ช่องโหว่ระดับรุนแรง บนระบบปฏิบัติการ Android ส่งผลให้สามารถโจมตีได้จากภายนอก ทำให้เกิด Denail of Service

Google ได้เผยแพร่ security updates สำหรับ ระบบปฏิบัติการ Android สำหรับแก้ไขช่องโหว่ระดับ Critical 15 รายการ และช่องโหว่ระดับ moderate อื่น ๆ อีก 22 รายการช่องโหว่ที่น่าสนใจมีดังนี้ : CVE-2019-2232 ช่วยให้ผู้โจมตีสามารถ โจมตีได้จากระยะไกล ส่งผลให้เกิด denial of service ซึ่งผู้โจมตีจะใช้ message ที่ออกแบบมาเป็นพิเศษ โดยไม่จำเป็นต้องให้ผู้ใช้ดำเนินการใด ๆ   จากการตรวจสอบ เวอร์ชั่นของ Android ที่ได้รับผลกระทบจากช่องโหว่นี้คือ เวอร์ชั่น 8.0/8.1/9.0/10.0.  CVE-2019-2222 ช่องโหว่ระดับ Critical ส่งผลกระทบต่อ  ihevcd_parse_slice_data ของฟังก์ชัน ihevcd_parse_slice.c ถูกเขียนนอกขอบเขตของ หน่วยความจำ ที่ได้จัดสรรไว้เนื่องจากขาดการตรวจสอบขอบเขต อาจส่งผลให้สามารถ  remote code execution…
Read More

พบช่องโหว่ StrandHogg ส่งผลกระทบต่อระบบปฏิบัติการ Android

นักวิจัยด้านความปลอดภัยของ Promon ได้พบช่องโหว่ใหม่นาม StrandHogg ซึ่งใช้งานโดยมัลแวร์ เช่น BankBot Banking Troja โดยที่ส่งผลกระทบต่อระบบปฏิบัติการ Android ทุกเวอร์ชั่นรวมถึง  Android 10ช่องโหว่นี้สามารถนำไปใช้งานได้โดยที่ไม่ต้องทำการ rooting อุปกรณ์  หลังจากใช้งานช่องโหว่ดังกล่าวจะทำให้ แอพที่เป็นอันตรายสามารถปลอมแปลงไม่ให้ตรวจจับได้เกือบทุกแอพการใช้งานช่องโหว่นี้ขึ้นอยู่กับการตั้งค่าการควบคุม ( Android control ) ที่เรียกว่า  ‘taskAffinity’ ซึ่งจะอนุญาติให้แอพใดๆ ก็ตาม สามารถรับข้อมูลส่วนบุคคล ใน multitasking system ได้อย่างอิสระ เนื่องจากผู้โจมตีสามารถเข้าถึงสิทธ์ Android ได้ จึงสามารถเข้าถึงฟังก์ชั่นต่างๆ ที่ต้องได้รับการอนุญาต และ เข้าถึงข้อมูลที่เก็บไว้ในอุปกรณ์ ดังนี้  :• Listen to the user through the microphone• Take photos through…
Read More

พบเว็บไซต์ Phishing แจก skins CSGO ฟรีผ่าน Steam

Steam คือ โปรแกรมสำหรับเล่นและหาซื้อเกมแบบถูกลิขสิทธิ์ มีผู้ใช้งานมากกว่า  30 ล้านคนทั่วโลก โดยครั้งนี้พบเว็บไซต์ giveavvay.comที่อ้างว่า เป็นเว็บแจก skins  ใหม่ ๆ ทุกวัน แต่ความจริงแล้วเป็นเพียงเว็บไซต์ที่ใช้ขโมย login credentials เท่านั้น  โดยการหลอกลวงเริ่มต้นจาก ความคิดเห็นบนโปรไฟล์ Steam โดยระบุว่า “Dear winner! Your SteamID is selected as a winner of Weekly giveaway. Get your Karambit | Doppler on giveavvay.com”. หากผู้ใช้งานเข้าไปยังไซต์ดังกล่าวจะได้รับโปรโมชั่น  ‘$30,000 giveaway’ ซึ่งมีการแจกฟรีสกิน 26 วันสำหรับเกม Counter-Strike: Global Offensive (CSGO)หน้า…
Read More

พบ ransomeware ตัวใหม่นาม DeathRansom พบมีผู้ตกเป็นเหยื่ออย่างต่อเนื่อง

DeathRansom Ransomware  จากการตรวจสอบของนักวิจัยและผู้ได้รับผลกระทบ ทำให้พบว่าแม้ DeathRansom  จะทำการเข้ารหัสไฟล์เอาไว้โดยหลังจากการเข้ารหัสจะปรากฏ นามสกุลไฟล์เป็น .wctc ขั้นตอนการทำงานก็คล้ายกับ ransomeware ตัวอื่น ๆ  คือเข้ารหัสไฟล์บนเครื่องของผู้ใช้งานที่ตกเป็นเหยื่อและ pathnames ตาม strings นี้ :programdata$recycle.binprogram fileswindowsall usersappdataread_me.txtautoexec.batdesktop.iniautorun.infntuser.daticoncache.dbbootsect.bakboot.inintuser.dat.logthumbs.db ไฟล์จะถูกเข้ารหัสโดยการทำเครื่องหมาย ABEFCDAB file  ต่อท้ายไฟล์ในทุก ๆ โฟล์เดอร์ที่ถูกเข้ารหัส  จากนั้น ransomware จะสร้าง ransome note ชื่อว่า read_me.txt ซึ่งมี “LOCK-ID” ที่ไม่ซ้ำกันและมีที่อยู่อีเมลเพื่อติดต่อนักพัฒนา ransomware หรือ บริษัท ในเครือ จากการตรวจสอบพบว่า ผู้ที่ตกเป็นเหยื่อ DeathRansom มีบางส่วนเคยโดน STOP Ransomware มาก่อนจึงเกิดข้อสันนิษฐานขึ้นว่ามาDeathRansom ransom note และ STOP…
Read More

พบ โทรจัน บนระบบปฏิบัติการ Android นาม Ginp ตั้งค่าเป็นตัวรับ SMS เพื่อขโมยข้อมูลบนอุปกรณ์

mobile banking trojan นาม Ginp มีการพัฒนาความสามารถอย่างต่อเนื่องเพื่อที่จะรวบรวมข้อมูลการเข้าสู่ระบบและข้อมูลรายละเอียดบัตรเครดิต พบช่วงแรกเมื่อเดือน มิถุนายน 2562 ทำงานเป็น  SMS stealer ส่งข้อความขาเข้าและขาออกของเหยื่อไปยัง C2 servers ต่อมาในเดือน ตุลาคม 2562 Ginp ได้ถูกพบโดย atyana Shishkova นักวิเคราะห์มัลแวร์ Android จาก Kaspersky ซึ่งวิเคราะห์ว่าโทรจัน มีการปลอมแปลงตัวเป็น Adobe Flash Player  กำหนดเป้าหมายเป็นผู้ใช้งานใน สเปน และ สหราชอาณาจักร ในขั้นตอนการพัฒนาก่อนหน้านี้มัลแวร์กำหนดเป้าหมายเป็นข้อมูลของบัตรเครดิต และ ข้อมูล Socail media ทั่วไป อาทิ Google Play, Facebook, WhatsApp, Chrome, Skype, Instagram และ…
Read More

TrickBot Trojan ได้รับการพัฒนาพร้อมที่จะขโมย OpenSSH และ OpenVPN Keys

TrickBot หรือที่รู้จักกันในชื่อ Trickster, TrickLoader,  TheTrick เป็นมัลแวร์ที่ได้รับการอัปเดทอย่างต่อเนื่องตั้งแต่ถูกพบครั้งแรกในเดือน ตุลาคม 2016 นักวิจัยจากPalo Alto Networks’ Unit 42  พบโมดูลของ Trickbot banking trojan  มีการพัฒนาฟังก์ชั่นเพิ่มอย่างต่อเนื่อง โดยล่าสุดสามารถที่จะขโมย OpenSSH private keys , OpenVPN passwords และ configuration files. โดยพบจากเครื่องที่ถูก compromised  ซึ่งใช้งาน Windows 7  64bit เมื่อวันที่ 8 พฤศจิกายน ที่ผ่านมา              โดยตัวแปรสามารถขโมยรหัสผ่านจากเว็บบราวเซอร์และแอพต่าง ๆ เช่น Google Chrome, Mozilla Firefox,…
Read More

พบ botnet ตัวใหม่นาม Roboto กำหนดเป้าหมายเป็น Linux servers ที่ใช้งาน Webmin

ทีม natlab จากผู้ให้บริการด้าน Cyber-security ของจีนนาม  Qihoo 360 ได้กล่าวว่า การโจมตี Webmin ในช่วงแรกนั้นคือ botnet ตัวใหม่ที่พวกเขากำลังเฝ้าระวัง ขนานนามว่า Roboto โดยในช่วงระยะเวลา 3 เดือนที่ผ่านมา botnet กำหนดเป้าหมายไปยัง  Webmin servers botnet มีความความสามารถในการใช้เป็น DDos โดยจะเปิดการโจมตีผ่าน vectors เช่น ICMP , HTTP,TCP และ UDP นอกเหนือจากการโจมตีแบบ DDos Roboto ยังสามารถติดตั้งบนระบบ Linux ที่ถูกแฮ็กผ่านช่องโหว่ Webmin เพื่อใช้ทำหน้าที่ต่อไปนี้ : – ทำหน้าที่เป็น reverse shell และ ให้ผู้โจมตีเรียกใช้ shell commands…
Read More