแกรมใดๆ บนเครื่อง พร้อมกับความสามารถถอนตัวเองออกจากเครื่องของเหยื่อพร้อมลบร่องลอยออกไปได้

ทาง US-CERT เปิดเผยรายชื่อไอพีที่ใช้ควบคุม FALLCHILL พร้อมกับเผยแพร่ค่า MD5 ของไฟล์ในมัลแวร์สองไฟล์คือ 1216da2b3d6e64075e8434be1058de06
และ e48fe20eb1f5a5887f2ac631fed9ed63 ที่เป็นส่วนหนึ่งของมัลแวร์