พบไฟล์ ISO เถื่อนของ Windows 10 แอบฝังมัลแวร์ลงพาร์ทิชัน EFI เพื่อขโมยเงินคริปโต

By mk Founder on Tag: Windows 10, Malware, Security, Doctor Web
Windows 10

บริษัทความปลอดภัย Doctor Web รายงานข่าวการระบาดของไฟล์ ISO เถื่อนของ Windows 10 ที่แจกตามเว็บไซต์ torrent ต่างๆ แอบฝังมัลแวร์ในพาร์ทิชัน Extensible Firmware Interface (EFI)

พาร์ทิชัน EPI เป็นพาร์ทิชันขนาดเล็กบนดิสก์ ที่มีไฟล์สำหรับ bootloader ใช้ในการบูท OS ขึ้นมาอีกที พาร์ทิชันนี้เป็นส่วนหนึ่งของระบบบูท UEFI ในภาพรวม ที่นำมาใช้แทนระบบ BIOS เดิม

ไฟล์ ISO เถื่อนอาศัยว่าผู้ใช้ดาวน์โหลดไฟล์เพื่อไปติดตั้ง OS ใหม่ ได้สิทธิการเข้าถึงขั้นสูงสุดตั้งแต่แรกอยู่แล้ว จึงแอบฝังมัลแวร์-โทรจันเข้ามาในตัวติดตั้งด้วย เท่าที่ตรวจพบมี 3 ไฟล์ทำงานร่วมกัน

Read more

แฮกเกอร์ประเทศเพื่อนบ้านส่งตรงมัลแวร์ผ่านการโฆษณา ขโมยทุกอย่างตั้งแต่ภาพหน้าจอยันข้อมูลบัญชีผู้ใช้งานและรหัสผ่านในเว็บเบราว์เซอร์

By TTC-CERT Contributor on Tag: TTC-CERT, Malware, Cybersecurity, In-Depth
TTC-CERT

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงาน เกี่ยวกับเทรนด์ในปัจจุบันที่กลุ่มผู้โจมตี (threat actor) กำลังให้ความนิยมในการโจมตีด้วยเทคนิคที่เรียกว่า Malvertising เพื่อแพร่กระจายมัลแวร์ในโลกออนไลน์โดยใช้แพลตฟอร์ม Google Adsense และ Facebook Ads ซึ่งวิธีการนี้ช่วยให้กลุ่มผู้โจมตีสามารถกำหนดกลุ่มเป้าหมายที่ต้องการโจมตีได้อย่างละเอียด เช่น สามารถกำหนดเกณฑ์อายุ ตำแหน่งที่อยู่ หรือแสดงโฆษณาเฉพาะคีย์เวิร์ดที่ตรงกับกลุ่มเป้าหมายเท่านั้น ทำให้โฆษณาแฝงมัลแวร์เหล่าน

Read more

รัสเซียอ้าง Apple ช่วย NSA สอดแนมนักการทูตรัสเซียผ่านมัลแวร์ iPhone

By Chomsu Contributor on Tag: Russia, Apple, NSA, Malware
Russia

หน่วยข่าวกรองของรัสเซีย Federal Security Service (FSB) รายงานว่าตรวจพบมัลแวร์ใน iPhone พร้อมกับกล่าวหาว่ามัลแวร์เหล่านี้พัฒนาได้โดยได้ข้อมูลช่องโหว่จากแอปเปิลที่เป็นผู้ผลิตโทรศัพท์เอง พร้อมกับระบุว่าพบมัลแวร์เหล่านี้ใน iPhone หลายพันเครื่องทั่วโลก ทั้งในโทรศัพท์ประชาชนทั่วไป ยังมีโทรศัพท์ของ นักการทูตและสถานทูตของรัสเซีย, สมาชิก NATO, อดีตสหภาพโซเวียต, อิสราเอล, จีน และอื่นๆ

FSB ระบุว่าแอปเปิลทำงานร่วมกับหน่วยงานข่าวกรองสหรัฐฯ อย่างใกล้ชิด โดยเฉพาะ NSA พร้อมกับกล่าวหาว่าแอปเปิลไม่ได้รักษาความลับลูกค้าตามนโยบายที่ประกาศไว้

Read more

เกือบทศวรรษ! มัลแวร์ Bookworm มุ่งเป้าโจมตีหน่วยงานภาครัฐของไทยแม้ผ่านระยะเวลามากว่า 8 ปี

By TTC-CERT Contributor on Tag: TTC-CERT, Malware, Analysis, In-Depth
TTC-CERT

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการวิเคราะห์มัลแวร์ Bookworm ซึ่งมุ่งเป้าโจมตีองค์กรในประเทศไทยโดยเฉพาะหน่วยงานภาครัฐมาเป็นเวลาเกือบทศวรรษ โดยผู้โจมตี (threat actor) ยังคงมีการปรับปรุงเทคนิคการโจมตีอย่างต่อเนื่อง

Read more

โปรแกรมโทรศัพท์ออนไลน์ 3CX ถูกแทรกโค้ดมัลแวร์กระจายให้ลูกค้า

By lew Founder on Tag: Security, Malware
Security

3CX ผู้ผลิตซอฟต์แวร์ VoIP/PBX ระดับองค์กรถูกแทรกโค้ดมัลแวร์เข้าไปในแอปเวอร์ชั่นเดสก์ทอป ทำให้ลูกค้าจำนวนมากตกอยู่ในความเสี่ยงว่าจะถูกขโมยข้อมูลในองค์กร โดยตั้งแต่ช่วงปลายเดือนมีนาคมที่ผ่านมา ลูกค้า 3CX เริ่มรายงานว่าโปรแกรมป้องกันไวรัสฟ้องว่าโปรแกรม 3CX นั้นเป็นมัลแวร์

ตัวมัลแวร์ซ่อนอยู่ในไฟล์ชื่อว่า ffmpeg.dll เมื่อรันโปรแกรม 3CX แล้วมันจะดาวน์โหลดไฟล์ icon จาก GitHub ที่ข้างในไฟล์ซ่อน URL มัลแวร์จริงๆ เอาไว้ และดาวน์โหลดโค้ดมัลแวร์มารัน

Read more

ESET พบมัลแวร์ BlackLotus ฝังตัวในเคอร์เนลหลังบูตเครื่องได้แม้เปิด Secure Boot

By lew Founder on Tag: ESET, Malware, Security
ESET

ทีมวิจัยของ ESET รายงานถึงมัลแวร์ BlackLotus ที่มีกลุ่มแฮกเกอร์อ้างกันว่าสามารถใช้มัลแวร์ตัวนี้ฝังไปยังเครื่องของเหยื่อได้แม้เหยื่อจะเปิด Secure Boot เพื่อป้องกันการแก้ไขเคอร์เนลก็ตามที โดยผู้พัฒนาอาศัยช่องโหว่ CVE-2022-21894 ในเคอร์เนลวินโดวส์

ความสามารถในการเจาะทะลุ Secure Boot ทำให้ BlackLotus ฝังอยู่ส่วนลึกที่สุดของซอฟต์แวร์ในเครื่อง และรันในสิทธิ์ระดับสูงมากทำให้แก้ไขเครื่องได้หลายรูปแบบ เช่น ปิดการทำงาน BitLocker และสามารถเพิ่มหรือลดสิทธิ์ของ process ต่างๆ ในเครื่องได้ในกรณีนี้ BlackLotus จะลดสิทธิ์ที่โปรแกรมป้องกันไวรัสจำเป็นต้องใช้งานเพื่อป้องกันไม่ให้ตัวเองถูกตรวจจับได้

Read more

ซอฟต์แวร์ป้องกันไวรัสแทบไม่สามารถตรวจจับมัลแวร์ดูดเงินที่มุ่งโจมตีคนไทย บางตัวพบแล้วนานนับเดือน

By lew Founder on Tag: Security, Thailand, Antivirus, Malware
Security

จากข่าวมัลแวร์ดูดเงินคนไทยที่ปลอมตัวเป็นแอปกรมสรรพากร คำถามอย่างหนึ่งคือโปรแกรมป้องกันไวรัสทั้งหลายสามารถช่วยป้องกันมัลแวร์เหล่านี้ได้หรือไม่ ล่าสุดผมตรวจสอบค่าแฮชของไฟล์ APK จาก TTC-CERT พบว่าตอนนี้ยังไม่มีโปรแกรมป้องกันไวรัสตัวใดสามารถตรวจจับมัลแวร์ที่มุ่งโจมตีคนไทยตัวนี้ได้เลย ปัญหานี้อาจจะเป็นปัจจัยหนึ่งที่ทำให้มัลแวร์สามารถโจมตีคนไทยได้ต่อเนื่องเป็นเวลานาน

Read more

iLaw เปิดรายชื่อเหยื่อมัลแวร์ Pegasus ในไทย 30 ราย พบเป็นผู้เห็นต่างทางการเมือง ช่วงเวลาเจาะใกล้กับช่วงชุมนุม

By lew Founder on Tag: Thailand, NSO Group, Malware
Thailand

iLaw องค์กรไม่หวังผลกำไรด้านกฎหมายในประเทศไทยออกรายงานถึงการใช้งานมัลแวร์ Pegasus ที่นับเป็นการรวบรวมรายชื่อจำนวนมาก หลังจากเมื่อปลายปี 2021 แอปเปิลได้ส่งอีเมลแจ้งเตือนไปยังผู้ที่อาจจะเป็นเหยื่อของมัลแวร์ Pegasus นี้ และมีนักกิจกรรมทั่วโลกออกมาเปิดเผยว่าได้รับอีเมลจากแอปเปิลรวมถึงบุคคลในประเทศไทยจำนวนหนึ่ง

Read more

เกม Cities: Skylines เจอปัญหาม็อดปลอมแอบฝังมัลแวร์ หลอกให้คนดาวน์โหลดแทนม็อดแท้

By mk Founder on Tag: Cities: Skylines, Games, Malware
Cities: Skylines

ชุมชนผู้เล่นเกมสร้างเมือง Cities: Skylines รายงานว่าพบมัลแวร์แอบฝังอยู่ในม็อดบางตัว

ม็อดที่ประสงค์ร้ายใช้วิธี fork จากม็อดยอดนิยม แอบฝังมัลแวร์ในโค้ด แล้วนำมาอัพโหลดใหม่บน Steam Workshop โดยโพสต์หลอกให้ผู้เล่นที่มีปัญหากับการใช้ม็อดของแท้ ให้ดาวน์โหลดเวอร์ชันที่ถูกดัดแปลงไปติดตั้งเพื่อแก้บั๊กบางจุด

ตอนนี้บัญชีผู้อัพโหลดม็อดประสงค์ร้ายถูกแบนจาก Steam แล้ว (ชื่อบัญชีคือ Holy Water และ Chaos) แต่ยังอาจมีผู้เล่นจำนวนมากติดตั้งไฟล์ม็อดไปแล้ว

Read more

บริษัทยา Merck ชนะคดีบริษัทประกัน ต้องจ่ายค่าสินไหมกรณีติดมัลแวร์ NotPetya

By mk Founder on Tag: Merck, Malware, Ransomware, Insurance, Security
Merck

อาจเป็นอดีตอันไกลโพ้นในโลกไอที เมื่อปี 2016-2017 มีแรนซัมแวร์ Petya ระบาดเป็นวงกว้าง หน่วยงานที่โดน Petya (หรือเวอร์ชันกลายพันธุ์คือ NotPetya) โจมตีคือโดนเข้ารหัสข้อมูล ต้องจ่ายเงินเรียกค่าไถ่ ไม่อย่างนั้นข้อมูลก็สูญหาย เข้าถึงไม่ได้ไปตลอดกาล

Read more

ระวัง โปรแกรมเปิดใช้วินโดวส์เถื่อน KMSPico อาจแถมมัลแวร์ขโมยกระเป๋าคริปโต

By mheevariety Contributor Writer on Tag: Cryptocurrency, Security, Malware
Cryptocurrency

บริษัทวิจัยความปลอดภัยไซเบอร์ Red Canary ของสหรัฐฯ พบว่าโปรแกรมเปิดใช้ Windows เถื่อน หรือ Windows Activator ยอดนิยม KMSpico อาจแถมมัลแวร์ CryptBot ที่สามารถขโมยข้อมูลจากบราวเซอร์ รวมไปถึงรายละเอียดกระเป๋าเงินคริปโต บัตรเครดิต และเก็บภาพหน้าจอของระบบที่ติดเชื้อได้

Red Canary พบว่า CryptBot อาจแฝงตัวมากับลิงก์ดาวน์โหลด KMSpico ที่หาได้ตามออนไลน์ โดยอาจมีการติดตั้ง CryptBot หรือมัลแวร์อื่นพร้อมกับที่ผู้ใช้กดแอคติเวต KMSpico ทำให้ข้อมูลบราวเซอร์และกระเป๋าคริปโตของผู้ใช้เช่น Seed Phase ของ MetaMask ถูกขโมยได้

Read more

แอปเปิลแจงเพิ่มเรื่องแจ้งเตือนผู้ที่อาจเป็นเป้าหมายมัลแวร์ ถือเป็นการโจมตีซับซ้อน และลงทุนสูง

By sunnywalker Writer on Tag: Apple, NSO Group, Malware, Cybersecurity
Apple

จากกรณี แอปเปิลแจ้งเตือนเหล่านักกิจกรรม นักข่าวและบุคคลที่อาจตกเป็นเป้าหมายโจมตีของมัลแวร์ที่ได้รับการสนับสนุนโดยรัฐ ซึ่งมีนักกิจกรรมไทยได้รับแจ้งเตือนจำนวนหนึ่งนั้น

แอปเปิลออกมาชี้แจงเพิ่มเติมว่า การแจ้งเตือนดังกล่าว ออกแบบมาเพื่อแจ้งและช่วยเหลือผู้ใช้ที่อาจตกเป็นเป้าหมาย ซึ่งคนเหล่านี้ถูกกำหนดเป้าหมายโดยอิงจากการที่พวกเขาเป็นใคร ทำอะไร เป็นการเจาะจงไปที่บุคคลนั้น ซึ่งต่างจากอาชญากรไซเบอร์ทั่วไป ถือเป็นการโจมตีที่ลงทุนสูงและมีความซับซ้อน ทำให้การโจมตีเหล่านี้ยากต่อการตรวจจับและป้องกัน

Read more

เกลือเป็นหนอน พนักงาน AT&T รับจ้างลงมัลแวร์ในเซิร์ฟเวอร์บริษัทเพื่อปลดล็อคโทรศัพท์ติดสัญญา

By lew Founder on Tag: USA, AT&T, Malware, Crime, Telecom
USA

กระทรวงยุติธรรมสหรัฐฯ รายงานถึงคดีของ Muhammad Fahd ชาวปากีสถานที่ถูกตัดสินโทษจำคุก 12 ปีฐานปลดล็อคโทรศัพท์ติดสัญญาของเครือข่าย AT&T ในสหรัฐฯ โดยไม่ได้รับอนุญาตไปถึง 1.9 ล้านเครื่อง มูลค่าความเสียหาย 201 ล้านดอลลาร์

Read more

NSO Group แถลงปฎิเสธรายชื่อเหยื่อมัลแวร์ Pegasus ระบุลูกค้าดำเนินการเองแต่ต้องส่งข้อมูลให้

By lew Founder on Tag: NSO Group, Security, Israel, Malware
NSO Group

NSO Group ออกแถลงการณ์บนเว็บไซต์ ระบุว่ารายการอุปกรณ์มากกว่า 50,000 รายที่มีร่องรอยถูกโจมตีด้วยมัลแวร์ Pegasus นั้นไม่เป็นความจริง และรายการเหล่านี้ไม่ใช่เป้าหมายของ Pegasus หลังสื่อหลายสำนักระบุว่ามีนักข่าวและนักสิทธิ์มนุษยชนถูกโจมตี

Read more

สำนักข่าวรวมตัวแฉสปายแวร์ Pegasus รัฐบาลเผด็จการซื้อไปใช้สอดส่องนักข่าว นักเคลื่อนไหว

By sunnywalker Writer on Tag: NSO Group, Israel, Malware, Spyware, Cybersecurity, Politics
NSO Group

ตอนนี้กำลังมีประเด็นใหญ่เรื่องความปลอดภัยไซเบอร์ โดย Amnesty International และสำนักข่าวใหญ่ 17 แห่ง เช่น The Guardian, Washington Post ออกรายงานเปิดโปงว่ามัลแวร์ Pegasus ของบริษัท NSO Group ในอิสราเอล มีรัฐบาลหลายประเทศนำไปใช้งานสอดส่อง โดยพบว่ามี นักเคลื่อนไหว นักข่าว นักการเมือง ถูกติดตามตัวด้วย แม้ NSO Group จะยืนยันว่าขายเครื่องมือให้รัฐบาลไปติดตามกลุ่มก่อการร้ายและอาชญากร

Read more

Citizen Lab พบมัลแวร์จากบริษัทอิสราเอล ถูกใช้โจมตีนักการเมือง, สื่อ, นักสิทธิมนุษยชน

By lew Founder on Tag: Citizen Lab, Microsoft, Malware, NSO Group, Israel
Citizen Lab

Citizen Lab ร่วมมือกับไมโครซอฟท์วิเคราะห์มัลแวร์จากบริษัท Candiru ในอิสราเอล โดยไมโครซอฟท์เรียกกลุ่มมัลแวร์นี้ว่า SOURGUM ให้บริการมัลแวร์ DevilsTongue ในรูปแบบ hacking-as-a-service แก่รัฐบาลทั่วโลก

ไมโครซอฟท์พบว่าเหยื่อของมัลแวร์ DevilsTongue กระจุกตัวอยู่ในแถบปาเลสไตน์ประมาณครึ่งหนึ่ง ที่เหลืออยู่ใน อิสราเอล, อิหร่าน, เลบานอน, เยเมน, สเปน, สหราชอาณาจักร, ตุรกี, อาร์เมเนียร์, และสิงคโปร์ โดยไม่แน่ชัดว่าผู้ว่าจ้างให้โจมตีมาจากชาติใดบ้าง

Read more

พบแอพแอนดรอยด์ 9 ตัวแอบดักข้อมูล Facebook Login, กูเกิลถอดจาก Play Store แล้ว

By mk Founder on Tag: Google Play, Android, Security, Malware, Doctor Web
Google Play

บริษัทความปลอดภัย Dr. Web ค้นพบว่ามีแอพแอนดรอยด์จำนวน 10 ตัว (9 ตัวอยู่บน Play Store) แอบดักข้อมูล Facebook Login ของผู้ใช้งาน รูปแบบการทำงานของแอพเหล่านี้คือพยายามให้ผู้ใช้ล็อกอินบัญชี Facebook เพื่อปิดโฆษณาหรือปลดล็อคฟังก์ชันบางอย่าง แล้วดักข้อมูลล็อกอินไปใช้งานต่อ

แอพตัวสำคัญคือแอพแต่งภาพชื่อ PIP Photo ที่มียอดดาวน์โหลดมากกว่า 5 ล้านครั้ง แต่ก็มีแอพตัวอื่นๆ เช่น แอพแต่งภาพ Processing Photo, แอพลบไฟล์ขยะ Rubbish Cleane, แอพดูดวง Horoscope Daily, แอพฟิตเนส Inwell Fitness ซึ่งทั้งหมดมาจากนักพัฒนาที่แตกต่างกันไป แต่ใช้เทคนิคเดียวกัน

Read more

ไมโครซอฟท์ยอมรับถูกหลอกเซ็นรับรองมัลแวร์ หลังแฮกเกอร์ปลอมตัวเป็นผู้ผลิตฮาร์ดแวร์

By lew Founder on Tag: Microsoft, Malware
Microsoft

ไมโครซอฟท์ยอมรับว่าถูกหลอกให้ออกใบรับรองดิจิทัลสำหรับรับรองมัลแวร์ที่ใช้ชื่อว่า Netfilter โดยอาศัยการปลอมตัวเป็นผู้ผลิตฮาร์ดแวร์ในโครงการ Windows Hardware Compatibility Program (WHCP)

ตอนนี้ยังไม่มีหลักฐานว่าระบบออกใบรับรองซอฟต์แวร์ถูกแฮกโดยตรง และบัญชีของผู้ผลิตรายที่ถูกปลอมตัวก็ถูกปิดบัญชีพร้อมสอบไดร์เวอร์ก่อนหน้านี้ที่ส่งเข้ามาขอรับรองทั้งหมดแล้ว

ผลวิเคราะห์มัลแวร์พบว่าตัวมัลแวร์พยายามติดต่อกลับไอพีสองหมายเลขในจีน ทาง BleepingComputer ตรวจสอบมัลแวร์พบว่าเมื่อเชื่อมต่อกลับไปยังเซิร์ฟเวอร์แล้วจะได้ไอพีอื่นๆ รวมถึงอาจจะดาวน์โหลดอัพเดตตัวมัลแวร์มาติดตั้งเพิ่ม

Read more

ภาษา Go มาแรงในหมู่อาชญากรไซเบอร์ เหตุผลเพราะใช้เขียนมัลแวร์ง่าย ตรวจจับยาก

By mk Founder on Tag: Go, Programming, Malware, Security
Go

บริษัทความปลอดภัยไซเบอร์ Intezer ออกรายงานว่า Go กลายเป็นภาษายอดนิยมของอาชญากรไซเบอร์ โดยมัลแวร์ที่เขียนด้วย Go เติบโตขึ้นถึง 2,000% ภายในเวลาเพียงไม่กี่ปี

มัลแวร์ Go ตัวแรกถูกค้นพบในปี 2012 แต่ก็ใช้เวลาอีกนานกว่าความนิยมจะเพิ่มขึ้น จนมาพุ่งแรงในช่วงไม่กี่ปีที่ผ่านมา ด้วยเหตุผลว่า Go เป็นภาษาที่เขียนง่าย เขียนทีเดียวทำงานได้ข้ามแพลตฟอร์ม ทำให้ผู้สร้างมัลแวร์เริ่มย้ายภาษาจาก C/C++ มาเป็น Go แทน

Read more

นักวิจัยเริ่มพบมัลแวร์บน MacOS ที่เขียนมาสำหรับชิป M1

By nismod Writer on Tag: Apple M1, Apple, Malware
Apple M1

Patrick Wardle นักวิจัยอิสระด้านความปลอดภัยเขียนบล็อกรายงานการค้นพบมัลแวร์ที่เขียนขึ้นมาสำหรับ Apple M1 เป็นตัวแรกโดยเฉพาะ

มัลแวร์ตัวนี้เป็นมัลแวร์ที่ดักข้อมูลเพื่อการโฆษณา (adware) แฝงตัวมาในรูปส่วนเสริมของ Safari ซึ่งดักข้อมูลจากทั้งเบราว์เซอร์, ป๊อปอัพ, แบนเนอร์ ฯลฯ และ Wardle คาดว่ามัลแวร์ตัวนี้เป็นเวอร์ชันอัพเดตของ adware ที่ชื่อว่า Pirrit ที่เริ่มเป็นที่รู้จักช่วงปี 2016-2017 ทั้งนี้แอปเปิลได้ยกเลิกใบรับรองนักพัฒนาที่ทำ Pirrit ไปแล้ว ทำให้ไม่น่ามีผู้ใช้คนไหนติดตั้งมัลแวร์ตัวนี้ได้

นอกจากนี้ Wardle เตือนว่าแอนตี้ไวรัสหลายตัวน่าจะยังไม่สามารถตรวจจับมัลแวร์ที่เขียนมาบน ARM64 ได้ ซึ่งเขาก็หวังว่าการค้นพบนี้น่าจะช่วยให้วงการความปลอดภัยตื่นตัวมากขึ้นกับมัลแวร์ ARM64

ที่มา - VICE

Read more
Subscribe to Malware