คลังเก็บป้ายกำกับ: MALWARE

บทสรุป “6 คำทำนายการคาดการณ์ภัยคุกคามปี 2023” ข้อมูลโดยทาง ฟอร์ติเน็ต ประเทศไทย

ฟอร์ติเน็ต ได้จัดงานแถลงข่าว โดยมุ่งเน้นให้เห็นถึงแนวโน้มประเด็นด้านภัยคุกคามที่คาดว่าจะเกิดขึ้นในปี 2023 ที่จะมาถึงนี้ โดยผู้ที่ขึ้นมาแถลงในคราวนี้ก็คือ ดร.รัฐิติ์พงษ์ พุทธเจริญ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ฟอร์ติเน็ต

ก่อนที่เขาจะเล่าถึงสิ่งที่จะเกิดขึ้นในปี 2023 นั้น เขาได้ท้าวความไปถึงคำทำนายของปี 2022 ไม่ว่าจะเป็นเรื่องของ ภัยของการปลอมแปลงอย่าง Deep Fake ที่มีการใช้ AI ได้อย่างน่ากลัวมากขึ้น, เรื่องของการปล้นพวก กระเป๋าเงินดิจิทัล (Digital Wallet) มากขึ้นกว่าเดิม รวมถึงประเด็นการขโมยตัวทรัพย์สินแบบ NFT ก็เพิ่มมากขึ้น

พอมาถึงปี 2023 นี้เขาได้ยกตัวอย่างคำทำนายเอาไว้ 6 ประการ ที่อาจจะส่งผลกระทบในเรื่องของภัยคุกคามที่จะเกิดขึ้นในโลกรวมถึงประเทศไทยด้วย โดยทางทีมงาน Enterprise ITPro ได้สรุปเฉพาะส่วนสำคัญมาให้อ่าน ดังนี้

1. เรื่องของ Wiper Malware – จะเป็นภัยที่น่ากลัวมากขึ้น มีการผสมผสานระหว่างแรนซั่มแวร์และมัลแวร์ ผนึกรวมกัน ทำให้มันแพร่กระจายรวดเร็ว พร้อมทั้งนำไปสู่เรื่องของการเรียกค่าไถ่ไฟล์ในส่วนต่างๆ มากขึ้นไปอีก

2. เรื่องของ Crime as a Service (CaaS) – จะเป็นรูปแบบการโจมตีที่ง่ายต่อผู้ร้ายมากขึ้น เพราะมีเครื่องมืออันแสนร้ายกาจต่างๆ มีให้เลือกใช้ได้ง่ายกว่าเดิม ผู้ไม่ประสงค์ดีไม่จำเป็นต้องพัฒนาทูลขึ้นมาเอง แต่มีคนให้บริการเครื่องมือโจมตีเหล่านี้มากขึ้น เช่น เครื่องมือสแกนช่องโหว่, เครื่องมือสำหรับการฝังมัลแวร์ ฯลฯ

3. เรื่องของ การฟอกเงินแบบอัตโนมัติ (Money Laundering) – จะมีการใช้มัลแวร์ในลักษณะเป็นการฟอกเงิน ปัจจุบันนี้มีทูลในการล่อลวงคนได้ง่ายขึ้นกว่าเดิม สามารถเปลี่ยนเงินดิจิทัลให้กลายเป็นเงินสด หรือเงินสดไปเป็นเงินดิจิทัลได้อย่างรวดเร็ว ทำให้เกิดการฟอกเงินได้อย่างสะดวกกว่า

4. เรื่องของ เมืองเสมือน (Virtual Cities) ด้วยการมาของ Metaverse ทำให้เกิดมุมมองในโลกออนไลน์ที่มีความคล้ายไปกับโลกจริงๆ เพราะมีทั้งเรื่องของการใช้จ่ายบนโลกออนไลน์ผ่านอวตารต่างๆ ไม่ว่าจะเป็น กระเป๋าเงินดิจิทัล (Digital Wallet), สินทรัพย์ดิจิทัลอย่าง NFT, รวมถึงเงินคริปโต ฯลฯ เท่ากับเป็นอีกแหล่งหนึ่งที่เหล่าผู้ไม่ประสงค์ดีจะหากินในมุมดังกล่าวนี้

5. เรื่องของ Web 3.0 – โลกอินเทอร์เน็ตกำลังขับเคลื่อนสู่ยุคอนาคตที่เรียกกันว่ายุคที่สาม หรือ Web 3.0 และมันก่อนให้เกิดความง่ายในการใช้งานต่อยูสเซอร์ อีกทั้ง Wallet ในแบบ Web 3.0 ยังไม่มีเครื่องมืออย่างเช่นพวก MFA (Mulifuction Authentication) ที่มาให้ใช้เท่าไหร่ มีเพียงแค่พาสส์เวิร์ดเท่านั้น เท่ากับมันก็ค่อนข้างเสี่ยงจากการโจมตี หรือสูญหายมากขึ้น

6. เรื่องของ Quantum Computing – ควอนตัมคอมพิวติ้ง กำลังจะมีบทบาทมากขึ้น เพราะให้ประสิทธิภาพที่ยอดเยี่ยม มีความเร็วและการประมวลผลแบบไร้ขีด ซึ่งแน่นอนว่าถ้าพวกแฮ็กเกอร์มีทูลในการถอดรหัสที่เป็นแบบควอนตัมคอมพิวติ้งก่อน มันก็จะสามารถแกะหรือถอดรหัสอัลกอริทึมในการป้องกันข้อมูลของเราได้อย่างรวดเร็ว

ดาวน์โหลดรายงานฉบับเต็มได้ที่นี่ – Cyber Threat Predictions for 2023

 

from:https://www.enterpriseitpro.net/fortinet-cyber-threat-predictions-for-2023/

Acer อัปเดตเฟิร์มแวร์บนแล็ปท็อปของตน เป็นช่องโหว่mujทำให้ปิดระบบ Secure Boot ได้

Acer ปล่อยตัวอัปเดตเฟิร์มแวร์ออกมาแก้ไขช่องโหว่ด้านความปลอดภัยที่อาจนำไปสู่การปิดฟีเจอร์ UEFI Secure Boot บนคอมพิวเตอร์ได้ เป็นช่องโหว่ระดับร้ายแรงสูงภายใต้รหัส CVE-2022-4020 กระทบคอมพิวเตอร์แล็ปท็อปทั้งหมด 5 รุ่นด้วยกัน

ได้แก่ Aspire A315-22, A115-21, และ A315-22G รวมทั้ง Extensa EX215-21 กับ EX215-21G โดยทางผู้ผลิตชี้แจงปัญหานี้ว่า “อาจเปิดทางให้เปลี่ยนการตั้งค่า Secure Boot ได้ด้วยการสร้างตัวแปรบน NVRAM” ค้นพบโดยนักวิจัยจาก ESET ชื่อ Martin Smolár ที่เคยเปิดเผยบั๊กคล้ายกันบน Lenovo มาแล้ว

การปิด Secure Boot ที่เป็นกลไกที่ล็อกให้โหลดแต่ซอฟต์แวร์ที่เชื่อถือได้เท่านั้นระหว่างการเริ่มต้นทำงานใหม่ของเครื่อง จะทำให้ผู้ไม่หวังดีเข้าไปแก้ไขตัวบูทโหลดเดอร์จนเกิดผลอันตรายตามมาได้ โดยเฉพาะการตั้งค่าให้เข้าควบคุมโปรเซสการโหลดทั้งหมดของโอเอส

หรือแม้แต่การ “ปิดหรือข้ามระบบป้องกัน เพื่อติดตั้งเปย์โหลดอันตรายของตัวเองด้วยสิทธิ์สูงสุดหรือ SYSTEM” ซึ่งทาง ESET บริษัทสัญชาติสโลวักได้ระบุว่า ช่องโหว่นี้แทรกอยู่ได้ไดรเวอร์ของ DXE ที่เรียกว่า HQSwSmiDxe ซึ่งการอัปเดตไบออสของ Acer ครั้งนี้ปล่อยมาเป็นส่วนหนึ่งของการอัปเดตวินโดวส์ตัวสำคัญ ที่ผู้ใช้สามารถโหลดจากพอทัล Support ของ Acer ต่างหากได้ด้วย

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/new-flaw-in-acer-laptops-could-let-attackers-disable-secure-boot-protection/

ญี่ปุ่นเตรียมตั้งหน่วยป้องกันทางไซเบอร์ขึ้นใหม่ หลังเผชิญการโจมตีอย่างหนัก

มีรายงานว่า ทางการญี่ปุ่นกำลังพิจารณาก่อตั้งหน่วยงานใหม่เพื่อปกป้องประเทศจากการโจมตีทางไซเบอร์โดยเฉพาะ หลังจากโดนโจมตีครั้งใหญ่ๆ มาหลายต่อหลายครั้งช่วงไม่กี่ปีที่ผ่านมา ซึ่งน่าจะสังกัดภายใต้สำนักเลขาธิการความมั่นคงแห่งชาติ ใต้สภาความมั่นคงของญี่ปุ่นอีกทีหนึ่ง

องค์กรนี้จะดูแลด้านความปลอดภัยทางไซเบอร์ทั้งในส่วนของการทหารและตำรวจ อ้างอิงจากแหล่งข่าวภาครัฐของ Kyodo News โดยจะต้องมีการวางงบประมาณด้านความมั่นคงนี้เป็นการเฉพาะสำหรับปี 2024 ในรูปของการขยายความครอบคลุมหน้าที่งานของศูนย์รับมือเหตุการณ์และวางกลยุทธ์ด้านความปลอดภัยทางไซเบอร์แห่งชาติ หรือ NISC ในปัจจุบัน

ตอนนี้ NISC รับหน้าที่ส่งเสริมด้านนโยบายความปลอดภัยไซเบอร์ในภาครัฐต่างๆ และแบ่งปันข้อมูลเกี่ยวกับการโจมตีให้แก่กระทรวง ทบวง กรม หรือแม้แต่หน่วยงานและภาคเอกชนทั้งหลาย โดยยังไม่มีงานด้านการป้องกันทางไซเบอร์เชิงรุกเท่าไร

กฎหมายใหม่ที่จะต้องออกมารองรับจะเป็นการให้อำนาจแก่หน่วยงานใหม่เพื่อมีอิสระ เข้าดำเนินการเชิงรุกเพื่อหยุดยั้งการโจมตีก่อนจะเข้าถึงระบบของญี่ปุ่นโดยเฉพาะ มีการร่วมมือและแบ่งปันข้อมูลข่าวกรองระหว่างประเทศพันธมิตรด้วยกันอย่างสหรัฐฯ และสหภาพยุโรป

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/japan-considers-creating-new-cyber-defence/

VMware แก้ไขช่องโหว่ร้ายแรงสามรายการ สาเหตุร้ายในการทะลุระบบการยืนยันตัวตนได้แล้ว

VMware ปล่อยตัวอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ร้ายแรงสามรายการในโซลูชั่น Workspace ONE Assist ที่เปิดให้ผู้โจมตีจากภายนอกก้าวข้ามการยืนยันตัวตน พร้อมยกระดับสิทธิ์ตัวเองขึ้นเป็นแอดมินได้

Workspace ONE Assist ใช้ทั้งการควบคุมระยะไกล, แชร์หน้าจอ, จัดการไฟล์ระบบ, และรันคำสั่งจากระยะไกล เพื่ออำนวยความสะดวกแก่ฝ่ายซัพพอร์ตและเจ้าหน้าที่ไอทีในการเข้าถึงระยะไกล และแก้ปัญหาอุปกรณ์แบบเรียลไทม์จากหน้าคอนโซล

ช่องโหว่ทั้งหมดนี้ได้แก่รหัส CVE-2022-31685 (ช่องโหว่ข้ามการยืนยันตัวตน), CVE-2022-31686 (ช่องโหว่ในขั้นตอนการยืนยันตัวตน), และ CVE-2022-31687 (ช่องโหว่ในการควบคุมการยืนยันตัวตน) ทั้งหมดนี้ได้คะแนนความร้ายแรงสูงสุดถึง 9.8 เต็ม 10 ตามสเกล CVSS

โดยผู้โจมตีไม่ต้องล็อกอินก็สามารถใช้เข้าระบบได้ด้วยการโจมตีง่ายๆ ไม่ต้องอาศัยความร่วมมือจากผู้ใช้ในการยกระดับสิทธิ์เลย แพ็ตช์ที่อัปเดตครั้งนี้มาในเวอร์ชั่นใหม่ Workspace ONE Assist 22.10 (89993) สำหรับลูกค้าวินโดวส์ พร้อมกับการอุดช่องโหว่ XSS ภายใต้รหัส CVE-2022-31688 ด้วย

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

from:https://www.enterpriseitpro.net/vmware-fixes-three-critical/

Medibank ปฏิเสธจ่ายค่าไถ่ ยอมให้ข้อมูลลูกค้า 9.7 ล้านรายถูกแก๊งแรนซั่มแวร์เปิดเผย

บริษัทประกันสุขภาพสัญชาติออสเตรเลีย Medibank ออกมายอมรับว่า ข้อมูลส่วนตัวของลูกค้าทั้งในอดีตและปัจจุบันรวมกันกว่า 9.7 ล้านรายการได้ถูกเข้าถึงหลังจากโดนโจมตีด้วยแรนซั่มแวร์ ที่บริษัทอ้างว่าตรวจพบความเคลื่อนไหวบนเครือข่ายเมื่อวันที่ 12 ตุลาคม

แม้จะรีบแยกส่วนระบบดังกล่าว แต่ผู้โจมตีก็สามารถดึงข้อมูลออกไปก่อนหน้าแล้ว โดยแบ่งเป็นข้อมูลลูกค้า Medibank เองกว่า 5.1 ล้านรายการ ข้อมูลลูกค้า ahm 2.8 ล้านรายการ และอีกกว่า 1.8 ล้านรายการเป็นของลูกค้าในประเทศอื่นๆ ทั่วโลก

ข้อมูลเหล่านี้ประกอบด้วยชื่อ วันเดือนปีเกิด ที่อยู่ เบอร์โทรศัพท์ และอีเมล รวมทั้งเลขสมาชิก Medicare สำหรับลูกค้า ahm และเลขพาสปอร์ต (ไม่รวมวันหมดอายุ) และข้อมูลเกี่ยวกับวีซ่าสำหรับลูกค้าที่เป็นนักศึกษาต่างชาติ แต่ไม่รวมข้อมูลทางการเงิน และข้อมูลเอกสารยืนยันตนอย่างใบขับขี่

อีกทั้งไม่พบความเคลื่อนไหวที่ผิดปกติบนเครือข่ายหลังวันที่ 12 ตุลาคม ในคำแถลงการณ์ถึงนักลงทุนล่าสุด ทางบริษัทจึงระบุว่า ตนเองจะไม่จ่ายค่าไถ่ใดๆ แก่ผู้โจมตี เพื่อไม่ให้เป็นการส่งเสริมให้ผู้ไม่หวังดีรีดไถจากลูกค้าต่อ แพร่กระจายจนทำให้ออสเตรเลียกลายเป็นประเทศเป้าหมายของการโจมตีลักษณะนี้

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/medibank-refuses-to-pay-ransom-after-9-7-million-customers-exposed-in-ransomware-hack/

โม้อีกแล้ว! Thales สืบสวนพบว่าไม่ได้ถูกโจมตีอย่างที่ LockBit กล่าวอ้าง

จากการสืบสวนของบริษัท Thales ไม่พบหลักฐานว่าแรนซั่มแวร์ LockBit สามารถโจมตีบริษัทได้เป็นผลสำเร็จ หลังจากที่กลุ่มแรนซั่มแวร์นี้ทำทีโพสต์ว่ามีข้อมูลที่จารกรรมมาได้จาก Thales ตามเว็บบอร์ดแฮ็กเกอร์และตลาดมืดต่างๆ

โดยเมื่อวันอังคารที่ผ่่านมา บริษัทข้ามชาติจากฝรั่งเศสนี้ได้ออกประกาศเป็นทางการว่า จากที่เห็นโพสต์ต่างๆ บนเว็บมืดที่มาจากกลุ่มแรนซั่มแวร์ LockBit 3.0 อ้างว่าได้ข้อมูลที่ดูดมาจาก Thales พร้อมขู่จะโพสต์เปิดเผยสาธารณะในวันที่ 7 พฤศจิกายนที่จะถึงนี้นั้น

ทางบริษัทได้รีบแจ้งทางสำนักความปลอดภัยของข้อมูลแห่งฝรั่งเศสหรือ ANSII พร้อมร่วมดำเนินการสืบสวนภายในทันที อย่างไรก็ตาม ผลการสืบสวนพบว่า ไม่เจอหลักฐานร่องรอยของการจารกรรมข้อมูลแต่อย่างใด หรือแม้แต่ร่องรอยการบุกรุกเข้าระบบของบริษัท

และจนถึงตอนนี้ กลุ่มดังกล่าวก็ยังไม่ได้โพสต์อะไรที่เป็นหลักฐานชี้ว่าแฮ็ก Thales ได้เลย ที่สำคัญ บริษัทก็ไม่ได้รับการแจ้งให้จ่ายค่าไถ่โดยตรงเลยด้วย ซึ่งอาจจะเหมือนกรณีเมื่อมิถุนายนที่กลุ่มนี้อ้างว่าเจาะ Mandiant ได้ แต่ก็ไม่มีหลักฐานหรือโพสต์ข้อมูลหลุดเมื่อถึงเดดไลน์แต่อย่างใด

อ่านเพิ่มเติมที่นี่

from:https://www.enterpriseitpro.net/lockbit-repeats-pr-stunt-as-thales-ransomware-investigation/

เตือน 5 แอปอันตรายแอบบันทึกจอ ขโมยข้อมูลธนาคาร พบเห็นลบด่วน ห้ามดาวน์โหลดมาใช้

เจออีก! แอปอันตราย คอยบันทึกหน้าจอมือถือแล้วขโมยข้อมูลธนาคารเราได้ ถูกพบให้ดาวน์โหลดอยู่บน Google Play Store แถมมียอดดาวน์โหลดปาเข้าไปนับ 100,000 รายแล้วด้วย เตือนให้ระวังอย่าหลงไปติดตั้ง หรือถ้ามีในเครื่องรีบลบออกด๋วนจี๋ก่อนโดนขโมยข้อมูลสำคัญครับ

รายงานนี้มาจาก ThreatFabric ที่พบแอปพวกนี้ปลอมตัวเป็นแอปคอยช่วยบันทึกรายรับรายจ่าย หรือปลอมเป็นแอปช่วยเหลือทั่วไปอย่างการจัดการไฟล์ (File Manager) เพื่อหลอกให้ผู้ใช้งานดาวน์โหลดมาไว้บนเครื่อง ซึ่งก็คงจะหลอกได้เนียนไม่น้อยเพราะยอดดาวน์โหลดรวมกันแล้วทะลุแสนครั้งไปเรียบร้อย

และแม้ Google Play จะมีระบบคัดกรองไม่ให้แอปอันตรายแบบนี้ถูกจัดวางปล่อยให้โหลดกัน แต่ช่วงนี้ดูเหมือนจะมีคนเจอช่องทางหลุดรอดเข้าไปได้อยู่ดี โดยมีวิธีการส่งแอปปกติไปให้กูเกิลตรวจสอบ แล้วหลังจากนั้นค่อยใช้วิธี malware dropper แอบอัปเดตจากภายในตัวแอปให้มีโค้ดอันตรายเอาทีหลัง

ThreatFabric ยังระบุอีกว่าวิธีส่งมัลแวร์หรือไวรัสคอมพิวเตอร์แบบนี้กำลังฮิตมากขึ้นเรื่อย ๆ เห็นได้จากข่าวเตือนแอปอันตรายก่อนหน้าที่ใช้รูปแบบเดียวกันเลย

แอป 5 ตัวที่แฝงไปด้วยมัลแวร์ขโมยข้อมูลผู้ใช้

  • Codice Fiscale 2022 โดย WizDrostek – ยอดดาวน์โหลด 10,000 ครั้ง
  • File Manager Small, Lite โดย – ยอดดาวน์โหลด 1,000 ครั้ง
  • Recover Audio, Images & Videos โดย xed Tech – ยอดดาวน์โหลด 100,000 ครั้ง
  • Zetter Authentication โดย urbanTechnologies – ยอดดาวน์โหลด 10,000 ครั้ง
  • My Finances Tracker โดย Dijitality Solutions – ยอดดาวน์โหลด 1,000 ครั้ง

หากใครคุ้นหน้าคุ้นตา เคยเจอแอปพวกนี้ในมือถืออุปกรณ์ของตัวเองหรือคนรู้จัก ให้รีบไปจัดการลบแอปทันที เพื่อไม่ให้มีโอกาสโจมตีขโมยข้อมูลอะไรได้มากกว่านี้ครับ แต่จากตอนนี้ที่เค้าไปค้นหาดูพบว่าแอปเหล่านี้อาจถูกถอดออกจาก Play Store แล้ว (หรือไม่ก็มีชื่อที่ซ้ำซากมาก ๆ ยากเกินจะหาเจอ)

แอปเหล่านี้ขโมยข้อมูลเราได้อย่างไร?

Codice Fiscale 2022 เป็นแอปที่สร้างมาหลอกว่าจะช่วยคำนวณภาษี ส่วนแอป File Manager Small, Lite ก็ทำตัวเป็นแอปช่วยจัดการไฟล์ทั่วไป แต่ทั้งคู่พอติดตั้งลงเครื่องแล้ว จะทำการอัปเดตไวรัสโทรจัน SharkBot เข้ามาในเครื่องอุปกรณ์ Android ของเราครับ

SharkBot และ Vultur คืออะไร

SharkBot เป็นโปรแกรมโทรจัน (Trojan) ที่จะเปิดหน้าล็อกอินปลอมขึ้นมาเพื่อขโมยข้อมูลชื่อและรหัสจากผู้ใช้งาน ก่อนหน้านี้ได้ขโมยข้อมูลไปแล้วจากลูกค้า PayPal และบริการธนาคารอื่น ๆ แถมยังมีความร้ายสามารถขโมยรหัสยืนยันตัวตน 2FA ที่ปกติจะถูกส่งมาผ่านข้อความ SMS สามารถบันทึกการพิมพ์คีย์บอร์ดของเรา แล้วก็ควบคุมเครื่องได้จากที่ไกลด้วย แสบมาก ๆ

โดยทั้งสองแอป Codice Fiscale 2022 และ File Manager Small, Lite จะแอปติดตั้ง SharkBot โดยการส่งแจ้งเตือนให้แอปเดตแอปแบบปลอม ๆ ที่พอกดแล้วจะพาไปหน้าเว็บทำออกมาคล้าย Google Play Store ให้กดดาวน์โหลดแอปเวอร์ชันอันตรายเข้าไป

ส่วนแอป Recover Audio, Images & Videos, Zetter Authentication, และ My Finances Tracker ก็มีหลักการทำงานคล้านกัน เพียงแต่เปลี่ยนไปใช้มัลแวร์ Vultur แทน SharkBot ที่จะใช้ระบบบันทึกหน้าจอและการพิมพ์คีย์บอร์ด เพื่อส่งกลับไปให้มิจฉาชีพเอาข้อมูลไปใช้ต่ออีกที

ซึ่งทั้งสามแอปก็ใช้กลลวง ส่งแจ้งเตือนให้ผู้ใช้หลงอัปเดตโปรแกรมผ่านหน้า Play Store ปลอม ทำให้ได้แอปเวอร์ชันที่มีมัลแวร์แฝงอยู่ข้างในไปนั่นเอง และยังพบว่ามัลแวร์ Vultur เวอร์ชันใหม่สามารถบันทึกข้อมูลได้มากกว่าเดิม อย่างการบันทึกหน้า UI บันทึกคลิ๊ก สัมผัส และ Gesture ต่าง ๆ ที่ผู้ติดตั้งได้ใช้งานไป

วิธีป้องกันตัวจากแอปอันตราย

แอปเหล่านี้มีวิธีการนำมัลแวร์เข้าเครื่องของเรา ผ่านการหลอกให้ดาวน์โหลดแอปเข้ามาจากหน้าเว็บปลอม ดังนั้นต้องระวังเวลามีแจ้งเตือนให้อัปเดตแอป ควรสังเกตุให้ดีว่าเป็นการแจ้งเตือนโดยตรงจาก Play Store หรือไม่ และอย่าได้กดดาวน์โหลดเวลาแอปพาไปยังลิงก์ข้างนอกเด็ดขาด และต้องสังเกตุหน้าเว็บ ว่าตัว URL มีความผิดแปลกอะไรไปหรือเปล่า

ทางที่ดี ควรกดอัปเดตแอปผ่านตัว Play Store อย่างเป็นทางการเท่านั้น เพราะจะได้รับการตรวจสอบมาจาก Google แล้วนั่นเองครับ

หน้าอัปเดตแอปใน Google Play Store

 

ที่มา :  threatfabric, tomsguide

from:https://droidsans.com/5-malware-app-steal-banking-info-delete-now/

รีบลบด่วน! พบแอปมัลแวร์ยอดดาวน์โหลด 1,000,000 ครั้ง แฝงตัวเนียนอยู่บน Google Play Store

นักวิจัยด้านความปลอดภัย พบแอปแอนดรอยด์อันตรายแอบเนียนเข้ามาให้ดาวน์โหลดกันบน Play Store โดยคาดว่าได้ลอดผ่านระบบตรวจจับของ Google เข้ามาได้ และด้วยความที่เป็นแอปที่ดูเหมือนมีฟังก์ชันการใช้งานพื้นฐานทั่วไป ทำให้คนหลงกดดาวน์โหลดเข้าเครื่องกันเป็นจำนวนมาก ใครที่เห็นรายชื่อแอปพวกนี้แล้วรู้สึกคุ้น ๆ มีอยู่ในเครื่องรีบไปเอาออกด่วน

รายงานดังกล่าวมาจาก Malwarebytes ที่ไปพบเจอแอปตัวแสบ คอยแสดงโฆษณารบกวนผู้ใช้ที่ดาวน์โหลดมันเข้ามาในเครื่อง และไม่แน่อาจใส่มัลแวร์เข้ามาสร้างช่องโหว่ความปลอดภัยให้มือถือระบบ Android ด้วย

และแม้ว่าแอปทั้ง 4 ตัวนี้จะมีริวิวไม่ค่อยดี ก็ดูเหมือนว่าจะมีคนหลงกดดาวน์โหลดเข้าไปในเครื่องกันแล้วมากมาย โดยมีแอปที่มียอดดาวน์โหลดสูงสุดถึง 1 ล้านครั้งแล้วด้วย แปลว่ามีคนจำนวนมากที่เวลากดเข้ามาหน้าแอปแล้วเลือกกดดาวน์โหลดเลย มากกว่าจะเลื่อนลงไปดูข้างล่างว่าคนรีวิวเอาไว้ว่ายังไงนะเนี่ย

โดยขณะนี้แอปดังกล่าวยังคงเปิดให้ดาวน์โหลดได้อยู่บน Google Play Store แม้ Mobile apps Group ผู้พัฒนาตัวต้นเรื่องจะเคยมีประวัติทำอะไรแบบนี้มาแล้ว 2 ในอดีต แต่ก็ยังมีหน้าทำต่อได้อีกอยู่ดี ทางนักวิจัยความปลอดภัยจาก MalwareBytes ก็ออกมาแสดงความไม่พอใจ ว่าทำไมไอ้เจ้าผู้พัฒนารายนี้ยังสามารถอยู่ได้บนแพลตฟอร์มได้อีก

แอป 4 ตัวที่แฝงไปด้วยมัลแวร์

  • Bluetooth Auto Connect – ยอดดาวน์โหลด 1,000,000+ ครั้ง
  • Bluetooth App Sender – ยอดดาวน์โหลด 50,000+ ครั้ง
  • Driver: Bluetooth, Wi-Fi, USB – ยอดดาวน์โหลด 10,000+ ครั้ง
  • Mobile transfer: smart switch – ยอดดาวน์โหลด 1,000+ ครั้ง

ซึ่งจากรายงานระบุว่า ผู้พัฒนาแอป ได้ซ่อนพิษร้ายไว้ ให้แอปไม่ขึ้นโฆษณาอะไรในช่วง 72 ชั่วโมงแรกหลังดาวน์โหลด ทำให้คนรู้ตัวได้ช้าว่าแอปตัวไหนที่เป็นตัวการขึ้นโฆษณาขึ้นมา หลังจากครบเวลากำหนดแล้วแอปก็จะทำการแสดงโฆษณาขึ้นมาทุก ๆ 2 ชั่วโมง ไม่เว้นแม้กระทั่งกำลังล็อกเครื่องอยู่ พอผู้ใช้ปลดล็อกเครื่องขั้นมาก็จะเจอโฆษณาโชว์หราอยู่บนหน้าจอ หรือไม่ก็เด้งหน้าเว็บหลอกขโมยข้อมูลใน Browser ของเครื่องด้วย

ดังนั้นจึงพอคาดการณ์ได้ว่า การดีเลย์ขึ้นโฆษณา 72 ขั่วโมงนี้กลายเป็นเทคนิคในการผ่านการทดสอบแอปของ Google ไปได้ แต่ถ้าดูในรีวิวก็จะเห็นได้ว่ามีคนมาบ่นเรื่องแอปโชว์โฆษณากันเต็มไปหมด แถมผู้พัฒนายังจะมาคอยตอบรีวิว เชิญชวนให้คนอัปเกรดเป็นเวอร์ชันพรีเมี่ยมกันอีก แสบเข้าไส้จริง ๆ

ยังไงก็อย่าลืมเตือนคนรู้จัก ใครที่อาจดาวน์โหลดแอปอะไรพวกนี้ เพราะใช้คำพื้นฐานทั่วไปมาเป็นชื่อแอป อาจทำคนหลงผิดว่าต้องดาวน์โหลดอะไรพวกนี้ถึงจะใช้งานฟังก์ชันต่าง ๆ ได้ ใครมีในเครื่องก็รีบลบเลย

 

ที่มา : tomsguide

 

from:https://droidsans.com/malware-apps-found-on-google-play-store/

WithSecure เตือน! กลไกเข้ารหัสของ Office 365 แฮ็กได้ง่ายมาก

นักวิชาการจากบริษัทด้านความปลอดภัยทางไซเบอร์ WithSecure ได้ออกประกาศเตือนผู้ใช้ Office 365 ว่า ระบบเข้ารหัสข้อความเมล Microsoft Office 365 Message Encryption (OME) สามารถโดนแฮ็กถอดรหัสได้ง่ายโดยไม่ต้องมีคีย์

ฟีเจอร์นี้อยู่ในชุด Office 365 ที่ให้ลูกค้าองค์กรส่งข้อความแบบเข้ารหัสในรูปของไฟล์แนบ HTML ในอีเมลได้ ซึ่งไมโครซอฟท์โฆษณาว่ามีประโยชน์มากในการส่งต่อข้อมูลที่เป็นความลับ อย่างเช่น ข้อมูลทางการแพทย์

แต่ทาง WithSecure ระบุว่า ฟีเจอร์นี้ใช้กลไกเข้ารหัสที่ยังไม่ปลอดภัยเพียงพอ ทำให้ผู้ไม่หวังดีเข้ามาจัดการข้อความได้ ข้อความแบบ OME นี้ถูกสร้างขึ้นด้วย Electronic Codebook (ECB) ที่แบ่งส่วนข้อความออกเป็น Cipher Block ย่อยๆ

แต่ละบล็อกจะถูกเข้ารหัสด้วยคีย์ที่จัดเก็บและจัดการโดยไมโครซอฟท์เอง ผ่านตัว Azure Rights Management (Azure RMS) แต่การที่จำนวนบล็อกของข้อความก่อนเข้ารหัสเหมือนกับหลังเข้ารหัสเป๊ะๆ จึงสามารถนำไปเดาต่อได้ง่าย โดยเฉพาะกับอีเมลที่มีเฮดเดอร์ฟุตเตอร์มาตรฐาน

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/office-365-encryption-easily-hacked-withsecure/

ไมโครซอฟท์ยืนยันพบช่องโหว่ Zero-day บน Exchange 2 รายการ ที่กำลังโดนโจมตีในวงกว้าง

ไมโครซอฟท์ประกาศเป็นทางการแล้วว่า กำลังสืบสวนเกี่ยวกับช่องโหว่ด้านความปลอดภัยแบบ Zero-day ที่กระทบกับ Exchange Server 2013, 2016, และ 2019 ซึ่งมีรายงานพบการนำไปใช้ประโยชน์ในการโจมตีจริงมาแล้ว

โดยรายการแรก CVE-2022-41040 เป็นช่องโหว่แบบ Server-Side Request Forgery (SSRF) อีกช่องโหว่หนึ่งรหัส CVE-2022-41082 เป็นการเปิดให้รันโค้ดได้จากระยะไกล (RCE) ที่ทำให้ผู้โจมตีเข้าถึงส่วนของพาวเวอร์เชลล์ได้

นอกจากนี้ยังยอมรับว่าทราบถึง “การโจมตีจริงในวงจำกัด” ที่ใช้ช่องโหว่เหล่านี้เข้าถึงระบบเป้าหมายด่านแรก แต่ก็ย้ำว่ายังต้องใช้เทคนิคที่ทำให้เข้าถึงผ่านระบบยืนยันตัวตนอีกชั้นหนึ่งถึงจะเจาะเซิร์ฟเวอร์ Exchange ได้สำเร็จ

ทั้งนี้ไมโครซอฟท์ย้ำว่ากำลังเร่งแก้ไขช่องโหว่นี้เป็นพิเศษ ระหว่างนี้ขอให้ผู้ใช้เพิ่มกฎใน IIS Manager ไปพลางก่อน โดยให้ปิดกั้นคำร้องขอ “.*autodiscover\.json.*\@.*Powershell.*” (เอาเครื่องหมายคำพูดออกด้วยตอนกรอก)

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/microsoft-confirms-2-new-exchange-zero-day-flaws/