Ako Ransomware ไฟล์ร้ายที่แฝงมาในรูปของ E-Mail

Ako Ransomware เป็น Ransomware ที่มีรูปแบบการโจมตีโดยการแนบไฟล์ Malware ผ่านช่องทาง   E-mail โดยมีการแนบไฟล์ “agreement.zip” พร้อมส่งรหัสผ่าน “2020” เอาไว้ให้ในข้อความ เพื่อเพิ่มความน่าเชื่อถือ ถ้าผู้ที่ได้รับ E-mail ทำการ Extract ไฟล์ออกมาจะพบไฟล์ที่ชื่อว่า agreement.scr เมื่อเรียกใช้งานจะทำการติดตั้ง ransomware มันจะเข้ารหัสไฟล์ของเหยื่อและทิ้งไฟล์ที่แจ้งรายละเอียดการเรียกค่าไถ่ชื่อ “ako-readme.txt” เอาไว้ คำแนะนำ : ควรมีการฝึกอบรมให้ความรู้แก่พนักงานด้าน cyber security awareness ควรมีอุปกรณ์ป้องกัน อย่างเช่น E-mail Gateways และ Antivirus ที่มา : https://www.bleepingcomputer.com/news/security/ako-ransomware-uses-spam-to-infect-its-victims/
Read More

ช่องโหว่บน Zero-Day บน Dropbox สามารถแก้ไขได้แล้วแม้ยังไม่ออก patch ใหม่

ช่องโหว่บน Zero – Day ของ Dropobox สำหรับ Windows นั้นจะส่งผลให้ผู้โจมตีได้รับสิทธิ์ที่มีการสงวนไว้ในระบบ ซึ่งเป็นบัญชีที่มีสิทธิพิเศษที่สุดในระบบปฏิบัติการ นักวิจัยด้านความปลอดภัยนาม Decoder และ Chris Danieli เป็นผู้ค้นพบช่องโหว่และสร้าง proof-of-concept exploit code  เพื่อพิสูจน์ความถูกต้องของผลการวิจัย พวกเขาบอกว่าพวกเขาแจ้ง Dropbox เกี่ยวกับปัญหาเมื่อวันที่ 18 กันยายนและอนุญาตให้ใช้ระยะเวลา 90 วันก่อนที่จะทำการเปิดเผยต่อสาธารณะ  ในตอนนี้จนกว่า Dropbox จะมีการออกเวอร์ชั่นปรับปรุงเพื่อแก้ไขปัญหาที่เกิดขึ้น โดยตอนนี้สามารถใช้ 0Patch ซึ่งเป็นแพลตฟอร์มที่ส่งมอบ micropatches สำหรับปัญหาที่ทราบก่อนที่จะมีการแก้ไขอย่างเป็นทางการถาวร โค้ดเล็ก ๆ เหล่านี้แก้ไขเฉพาะส่วนที่มีช่องโหว่และถูกนำไปใช้ในหน่วยความจำขณะที่ระบบกำลังทำงานดังนั้นจึงสามารถทำงานได้ปกติโดยไม่ต้องรีบูตเครื่อง นักวิจัยกล่าวว่าพวกเขาทดสอบช่องโหว่การเพิ่มระดับสิทธิพิเศษในเวอร์ชัน 87.4.138 ของซอฟต์แวร์ซึ่งเป็นรุ่นล่าสุดในขณะที่เริ่มทดสอบ นักวิจัยทั้งสองพบว่า’dropboxupdate’ service  เขียนไฟล์logไปยัง ‘C: \ ProgramData \ Dropbox \ Update…
Read More

ช่องโหว่บนเราเตอร์ TP – Link ส่งผลให้ผู้โจมตีล็อกอิน โดยไม่ต้องใส่รหัสผ่าน

TP-Link ได้แก้ไขช่องโหว่ระดับ critical  ซึ่งส่งผลกระทบต่อเราเตอร์ Archer บางเวอร์ชั่น ทำให้ผู้โจมตีสามารถ ควบคุมอุปกรณ์ผ่าน LAN ได้จากระยะไกลผ่านการ Telnet และเชื่อมต่อกับเซิร์ฟเวอร์ File Transfer Protocol (FTP) ผ่าน LAN หรือ WAN ในการ exploit ช่องโหว่นี้ ผู้โจมตีจำเป็นต้องส่ง HTTP request ที่มี  character string ยาวกว่าจำนวนไบต์ที่อนุญาต โดยมีผลลัพธ์เป็นรหัสผ่านของผู้ใช้งานเป็นโมฆะ และแทนที่ด้วยค่าว่าง วิธีที่ใช้ exploit สามารถใช้ได้แม้จะมีการตรวจสอบภายในก็ตาม เนื่องจาก การตรวจสอบจะเช็คเฉพาะส่วน referrer’s HTTP headers ซึ่งทำให้ผู้โจมตีสามารถหลอกลวง router’s httpd service เพื่อนให้ยอมรับ request ที่ถูกต้องโดยใช้ค่า tplinkwifi.net เนื่องจากสิทธิ์ที่ใช้งานบนเราเตอร์นี้ คือ…
Read More

พบ Malware Family ใหม่ใน Google Play Store แพร่กระจายไปยังผู้ใช้ระบบปฏิบัติการ Android แล้วกว่า 285,000 อุปกรณ์ทั่วโลก

นักวิจัยค้นพบตระกูลโทรจันใหม่ที่ชื่อว่า“ Venus ”  โดยมี application  8 app ที่เกี่ยวข้องกับมัลแวร์ชนิดนี้ โดยเป้าหมายของมัลแวร์คือ การเรียกเก็บเงิน และพื้นที่โฆษณาของผู้ให้บริการ โดย Threat actors พัฒนา app เหล่านี้ขึ้นมาเพื่อให้ผู้ใช้งานรับ  Ads และ subscribe premium services โดยจะไม่ปรากฏการแจ้งเตือนใด ๆให้กับผู้ใช้งาน นอกจากนี้ app ยัง bypasses ระบบป้องกันและตรวจจับมัลแวร์ของ Google Play ได้อีกด้วย มีหลายประเทศที่ตกเป็นเป้าหมายของแคมเปญมัลแวร์นี้ ได้แก่เบลเยียม,ฝรั่งเศส,เยอรมนี,กินี,โมร็อกโก,เนเธอร์แลนด์,โปแลนด์,โปรตุเกส,เซเนกัลส,เปน,และ ตูนิเซีย นักวิจัยสังเกตว่า มัลแวร์ติดตั้งผ่าน app ที่เรียกว่า Quick scanner ซึ่งได้รับการ protected ที่เข้ารหัส และ ซ่อนไฟล์ไว้ตามการวิจัยของ Evina“ แอปพลิเคชั่นนี้ใช้ไลบรารี libjiagu ที่สร้างโดย…
Read More

Microsoft ออกแพตช์ รักษาความปลอดภัย ในเดือน ธันวาคม 2019 สำหรับ Microsoft Office

Microsoft มีการอัพเดตแพตช์ความปลอดภัยของ Microsoft Office เดือน ธันวาคม 2019 รวมรายการปรับปรุงความปลอดภัยทั้งหมด 16 รายการ และอัพเดทสะสมอีก 5 รายการ สำหรับ 5 product ที่แตกต่างกัน  3 ช่องโหว่ที่ได้รับการแก้ไขในเดือนนี้เป็นช่องโหว่ที่ส่งผลให้ผู้โจมตีสามารถ remote code execution. โจมตีเป้าหมายได้จากระยะไกล ช่องโหว่ Microsoft Office ที่ได้รับการแก้ไขใน เดือน ธันวาคม 2562 เป็นการแก้ไขช่องโหว่ remote code execution  CVE ID คือ CVE-2019-1462  ส่งผลกระทบต่อ PowerPoint 2010, 2013 และ 2016 เมื่อซอฟแวร์ไม่สามารถจัดการกับ objects ภายในหน่วยความจำได้อย่างเหมาะสม หากผู้โจมตีสามารถ exploit ช่องโหว่นี้สำเร็จจะสามารถ รัน…
Read More

Microsoft ออกแพตช์ เดือน ธันวาคม 2019 สำหรับแก้ไข Win32k Zero-day และ ช่องโหว่อื่น ๆ รวม 36 รายการ

Microsoft มีการอัพเดตซอฟต์แวร์โดยในส่วนของ Patch Tuesday ประจำเดือนนี้ ได้มีการแก้ไขปรับปรุงสำหรับช่องโหว่ทั้งหมด 36 ช่องโหว่  โดยมี 7  ช่องโหว่ที่อยู่ในระดับ รุนแรง ( Critical  )   สำหรับแพตช์ของเดือน ธันวาคม 2019  มีหนึ่งในช่องโหว่สำคัญที่ได้รับการแก้ไขในเดือนนี้คือ  ช่องโหว่ zero-day  CVE – ID คือ CVE-2019-1458 | Win32k Elevation of Privilege Vulnerability” ช่องโหว่นี้ส่งผลให้ ผู้โจมตีสามารถ execute commands ได้ใน kernel mode ทำให้สามารถ ติดตั้งโปรแกรม , ดูข้อมูล , เปลี่ยนแปลง หรือ ลบ ข้อมูล ,…
Read More

ช่องโหว่ระดับรุนแรง บนระบบปฏิบัติการ Android ส่งผลให้สามารถโจมตีได้จากภายนอก ทำให้เกิด Denail of Service

Google ได้เผยแพร่ security updates สำหรับ ระบบปฏิบัติการ Android สำหรับแก้ไขช่องโหว่ระดับ Critical 15 รายการ และช่องโหว่ระดับ moderate อื่น ๆ อีก 22 รายการช่องโหว่ที่น่าสนใจมีดังนี้ : CVE-2019-2232 ช่วยให้ผู้โจมตีสามารถ โจมตีได้จากระยะไกล ส่งผลให้เกิด denial of service ซึ่งผู้โจมตีจะใช้ message ที่ออกแบบมาเป็นพิเศษ โดยไม่จำเป็นต้องให้ผู้ใช้ดำเนินการใด ๆ   จากการตรวจสอบ เวอร์ชั่นของ Android ที่ได้รับผลกระทบจากช่องโหว่นี้คือ เวอร์ชั่น 8.0/8.1/9.0/10.0.  CVE-2019-2222 ช่องโหว่ระดับ Critical ส่งผลกระทบต่อ  ihevcd_parse_slice_data ของฟังก์ชัน ihevcd_parse_slice.c ถูกเขียนนอกขอบเขตของ หน่วยความจำ ที่ได้จัดสรรไว้เนื่องจากขาดการตรวจสอบขอบเขต อาจส่งผลให้สามารถ  remote code execution…
Read More

พบช่องโหว่ StrandHogg ส่งผลกระทบต่อระบบปฏิบัติการ Android

นักวิจัยด้านความปลอดภัยของ Promon ได้พบช่องโหว่ใหม่นาม StrandHogg ซึ่งใช้งานโดยมัลแวร์ เช่น BankBot Banking Troja โดยที่ส่งผลกระทบต่อระบบปฏิบัติการ Android ทุกเวอร์ชั่นรวมถึง  Android 10ช่องโหว่นี้สามารถนำไปใช้งานได้โดยที่ไม่ต้องทำการ rooting อุปกรณ์  หลังจากใช้งานช่องโหว่ดังกล่าวจะทำให้ แอพที่เป็นอันตรายสามารถปลอมแปลงไม่ให้ตรวจจับได้เกือบทุกแอพการใช้งานช่องโหว่นี้ขึ้นอยู่กับการตั้งค่าการควบคุม ( Android control ) ที่เรียกว่า  ‘taskAffinity’ ซึ่งจะอนุญาติให้แอพใดๆ ก็ตาม สามารถรับข้อมูลส่วนบุคคล ใน multitasking system ได้อย่างอิสระ เนื่องจากผู้โจมตีสามารถเข้าถึงสิทธ์ Android ได้ จึงสามารถเข้าถึงฟังก์ชั่นต่างๆ ที่ต้องได้รับการอนุญาต และ เข้าถึงข้อมูลที่เก็บไว้ในอุปกรณ์ ดังนี้  :• Listen to the user through the microphone• Take photos through…
Read More

พบเว็บไซต์ Phishing แจก skins CSGO ฟรีผ่าน Steam

Steam คือ โปรแกรมสำหรับเล่นและหาซื้อเกมแบบถูกลิขสิทธิ์ มีผู้ใช้งานมากกว่า  30 ล้านคนทั่วโลก โดยครั้งนี้พบเว็บไซต์ giveavvay.comที่อ้างว่า เป็นเว็บแจก skins  ใหม่ ๆ ทุกวัน แต่ความจริงแล้วเป็นเพียงเว็บไซต์ที่ใช้ขโมย login credentials เท่านั้น  โดยการหลอกลวงเริ่มต้นจาก ความคิดเห็นบนโปรไฟล์ Steam โดยระบุว่า “Dear winner! Your SteamID is selected as a winner of Weekly giveaway. Get your Karambit | Doppler on giveavvay.com”. หากผู้ใช้งานเข้าไปยังไซต์ดังกล่าวจะได้รับโปรโมชั่น  ‘$30,000 giveaway’ ซึ่งมีการแจกฟรีสกิน 26 วันสำหรับเกม Counter-Strike: Global Offensive (CSGO)หน้า…
Read More

พบ ransomeware ตัวใหม่นาม DeathRansom พบมีผู้ตกเป็นเหยื่ออย่างต่อเนื่อง

DeathRansom Ransomware  จากการตรวจสอบของนักวิจัยและผู้ได้รับผลกระทบ ทำให้พบว่าแม้ DeathRansom  จะทำการเข้ารหัสไฟล์เอาไว้โดยหลังจากการเข้ารหัสจะปรากฏ นามสกุลไฟล์เป็น .wctc ขั้นตอนการทำงานก็คล้ายกับ ransomeware ตัวอื่น ๆ  คือเข้ารหัสไฟล์บนเครื่องของผู้ใช้งานที่ตกเป็นเหยื่อและ pathnames ตาม strings นี้ :programdata$recycle.binprogram fileswindowsall usersappdataread_me.txtautoexec.batdesktop.iniautorun.infntuser.daticoncache.dbbootsect.bakboot.inintuser.dat.logthumbs.db ไฟล์จะถูกเข้ารหัสโดยการทำเครื่องหมาย ABEFCDAB file  ต่อท้ายไฟล์ในทุก ๆ โฟล์เดอร์ที่ถูกเข้ารหัส  จากนั้น ransomware จะสร้าง ransome note ชื่อว่า read_me.txt ซึ่งมี “LOCK-ID” ที่ไม่ซ้ำกันและมีที่อยู่อีเมลเพื่อติดต่อนักพัฒนา ransomware หรือ บริษัท ในเครือ จากการตรวจสอบพบว่า ผู้ที่ตกเป็นเหยื่อ DeathRansom มีบางส่วนเคยโดน STOP Ransomware มาก่อนจึงเกิดข้อสันนิษฐานขึ้นว่ามาDeathRansom ransom note และ STOP…
Read More