คลังเก็บป้ายกำกับ: AVAST!

thectalkthai

Avast ปล่อยเครื่องมือถอดรหัสแรนซัมแวร์ BianLian

Avast ปล่อยเครื่องมือถอดรหัสแรนซัมแวร์ BianLian สามารถดาวน์โหลดไปถอดรหัสได้ฟรี
 
Credit: Avast

 
Avast ได้ปล่อยเครื่องมือถอดรหัสแรนซัมแวร์ตระกูล BainLian ออกมาให้สามารถดาวน์โหลดไปถอดรหัสกันได้แล้ว หลังจากที่ BianLian มีขยายการโจมตีอย่างหนักในช่วงกลางปีที่แล้ว โดยมีหลายองค์กรถูกแรนซัมแวร์ตัวนี้เข้าโจมตี อย่างไรก็ตามเครื่องมือถอดรหัสตัวนี้สามารถถอดรหัสได้เฉพา BianLian สายพันธุ์ดั้งเดิมเท่านั้น สำหรับสายพันธุ์ใหม่กำลังอยู่ในระหว่างการพัฒนาเครื่องมือถอดรหัส โดยเครื่องมือถอดรหัสตัวนี้สามารถติดตั้งทำงานได้ทันทีแบบ Standalone และผู้ใช้งานสามารถใส่รหัสได้ทันทีถ้าหากทราบรหัส หรือหากไม่ทราบรหัส ระบบจะทำการทดลองถอดรหัสจาก BainLian Password ที่มีแทน
 
BianLian เป็นแรนซัมแวร์ที่พัฒนาบนภาษา Go ตั้งเป้าโจมตีเครื่องเหยื่อที่ใช้งาน Microsoft Windows เป็นหลัก มีการเข้ารหัสแบบ Symmetric AES-256 bit พร้อมใช้เทคนิค Intermittent Encryption เพื่อเร่งความเร็วในการเข้ารหัส หลังจากนั้นจะมีการสร้างไฟล์เข้าที่เข้ารหัสแล้วโดยใช้นามสกุลไฟล์ “.bianlian” พร้อมแจ้งเตือนให้เวลาในการจ่ายค่าไถ่ภายใน 10 วัน หากไม่ทำตามก็จะมีการปล่อยไฟล์บนเว็บไซท์
 

from:https://www.techtalkthai.com/avast-releases-bianlian-ransomware-decryptor/

thectalkthai

พบอุปกรณ์ GPS Tracker หลายแสนตัวใช้ Default Password อ่อนแอ ‘123456’

ผู้เชี่ยวชาญจาก Avast ได้ออกมาเปิดเผยถึงอุปกรณ์ GPS Tracker รุ่น T8 Mini (พบได้ทั่วไปใน Lazada ที่โฆษณาว่าใช้ติดตามเด็ก สัตว์เลี้ยง หรือรถยนต์) โดยผู้ผลิตจีนที่ชื่อ Shenzhen i365-Tech ได้เลือกใช้รหัสผ่าน Default สุดง่ายคือ ‘123456’ ซึ่งมีอุปกรณ์กว่า 600,000 ตัวยังไม่ได้เปลี่ยนรหัสผ่าน

credit : Avast

ประเด็นคือนักวิจัยได้ค้นพบว่า GPS Tracker T8 Mini จากผู้ผลิตที่ชื่อ Shenzhen i365-Tech ใช้รหัสผ่าน Default ง่ายมากๆ คือ ‘123456’ นอกจากนี้ยังกระทบไปถึงโมเดล GPS Tracker อื่นๆ กว่า 30 รุ่นจากผู้ผลิตรายนี้ ที่แย่กว่านั้นคือมีบางส่วนถูก OEM ไปจำหน่ายต่อในแบรนด์อื่นๆ ด้วย

โดยโครงสร้างการใช้งานของ GPS Tracker นั้นเป็นไปตามภาพประกอบด้านบนคือใช้เซิร์ฟเวอร์บน Cloud เพื่อบริหารจัดการการใช้งานในทุกช่องทาง ซึ่งอาศัยเพียงแค่ USER ID หรือ IMEI (Internet Mobile Equipment Identity) และรหัสผ่านเท่านั้น นั่นหมายว่าคนร้ายก็แค่ไล่ล็อกอิน USER ID กับรหัสผ่าน 123456 เพื่อขโมยบัญชีและทำให้สามารถปลอมแปลงพิกัดหรือสอดแนมผู้ใช้งานได้ ไม่เพียงเท่านั้นนักวิจัยยังชี้ว่าบัญชีบน Cloud ถูกสร้างขึ้นพร้อมกับการผลิตซึ่งทำให้คนร้ายสามารถ Hijack บัญชีได้ตั้งแต่ก่อนของออกสู่ตลาดอีกด้วย

ปัจจุบัน Avast ได้วิเคราะห์อุปกรณ์เพียง 4 ล้านบัญชีที่พบกว่า 600,000 บัญชียังใช้ Default Password จึงคาดว่าจำนวนของผู้ได้รับผลกระทบน่าจะสูงกว่านั้น ดังนั้นผู้ใช้งานควรรีบเข้าไปเปลี่ยนรหัสผ่านกันโดยเร็วครับ นอกจากนี้ผู้เชี่ยวญชาญยังไม่สามารถติดต่อ Shenzhen i365-Tech ได้เลย สามารถติดตามเนื้อหาเพิ่มเติมได้ที่บล็อกของ Avast

ที่มา :  https://www.zdnet.com/article/600000-gps-trackers-left-exposed-online-with-a-default-password-of-123456/

from:https://www.techtalkthai.com/t8-mini-gps-tracker-used-default-pass-123456/

thectalkthai

Avast ร่วมมือตำรวจฝรั่งเศสช่วยเหลือเหยื่อ Botnet เกือบล้านราย

ตำรวจฝั่งเศสและ Avast ได้ประสบความสำเร็จในการร่วมมือกันเข้า Hijack เซิร์ฟเวอร์ของ Botnet ที่ชื่อ Retadup ซึ่งมีเหยื่อในการควบคุมกว่า 850,000 ราย

credit : iamwire.com

Retadup เป็นมัลแวร์ที่มุ่งเน้นทำการขุดเหมืองแต่ก็มีฟังก์ชันที่เปิดโอกาสให้คนร้ายสามารถเข้าไปทำกิจกรรมอันตรายอื่นได้เพิ่มเติม ทั้งนี้พบกิจกรรมของมัลแวร์ได้กระจายอยู่ในหลายประเทศ เช่น รัสเซีย อเมริกา ไปจนถึงอเมริกาใต้ ซึ่งหลังจากที่ Avast นั้นได้ค้นพบว่าเซิร์ฟเวอร์ที่ควบคุม Botnet มีช่องโหว่ระดับการออกแบบที่สามารถช่วยให้ทำการ Hijack เซิร์ฟเวอร์เพื่อลบมัลแวร์จากเครื่องเหยื่อได้ จึงได้ขอประสานงานกับตำรวจในประเทศที่เซิร์ฟเวอร์ตั้งอยู่คือฝรั่งเศสเพื่อดำเนินการและได้รับความร่วมมืออย่างดี

การปฏิบัติการมีความน่าตื่นเต้นตรงที่หากคนร้ายไหวตัวอาจเปลี่ยนยุทธวิธีปิดเกมด้วยการเรียกค่าไถ่แทนและหนีไป ด้วยเหตุนี้จึงต้องอาศัยความช่วยเหลือของ Web Host ค่อยๆ ทำการ Snapshot เซิร์ฟเวอร์ควบคุมออกมา จนกระทั่งทีม Avast มีข้อมูลเพียงพอที่จะสร้างโค้ดแก้ไขที่ใช้ลบมัลแวร์ออกจากเหยื่อโดยอาศัยช่องโหว่ระดับการออกแบบในโปรโตคอลของมัลแวร์นั่นเอง โดยสุดท้ายความพยายามครั้งนี้ก็ประสบความสำเร็จได้ด้วยดีซึ่งนับเป็นเหตุการณ์ที่เกิดขึ้นได้น้อยครั้งมากๆ

ที่มา :  https://techcrunch.com/2019/09/01/police-botnet-takedown-infections/

from:https://www.techtalkthai.com/french-police-tack-team-avast-hijack-retadup-botnet-server/

thectalkthai

พบมัลแวร์ใหม่ ‘Clipsa’ สามารถ Brute-force Attack ไซต์ WordPress ได้

นักวิจัยจาก Avast ได้ประกาศการค้นพบมัลแวร์ตัวใหม่ที่ชื่อ Clipsa โดยมีพฤติกรรมที่น่าสนใจในมัลแวร์ฝั่งเดสก์ท็อปคือเรื่องของการ Brute-force Attack กับไซต์ WordPress ทั้งนี้จุดประสงค์หลักของมัลแวร์คือปฏิบัติการอย่างเต็มรูปแบบด้านเงินดิจิทัล

การ Brute-force Attack จากฝั่งของมัลแวร์บนเดสก์ท็อปกับ WordPress นั้นไม่ใช่เรื่องใหม่นักเพียงแต่เป็นพฤติกรรมที่ค่อนข้างน่าประหลาดใจเพราะพบได้ยาก ซึ่งปกติแล้วมักเกิดจากเซิร์ฟเวอร์หรือ IoT ที่ติดมัลแวร์มากกว่า อย่างไรก็ตาม Clipsa เป็นมัลแวร์ที่มุ่งเน้นการโจมตีเงินดิจิทัลอย่างเข้มข้นด้วยการทำงานดังนี้

1.มัลแวร์จะแสกนหาไฟล์ Wallet.dat หรือฐานข้อมูลของแอปกระเป๋าเงินดิจิทัลเพื่ออัปโหลดไปยังเซิร์ฟเวอร์

2.มัลแวร์จะแสกนหารูปแบบ BIP-39 ของ String ในไฟล์ TXT ซึ่งรูปแบบของการใช้งาน Bitcoin ที่คาดว่าสุดท้ายสามารถนำไปใช้แคร็ก Wallet.dat ได้

3.มัลแวร์จะติดตั้งโปรเซสที่คอยดู Clipboard (ถูกใช้ตอน Copy หรือ Cut) ซึ่งหากพบรูปแบบที่อยู่ Bitcoin หรือ Ethereum จะทำการแทนที่ข้อมูลที่อยู่ของตนไปเพื่อทำการ Hijack การจ่ายเงิน

4.ติดตั้งตัวขุดเหมือง XMRig สำหรับขุดเหรียญ Monero

อย่างไรก็ดีนักวิจัยพบว่าคนร้ายยังได้ใช้ WordPress ที่เจาะเข้าไปได้เป็นเซิร์ฟเวอร์ควบคุมลำดับที่สองเพื่อใช้เป็นที่ดาวน์โหลดลิงก์ของตัวขุดเหมืองหรือเก็บข้อมูลที่ขโมยมาได้ โดยนักวิจัยได้พบการโจมตีของ Clipsa ตั้งแต่ราวสิงหาคมเมื่อปีก่อนแล้วซึ่งมีการแพร่ระบาดในหลายประเทศ เช่น อินเดีย บังคลาเทศ ฟิลิปินส์ บราซิล ปากีสถาน สเปน และอิตาลี ทั้งนี้ยังพบว่าในเวลาเพียงปีกว่าคนร้ายได้เงินไปอย่างน้อย 35,000 เหรียญแล้วและมีหลักฐานที่บ่งชี้ว่าน่าจะมียอดสูงกว่านี้ด้วย

ผู้สนใจสามารถติดตามเพิ่มเติมได้จากบล็อกของ Avast

ที่มา :  https://www.zdnet.com/article/new-windows-malware-can-also-brute-force-wordpress-websites/

from:https://www.techtalkthai.com/clipsa-malware-can-brute-force-wordpress/

thectalkthai

แพตช์ Windows ทำพิษ เครื่องที่ใช้ Avira, Avast, McAfee และ Sophos เกิดค้าง

หลังจากที่ Microsoft ออกแพตช์ด้านความมั่นคงปลอดภัยประจำเดือนเมษายนเมื่อวันที่ 9 ที่ผ่านมา พบว่าแพตช์ดังกล่าวอาจส่งผลกระทบกับซอฟต์แวร์ Antivirus หลายยี่ห้อ ทำให้คอมพิวเตอร์ทำงานช้าลงหรือหยุดทำงานไปเลย

Credit: ShutterStock.com

ซอฟต์แวร์ Antivirus ที่ได้รับผลกระทบ ได้แก่ ArcaBit, Avira, Avast, McAfee และ Sophos จากการตรวจสอบพบว่าคอมพิวเตอร์ที่ติดตั้งซอฟต์แวร์ Antivirus ดังกล่าวสามารถทำงานได้ตามปกติจนกระทั่งเมื่อต้องล็อกอินเข้าเครื่อง ผู้ใช้หลายคนรายงานว่าใช้เวลาในการล็อกอินนานมากจนกว่าจะเข้าใช้งานได้ บางคนถึงขั้นเครื่องค้างไปเลยก็มี ปัญหานี้พบทั้งบน Windows 7, 8.1, Server 2008 R2, Server 2012 และ Server 2012 R2

อย่างไรก็ตาม การบูตระบบผ่าน Safe Mode ไม่ได้รับผลกระทบจากปัญหาดังกล่าวแต่อย่างใด ทำให้มีผู้ใช้หลายคนต้องใช้วิธีนี้เพื่อเข้าปิดการทำงานของ Antivirus ก่อนที่จะเข้าใช้งานตามปกติ ในขณะที่ Sophos เองก็ออกมาให้คำแนะนำว่า ให้เพิ่ม Directory ของ Sophos เข้าไปยังส่วนที่ไม่ต้องการให้ซอฟต์แวร์ทำการสแกน เพื่อแก้ปัญหาชั่วคราว

จนถึงตอนนี้ Microsoft ได้ทำการบล็อกการอัปเดตของ ArcaBit, Avira และ Sophos ชั่วคราวเพื่อแก้ปัญหาที่เกิดขึ้น ในขณะที่กำลังตรวจสอบการทำงานร่วมกับซอฟต์แวร์ของ McAfee อยู่ ส่วน Avast ได้ให้คำแนะนำผู้ใช้ว่า ให้รออยู่ที่หน้าล็อกอินประมาณ 15 นาทีเพื่อให้ระบบทำการอัปเดตจากหลังบ้าน แล้วค่อยรีบูตเครื่องเพื่อเข้าใช้งานตามปกติ

Avast และ McAfee คาดว่า ต้นตอของปัญหาน่าจะมาจากการที่ Microsoft ทำการเปลี่ยนเปลี่ยนแปลง CSRSS (Client/Server Runtime subsystem) ซึ่งเป็นส่วนประกอบหลักของ Windows ในการประสานงานและบริหารจัดการ Win32 Applications ส่งผลให้ซอฟต์แวร์ Antivirus เกิดอาการ Deadlock เนื่องจากไม่สามถารเข้าถึงทรัพยากรบางอย่างได้

รายละเอียดเพิ่มเติม: https://support.microsoft.com/en-us/help/4493472/windows-7-update-kb4493472

ที่มา: https://arstechnica.com/gadgets/2019/04/latest-windows-patch-having-problems-with-a-growing-number-of-anti-virus-software/

from:https://www.techtalkthai.com/microsoft-patch-causes-problems-with-antivirus-software/

thectalkthai

เตือน Patch เดือนเมษายน 2019 ของ Microsoft มีปัญหากับ Antivirus อาจทำเครื่องบูทไม่ขึ้น

Patch ล่าสุดของ Microsoft ที่เพิ่งปล่อยออกมาในเดือนเมษายน 2019 นี้ อาจมีปัญหากับ Antivirus และทำให้เครื่องบูทไม่ขึ้นหรือเครื่องค้างระหว่างอัปเดตได้ โดยกระทบกับทั้ง Windows 7, 8.1 และ Windows 2012/2012 R2 รวมถึงยังมีผู้ใช้งาน Windows 10 บางส่วนได้รับผลกระทบด้วย

Credit: ShutterStock.com

ทาง Microsoft, Avast, Avira, Sophos นั้นต่างก็ได้ออกมาระบุถึงปัญหาที่เกิดขึ้นกับอัปเดตในครั้งนี้ และผู้ผลิตทุกรายต่างก็กำลังเร่งแก้ไขปัญหาโดยด่วนกันอยู่ ซึ่งทาง Sophos เองได้ออกมาเผยวิธีการแก้ไขปัญหาเฉพาะหน้าด้วยการ Uninstall Windows Update รอบนี้ออกไปก่อนด้วยขั้นตอนดังต่อไปนี้

  1. บูทเครื่องใน Safe Mode
  2. ปิด Anti-Virus Service
  3. บูทเครื่องอีกครั้งแบบปกติ
  4. Uninstall Windows KB ออกไป
  5. เปิด Anri-Virus Service กลับมา

ที่มา: https://www.bleepingcomputer.com/news/microsoft/microsofts-april-2019-updates-are-causing-windows-to-freeze/

from:https://www.techtalkthai.com/microsoft-patch-2019-04-patches-conflict-with-antivirus-softwares/

thectalkthai

20 อันดับซอฟต์แวร์ยอดนิยมที่ผู้ใช้มักไม่อัปเดตแพตช์

Avast ผู้ให้บริการซอฟต์แวร์ Antivirus ชื่อดัง ได้ทำการจัดอันดับซอฟต์แวร์หมดอายุ หรือซอฟต์แวร์เวอร์ชันเก่าที่ไม่ได้รับการสนับสนุนแล้วจำนวน 20 อันดับ ผู้ใช้ที่มีซอฟต์แวร์เหล่านี้ควรรีบทำการอัปเดตเป็นเวอร์ชันใหม่ล่าสุดหรือถอนการติดตั้งออกเพื่อที่จะได้ไม่ตกเป็นเหยื่อของอาชญากรไซเบอร์

การจัดอันดับดังกล่าวอยู่ในรายงาน PC Trends Report 2019 ซึ่งทาง Avast ระบุว่ามีผู้ใช้หลายล้านคนที่มีซอฟต์แวร์เหล่านี้อย่างน้อย 1 รายการติดตั้งอยู่บนคอมพิวเตอร์ของตน ที่สำคัญคือเป็นซอฟต์แวร์ที่มีการใช้งานอย่างแพร่หลายและเป็นซอฟต์แวร์อันดับแรกๆ ที่แฮ็กเกอร์เลือกโจมตีช่องโหว่

ซอฟต์แวร์หมดอายุทั้ง 20 อันดับมีดังนี้

นอกจากการใช้ซอฟต์แวร์ที่หมดอายุหรือเวอร์ชันเก่าแล้ว Avast ยังพบอีกว่ามีคอมพิวเตอร์ที่รันระบบปฏิบัติการ Windows 7 และ Windows 10 เวอร์ชันเก่า 15% และ 9% ตามลำดับ

เพื่อป้องกันไม่ได้ตกเป็นเหยื่อของอาชญากรไซเบอร์ในการโจมตีช่องโหว่ซอฟต์แวร์หรือระบบปฏิบัติการ แนะนำให้ผู้ใช้เปิดการอัปเดตแพตช์อัตโนมัติ หรือหมั่นอัปเดตซอฟต์แวร์เวอร์ชันใหม่ล่าสุดด้วยตนเองอยู่เสมอ

ที่มา: https://thehackernews.com/2019/01/software-vulnerabilities-hacking.html

from:https://www.techtalkthai.com/top-20-out-of-date-software-running-on-computers/

thectalkthai

Avast เตือน พบ MQTT Server ในระบบ IoT กว่า 32,000 ระบบไม่ได้ตั้งรหัสผ่าน อาจถูกโจมตีได้

นักวิจัยด้าน Security จาก Avast ได้ออกมาแจ้งเตือนถึงการค้นพบเหล่า MQTT Server ในระบบ Internet of Things หรือ IoT ที่ไม่ได้ตั้งรหัสผ่านมากถึง 32,888 ระบบทั่วโลก จาก MQTT Server ที่เข้าถึงได้ผ่าน IP Address จริงจำนวนทั้งสิ้น 49,197 ระบบ นับเป็นจำนวนเกือบ 67% เลยทีเดียว จากการค้นหาผ่าน Shodan

 

Credit: Avast

 

Message Queuing Telemetry Transport หรือ MQTT นี้เป็น Protocol สำหรับใช้รับส่งข้อมูลระหว่าง IoT Device และ IoT Gateway หรือ IoT Hub ซึ่งมักถูกใช้ในผลิตภัณฑ์ IoT จำนวนมากรวมถึง Smart Home ด้วย

ตัว MQTT เองนั้นถูกออกแบบมาอย่างมั่นคงปลอดภัยดีอยู่แล้ว แต่ในกรณีนี้นอกจาก MQTT Server จะถูกเปิดให้เข้าถึงผ่าน IP Address จริงได้โดยตรงแล้ว ระบบเหล่านี้ก็ยังไม่มีการตั้งรหัสผ่านในการเข้าถึงใดๆ ทำให้ผู้โจมตีสามารถทำการ Subscribe Protocol นี้ได้จากระยะไกล และติดตามพฤติกรรมการใช้งานอุปกรณ์ IoT ต่างๆ ได้ รวมถึงอาจทำการโจมตีแบบ Replay Attack เพื่อเข้าควบคุมอุปกรณ์ IoT ได้จากระยะไกล

นอกจากนี้ Avast ยังได้รายงานถึงกรณีที่ระบบ IoT บางระบบที่ถึงแม้ MQTT Server จะปลอดภัยดี แต่ระบบ IoT Management Dashboard นั้นกลับมีช่องโหว่เสียเอง ทำให้ทีมนักวิจัยสามารถเข้าถึงและควบคุมระบบ Dashboard เหล่านี้เพื่อควบคุม IoT Device ต่อไปได้ ซึ่งกรณีนี้มักเกิดจากการที่ผลิตภัณฑ์ IoT จำนวนมากนั้นเลือกที่จะใช้ Open Source Software อย่าง Domoticz, Home Assistant หรือ OpenHAB ในการพัฒนา แต่กลับไม่ได้มีการปรับแต่งการตั้งค่าพื้นฐานให้ปลอดภัย และไม่ได้ตั้งรหัสผ่านในการเข้าใช้งาน

ส่วนกรณีที่ MQTT Server และ IoT Dashboard ปลอดภัยดี ทาง Avast ก็พบว่าระบบอื่นๆ กลับมีช่องให้โจมตีได้แทน เช่น มีการเปิด SMB ที่ไม่ได้มีการตั้งรหัสผ่านใดๆ เอาไว้ ไปจนถึงกรณีอื่นๆ ดังนั้นทาง Avast จึงได้เตือนว่าถึงแม้ IoT จะเป็นเทคโนโลยีที่ทำให้ผู้ใช้งานสะดวกสบายมากขึ้น แต่มันก็เป็นดาบสองคมได้เช่นกันหากใช้งานเทคโนโลยีเหล่านี้อย่างไม่คำนึงถึงประเด็นด้านความมั่นคงปลอดภัย ดังนั้นเหล่าผู้พัฒนาเทคโนโลยีก็ควรพัฒนาระบบให้การติดตั้งใช้งานนั้นรวมถึงการตั้งค่าด้านความปลอดภัยเบื้องต้นอย่างง่ายๆ ให้กับผู้ใช้งานด้วย เพื่อให้ผู้ใช้งานมั่นใจได้ในการใช้งานเทคโนโลยีดังกล่าว

ผู้ที่สนใจสามารถอ่านรายละเอียดฉบับเต็มได้ที่ https://blog.avast.com/mqtt-vulnerabilities-hacking-smart-homes ครับ

 

ที่มา: https://www.zdnet.com/article/32000-smart-homes-businesses-are-at-risk-of-data-leaks-due-to-flawed-mqtt-protocol/

from:https://www.techtalkthai.com/avast-found-that-more-than-32000-mqtt-servers-dont-require-password-to-access/

thectalkthai

เตือนมัลแวร์ GhostTeam บน Android ขโมยข้อมูลล็อกอินของ Facebook

   

Avast! และ Trend Micro สองผู้ให้บริการซอฟต์แวร Antivirus ชื่อดัง ออกมาแจ้งเตือนถึงมัลแวร์ GhostTeam ซึ่งแพร่กระจายตัวอยู่ใน Google Play Store รวมแล้วมากกว่า 50 แอปพลิเคชัน ซึ่งช่วยให้แฮ็กเอร์สามารถขโมยข้อมูลล็อกอินของ Facebook และแสดงโฆษณาบนอุปกรณ์ที่ติดมัลแวร์ได้

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของทั้งสองบริษัทระบุว่า มัลแวร์ดังกล่าวแฝงตัวอยู่ในแอปพลิเคชันบน Google Play Store มาตั้งแต่เดือนเมษายนปี 2017 โดยใช้เทคนิคในการแพร่กระจายตัวที่ค่อนข้างใหม่และมีประสิทธิภาพ โดยเริ่มจากหลอกให้ผู้ใช้ดาวน์โหลดแอปพลิเคชันบน Google Play Store มาติดตั้งก่อน แอปพลิเคชันดังกล่าวจะเป็นแอปพลิเคชันที่ดูเหมือนไม่มีพิษมีภัย ไม่ได้ทำอันตรายแก่ตัวเครื่องโดยตรง แต่จะทำหน้าที่เป็น Dropper ซึ่งจะติดต่อกับ C&C Server เพื่อทำการดาวน์โหลดและติดตั้งแอปพลิเคชันอีกตัวหนึ่งซึ่งมีมัลแวร์ GhostTeam แฝงตัวอยู่ ผ่านทางการแจ้งเตือนผู้ใช้ว่ามีปัญหาเกี่ยวกับความมั่นคงปลอดภัย จำเป็นต้องดาวน์โหลดแอปมาติดตั้งเพิ่มเติมและต้องใช้สิทธิ์ Admin

หลังจากที่แอปพลิเคชัน GhostTeam ถูกติดตั้งลงบนเครื่องและได้สิทธิ์ Admin แล้ว มันจะเริ่มแสดงโฆษณาบนเครื่องของผู้ใช้ทันที รวมไปถึงใช้วิธีพิเศษในการแอบขโมยข้อมูล Credential จากหน้าล็อกอินจริงของ Facebook กล่าวคือ เมื่อผู้ใช้กำลังจะเปิดแอป Facebook มัลแวร์จะทำการเปิดหน้าล็อกอินของ Facebook ผ่านทาง Headless Browser ของ Android โดยใช้ WebView หรือ WebChromeClient แทน พร้อมกับแทรกโค้ด JavaScript สำหรับเก็บข้อมูลล็อกอิน Facebook ของผู้ใช้เข้าไปด้วย เมื่อผู้ใช้ลงทะเบียนเข้าใช้ Facebook ข้อมูลเหล่านั้นก็จะถูกส่งกลับไปยัง C&C Server ของแฮ็กเกอร์ในภายหลัง

จุดเด่นสำคัญของวิธีนี้คือ การดำเนินการทุกขั้นตอนถูกกระทำบนหน้าล็อกอินจริงของ Facebook และผ่านทางระบบที่ถูกต้องของ Android ทำให้ซอฟต์แวร์รักษาความมั่นคงปลอดภัยส่วนใหญ่บนเครื่องไม่สามารถตรวจจับและป้องกันได้

Avast! และ Trend Micro ระบุว่า มีแอปพลิเคชันบน Google Play Store ที่นำไปสู่มัลแวร์ GhostTeam มากถึง 53 แอปพลิเคชัน ซึ่งแอปพลิเคชันทั้งหมดใช้ภาษาเวียดนามเป็นภาษาพื้นฐาน และ C&C Server ก็เป็น IP จากประเทศเวียดนาม ทำให้คาดเดาได้ไม่ยากว่าแฮ็กเกอร์น่าจะเป็นชาวเวียดนาม อย่างไรก็ตาม ประเทศที่ได้รับผลกระทบจาก GhostTeam มากที่สุดกลับเป็นอินเดีย อินโดนีเซีย และบราซิล ตามลำดับ คิดเป็น 60% ของอุปกรณ์ทั้งหมดที่ติดมัลแวร์

ทั้งสองบริษัทได้แจ้งเรื่องมัลแวร์ GhostTeam ไปยัง Google ซึ่งก็ได้ลบแอปพลิเคชันทั้ง 53 รายการออกจาก Play Store เป็นที่เรียบร้อย ส่วนใหญ่เป็นแอปพลิเคชันประเภท Flashlight, QR Code Scanner, Compass, Device Optimization และ Device Cleaning สามารถดูรายชื่อแอปพลิเคชันทั้งหมดได้ที่นี่ [PDF] ถ้าพบว่าบนอุปกรณ์ของตนมีแอปพลิเคชันดังกล่าวติดตั้งอยู่ ให้รีบลบแอปพลิเคชันทิ้ง เปลี่ยนรหัสผ่าน Facebook และใช้การพิสูจน์แบบ 2-factor Authentication

ที่มา: https://www.bleepingcomputer.com/news/security/ghostteam-android-malware-can-steal-facebook-credentials/

from:https://www.techtalkthai.com/ghostteam-android-malware-steals-facebook-credential/

thectalkthai

เตือนมัลแวร์แอนดรอยด์ GhostTeam จ้องขโมย Facebook Credentials

นักวิจัยด้านความมั่นคงปลอดภัยบนมือถือจาก Avast และ Trend Micro ค้นพบมัลแวร์บน Android บน Play Store ที่มีฟีเจอร์เพื่อขโมย Facebook Credentials ให้ชื่อมัลแวร์ตัวนี้ว่า GhostTeam ซึ่งปรากฏขึ้นตั้งแต่เมษายนปีที่แล้วแต่ Google เพิ่งจะลบแอปพลิเคชัน 53 รายการออกเนื่องจากมีส่วนเกี่ยวข้องกับการแพร่มัลแวร์ชนิดนี้

สิ่งที่เกิดขึ้นคือเมื่อผู้ใช้งานหลงเชื่อติดตั้งแอปพลิเคชันที่ปกติหรือที่เรียกว่า Dropper หลังจากนั้นมันจะเริ่มติดต่อกับเซิร์ฟเวอร์ต้นทางเพื่อดาวน์โหลดและติดตั้งแอปพลิเคชันตัวที่สองมาเพิ่มซึ่งคือ GhostTeam นั่นเอง ขั้นต่อไปเพื่อยกระดับสิทธิ์ของโปรแกรมมันจะเริ่มปลอมการแจ้งเตือนด้านความมั่นคงปลอดภัยเพื่อหลอกให้เหยื่อติดตั้งแอปพลิเคชันเพิ่มเติมให้ได้สิทธิ์ระดับผู้ดูแลเพื่อเริ่มรุกรานต่อผู้ใช้อย่างจริงจังด้วยการแสดงโฆษณาต่างๆ

อีกฟีเจอร์หนึ่งคือมัลแวร์ทำการขโมยข้อมูลจากหน้าล็อกอินจริงของ Facebook โดยขั้นตอนคือมันจะคอยตรวจจับการเปิดแอปพลิเคชัน Facebook จริง จากนั้นจะทำการเปิดหน้าล็อกอินใน Headless Browser (ควบคุมหน้าเว็บเพจโดยไม่ต้องใช้ GUI) เช่น WebView หรือ WebChromeClient (คือการเรียกใช้ Browser ที่อยู่ในแอปพลิเคชันเอง ไม่เหมือน Chrome ที่ต้องไปติดตั้งต่างหาก) ซึ่งแอปพลิเคชันที่ติดมัลแวร์ GhostTeam จะทำการโหลดหน้าเพจล็อกอิน Facebook จริงภายในแอปพลิเคชันแต่ว่ามันจะโหลด JavaScirpt อันตรายมาเพิ่มเติมเพื่อเก็บ Credentials ของ Facebook ด้วยเช่นกันและมันจะถูกส่งต่อไปหาเซิร์ฟเวอร์ของผู้โจมตีต่อไป เนื่องจากปฏิบัติการทั้งหมดเกิดอย่างถูกต้องผ่านทางเพจล็อกอินจริงและแอปพลิเคชันที่ถูกต้องทั้งหมด ดังนั้นผลิตภัณฑ์ด้านความมั่นคงปลอดภัยบนมือถือจะไม่สามารถจับการขโมย Credentials นี่ได้เลย

ทางผู้เชี่ยวชาญจาก Trend Micro และ Avast คาดว่ามัลแวร์ตัวนี้ถูกสร้างโดยชาวเวียดนามเนื่องจากมีการตั้งค่าที่ติดมากับแอปพลิเคชันเป็นภาษาเวียดนามและมีการเชื่อมต่อไปยัง IP เซิร์ฟเวอร์ที่เวียดนามด้วย อย่างไรก็ตามแม้ว่า Google จะทำการลบแอปพลิเคชันที่แพร่ GhostTeam แล้วแต่ผู้ใช้ที่โหลดแอปพลิเคชันไปแล้วยังมีผลอยู่ ดังนั้นสามารถเข้าไปเช็ครายชื่อแอปพลิเคชันที่ได้รับผลกระทบที่นี่ นอกจากนี้หลังลบแอปพลิเคชันออกแล้วควรจะเปลี่ยน Credentials ของ Facebook ทันทีและเปิดใช้งาน Two-factor Authentication กับ Facebook ด้วย

ที่มา : https://www.bleepingcomputer.com/news/security/ghostteam-android-malware-can-steal-facebook-credentials/ และ https://www.scmagazine.com/vietnamese-adware-dubbed-ghostteam-spotted-in-several-google-play-apps/article/737779/

from:https://www.techtalkthai.com/ghostteam-android-apps-looking-for-facebook-credentials/