Tag Archives: แฮกเกอร์

ตรวจสอบด่วน พบ 25 แอปบน Android สามารถหลอกเอารหัสผ่าน Facebook ไปได้!

รายงานใหม่จากบริษัทด้านความปลอดภัยของฝรั่งเศส Evina พบแอปพลิเคชันบน Play Store ของ Google ถึง 25 รายการที่เป็นอันตรายต่อเครื่องและข้อมูลของผู้ใช้งาน โดยแอปเหล่านี้สามารถทำงานได้ปกติ แต่มาพร้อมกับโค้ดที่เป็นอันตรายต่อผู้ใช้งาน หากเราติดตั้งและใช้งานตามปกติ ก็จะไม่มีอะไรเกิดขึ้น แต่เมื่อเราเปิดแอป Facebook ขึ้นมา แอปเหล่านี้จะสร้างหน้าต่าง log-in ที่เลียนแบบ Facebook ขึ้นมาอีกครั้ง สำหรับผู้ใช้งานที่ไม่ได้คิดอะไรก็อาจจะไม่สงสัยว่าทำไมต้องใส่รหัสอีกครั้ง หากเราป้อนอีเมลและรหัสลงไปก็เสร็จโจรอย่างแน่นอนครับ ตัวอย่างด้านล่างนี้ Facebook ของจริงและของปลอม โดย Facebook ที่มีขอบด้านบนสีฟ้าเป็นของจริง แต่หากเป็นสีดำคือของปลอม รายชื่อแอปทั้งหมดที่หลอกเอารหัส Facebook ถึงแม้ว่า Google จะถอดแอปทั้งหมดนี้ออกจาก Play Store ไปแล้ว แต่ทั้งหมดมียอดดาวน์โหลดมากกว่า 2.34 ล้านครั้ง หากใครมีแอปเหล่านี้ติดตั้งอยู่ในเครื่องก็อย่าลืมถอนการติดตั้งออกไปด้วยนะครับ ————————————————– ที่มา : beartai / 4 กรกฎาคม 2563 Link : https://www.beartai.com/news/itnews/451461

มหาวิทยาลัยแคลิฟอร์เนียซานฟรานซิสโกถูก Ransomware เรียกค่าไถ่ 1.14 ล้านเหรียญสหรัฐฯ

เมื่อต้นเดือนมิถุนายน มหาวิทยาลัยแคลิฟอร์เนียซานฟรานซิสโก หรือ UCSF สถาบันวิจัยและการศึกษาด้านสุขภาพชั้นนำของโลกได้ถูกกำหนดเป้าหมายในการโจมตีโดยกลุ่ม NetWalker (aka MailTo) Ransomware ซึ่งได้มีการโพสต์โชว์หลักฐานแสดงการรั่วไหลของข้อมูลลงในเว็บไซต์เพื่อหวังข่มขู่ในการเรียกค่าไถ่ UCSF กล่าวในแถลงการณ์ว่าเมื่อวันที่ 1 มิถุนายนเจ้าหน้าที่ไอที UCSF ตรวจพบและหยุดการเข้าถึงโดยไม่ได้รับอนุญาตในสภาพแวดล้อมไอทีส่วนที่จำกัดของโรงเรียนแพทย์ในขณะที่เกิดการบุกรุกขึ้น ด้วยความระมัดระวังอย่างมากได้แยกเซิร์ฟเวอร์ของโรงเรียนออกจากกัน และว่าจ้างบริษัทรักษาความปลอดภัยทางไซเบอร์ชั้นนำเพื่อช่วยเหลือ ซึ่งเครือข่ายของ UCSF โดยรวมไม่ได้รับผลกระทบใด ๆ และไม่มีผลกระทบต่อการดำเนินการส่งมอบการดูแลผู้ป่วย สำนักข่าว Bloomberg รายงานว่าการโจมตีของแฮ็กเกอร์ไม่ได้ขัดขวางการทดสอบแอนตีบอดีที่เกี่ยวกับไวรัสโคโรนาโดยนักวิจัยของ UCSF วันศุกร์ 26 มิถุนายน UCSF แถลงการณ์ว่าเจ้าหน้าที่ฝ่ายไอทีได้ตรวจพบการบุกรุกเข้ามาในส่วนหนึ่งของระบบเครือข่ายไอทีโรงเรียนแพทย์มหาวิทยาลัยแคลิฟอร์เนียเมื่อ 1 มิถุนายน จากนั้นได้แยกระบบไอทีหลายแห่งภายในคณะแพทยศาสตร์ออกจากเครือข่ายหลักของ UCSF ซึ่งไม่ส่งผลกระทบต่อการดำเนินการส่งมอบการดูแลผู้ป่วยเครือข่ายมหาวิทยาลัยโดยรวมหรืองาน COVID-19 ในขณะที่เจ้าหน้าที่ได้หยุดการโจมที่กำลังเกิดขึ้น ผู้บุกรุกได้เปิดมัลแวร์ (Netwalker) เข้ารหัสในเซิร์ฟเวอร์ของโรงเรียนแพทย์จำนวนหนึ่ง และได้ขโมยข้อมูลบางส่วนเป็นหลักฐานเพื่อใช้ในการเรียกค่าไถ่ ข้อมูลที่ถูกเข้ารหัสมีความสำคัญต่องานวิชาการบางส่วน จึงตัดสินใจยากที่จะจ่ายค่าไถ่บางส่วนประมาณ 1.14 ล้านเหรียสหรัฐฯ เพื่อแลกกับเครื่องมือหรือคีย์สำหรับปลดล็อกข้อมูลที่เข้ารหัสและการรับข้อมูลที่ถูกขโมยไป มหาวิทยาลัยฯ ไม่ได้เปิดเผยอย่างแน่ชัดว่าไฟล์ข้อมูลอะไรกันแน่ที่มีมูลค่ากว่า 1 ล้านเหรียญสหรัฐฯ แต่มันคงมีความสำคัญมาก ๆ ซึ่งอาจจะเป็นงานวิชาการที่ได้ศึกษาวิจัยมาเป็นเวลานานที่ยังไม่มีใครค้นพบหรืออาจจะเป็นประวัติทางการแพทย์ของผู้ป่วยที่กลัวว่าจะถูกนำออกไปเปิดเผย ล่าสุดเดือนนี้การไฟฟ้าส่วนภูมิภาคในบ้านเราก็ได้ออกมาเปิดเผยว่าโดนมัลแวร์เรียกค่าไถ่โจมตีเช่นกัน…

แจ้งเตือน พบการส่งอีเมลแอบอ้างเป็นไปรษณีย์ไทย หลอกให้ดาวน์โหลดไฟล์มัลแวร์

เมื่อวันที่ 19 มิถุนายน 2563 ไทยเซิร์ตได้รับรายงานการโจมตีผ่านอีเมล โดยแอบอ้างว่าเป็นการแจ้งจัดส่งพัสดุจากบริษัทไปรษณีย์ไทย เนื้อหาในอีเมลเป็นภาษาไทย มีลิงก์ให้ดาวน์โหลดไฟล์จากเว็บไซต์ฝากไฟล์ โดยเป็นไฟล์ .7z ที่ข้างในมีไฟล์ .exe จากการตรวจสอบพบว่าไฟล์ดังกล่าวเป็นมัลแวร์ที่ถูกสร้างขึ้นมาเพื่อโจมตีแบบเจาะจงเป้าหมาย ตัวมัลแวร์มีความสามารถในการขโมยข้อมูล เช่น รหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์และรหัสผ่านของโปรแกรมเชื่อมต่อ FTP ทั้งนี้ไทยเซิร์ตได้แจ้งประสานกับผู้ให้บริการเว็บไซต์ฝากไฟล์เพื่อขอให้ยุติการเผยแพร่ไฟล์ดังกล่าวแล้ว ข้อแนะนำ หากได้รับอีเมลที่มีลักษณะน่าสงสัยและมีลิงก์หรือมีไฟล์แนบ ควรพิจารณาก่อนคลิกลิงก์หรือเปิดไฟล์แนบดังกล่าวเพราะอาจเป็นมัลแวร์ได้ หากได้รับอีเมลดังกล่าวผ่านระบบอีเมลขององค์กรควรแจ้งให้ผู้ดูแลระบบทราบเพื่อตรวจสอบและปิดกั้นการเข้าถึงเว็บไซต์อันตรายรวมถึงปิดกั้นการรับอีเมลจากผู้ไม่หวังดี ข้อมูล IOC URL: www[.]mediafire[.]com/file/ywwqvog1kn630oy/thpost_220620121201.7z/file File name: thpost 220620121201.7z MD5: c72a5a6d2badd3032d8cebc13c06852b SHA-1: 3af75516d622b8e52f04fbedda9dc8dcf427d13c SHA-256: 74034df9b5146383f6f26de5fec7b9480e4b9a786717f39a22e38805a5936c9b File name: thpost 220620121201.exe MD5: e7386aa09a575bd96f8ecbfeea71e38f SHA-1: 441cdf1dedb9cbfbe6720816eb6b8e06231139b5 SHA-256: e17b5d2bf4c65ec92161c6a26c44c28a3b2793f38d2b2afe2e73bd8ebbab98ae —————————————————————— ที่มา : ThaiCERT / 19 มิถุนายน 2563 Link…

แจ้งเตือน พบการส่ง SMS หลอกให้ดาวน์โหลดแอปพลิเคชัน ไทยชนะ แท้จริงเป็นมัลแวร์ขโมยข้อมูลทางการเงิน

ไทยเซิร์ตพบการแพร่กระจายมัลแวร์ โจมตีผู้ใช้งาน Android ในประเทศไทย โดยช่องทางการโจมตีผู้ไม่หวังดีจะส่ง SMS ที่แอบอ้างว่าเป็นการดาวน์โหลดแอปพลิเคชัน ไทยชนะ ใน SMS ดังกล่าวจะมีลิงก์ไปยังเว็บไซต์ thaichana[.]asia ตัวอย่าง SMS แสดงในรูปที่ 1 หน้าเว็บไซต์ดังกล่าวสร้างเลียนแบบเว็บไซต์จริงของโครงการ ไทยชนะ โดยจะมีปุ่มที่ให้ดาวน์โหลดไฟล์ .apk มาติดตั้ง ไฟล์ดังกล่าวตรวจสอบแล้วเป็นมัลแวร์ขโมยข้อมูลทางการเงิน (บางแอนติไวรัสระบุว่าเป็นมัลแวร์สายพันธุ์ Cerberus) โดยตัวมัลแวร์ขอสิทธิ์ในการเข้าถึงข้อมูลการโทร รับส่ง SMS แอบอัดเสียง และเข้าถึงข้อมูลต่างๆ ภายในเครื่อง ปัจจุบัน (ณ ขณะที่เผยแพร่บทความ) โครงการ ไทยชนะ มีเฉพาะเว็บไซต์ https://www.ไทยชนะ.com/ และ https://www.thaichana.com/ โดยรูปแบบการใช้งานจะเป็นการเข้าผ่านเว็บไซต์เท่านั้น ยังไม่มีแอปพลิเคชันให้ดาวน์โหลดแต่อย่างใด จากการตรวจสอบข้อมูลของเว็บไซต์ thaichana[.]asia พบว่าถูกจดโดเมนเมื่อวันที่ 19 พฤษภาคม 2563 ปัจจุบันไทยเซิร์ตได้ประสานเพื่อระงับการเข้าถึงเว็บไซต์ดังกล่าวแล้ว ทั้งนี้ ผู้ใช้ควรระมัดระวังก่อนคลิกลิงก์ที่ส่งมาใน SMS รวมถึงไม่ควรดาวน์โหลดและติดตั้งซอฟต์แวร์ที่ไม่สามารถยืนยันความน่าเชื่อถือของแหล่งที่มา ข้อมูล IOC ชื่อไฟล์:…

เทคนิคใหม่ของมัลแวร์เรียกค่าไถ่ ขู่ให้จ่ายเงินหากไม่อยากให้เผยแพร่เอกสารลับ

ผู้พัฒนามัลแวร์เรียกค่าไถ่หรือ ransomware นั้นมีการพัฒนาเทคนิคใหม่เพื่อทำให้เหยื่อต้องจ่ายเงินเพิ่มมากขึ้น จากเดิมจะเป็นแค่การเข้ารหัสลับข้อมูลในเครื่องของเหยื่อเพื่อให้จ่ายเงินแลกกับเครื่องมือกู้คืนไฟล์ แต่ในช่วงหลังผู้พัฒนามัลแวร์เรียกค่าไถ่ได้เริ่มใช้วิธีเข้ามาอยู่ในระบบเพื่อขโมยข้อมูลสำคัญก่อน จากนั้นเข้ารหัสลับข้อมูลในเครื่อง พร้อมทั้งขู่ว่าได้ข้อมูลลับไปด้วย หากไม่ยอมจ่ายเงินจะเผยแพร่ข้อมูลลับดังกล่าวออกสู่สาธารณะ ทั้งนี้พบมัลแวร์เรียกค่าไถ่หลายสายพันธุ์ได้เริ่มใช้เทคนิคนี้แล้ว เช่น Maze, Sodinokibi, DopplePaymer, Clop, Sekhmet, Nephilim, Mespinoza และ Netwalker ซึ่งพฤติกรรมการโจมตีในลักษณะนี้ส่งผลให้ผู้โจมตีมีโอกาสได้เงินมากขึ้น เพราะถึงแม้ว่าเหยื่อจะมีข้อมูลสำรอง ทำให้ไม่จำเป็นต้องจ่ายเงินค่าปลดล็อคไฟล์ แต่ก็ยังมีโอกาสที่จะต้องยอมจ่ายเงินเพื่อป้องกันไม่ให้ข้อมูลความลับรั่วไหลอยู่ดี อย่างไรก็ตาม หากตกเป็นเหยื่อในกรณีดังกล่าว ไม่แนะนำให้จ่ายเงินค่าไถ่ทั้งการถอดรหัสลับกู้คืนข้อมูลและการจ่ายเงินเพื่อไม่ให้เผยแพร่ข้อมูลลับ เนื่องจากไม่สามารถยืนยันได้ว่าเมื่อจ่ายเงินไปแล้วผู้ไม่หวังดีจะให้เครื่องมือสำหรับกู้คืนหรือจะทำการลบข้อมูลตามที่ได้รับปากจริงแต่อย่างใด เพื่อป้องกันและหลีกเลี่ยงการตกเป็นเหยื่อ ผู้ใช้งานควรอัปเดตแพตช์ของซอฟต์แวร์และระบบปฏิบัติการในเครื่อง ติดตั้งโปรแกรมป้องกันไวรัสและอัปเดตฐานข้อมูลให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และไม่ควรเปิดลิงก์หรือไฟล์ที่มาจากอีเมลที่น่าสงสัยหรือดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ —————————————————– ที่มา : ThaiCERT / 18 พฤษภาคม 2563 Link : https://www.thaicert.or.th/newsbite/2020-05-18-01.html

ระวังมัลแวร์ WolfRAT บนมือถือ Android แอบส่อง ล้วงข้อมูลจากแอปแชทดัง

ระวังมัลแวร์ WolfRAT ติดบนมือถือ Android สอดแนมขโมยข้อมูลผู้ใช้ในประเทศไทยโดยเฉพาะ สามารถเข้าถึงการอ่าน SMS รายชื่อผู้ติดต่อ ประวัติการใช้งานเว็บไซต์ ประวัติการโทรศัพท์ รวมถึงสามารถบันทึกหน้าจอขณะที่มีการใช้งานโปรแกรมสนทนา LINE , Messenger และ WhatsApp ได้ ทั้งนี้ทาง Cisco Talos เผย WolfRAT เป็นการนำซอร์สโค้ดของมัลแวร์สายพันธุ์ DenDroid ที่หลุดออกมาก่อนหน้านี้มาใช้เป็นฐาน แล้วตัดแปะโค้ดจากมัลแวร์ตัวอื่น ๆ มาใส่เพื่อให้มีความสามารถเพิ่มมากขึ้น ตัวมัลแวร์เท่าที่ถูกค้นพบมี 4 เวอร์ชัน โดยเวอร์ชันแรกสุดพบการแพร่ระบาดเมื่อช่วงเดือนมิถุนายน 2562 ส่วนเวอร์ชันล่าสุดพบเมื่อเดือนเมษายน 2563 อย่างไรก็ตาม ในรายงานไม่ได้ระบุช่องทางหรือวิธีการแพร่กระจายที่ชัดเจน แต่จากรูปแบบการแพร่กระจายมัลแวร์ที่เคยพบก่อนหน้านี้ก็มีความเป็นไปได้สูงว่าเป็นการหลอกให้ผู้ใช้เข้าเว็บไซต์เพื่อดาวน์โหลดมัลแวร์มาติดตั้ง ในรายงานระบุว่าพบเว็บไซต์ของเครื่องที่ใช้สั่งการและควบคุมมัลแวร์ ซึ่งอาจเป็นไปได้ว่ามีคนไทยที่มีส่วนรู้เห็นกับการพัฒนามัลแวร์ดังกล่าวด้วย ทั้งนี้ ThaiCERT อยู่ระหว่างการประสานไปยังหน่วยงานที่เกี่ยวข้องเพื่อยับยั้งการเข้าถึงเซิร์ฟเวอร์ที่ถูกใช้ในการโจมตี หากผู้ใช้ Android พบว่าติดมัลแวร์ WolfRAT ควรถอนการติดตั้งมัลแวร์ และอาจต้องทำการ factory reset เพื่อล้างข้อมูลทั้งหมดบนมือถือ Android ให้เริ่มต้นใหม่หมด เหมือนออกจากโรงงานใหม่ๆ และควรเปลี่ยนรหัสผ่านที่ใช้งานบนมือถือทั้งหมดด้วย…