Trend Micro รายงานถึงมัลแวร์ XAgent มัลแวร์ที่เจาะจงเป้าหมายในกลุ่มการทหาร, รัฐบาล, อุตสาหกรรมที่เกี่ยวกับความมั่นคง, และสื่อ ทาง Trend Micro เชื่อว่าเป็นปฎิบัติการต่อเนื่องมาจากปีที่แล้ว ที่ Trend Micro เรียกชื่อว่า Pawn Storm ที่พบเมื่อปีที่แล้ว

XAgent มีสองรุ่น คือ แอพพลิเคชั่นที่ชื่อว่า XAgent และเวอร์ชั่นปลอมตัวเป็นเกม MadCap กระบวนการติดมัลแวร์นี้ยังไม่แน่ชัดนัก แต่อุปกรณ์ที่ติดไม่จำเป็นต้องเจลเบรกแต่อย่างใด แต่บน iOS 8 นั้นการติดตั้งจะไม่สมบูรณ์ ตัวมัลแวร์ไม่สามารถทำงานได้อัตโนมัติ และไอคอนที่ซ่อนไว้ก็แสดงออกมา

บริษัทความปลอดภัย Avast รายงานพฤติกรรมของเกมไพ่ Durak บน Google Play ที่มีคนดาวน์โหลดไปแล้ว 5-10 ล้านครั้ง (ตามสถิติของกูเกิล)

เกมนี้ฉากหน้าเป็นเกมไพ่ธรรมดา เล่นได้ปกติ แต่เมื่อลงเกมผ่านไปหลายๆ วัน (เช่น 7 วัน) แล้วบูตเครื่องใหม่จะพบข้อความแจ้งเตือนว่าเครื่องเราโดนแฮ็ก ติดไวรัส หรือไม่อัพเดต (ข้อความแตกต่างกันออกไปแบบสุ่ม) ข้อความเหล่านี้เป็นข้อความหลอกให้เรากดอัพเดต ซึ่งจะพาเราไปยังเว็บเพจที่หลอกให้ดาวน์โหลดแอพหรือสมัคร SMS แบบเสียเงินราคาแพงอีกชั้นหนึ่ง

Avast พบพฤติกรรมแบบนี้กับแอพหลายตัวบน Google Play นอกจาก Durak แล้วยังมีแอพชื่อ IQ Test และ History (แต่ Durak มีคนดาวน์โหลดมากที่สุด)

Bruce Schneier นักวิจัยด้านความปลอดภัยออกมาเรียกร้องให้บริษัทความปลอดภัยปล่อยข้อมูลของมัลแวร์ให้เร็วกว่าเดิม หลังจากพบว่าบริษัทเหล่านี้ถือข้อมูลมัลแวร์สำคัญที่อาจจะเกี่ยวข้องกับรัฐบาลไว้นานนับปี

กรณีที่เกิดขึ้นคือมัลแวร์ Regin ที่เพิ่งมีรายงานกันช่วงเดือนที่แล้ว แต่ปรากฎว่าบริษัทความปลอดภัยทั้งหมดมีตัวอย่างมัลแวร์มาตั้งแต่ปี 2008 หรือ 2009 บริการอย่าง VirusTotal ก็มีข้อมูลของมัลแวร์ตัวนี้อยู่เงียบๆ ตั้งแต่ปี 2011 ส่วน Microsoft security และ F-Secure ก็ป้องกันมัลแวร์ตัวนี้ได้ตั้งแต่ 2011 เช่นกัน แต่ไม่มีใครเผยแพร่รายละเอียดออกมา

หลายคนคงคุ้นเคยกับโฆษณาของโทษและอันตรายของบุหรี่ทั้งต่อตัวผู้สูบเองและคนรอบข้างแล้ว แต่โทษของมันกลับข้ามมากระทบกับคอมพิวเตอร์ด้วยเมื่อมีข่าวลือว่ามีการฝัง malware เข้าไปในบุหรี่ไฟฟ้าที่ผลิตจากประเทศจีน

Symantec ตรวจพบมัลแวร์ที่อาจจะมีความซับซ้อนมากที่สุดตั้งแต่ที่เคยเจอ โดยมัลแวร์ตัวนี้ชื่อว่า Regin เชื่อว่าถูกใช้ในการสอดแนมมาตั้งแต่ปี 2008 โดยพบมากในองค์กรเอกชนและรัฐบาล

โดยตัวของมันเองนั้นออกแบบมาเพื่อดักจับข้อมูอย่างครบวงจร มีความสามารถในการซ่อนตัว ดักพาสเวิร์ด ควบคุมเมาส์ของเครื่องที่ติดเชื้อ บันทึกภาพหน้าจอ เปิดประตูหลัง หรือแม้กระทั่งกู้คืนไฟล์ที่ถูกลบ

ทีมวิจัยด้านความปลอดภัยของ Symantec ได้เปิดเผยข้อมูลเรื่องมัลแวร์ที่ถูกสร้างมาสำหรับการจารกรรมข้อมูล พบหลายหน่วยงานซึ่งมีทั้งองค์กรด้านพลังงานและโทรคมนาคมในหลายประเทศตกเป็นเป้าหมายด้วย โดยมีการตั้งชื่อมัลแวร์ตัวนี้ว่า Regin

หลังจากมัลแวร์ WireLurker ที่แพร่ระบาดไปกับแอพบน OS X และติดต่อไปยังอุปกรณ์ iOS ผ่านการเชื่อมต่อ USB โดยอาศัยจุดอ่อนจากช่องโหว่ Masque Attack ได้ถูกตรวจพบมานานนับสัปดาห์ ตอนนี้ทางการจีนก็มีการสืบสาวราวเรื่องและได้เข้าจับกุมชาวจีน 3 ราย ในฐานะผู้ต้องสงสัยว่าอยู่เบื้องหลังเหตุการณ์ระบาดของมัลแวร์ WireLurker ในหมู่ผู้ใช้ผลิตภัณฑ์ Apple ในประเทศจีน

วันนี้เป็นวันแรกที่หนังสือ Countdown to Zero Day โดย Kim Zetter นักข่าวของ Wired วางจำหน่าย หนังสือรายงานถึงการสอบสวนที่มาของเวิร์ม Stuxnet ที่มุ่งโจมตีโครงการนิวเคลียร์ของอิหร่านอย่างเจาะจง วันนี้บริษัทความปลอดภัยหลายแห่งก็รายงานข้อมูลบางส่วนจากหนังสือเล่มนี้

Kaspersky ออกรายงานการโจมตีเครือข่าย Wi-Fi ของโรงแรมหลายแห่ง โดยพยายามติดตั้งมัลแวร์ลงในเครื่องของเหยื่อด้วยการดาวน์โหลดอัพเดตปลอมที่อ้างว่าเป็นอัพเดตของ GoogleToolbar, Adobe Flash, หรือ Windows Messenger

ความพิเศษของ Darkhotel คือการเลือกเหยื่อมีการเลือกอย่างเจาะจงไม่ใช่การหว่านแหทั่วไป เหยื่อที่ถูกติดตามเมื่อพยายามล็อกอินเพื่อเข้าใช้งาน Wi-Fi จะได้รับ iframe พิเศษเพื่อล่อให้ติดตั้งซอฟต์แวร์ ขณะที่ระบบตรวจสอบไม่สามารถล่อให้ Darkhotel แสดง iframe เหมือนที่แสดงกับเหยื่อได้ แม้จะยังสรุปแน่ชัดไม่ได้แต่ทีมงาน Kaspersky ระบุว่ามันบ่งชี้ว่ามีการใช้ข้อมูลการเช็คอินโรงแรมเพื่อเลือกเหยื่อ

บริษัทความปลอดภัยหลายแห่งออกมาเตือนว่าพบไวรัสบน Android ที่ติดแล้วจะส่งลิงก์ดาวน์โหลดไวรัสทาง SMS ไปยังเพื่อนๆ ของเรา ไวรัสตัวนี้เคยระบาดเมื่อเดือนมิถุนายนที่ผ่านมา และกลับมาระบาดอีกครั้งช่วงนี้

บริษัท Sophos ตั้งชื่อไวรัสตัวนี้ว่า Andr/Slfmite-B (ของเดิมคือ Andr/Slfmite-A) มันจะปลอมไอคอนเป็นแอพ Google+ (ใช้ไอคอนสีดำ ไม่ตรงกับไอคอน Google+ ที่เป็นสีแดง) เมื่อติดตั้งตัวเองแล้ว มันจะติดต่อกับเซิร์ฟเวอร์ของแฮ็กเกอร์เพื่อขอคำสั่ง ซึ่งคำสั่งที่เป็นไปได้คือการอ่านเบอร์โทรศัพท์ในสมุดที่อยู่ แล้วส่ง SMS ที่มีลิงก์ดาวน์โหลดไวรัสตัวนี้ไปให้เพื่อนๆ เรา นอกจากนี้ ไวรัสยังจะวางไอคอนลิงก์เข้าเว็บไว้บนหน้าโฮม ซึ่งเจ้าของไวรัสจะได้เงินเมื่อผู้ใช้คลิกที่ไอคอนนั้นด้วย

บริษัทความปลอดภัย Kaspersky รายงานการค้นพบมัลแวร์ชื่อ "Tyupkin" ที่ถูกฝังในตู้ ATM ในรัสเซียและยุโรปตะวันออกรวมแล้วกว่า 50 ตู้ และน่าจะระบาดมายังประเทศอื่นๆ ด้วย

มัลแวร์ตัวนี้จะมีผลกับตู้ ATM ที่รัน Windows แบบ 32 บิต และจะทำงานเฉพาะตอนกลางคืนในช่วงเวลาที่กำหนดเท่านั้น แฮ็กเกอร์หรือคนในขบวนการจะเดินมาที่ตู้และกดรหัสที่จะสุ่มทุกครั้ง จากนั้นจะทราบยอดเงินคงเหลือในตู้ และสามารถกดธนบัตรออกไปได้ 40 ใบต่อครั้งโดยไม่ต้องเสียบบัตรใดๆ

พฤติกรรมของมัลแวร์ตัวนี้ทำให้จับได้ยากมาก เพราะมันจะทำงานต่อเมื่อกดรหัสในช่วงเวลาที่กำหนดเท่านั้น และไม่แสดงพฤติกรรมผิดปกติใดๆ ถ้าไม่เข้าเงื่อนไขนี้

Dr.Web บริษัทความปลอดภัยของรัสเซีย รายงานว่าพบมัลแวร์ตัวใหม่ชื่อ Mac.BackDoor.iWorm แพร่ระบาดในคอมพิวเตอร์ OS X มากกว่า 17,000 เครื่องแล้ว (นับเป็นจำนวนไอพี)

มัลแวร์ตัวนี้จะติดตั้งตัวเองลงในไดเรคทอรี /Library/Application Support/JavaW และวางประตูหลัง (backdoor) เพื่อให้แฮกเกอร์สามารถสั่งงานคอมพิวเตอร์เครื่องนั้นได้ในภายหลัง (ทำเป็น botnet) เครื่องที่ติดมัลแวร์สามารถถูกขโมยข้อมูล และใช้เป็นฐานการโจมตีเครื่องอื่นๆ ได้

ถ้ายังจำกันได้ ในปี 2012 เคยมีการแพร่ระบาดของมัลแวร์ Flashback ที่ติดเครื่องแมคมากถึงเกือบ 600,000 เครื่อง

ที่มา - Dr.Web

Lacoon Mobile Security บริษัทวิจัยด้านความปลอดภัยสำหรับอุปกรณ์พกพาจากอิสราเอล ระบุว่าตรวจพบมัลแวร์ตัวใหม่ที่มีชื่อว่า "Xsser" ซึ่งสามารถติดได้จากเครื่องที่ใช้ Android และ iOS และเชื่อว่าเป้าหมายของการโจมตีของมัลแวร์ตัวนี้ คือผู้ชุมนุมประท้วงที่เขตปกครองพิเศษฮ่องกง ซึ่งกำลังดำเนินไปอยู่ในขณะนี้

Signature Systems ผู้ผลิตระบบชำระเงิน ณ จุดขาย (Point-of-Sale - POS) ออกประกาศเตือนลูกค้าว่ามีมัลแวร์ที่ออกแบบมาสำหรับเครื่อง POS ของบริษัทโดยเฉพาะกำลังระบาด

มัลแวร์ออกแบบมาเพื่อเก็บข้อมูลชื่อผู้ถือบัตรเครดิต, หมายเลขบัตร, วันที่หมดอายุ, และหมายเลขยืนยันบัตรในแถบแม่เหล็ก (CVV1 เป็นคนละเลขกับหลังบัตรที่เป็น CVV2) โดยความเสี่ยงเริ่มตั้งแต่กลางเดือนมิถุนายนที่ผ่านมาและบริษัทสามารถจัดการล้างมัลแวร์ออกได้ทั้งหมดเมื่อกลางเดือนกันยายน

ร้านค้าที่ได้รับผลกระทบจากมัลแวร์นี้รวมทั้งหมด 324 ร้าน เป็นเครือร้าน Jimmy John เครือเดียวไป 216 ร้าน

ความน่ากลัวของคนทำเว็บในตอนนี้คือหากมีใครใส่ภาพหรือ iframe จากเว็บที่มีมัลแวร์ Chrome จะบล็อคเว็บที่ใช้ภาพเหล่านั้นไปด้วยเพื่อป้องกันผู้ใช้ ฟีเจอร์นี้มีมาตั้งแต่ Chrome รุ่นแรกๆ และมีการถกเถียงมาตลอดเวลาเป็นมาตรการที่สมเหตุสมผลหรือไม่ โดยมีการพูดคุยกันในทีมงาน Chrome เองในบั๊ก 16245

สิ่งที่แย่ที่สุดของฤดูที่เปลี่ยนแปลงคือ ไวรัสหวัด หรือหวัดธรรมดาๆที่ทำให้ใครๆล้มทั้งยืนมาแล้ว

อีกหนึ่งไวรัสที่ขโมยซีนไปอย่างรวดเร็วเมื่อไม่นานมานี้คงจะหนีไม่พ้นไวรัสจาก SMS โปรแกรมไวรัสที่ จ้องโจมตีระบบคืบคลานและเจาะเข้าไปในทุกอณูของคอมพิวเตอร์หรือสมาร์ทโฟนของคุณ มัลแวร์ชนิดนี้ มีเพียงความต้องการเดียวเท่านั้น และยังเป็นสิ่งที่มันทำได้ดีสุดๆอีกด้วย นั่นก็คือการขโมยข้อมูลนั่นเอง

ลองนึกถึงข้อมูลในมือถือของคุณนับร้อยอย่างนั้นนอกจากรายชื่อผู้ติดต่อแล้วยังมีรหัสผ่านที่คุณใช้เข้าโลกโซเชียลต่างๆนับไม่ถ้วน รวมไปถึง cloud drive บัญชีธนาคาร บัตรเครดิต และความเป็นส่วนตัวอีกหลายต่อหลายอย่างที่จะทำให้คุณอยากจะโกนหัวตัวเองเลยก็ว่าได้ ถ้ามันต้องไปอยู่ในมือที่ไม่สะอาด

วันนี้มีรายงานผู้ใช้โทรศัพท์จำนวนมากได้รับลิงก์ให้ดาวน์โหลดไฟล์ติดตั้งแอนดรอยด์ ชื่อไฟล์ว่า "รับทราบ.apk" ในกรณีของผมลิงก์ให้ดาวน์โหลด ผมวิเคราะห์การทำงานของแอพพลิเคชั่นตัวนี้แล้วพบว่ามีอันตรายอย่างมาก ห้ามทุกคนติดตั้งในทุกกรณี

"รับทราบ.apk" ขอสิทธิ์จำนวนมากในเครื่อง ทั้งการอ่านอีเมลและ SMS รวมถึงสิทธิ์การเข้าเป็นแอดมินเครื่อง

อย่างไรก็ดีจากการตรวจสอบการทำงานของแอพพลิเคชั่นผมพบว่าส่วนสิทธิ์แอดมินนั้นไม่ได้ทำงานอะไรเป็นพิเศษ คาดว่าที่ตัวแอพพลิเคชั่นขอสิทธิ์แอดมินไว้เพื่อให้ถอดแอพพลิเคชั่นได้ยากขึ้น แต่การทำงานจริงเป็นการส่งรายชื่อติดต่อและข้อความ SMS ทั้งหมดกลับเซิร์ฟเวอร์

รายงานจากนักวิจัยความปลอดภัยคอมพิวเตอร์ Vadim Kotov และ Rahul Kashyap เตรียมนำเสนอในงาน Virus Bulletin ระบุว่าเขาพบแบนเนอร์โฆษณาบน YouTube และเว็บไซต์อื่นๆ ที่พาให้ผู้ใช้ไปดาวน์โหลดมัลแวร์ ส่งผลให้ผู้ใช้ติดมัลแวร์เข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ (ransomware) ในที่สุด

เครือข่ายโฆษณาทำให้แฮกเกอร์สามารถปล่อยมัลแวร์ได้อย่างเจาะจง โดยสามารถเลือกประเทศของเหยื่อ โดยโค้ดโฆษณาจะตรวจสอบว่าเบราว์เซอร์ของเหยื่อเป็นรุ่นที่มีช่องโหว่ตามต้องการหรือไม่

Cisco ออกรายงานสรุปภาพรวมความปลอดภัยของโลกไอที ประจำครึ่งแรกของปี 2014 (Cisco 2014 Midyear Security Report) มีประเด็นน่าสนใจดังนี้

เริ่มมีรายงานถึงมัลแวร์ SynoLocker ที่อยู่ในกลุ่ม ransomware โดยมุ่งเป้า NAS ของ Synology ที่เปิดพอร์ต 5000 และ 5001 ไว้เพื่อเข้าถึงหน้าคอนฟิกและบริการต่างๆ ตอนนี้ผู้ที่ใช้ NAS ของ Synology ควรเปลี่ยนพอร์ตเหล่านี้เป็นหมายเลขพอร์ตอื่นๆ และปิดไม่ให้พอร์ตหน้าคอนฟิกเข้าถึงจากอินเทอร์เน็ต

SynoLocker จะเข้ารหัสไฟล์ทั้งหมดและเรียกค่าไถ่ 0.6 BTC หรือประมาณ 11,000 บาท

ยังไม่ยืนยันว่าตัวมัลแวร์เข้าถึง NAS ได้อย่างไร ความเป็นไปได้หนึ่งคือ Synology มีรหัสผ่านเฉพาะที่เหมือนกันทุกเครื่อง

ระหว่างนี้ยังไม่มีแพตช์ออกมาแก้ปัญหาชัดเจน ก็ควรสำรองข้อมูลอีกชั้นกันเหนียวกันไว้ครับ

ปฏิเสธไม่ได้ว่าการใช้งานบิททอร์เรนท์เป็นที่นิยมในปัจจุบันอย่างมาก และมีโปรแกรมสำหรับใช้งานลักษณะนี้อยู่จำนวนมาก หนึ่งในโปรแกรมยอดนิยมคงหนีไม่พ้น uTorrent ที่มีผู้ดาวน์โหลดนับล้านต่อเดือน

ล่าสุดมีรายงานว่า Chrome เบราว์เซอร์จากกูเกิล แจ้งเตือนว่าไฟล์ติดตั้งโปรแกรม uTorrent เวอร์ชันล่าสุดเป็นไฟล์อันตราย และบล็อคการติดตั้งโปรแกรมดังกล่าว ทำให้ยอดการติดตั้งของ uTorrent ตกลงไปพอสมควรในสัปดาห์ที่ผ่านมา โดยเหตุผลของการแจ้งเตือนนี้มาจากระบบวิเคราะห์ความปลอดภัยของกูเกิลพบว่ามี 4 เว็บไซต์ที่ให้ดาวน์โหลด uTorrent นั้นเกี่ยวข้องกับการแพร่กระจายมัลแวร์ในช่วง 90 วันที่ผ่านมา

จากกรณี ไมโครซอฟท์ยึดโดเมนจาก No-IP กรองเว็บมัลแวร์ กระทบผู้ใช้นับล้าน และ No-IP ได้โดเมนกลับมา 18 โดเมนแล้ว เหลือ .org

ล่าสุดทาง Vitalwerks Internet Solutions บริษัทผู้ให้บริการ No-IP ออกมาแถลงว่าสามารถเจรจายุติคดีกับไมโครซอฟท์สำเร็จแล้ว โดยไมโครซอฟท์ตรวจสอบหลักฐานต่างๆ ที่ Vitalwerks มอบให้ แล้วพบว่าบริษัทไม่มีส่วนเกี่ยวข้องกับซับโดเมนที่ใช้เป็นฐานปล่อยมัลแวร์แต่อย่างใด แถมยังแก้ไขปัญหาทันทีเมื่อได้รับแจ้งข้อมูลจากไมโครซอฟท์

ทั้งสองบริษัทตกลงกันว่าจะแบนซับโดเมนที่มีปัญหาเป็นการถาวร และไมโครซอฟท์ยังขอโทษที่ทำให้ผู้ใช้จำนวนหนึ่งเข้าถึงบริการ No-IP ไม่ได้

ไมโครซอฟท์ฟ้องต่อศาลเนวาดาขอยึดโดเมน 22 ชื่อจาก No-IP ผู้ให้บริการ Dynamic DNS รายใหญ่ โดยอ้างเหตุผลว่าโดเมนเหล่านี้เป็นแหล่งกระจายมัลแวร์ขนาดใหญ่ โดยหลังจากยึดโดเมนได้แล้ว ไมโครซอฟท์ก็ทำงานร่วมกับ A10 Networks เพื่อย้อนรอยหาเครื่องที่ติดมัลแวร์และช่วยจัดการหาทางแก้ปัญหาให้

บริษัทด้านความปลอดภัย G DATA จากเยอรมนี รายงานว่าค้นพบมือถือ Android จากจีนยี่ห้อ Star รุ่น N9500 ซึ่งขายผ่านร้านค้าปลีกในยุโรปในราคา 130-165 ยูโร (5,800-6,300 บาท) ฝังมัลแวร์ที่ปลอมตัวเป็นแอพ Google Play Store มาตั้งแต่แรก

มัลแวร์ตัวนี้ชื่อว่า Android.Trojan.Uupay.D จะส่งข้อมูลส่วนบุคคลของผู้ใช้กลับไปยังแฮ็กเกอร์ในเมืองจีน มันสามารถอ่านอีเมล, SMS รวมถึงดักสายโทรเข้า (intercept calls) นอกจากนี้ผู้ใช้ยังไม่สามารถลบมันออกได้ง่ายๆ เพราะเป็นส่วนหนึ่งของเฟิร์มแวร์

ทีมความปลอดภัยของเฟซบุ๊ก ประกาศผ่านโน้ตของหน้าเพจว่า เฟซบุ๊กได้เริ่มแจ้งเตือนผู้ใช้ให้ดาวน์โหลดซอฟต์แวร์สำหรับสแกนมัลแวร์ หากระบบพบว่าเครื่องที่ทำการล็อกอินติดมัลแวร์ โดยซอฟต์แวร์นี้ได้รับการพัฒนาโดย F-Secure และ Trend Micro ซึ่งจะแจ้งให้ผู้ใช้ดาวน์โหลดตัวใดตัวหนึ่ง ขึ้นอยู่กับว่าติดมัลแวร์ชนิดใด

เมื่อผู้ใช้กดดาวน์โหลด ระบบจะทำงานอยู่เบื้องหลังและผู้ใช้สามารถใช้งานเฟซบุ๊กต่อได้ตามปกติ เมื่อซอฟต์แวร์ถูกดาวน์โหลดและสแกนเสร็จเรียบร้อย ระบบจะแจ้งเตือนผู้ใช้อีกครั้ง และทำการถอนการติดตั้งตัวเองออกโดยอัตโนมัติ

อย่างไรก็ตาม ผู้ใช้สามารถปฏิเสธที่จะดาวน์โหลดซอฟต์แวร์ได้ แต่ก็จะได้รับการแจ้งเตือนอีกครั้งเมื่อล็อกอิน