Tag Archives: ความปลอดภัยไซเบอร์

ระวังมัลแวร์ WolfRAT บนมือถือ Android แอบส่อง ล้วงข้อมูลจากแอปแชทดัง

ระวังมัลแวร์ WolfRAT ติดบนมือถือ Android สอดแนมขโมยข้อมูลผู้ใช้ในประเทศไทยโดยเฉพาะ สามารถเข้าถึงการอ่าน SMS รายชื่อผู้ติดต่อ ประวัติการใช้งานเว็บไซต์ ประวัติการโทรศัพท์ รวมถึงสามารถบันทึกหน้าจอขณะที่มีการใช้งานโปรแกรมสนทนา LINE , Messenger และ WhatsApp ได้ ทั้งนี้ทาง Cisco Talos เผย WolfRAT เป็นการนำซอร์สโค้ดของมัลแวร์สายพันธุ์ DenDroid ที่หลุดออกมาก่อนหน้านี้มาใช้เป็นฐาน แล้วตัดแปะโค้ดจากมัลแวร์ตัวอื่น ๆ มาใส่เพื่อให้มีความสามารถเพิ่มมากขึ้น ตัวมัลแวร์เท่าที่ถูกค้นพบมี 4 เวอร์ชัน โดยเวอร์ชันแรกสุดพบการแพร่ระบาดเมื่อช่วงเดือนมิถุนายน 2562 ส่วนเวอร์ชันล่าสุดพบเมื่อเดือนเมษายน 2563 อย่างไรก็ตาม ในรายงานไม่ได้ระบุช่องทางหรือวิธีการแพร่กระจายที่ชัดเจน แต่จากรูปแบบการแพร่กระจายมัลแวร์ที่เคยพบก่อนหน้านี้ก็มีความเป็นไปได้สูงว่าเป็นการหลอกให้ผู้ใช้เข้าเว็บไซต์เพื่อดาวน์โหลดมัลแวร์มาติดตั้ง ในรายงานระบุว่าพบเว็บไซต์ของเครื่องที่ใช้สั่งการและควบคุมมัลแวร์ ซึ่งอาจเป็นไปได้ว่ามีคนไทยที่มีส่วนรู้เห็นกับการพัฒนามัลแวร์ดังกล่าวด้วย ทั้งนี้ ThaiCERT อยู่ระหว่างการประสานไปยังหน่วยงานที่เกี่ยวข้องเพื่อยับยั้งการเข้าถึงเซิร์ฟเวอร์ที่ถูกใช้ในการโจมตี หากผู้ใช้ Android พบว่าติดมัลแวร์ WolfRAT ควรถอนการติดตั้งมัลแวร์ และอาจต้องทำการ factory reset เพื่อล้างข้อมูลทั้งหมดบนมือถือ Android ให้เริ่มต้นใหม่หมด เหมือนออกจากโรงงานใหม่ๆ และควรเปลี่ยนรหัสผ่านที่ใช้งานบนมือถือทั้งหมดด้วย…

ProLock Ransomware จำนวนเหยื่อและความรุนแรงสูงขึ้นอย่างน่ากังวล

  จากการรายงานในเว็บไซต์ bleepingcomputer กล่าวว่าพบ Ransomware ตัวใหม่ชื่อว่า ProLock โดยพัฒนามาจาก PwndLocker ที่เริ่มโจมตีตั้งแต่เดือนมีนาคม 2020 ที่ผ่านมา ซึ่ง ProLock ถูกจับตามองอย่างรวดเร็ว เนื่องจากมีจำนวนผู้ตกเป็นเหยื่อพุ่งสูงขึ้น ถือเป็น Ransomware ที่มีความต้องการ decryption key สูงขึ้นมากในระยะเวลาอันรวดเร็ว โดยมีเป้าหมายคือ กลุ่มธุรกิจและรัฐบาลท้องถิ่น และล่าสุดมีรายงานว่า บริษัทผู้นำด้านเทคโนโลยีที่เกี่ยวกับการเงินและ E-commerce ยักษ์ใหญ่สัญชาติอเมริกันอย่าง Diebold Nixdorf ซึ่งเป็นที่รู้จักกันดีว่าเป็นผู้ให้บริการ Automatic teller machines (ATMs) ทั่วโลก ถูกโจมตีด้วย ProLock Ransomware แต่การโจมตีครั้งนี้ถูกตรวจพบ และหยุดหยั้งไว้ได้ก่อนจะเข้าสู่ encryption state จึงยังไม่มีผลกระทบต่อระบบ Oleg Skulkin ผู้เชี่ยวชาญด้าน Digital Forensics Analyst ของบริษัทด้าน cybersecurity แห่งหนึ่งในสิงคโปร์ ออกมาให้ข้อมูลเกี่ยวกับ ProLock…

แจ้งเตือน พบการส่ง SMS แอบอ้างเป็นรัฐบาลไทยส่งข่าวเรื่อง COVID-19 แท้จริงเป็นมัลแวร์ขโมยข้อมูลทางการเงิน

ไทยเซิร์ตพบการแพร่กระจายมัลแวร์ โจมตีผู้ใช้งาน Android ในประเทศไทย โดยช่องทางการโจมตีผู้ไม่หวังดีจะส่ง SMS ที่แอบอ้างว่าเป็นการแจ้งเตือนเรื่อง COVID-19 จากรัฐบาลไทย ใน SMS ดังกล่าวจะมีลิงก์ไปยังเว็บไซต์ thaigov[.]online ตัวอย่าง SMS แสดงในรูปที่ 1 หากเข้าไปยังเว็บไซต์ดังกล่าวโดยใช้โทรศัพท์มือถือ Android จะพบหน้าจอแจ้งให้ดาวน์โหลดโปรแกรม Adobe Flash Player มาติดตั้งในลักษณะเป็นไฟล์ .apk ดังแสดงในรูปที่ 2 ทั้งนี้มีข้อสังเกตว่าทั้งข้อความใน SMS และข้อความบนเว็บไซต์ที่ใช้แพร่กระจายมัลแวร์นั้นเป็นภาษาไทยที่มีลักษณะเหมือนการใช้โปรแกรมแปลภาษา จากการวิเคราะห์ไฟล์ดังกล่าวพบว่าเป็นมัลแวร์ขโมยข้อมูลทางการเงินสายพันธุ์ Cerberus ซึ่งเป็นมัลแวร์ที่มีการซื้อขายในตลาดมืด ตัวมัลแวร์มีการขอสิทธิ์ที่อาจส่งผลต่อความเป็นส่วนตัวด้วย เช่น เข้าถึงโทรศัพท์ รับส่ง SMS และบันทึกเสียง จากการตรวจสอบข้อมูลของเว็บไซต์ thaigov[.]online พบว่าถูกจดโดเมนเมื่อวันที่ 11 พฤษภาคม 2563 ปัจจุบันไทยเซิร์ตได้ประสานเพื่อระงับการเข้าถึงเว็บไซต์ดังกล่าวแล้ว ทั้งนี้ ผู้ใช้ควรระมัดระวังก่อนคลิกลิงก์ที่ส่งมาใน SMS รวมถึงไม่ควรดาวน์โหลดและติดตั้งซอฟต์แวร์ที่ไม่สามารถยืนยันความน่าเชื่อถือของแหล่งที่มา ข้อมูล IOC ชื่อไฟล์: UpdateFlashPlayer_11_5_2.apk MD5:…

กลุ่มแฮกเกอร์แอบขโมยข้อมูลผู้ใช้กว่า 73 ล้านรายการออกขายบนเว็บมืด

การใช้บริการอินเทอร์เน็ตไม่ว่าจะผ่านเว็บไซต์หรือแอป เมื่อเริ่มต้นสมัครการใช้งานทางผู้ให้บริการจะมีแบบฟอร์มให้ผู้ใช้กรอกข้อมูลส่วนตัวจัดเก็บไว้ในฐานข้อมูล บางครั้งข้อมูลเหล่านี้ได้รั่วไหลออกไปหรือถูกล้วงข้อมูลเพื่อนำไปใช้ประโยชน์โดยมิชอบ เลวร้ายถึงขนาดนำไปทำธุรกรรมออนไลน์ที่มีข่าวออกมาอย่างต่อเนื่อง ปลายสัปดาห์ที่ผ่านมาแหล่งข่าว ZDNet เปิดเผยว่ามีกลุ่มแฮกเกอร์ ShinyHunters อ้างว่ากำลังขายฐานข้อมูลผู้ใช้งานประมาณ 73.2 ล้านรายการในตลาดเว็บมืด ซึ่งทำเงินได้ประมาณ 18,000 USD (579,060 บาท) โดยได้แอบขโมยฐานข้อมูลมาจากกว่า 10 บริษัทด้วยกัน ประมาณ 30 ล้านรายการมาจากแอปหาคู่ที่ชื่อว่า Zoosk, อีก 15 ล้านรายการมาจาก Chatbooks บริการพรินต์ภาพจาก Instagram, Facebook และแกลเลอรีในโทรศัพท์ในเวลาเพียง 5 นาที ส่วนที่เหลือมาจากเว็บไซต์ที่หลากหลาย ได้แก่ 1 ล้านรายการจากหนังสือพิมพ์ Star Tribune, รวม 8 ล้านรายการจากเว็บไซต์แฟชั่นและเฟอร์นิเจอร์ของเกาหลีใต้, 3 ล้านรายการจากเว็บไซต์ Chronicle of Higher Education นำเสนอข่าวสารข้อมูลและงานสำหรับนักศึกษาในวิทยาลัยและมหาวิทยาลัย, 8 ล้านรายการจาก Home Chef บริการส่งมอบอาหาร, 5…

7 “ความเข้าใจผิด” เกี่ยวกับความปลอดภัยทางไซเบอร์ที่ซีไอโอควรรู้

เป็นที่รู้กันว่าช่องโหว่ที่เพิ่มขึ้นนำมาซึ่งค่าใช้จ่ายขององค์กรที่เพิ่มขึ้น ขณะที่เศรษฐกิจในส่วนดิจิทัลของเอเชียตะวันออกเฉียงใต้ยังคงเติบโตอย่างต่อเนื่อง จำนวนการโจมตีและค่าใช้จ่ายเพื่อแก้ปัญหาข้อมูลรั่วไหล (Data Breach) ก็เพิ่มมากขึ้นเช่นกัน จากผลการศึกษาของ Ponemon Institute เผยว่า ผลกระทบทางการเงินในภูมิภาคนี้สูงถึง 2.62 ล้านเหรียญสหรัฐฯ ในปี 2562 ซึ่งเพิ่มขึ้นจาก 2.53 ล้านเหรียญสหรัฐฯในปี 2561 ภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นกำลังเป็นอุปสรรคสำคัญต่อการก้าวสู่ ‘ดิจิทัลทรานส์ฟอร์เมชัน’ ขององค์กรในภูมิภาคเอเชียแปซิฟิก สามในห้าขององค์กรในภูมิภาคนี้ได้ชะลอแผนการลงทุนด้านดิจิทัลทรานส์ฟอร์เมชัน เนื่องจากเกรงว่าจะเป็นเป้าหมายการโจมตีทางไซเบอร์ จากรายงานของ Deloitte Cyber Smart: รายงานศักยภาพธุรกิจในเอเชียแปซิฟิก ชี้ว่าภัยคุกคามทางไซเบอร์อาจส่งผลทำให้สูญเสีย GDP ในภูมิภาคเอเชียแปซิฟิกถึง 145 พันล้านเหรียญสหรัฐฯในทศวรรษหน้า แม้จะมีการลงทุนเพิ่มขึ้นในโซลูชันด้านความปลอดภัย แต่กลุ่มผู้ไม่หวังดีนั้นมีทั้งทรัพยากร และเวลาเพื่อเจาะค้นหาช่องโหว่ขององค์กรได้ตลอดเวลา ยิ่งไปกว่านั้น แนวทางส่วนใหญ่ที่องค์กรใช้ในการรักษาความปลอดภัยทางไซเบอร์ในวันนี้ ยังคงเป็นแนวรีแอคทีฟที่มุ่งเน้นการไล่ล่าภัยคุกคาม ดังนั้นองค์กรจึงต้องปรับเปลี่ยนแนวคิดการออกแบบสถาปัตยกรรมความปลอดภัยที่ครอบคลุมโครงสร้างพื้นฐานหลัก แอปพลิเคชัน ผู้ใช้งาน และการดำเนินงาน (operation) องค์กรจำเป็นต้องแก้ความเข้าใจผิดด้านความปลอดภัยที่ไม่เอื้อการผสานความปลอดภัยทางไซเบอร์เข้ากับกลยุทธ์หลักทางธุรกิจ และนี่คือ 7 ความเข้าใจผิดที่ซีไอโอทุกคนควรรู้ ความเข้าใจผิด ข้อที่ 1 – คิดว่าถ้าเข้าใจแนวโน้มการโจมตี จะช่วยป้องกันระบบได้อย่างมีประสิทธิภาพ…

กรณีศึกษา กลุ่มอาชญากร Florentine Banker สวมรอยอีเมลผู้บริหาร หลอกพนักงานให้โอนเงิน

ทีม CPIRT (Check Point’s Incident Response Team) ซึ่งเป็นทีมตอบสนองภัยคุกคามไซเบอร์ของบริษัท Check Point ได้เผยแพร่กรณีศึกษาเหตุการณ์ที่บริษัทธุรกิจการเงินขนาดใหญ่ 3 แห่งในสหราชอาณาจักรและอิสราเอลถูกหลอกให้โอนเงินไปยังบัญชีธนาคารของอาชญากรเป็นจำนวนถึง 1.1 ล้านปอนด์ โดยทางบริษัทสามารถนำเงินกลับคืนมาได้เพียง 5.7 แสนปอนด์เท่านั้น ทางทีม CPIRT ได้เข้าไปตรวจสอบเหตุการณ์ที่เกิดขึ้นและเปิดเผยถึงขั้นตอนและกลวิธีที่ผู้ไม่หวังดีใช้ในการโจมตีครั้งนี้ CPIRT ได้ตั้งชื่อกลุ่มผู้ไม่หวังดีที่ทำการโจมตีในครั้งนี้ว่า Florentine Banker โดยกลุ่มดังกล่าวได้ใช้เวลาหลายเดือนในการเฝ้าติดตามและศึกษาข้อมูลเป้าหมายเพื่อหลอกให้โอนเงินไปยังบัญชีธนาคารของพวกเขา โดยบริษัทที่ตกเป็นเป้าหมายการโจมตีดังกล่าวได้ใช้ Office 365 ในการรับส่งอีเมลเป็นหลักตลอดทั้งองค์กร ทั้งนี้ เหตุการณ์ดังกล่าวมีหลายประเด็นที่สามารถนำมาใช้เป็นกรณีศึกษาได้ทั้งในแง่ของแนวทางการโจมตี การรับมือ และการป้องกัน ในขั้นตอนแรกของการโจมตี กลุ่ม Florentine Banker ได้ส่งอีเมลฟิชชิ่งแบบเจาะจงเป้าหมาย โดยโจมตีไปยังผู้บริหารระดับสูง เช่น CEO, CFO หรือบุคคลากรที่มีส่วนรับผิดชอบด้านธุรกรรมการเงิน เพื่อหลอกเอาข้อมูลบัญชีอีเมลของเหยื่อและเก็บรวบรวมข้อมูลภาพรวมด้านการเงินของบริษัท เมื่อได้บัญชีอีเมลและข้อมูลโดยรวมแล้ว ผู้โจมตีจะศึกษาเนื้อหาในอีเมลของเหยื่อเพื่อเลือกเป้าหมายและหาข้อมูลเพิ่มเติม โดยในกรณีนี้ ผู้โจมตีได้มุ่งเป้าเพื่อหาช่องทางที่ใช้โอนเงิน ความสัมพันธ์ของเหยื่อกับบุคคลที่สาม (เช่น ลูกค้า ฝ่ายบัญชี ธนาคาร) พร้อมทั้งหาข้อมูลบุคคลที่มีตำแหน่งสำคัญอื่น…